ius/mailAdmin: comparison manual.tex

equal deleted inserted replaced

-:72ba031fec20
+:255598cae35f
 % © Heiko Schlittermann
 % $Id: manual.tex 1501 2005-11-04 06:22:25Z heiko $
 % $URL: https://svn.schlittermann.de/is/mailAdmin/trunk/manual.tex $
 \usepackage{ius}
+\usepackage{bold-extra}
 \usepackage{makeidx}
+\usepackage[german]{varioref}
+\setlength{\LTleft}{\parindent}
+\setlength{\LTright}{\fill}
 \newcommand{\N}[1]{\textit{#1\/}}	% name
-\newcommand{\T}[1]{\texttt{#1}}	% typed
+\newcommand{\V}[1]{\textit{#1\/}}	% variable / name
-\newcommand{\U}[1]{\underline{#1}}
+\newcommand{\T}[1]{\texttt{#1}}		% typed
-\newcommand{\C}[1]{}
+\newcommand{\F}[1]{\texttt{#1}}		% file
+\newcommand{\U}[1]{\underline{#1}}	% underline
-\title{Mailsystem --- Deutsche Post AG / TCB  --- Systemdokumentation}
+\newcommand{\C}[1]{\texttt{\textbf{#1}}}
+\newcommand{\NL}{\tabularnewline}
+\newcommand{\Tilde}{\~{}}
+\newcommand{\Prompt}{\texttt{linux:\Tilde\#\,}}
+\newcommand{\Notice}[1]{\marginpar{\footnotesize\raggedright{}#1}}
+\newcommand{\Linux}[1]{\Prompt#1\newline}
+\title{Mailsystem --- CMS-AG --- Systemdokumentation}
 \author{$<$hs@schlittermann.de$>$}
 \date{\today}
 %\makeindex
 \begin{document}
 \maketitle
-%\begin{abstract}
 \subsubsection*{Zusammenfassung}
-Ein Mailserver.  Post wird per \N{fetchmail} geholt, an \N{exim}
+Ein Mailserver.  \N{Exim} als SMTP-Server und \N{Cyrus} als Mailstore,
-(SMTP) übergeben und dann in den \N{cyrus}-Mailstore gelegt.  Dort
+der dann alles über POP3/IMAP zur Verfügung stellt.  Dazu noch
-ist dann alles per POP/IMAP verfügbar.
+\N{SpamAssassin} und \N{AMaViS} und auch noch LDAP für Nutzer und
-%\end{abstract}
+\N{Mailman} für die Mailinglisten/Verteiler.
-\parskip0mm
+{\parskip0mm\tableofcontents}
-\tableofcontents
-\parskip0.5em
-%\setlength{\parindent}{0mm}
-%\setlength{\parskip}{1em}
 \section{Verwendete Komponenten}
-\begin{tabular}{ll}
+Der Mailserver läuft auf einem normalen Debian/GNU Linux-System.  Die
-Post-Abholer & fetchmail \\
+folgenden relevanten Komponenten sind neben dem Basissystem
-SMTP-Server	& exim 4.5x \\
+installiert:
-POP3/IMAP-Server  & cyrus 2.2 \\
-OpenLDAP  &	  2.2 \\
+\begin{longtable}{llrl}
-\end{tabular}
+\textbf{Dienst} & \textbf{Software} & \textbf{Version} &
+\textbf{Bemerkung} \\\hline
-\section{LDAP}
+\endhead
+Betriebssystem    &	Debian GNU/Linux  & 3.1			& stable, Codename \qq{sarge} \\
-Im LDAP sind die Nutzerdaten (Accounts, Passworte, \ldots) hinterlegt.
+SMTP-Server	      & Exim		  & 4.62 \\
+POP3/IMAP-Server  & Cyrus		  & 2.2.13 \\
+OpenLDAP	      &	OenLDAP		  & 2.2.23 \\
+Spam-Scanner      & SpamAssassn	  & 3.1.1 \\
+Viren-Entpacker   & AMaViS		  & 2.4.1 \\
+Virenscanner      & Vexira-Antivir	  & 2.1.7		& Lizenz bis 16. Juni 2009 \\
+		      & Clam-Antivirus		  & 0.88.3 \\
+\end{longtable}
+Wenn nicht anders erwähnt, stehen alle Komponenten unter der \emph{GNU Public
+Licence} oder ähnlichen freien Lizenzen.
+\section{Struktur}
+Mails kommen von außen und werden vom SMTP-Server \N{Exim} entgegen
+genommen.  Dieser läßt die Mails schon während des Empfangs vom
+Spamscanner \N{SpamAssassin} prüfen und übergibt sie anschließend an
+den Virenscanner.
+Sind die Nachrichten vom Virenscanner geprüft werden Sie vom
+SMTP-Server an das \qq{Mailstorage} \N{Cyrus} übergeben.
+Der Cyrus-Server verwaltet die Mailboxen und stellt sie für einen
+Zugriff über POP3 bzw. IMAP zur Verfügung.
+Ausgehende Mails werden vom jeweiligen Client direkt an den
+SMTP-Server geliefert, dieser besorgt, nach Virentests, dann die
+Zustellung.
+Die Nutzerverwaltung erfolgt komplett im LDAP.
+\subsection{Sicherheit}
+\label{p:security}
+Wenn möglich versendet der SMTP-Server die Nachrichten über
+TLS/SSL-gesicherte Verbindungen.  Für eingehende Mails stellt er
+TLS/SSL zur Verfügung.
+Anmelde-Daten (SMTP-Authentifizierung, POP- bzw.
+IMAP-Authentifizierung) \emph{sollten} ausschließlich über TLS- bzw
+SSL-gesicherte Verbindungen gesandt werden.  Im internen Netz
+(LAN-Seite des Mailservers) sind POP/IMAP-Verbindungen derzeit auch
+ungesichert möglich.\Notice{Das sollte schnellstens geändert
+werden!}
+Jeder der beteiligten LDAP-Server stellt seine Daten
+auf \T{ldap://127.0.0.1/} und SSL-verschlüsselt auf \T{ldaps:///} zur Verfügung.
+Damit ist sichergestellt, daß eine Übertragung im Netz
+ausschließlich verschlüsselt erfolgt.  Das ist auch bei Verwendung
+von LDAP-Clients (LDAP-Browser, LDAP-Editor) zu beachten.
