3.12.2010 von rmo.

No risk no fun ! Dachte ich und habe mir mal KDE 4.6 Beta auf einem meiner Opensuse 11.3 Systeme installiert. Aus drei Gründen war das für mich ein interessantes Experiment :

1. Weil unter KDE 4.5.2, KDE 4.5.3 K3b nicht mehr funktionierte und ich gemäß der Einträge bei den entsprechenden KDE-Bugs aber die Hoffnung bekam, es könne nun wieder laufen.
2. Weil unter KDE 4.6 das Akonadi-Subsystem nicht mehr nur für das Adressbuch sondern auch für die Verwaltung der Mailordner zuständig wird. Hier ist das Wechselspiel mit IMAP-Systemen interessant.
3. Weil Akonadi auch mit den Kalender-Ressourcen eines Open-Xchange 5 Servers zusammenarbeiten sollte.

Um es vorweg deutlich zu sagen: Solche Experimente mit Beta-Systemen wie zu Punkt 2 sollten keine produktiven IMAP- oder OX-Server einbeziehen, sondern nur Server, die Kopien der eigentlichen IMAP-Mail-Ordner und Kalenderdaten beinhalten! Zur Not richtet man sich einen IMAP-Testserver halt auf einem Laptop oder einem virtuellen System ein. Bei OX5 oder OX6 ist das zugegebenermaßen schon schwieriger.

Zu Punkt 1 - K3b:

K3b läuft unter Opensuse 11.3 und KDE 4.6 wieder - allerdings nur mit den letzten K3b RPM-Paketen 2.0.1-44.1 im Opensuse Factory Repository. Eine CD habe ich mal testweise gebrannt - das lief ohne Probleme. Genauer getestet habe ich das Brennen von unterschiedlichen Medien (DVD+-R, DVD+RW, etc. aber noch nicht. Das Rippen von CDs läuft mit der aktuellen Version aber wie gewohnt. Anzumerken bleibt: Die aktuellen RPMs von Packman 2.0.1.pm.2.26 laufen nicht. (Vermutlich wegen der erfolgten Änderungen im HAL-Bereich)

Zu Punkt 2 - Kmail, Akonadi, IMAP - und die problematische Wirkung von Filtern :

Die Verwaltung von Mailordnern durch Akonadi stelle ich mir persönlich als eine komplexe Angelegenheit vor. Im Besonderen dann, wenn die Mailordner auf einem IMAP-Server liegen und die Filterung von Mails (Spam und andere Filter) aber lokal unter KDE’s Kmail erfolgt. Ich habe auf meinem Desktop-System eine ganze Reihe von Filtern eingestellt. Nicht nur zum zusätzlichen Filtern von Spam, der auf dem Server nicht erkannt oder zu vorsichtig behandelt wurde, sondern auch themen- und kundenbezogene Filter.

Für mich als Anwender stellt sich doch die Frage, wie der mindestens zweistufige Weg der Filterung von Kmail über die Akonadi-Maschinerie hin zum IMAP-Server abläuft. Kmail als Frontend zu Akonadi initiiert die Filterung und als Reaktion werden dann ggf. Verschiebungen von Mails aus dem Posteingangsordner hin zu anderen Ordnern durchgeführt. Das Ergebnis muss sich zunächst auf dem lokalen Akonadi-System und dessen Abbildung der Mailordner niederschlagen. Die vorgenommenen Ergebnisse der Filteraktionen wie Löschungen im Ursprungsordner und entsprechende Neuzugang in definierten Zielordnern müssen ja aber auch periodisch zwischen Akonadi und dem IMAP-Server abgeglichen werden. In einer solchen Verarbeitungskette - MUA-Client <> Akonadi (als zwischengeschobenes zentraler Puffer) <> IMAP-Server - eröffnen sich zahlreiche Möglichkeiten für Fehler.

