MailPlus Server absichern: Anti-Spam, AV & Firewall

• Anti-Spam-Modul aktivieren (empfohlen): aktiv
• Programm: Rspamd
• Versionsanzeige + „Update-Einstellungen“

Rspamd ist der zentrale Filter, der eingehende Mails bewertet (Header, Inhalte, Reputation, Heuristiken). Ohne aktivierten Anti-Spam-Filter landet deutlich mehr Müll direkt im Posteingang.

• Folgendes zu den Spam-Betreff hinzufügen“: aktiv
  • Prefix im Feld: ******SPAM******
• „In Spam-Postfach verschieben“: aktiv
• „E-Mails von bekannten Absendern zulassen“: deaktiviert
• „Spam als Anhang verkapseln“: deaktiviert (und damit auch „Nur als Nur-Text“)

Betreff-Prefix hilft dir, Spam sofort zu erkennen (auch in Clients, die Spam-Folder nicht prominent zeigen).

In den Spam-Ordner verschieben ist die sauberste Variante: Damit lässt sich der MailPlus Server absichern, ohne dass du direkt löschen musst.

„Bekannte Absender zulassen“ klingt nett, kann aber die Filterlogik aushebeln (Stichwort: kompromittierte Absender / gefälschte „bekannt wirkende“ Absender). Daher ist „aus“ oft die robustere Wahl.

„Als Anhang verkapseln“ kann in speziellen Workflows sinnvoll sein, ist aber im Alltag meist unnötig und macht die Mail-Ansicht unkomfortabler.

• Spam-Löschintervall (Tage): 365

Das ist dein Sicherheitsnetz. 365 Tage ist sehr großzügig (gut, wenn du selten reinschaust). Wenn du Speicher sparen willst, geh runter (z. B. 30–90 Tage). Entscheidend ist: überhaupt ein Intervall setzen, sonst wächst der Spam-Ordner endlos.

• „postscreen-Spamschutz aktivieren“: aktiv

DNSBL/Postscreen blockt viele Spam-Quellen bereits beim Verbindungsaufbau (bevor Inhalte überhaupt verarbeitet werden). Das spart Ressourcen und hält viel Schrott vom System fern.

Tipp aus der Praxis: DNSBL ist stark – aber nur so gut wie die gewählten Listen. Zu aggressive Listen können False-Positives verursachen.

• „Graue Liste aktivieren…“: deaktiviert

Greylisting weist unbekannte Absender zunächst temporär ab. Saubere Mailserver versuchen später erneut → Spam-Bots oft nicht. Nachteil: Verzögerungen (je nach Gegenstelle spürbar). Wenn du pünktliche Zustellung willst, ist „aus“ häufig die richtige Entscheidung.

Wenn du die Optionen in Ruhe nachlesen willst: Synology MailPlus: Anti-Spam-Einstellungen (Rspamd, DNSBL, Greylisting)

• Antivirenmodul aktivieren: aktiv
• Programm: ClamAV

Anhänge sind ein Klassiker für Malware. ClamAV ist der Basisschutz, der Schadsoftware erkennt, bevor sie beim Nutzer landet. Updates sind hier Pflicht – ein AV ohne aktuelle Signaturen ist fast wirkungslos.

• „Google Safe Browsing-Datenbank verwenden, um bösartige Links in E-Mails zu erkennen“: aktiv
• „Virendefinitionen von Drittanbieter-Datenbanken herunterladen“: aktiv

Viele Angriffe laufen heute über Links (Phishing-Seiten, Fake-Logins). Safe Browsing ergänzt den klassischen Dateiscan. Drittanbieter-Signaturen erhöhen die Trefferquote.

• Antivirus-Aktion: In Quarantäne speichern
• Betreff-Präfix zu infizierter Mail: aktiv ({Virus?})
• Benachrichtigungen nach dem Löschen aus Quarantäne: aktiv

Genau deshalb ist Quarantäne beim MailPlus Server absichern die sicherste Standard-Aktion.

Quarantäne ist das „sicher und reversibel“-Prinzip: lieber blocken und im Zweifel freigeben, statt direkt zu löschen. Das Prefix hilft beim Debugging, wenn du doch mal Logfiles/Clients prüfst.

• „SPF-Verifizierung aktivieren“: deaktiviert
• „SPF-Softfail zurückweisen“: ausgegraut (geht erst, wenn SPF aktiv ist)

SPF hilft gegen gefälschte Absender (Spoofing), indem geprüft wird, ob die sendende IP überhaupt für die Domain senden darf. Wenn du SPF aktivierst, reduzierst du typischen Spoofing-Spam. Softfail-Reject ist die „härtere“ Variante und kann legitime, aber schlecht konfigurierte Absender treffen.

• „DKIM-Unterschriften für eingehende E-Mails aktivieren“: aktiv
• Mindestschlüssellänge: 2048
• „Freigabeliste“ Button (für IP-Ausnahmen)

DKIM prüft, ob eine Mail unterwegs unverändert geblieben ist und ob die Domain die Mail signiert hat. 2048 Bit ist heute der sinnvolle Mindeststandard. Das ist einer der effektivsten Checks gegen Manipulation und Spoofing.

• „DMARC aktivieren“: deaktiviert

DMARC baut auf SPF/DKIM auf und gibt der Empfänger-Seite eine klare Policy, wie mit Mails umzugehen ist, die die Prüfungen nicht bestehen. Bei eingehenden Mails ist DMARC ein weiterer, sehr hilfreicher Filter gegen Domain-Missbrauch.

