© alphaspirit, 123RF

Viele Unternehmen kommen um den Betrieb eines eigenen Mailservers nicht herum. Diese Firmen adressiert Proxmox mit seinem Mailgateway – und verspricht wirksamen Schutz gegen Spam und Viren.

Der Betrieb eines Mailservers ist kein Kinderspiel – das weiß jeder, der sich dieser Aufgabe schon mal gegenüber sah. Viele Unternehmen delegieren sie deshalb an Anbieter wie Google. Das geht ganz leicht: Es genügt, für alle betroffenen Mitarbeiter einen Google-Apps-Account anzulegen, die Domäne dort zu konfigurieren und deren MX-Einträge im DNS-System auf die Mailserver von Google zeigen zu lassen – fertig.

Die zu erwartenden Vorteile sind etwa eingebaute Antispam-Maßnahmen oder Virenschutz. Wer den Google-Dienst für Mails schon mal benutzt hat, weiß: Spam schafft es hier so selten in die Mailbox, dass sofort auffällt, falls eine solche Mail doch mal durch den Filter rutscht.

Das Auslagern von Mails an große Anbieter ist aber nicht der Königsweg, der für jedes Unternehmen funktioniert. Oft stehen Compliance-Anforderungen einem Umzug der eigenen Maildienste in die Cloud entgegen. Und tatsächlich gibt es gute Gründe dafür, die eigenen Mails nicht bei einem Anbieter wie Google zu lagern, zumal das Gros der Mails bis heute unverschlüsselt über den Äther geht und so für jeden in der Zustellkette leicht zu lesen ist.

Mühsame Arbeit

Wer trotzdem einen eigenen Mailserver betreiben möchte, muss sich um den Schutz vor Spam und Viren selbst kümmern. Zwar ist es nicht sonderlich kompliziert, auf einem Host Postfix [1] aufzusetzen und MX-Einträge entsprechend zu ändern. Aber das Zusammenspiel von Postfix mit verschiedenen Diensten wie Clam AV [2], Spam Assassin [3] und Amavis [4] so einzurichten, dass es funktioniert und zum Beispiel auch einen Bayes-Filter selbst trainiert, erfordert schon einigen Aufwand. Hinzu kommen noch neuere Dienste und Funktionen, etwa das Sender Policy Framework (SPF, [5]), die ebenfalls in das Mailsetup integriert sein wollen.

An die Admins, die einen Mailserver zwar selbst betreiben müssen, sich den Spam- und Virenschutz jedoch schenken wollen, richtet sich das Proxmox-Mailgateway. Es verspricht ein transparenter Filter für Spam und Viren zu sein. Kürzlich veröffentlichte die Wiener Softwarefirma Proxmox die Version 5.0 ihres Produkts. Erstmals ist das Proxmox-Mailgateway nun unter der AGPL lizenziert. Grund genug nachzusehen, ob es Mailadmins tatsächlich die Arbeit erleichtert. Oder handelt es sich um Schlangenöl?

Wie das Konzept funktioniert

Zwar rückt das Proxmox-Mailgateway durch die Veröffentlichung unter einer freien Lizenz stärker ins Interesse der Öffentlichkeit, doch neu ist weder das Produkt noch das Konzept der Lösung. Dies besteht darin, in den Prozess des Mailversands einen Proxyserver so einzubauen, dass es nicht auffällt.

Offenbar wollte man im Hause Proxmox aber verhindern, dass Kunden das Proxmox-Mailgateway als Zielserver für ihre eingehenden Mails eintragen und damit als Quasi-Mailserver betreiben. Aus Anbietersicht ist das schlau: In vielen Unternehmen existieren ja schon umfassende Maillösungen, etwa auf Basis von Postfix oder Exchange.

Wer diese ablösen will, müsste eine Mailserver-Appliance bauen, die mit allen existierenden Mailserver-Geschmacksrichtungen zurechtkommt. Der Ansatz des Proxmox-Mailgateways ist smarter: Es begnügt sich damit, den eingehenden Mailverkehr abzufangen, zu untersuchen und dann an den eigentlichen Mailserver weiterzuleiten.

Dazu installiert der Admin des Unternehmens das Produkt zunächst auf einem separaten Server und konfiguriert im Anschluss seine Firewall so, dass sie Mailtraffic an das Mailgateway von Proxmox weiterleitet. Sobald die Mails beim Mailgateway eingehen, untersucht sie dort eine Armada verschiedener Programme und gibt sie, falls kein Grund für die Zurückweisung der Mail zu finden ist, schließlich an den eigentlichen Mailserver weiter (Abbildung 1).

Abbildung 1: Das Proxmox-Mailgateway schaltet sich zwischen Firewall und den lokalen Mailserver und untersucht Mails im Transit.

Dieses Konzept funktioniert freilich nur für eingehende E-Mails und nicht für jene E-Mails, die Mitarbeiter des Unternehmens versenden. Deren Schutz ist allerdings ebenso wichtig wie der vor eintrudelnden Viren: Versendet ein Amok laufender Client zum Beispiel reihenweise Spam-Mails über die IP-Adresse des Firmen-Mailservers, ist die Reputation eben jener IP schnell vernichtet – und andere Mailserver lehnen Mails dieses Systems möglicherweise auf Basis von Blacklisten automatisch ab.