Den FB-MailService einrichten und konfigurieren

Um den FB-MailService einzurichten, gibt es zwei Ebenen: Einmal die Konfigurationsdatei zur Grundkonfiguration z. B. der Server und als zweite Ebene die Konto-Konfiguration über den Webservice (z. B. mit dem mitgelieferten WebServiceClient).

Die Konfigurationsdatei

Die Konfigurationsdatei befindet sich im Stammverzeichnis des FB-MailService und heißt "Config.ini". Diese Datei ist in vier Abschnitte untergliedert:

• POP3-Server
• SMTP-Server
• HTTP-Server
• Sonstige Einstellungen

Die Standardeinstellungen sind hier so gewählt, dass man eigentlich sofort loslegen kann, ohne die Konfigurationsdatei zu ändern, d. h. alle Server werden hochgefahren und hören an den Standard-Ports:

• POP3-Server an Port 110
• SMTP-Server an Port 25
• HTTP-Server an Port 80

Für die Einzelplatzausgabe reicht das in der Regel.

Lediglich wenn man auch die POP3S-, SMTPS- und HTTPS-Server haben will, muss man die Konigurationsdatei bereits jetzt editieren und die entsprechenden Einträge "Offer [...]S Server: " auf true setzen. Zudem muss dann auch der Pfad zu einem Keystore angegeben werden, wo die Zertifikate für die TLS-Server gespeichert sind. Außerdem müssen Format und Passwort des Keystores angegeben werden.
Um so ein Keystore zu generieren, kann das Keytool von Oracle benutzt werden. Dieses Keytool ist normalerweise im Bin-Verzeichnis einer Java-Distribution enthalten. Ausführliche Dokus zum Keytool (z. B. wie man vorhandene Zertifikate in einen Keystore packt) sind hier erhältlich:
http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytoo ...

Für den Hausgebrauch habe ich mir mit diesem Keytool unter Windows XP (JDK6) mit folgendem Aufruf einen Keystore gebastelt:

C:\Programme\Java\jdk1.6.0_26\bin>keytool.exe -genkeypair -alias test -validity 36500 -keyalg RSA -keystore Test_Keystore

Also erst in der Konsole in das Java-Bin-Verzeichnis wechseln und dann der Aufruf
keytool.exe -genkeypair -alias test -validity 36500 -keyalg RSA -keystore Test_Keystore:
Geben Sie das Keystore-Passwort ein: tescht
Geben Sie das Passwort erneut ein: tescht
Wie lautet Ihr Vor- und Nachname?
[Unknown]: [...]
Wie lautet der Name Ihrer organisatorischen Einheit?
[Unknown]: [...]
Wie lautet der Name Ihrer Organisation?
[Unknown]: [...]
Wie lautet der Name Ihrer Stadt oder Gemeinde?
[Unknown]: [...]
Wie lautet der Name Ihres Bundeslandes oder Ihrer Provinz?
[Unknown]: [...]
Wie lautet der Landescode (zwei Buchstaben) f³r diese Einheit?
[Unknown]: de
Ist CN=[...], OU=[...], O=[...], L=[...], ST=[...], C=de richtig?
[Nein]: ja

Geben Sie das Passwort f³r <test> ein.
(EINGABETASTE, wenn Passwort dasselbe wie f³r Keystore):

C:\Programme\Java\jdk1.6.0_26\bin>

Damit bekommt man eine Keystore-Datei mit Namen "Test_Keystore", im Format JKS und dem Passwort "tescht".

Hinweis: Am Ende muss die Eingabetaste gedrückt werden, damit für den Alias test dasselbe Passwort wie für den Keystore vergeben wird.


Der Pfad zur Keystore-Datei kann in der Konfigurationsdatei relativ zum Stammverzeichnis des FB-MailService angegeben werden. Wenn die Keystore-Datei also im Stammverzeichnis des FB-MailService liegt, reicht hier auch einfach nur die Angabe des Datei-Namens, also:

Path to keystore file: Test_Keystore
# Either JCEKS, JKS or PKCS12
Keystore format: JKS
Keystore password: tescht


Benutzer der Serverausgabe des FB-MailService müssen natürlich noch die Domain(s) angeben, für die der SMTP-Server des FB-MailService als Eingangsmailserver zuständig sein soll. Mehrere Domains werden mit einem Strichpunkt ; getrennt.

