MailPlus Server absichern: Anti-Spam, AV & Firewall

• Anti-Spam-Modul aktivieren (empfohlen): aktiv
• Programm: Rspamd
• Versionsanzeige + „Update-Einstellungen“

Rspamd ist der zentrale Filter, der eingehende Mails bewertet (Header, Inhalte, Reputation, Heuristiken). Ohne aktivierten Anti-Spam-Filter landet deutlich mehr Müll direkt im Posteingang.

• Folgendes zu den Spam-Betreff hinzufügen“: aktiv
  • Prefix im Feld: ******SPAM******
• „In Spam-Postfach verschieben“: aktiv
• „E-Mails von bekannten Absendern zulassen“: deaktiviert
• „Spam als Anhang verkapseln“: deaktiviert (und damit auch „Nur als Nur-Text“)

Betreff-Prefix hilft dir, Spam sofort zu erkennen (auch in Clients, die Spam-Folder nicht prominent zeigen).

In den Spam-Ordner verschieben ist die sauberste Variante: Damit lässt sich der MailPlus Server absichern, ohne dass du direkt löschen musst.

„Bekannte Absender zulassen“ klingt nett, kann aber die Filterlogik aushebeln (Stichwort: kompromittierte Absender / gefälschte „bekannt wirkende“ Absender). Daher ist „aus“ oft die robustere Wahl.

„Als Anhang verkapseln“ kann in speziellen Workflows sinnvoll sein, ist aber im Alltag meist unnötig und macht die Mail-Ansicht unkomfortabler.

• Spam-Löschintervall (Tage): 365

Das ist dein Sicherheitsnetz. 365 Tage ist sehr großzügig (gut, wenn du selten reinschaust). Wenn du Speicher sparen willst, geh runter (z. B. 30–90 Tage). Entscheidend ist: überhaupt ein Intervall setzen, sonst wächst der Spam-Ordner endlos.

• „postscreen-Spamschutz aktivieren“: aktiv

DNSBL/Postscreen blockt viele Spam-Quellen bereits beim Verbindungsaufbau (bevor Inhalte überhaupt verarbeitet werden). Das spart Ressourcen und hält viel Schrott vom System fern.

Tipp aus der Praxis: DNSBL ist stark – aber nur so gut wie die gewählten Listen. Zu aggressive Listen können False-Positives verursachen.

• „Graue Liste aktivieren…“: deaktiviert

Greylisting weist unbekannte Absender zunächst temporär ab. Saubere Mailserver versuchen später erneut → Spam-Bots oft nicht. Nachteil: Verzögerungen (je nach Gegenstelle spürbar). Wenn du pünktliche Zustellung willst, ist „aus“ häufig die richtige Entscheidung.

Wenn du die Optionen in Ruhe nachlesen willst: Synology MailPlus: Anti-Spam-Einstellungen (Rspamd, DNSBL, Greylisting)

• Antivirenmodul aktivieren: aktiv
• Programm: ClamAV

Anhänge sind ein Klassiker für Malware. ClamAV ist der Basisschutz, der Schadsoftware erkennt, bevor sie beim Nutzer landet. Updates sind hier Pflicht – ein AV ohne aktuelle Signaturen ist fast wirkungslos.

• „Google Safe Browsing-Datenbank verwenden, um bösartige Links in E-Mails zu erkennen“: aktiv
• „Virendefinitionen von Drittanbieter-Datenbanken herunterladen“: aktiv

Viele Angriffe laufen heute über Links (Phishing-Seiten, Fake-Logins). Safe Browsing ergänzt den klassischen Dateiscan. Drittanbieter-Signaturen erhöhen die Trefferquote.

• Antivirus-Aktion: In Quarantäne speichern
• Betreff-Präfix zu infizierter Mail: aktiv ({Virus?})
• Benachrichtigungen nach dem Löschen aus Quarantäne: aktiv

Genau deshalb ist Quarantäne beim MailPlus Server absichern die sicherste Standard-Aktion.

Quarantäne ist das „sicher und reversibel“-Prinzip: lieber blocken und im Zweifel freigeben, statt direkt zu löschen. Das Prefix hilft beim Debugging, wenn du doch mal Logfiles/Clients prüfst.

• „SPF-Verifizierung aktivieren“: deaktiviert
• „SPF-Softfail zurückweisen“: ausgegraut (geht erst, wenn SPF aktiv ist)

SPF hilft gegen gefälschte Absender (Spoofing), indem geprüft wird, ob die sendende IP überhaupt für die Domain senden darf. Wenn du SPF aktivierst, reduzierst du typischen Spoofing-Spam. Softfail-Reject ist die „härtere“ Variante und kann legitime, aber schlecht konfigurierte Absender treffen.

