Das Postamt zieht um
Ein neues Mailsystem für die Uni Wien

von Peter Marksteiner (Ausgabe 06/2, Juni 2006)

 

Kasten: Das neue "Postverteilerzentrum" der Universität Wien

Warum ein neues Mailsystem?

Seit im Comment 94/2 das "Mailbox-Service" zum ersten Mal vorgestellt wurde (siehe Das Mailbox-Service des EDV-Zentrums), haben sich die Anforderungen an ein Mailsystem vervielfacht. Heute gehört Electronic Mail zur grundlegenden Kommunikations-Infrastruktur - ein zuverlässiges Mailsystem wird genauso als selbstverständlich vorausgesetzt wie die Wasserversorgung.

Um den wachsenden Ansprüchen gerecht zu werden, musste das Mailsystem der Universität Wien ständig weiterentwickelt werden: In fast jeder Ausgabe des Comment gab es mindestens einen Artikel zum Thema Mailing, und laufend wurde über Neuerungen berichtet. Schon mehrmals war von einem "neuen Mailbox-Rechner" zu lesen; inzwischen gibt es schon lange keinen Mailbox-Rechner mehr, stattdessen sorgt rund ein Dutzend Server für die reibungslose Abwicklung des Mailverkehrs. Vor acht Jahren wurde im Comment 98/2 noch die Frage gestellt: Viren über eMail - Gefahr oder Gerücht? Heute ist klar, dass die Gefahren real sind, und verlässliche Maßnahmen zur Abwehr von Viren sind unumgänglich, ebenso wie eine effiziente Spambekämpfung.

Trotz aller Erneuerungen, Erweiterungen und Umbauten des universitären Mailsystems wurde dessen grundlegende Achitektur unverändert beibehalten. Dabei haben sich im Laufe der Jahre einige Altlasten angesammelt. Wenn ein Haus zu klein wird und auch sonst nicht mehr den Anforderungen der Zeit genügt, kann man sich lange Zeit mit Um- und Ausbauten behelfen: Aus dem Dienstbotenzimmer wird ein Bad, der Dachboden wird ausgebaut, ein Schuppen wird zur Garage usw. Irgendwann nützt aber alles nichts mehr, und ein Neubau ist erforderlich. Das Mailsystem der Uni Wien ist an diesem Punkt angelangt: Alle Komponenten - Architektur, Hardware, Software - wurden erneuert.

Nach außen sollte von der Umstellung möglichst wenig zu merken sein: Alles, was bisher funktioniert hat, sollte - ohne Änderungen an Einstellungen in Mailprogrammen - auch weiter funktionieren.1) Deshalb wurde so verfahren, wie es manchmal beim Umbau von denkmalgeschützten Häusern geschieht: Die Fassade wurde stehengelassen, aber dahinter blieb kaum ein Stein auf dem anderen.

Eine so radikale Umstellung erfordert selbstredend eine gründliche Vorbereitung. Das neue Mailsystem wurde daher im Laufe von mehreren Monaten parallel zum bestehenden aufgebaut und gründlich getestet. Eine schrittweise Inbetriebnahme war hier nicht möglich; das System wurde vielmehr am Vormittag des 16. Juni 2006 durch die Änderung der entsprechenden Nameserver-Einträge aktiviert, die nur wenige Minuten in Anspruch nahm. Nach einigen kleinen Nachbesserungen läuft das System seither ohne Probleme.

Was ist anders?

Wie das neue Mailing technisch funktioniert, wird im Kasten Das neue "Postverteilerzentrum" der Universität Wien vom Architekten des Systems, Wolfgang Breyha, beschrieben. Im Folgenden ist kurz zusammengefasst, welche Erweiterungen und Features das System bietet:

Neuer Spamfilter

Dem komplett erneuerten Spamfilter ist ein eigener Artikel gewidmet (siehe Wenn der Postmann zweimal klingelt).

Verschlüsselte Übertragung

Als die im Mailing verwendeten Übertragungsprotokolle2) erfunden wurden, dachte noch niemand daran, eine Verschlüsselung vorzusehen. Es stellte sich jedoch bald heraus, dass dies problematisch ist, besonders dort, wo Passwörter übertragen werden. Deshalb wurden nachträglich verschlüsselte Erweiterungen definiert, von denen es zwei Varianten gibt:

  • Das gesamte Protokoll wird verschlüsselt. Für verschlüsselte Übertragungen wird ein anderer Port verwendet als für unverschlüsselte.