Wenn der FB-MailService als Eingangsmailserver Mails direkt empfängt, und an einen anderen Mailserver weiterleiten soll, kann dies sowie dieser Server hier angegeben werden unter Relay mails after filtering: und
Relay mails to:

Damit der direkte Mailversand reibungslos klappt, muss zudem der voll qualifizierte Netzwerkname des Rechners angegeben werden, auf dem der FB-MailService ausgeführt wird (der wird nämlich in der EHLO/HELO-Angabe verwendet). Das ist auch der Name, der im MX-Record eingetragen wird.

Bei der Einzelplatzausgabe kann dieser Netzwerkname auch geändert werden (d. h., die Änderung hat auch hier einen Effekt), jedoch reicht hier in der Regel die Voreinstellung "localhost", weil bei der Einzelplatzausgabe die Mails in der Regel über einen bestimmten SMTP-Server ("Smarthost") verschickt werden.

Was man noch ändern könnte, wäre die Domain des HTTP-Servers (am besten auf den eben erwähnten voll qualifizierten Netzwerknamen).

Wem der Sinn danach steht, kann und unter [Miscellaneous] (Verschiedenes) noch die Systemsprache ändern (zur Auswahl stehen de für Deutsch und en für Englisch) oder bestimmte DNS-Server angeben, die verwendet werden sollen.
Bei der Testversion des FB-MailService kann hier übrigens auch gesetzt werden, ob sich der FB-MailService wie eine Einzelplatzausgabe (Angabe von 0) oder wie eine Serverausgabe (Angabe von 1) verhalten soll.

Noch kurz für Leute, die mehrere Netzwerkkarten verbaut haben und den FB-MailService als Serverausgabe betreiben: Wenn gewünscht, kann bei der Serverausgabe unter Local IP address to bind [...] Server to: die lokale IP-Adresse der Netzwerkkarte angegeben werden, an die der jeweilige Server gebunden werden soll. Er hört dann nur an dieser Netzwerkkarte am angegeben Port auf eingehende Verbindungen - sonst (Angabe leer oder Einzelplatzausgabe) an allen vorhandenen Netzwerkkarten.

Und ein letzter Hinweis: Das Format, in dem die Config.ini-Datei gespeichert werden muss, ist UTF-8.

Die Konto-Konfiguration über den Webservice

Über den Webservice des FB-MailService können die Konten konfiguriert werden. Dazu wird am besten der mitgelieferte WebServiceClient verwendet. Um sich über den Webservice am FB-MailService anmelden zu können, muss darauf geachtet werden, dass in der Konfigurationsdatei die Einträge Offer HTTP Server: (bzw. Offer HTTPS Server:) und Offer web service: auf true stehen und der Port, auf den der HTTP-Server (bzw. HTTPS-Server) hört, für den WebServiceClient erreichbar ist (MailService muss gestartet sein, Firewalls beachten etc.).

Zunächst einmal müssen Konten angelegt werden. Zum massenhaften Anlegen von Konten kann auch der Konto-Assistent verwendet werden. Dazu später mehr.

Um Konten anzulegen, muss man sich mit dem Admin-Konto am Webservice anmelden. Das Admin-Konto ist immer vorhanden und kann nicht gelöscht werden. Es hat den Konto-Namen postmaster. Das Passwort des Admin-Kontos ist voreingestellt ebenfalls postmaster und muss nach der ersten Anmeldung über die Webschnittstelle oder den Webservice geändert werden.