• „DKIM-Unterschriften für eingehende E-Mails aktivieren“: aktiv
• Mindestschlüssellänge: 2048
• „Freigabeliste“ Button (für IP-Ausnahmen)

DKIM prüft, ob eine Mail unterwegs unverändert geblieben ist und ob die Domain die Mail signiert hat. 2048 Bit ist heute der sinnvolle Mindeststandard. Das ist einer der effektivsten Checks gegen Manipulation und Spoofing.

• „DMARC aktivieren“: deaktiviert

DMARC baut auf SPF/DKIM auf und gibt der Empfänger-Seite eine klare Policy, wie mit Mails umzugehen ist, die die Prüfungen nicht bestehen. Bei eingehenden Mails ist DMARC ein weiterer, sehr hilfreicher Filter gegen Domain-Missbrauch.

• „DANE-Verifizierung aktivieren“: deaktiviert
• Auswahl: opportunistische vs. verpflichtende Verifizierung (im Screenshot sichtbar, aber ohne Aktivierung praktisch „inaktiv“)
• Hinweis: TLSA-Eintrag im DNS mit DNSSEC erforderlich + Button „TLSA-Eintrag erstellen“

DANE kann TLS-Verbindungen kryptografisch über DNSSEC absichern (TLSA-Records). Das ist mächtig, aber deutlich komplexer und funktioniert nur sauber, wenn DNSSEC korrekt eingerichtet ist. Für viele Heim-Setups ist das optional.

Damit SPF, DKIM und DMARC ihre volle Wirkung entfalten können, solltest du deinen MX-Eintrag (beim Provider) im DNS direkt auf dein NAS (mail.deinedomain.de) zeigen lassen und die Priorität auf 10 setzen.

• Warum das wichtig ist: Nur bei einer direkten Zustellung sieht dein NAS die echte Absender-IP. Läuft die Mail erst über den Provider, verfälscht dieser die IP, und SPF-Prüfungen schlagen oft fehl oder werden wertlos.
• Vorteil DNSBL: Mit MX 10 greifen deine DNSBL-Blacklists (z. B. Spamhaus) sofort beim Verbindungsaufbau. Spammer werden abgewiesen, bevor sie überhaupt Daten senden können.
• Backup-Strategie: Lösche deine alten MX-Einträge des Providers nicht! Setze sie einfach auf eine niedrigere Priorität (z. B. 50 oder 60). Falls dein NAS oder dein Internetanschluss einmal offline sind, „parkt“ der Provider die Mails für dich, bis du wieder erreichbar bist.

Worum geht’s bei DMARC?

DMARC legt fest, was ein empfangender Mailserver tun soll, wenn eine Nachricht mit deiner Domain als Absender die Authentifizierung nicht besteht. DMARC baut dabei auf SPF und DKIM auf (genauer: auf „Alignment“ – also ob Absenderdomain und geprüfte Domain zusammenpassen).

Die drei DMARC-Policies im Überblick

p=none (nur beobachten)

• Empfänger soll nichts blockieren oder verschieben
• Du bekommst Reports (wenn rua= gesetzt ist)
• Gut zum Start, wenn du erst prüfen willst, ob alles passt

Wann sinnvoll:

• du richtest SPF/DKIM gerade ein
• du hast mehrere Absenderquellen (z. B. Relay + Newsletter-Tool)
• du willst sehen, ob irgendwo noch unerwartet über deine Domain gesendet wird

p=quarantine (in Spam/Quarantäne)

• Mails, die DMARC nicht bestehen, sollen als verdächtig behandelt werden
• Häufig landen sie im Spam statt komplett abgewiesen zu werden
• Guter Zwischenstep zwischen „Beobachten“ und „hart blocken“

Wann sinnvoll:

• du hast SPF/DKIM weitgehend stabil
• du willst Spoofing schon deutlich reduzieren
• du möchtest aber noch keine harten Abweisungen riskieren

p=reject (hart ablehnen)

• Empfänger soll Mails, die DMARC nicht bestehen, ablehnen
• Maximale Schutzwirkung gegen Spoofing
• Voraussetzung: SPF/DKIM sauber und „aligned“

Wann sinnvoll:

• dein Setup ist stabil
• du sendest kontrolliert (z. B. über Relay + ggf. klar definierte Dienste)
• deine Testmails zeigen zuverlässig: SPF PASS oder DKIM PASS und DMARC PASS

Typische Fehler vor p=reject

1. SPF stimmt, aber Alignment nicht
Beispiel: Du sendest über ein Relay, aber die geprüfte Domain passt nicht zur Absenderdomain. Ergebnis: SPF kann „pass“ sein, DMARC aber trotzdem „fail“, wenn das Alignment nicht erfüllt ist.