Meine Erfahrungen waren entsprechend :
Die Migration der vorhandenen Mail-Ordner aus dem alten Kmail hin zu Akonadi ging grundsätzlich ohne Probleme vonstatten. Es dauerte allerdings etliche Minuten, da unsere Mailordner mehrere Gigabyte umfassen. Die Zeitdauer für die Migration war aus meiner Sicht absolut OK. Probleme verursachten dann aber die bereits konfigurierten Mail-Filter aus meiner KDE 4.5.3-Kmail-Version. Diese fingen nämlich beim Füllen meiner doch zahlreichen Mailordner an zu wirken - und zwar nicht in der gewohnten Weise. Es wurde in andere lokale Ordner verschoben, die begonnen Filtervorgänge schluckten enorm viel CPU-Zeit, die Kmail-Oberfläche kam letztlich zum Stillstand und war nicht mehr bedienbar …. Ursache war hier vermutlich, dass viele Mailordner im Zuge der Migration gleichzeitig neu befüllt wurden.

Kurzum:
Die Filter verursachten zeitversetzt und im Nachgang zum eigentlichen Migrationslauf zunächst ein ziemliches Chaos und ungewohnte Verschiebungen in lokale (!) Spam- und Trash-Ordner. Offenabr war ein teil der alten Konfiguration - nämlich die Festlegung der Zielordner - verloren gegangen. Nun ließen sich die laufenden Filterprozesse wegen des Stillstands der Kmail-Oberfläche leider auf konventionellem Wege auch nicht mehr aufhalten. Ein Killen der entsprechenden Prozesse, ein Löschen der Konfigurationsdatei kmail2rc und ein Neustart verhalfen mir schließlich zu der Möglichkeit, meine Filter zu entfernen und komplett neu anzulegen. Danach verhielt sich Kmail ruhiger und ließ sich fast (s.u.) normal bedienen. Die fälschlich verschobenen Mails habe ich dann wieder in ihre Ursprungsordner einstellen können.

Ich kann daher jedem, der größere Mailordner sein eigen nennt, nur raten, vor einem Umstieg auf das neue KDE und sein Kmail alle eingerichteten Filter zunächst mindestens zu deaktivieren, wenn nicht gar zu löschen - und sie erst im Nachheinein neu einzurichten.

Aber auch dann bereiten die lokalen Filter in Kmail noch weitere Probleme:

Im Gegensatz zu früheren Kmail-Varianten werden nämlich alle auf dem IMAP-Server für das Löschen markierte - aber im IMAP-System aus den Ursprungsordnern physikalisch noch nicht gelöschte Mails - erneut in den Mail-Ordnern von Kmail angezeigt (in grauer Schriftfarbe). Regeln zur Kompaktifizierung der IMAP-Ordner - sprich zu einem sofortigen Löschen von Mails in den IMAP-Ordnern auf dem Server - sind bei mir deaktiviert. Mails werden daher auf dem IMAP-Server bei Lösch- oder Verschiebe-Vorgängen in ihrem Ursprungsordner nur zum Löschen markiert. Die eigentlichen Löschungen laufen dann am IMAP-Server zwar periodisch, aber mit deutlichem zeitlichem Abstand. Das ist eine reine Vorsichtsmaßnahme, von der die User an ihren Clients (wie dem alten Kmail) normalerweise gar nichts mitbekommen.

Aus der Anzeige der zum Löschen markierten Mails in Kmail lässt sich schließen, dass Akonadi beim Filtern und Verschieben der Mails in neue Ordner also mitbekommt, dass die verschobenen Mails auf dem IMAP-Server noch im Ursprungsordner vorhanden sind - wenn auch mit geändertem Status. Nun wirkt sich das leider negativ auf die Filter in Kmail aus. Die Filter bewerten die markierten Mails offenbar als neu eingegangene (möglicherweise wegen der Statusänderung) und filtern sie deshalb auch erneut. Obwohl sie ja schon früher behandelt und in andere Ordner verschoben wurden. Und das setzt sich dann so fort ….