+Der Zugriff auf die Daten des LDAP-Servers ist für jeden möglich,
+Passwort-Information wird jedoch nur nach einer entsprechenden
+Anmeldung am LDAP-Server geliefert.
+\section{Nutzerverwaltung (LDAP)}
+Sämtliche Informationen über Nutzer (Namen, Passworte,
+Weiterleitungen, \qq{Verteiler}) werden im LDAP verwaltet.
+LDAP-Server ist der LDAP-Master auf dem Fileserver.  Von dort werden
+die Daten zum Mailserver repliziert.  Der Mailserver ist vollwertiger
+LDAP-Slave mit einer Kopie der Masterdaten.  Er ist also auch
+lebensfähig ohne den Master.
+Diese im LDAP verwalteten Nutzer haben nichts mit den auch im LDAP
+abgelegten Windows-Nutzern der Fileserver zu tun und auch nichts mit
+eventuellen Unix-Nutzern auf dem Host \T{daten.cms.de}.  Das
+Mail-Storage \N{Cyrus} nutzt den LDAP-Dienst nur für seine eigene
+interne Nutzerverwaltung.
+Änderungen direkt im LDAP-Verzeichnis sind möglich, sollten aber mit
+Bedacht erfolgen, da z.B. ein dort neu eingetragener Nutzer nicht
+automatisch sicherstellt, daß auch die zugehörige Infrastruktur
+(Mailbox etc.) angelegt wird.
 Mit einem LDAP-Browser ist jederzeit der Zugang zum LDAP-Server
-möglich, so sind Änderungen relativ einfach und schnell möglich.\index{LDAP-Tools}
+möglich, so sind kleine Änderungen relativ einfach und schnell
+möglich (Zugangsdaten Abschnitt \vref{p:zugangsdaten}).
-\subsection{SSL/TLS}
+\subsection{Struktur}
-Der LDAP-Server stellt seine Dienste unverschlüsselt zur Verfügung. Verschlüsselung über
-STARTTLS bzw. \texttt{ldaps:///} ist möglich und konfiguriert.  Die Herausforderung ist
+Es existieren zwei Typen von Objekten: Nutzer und Aliase.  Beide
-aber, daß dann der Client das auch unterstützen muß und vor allem mit den von einer nicht
+dieser Objekttypen haben eine Reihe von Attributen.
-offiziellen CA signierten Zertifikaten auskommen muß.
+Für die Verteilung der Mails auf verschiedene Nutzer sind
+parallele Mechanismen implementiert: alternative Mailadressen,
+Aliase, Mailgruppen und Weiterleitungen.
+\subsubsection{Reale Nutzer}
+Zu jedem realen Nutzer gehört eine Mailbox (\N{Inbox}).  Zu dieser
+gehören Name (\N{UID}) und Passwort.  Jede UID darf nur einmal
+im LDAP-Verzeichnis vorkommen.
+Jeder Nutzer bekommt die Mails, die an seine UID gesendet werden.
+\subsubsection{Alternative Mailadressen}
+Zu jedem realen Nutzerobjekt im LDAP gehört eine Liste von
+alternativen Mailadressen.  Diese alternativen Adressen sollten
+vor allem für verschiedene Schreibweisen der Mailadresse (mit Vorname,
+ohne Vorname, \dots) genutzt werden.  Jede alternative Adresse
+sollte also auch nur \emph{genau einmal} im gesamten Verzeichnis
+vorkommen.
+Der reale Nutzer bekommt alle Mails zugestellt, die an eine seiner
+alternativen Adressen gerichtet sind.
+\subsubsection{Aliase}
+Die Aliase entsprechen dem altbekannten Aliasmechanismus der
+\F{/etc/aliases}.  Jeder \qq{virtuellen} Adresse werden beliebig
+viele andere Adressen zugeordnet.  Problematisch ist hierbei, daß
+z.B. beim Löschen eines Nutzers auch alle Aliase überprüft werden
+müssen.
+Diese Aliase sollten nur noch für die Zuweisung von funktionalen
+Adressen (wie z.B. \N{postmaster}) an einzelne Personen oder
+Personengruppen verwendet werden.
+\subsubsection{MailGroups}
+Zu den Attributen eines jeden Nutzers gehören die Mailgroups, zu
+denen er gehört.  Dieser Mechanismus arbeitet \qq{rollenbasiert}.
+Mails an eine solche Gruppe wird dann allen Nutzern zugestellt, in
+deren Attributen dieser Gruppenname auftaucht.
+Der reale Nutzer bekommt alle Mails zugestellt, die an eine seiner
+Gruppen gerichtet ist.
+\subsubsection{Weiterleitung}
+Nach der Auflösung von Aliasen und Gruppen wird kurz vor der
+Zustellung an das Postfach überprüft, ob es einen
+Weiterleitungseintrag für den Nutzer gibt.  Hier können eine Reihe
+von Mailadressen hinterlegt werden, u.a. auch die des Nutzers
+selbst.  Diese Eigenschaft sollte für Weiterleitungen in
+eigentlichen Sinne (Urlaubsvertretung, \dots) verwendet werden.
+\subsection{LDAP-Baum}
+Unterhalb des Knotens \N{ou=Mail} sind alle Objekte angelegt, die
+zum Mailsystem relevant sind, also Daten für die  Authentifizierung
+der Nutzer, für die Mailboxen, die alternativen Mailadressen, Aliase und die
+Mailgruppen-Zugehörigkeiten.
+Es gibt im \N{ou=Mail}-Zweig zwei Unterzweige, einen für die
+Nutzer-Informationen (\N{ou=Users}) und einen für die Alias-Daten
+(\N{ou=Aliases}).
+Für jeden Nutzer muß es ein LDAP-Objekt unterhalb von \N{ou=Users}
+geben.  Wichtige Bestandteile der Mail-Accounts in \N{ou=Users} sind:
+\begin{longtable}{ll}
+\textbf{Attribut}		& \textbf{Inhalt} \NL\hline
+objectClass		& \N{uidObject}, \N{cmsMailRecipient}, \N{person} \\
+uid			& Nutzer-ID (Anmeldung am POP3/IMAP-Server, Name der Mailbox) \\
+userPassword		& Passwort für SMTP/POP3/IMAP (Klartext)\\
+cmsMailPrimaryAddress	& primäre Mailadresse (incl. Domain-Name \N{cms.de})\\
+cmsMailAddress		& alternative Adressen \\
+cmsMailGroup		& Mitgliedschaft in Mailgruppen \\
+cmsMailForwardingAddress	& Weiterleitungsadresse (analog \N{\Tilde/.forward}) \\
+sn			& Nachname (ungenutzt, muß aber gesetzt sein) \\
+cn			& allgemeiner Name (ungenutzt, muß aber gesetzt sein)
+\end{longtable}
+Für Weiterleitungsinformation analog zur klassischen
+\F{/etc/aliases} steht der \N{ou=Aliases}-Zweig zur Verfügung.