2. DKIM ist gesetzt, aber der Selector/DNS passt nicht
Wenn der DKIM-Key im DNS falsch ist (Selector vertauscht, Key abgeschnitten, Formatfehler), kann DKIM sporadisch failen.

3. Mehrere Absenderquellen nicht in SPF/DKIM bedacht
Wenn zusätzlich irgendwo mit deiner Domain gesendet wird (z. B. Newsletter-Dienst, Formular-Plugin, Monitoring), muss das im SPF/DKIM/DMARC-Konzept berücksichtigt werden.

Best Practice: Stufenweise verschärfen

Wenn du auf Nummer sicher gehen willst:

1. p=none (Reports sammeln)
2. p=quarantine (erste Schutzwirkung)
3. p=reject (wenn stabil)

So minimierst du das Risiko, legitime Mails versehentlich zu blockieren.

Mini-Check: Ist dein Setup „reject-ready“?

Wenn diese drei Dinge stimmen, kannst du meist problemlos auf reject gehen:

DMARC PASS bei Testmails an Gmail/Microsoft

SPF PASS (für deinen Versandweg)

DKIM PASS (mindestens eine valide Signatur)

Hier empfehle ich die Option „Tags unwirksam machen“. Anstatt die ganze E-Mail abzulehnen, entfernt der Server nur den potenziell gefährlichen aktiven Code. Die Mail selbst kommt trotzdem an.

Diese solltest du auf „Zulassen“ stellen. Viele seriöse Firmen (z. B. DHL oder Amazon) nutzen diese für Tracking-Pixel oder Karten-Integrationen. Würdest du sie „verwerfen“, würden diese wichtigen Mails oft als „Bösartiger Inhalt“ abgelehnt werden.

Aktiviere diesen Haken unbedingt. Er warnt dich visuell, wenn ein Link-Text (z. B. dhl.de) nicht zum eigentlichen Ziel des Links passt.

Anstatt hunderte Adressen manuell in Blockierungslisten zu schreiben, nutze konsequent den Spam-Button in MailPlus.

• Dadurch lernt dein Server über den Bayesianischen Filter automatisch die Muster hinter dem Spam (z. B. Layouts oder typische Wortkombinationen), anstatt nur starre Adressen zu blockieren.
• Stelle sicher, dass unter „Automatisches Lernen“ kein zeitlicher Plan aktiv ist, wenn dein NAS genug Leistung hat – so lernt das System sofort mit jedem Klick von dir.

Warum passiert das überhaupt?
Viele legitime Anbieter erzeugen sehr komplexe HTML-Mails. Sicherheitsfilter scannen diese Inhalte nach Mustern, die bei Phishing oder Exploits typisch sind. Dabei können Fehlalarme entstehen, obwohl die Mail harmlos ist.

Typische Merkmale legitimer „komplizierter“ HTML-Mails

1. Verschachtelte Tabellen & Inline-CSS
Viele Newsletter- und Systemmails nutzen Tabellenlayouts, damit die Darstellung in Outlook & Co. passt. Das sieht technisch „alt“ und komplex aus, ist aber normal.

2. Tracking-Links & Weiterleitungen
Buttons und Links sind oft „umgeleitet“ (z. B. über Redirector-Domains), um Klicks zu messen. Das kann wie Phishing wirken, obwohl es legit ist.

3. Externe Ressourcen
Bilder, Fonts oder Stylesheets werden oft extern geladen. Manche Filter interpretieren das als „externen Nachrichtentext“ oder als verdächtig.

4. Dynamische Elemente
Einige Mails enthalten Elemente, die Filter grundsätzlich kritisch sehen: iFrames, Scripts, Objects. Seriöse Anbieter nutzen das selten – aber manche Templates enthalten Fragmente davon.

Warum „Ablehnen“ hier schnell schiefgeht

Wenn dein Filter bei Verdacht direkt die komplette Mail ablehnt, entsteht ein Problem:

• eine legitime Mail wird vollständig verworfen
• der Absender versucht ggf. nicht erneut zuzustellen (bei 5xx Reject)
• du merkst es oft erst, wenn ein Code / eine Rechnung fehlt

Das ist bei Heimservern besonders nervig.

Best Practice: Neutralisieren statt blockieren

Statt „E-Mail ablehnen“ ist in vielen Fällen besser:

• Script/Objekt-Tags: unwirksam machen
• verdächtige Elemente: entfernen/neutralisieren
• Mail zustellen, aber ggf. markieren

So bleibt die Mail da, aber gefährliche Teile werden entschärft.

