The Austrian company Proxmox has developed the spam filter "Mail Gateway" as open source under the GNU AGPL v3 license. This means that the spam filter can be used free of charge. I've been looking for a SPAM filter for test environments for a while now, so I'm taking a closer look at the Proxmox solution.
Here is an overview of the functions:
Proxmox Mail Gateway Datasheet (PDF)
The community license costs 99 EUR per year, but you can also use the appliance without a subscription, but then you have to wait for support and "tested updates":
Proxmox Proxmox Mail Gateway is open-source software distributed under the GNU Afero GPL, v3 and
you have the freedom to download, use and modify the software for private or business use. So yes, you
can use Proxmox products without a subscription. Just be aware that if you choose to run Proxmox Mail
Gateway without the Enterprise Repository, you may have packages that are not always heavily tested and
validated.
Proxmox does not recommend using the no-subscription repository on a production server.Source: Subscription Agreement
I can live with this limitation quite well in my private life. I have therefore downloaded it and will test it. The installation has already run smoothly in my test environment. The environment looks slightly different to how Proxmox imagines the environment:
The mail gateway is not located in my intranet, but in a DMZ. Referring to the picture above, there is another firewall instance between the mail gateway and the mail server (Exchange Server 2016, of course).
So much for the environment, the installation ran smoothly on Hyper-V in the test environment, here are a few screenshots of the installation:
After installation, I was also able to access the gateway directly via the browser:
I had a look around, the WebGUI looks quite tidy at first glance. I actually wanted to replace the certificate directly (I hate certificate error messages), but this is not possible via the WebGUI. However, a quick look at the documentation provides the necessary shell commands. So far, the first impression is quite positive.
However, the limits here are also recognizable at first glance: it is a classic SPAM filter, AntiSPAM, virus scan, RBL, SPF etc. - in other words, classic filtering techniques. Just the classic filter techniques. Other solutions on the market go much further: data loss prevention, sandboxing, sanitization, encryption/decryption, content conversion, etc. Although there are also open source solutions for this, they are not united under one roof, so here you have to "do it yourself" or buy the corresponding ready-made solutions (although they usually cost "a little" more).
However, I'm going to start with the configuration and will carry out a few tests over the next few days, after which there will be a corresponding article.
Moin,
ich bin über diesen Artikel auf Proxmox Mail Gateway aufmerksam geworden und bin total begeistert. Die Einrichtung hat ca. 45 Minuten gedauert und von dann an keine Spam E-Mails mehr.
Die Einrichtung ist einfach und es funktioniert ohne Probleme.
Danke Frank für den Hinweis.
Hier einmal ein paar Links zur Einrichtung, die mir sehr geholfen haben.
Proxmox Mail Gateway – Vorstellung und Einrichtung – Video
https://schroederdennis.de/email/proxmox-mail-gateway-einrichten-und-vorgestellt-tutorial-howto/
Proxmox Mail Gateway Anleitung
https://www.proxmox.com/images/download/pmg/docs/pmg-admin-guide-8.pdf
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html
Erste Schritte mit Proxmox Mail Gateway
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
Proxmox Forum
https://forum.proxmox.com/
Zwar schon etwas her die Thematik, trotzdem würde ich mich tatsächlich auch über einen Artikel mit Einrichtung zum Proxmox Mail Gateway 8.0 freuen :)
Hallo,
ich habe PMG auch konfiguriert, installiert und auch erweitert. Was schade ist, PMG bietet nachwievor kein DKIMS von Haus aus über die Oberfläche, man muss es manuell untern herum machen oder auf dem Mail Server direkt (Exchange 2013/16 DKIMS =>TransportAgent). Ebenfalls sind dinge wie „SMTP HOST NAME“ nur im System unterhalb der GUI des PMG änderbar. Schade, dass wünscht man sich im Interface. Ebenfalls ist die Diskussion über das abweisen von Mails ohne „NDR“ Message schon interessant und nicht vernachlässigbar. PMG versendet stattdessen eine Mail an den Absender mit dem Hinweis der Nicht Zustellung (5.7.1,etc..)
In Exchange kann man das ja auch erstellen, was dann so aussieht:
2xxx-xx-13T13:34:05.877Z,08D7683507F7D8A6,xxx.xxx.xxx.xxx:25,45.93.247.163:57951,45.93.247.163,,matter@waybomb.best,,*****@******.de,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,550 5.7.107 Your IP address is listed by DNSBL Manitu. You can review it on page http://www.dnsbl.manitu.net,BlockListProvider,ix.dnsbl.manitu.net,,,,Undefined
Nun weiss ich nicht, wie die Aussage hier zutreffender ist, bezüglich diesen Bug Reports (https://bugzilla.proxmox.com/show_bug.cgi?id=1886)
Im Forum wird hier auch nochmals explizit die Frage gestellt und es stell sich heraus:
Most Spam emails should be rejected on SMTP level (RBL, Greylisting, Receiver Verification, SPF,), so a 250 will never happens. If emails are accepted by the Proxmox Mail Gateways, you have to deal with it in your rule system.