+Die Alias-Objekte bestehen aus folgenden Attributen:
+\begin{longtable}{ll}
+	\textbf{Attribut}	  & \textbf{Inhalt} \NL\hline
+	objectClass		  & \N{cmsMailAlias} \\
+	mail			  & allgemeiner Name des Aliases (hier: \qq{linke Seite} des Alias-Eintrags) \\
+	cmsMailForwardingAddress  & Alias, also der Empfänger \\
+\end{longtable}
 \subsection{LDAP-Browser}
 Es gibt einige GUI-LDAP-Browser.
 \begin{description}
-	\item{\N{ldapbrowser}}  Bei Google man nach \qq{ldapbrowser java}
+\item{\N{ldapbrowser}}  Bei Google kann man nach \qq{ldapbrowser java}
-	  suchen.  Er läuft unter Linux und unter Win32 mit einer aktuellen
+suchen.  Er läuft unter Linux und unter Win32 mit einer aktuellen
-	  Java-Runtime.
+Java-Runtime.
-\item{\N{JXplorer}} Alternative zu dem o.g.
+\item{\N{JXplorer}} Alternative zu dem o.g. für alle Plattformen
-	  \end{description}
+\item{\N{gq}} Ein graphischer LDAP-Browser/Editor unter Linux
+\item{Web-Interface} Ohne es weiter getestet zu haben: unter
+\T{https://daten.cms.de/ldap} steht ein Webinterface zum
+Master- und zum lokalen Slave zur Verfügung.
+\end{description}
 Und es gibt natürlich noch für die (Linux)-Kommandozeile einiges.
 Am besten geeignet: \N{ldapvi}.  Für die Kontrolle über die
 letzten Schrauben dann \N{ldap\{add,delete,modify\}}.  Für
-\N{ldapvi} ist ein Alias \T{ldapvi} in der \T{~.bashrc} eingetragen,
+\N{ldapvi} ist ein Alias \T{ldapvi} in der \F{\Tilde/.bashrc} eingetragen,
-der sich versucht, als Admin an den LDAP-Server zu binden.
+der versucht, sich als Admin an den Master-LDAP-Server zu binden.
-Die Zugangsdaten $\rightarrow$ Seite~\pageref{p:Zugangsdaten}.
+Die Zugangsdaten sind in Abschnitt \vref{p:zugangsdaten} zu finden.
-\subsection{Struktur}
-Unterhalb des Knotens \N{ou=MailAccounts} sind Nutzer-Objekte angelegt, die
-für die Authentifizierung notwendig sind.  Außerdem enthalten diese
-Objekte auch alternative Mail-Adressen und die Mailgruppen-Zugehörigkeit
-für die jeweiligen Nutzer.
-\begin{sloppypar}
-Unterhalb von \N{ou=MailAliases} sind Objekte, die den bisherigen
-Aliasen/Verteilerlisten aus \T{/etc/aliases} entsprechen.
-\end{sloppypar}
-Es existieren also zwei Mechanismen für eine Realisierung von Alias-ähnlichen
-Verteilern: über \N{ou=MailAliases} und über das \N{MailGroup}-Attribut.
-\fussy
-Wichtige Bestandteile der Mail-Accounts sind:
-\begin{tabular}{ll}
-objectClass   & \N{uidObject}, \N{tcbMailRecipient}, \N{person} \\
-uid & Nutzer-ID (Anmeldung am POP3/IMAP-Server, Name der Mailbox) \\
-userPassword & Passwort für SMTP/POP3/IMAP \\
-tcbMailPrimaryAddress & primäre Mailadresse \\
-tcbMailAddress & alternative Adressen \\
-tcbMailGroup & Mitgliedschaft in Mailgruppen \\
-tcbMailForwardingAddress & Weiterleitungsadresse (analog .forward) \\
-sn & Nachname (ungenutzt, muß aber gesetzt sein) \\
-cn & allgemeiner Name (ungenutzt, muß aber gesetzt sein) \\
-\end{tabular}
-Die Aliase sind einfacher aufgebaut:
-\begin{tabular}{ll}
-objectClass & \N{tcbMailAlias} \\
-mail & allgemeiner Name des Aliases (hier: \qq{linke Seite}) \\
-tcbMailForwardingAddress & Alias, als der Empfänger \\
-\end{tabular}
 \subsection{Files}
-\begin{tabular}{ll}
+\begin{longtable}{ll>{\raggedright}p{0.6\textwidth}}
-Konfiguration   &	  \T{/etc/ldap/*} \\
+\textbf{Funktion}	& \textbf{Datei} \NL\hline
-Logfiles	      &	  \T{/var/log/syslog} \\
+Konfiguration	& \F{/etc/ldap/*} & Achtung: \F{ldap.conf} ist für Clients, \F{slapd.conf} ist für den Server \NL
-Datenbank	      &	  \T{/var/lib/ldap/*} \\
+Logfiles		& \F{/var/log/syslog} \\
-Backup	      &	  \T{/var/backups/ldap.week*} \\
+Datenbank		& \F{/var/lib/ldap/*} & Slave-Kopie \NL
-\end{tabular}
+\end{longtable}
 \subsection{Administration}
 Am LDAP-Server selbst ist nicht viel zu administrieren.  Nutzer an-
-und ablegen ist auf Seite~\pageref{p:admin} beschrieben.
+und ablegen ist in Abchnitt \vref{p:admin} beschrieben.
+Zu beachten ist, daß alle Änderungen am Master
-\subsection{Backup/Recovery}
+\N{ldaps://ldap-master} erfolgen müssen, der Slave ist
+\emph{read-only}.