  • Die beiden "Gesprächspartner" (Client und Server) beginnen ihren Dialog unverschlüsselt, können sich aber darauf einigen, verschlüsselt fortzufahren. Dies geschieht mit Hilfe des Befehls STARTTLS, weshalb diese Variante in vielen Mailprogrammen TLS genannt wird, während die durchgehend verschlüsselte als SSL bezeichnet wird (siehe Abb. 1) - eine reichlich verwirrende Nomenklatur, da TLS eigentlich ein Synonym für neuere Varianten von SSL ist (mehr über Transport Layer Security und Secure Sockets Layer erfahren Sie im Artikel Was ist TLS/SSL?).

Teilweise konnten die verschlüsselten Protokolle schon bisher verwendet werden. Mit dem neuen Mailsystem wird nun aber eine flächendeckende Unterstützung für verschlüsselte Übertragung angeboten:

  • Der SMTP-Server MAIL.UNIVIE.AC.AT unterstützt TLS. Dieser Server dient im neuen Mailsystem allen Universitätsangehörigen - auch Studierenden - als Server für ausgehende Mail. (Der bisherige SMTP-Server für Studierende, MAIL.UNET.UNIVIE.AC.AT, kann weiterhin verwendet werden, unterstützt jedoch keine Verschlüsselung und Authentifizierung.)

  • Die Server für eingehende Mail - IMAP.UNIVIE.AC.AT (für UniversitätsmitarbeiterInnen) und IMAP.UNET.UNIVIE.AC.AT (für Studierende) - unterstützen die verschlüsselte Variante des IMAP-Protokolls und, sofern gewünscht, auch des POP-Protokolls.

Zu beachten ist, dass die Verschlüsselung in allen Fällen nur den Transport betrifft - am Mailserver werden die Nachrichten unverschlüsselt gespeichert. Soll die Nachricht selbst kryptisiert werden, benötigt man spezielle Programme wie z.B. PGP (die selbstverständlich verwendet werden können, für die der Zentrale Informatikdienst aber derzeit keinen Support bietet).

Authentifizierung beim Mailversand

Zum Versenden von eMail ist, anders als beim Abholen, meist keine Authentifizierung (d.h. kein "Identitätsnachweis" mittels Username und Passwort) erforderlich. Um Missbrauch - vor allem durch Spammer - zu unterbinden, akzeptierten die Mailserver für ausgehende Mail (MAIL.UNIVIE.AC.AT und MAIL.UNET.UNIVIE.AC.AT) daher bislang nur Verbindungen aus dem Datennetz der Uni Wien. Wenn man sich aber authentifiziert (was, wie erwähnt, nur vom Server MAIL.UNIVIE.AC.AT unterstützt wird und bei den meisten Mailprogrammen durch einfaches Ankreuzen der entsprechenden Option geschieht, siehe Abb. 1), ist diese Einschränkung nicht nötig: Damit ist es z.B. möglich, bei einem Gastaufenthalt im Ausland ein Notebook einfach ans Netzwerk anzustecken und das Mailprogramm ohne jede Konfigurationsänderung weiter zu verwenden. Authentifizierung und Verschlüsselung sind zwar im Prinzip voneinander unabhängig, der Server ist jedoch so konfiguriert, dass er Authentifizierung nur bei gleichzeitiger Verschlüsselung akzeptiert. Aktivieren Sie daher bitte die entsprechende Option TLS in Ihrem Mailprogramm (bei Thunderbird z.B. mittels Extras - Konten - Postausgang-Server (SMTP) - Bearbeiten; siehe Abb. 1). 

Das neue "Postverteilerzentrum" der Universität Wien


Die große Herausforderung und Chance, am Neudesign des Mailsystems der Uni Wien mitzuwirken, lockte mich vor etwa neun Monaten an den ZID. Seither wurde eine komplett neue "Postleitstelle" geplant, gebaut und getestet - parallel zum laufenden Mail-Betrieb, der bis zum Tag der Umstellung über das bisherige System lief, und stets unter Rücksichtnahme auf die bestehenden organisatorischen Strukturen und Notwendigkeiten. Selbstverständlich flossen auch Elemente und Ideen des bisherigen Mailsystems (das technisch gesehen noch lange nicht zum "alten Eisen" gehört) in das neue System ein. Nun ist der Zeitpunkt gekommen, dieses vorzustellen:

  • Als Hardware werden derzeit 10 Server der Type HP Proliant DL380 G4 eingesetzt.

  • Beim Betriebssystem fiel die Entscheidung zugunsten von Linux (Fedora Core 4), nicht zuletzt aufgrund langjähriger guter Erfahrungen mit RedHat/Fedora auf eben dieser Hardware.

