Einige Provider haben Sender Policy Framework (SPF) aktiviert. Damit kann der empfangende Server erreichen, dass er nur noch Mails von Servern annimmt, die im SPF-Record der absendenden Domain eingetragen sind. Das sollte theoretisch SPAM verhindern. Mehr Informationen zu dem Problem unter https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/ .

Leider verhindert das auch alle Weiterleitungen von Mails der absendenden Domain. Eine Lösung für dieses Problem ist ein Umschreiben der Absenderadresse bei der Weiterleitung mittels Sender Rewrite Schema (SRS). Da Postfix dafür von Haus aus keine Komponenten mitbringt braucht man zusätzliche Software.

Im Web finden sich mehrere Projekte für diesen Zweck, die in der Regel mit einem zusätzlichen Dämon arbeiten:

Ich habe mich für postsrsd entschieden und bin der Anleitung unter https://seasonofcode.com/posts/setting-up-dkim-and-srs-in-postfix.html gefolgt.

zipper -i cmake
cd /tmp
wget https://github.com/roehling/postsrsd/archive/master.zipunzip -e master.zip
cd postsrsd-master
mkdir build
cd build
cmake -DCMAKE_INSTALL_PREFIX=/usr ../
make
sudo make install

Der letzte Befehlt hat dann folgende Aktionen ausgelöst:

[100%] Built target postsrsd
Install the project...
-- Install configuration: ""
-- Installing: /usr/sbin/postsrsd
-- Installing: /usr/share/doc/postsrsd/README.md
-- Installing: /usr/share/doc/postsrsd/README_UPGRADE.md
-- Installing: /usr/share/doc/postsrsd/main.cf.ex
-- Chroot jail: /usr/lib/postsrsd
-- Installing: /etc/default/postsrsd
-- Installing: /etc/systemd/system/postsrsd.service
-- Generating secret key
-- Installing: /etc/postsrsd.secret

Danach waren die notwendigen Dateien vorhanden. Ein

service postsrsd status

liefert aber die Fehlermeldung:

systemd[1]: [/etc/systemd/system/postsrsd.service:13] Unknown lvalue 'RuntimeDirectory' in section 'Service'

Anscheinend gibt es den Wert RuntimeDirectory in der auf dem Server vorliegenden Version von Systemd noch nicht https://www.freedesktop.org/software/systemd/man/systemd.exec.html . Konsequenterweise startet des Dämon auch nicht, ich musste erst das Verzeichnis /run/postsrsd/ per Hand anlegen.

Danach muss man dann noch die Postfix-Konfiguration zu erweitern, dass der neue Dämon auch eingebunden wird:

sender_canonical_maps = tcp:localhost:10001
sender_canonical_classes = envelope_sender
recipient_canonical_maps = tcp:localhost:10002
recipient_canonical_classes= envelope_recipient,header_recipient

Ich muss das alles einmal in Ruhe testen.

Weitere Anleitungen, die ich testen will:

Will man seine eMails signieren oder verschlüssen, so benötigt man ein passendes Paar aus öffentlichem und privatem Schlüssel. Aktuell gibt es dafür zwei unterschiedliche Systeme:

  • PGP
  • S/MIME

Bei dem ersten Verfahren erzeugt man das Schlüsselpaar in der Regel auf dem eigenen Rechner und benutzt dazu die Software GNUPG. Das System ist vollkommen kostenlos, man muss sich aber selber darum kümmern den eigenen öffentlichen Schlüssel bekannt zu machen, bzw. die öffentlichen Schlüssel der Kommunikationspartner zu bekommen. Erleichtert wird der Schlüsselaustausch durch öffentliche Server wie pool.sks-keyservers.net, subkeys.pgp.net und pgpkeys.pca.dfn.de. Normalerweise erfolgt die Kommunikation mit den Keyservern über Port 11371, falls der nicht benutzbar ist gibt es auch Webfrontends, z.B. http://wwwkeys.de.pgp.net/. Eine Beschreibung findet sich auf den Seiten von Enigmail dem OpenPGP Plugin für Thunderbird.

Das zweite Verfahren ist hierarchisch organisiert. Hier gibt es zentrale Zertifizierungsstellen, die die öffentlichen Schlüssel aufbewahren und verteilen. Diese zentralen Stellen sind in der Regel in den Mail-Programmen und Browsern bereits eingetragen, so dass die Schlüssel ohne weitere Interaktion bezogen werden. Schickt man eine mit solche einem Schlüssel signierte Mail, so kann die Software des Empfängers die Gültigkeit der Signatur automatisch überprüfen.

Leider sind S/MIME Zertifikate in der Regel kostenpflichtig. Es gibt aber einige Anbieter, die Privatleuten kostenfreie S/MIME Zertifikate der Cass 1 anbieten. Bei Class 1 ist nur die Mail-Adresse überprüft. Bisher habe ich folgende Anbieter mit entsprechenden Angeboten finden können:

Eine sehr schöne Anleitung für den Umgang mit S/MIME findet sich unter www.thunderbird-mail.de.

Nachtrag vom 28.8.2011:

Unter https://www.startssl.com/ ist ein weiterer Anbieter für Mail-Zertifikate zu finden, hier gibt es auch kostenfreie SSL-Server-Zertifikate.