Das Artfiles Mailsystem 2020

Wie jede Technik im Internet ist auch unser Mailsystem ständiger Veränderung und Anpassung an neue Entwicklungen unterworfen. Seit wir 2015 unser Mailsystem V3 in Betrieb genommen haben, hat sich viel getan, und so gibt es für uns auch im Frühjahr 2020 interessante Neuerungen zu verkünden – weitere werfen bereits ihre Schatten voraus.

Aber der Reihe nach:

E-Mail Backup & Restore

Bereits zum Jahresanfang angekündigt, wollen wir hier noch mal die Kernelemente des neuen Backupsystems vorstellen.

Unsere Mailstorage- und Abrufserver sind redundant ausgelegt und synchronisieren laufend ihren Datenbestand per DRBD auf ihren passiven Standby-Server. So ist sichergestellt, dass auch bei einem Hardwaredefekt die Ausfallzeit im Bereich weniger Minuten bleibt, und keine E-Mails verloren gehen können.

Der Standby-Server erzeugt alle zwei Stunden einen Snapshot des Datenbestandes, der dann vier Stunden vorgehalten wird. Dies dient zur Absicherung gegen eventuell manuell versehentlich gelöschte Daten.

Einmal täglich wird aus dem jeweils aktuellen Snapshot ein Offline Backup auf einen separaten Backup Server gezogen. Dieser Server speichert dann alle Daten jeweils 28 Tage lang. Die Backupserver stehen grundsätzlich physisch und logisch getrennt von den Mailservern, so dass Sie den Datenbestand auch gegen katastrophale Ereignisse wie Brand, Diebstahl oder Hackerangriffe absichern.

Im DCP können aus dem Offline Backup nun sowohl einzelne E-Mails als auch ganze Ordner und Accounts zum Restore ausgewählt werden. Diese werden dann vom Backupserver im Hintergrund eingespielt.

Im Unterschied zu den Lösungen anderer Anbieter sorgt das Artfiles Backupsystem dafür, dass wiederhergestellte Mails mit eventuell noch vorhandenen aktuellen Mails zusammengeführt werden. Dadurch bleiben auch die seit dem letzten Backup eingegangenen Mails erhalten und werden nicht überschrieben.

IMAPSync

Ab sofort ist es möglich, im DCP Mails zwischen verschiedenen IMAP Konten zu synchronisieren. Auf diese Weise können Sie beim Umzug Ihrer E-Mail-Konten von einem anderen Anbieter zu Artfiles bequem die E-Mails aus Ihrem alten Postfach zu Artfiles übertragen. Genauso wie beim E-Mail-Restore werden übertragene E-Mails mit bereits vorhandenen abgeglichen, so dass sich diese Funktion auch für das Zusammenführen von mehreren Accounts in einen einzelnen nutzen lässt.

Die Übertragung selbst findet transparent im Hintergrund statt, so dass sowohl Quell- als auch Zielaccount währenddessen uneingeschränkt nutzbar bleiben.

Informationen zur Nutzung der IMAPSync Funktion finden Sie ind er DCP Hilfe zum Thema.

Per Account Konfiguration

Ab sofort kann jeder E-Mail-Nutzer bei Artfiles seine E-Mail-Einstellungen selbst verwalten. Unter https://email.artfiles.de bzw. https://email.dcpserver.de steht ein Interface bereit, in dem je nach Berechtigungslevel alle Einstellungen, oder nur Autoresponder und Passwort geändert werden können. Der Berechtigungslevel kann im DCP Accountweit konfiguriert werden. Später wird im Rahmen weiterer Anpassungen im DCP auch eine feinere Kontrolle möglich sein.

Ausblick

Derzeit arbeiten unsere Entwickler an der Integration einer Lösung zur rechtssicheren E-Mail-Archivierung in unser Mailsystem bzw. ins DCP. Diese soll noch im zweiten Quartal 2020 online gehen. Außerdem überarbeiten wir derzeit das System unserer Mailausgangsserver, um auch in Zeiten immer aggressiver auftretender Spammer bzw. den Gegenmaßnahmen gegen diese einen zuverlässigen und sicheren Versand gewährleisten zu können. Auch diese Arbeiten sollen im zweiten Quartal abgeschlossen werden.