Nach der Änderung des voreingestellten Passworts können nun über den Webservice (Tab "Admin-Operationen" im WebServiceClient) neue Konten angelegt werden. Dazu werden folgende Angaben gemacht:

• Kontoname des neuen Kontos
• Passwort des neuen Kontos
• Optional der Name eines Vorlagenkontos, von dem das neue Konto einige Einstellungen übernimmt
• Ob der Benutzer bei der ersten Anmeldung das Passwort ändern muss

Neben dem Hinzufügen neuer Konten sind mit dem Admin-Konto darüber hinaus noch folgende Operationen möglich:

• Alle vorhandenen Konten abrufen
• Konten löschen
• Das Passwort eines Kontos zurücksetzen
• Das Speicherkontingent für ein bestimmtes Konto setzen
• Das Speicherkontingent für alle vorhandenen Konten setzen
• Die Anzahl erlaubter Empfängeradressen pro Tag für ein bestimmtes Konto setzen
• Die Anzahl erlaubter Empfängeradressen pro Tag und Konto für alle Konten setzen

Nachdem ein Konto angeleget wurde, kann man sich sofort mit dem neuen Konto anmelden und es seinen Wünschen entsprechend konfigurieren. Folgende Operationen können mit jedem Konto über den Webservice ausgeführt werden:

• Anmelden
• Abmelden
• Verfügbare Sprachen abrufen
• Löschen des Kontos, mit dem man gerade angemeldet ist
• Ändern des Passworts des Kontos
• Speicherkontingent des Kontos abrufen
• Abrufen, ob gesendete Mails im Sent-Ordner gespeichert werden sollen
• Setzen, ob gesendete Mails im Sent-Ordner gespeichert werden sollen
• SMTP-Einstellungen abrufen => Smarthost verwenden oder direkt versenden; falls Smarthost, Angabe des SMTP-Kontos möglich
• SMTP-Einstellungen setzen => Smarthost verwenden oder direkt versenden; falls Smarthost, Angabe des SMTP-Kontos möglich
• Vorhandene Aliase des Kontos abrufen (nur bei der Serverausgabe relevant)
• Alias zum Konto hinzufügen (nur bei der Serverausgabe relevant)
• Aliase des Kontos löschen (nur bei der Serverausgabe relevant)
• Erlaubte Empfängeradressen des Kontos abrufen (nur bei der Serverausgabe relevant)
• Mailadresse zu den erlaubten Empfängeradressen des Kontos hinzufügen (nur bei der Serverausgabe relevant)
• Mailadressen von den erlaubten Empfängeradressen des Kontos löschen (nur bei der Serverausgabe relevant)
• Blacklist des Kontos abrufen
• Whitelist des Kontos abrufen
• Mailadresse zur Blacklist hinzufügen
• Mailadresse zur Whitelist hinzufügen
• Mailadressen von der Blacklist löschen
• Mailadressen von der Whitelist löschen
• Alle POP3-Konten abrufen
• Ein POP3-Konto abrufen
• POP3-Konto hinzufügen
• POP3-Konto ändern
• POP3-Konten löschen
• Mails für ein POP3-Konto abrufen
• Mails für alle POP3-Konten abrufen
• Vorhandene Ordner des Kontos abrufen
• Ordner anlegen
• Ordner löschen
• Alle Mails in einem Ordner abrufen
• Inhalt einer Mail abrufen
• Mails im Inbox-Ordner filtern
• Mails löschen
• Mails verschieben
• Einstellungen für die Betreff-Markierung abrufen => sollen Spam-Mails im Betreff markiert und zugestellt oder in den Spam-Ordner verschoben werden
• Einstellungen für die Betreff-Markierung setzen => sollen Spam-Mails im Betreff markiert und zugestellt oder in den Spam-Ordner verschoben werden
• Auto-Beantworten-Einstellungen abrufen (nur bei der Serverausgabe relevant)
• Auto-Beantworten-Einstellungen setzen (nur bei der Serverausgabe relevant)

All diese angebotenen Webservice-Operationen können mit dem mitgelieferten WebServiceClient des FB-MailService ausgeführt werden.

Der Konto-Assistent

Um eine große Anzahl von Konten möglichst komfortabel und schnell anlegen zu können, kann der Konto-Assistent verwendet werden. Dieser liest Benutzernamen (und Aliase) aus einer und die zugehörigen Passwörter aus einer anderen Textdatei ein und erstellt daraus die entsprechenden Konten.
Er wird über das Kontextmenü durch Klick auf den Menüpunkt "Konto-Assistent" oder den Konsolen-Befehl aa (für "Account Assistant") geöffnet.


