Mail-Konfiguration
Unter Mail-Konfiguration werden alle zentralen Einstellungen des Gateways gesteuert. Änderungen werden sofort an alle Cluster-Nodes repliziert.
Postfix-Grundeinstellungen
| Einstellung |
Beschreibung |
| Hostname |
FQDN des Servers (z. B. mail.example.com) |
| Listen-Adresse |
IP-Adresse, auf der Postfix lauscht (0.0.0.0 = alle) |
| Submission-Port |
Port für Client-SMTP-Auth (Standard: 587) |
| My Networks |
Vertrauenswürdige CIDR-Bereiche (kein Filter für ausgehende Mail dieser IPs) |
TLS
| Einstellung |
Beschreibung |
| TLS-Modus |
may (opportunistisch) oder encrypt (erzwungen) |
| TLS-Mindestversion |
TLSv1.2 oder TLSv1.3 |
| Zertifikat-Pfad |
Pfad zur .crt-Datei |
| Schlüssel-Pfad |
Pfad zur .key-Datei |
Limits
| Einstellung |
Beschreibung |
Standard |
| Max. Nachrichtengröße |
In Bytes (z. B. 50 MB = 52428800) |
52428800 |
| Verbindungsrate |
Max. SMTP-Verbindungen pro Client pro Minute |
30 |
| Nachrichtenrate |
Max. Nachrichten pro Client pro Minute |
100 |
| Max. Queue-Lifetime |
Zeit in der Queue bevor Bounce (Sekunden) |
432000 (5 Tage) |
| Max. Empfänger |
Max. Empfänger pro Nachricht |
100 |
Spam-Schwellenwerte
| Schwellenwert |
Beschreibung |
Standard |
| Quarantäne |
Ab diesem Score in Quarantäne |
6.0 |
| Ablehnen |
Ab diesem Score hart ablehnen |
15.0 |
| Header hinzufügen |
Ab diesem Score X-Spam-Header hinzufügen |
4.0 |
| Greylisting |
Ab diesem Score Greylisting aktivieren |
3.0 |
Postscreen
Postscreen ist eine Vorstufe vor Postfix, die einfache Spam-Bots anhand von DNSBL-Listen und SMTP-Protokoll-Tests abweist.
| Einstellung |
Beschreibung |
| Aktiviert |
Postscreen ein-/ausschalten |
| DNSBL-Schwellenwert |
Punktzahl ab der Verbindung abgelehnt wird |
| Greet-Wait |
Sekunden, die Postscreen auf vorzeitige SMTP-Begrüßung wartet |
| DNSBL-Action |
enforce (ablehnen) oder drop (silent drop) |
rspamd-Funktionen
| Funktion |
Beschreibung |
| Greylisting |
Temporäre Ablehnung unbekannter Absender (DNSWL-Einträge werden übersprungen) |
| DKIM |
Ausgehende DKIM-Signierung aktivieren |
| ARC |
ARC-Signing für weitergeleitete Mails |
| RBL |
DNS-Blocklists prüfen |
| SPF |
SPF-Prüfung aktivieren |
| DMARC |
DMARC-Auswertung und Reporting |
| DKIM-Pubkey-Check |
DKIM-Schlüssel gegen DNS verifizieren |
Antivirus
ClamAV
| Einstellung |
Beschreibung |
| Modus |
clamav, icap oder off |
| ClamAV-Host |
IP/Hostname des clamd-Sockets (127.0.0.1) |
| ClamAV-Port |
Standard: 3310 |
| Bei Virus |
reject, quarantine oder discard |
| Extended Signatures |
Zusätzliche Signaturdatenbanken laden (z. B. Sanesecurity) |
ICAP (optional)
Alternativ kann ein externer ICAP-Server (z. B. Sophos, F-Secure) verwendet werden:
| Einstellung |
Beschreibung |
| ICAP-Server-URL |
icap://host:port/service |
| ICAP-Timeout |
Sekunden (Standard: 10) |
| Bei Virus |
Aktion bei positivem ICAP-Ergebnis |
YARA-Sandbox
| Einstellung |
Beschreibung |
| YARA aktiviert |
YARA-Sandbox für Anhänge und URLs einschalten |
| Update-Intervall |
Stunden zwischen YARA-Regelupdates (Standard: 24) |
VirusTotal
| Einstellung |
Beschreibung |
| API-Key |
VirusTotal API Key für Hash-Lookups von Anhängen |
Anhang-Filter
| Einstellung |
Beschreibung |
| Aktiviert |
Anhang-Filter ein-/ausschalten |
| Gesperrte Endungen |
Kommaseparierte Liste (z. B. .exe,.bat,.vbs,.js) |
| Gesperrte MIME-Typen |
Kommaseparierte Liste (z. B. application/x-msdownload) |
Neurales Netz
| Einstellung |
Beschreibung |
Standard |
| Aktiviert |
Neurales Netz in rspamd nutzen |
an |
| Min. Ham-Trainings |
Mindest-Trainingseinträge für Ham |
1000 |
| Min. Spam-Trainings |
Mindest-Trainingseinträge für Spam |
1000 |
| Lernrate |
Lernrate des Netzes |
0.001 |
Autolearn
Automatisches Training von Bayes auf Basis des Spam-Scores:
| Einstellung |
Beschreibung |
| Spam-Schwellenwert |
Ab diesem Score wird eine Mail als Spam trainiert |
| Ham-Schwellenwert |
Unter diesem Score wird eine Mail als Ham trainiert |
Erweiterte Erkennungen
| Funktion |
Beschreibung |
| MX-Prüfung |
Absender-Domain auf gültigen MX prüfen |
| Phishing |
URL-basierte Phishing-Erkennung (rspamd built-in) |
| SURBL |
Spam-URI-Blocklist |
| Fuzzy |
Fuzzy-Hash-Matching gegen Spam-Datenbank |
| Reputation |
