Re: Umbau wegen konzeptioneller Mängel

Markus Winkler ml at irmawi.de
Di Okt 8 20:53:39 CEST 2019 

Hi Thomas,

On 08.10.19 11:21, Thomas Luening wrote:> In meiner ersten Überlegung hatte 
ich damals nämlich vor, die > Dovecot-Postfächer wie zuvor bei TB ebenfalls 
User-Bezogen in die > Server-Homedirs zu speichern.
was ja erst mal auch nicht falsch ist. Grundsätzliche Rückfrage aber (s. 
u.): Benötigen Deine User den lokalen Account auf dem (Mail-)Server noch 
für andere Zwecke oder existieren die Accounts ausschließlich für den 
Zugriff auf die Mailboxen?

> Wegen der zwangsläufigen Erschwernis von 
> Backups habe ich darauf jedoch verzichtet und die Postfächer stattdessen in 
> ein zentrales Verzeichnis gespeichert.

Wieso ist das eine "zwangsläufige Erschwernis", wenn die Maildirs in den 
Home-Verzeichnissen liegen? Würde mich einfach interessieren, weil ich 
persönlich darin kein prinzipielles Problem sehe. ;-)

> 1. Nach meinem Verständnis ist es Dovecot egal, wem die Postfächer 
> linuxseitig gehören, hauptsache es hat RWX-Rechte.
[...]
> Die tatsächlichen 
> Server-Linux-UIDs des Users (Owner und Group) für die Postfächer sollten 
> also dabei gar nicht relevant sein, der User muss nur in der Gruppe 'mail' 
> enthalten sein. Stimmt das so?

[...]

> Mein Problem ist allerdings jetzt weniger das Ziel, das ist mir jetzt
> nach Deinem Dokuwiki schon klar, sondern mehr der Weg dahin. Ich muss ja
> ein altes, bestehendes und auch funktionierendes Rechtesystem umbauen,
> und ich muss den ganzen alten Bestand gesichert hinterher genauso wieder
> 1:1 verfügbar haben, wie vorher. Jetzt mal eben ein chown -R mail:mail
> auf die ganze Mailstruktur loszulassen ist sicher nicht das Problem,
> aber allein das -befürchte ich- kann auch nicht alles an notwendigen
> Maßnahmen sein.  :-|


Klaus hat Dich ja schon auf sein umfangreiches How-to verwiesen, es 
existieren haufenweise weitere - darum nur umrissen:

Du kannst grob gesagt zwei Arten von Accounts verwenden:

o "klassische" Systemaccounts (so, wie bei Dir aktuell)

o "virtuelle" Mailbox-Accounts (die kennt aber das OS nicht und daher 
können sich diese virtuellen User z. B. nicht in einer Shell auf dem Server 
anmelden)

Beide Varianten haben ihre Berechtigung, je nach Anforderung.

Wenn Deine User außer E-Mail keine weiteren Dienste auf dem Server nutzen 
(daher meine Frage oben), wäre meine Empfehlung, ihnen reine (virtuelle) 
Mailbox-Accounts zu geben. Es gibt dabei mehrere Varianten, wie/wo diese 
Accounts verwaltet werden können. Im einfachsten Fall ist es eine simple 
Textdatei im passwd-Format, oft wird /etc/dovecot/users verwendet (siehe 
10-auth.conf und auth-passwdfile.conf.ext).

Der für Dich offenbar wichtigste Punkte wäre dann der, dass Du tatsächlich 
(wieder) (D)ein zentrales Verzeichnis verwendest, z. B. eben etwas in der Art:

/var/vmail/example.com/foo1
/var/vmail/example.com/foo2
[...]

In diesen Verzeichnissen liegen dann die Mails für die Mailadressen 
foo1 at example.com, foo2 at example.com etc.

Diese ganze Verzeichnisstruktur gehört dem (System-)Benutzer, den Du 
Dovecot als zugriffsberechtigt dafür nennst (siehe 10-mail.conf).

Nebenbei: Ich selber strukturiere dieses Verzeichnis meistens so, wie man 
das an diesen beiden Parameter der 10-mail.conf sehen kann:

mail_home = /var/vmail/%d/%n
mail_location = maildir:/var/vmail/%d/%n/Maildir

Letzteres deswegen, damit die eigentlichen Mails eine Ebene unter 
'mail_home' und somit Sieve-Scripte nicht innerhalb der eigentlichen 
Mails/-Ordner liegen.


Schlussendlich sagt man Postfix noch, dass er

a) für die Authentifizierung Dovecot (genauer: dessen o. g. virtuelle 
Mailbox-Accounts):

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

und

b) als Transport für die Mails dieser virtuellen User dies hier:

virtual_transport = lmtp:unix:private/dovecot-lmtp

verwenden soll.


So ganz grob - aber mehr braucht's dafür eigentlich nicht. Und nach diesem 
Schema sollte das auch bei der Überarbeitung Deines jetzigen Setups 
ziemlich einfach und ohne Risiko einsetzbar sein.


> 2. Via Getmail werden derzeit die ISP-Postfächer abgefragt und dann über 
> Postfix und dem Dovecot-lmtp in die lokalen Postfächer geschrieben.
[...]
> Auch das würde ich 
> gerne ändern, dass das serverseitig  künftig für alle User unter dem User 
> "mail" passiert.

Wenn Getmail die Mails an Postfix/Dovecot-lmtp übergibt, läuft das wie 
unter Punkt 1 geschildert - kein Problem.

HTH und viele Grüße
Markus

Mehr Informationen über die Mailingliste Dovecot