In diesem Dialog kann der Pfad zu den zwei Text-Dateien angegeben werden, aus dem die Kontonamen und Passwörter für die neu anzulegenden Konten importiert werden sollen.
Die Kontonamen müssen in der Datei jeweils in einer eigenen Zeile stehen. Es darf sich bei diesen Einträgen nur um den lokalen Teil der Mailadresse handeln (ohne @-Zeichen und ohne die Domain).
Falls ein Konto Aliase hat, müssen diese, getrennt durch Tabulatoren, ebenfalls in dieser Zeile stehen. Der erste Eintrag einer Zeile wird als der Kontoname interpretiert, alle weiteren Einträge einer Zeile werden als Alias interpretiert. Trennzeichen zwischen den Einträgen einer Zeile ist, wie eben erwähnt, das Tabulator-Zeichen:

Konto1 Alias1_1 Alias1_2 Alias1_3
Konto2 Alias2_1 Alias2_2
Konto3
Konto4 Alias4_1
...

Die Passwörter werden aus der zweiten Datei importiert. Sie müssen in Klartext (nicht verschlüsselt) in der exakt gleichen Reihenfolge in der Passwort-Datei stehen, wie die Kontonamen in der Kontonamen-Datei.

Zudem kann ein Konto als Vorlage dienen. Dabei werden folgende Eigenschaften des Vorlagen-Kontos auf die neu angelegten Konten übertragen:

• Ob der Benutzer bei der nächsten Anmeldung am HTTP-Server (über die Webschnittstelle oder den Webservice) das Passwort ändern muss
• Die Einstellungen für die Betreff-Markierung
• Ob versandte Mails im \texttt{Sent}-Ordner gespeichert werden sollen
• Die Anzahl erlaubter Empfängeradressen pro Tag
• Das zugewiesene Speicherkontingent
• Die SMTP-Einstellungen

Durch Klick auf die Schaltfläche "Durchführen" werden die Kontonamen (und Aliase) und die Passwörter eingelesen und die neuen Konten angelegt. Nach Abschluss wird darüber informiert,

• ob alle Aliase dem jeweiligen Konto hinzugefügt werden konnten.
• ob alle Konten der Kontoauflistung hinzugefügt werden konnten.

Falls nicht alle Aliase und/oder Konten hinzugefügt werden konnten, sind die näheren Gründe dafür in der Protokolldatei zu finden.


Hinweise:

• Die Zeichencodierung der Kontonamen- und der Passwort-Datei muss UTF-8 sein.
• Falls ein Kontoname oder Alias bereits vorhanden ist, wird das betreffende Konto nicht hinzugefügt.
• Da das Admin-Konto bereits mit dem Erststart des FB-MailService vorhanden ist, kann also kein Konto oder Alias mit Namen "postmaster" hinzugefügt werden.
• Kontoname und Passwort dürfen nicht leer sein. Ist eines von beiden leer, wird kein Konto hinzugefügt und mit der nächsten Zeile fortgefahren.
• Bei Kontonamen (= Postfachnamen) und Aliasen muss es sich um gültige lokale Teile einer Mailadresse handeln (d. h., dass z. B. keine Umlaute darin vorkommen dürfen). Ist ein Kontoname kein gültiger lokaler Teil einer Mailadresse, wird das Konto nicht angelegt. Ist ein Alias kein gültiger lokaler Teil einer Mailadresse, wird er dem Konto nicht hinzugefügt.
• Wenn ein Vorlagenkonto verwendet wird und für dieses Vorlagenkonto konfiguriert wurde, dass das Passwort geändert werden muss, werden für alle neu angelegten Konten alle Anmeldevorgänge am SMTP- oder POP3-Server des FB-MailService mit einem Hinweis darauf abgelehnt.