-Sollte das LDAP sich über Datenbank-Probleme beschweren, gibt es
-etwa folgenden Weg:
-\begin{enumerate}
-\item   LDAP-Server neustarten: \T{service lap restart}
-\item   Datenbank-Recovery versuchen:
-	      \begin{quote}\T{%
-	      service ldap stop \\
-	      cd /var/lib/ldap\\
-	      db41\_recover\\
-	      service ldap start\\
-	      }\end{quote}
-\item   Backup wieder einspielen:
-	      \begin{quote}\T{%
-	      service ldap stop \\
-	      rm -r /var/lib/ldap/* \\
-	      bzcat </var/backups/ldap/XXX.bz2 | slapadd \\
-	      service ldap start \\
-	      }\end{quote}
-\item   0351.8029981
-\end{enumerate}
 \section{SMTP}
-Um unerwünschtes Mailweiterleiten\index{Relaying} zu verhinden, sind Mails von
+Eingehende Mails (egal ob von intern oder extern) werden vom
-unauthentifizierten Nutzern nur zugelassen, wenn der Empfänger
+\N{Exim}-SMTP-Server entgegen genommen.  Verschiedene Regeln in ACLs
-in einer der bekannten lokalen Domains ist.  Zum Senden von Mails an
+sollen verhindern, daß zuviel SPAM eintrifft.  Vor allem sollen sie
-andere Domains ist eine Authentifizierung\footnote{Name/Passwort wie
+aber auch das unerwünschte Weiterleiten von Mails verhindern.
-am POP3/IMAP-Server} am Mailserver notwendig.
+\subsection{SMTP-Policies}
-\subsection{SMTP-Authentifizerung}
+Um den Mißbrauch des Mailservers auszuschließen sind einige einfache
-Es werden die Authentifizierungsverfahren PLAIN und
+Regeln implementiert:
-LOGIN unterstützt.
+\begin{itemize}
-Authentifizierung ist nur möglich, wenn eine verschlüsselte Verbindung
-zwischen MUA und MTA besteht.  Dafür bietet der MTA \N{STARTTLS} an.
+\item Mails an \T{postmaster@cms.de} werden immer angenommen
-\subsubsection{Authorisierung}
+\item Mails von authentifizierten Nutzern werden immer weitergeleitet.
-Authentifizierte Nutzer dürfen Mails an beliebige Adressen versenden.
+\item Mails an Empfänger in lokalen Domains (z.Z. nur \V{cms.de}) werden immer
-Dabei wird jedoch immer die \N{PrimaryMailAddress} als deren Absender
+angenommen.
-eingetragen.
+\item Mails von vertrauenswürdigen IP-Adressen (einige interne
+	Server) werden immer weitergeleitet.
+\end{itemize}
+Bei Bedarf ist dieses Regelwerk flexibel erweiterbar mit Black- und
+Whitelists.
+\subsection{SMTP-Authentifizerung/Authorisierung}
+Wie eben erwähnt ist ein Senden von Mail über den Mailserver nur
+nach einer erfolgreichen Authentifizierung möglich.
+Es werden die Authentifizierungsverfahren PLAIN und LOGIN
+unterstützt.  Da in beiden Fällen Klartextpassworte übertragen
+werden, sind diese Verfahren nur zulässig, wenn eine gesicherte
+Verbindung (START TLS) aufgebaut wurde (siehe auch Abschnitt
+\vref{p:securit}).  Die entsprechende
+Einstellung in den Mailclients heißt meistens \qq{TLS} oder \qq{TLS
+wenn möglich}.\footnote{%
+Zum Thema TLS/SSL:\newline
+Grundsätzlich verwenden beide das selbe Verschlüsselungsverfahren.
+Wenn TLS erwähnt wird, dann als Protokollerweiterung zu einem
+Klartextprotokoll. Es wird etwas wie \T{STARTTLS} gesendet, um
+anschließend in einen verschlüsselten Übertragungsmodus zu
+schalten.  Diese Erweiterung benutzt die normalen Ports (z.B. 25
+für SMTP).  Mit SSL (manchmal auch \emph{TLS-on-connect}) wird
+bereits beim Verbindungsaufbau ein sicherer Kanal aufgebaut.
+Dafür werden aber gesonderte Ports benötigt (z.B. 993 für IMAPs).}
+Wichtig ist, daß der Mailclient mit dem SMTP-Server auf Port 25 reden muß.
 \subsection{Mailrouting}\label{s:mailrouting}
+Mails werden vom SMTP-Server nach verschiedenen Kriterien
+\qq{geroutet}.
 \begin{enumerate}
 \item Mail an nicht lokale Domains (lokal ist
-	    \N{tcb.deutschepost.de}) wird an den Smart-Relay (\N{mimesweeper}
+	    \N{cms.de} und \N{mailman.cms.de}) wird an den MX der
-	    über DNS-Auflösung) weitergeleitet.
+	    entsprechenden Ziel-Domain zugestellt.
-\item Es wird im LDAP nach Aliasen für die aktuelle Adresse gesucht (unterhalb
+	    Andere Mails werden als lokal betrachtet.
-	    \N{ou=MailAliases}).  Diese Aliase entsprechen den bisherigen
-	    \T{/etc/aliases}.  Aliase werden dort ohne angehängte Domain gesucht.
+\item Mails an Adressen \N{*@mailman.cms.de} werden an das
+	  Mailinglisten-System \N{mailman} übergeben, sofern die entsprechende
-\item Es wird unterhalb von \N{ou=MailAccounts} gesucht, ob der Adressat eine
+	  Mailingliste existiert.
-	    Mailgruppe ist.  Wenn ja, werden alle Gruppenmitglieder zu neuen
-	    Adressaten.
+\item Es wird in \F{/etc/aliases} nach System-Aliases gesucht und
+	  mit den eventuell neu ermittelten Adressen beginnt das Routing
-\item Es wird unterhalb von \N{ou=MailAccounts} gesucht, ob
+	  von vorn.
-	    es für den Adressaten eine Mailbox/UID gibt.
+\item Es wird im LDAP-Baum \N{ou=Aliases,ou=Mail,\dots} nach Aliases
-\item Es wird unterhalb von \N{ou=MailAccounts} gesucht, ob für den
+	  gesucht.  Mit eventuell neuen ermittelten Adressen beginnt das
-	    Adressaten/UID Weiterleitungsadressen existieren.  Wenn ja, werden diese
+	  Routing von vorn.  Suchfilter ist \N{mail=\V{local\_part}}.