Absender-Reputation-Scoring |
| ASN |
Autonomous System Number Scoring |
| Spoof-Schutz |
Header-basierter Spoofing-Schutz (Score einstellbar) |
| Spamtrap |
Spamtrap-Adressen (kommasepariert) — Treffer = sofort Spam |
| Ratelimit |
Ratelimiting auf Absender-Domain (Burst + Rate konfigurierbar) |
Quarantäne-Einstellungen
| Einstellung |
Beschreibung |
| Aktiviert |
Quarantäne ein-/ausschalten |
| Aufbewahrung |
Tage bis Quarantäne-Mails automatisch gelöscht werden |
| Max. Größe |
Max. Größe einer einzelnen Quarantäne-Mail |
| Portal-Domain |
FQDN des Quarantäne-Portals für Endbenutzer |
| Portal aktiv |
Endbenutzer-Quarantäne-Portal freischalten |
Digest (Quarantäne-Zusammenfassung)
| Einstellung |
Beschreibung |
| Aktiviert |
Tägliche E-Mail-Zusammenfassung der Quarantäne |
| Intervall |
daily oder weekly |
| Sendezeit |
Uhrzeit des Digest-Versands (z. B. 08:00) |
| Betreff |
Betreffzeile der Digest-Mail |
Relay-Clients (Outbound-IP-Whitelist)
Im Tab Relay-Clients werden IP-Adressen und CIDR-Blöcke eingetragen, die ohne SMTP-Authentifizierung ausgehende Mail über nmg senden dürfen (z. B. interne Mailserver, Multifunktionsdrucker, Monitoring-Systeme).
Zweistufige Outbound-Auth
Relay-Clients sind die erste Stufe: vertrauenswürdige IPs. SMTP-Auth (permit_sasl_authenticated) ist die zweite Stufe. Relay-Clients greifen vor der SASL-Prüfung.
| Feld |
Beschreibung |
| CIDR |
IP-Adresse oder CIDR-Block (z. B. 192.168.1.0/24) |
| Bezeichnung |
Freitext-Label (z. B. Kopierer Raum 3) |
| Erlaubte Absender-Domains |
Kommaseparierte Liste erlaubter Envelope-From-Domains — verhindert Domain-Spoofing durch den Relay-Client |
| Aktiv |
Relay-Client ein-/ausschalten |
Änderungen werden sofort an alle Cluster-Nodes repliziert und in Postfix aktiv.
ClamAV-Signaturquellen
Im Tab Antivirus → Signaturquellen werden zusätzliche ClamAV-Signaturdatenbanken verwaltet (z. B. Sanesecurity, SecuriteInfo).
| Spalte |
Beschreibung |
| Name |
Bezeichnung der Signaturquelle |
| URL |
Download-URL der Signaturdatenbank |
| API-Key |
Optionaler API-Key (bei kommerziellen Quellen) |
| Eingebaut |
Vorinstallierte Quellen (deaktivierbar, aber nicht löschbar) |
| Aktiv |
Quelle ein-/ausschalten |
Über Jetzt aktualisieren wird freshclam sofort auf allen Cluster-Nodes getriggert — ohne auf den normalen Update-Zyklus zu warten.
Force Actions
Bestimmte Mail-Typen können unabhängig vom Score hart abgelehnt werden:
| Einstellung |
Beschreibung |
| Virus immer ablehnen |
Viren werden immer mit SMTP 550 abgewiesen, auch wenn der Quarantäne-Schwellenwert nicht erreicht ist |
| Phishing immer ablehnen |
Erkannte Phishing-Mails werden immer abgewiesen |
Max-Score-Obergrenzen
Begrenzung des maximalen Score-Beitrags einzelner Filter-Kategorien — verhindert übermäßige Strafen durch eine einzige Kategorie:
| Einstellung |
Beschreibung |
| Max-Score Antivirus |
Obergrenze für ClamAV/YARA-Score-Beitrag |
| Max-Score RBL |
Obergrenze für DNS-Blocklist-Beitrag |
| Max-Score Reputation |
Obergrenze für Absender-Reputations-Beitrag |
| Max-Score HFilter |
Obergrenze für Header-Filter-Beitrag |
Statistik-Aufbewahrung
| Einstellung |
Beschreibung |
| Stats-Retention (Jahre) |
Wie viele Jahre aggregierte Mail-Statistiken aufbewahrt werden (0 = unbegrenzt) |
Portal-SSL (Let's Encrypt)
Wenn das Quarantäne-Portal unter einer eigenen Domain läuft, kann Let's Encrypt direkt hier konfiguriert werden:
| Einstellung |
Beschreibung |
| Zertifikat-Status |
Aktueller Status des Portal-Zertifikats (gültig/abgelaufen/fehlend) |
| Jetzt ausstellen |
Let's Encrypt-Zertifikat für die Portal-Domain sofort anfordern |
Portal-Node
Im Cluster kann festgelegt werden, welche Node den Quarantäne-Digest versendet (Portal-Node) — sinnvoll wenn nur eine Node eine öffentliche IP hat.
BCC-Archiv-Verschlüsselungsstatus
Wenn BCC-Archivierung mit at-rest-Verschlüsselung konfiguriert ist, zeigt ein Banner den Status des Verschlüsselungsschlüssels (gültig / fehlend / ungültig). Ohne gültigen Schlüssel werden keine neuen Archive verschlüsselt.
Score-Tuning
Im Tab Score-Tuning lassen sich die Gewichte einzelner rspamd-Symbole anpassen, ohne die rspamd-Konfiguration direkt zu bearbeiten. Änderungen sind sofort aktiv.