Nur Anmeldevorgänge am HTTP-Server (über die Webschnittstelle oder den Webservice) sind für diese Konten dann möglich, wobei dort nur die Aktion "Passwort ändern" (oder "Abmelden") durchgeführt werden kann, bis das Passwort tatsächlich geändert wurde.
Erst nachdem das Passwort geändert wurde, kann man sich mit diesen Konten auch am SMTP- und POP3-Server des FB-MailService anmelden.

Den Mailclient konfigurieren

Für diesen Abschnitt gilt:

• SERVER steht für den voll qualifizierten Netzwerknamen des Rechners, auf dem der FB-MailService ausgeführt wird.
• POP3-PORT steht für den in der Konfigurationsdatei des FB-MailService angegebenen POP3-Port.
• POP3S-PORT steht für den in der Konfigurationsdatei des FB-MailService angegebenen POP3S-Port.
• SMTP-PORT steht für den in der Konfigurationsdatei des FB-MailService angegebenen SMTP-Port.
• SMTPS-PORT steht für den in der Konfigurationsdatei des FB-MailService angegebenen SMTPS-Port.
• BENUTZERNAME steht für den Kontonamen des FB-MailService-Kontos, mit dem man sich anmelden will.
• PASSWORT steht für das Passwort des FB-MailService-Kontos, mit dem man sich anmelden will.

Um einen Mailclient für die Benutzung mit dem FB-MailService zu konfigurieren, müssen im Mailclient folgende Einstellungen vorgenommen werden:

• Als POP3-Server muss SERVER eingetragen werden
• Als SMTP-Server muss SERVER eingetragen werden
• Als POP3-Port muss POP3-PORT eingetragen werden
• Als SMTP-Port muss SMTP-PORT eingetragen werden
• Als POP3-Benutzername muss BENUTZERNAME eingetragen werden
• Als POP3-Passwort muss PASSWORT eingetragen werden
• Als SMTP-Benutzername muss BENUTZERNAME eingetragen werden
• Als SMTP-Passwort muss PASSWORT eingetragen werden

Soll der "POP3 über SSL"-Port verwendet werden, muss als POP3-Port POP3S-PORT eingetragen werden (und der Port im Mailclient als "POP3 über SSL"-Port gekennzeichnet werden).

Soll der "SMTP über SSL"-Port verwendet werden, muss als SMTP-Port SMTPS-PORT eingetragen werden (und der Port im Mailclient als "SMTP über SSL"-Port gekennzeichnet werden).

Aus Gründen des Passwortschutzes sollten die Sicherheitseinstellungen für den Mailempfang und -versand so hoch wie möglich eingestellt sein (SSL-/TLS-Verschlüsselung, falls der FB-MailService entsprechend konfiguriert wurde; Nutzung sicherer Authentifizierungsmethoden).

POP3- und SMTP-Server des FB-MailService bieten dazu folgende sichere Verschlüsselungs- und Authentifizierungsmechanismen an:

• AUTH CRAM-MD5 (POP3 und SMTP)
• APOP (POP3)

Falls der FB-MailService entsprechend konfiguriert wurde (Keystores spezifiziert, ggf. TLS-Server angeboten), kann auch die gesamte Verbindung verschlüsselt werden, entweder

• per STLS- (POP3) bzw. STARTTLS-Befehl (SMTP) über die Standard-Ports, oder
• über die dafür vorgesehenen Ports: "POP3 über SSL"-Port (POP3S) bzw. "SMTP über SSL"-Port (SMTPS).

Zudem werden folgende nicht-sichere Authentifizierungsmethoden angeboten:

• AUTH PLAIN (SMTP)
• AUTH LOGIN (SMTP)
• USER/PASS (POP3)

Hinweis: Wurde eine SSL-/TLS-verschlüsselte Verbindung aufgebaut, ist die Anmeldung auch über eigentlich nicht-sichere Methoden sicher möglich, da das Passwort dann bereits verschlüsselt übertragen wird.
Der POP3-Server des FB-MailService kann so konfiguriert werden, dass eine Klartext-Anmeldung abgelehnt wird (Eintrag Refuse clear-text login commands: in der Konfigurationsdatei). Der Mailclient muss dann eine verschlüsselte Verbindung aufbauen. Andernfalls können keine Mails vom FB-MailService abgerufen werden.