-	    eingesetzt und das Routing beginnt von vorn.
+	  Mehrere Aliase mit dem selben Namen sind nicht zulässig, aber
+	  mehrere Adressen, die in und dem selben Alias zugeordnet sind
+	  (als ein einfacher Verteiler).
+\item Es wird im LDAP-Baum \N{ou=Users,ou=Mail,\dots} nach Objekten
+	  gesucht, die den \N{local\_part} als Mail-Attribut haben.
+	  Suchfilter ist hier wieder \N{mail=\V{local\_part}}.
+	  Da \N{cmsMailAddress} und \N{cmsMailGroup} vom \N{mail}-Attribut
+	  abgeleitet sind, werden also auch diese Attribute durchsucht.
+	  Die \N{uid} der gefundenen Objekte werden jetzt die Addressaten.
+\item Für jede einzelne \N{uid} wird nun überprüft, ob es ein
+	  \N{cmsMailForwardingAddress}-Attribute gibt.  Wenn ja, beginnt
+	  mit diesen das Routing von vorn.
+\item Es wird unterhalb von \N{ou=Users,ou=Mail,\dots} gesucht, ob
+	  es für den Adressaten eine Mailbox/UID gibt.
 \item Wenn dieser Schritt erfolgreich ist, wird die Mail an den
-	    POP3/IMAP-Server übergeben.
+	  POP3/IMAP-Server übergeben.
 \end{enumerate}
+Alle \N{mail}-Attribute (incl. der abgeleiteten \N{cmsMailAddress},
+\N{cmsMailGroup}) müssen \emph{ohne} Domain-Namen angegeben werden.
+Dagegen dürfen in der  Ziel-Adresse \N{cmsMailForwardingAddress} und
+in der primären Mailadresse \N{cmsMailPrimaryAddress} auch voll
+qualifizierte Adressen angegeben werden.
 \subsection{Adress-Rewriting}
-In ausgehenden Mails (zum Mimesweeper) werden alle Absender-Adressen
+Ausgehende Mails werden nicht verändert.  Jedoch wird bei Nutzern,
-so umgeschrieben, daß als Absender (in \N{From:} und \N{Sender:} und auch im
+die sich authentifiziert haben, eine \N{Sender:}-Zeile mit der
-\N{Return-Path} die primäre Adresse des authentifizierten Nutzers steht.
+primären Mailadresse des Nutzers eingefügt,
+wenn die \N{From:}-Zeile von der primären Mailadresse des Absenders
-Enthält die Primäre Adresse kein \T{@}, dann wird der Return-Path
+abweicht.
-auf \T{$<>$} gesetzt und die \N{From:} und \N{Sender:}-Header
-bleiben unverändert.  Mit dieser Einstellung sollte die Mail dann
-(wegen des leeren Return-Path) die meisten Mailserver passieren
-können.\footnote{Die meisten.  Einige prüfen inzwischen auch die
-Verfügbarkeit von brauchbaren Header-Zeilen \N{From:} und
-\N{Sender:}.}
-In \N{CC:}, \N{Reply-To:}, \N{To:}-Headern wird, wenn sie eine
-Adresse \N{@tcb.deutschepost.de} enthalten, diese ersetzt durch die
-primäre Adresse des entsprechenden Nutzers (gesucht wird im Ldap
-nach Einträgen, deren \N{tcbMailAddress} dem Nutzer lokalen Teil der
-fraglichen Adresse entspricht).
 \subsection{Files}
-\begin{tabular}{ll}
+\begin{longtable}{ll}
-Konfiguration \N{Exim}		&   \T{/etc/exim/*}	\\
+\bf Funktion			& \bf Datei \NL\hline
-SMTP-Spool			&   \T{/var/spool/exim/*} \\
+Konfiguration \N{Exim}		&   \F{/etc/exim4/*}	\\
-SMTP-Log				&   \T{/var/log/exim/\{main,reject,panic\}.log} \\
+SMTP-Spool			&   \F{/var/spool/exim/*} \\
-\end{tabular}
+SMTP-Log				&   \F{/var/log/exim4/\{main,reject,panic\}log} \\
+\end{longtable}
+Nach Änderungen der Konfiguration muß im Konfigurationsverzeichnis
+\C{make} aufgerufen werden, damit die Änderungen wirksam werden.
 \subsection{Administration}
 Viel zu administrieren sollte es am \N{Exim} nicht geben.  Ab und zu
-kann man die Warteschlange mit \T{mailq} oder \T{exipick} kontrollieren.
+kann man die Warteschlange mit \C{mailq} oder besser \C{exipick} kontrollieren.
-Eingefrorene Mails sollten nach einigen (7) Tagen verschwinden.
+Eingefrorene Mails sollten nach einigen (7) Tagen automatisch verschwinden.
 Im Zweifelsfall ist ein Blick in die Logfiles (vor allem
-\T{panic.log} und \T{reject.log}) interessant.
+\F{paniclog} und \F{rejectlog}) interessant.
-Zum Adress-Test biete sich folgendes an:
+Zum Adress-Test (um zu überprüfen, wie eine bestimmte Mail geroutet
+werden \emph{würde}) kann das folgende Kommando verwendet werden:
-\begin{quote}\T{exim -v -bv hans@domain.de}\end{quote}
+\Linux{\C{exim4 -v -bv} \V{user@domain}}
-Damit können lokale und auch externe Adressen getestet werden und es
-ist zu erkennen, wie der Mailserver die jeweilige Adresse routen
+Damit können lokale und externe Adressen getestet werden.  Mails
-würde.
+werden bei diesem Test keine verschickt.
 \section{POP3/IMAP}
 Vom SMTP-Server \N{Exim} kommt die Mail per LMTP zum \N{Cyrus}.  Der
-verwaltet sein eigenes Mailstore in \T{/var/spool/cyrus}.  Dort
+verwaltet sein eigenes Mailstore in \F{/var/spool/cyrus}.  Dort
-manuell einzugreifen ist nicht die beste Idee, da der \N{Cyrus} sich
+manuell einzugreifen ist nicht die beste Idee, da \N{Cyrus} sich
 Index-Dateien erzeugt, über die er dann den Zustand der Mailboxen zu
 kennen glaubt.
 \subsection{Clients}
 Die Clients können per POP3 und/oder IMAP auf ihre Postfächer
-zugreifen.  Allerdings steht per POP3 nur die Inbox zur Verfügung.