Mailsystem V3

Elbphilharmonie

Es ist vollbracht. Knapp aber letztlich doch chancenlos haben wir das Rennen um das am schlimmsten aus dem Zeitplan gelaufene Projekt diesseits der Elbe gegen die Elbphilharmony verloren. Dort ist erst im Januar feierliche Eröffnung. Wir sind fertig:

Das Projekt Artfiles Mailsystem V3 ist abgeschlossen.

Die Idee für ein von Grund auf neu konzipiertes Mailsystem geht bereits zurück auf das Jahr 2007: Das von uns eingesetzte Qmail war zu diesem Zeitpunkt gerade zehn Jahre alt geworden und von halboffiziellen Patches und eigenen Anpassungen so überwuchert, dass eine Weiterentwicklung nicht mehr sinnvoll erschien.

So reifte der Entschluss, ein neues Mailsystem auf Basis von Exim zu entwickeln.

Mailsystem V2

Aber während einige Komponenten wie Mailein- und ausgangsserver leicht ausgetauscht werden konnten, erwiesen sich Mailzustellung und -abruf als erstaunlich hartnäckig.

Als größtes Problem zeigte sich wie erwartet unser Anspruch, die Umstellung praktisch ohne Beeinträchtigung der Benutzer durchzuführen. Bei schon damals mehr als einhunderttausend Mailboxen war es undenkbar, den Benutzern Änderungen aufzuzwingen.

Also haben wir viel experimentiert, implementiert und getestet, aber letztlich ließ sich keine zufriedenstellende Lösung finden. Und mangels größerer Probleme mit unserem alten Mailsystem gab es natürlich auch immer wieder Projekte, die das neue Mailsystem von der Spitze der Todo Liste verdrängt haben.

Zwischenzeitlich wurde dann mal das Webmail von Squirrelmail auf Roundcube aktualisiert und alte Storageserver durch neuere ersetzt. Auch für die Redundanz wurde viel investiert, aber der Kern des alten Mailsystems blieb bestehen.

Es muss etwas passieren

Das änderte sich erst im Frühjahr 2015: Vor allem die Courier IMAP Software begann uns ernsthafte Probleme zu machen. Viele neuere Mailprogramme unterstützten nun IMAP Erweiterungen, die Courier schlicht nicht beherrschte, und die auch nicht mehr nachzurüsten waren. Also musste gehandelt werden.

Als neue POP3 und IMAP Software wurde Dovecot auserkoren. Zusammen mit Amavis sollte Dovecot auch die Mailzustellung in die Postfächer übernehmen. Damit sollte dann gleich auch die Konfiguration der Mailboxen in die Datenbank verlegt werden. Bisher befand sie sich nur zum Teil dort und zum Teil in .qmail Dateien auf den Storage Servern.

Die Implementierung der geplanten Lösung erwies sich leider als etwas schwieriger als gedacht. Das lag vor allem an der etwas undurchsichtigen Struktur von Amavis und der mangelhaften Dokumentation. Letztlich konnte aber im Herbst 2015 eine funktionierende Plattform für Mailzustellung und Abruf in den Testbetrieb gehen.

Aus leidvoller Erfahrung mit defekten Raidcontrollern und “alle Jahre wieder” auftretenden Ausfällen von Storage Servern, entschieden wir uns für ein vollständig redundantes System für die Speicherung und den Abruf von Mails. Zunächst wurde es auf basis von Xen und Btrfs auf jeweils zwei per DRBD verbundenen Servern realisiert.

Leider zeigte sich jedoch relativ schnell, dass dieser doch recht komplexe Stack den harten Anforderungen des Livebetriebs nicht gewachsen war. Zudem erwies sich Btrfs als nicht ausgereift und sorgte mit vielen Problemen für reichlich graue Haare bei den Admins.

Also haben wir noch mal einen Gang zurück geschaltet und stattdessen auf Bewährtes gesetzt. Jetzt werden die Mails wieder in einem Ext4 Dateisystem gespeichert, das auf einem per LVM partitionierten DRBD aufsetzt. Es gibt keine Virtualisierung mehr, sondern “traditionelle” Hochverfügbarkeit.

Nachdem diese Lösung im Frühjahr endlich betriebsbereit war, ging es an die Umstellung der Mailboxen vom alten in das neue System. Dies nahm nochmals einige Wochen in Anspruch und war im Mai dann endlich abgeschlossen.