Ergebnis:
Nach einigen periodischen Abgleichen zwischen Akonadi und dem Imap-Server wächst der Inhalt in Trash oder Spam-Ordnern linear an. Mit immer den gleichen Dateien. Das ist im Produktivbetrieb ein Desaster. Als Anwender kann man hier das Gesamtsystem nur so einstellen, dass bei der Löschung/Verschiebung einer Mail aus einem Ordner durch eine Kmail-Aktion auch eine sofortige Löschung der Mail in ihrem Ursprungsordner auf dem IMAP-Server vorgenommen wird. Das ist zumindest riskant. Oder man muss die Filter um sehr spezielle Einstellungen und Kriterien erweitern - was man vom normalen User nicht verlangen kann.

Die Lösung aus meiner Sicht wäre eine andere Behandlung von Mails, die auf dem IMAP-Server zum Löschen markiert sind, in Akonadi wie in der Anzeige und den Filter-Routinen von Kmail.

In der jetzigen Form ist das Kmail/Akonadi-Verhalten im Zusammenspiel mit IMAP-Servern zwar schon erstaunlich stabil und auch die Migration der Mailordner zu Akonadi-Ressourcen funktioniert im Kern schon richtig. Aber die Behandlung von Mails, die aufgrund von Client-Aktionen auf den IMAP-Servern zum Löschen vormarkiert werden, muss für den produktiven Einsatz geändert werden.

Hinzu kommt ein weiteres Problem, dessen Ende ich auf meinem Versuchssystem noch nicht absehen kann. Mindestens am ersten Tag der Umstellung fraß der “virtuoso-d”-Prozess mit führendem Abstand die allermeiste CPU-Zeit auf meinem System (in Form von nice-Last). Ursache ist die Indizierung von Mails durch Nepomuk mit Virtuoso als Backend (virtuoso-t ist wohl ein zugehöriger Datenbank-Prozess).

Dabei war die Konkurrenz um die Prozessorzeit keineswegs gering - auf zwei von 4 CPU-Cores habe ich andauernd unter VMware auf einem virtuellen Windows-System gearbeitet. Normalerweise würde VMware die meiste CPU-Zeit beanspruchen. Bei KDE 4.6 Beta war es bislang aber der Prozess “virtuoso-d”. Er verbrauchte doppelt soviel CPU-Zeit wie VMware - und zwar im bereich mehrerer Stunden. Das ist wirklich viel!

Ob das daran liegt, dass ich Gigabytes an Mails habe, vermag ich im Moment nicht zu sagen. Ich hoffe jedenfalls noch, dass “virtuoso-t” nach vielleicht weiteren 12 Stunden endlich Ruhe gibt. Im Moment ist er immer noch fleißig am Werkeln. Fairerweise muss ich sagen, dass vituoso-t sich auf einen Prozessor-Core beschränkt und nach ersten Eindrücken auch nur dann so richtig aktiv wird, wenn tatsächlich noch CPU-Zeit verfügbar ist. Na ja, wir werden sehen, ob die Nepomuk- Indizierung auch mal zu einem Ende kommt. Insgesamt ist das Ganze aber in Indiz dafür, dass man Virtuoso oder aber das Zusammenspiel von Akonadi und Virtuoso ggf. noch effizienter machen muss.

Im Moment würde ich wegen der geschilderten Erfahrungen noch niemanden raten, auf produktiven Systemen auf das neue Kmail umzusteigen.

Zu Punkt 3 - Korganizer, Kadressbuch, OX5:

Das funktioniert im Moment schlicht und einfach nicht. Die Einrichtung von Kalendern als Teil einer OX5-Verbindung zu Kontakt scheitert. Einen entsprechenden Bug habe ich eingestellt. Das ist für mich im Moment übrigens der Hauptgrund, bei KDE 4.5.3 zu bleiben.

Auf einige Ungereimtheiten beim Umgang mit dem OX5-Adressbuch mag ich hier nicht mehr eingehen. Das läuft zwar als Relikt aus 4.5.3 zwar irgendwie, aber dennoch habe ich den Eindruck, dass die zugehörige Akonadi-Ressource nicht wirklich migriert wurde. Denn wenn ich auf die Eigenschaften der entsprechenden Akonadi-Resource zum OX5-Adressbuch gehe, öffnet sich ein Dialog zur Migration - in dem leider Open-Xchange gar nicht als Alternative erscheint. Womöglich arbeitet das “übernommene” Adressbuch also auf einer alten, nicht upgedateten Akonadi-Resource, die keine Verbindung zum OX-Server mehr aufweist. Bin im Moment aber zu faul, mir das genauer anzusehen.