+zugreifen.  Allerdings steht per POP3 nur die Inbox zur Verfügung,
+die Unterpostfächer sind nur über IMAP verfügbar.\Notice{Es gibt
-Der übertragenen User-Name wird im LDAP unter \N{ou=MailAccounts}
+noch kein Backup vom Mailserver!}
-gesucht und dann wird über ein LDAP-Bind die Korrektheit des
-Passworts geprüft.
+Zum Zugriff auf die Postfächer ist eine Anmeldung erforderlich.
+Zur Sicherheit siehe \vref{p:security}.
+Der übertragene User-Name wird im LDAP unter
+\N{ou=Users,ou=Mail,\dots} gesucht.  Genau dieser Name ist dann auch
+der Name der Mailbox.
+Als Mailclient empfehlen wir \emph{dringend}
+\N{Mozilla-Thunderbird}.  Dieser Client ist auf allen Plattformen
+(Windows, Unix) verfügbar, ist in der Lage, mehrere Konten zu
+verwalten und beherrscht auch die verwendeten
+Verschlüsselungsprotokolle.  Über kostenfreie Plugins ist auch
+GnuPG-Verschlüsselung und Signatur der Mails möglich.
 \subsection{Files}
-\begin{tabular}{ll}
+\begin{longtable}{ll}
-Konfiguration   &	\T{/etc/imapd.conf} \\
+\bf Funktion	& \bf Datei \NL\hline
-		      & \T{/etc/cyrus.conf} \\
+Konfiguration     & \F{/etc/imapd.conf} \\
-Spool	      & \T{/var/spool/cyrus} \\
+			& \F{/etc/cyrus.conf} \\
-Logfiles	      & \T{/var/log/mail.log}
+	Spool		& \F{/var/spool/cyrus} \\
-\end{tabular}
+	Logfiles	& \F{/var/log/mail.log}
+\end{longtable}
+Nach Änderungen an den Konfigurationsdatein muß \C{invoke-rc.d
+cyrus22 restart}\footnote{bzw. \C{invoke-rc.d cyrus restart}}
+aufgerufen werden, sonst sind die Änderungen unwirksam
 \subsection{Administration}
-Sollten die unten (S.~\pageref{p:admin}) beschriebenen Werkzeuge
+Sollten die in Abschnitt \vref{p:admin} beschriebenen Werkzeuge
-nicht ausreichen, ist mit \T{cyradm} noch einiges zu retten:
+nicht ausreichen, ist mit \C{cyradm} noch einiges zu retten:
-\T{cyradm localhost}:
+\C{cyradm -u \V{Cyrus-Nutzer} localhost}.  Hier eine kurze
+beispielhafte Sitzung:
-\begin{verbatim}
-lm                         # alle Mailboxen anzeigen
+\begin{longtable}{ll}
-cm user/hannes             # Mailbox anlegen für hannes
+\Linux{\C{cyradm -u cyrus localhost}}\\
-lm user/hannes             # Hannes Mailbox
+Passwort: \C{*}\\
-lam user/hannes            # Berechtigungen zeigen
+localhost$>$ \C{lm}				& \# alle Mailboxen anzeigen \\
-sam user/hannes root all   # Berechtigungen setzten
+localhost$>$ \C{cm user/hannes}		& \# Mailbox für hannes anlegen \\
-lq user/hannes             # Quota anzeigen
+localhost$>$ \C{cm user/hannes}		& \# Mailbox anlegen für hannes\\
-sq user/hannes STORAGE 200 # Quota auf 200k setzen
+localhost$>$ \C{lm user/hannes}		& \# Hannes Mailbox \\
-\end{verbatim}
+localhost$>$ \C{lam user/hannes}		& \# Berechtigungen zeigen \\
+localhost$>$ \C{sam user/hannes root all}	& \# Berechtigungen setzten \\
+localhost$>$ \C{lq user/hannes}		& \# Quota anzeigen \\
+localhost$>$ \C{sq user/hannes STORAGE 200} & \# Quota auf 200k setzen\\
+localhost$>$ \C{quit}\\
+\Linux{\_}
+\end{longtable}
+Mehr Information findet sich wie immer in der Manual-Seite
+\T{cyradm(8)}.\footnote{Aufruf:\C{man cyradm}}
 Eine direkte Verbindung mit den Mailboxen ist mit jedem beliebigen
-IMAP-Client möglich, z.B. auch mit Mutt:
+IMAP-Client möglich, z.B. auch mit \N{Mutt}:
-\begin{quote}
+\Linux{\C{mutt -f imaps://\U{cyrus}@localhost\U{/user/hannes}}}
-\T{mutt -f imap://cyrus@localhost/user/hannes}
+\Linux{\C{mutt -f imap://\U{hannes}@localhost/}}
-\end{quote}
-bzw.\ direkt als Hannes:
+\section{Administration des Mailsystems}
+\label{p:admin}
-\begin{quote}
-\T{mutt -f imap://hannes@localhost/}
-\end{quote}
-\section{Administration}\label{p:admin}
 Zur Administration des Mailsystem liegt ein einfach(!) zu benutzender
-Script \T{ma} vor.  Die aktuelle Dokumentation dazu ist \N{ma(8)} zu entnehmen.
+Script \N{ma} vor.  Dieser Script verfügt über eine Reihe von
+Optionen.  Die jeweils aktuell unterstützten Optionen sind als
+Kurzreferenz verfügbar:
+\Linux{ma --help}
+Eine komplette Referenz über Optionen und Aufrufmöglichkeiten steht
+mit der Manualseite zu \C{ma(8)} zur Verfügung.
+Die Administration beschränkt entsprechend der Darstellung in
+Abschnitt~\vref{p:struktur} auf zwei Teilbereiche: die
+Mail\emph{accounts} und die Mail\emph{aliase}.
 \subsection{Accounts}
+\label{ss:account}
+Accounts entsprechen Mailboxen.  Auch zum Versenden von Mail ist ein
+Account notwendig.
