@Photon
Kein Problem, habe nur eine Migration für einen Kunden vorzubereiten.
Erstmal vorab, bei mir läuft Grommunio auf einem Arm Ampere Rocky 9 Server bei Hetzner.
Habe mich absichtlich gegen deren Appliance entschieden, da ich mit dem Suse Unterbau nicht "warm" werde.
Hier ist anzumerken, dass beispielsweise Grommunio Chat und Meet (noch) nicht für Rocky Linux verfügbar sind.
Nun aber zur Installation selbst:
Die
Installationsanleitung für eine "Custom Installation" ist leider nicht 100% komplett, aber man bekommt ein lauffähiges Basissystem.
Baustellen sehe ich vor allem bei grommunio-antispam (rspamd), hier ist quasi nichts vorhanden, aber man kann sich doch mit der rspamd Anleltung behelfen.
Pyzor, Razor und Spamhaus DQS (als rspamd plugin) funktionieren, müssen aber selbst eingerichtet werden.
Postfix (u.a. spamhaus integration) und hardening im allgemeinen müssen ebenfalls selbst konfiguriert werden.
Möchte man beispielsweise einen Catchall einrichten, so geht das im Augenblick nicht in Grommunio, sondern man muss es via postfix lösen:
hier mein funktionierender Codeschnipsel, den ich mir mühsam erarbeitet habe.
Der Trick alle Mailboxen als Aliase zu sehen,
Code:
# grommunio
virtual_mailbox_domains = mysql:/etc/postfix/grommunio-virtual-mailbox-domains.cf
# Mit Catchall
virtual_mailbox_maps = mysql:/etc/postfix/grommunio-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/grommunio-virtual-mailbox-alias-maps.cf, mysql:/etc/postfix/grommunio-virtual-mailbox-maps.cf, hash:/etc/postfix/virtual
virtual_transport = lmtp:[::1]:24
und dann die catchall adressen in /etc/postfix/virtual einzutragen:
Code:
@example.com info@example.com
Was das Hardening selbst angeht, so ist es bei Grommunio nicht leicht eine "A+" Konfiguration zu erhalten, da man hierfür bei jedem Update (jedenfalls im Augenblick) an der nginx Konfiguation drehen muss.
Was positiv ist, man kann über eine grommunio_custom-example.conf.include in /etc/nginx/conf.d/ sehr viel setzen:
Code:
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m; # about 40000 sessions
ssl_session_tickets off;
# curl https://ssl-config.mozilla.org/ffdhe4096.txt > /etc/pki/tls/dhparam.pem
ssl_dhparam /etc/pki/tls/dhparam.pem;
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve x448:x25519:secp521r1:secp384r1;
# HSTS (ngx_http_headers_module is required) (63072000 seconds)
#add_header Strict-Transport-Security "max-age=63072000" always;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
Das Problem ist nur, die Einträge kolidieren leider mit /usr/share/grommunio-common/nginx/ssl_params.conf, die ich deshalb nach jedem Upgrade von grommunio-common neu auskommentieren muss.
Mein Problem mit den Ciphers ist, da ich mehr wert auf Sicherheit als auf Geschwindigkeit lege und deshalb die Ciphers so setze.
Außerdem ist diese Zeile für den Webmailer nicht mehr zeitgemäß.
Code:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
Ich bin hier schon in Gesprächen mit Grommunio, jedoch wird es wohl noch dauern, bis man hier eine Lösung findet. Das ist auch der Grund, wieso ich HSTS ausklammern muss, der HSTS Header lässt sich (meines Wissens nach) nicht so einfach übersteuern.
So, das ist mal ein "kleiner" Auszug. Solltest Du fragen haben, immer gerne.
@truetone
Grommunio plus AD funktioniert, was ich so gelesen habe. Ich bin allerdings von Kopano + AD weg, weil ich nicht genug User habe, und bei Grommunio die Nutzerverwaltung sehr gut ist.