Fast fertig

Damit war das neue Mailsystem im Grunde komplett soweit es die Mailboxen betraf.

Ein letzter Querulant aber hörte nicht auf, der Umstellung Widerstand zu leisten: Die Mailinglisten. Diese werden bei uns sozusagen seit Anbeginn der Zeit mit Ezmlm betrieben und sind dadurch praktisch untrennbar mit Qmail verzahnt.

Also wurde der Plan gefasst, eine saubere, auf die reine Mailinglistenfunktion reduzierte Qmailinstallation zu schaffen. Wie nicht anders zu erwarten steckte auch hier der Teufel im Detail. Aber schließlich konnte am 23. August der neue Mailinglistenserver online und der letzte “alte” Qmail Server nach über 15 Jahren endlich offline gehen.

Status Quo

Eine Übersicht über den Mailzustellungsprozess gibt es hier: Artfiles Mail V3

Im Unterschied zu den dort skizzierten Plänen hat unser Mailsystem noch mal deutlich an Sicherheit und Verfügbarkeit gewonnen: es gibt jetzt eine redundante Speicherung sämtlicher Mails auf zwei Storage Servern, die sich in verschiedenen Brandabschnitten des Rechenzentrums befinden. Von diesem Redundanten Datenbestand werden alle drei Stunden Snapshots gezogen, die eine möglichst zeitnahe Wiederherstellung ermöglichen.

Zusätzlich werden vom jeweils aktuellsten Snapshot täglich die Daten auf ein drittes, unabhängiges System gesichert. Diese Sicherungen werden mindestens 28 Tage aufbewahrt.

Ausblick

Auch wenn nun ein Meilenstein erreicht ist, arbeiten wir selbstverständlich kontinuierlich weiter an der Verbesserung des Mailsystems. Als nächstes wollen wir den Benutzern die Möglichkeit geben, selbst Mails aus den backups wieder herzustellen. Derzeit muss das noch ein Administrator “zu Fuß” tun.

Außerdem möchten wir den Benutzern mehr Konfigurationsmöglichkeiten für Ihre jeweiligen Accounts geben, ohne dass sie dafür das DCP bemühen müssen.

Beides ist bereits in Arbeit, die Realisierung wird aber noch einige Zeit in Anspruch nehmen – voraussichtlich aber nicht wieder fast zehn Jahre…

Artfiles Mail V3

Das Artfiles Mailsystem wird von Grund auf erneuert. Nach mehreren Monaten Entwicklungszeit und ausführlichen Tests wird ab dem 1.1.2016 das Mailsystem V3 ausgerollt. Die wichtigsten Neuerungen im Überblick:

  • Umstellung von Courier auf Dovecot IMAP
  • Unterstützung von XLIST Kommandos zur Ordnerverwaltung z.B. in Outlook
  • Sieve-Unterstützung: Filterung von Mails schon auf dem Server
  • Robustere Mailzustellung und höhere Verfügbarkeit
  • Bis zu 30 Tage Backup dreimal täglich

Hintergrund

Das Artfiles Mailsystem basiert seit dem Start vor nun mehr als 15 Jahren auf Qmail, Exim und Courier. Exim mit seine extrem vielfältigen Konfigurations- und Erweiterungsmöglichkeiten sorgt für den Transport ein- und ausgehender Mails, Qmail für die Zustellung und Filterung eingehender Mails. Courier stellt Abrufmöglichkeiten via POP3 und IMAP zur Verfügung.

Das "alte" Mailsystem schematisch
Das “alte” Mailsystem (V1) schematisch

Obwohl dieses System auch nach vielen Jahren immer noch stabil und sicher funktioniert, ist doch die Entwicklung mittlerweile an einigen Komponenten vorübergegangen: Qmail wird praktisch seit 1998 funktional nicht weiterentwickelt und auch Courier, obwohl noch aktiv entwickelt, lässt viele moderne Features, wie Sieve oder XLIST vermissen.

Aus diesem Grund haben wir uns für eine von Grund auf neu konzipierte Lösung entschieden: Als IMAP und POP3 Mailserver fungiert nun Dovecot. Das Scannen der Mails auf Viren und SPAM übernimmt Amavis direkt auf dem Mailboxsystem. Hierdurch wird die Zustellung von Mails besser als bisher parallelisiert. Hier lag eine Schwachstelle des alten Systems mit nur einer Qmail Instanz, die alle Mailboxserver mit Mails versorgen musste. So konnte ein kurzzeitig stark erhöhtes Mailaufkommen auf einzelnen Servern die Zustellung auch anderer Mails beeinträchtigen.