 \subsubsection{Anzeigen}
 Vorhandene Accounts können angezeigt werden:
-\begin{quote}
+\Linux{\C{ma \U{account} --ls}}
-\T{ma \U{account} --ls}\\
+\Linux{\C{ma \U{account} --ls 'h*'} \# Alle Nutzer beginnend mit `h'}
-\T{ma \U{account} --ls `h*'}
-\end{quote}
+\subsubsection{Anlegen}
-\subsubsection{Anlegen}\label{ss:account}
 Beim Anlegen werden nur Accounts und Mailboxen angelegt, wenn sie
-noch nicht da sind.  In bestehende Accounts werden nur die
+noch nicht vorhanden sind.
-Mail-Attribute (\N{tcbMailPrimaryAddress}, \N{tcbMailAddress}) eingetragen,
+In bestehende Accounts werden nur die
-wenn Sie noch nicht vorhanden sind.  Andernfalls gehen wir davon
+Mail-Attribute (\N{cmsMailPrimaryAddress}, \N{cmsMailAddress})
-aus, daß es kein Neueintrag ist.
+eingetragen, sofern sie nocht nicht vorhanden sind.
-\begin{quote}
+\Linux{\C{ma \U{account} \U{--add} --fullname='Hans Hanson' --other='hh' hans}}
-\T{ma \U{account} \U{--add} --fullname='Hans Hanson' --other='hh' hans.hanson}
-\end{quote}
+Als primäre Mailadresse wird der Nutzername + \N{cms.de} angenommen.
 Weitere Optionen sind:
 \begin{description}
 \item[\T{--address=s}]  Primäre Mailadresse (default: entspricht dem Account-Namen)
 \item[\T{--fullname=s}] Klartext-Name (default: -)
 \item[\T{--other:s}]  Weitere alternative Mailadressen für \emph{diesen\/} Nutzer (default: -)
-\item[\T{--imap\_quota=i}] Imap-Quota in MegaByte (default: 300\,MB)
+%\item[\T{--imap\_quota=i}] Imap-Quota in MegaByte (default: 300\,MB)
 \item[\T{--[no]mbox}]   Anlegen der Mailbox (default: Mailbox wird angelegt)
 \item[\T{--password=s}] Passwort (default: \{pwgen\}, d.h.\ es wird generiert und
-			      dann angezeigt)
+			    dann angezeigt)
 \item[\T{--group:s}] Zugehörigkeit zu Mailgruppen.
 \end{description}
-\subsubsection{Verändern}\label{ss:change}
+\subsubsection{Verändern}
+\label{ss:change}
 Vorhandene Einträge können natürlich auch verändert werden:
-\begin{quote}
+\Linux{\C{ma \U{account} \U{--modify} --fullname='Hans-Georg Hanson' hans.hanson}}
-\T{ma \U{account} \U{--modify} --fullname='Hans-Georg Hanson' hans.hanson}\\
-\end{quote}
+Für einige Attribute (primäre Adresse) ist nur ein Neusetzen
+möglich, für andere (z.B. Mailgruppen) auch eine kumulative
-Für einige Attribute ist eine kumulative Änderung möglich (z.B.
+Änderung.  Der Präfix \T{+} oder \T{-} ist wichtig, ohne den
-Hinzufügen von alternativen Namen), bei anderen (primary
+Präfix wird das Attribut \emph{genau\/} auf den angegebenen Wert
-Mailadresse) nur ein Verändern.  Der Präfix \T{+} oder \T{-} ist
+gesetzt:
-wichtig, ohne den Präfix wird das Attribut \emph{genau\/} auf den
-angegebenen Wert gesetzt:
+\Linux{\C{ma \U{account} \U{--modify} --also=+hans,-hh hans.hanson}}
+\Linux{\C{ma \U{account} \U{--modify} --also=h.hanson hans.hanson}}
-\begin{quote}
-\T{ma \U{account} \U{--modify} --also=+hans,-hh hans.hanson} \\
+Veränderbar sind die selben Optionen wie oben (Abschnitt \vref{ss:account}).\footnote{Außer die Mailbox-Option, das ist
-\T{ma \U{account} \U{--modify} --also=h.hanson hans.hanson}
-\end{quote}
-Veränderbar sind die selben Optionen wie oben
-(\ref{ss:account}).\footnote{Außer die Mailbox-Option, das ist
 noch nicht implementiert.}
 \subsubsection{Löschen}
-\emph{Vorsicht.\/}  Es wird rigoros der komplette LDAP-Eintrag
+\fbox{\emph{Vorsicht.\/}  Es wird rigoros der komplette
-gelöscht!  Und bei Bedarf die Mailbox.
+LDAP-Eintrag gelöscht!  Und eventuell die Mailbox.}
-\begin{quote}
+\Linux{\C{ma \U{account} \U{--delete} hans.hanson}}
-\T{ma \U{account} \U{--delete} hans.hanson}\\
+\Linux{\C{ma \U{account} \U{--delete} --nombox hans.hanson}}
-\T{ma \U{account} \U{--delete} --nombox hans.hanson}\\
-\end{quote}
+Die zweite Zeile würde die Mailbox bestehen lassen.  Optionen gibt es keine weiteren.
-Die zweite Zeile würde die Mailbox bestehen lassen.
-Optionen gibt es keine weiteren.
 \subsection{Aliase}
+Die Aliase dienen der Zuordnung von einzelnen Funktionsadressen
+(\N{postmaster}) zu bestimmten Accounts.
 \subsubsection{Anzeigen}
-Alle vorhandenen Aliase werden in einem bequemen
+Alle vorhandenen bzw. ein Teil der Aliase werden in einem bequemen \F{/etc/aliases}-Format ausgegeben:
-\T{/etc/aliases}-Format ausgegeben:
+\Linux{\C{ma \U{alias} --list}}
-\begin{quote}
+\Linux{\C{ma \U{alias} --list 'h*'}}
-\T{ma \U{alias} --list} \\
-\T{ma \U{alias} --list `h*'}
+Alias, die über Mailgruppen-Zuordnungen erfolgen, sind duch einen
-\end{quote}
+\qq{$\Rightarrow$} statt des Doppelpunktes gekennzeichnet.
 \subsubsection{Anlegen}
-Beim Anlegen wird der Eintrag nur gemacht, wenn er noch nicht
+Beim Anlegen wird der Eintrag nur gemacht, wenn er noch nicht vorhanden ist.
-vorhanden ist.
+Die Gruppenzuordnungen werden über den Account eines einzelnen
+Nutzers verändert.