Wann hartes Blocken sinnvoll ist

„Ablehnen“ ist dann sinnvoll, wenn wirklich klare Schadindikatoren vorliegen, zum Beispiel:

• bekannte Exploit-Signaturen
• eindeutig bösartige Attachments
• Spamwellen mit klarer Malware-Struktur

Für „normale“ HTML-Heuristiken ist „neutralisieren“ meist die bessere Wahl.

Praxis-Tipp

Wenn du plötzlich wieder legitime Absender verlierst, ist der Inhaltsfilter fast immer ein Kandidat. Dann lohnt sich ein kurzer Check:

Kann die Aktion auf „neutralisieren“ statt „ablehnen“ gestellt werden?

Welche Regel hat geblockt?

War es „HTML exploit/externes HTML“?

• MCP aktivieren: deaktiviert
• MCP-Regeln verwalten: ausgegraut
• MCP-Schwellwert: 100
• Aktionen (Quarantäne / Zustellen / Löschen): ausgegraut
• Weitere Optionen (Absender benachrichtigen / Weiterleiten an): sichtbar, aber ohne MCP inaktiv

MCP ist eher ein Compliance-/Policy-Werkzeug: Du definierst Regeln (z. B. bestimmte Muster, Inhalte, Anhänge) und triffst automatische Maßnahmen. Für einen privaten Mailserver ist das oft „nice to have“, aber nicht zwingend. Gut, dass du es kennst – aktivieren würde ich es erst, wenn du wirklich konkrete Anforderungen hast.

Wichtig: Die hier gezeigten IPs sind Beispielwerte. Entscheidend ist das Prinzip der Regeln:

• „Alle/Alle“ für dein LAN-Netz (z. B. 192.168.150.0/…): Damit dürfen Geräte im internen Netz weiterhin auf die Synology-Dienste zugreifen (z. B. Verwaltung, interne Apps).
• Port 25/TCP nur für die Provider-IP (z. B. 89.115.41.210): Das ist der wichtigste Schutz. So kann nur dein Mail-Provider eingehende Mails annehmen/weiterleiten – alle anderen SMTP-Bots und Scanner laufen ins Leere.
• Ports 587 und 993/TCP für „Alle“: Diese Ports brauchst du für Mail-Clients (SMTP Submission + IMAPS). Da du von wechselnden Netzen aus zugreifst (Mobilfunk, Arbeit, WLAN), lässt sich das praktisch nicht auf eine feste IP begrenzen. Sicherheit kommt hier über TLS, starke Passwörter und saubere Konten.
• Default „Zugriff verweigern“: Alles, was nicht explizit erlaubt ist, wird blockiert. Genau das macht die Firewall-Regeln wirksam (Default-Deny statt Default-Allow).

• Port 25 (SMTP) nur für den Provider öffnen: Nur er darf dir Mails zustellen/weiterleiten.
  Ergebnis: Du reduzierst brutale Bot-Scans und „Direct-to-MX“-Spam massiv, weil praktisch niemand außer deinem Provider diesen Eingang überhaupt erreichen kann.
• Port 587 (Submission) & 993 (IMAPS) für Clients offen lassen:
  Diese Ports brauchst du für authentifizierte Clients (Outlook, iPhone, Android). Das lässt sich im Alltag kaum auf eine feste IP beschränken (Mobilfunk, wechselnde Netze, Reisen). Wichtig ist hier: starke Passwörter, saubere Accounts, ggf. Rate-Limits/Abuse-Schutz (und natürlich TLS).

Nein. Rspamd ist wichtig, aber DNSBL/Postscreen, Content-Scan und Antivirus fangen jeweils andere Angriffstypen ab.

Weil du Spam auch dann sofort erkennst, wenn ein Client die Spam-Ordner-Logik nicht sauber abbildet oder du mal in „Alle Postfächer“ suchst.

Kann passieren – je nach Listen. Wenn legitime Absender blocken, prüfe zuerst die DNSBL-Einstellungen/Listen, bevor du Rspamd „weich“ stellst.

Nur wenn du wirklich viel Bot-Spam bekommst und Verzögerungen okay sind. Ansonsten bleibt es aus.

Weil damit Manipulation und viele Spoofing-Mails leichter erkannt werden. 2048 Bit ist dabei ein sinnvoller Mindestwert.

„Muss“ nicht, aber es ist ein echter Gewinn gegen Spoofing. Wenn du es aktivierst: starte „soft“ (nur prüfen), beobachte ein paar Tage und entscheide dann, ob du härter gehst.

Das reduziert Tracking (Pixel) und damit Datenspuren. Nebenbei wirkt es gegen manche Phishing-Mails, die über Tracking-Mechaniken arbeiten.

Für klassische Clients: 993 (IMAPS) + 587 (Submission). Für Server-Zustellung: 25. Alles andere nur, wenn du es bewusst nutzt (Webmail, Admin, weitere Services).