  • Als Mail Transfer Agent (MTA) kommt Exim anstelle von sendmail zum Einsatz: Obwohl ich sendmail ebenfalls sehr schätze - vor allem auch aufgrund des Milter-API zur Einbindung externer Programme wie Virenscanner oder Spamfilter -, hat Exim in meinen Augen doch einige Vorteile. Dazu zählen unter anderem die gute Dokumentation, die vergleichsweise leicht verständliche Konfiguration, die exzellente Unterstützung von LDAP und ein ausgefeiltes Queue-Handling. Auch die Anbindung von Viren- und Spamfiltern ist in den letzten Jahren stetig verbessert worden.

  • Ein wesentlicher Unterschied zum bisherigen Mailsystem ist die Verwendung von LDAP (Lightweight Directory Access Protocol). Dadurch werden Änderungen bzw. Neuanschaltungen von eMail-Adressen, Forwards etc. deutlich schneller aktiv: Anstatt alle Daten periodisch auf den Mailservern selbst zu aktualisieren, werden Änderungen inkrementell im LDAP-Verzeichnis durchgeführt. Das Mailsystem befragt für jede Transaktion neuerlich die LDAP-Server und hat somit unmittelbar Zugriff auf veränderte Daten (es ist eine der besonderen Eigenschaften von LDAP, die immense Anzahl von Anfragen, die dabei entstehen, zu bewältigen). Sowohl server- als auch clientseitig wird dabei das Open Source-Produkt OpenLDAP verwendet.

  • Im Bereich der Virenscanner setzen wir nun ebenfalls auf Open Source und wechseln von McAfee zu ClamAV. Zwar entstehen auch durch die Verwendung von McAfee keine Kosten, die Unix-Unterstützung dieses Scanners ist aber aufgrund des fehlenden Daemons nach wie vor äußerst mangelhaft. ClamAV bietet neben einer hoch performanten Scan-Engine auch guten Schutz gegen die meisten Phishing-Attacken; die Reaktionszeiten bei neuen Bedrohungen liegen im Spitzenfeld, weit vor Symantec oder McAfee. Der Nachteil dieser Lösung ist, dass ältere Viren nicht immer erkannt werden. Da es aber nach wie vor unerlässlich ist, jeden Computer zusätzlich mit einem lokalen Virenscanner zu schützen, sollte dies keine ernsthafte Bedrohung darstellen.

  • Der Spamfilter wurde vollständig neu entwickelt; mehr dazu erfahren Sie im Artikel Wenn der Postmann zweimal klingelt.

Die Mailserver sind in den Arbeitsgruppen MX, MSA, DCC und RELAY zusammengefasst und für folgende Aufgabengebiete zuständig:

  • MX (Mail eXchanger): Diese Server empfangen Mails aus dem Internet. Hier sind alle Filterkomponenten - wie Greylisting, Virenfilter und Spamfilter - aktiv.

  • MSA (Mail Submission Agent): Die MSA-Server - besser bekannt als MAIL.UNIVIE.AC.AT - übernehmen Mails aus dem Bereich der Universität Wien und beherbergen die POP3- und IMAP4-Proxies. Aktiv sind nur die Virenfilter.

  • DCC (Distributed Checksum Clearinghouse): Hier laufen die DCC- und Greylisting-Services sowie lokal gespiegelte Blacklists (Näheres dazu finden Sie im Artikel Wenn der Postmann zweimal klingelt).

  • RELAY: Diese Gruppe dient als Smarthost, d.h. sie übernimmt die Zustellung aller Mails an externe Systeme.

Alle Server des neuen Mailsystems können prinzipiell jede beliebige Rolle übernehmen. Die Zuteilung zu einer Gruppe erfolgt zentral von einem Management-Server. Wolfgang Breyha

 

1) Ausnahmen sind lediglich einige Altlasten, die im Zuge der Umstellung bereinigt wurden. Dazu gehören Mailadressen der Form username@pcserv.univie.ac.at und username@rs6000.univie.ac.at - mehrere Jahre nach Einstellung der "alten" PC-Räume und des RS6000-Clusters wurden auch die dazugehörigen Mailadressen aufgelassen. Auch die vor der Mailbox-Umstellung im Sommer 1999 üblichen Mailbox-IDs (z.B. a4711max) funktionieren auf dem neuen System nicht mehr.

2) SMTP (Simple Mail Transfer Protocol), POP (Post Office Protocol) und IMAP (Internet Message Access Protocol)