-\begin{quote}
-\T{ma \U{alias} \U{--add} --members=hans,suse fam.ente}
+\Linux{\C{ma \U{alias} \U{--add} --members=hans,suse fam.ente}}
-\end{quote}
 Das trägt einen Alias \N{fam.ente} ein, der als Verteiler wirkt
 und die Mails an \N{hans} und \N{suse} weiterleitet.
 Weitere Optionen gibt es nicht.
 \subsubsection{Verändern}
-Zum Verändern gilt das selbe wie schon in~\ref{ss:change} zu den
+Zum Verändern gilt das selbe wie schon in
-Accounts.  Hinzufügen von Mitgliedern und Entfernen von
+Abschnitt~\vref{ss:change} zu den Accounts.  Hinzufügen von
-Mitgliedern ist möglich.  Dabei sind auch \qq{Masseneintragungen}
+Mitgliedern und Entfernen von Mitgliedern ist möglich.  Dabei sind
-möglich:
+auch \qq{Masseneintragungen} möglich:
-\begin{quote}
+\Linux{\C{ma \U{alias} \U{--modify} --members=+big.brother '*'}}
-\T{ma \U{alias} \U{--modify} --members=+big.brother '*'}
-\end{quote}
 \subsubsection{Löschen}
 Der gesamt Alias-Eintrag wird entfernt.
-\begin{quote}
+\Linux{\C{ma \U{alias} \U{--delete} fam.ente}}
-\T{ma \U{alias} \U{--delete} fam.ente}
-\end{quote}
 \subsection{Shared Mailboxen}
 \subsubsection{Anzeigen/Anlegen/Löschen}
 Alle vorhandenen Shared Mailboxen können mit einem einfachen
-\begin{quote}
+\Linux{\C{ma \U{shared} --list}}
-\T{ma \U{shared} --list} \\
+\Linux{\C{ma \U{shared} --list `h*'}}
-\T{ma \U{shared} --list `h*'}
-\end{quote}
 angezeigt werden.
 Anlegen und Löschen können mit \T{--add} bzw. \T{--del} erledigt werden.
 Die Zugriffsrechte zu den Mailboxen müssen derzeit per Hand geändert werden
-mit \T{cyradm}.
+mit \C{cyradm}.
-\section{Zugangsdaten}\label{p:Zugangsdaten}
+\section{Einstellungen für Clients}
-\index{Passwort}
+\begin{longtable}{lllr>{\raggedright}p{0.4\textwidth}}
-\subsection{LDAP}
+\bf Dienst &	& \bf Host & \bf Port & \bf Bemerkung \NL\hline
+\endhead
-\begin{tabular}{ll}
-Server:Port	    &	  mail.tcb.deutschepost.de:389 (Plain + STARTTLS)\\
+SMTP-Server & Post-Ausgang & daten.cms.de & 25
-			    &	  mail.tcb.deutschepost.de:636 (SSL) \\
+& Authentifizierung ist notwenndig; TLS (nicht SSL!) ist notwendig \NL
-Base-DN		    &	  \T{dc=tcb,dc=deutschepost,dc=de} \\
-Admin-User (Bind-DN)  &	  \T{cn=admin,dc=tcb,dc=deutschepost,dc=de}\\
+POP3-Server & Post-Eingang  & daten.cms.de & 110
-Admin-Passwort	    &	  \T{anfang} \\
+& auf diesem Port ohne Verschlüsselung, wird früher oder später
-\end{tabular}
+	abgeschaltet, nicht aus dem Internet erreichbar \NL
-\subsection{IMAP}
+POP3s-Server & Post-Eingang  & daten.cms.de & 995
+& SSL-Verschlüsselung (nicht TLS!) \NL
-\begin{tabular}{ll}
-Server:Port	    &	  mail.tcb.deutschepost.de:143 \\
+IMAP-Server & Post-Eingang  & daten.cms.de & 143
-Admin-User	    &	  \T{cyrus} \\
+& auf diesem Port ohne Verschlüsselung, wird früher oder später
-Admin-Passwort	    &	  \T{anfang} \\
+	abgeschaltet, nicht aus dem Internet erreichbar  \NL
-Korrespondierender LDAP-Eintrag &	\T{uid=cyrus,ou=Cyrus,\dots} \\
-\end{tabular}
+IMAPs-Server & Post-Eingang  & daten.cms.de & 993
+& SSL-Verschlüsselung (nicht TLS!) \NL
-Um die nervigen Fragen nach Passworten\index{Passwort} für LDAP und IMAP zu umgehen,
-können die Passworte in Umgebungsvariablen abgelegt werden: \T{export
+Webmail-Server  & & \multicolumn{2}{l}{https://daten.cms.de/webmail} & \NL
+Listen-Server	  & Mail-Verteiler & \multicolumn{2}{l}{https://daten.cms.de/mailman} & \NL
+\end{longtable}
+\section{Zugangsdaten}
+\label{p:zugangsdaten}
+\begin{longtable}{ll}
+\bf Eigentschaft	& \bf Wert \NL\hline
+\endhead
+\multicolumn{2}{l}{\bf LDAP-Server} \NL
+Server:Port		&	  daten.cms.de:636 (ldaps) \\
+Base-DN			&	  \T{dc=cms,dc=de} \\
+Admin-User (Bind-DN)	&	  \T{cn=admin,dc=cms,dc=de} \\
+Admin-Passwort		&	  \T{x} \\[1em]
+\multicolumn{2}{l}{\bf IMAP-Server} \NL
+Server:Port		&	  daten.cms.de:143 (Klartext) \\
+				&	  daten.cms.de:993 (imaps) \\
+	Admin-User		&	  \T{cyrus} \\
+	Admin-Passwort		&	  \T{x} \\
+	Korrespondierender LDAP-Eintrag &	\T{uid=cyrus} \\
+\end{longtable}
+Um die nervigen Fragen nach Passworten für LDAP und IMAP zu umgehen,
+können für \C{ma} die Passworte in Umgebungsvariablen abgelegt werden: \T{export
 IMAP\_PASS=XXX} und \T{export LDAP\_PASS=XXX}.
-\printindex
+% \printindex
 \vfill
 Stand: \verb!$Id: manual.tex 1501 2005-11-04 06:22:25Z heiko $!\\
 Quelle: \verb!$URL: https://svn.schlittermann.de/is/mailAdmin/trunk/manual.tex $!

branch	cms
changeset 24	255598cae35f
parent 8	5e9d46863588
child 25	9ea86b754408