Fazit:

Interessant war es schon, Akonadi nun mal im breiten Einsatz für Gigabytes an Mail zu sehen und nicht nur als Quelle für simple und in der Anzahl überschaubare Adressbuch-Daten. Im Kern funktioniert das schon. Bis auf “Kleinigkeiten” wie die Anzeige von zum Löschen markierten Mails des IMAP-Server und die Behandlung von Filteraktionen für solche Mails.

Ich bin daher sehr gespannt, wie sich KDE 4.6.Beta 2 bzw. der Release-Kandidat präsentieren werden. Im Moment ist Kontact KDE 4.6 in unserem Arbeits-Umfeld jedenfalls noch nicht reif für den produktiven Einsatz. Was ich bei einer ersten Beta-Version auch keinesfalls überbewerten will, sondern als normal ansehe.

Nachtrag: Problem mit der FROM-Adresse

Gerade macht mich meine Frau darauf aufmerksam, dass Mails, die ich von meiner Testinstallation verschicke, eine leere FROM-Envelope-Adresse aufweisen. Dies geschieht seit der Installation der letzten Kmail-RPM-Variante 4.5.80-261.2 vom Opensuse Factory-Repository unter KDE 4.6 Beta. Obwohl alle notwendigen Daten in der Kmail-”Identität” gepflegt sind. Na ja, Beta halt ……

Geschrieben in Open-Xchange 5, KDE, Kontact - Kmail, Postfix, Cyrus, Kmail, Open-Xchange | Keine Kommentare »

29.1.2009 von rmo.

Einige unserer Bekannten, die unsere Mail-Konfiguration unter Linux gesehen haben, spielen jetzt mit dem Gedanken, in Ihrem Netz einen eigenen kleinen IMAP-Server zu installieren, um die Mail-Verwaltung und vor allem die Mailsicherung zu zentralisieren. Besonders Mutige möchten dabei sogar einen Open-Xchange-Server einsetzen. Als Client ist KDEs Kmail geplant (unter dem kommenden KDE 4.2).

Ein solches Vorhaben ist grundsätzlich lobenswert: Schon in einer dreiköpfigen Familie kann sich der Linux-Freund viel Zeit und Ärger ersparen, wenn er mit einem Server arbeitet.

Er sei aber gewarnt: Eine Mail-Server-Konfiguration ist nicht gerade eine einfache Übung. Die anfängliche Zeit- und Aufwands-Investition in ein solches Unterfangen ist erheblich. Als ich damit anfing, versuchte ich erst einmal, 2 Bücher zu dem Thema wenigstens ansatzweise zu verstehen, bevor ich praktisch loslegte. Es gibt einfach wahnsinnig viele Dinge, die man vorab wissen und richtig einordnen sollte.

Wir können in diesem Beitrag nur ganz kurz auf den Server eingehen - es geht uns mehr um die Anbindung von KDEs Kmail an den laufenden Server. Dennoch wollen wir wenigstens skizzieren, wie die Gesamtkonfiguration für ein kleines Netzwerk aussehen kann.

Mögliche Serverkonfiguration und Mailtransfer

Wir beschreiben der Einfachheit halber eine “isolierte” Server-Konstellation für ein kleines privates Netz oder das Netz einer kleinen Firma. Der Mailserver beinhaltet dabei folgende Komponenten:

• Fetchmail [zum Abholen von Mails aus Postboxen bei Mail-Providern im Internet]
• Postfix ( Mail Transfer Agent) [Fetchmail leitet Mails in die SMTP-Eingangsqueue von Postfix. Nach einer Aufbearbeitung gibt Postfix die Mails an einen IMAP-Server weiter. Postfix transferiert zudem ausgehende Mails über seine SMTP-Queues an einen SMTP-Relay-Server beim Provider weiter].
• Cyrus IMAP [Der IMAP-Server organisiert und verwaltet Mails, die ihm Postfix zuliefert in strukturierten Mailboxen (besser Mail-Directories). Auf diese Mailboxen greifen dann Linux-Clients im LAN mit Hilfe von Kmail als MUA (Mail User Agent) zu].
• Groupware-Komponenten von Open-Xchange [Kalender, Task-Folder etc., auf die mit KDE Kontact/Korganizer zugegriffen werden soll. Die Open-Xchange-Accounts sind dabei aber engstens mit den lokalen Mail-Accounts verbunden.]
• Ggf. eine lokale Firewall (z.B. auf Basis von IPtables)

Private Domaine im LAN vs. registrierte Domaine im Internet

Die Komponenten Postfix und Cyrus sind dabei nur zuständig für die lokale private Domaine des Firmen-LANs und die zugehörigen Mail-Accounts. Der Mail-Server hängt nicht direkt am Internet und darf nur von internen Clients zur Weiterleitung von Mails an einen SMTP-Server im Internet benutzt werden. Der lokale Mailserver liegt also möglicherweise hinter einer Firewall, die von außen keinen SMTP-Verkehr ins LAN hinein zulässt.

Der Mailverkehr im Internet läuft dagegen über Mailboxen und SMTP-Server bei einem Service-Provider ab: Der lokale Mailserver des LANs kommuniziert über Fetchmail bzw. SMTP mit den POP/IMAP- bzw. SMTP-Server des Providers, wenn Mails geholt bzw. Mails versendet werden.

Weitere Merkmale und Eigenschaften der Konfiguration sind:

1. Der MTA Postfix ist nur der “privaten” internen Domaine des lokalen Netzwerkes zugeordnet. Er ist als Endstation eines Mailtransfers ausschließlich für Mail-Accounts (Postboxen) von Usern dieser Domaine zuständig. Diese “Domaine” hat keine Entsprechung zu realen, registrierten Domainen im Internet. Sie ist nur einem lokalen DNS-Server im LAN, nicht aber offiziellen DNS-Servern im Internet bekannt.
2. Die Postboxen der lokalen Domaine sind die des IMAP-Servers. Sie können aus dem Internet nicht direkt beliefert werden. “Reale” Mailaccounts, die aus dem Internet beliefert werden können, befinden sich nur beim Mail-Service-Provider. Auch der Postversand ins Internet erfolgt über einen SMTP-Server beim Provider: der dortige SMTP-Server wird also als Zwischenstation - als sog. “Relay-Server” - verwendet.
3. Der “Cyrus” IMAP-Server ist dem Postfix-System nachgelagert. Postfix interagiert mit dem IMAP-Server über das Protokoll LMTP. Mail-Clients (MUAs) wie Kmail unterhalten sich mit dem IMAP-Server dagegen über das IMAP-Protokoll.
4. Postfix empfängt Mails über ein vorgeschaltetes Fetchmail-Modul, dass periodisch E-Mails aus den Postfächern bei Providern abholt (i.d.R. über POP3). Die Einspeisung in Postfix erfolgt lokal über SMTP. Postfix übermittelt dem Cyrus IMAP Server dann die eingegangenen Mails über LMTP weiter.

   Das skizziert allerdings nur die Grundstruktur der Behandlung eingehender Mails auf dem Server. Die Einbindung von Viren- und Spamscannern in die Postfix-Verarbeitungsmechanismen erfordert natürlich zusätzliche Maßnahmen. Wir setzen in diesem Zshg. z.B. auch “procmail” für Filteraufgaben ein. Auf Details können wir an dieser Stelle leider nicht eingehen.

5. Der Mailversand der Clients erfolgt über das SMTP-Protokoll zunächst an Postfix; Postfix leitet die Mails dann an den SMTP-Server des Providers (Relay-Server) weiter. Erst von dort werden die Mails in Richtung auf den Empfänger im Internet weitergeleitet. Auf dem Relay-Server muss Postfix sich i.d.R. authentifizieren. Hierzu müssen ensprechende Authentifizierungs- und Verschlüsselungsverfahren von Postfix unterstützt werden.