Das "neue" Mailsystem
Das “neue” Mailsystem (V3) schematisch

Ein weiterer, höchst erwünschter Nebeneffekt des neuen Systems ist die wesentlich bessere Nachvollziehbarkeit der Mailzustellungen bis hin zum Logging der Antivirus- und Spamfilter-Entscheidungen.

Die Server des neuen Systems sind entweder ihrerseits redundant ausgelegt, oder laufen als virtuelle Maschinen auf redundanter Hardware, so dass wir im Fehlerfall sehr schnell – teilweise sogar automatisch – den Betrieb wieder herstellen können. Da wir für die Mailspeicherung künftig auf BTRFS setzen, können wir eine einfache Backuplösung anbieten, die nahezu unbegrenzte Speicherpunkte ermöglicht. Zusätzlich wird ein Offline-Backup erstellt.

Durch die nun ausschließlich datenbankbasierte Konfiguration ergeben sich viele Konfigurationsmöglichkeiten, die wir im Laufe der nächsten Monate im DCP für Sie verfügbar machen werden.

Was bedeutet das für unsere Kunden

Sobald Ihre Domain(s) umgestellt sind, profitieren Sie automatisch von den zusätzlichen Features des neuen Mailsystems: Sie können Mails per Sieve filtern (dazu werden wir in den nächsten Wochen noch einen Artikel veröffentlichen). Wenn Sie IMAP nutzen, erkennt Ihr Mailclient automatisch die speziellen Ordner, die für z.B. gelöschte Mails, gesendete Mails oder Entwürfe vorgesehen sind. Insbesondere beim Zugriff mit mehreren Clients auf ein bestimmtes Postfach wird hierdurch die Einrichtung deutlich erleichtert.

In den nächsten Monaten werden wir zudem in einigen Tarifen die Möglichkeit anbieten, selbst Mails aus beliebigen Backups in das jeweilige Postfach zurückzuspielen.

Was ist aus Mail V2 geworden?

Wenn Sie sich fragen, warum auf Mail V1 direkt Mail V3 folgt – Mail V2 war als auf Basis von Exim selbst entwickeltes System zwar vielversprechend, wir haben es aber zugunsten einer weitestgehend auf Standardkomponenten basierenden Lösung verworfen.

Links

SIEVE

Local Mail Transfer Protocol (LMTP)

RFC6154 XLIST

BTRFS

Das neue Artfiles Webmail

Roundcube Loginscreen

Unter https://rc.artfiles.de können sie unser neues Webmail bereits seit ca. einem Jahr nutzen, jetzt machen wir ernst und schicken Squirrelmail mit etwas Verspätung in den wohlverdienten Ruhestand.

Warum?

Die Weiterentwicklung von Squirrelmail ist seit zwei Jahren praktisch eingeschlafen. Der derzeitige Entwicklungszweig wird nur noch von einer kleinen Community gepflegt und hat nach unserer Ansicht den Anschluss an moderne Entwicklungen verloren.

Roundcube

Wir haben uns für Roundcube als neue Webmail Lösung entschieden. Roundcube ist wie Squirrelmail ein Open Source Produkt und wird seit Jahren aktiv entwickelt. Roundcube bietet eine moderne HTML Oberfläche mit Drag and Drop, Ajax und umfassender Erweiterbarkeit durch Themes und Plugins.

Artfiles Webmail

Für unsere Roundcube Installation empfehlen wir das voreingestellte Litecube Theme, das eine schlanke Oberfläche sowohl auf dem Desktop als auch auf mobilen Geräten bietet. Wie schon im Squirrelmail bietet das neue Webmail in seinen Einstellungen die Möglichkeit, Passwörter zu ändern und Autoresponder zu konfigurieren.

Reseller

Reseller können über ihr DCP (unter E-Mail -> Webmail) ein eigenes Logo sowie einen eigenen Titel konfigurieren.

Für die beste Darstellung empfehlen wir eine Logogröße von ca 125×30 Pixeln.

DCP Webmail Settings

Logo und Titel werden aktiv, wenn das Webmail über eine eigene Domain unter dem jeweiligen Account aufgerufen wird.