In meiner Konfiguration mit postfix/postscreen sehe ich folgende Log Infos:
Nov ** 07:18:19 pmg postfix/postscreen[8482]: NOQUEUE: reject: RCPT from [212.200.101.22]:57396: 550 5.7.1 Service unavailable; client [212.200.101.22] blocked using db.wpbl.info; from=, to=, proto=ESMTP, helo=
Somit erfüllt doch der PMG das ablehnen der mail, in dem obigen Fall mit „Benutzerpostfach nicht verfügbar“. Klar, die mail kursiert erstmal im System, aber es gibt keine Zustellung an den Empfänger. Schöner und richtiger wäre klar das Ablehnen nach 250 das die mail nicht als „Transferiert“ markiert wird. Somit hält man entweder die Mail als Quarantäne vor oder lehnt sie komplett ab. Die Frage stellt sich dann schon: „darf ich das?“ … Als Provider steht man mit Sicherheit auf Messers schneide, aber als Firma , die Ihren eigenen Mail Server betreibt sehe ich das gemäß Hausrecht. Ich bestimme wer rein und raus kommt, notfalls durch TLS.
Ansonsten ist das PMG eine recht sinnvolle Lösung, wenn man seinen Mailserver nicht direkt ins Netz stellen will und 80% der Spam Mails schon vorher weg filtert.
Hallo,
gibt es ein abschliessendes Fazit zu Proxmox ? Seit wir auf Exchange 2016 migriert haben ist das Spamvolumen stark gestiegen, wir denken daher über ein Mailgateway nach
Mit feundlichem Gruß
Kann man Proxmox Mail Gateway auch für Active Sync verwenden? Als TMG replacement?
Hi Franky, danke für deinen Beitrag. Ich habe mal die „negativen“ Seiten von Proxmox in meinem Blog aufgezeigt:
https://www.cubewerk.de/2018/08/28/proxmox-mail-gateway-5-ueberblick-mit-dkim-tls-pre-smtp-filtering/
Evtl. magst du ja drauf verlinken. Spezielle in Enterprise-Umgebungen sind das Showstopper.
Ich nutze EFA vor meinem Exchange
Email Filter Appliance
Macht was sie soll.
Hallo! Mitlerweile ist die Lösung aus dem Hause Proxmox kostenlos mit einer subs. jedoch immernoch inc. bezahlten support. Wir setzen diese Lösung in einer kleinen KMU Ein und sind bisher sehr zufrieden damit.
Auch wir Betreiben das MailGW hinter einer Firwall Lösung in einer DMZ allerdings mit keinem MS Exchange sondern Zarafa als Mail-Server System.
Für uns eine abselut brauchbare Lösung um auch kleinen KMU’s die Möglichkeit einer sichreren Hauseigenen Infastruktur zu Bieten!
Wir (Net at Work) sind in dem Bereich ja auch kommerziell aktiv und schauen und natürlich auch andere Lösungen ab. Wenn ich die Lösung einschätze, dann sehe ich einen Mailserver (Postfix) mit einem Antivirus /ClamAV) und dem altbekannten SpamAssassin. ich betreibe das nicht selbst aber wie habe mehrfach die Erfahrung gemacht, dass nach einem Wechsel erst offenbar wurde, welche Leistungsunterschiede es doch gibt.
Kleine/Mittlere Firmen, die eh nur einen eher allgemeinen Filter brauchen, würde ich bei Exchange Online Protection oder anderen Hostern sehen, wenn nicht gleich die Mailbox schon in der Cloud ist.
Wer das nicht will oder dessen Anforderungen (z.B. SMIME/PGP, PDFMail etc) höher sind, wird damit auch nicht glücklich.
Aber als fertiges „Paket“ ist es sicher eine Möglichkeit. Ein Blick auf die Firewall kann da aber auch schon vergleichbare Lösungen ohne extra Systeme bringen.
Hallo Frank,
richtig, wie bei vielen anderen auch, wird hier eine GUI über ein paar einzelne Open Source Projekte gebaut. Ich finde das auch gar nicht schlecht, dann brauch ich nicht erst das Linux installieren, die entsprechenden Pakete zusammensuchen, jedes Paket einzeln konfigurieren, etc. Von daher haben diese „Softwärebündel“ für gewisse Zwecke durchaus ihren Reiz. In meiner Testumgebung könnte sich es ganz gut integrieren, denn es gibt eine REST Api, dies hab ich bisher noch bei keinem anderen OpenSource Projekt in der Form gefunden. Ich hab die API allerdings noch nicht getestet…
Ob diese Lösung nun Ihren Zweck im Unternehmen erfüllt, kann und mag ich nicht beurteilen.
Gerade bei den APIs machen, meiner Meinung nach, die meisten Anbieter von entsprechenden Lösungen einen Fehler: Keine API bedeutet fast immer, keine Integration in andere Produkte/Lösungen. So hat man irgendwann viele Inseln die alle nichts von einander wissen wollen oder können. Aber es gibt erfreulicherweise Hersteller die schon etwas weiter sind, da reden die unterschiedlichen Produkte der verschiedenen Hersteller (NAC, AntiSPAM, Virenscanner, DNS, Firewall, Sandbox, IDS, usw.) über entsprechende APIs miteinander und können somit einen besseren Schutz vor Angriffen liefern. Jeder hat somit sein Spezialgebiet, aber kommuniziert über den eigenen Tellerrand hinweg mit anderen Spezialisten, dafür muss man sich aber eben mal auf eine Sprache einigen… Ich schweife etwas ab…
Gruß,
Frank
ProxMox sieht sehr ordentlich aus, dem sollte man evtl. mal eine Chance geben. Andererseits nutze ich die Scrollout F1 und sie läuft einfach… Also warum wechseln? :D
Hey Franky,
wie sieht denn deine DMZ aus? Was für Firewalls nutzt du?
Warum nicht MailScanner kostenfrei
https://www.mailscanner.info/ ?
Hallo Franky,
was spricht gegen die Community Version von Mailcleaner?
Hat ähnliche Funktionen und bekommst wenigstens Updates.
Mit freundlichen Grüßen