• „DANE-Verifizierung aktivieren“: deaktiviert
• Auswahl: opportunistische vs. verpflichtende Verifizierung (im Screenshot sichtbar, aber ohne Aktivierung praktisch „inaktiv“)
• Hinweis: TLSA-Eintrag im DNS mit DNSSEC erforderlich + Button „TLSA-Eintrag erstellen“

DANE kann TLS-Verbindungen kryptografisch über DNSSEC absichern (TLSA-Records). Das ist mächtig, aber deutlich komplexer und funktioniert nur sauber, wenn DNSSEC korrekt eingerichtet ist. Für viele Heim-Setups ist das optional.

• „Scan auf gefährliche Inhalte aktivieren“
• „Teilnachrichten ablehnen“
• „Externe Nachrichtentexte ablehnen“

• „Phishing-Betrug hervorheben“
• „HTML in Klartext konvertieren“

• IFrame-Tags: Verwerfen
• Format-Tags: Zulassen
• Skript-Tags: Verwerfen
• Web-Bugs: Verwerfen
• Objekt-Codebase-Tags ablehnen: Verwerfen

Wenn du MailPlus Server absichern willst, ist „Skripte/Web-Bugs verwerfen“ einer der effektivsten Defaults.

Das ist dein Schutz gegen „aktive“ Inhalte in HTML-Mails:

• Skripte, iFrames und Objekt-Tags können für Tracking, Exploits oder schädliche Weiterleitungen missbraucht werden → verwerfen ist ein sehr guter Default.
• Web-Bugs sind Tracking-Pixel → verwerfen reduziert Tracking.
• „Teilnachrichten“ und „externe Texte“ sind typische Tricks, um Scanner/Filter zu umgehen oder Inhalte nachzuladen → ablehnen macht Mails transparenter und sicherer.
• Format-Tags zulassen sorgt dafür, dass legitime HTML-Mails weiterhin lesbar bleiben.

• MCP aktivieren: deaktiviert
• MCP-Regeln verwalten: ausgegraut
• MCP-Schwellwert: 100
• Aktionen (Quarantäne / Zustellen / Löschen): ausgegraut
• Weitere Optionen (Absender benachrichtigen / Weiterleiten an): sichtbar, aber ohne MCP inaktiv

MCP ist eher ein Compliance-/Policy-Werkzeug: Du definierst Regeln (z. B. bestimmte Muster, Inhalte, Anhänge) und triffst automatische Maßnahmen. Für einen privaten Mailserver ist das oft „nice to have“, aber nicht zwingend. Gut, dass du es kennst – aktivieren würde ich es erst, wenn du wirklich konkrete Anforderungen hast.

Wichtig: Die hier gezeigten IPs sind Beispielwerte. Entscheidend ist das Prinzip der Regeln:

• „Alle/Alle“ für dein LAN-Netz (z. B. 192.168.150.0/…): Damit dürfen Geräte im internen Netz weiterhin auf die Synology-Dienste zugreifen (z. B. Verwaltung, interne Apps).
• Port 25/TCP nur für die Provider-IP (z. B. 89.115.41.210): Das ist der wichtigste Schutz. So kann nur dein Mail-Provider eingehende Mails annehmen/weiterleiten – alle anderen SMTP-Bots und Scanner laufen ins Leere.
• Ports 587 und 993/TCP für „Alle“: Diese Ports brauchst du für Mail-Clients (SMTP Submission + IMAPS). Da du von wechselnden Netzen aus zugreifst (Mobilfunk, Arbeit, WLAN), lässt sich das praktisch nicht auf eine feste IP begrenzen. Sicherheit kommt hier über TLS, starke Passwörter und saubere Konten.
• Default „Zugriff verweigern“: Alles, was nicht explizit erlaubt ist, wird blockiert. Genau das macht die Firewall-Regeln wirksam (Default-Deny statt Default-Allow).

• Port 25 (SMTP) nur für den Provider öffnen: Nur er darf dir Mails zustellen/weiterleiten.
  Ergebnis: Du reduzierst brutale Bot-Scans und „Direct-to-MX“-Spam massiv, weil praktisch niemand außer deinem Provider diesen Eingang überhaupt erreichen kann.
• Port 587 (Submission) & 993 (IMAPS) für Clients offen lassen:
  Diese Ports brauchst du für authentifizierte Clients (Outlook, iPhone, Android). Das lässt sich im Alltag kaum auf eine feste IP beschränken (Mobilfunk, wechselnde Netze, Reisen). Wichtig ist hier: starke Passwörter, saubere Accounts, ggf. Rate-Limits/Abuse-Schutz (und natürlich TLS).

Nein. Rspamd ist wichtig, aber DNSBL/Postscreen, Content-Scan und Antivirus fangen jeweils andere Angriffstypen ab.

Weil du Spam auch dann sofort erkennst, wenn ein Client die Spam-Ordner-Logik nicht sauber abbildet oder du mal in „Alle Postfächer“ suchst.

Kann passieren – je nach Listen. Wenn legitime Absender blocken, prüfe zuerst die DNSBL-Einstellungen/Listen, bevor du Rspamd „weich“ stellst.

Nur wenn du wirklich viel Bot-Spam bekommst und Verzögerungen okay sind. Ansonsten bleibt es aus.

Weil damit Manipulation und viele Spoofing-Mails leichter erkannt werden. 2048 Bit ist dabei ein sinnvoller Mindestwert.

„Muss“ nicht, aber es ist ein echter Gewinn gegen Spoofing. Wenn du es aktivierst: starte „soft“ (nur prüfen), beobachte ein paar Tage und entscheide dann, ob du härter gehst.

Das reduziert Tracking (Pixel) und damit Datenspuren. Nebenbei wirkt es gegen manche Phishing-Mails, die über Tracking-Mechaniken arbeiten.

Für klassische Clients: 993 (IMAPS) + 587 (Submission). Für Server-Zustellung: 25. Alles andere nur, wenn du es bewusst nutzt (Webmail, Admin, weitere Services).