Wenn sie keine eigene URL verwenden möchten, aber dennoch nicht auf webmail2.artfiles.de verweisen möchten, erreichen sie das neue Webmail auch unter webmail.dcpserver.de. Wir empfehlen dringend, die TLS Varianten zu nutzen:

https://webmail2.artfiles.de

https://webmail.dcpserver.de

Wenn sie eine eigene URL verwenden möchten, und diese TLS-sichern möchten, sprechen sie uns bitte an.

Die Umstellung

Zum 1.10.2015 werden wir Squirrelmail abschalten. Das bedeutet, dass wir einen Monat beide Systeme parallel anbieten, so dass sie sich und ihre Benutzer in Ruhe mit dem neuen Webmail vertrau machen können. Selbstverständlich steht ihnen unser Support jederzeit gerne bei Fragen und Problemen zur Seite.

Bei der ersten Anmeldung im neuen Webmail werden automatisch einige Informationen, wie z.B. Adressbucheinträge und persönliche Informationen übernommen. Nicht übernommen werden Kalendereinträge und Notizen.

Sobald Squirrelmail abgeschaltet wurde, ist das neue Webmail auch unter

https://webmail.artfiles.de

erreichbar.

Das Kleingedruckte

Die folgenden Funktionen von Squirrelmail werden im neuen Webmail nicht mehr zur Verfügung stehen:

  • Kalender
  • Notizen
  • Serverseitige GPG Integration

Kalender und Notizen lassen sich im Roundcube nur durch Plugins nachrüsten, welche die Stabilität und Wartbarkeit des Webmails nachhaltig verschlechtern. Da nur eine sehr geringe Anzahl von Kunden diese Funktionen nutzt, die auch im Squirrelmail ja nur sher Rudimentär vorhanden sind, haben wir uns entschlossen, sie ersatzlos zu streichen.

Mit der GPG Integration verhält es sich etwas anders. Hier haben wir aus grundsätzlichen Sicherheitserwägungen von einer serverseitigen Integration abgesehen. Es ist aus unserer Sicht nicht sinnvoll, geheime PGP Schlüssel auf unserem Webmail Server abzulegen. Stattdessen empfehlen wir die Nutzung von Mailvelope.

Mailvelope stellt über ein Browserplugin für Firefox und Chrome eine PGP Implementierung zur Verfügung, bei der die Ver- und Entschlüsselung auf dem Client stattfindet. So müssen keine Keys oder Passwörter zum Server übertragen oder dort gespeichert werden.

Email Spam Blacklisting – was es damit auf sich hat und wie wir damit umgehen.

 

Trotzdem die “E-Mail” seit vielen Jahren ein ausgereiftes und vielgenutztes Kommunikationsmedium ist, kann es in seltenen Fällen leider immer noch zu Problemen kommen, wenn es um den Versand oder den Empfang von Mails geht. Da können dann zum Beispiel wichtige E-Mails nicht versandt werden und der Mailserver des Empfängers gibt nur eine kryptische Fehlermeldung von sich und wehrt sich nach Kräften dagegen die Mail anzunehmen. Häufig steht in solchen Fehlermeldungen ein Verweis auf sogenannte Blacklists. Was es damit auf sich hat, ahnen Sie vielleicht schon: Das ewige Problem des Missbrauchs von E-Mails für Werbung, den sogenannten Spam. Im Folgenden wollen wir einmal kurz aufführen, was hier das Problem ist und was wir tun, um solche Probleme möglichst gar nicht erst entstehen zu lassen.

Continue reading “Email Spam Blacklisting – was es damit auf sich hat und wie wir damit umgehen.”

E-Mails bei Artfiles: mit Sicherheit

In den letzten Wochen wurden wir von unseren Kunden öfter nach der Sicherheit von E-Mails gefragt und was wir bei Artfiles dafür unternehmen, dass Dritte hier keinen Zugang bekommen. Das können wir zum Glück relativ eindeutig und klar beantworten: Wir setzen alles technisch Mögliche ein, um den Transport und die Speicherung der E-Mails sicher zu gestalten. Am einfachsten lässt sich das erklären, wenn man einmal den Transport einer E-Mail von Ihrem Computer zum Empfänger betrachtet.

Continue reading “E-Mails bei Artfiles: mit Sicherheit”