   Die Postfix-Konfigurationsdatei “main.cf” muss den passenden Relay-Server-Eintrag enthalten. Je nach Auth-Mechanismus beim Service-Provider müssen zudem passende sasl-Libs vorhanden sein. Ein Auszug aus der “/etc/postfix/main.cf” zeigt das Wesentliche:

   relayhost = smtp.strato.de
   smtp_sasl_auth_enable = yes
   smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
   smtp_always_send_ehlo = yes
   smtp_sasl_security_options = noanonymous

   Die Zugangsdaten sind in der Datei sasl_passwd zu hinterlegen und über das “postmap”-Komando zu aktivieren.

6. Die “realen” Mailadressen beim Provider (für eine im Internet registrierte eigene oder fremde Domaine) müssen auf die internen Accounts des IMAP-Servers in der “privaten” Domaine abgebildet werden. Auf dem Weg von der Mailbox beim Serviceprovider zum eigenen Postfix- und dem IMAP-Server erfolgt die Adress-Umsetzung dagegen durch Fetchmail, das entsprechend konfiguriert sein muss (Datei /etc/fetchmailc). Auf dem Weg nach außen erledigt dies dagegen Postfix über entsprechend konfigurierte “canonical maps” (Datei “/etc/postfix/sender_canonical” und Befehl “postmap”!).

Konfiguration und Anbindung von Kmail

Die Anbindung von Kmail an einen IMAP-Server (z.B auf einem Open-Xchange-Server) im eigenen LAN ist im Grunde simpel. Eine Sache gibt es es bei der Einrichtung aber doch zu beachten - die Festlegung der sog. Identität. Diese muss zu den eingerichteten Accounts des Open-Xchange [OX]-Systems passen - sonst lassen sich später (private) Kalender-Folder und Task-Folder wegen fehlender Rechte nicht sauber in Kontact/KOrganizer einbinden. Schwierigkeiten kann es dann auch bzgl. der Organisator-Rolle bei der Anlage von Gruppenterminen geben.

Folgende Punkte sind bei einer Anbindung von Kmail anzupassen:

Festlegung der sog. Kontact/Kmail - “Identität”

Die Konfiguration erfolgt über den Menüpunkt “Einstellungen -> Kmail einrichten”. Im sich öffnenden Fenster legt man die zu verwendende Identität unter der Rubrik “Identitäten” fest. (Die Möglichkeit, mehrere Identitäten anzulegen, blenden wir nachfolgend aus.)

Hinweis für OX-Clients:
Bei der Identitätsdefinition ist es wichtig, unter dem Reiter “Allgemein” bei der Email-Adresse exakt die Adresse anzugeben, die auch auf dem OX-Server verwendet wird und nicht diejenige Adresse, die im externen Mailverkehr als Antwortadresse verwendet wird. Der Grund hierfür liegt im OX-Rechtesystem. Will man später seine Kalenderordner an Kontakt anbinden, so werden die Rechte an den zugehörigen privaten Kalender-Ordnern des OX-Systems anhand des Mail-Accounts überprüft. Ferner wird die Mailadresse auch benutzt, wenn man als Organisator von Gruppenterminen im Kalender auftritt. Die Festlegung der Identität hat also Auswirkungen bei der Termin- und Aufgabenplanung im Team (Kontact - Kalender-Modul).

Um die Unterschiede zwischen den Mailangaben für die interne Identität und den Eigenschaften einer externen Mailidentität im Internet beim Mailverkehr nach aussen zu kompensieren, müssen entsprechende Einträge in der Postfix-Konfigurations-Datei “sender_canonical” vorgenommen werden (nicht vergessen “postmap” auszuführen, um die Umsetzungsregeln auch in die interne Postfixdatenbank zu übernehmen und damit wirksam zu machen). Postfix ersetzt dann in allen ausgehenden Mails automatisch interne Adress- und Domainangaben in passende Angaben realer Mailaccounts, die im Internet verwendbar und überprüfbar sind.

Unter dem Reiter “Kryptografie” pflegt man ggf. seine PGP-/S-Mime-Schlüssel für Signaturen und verschlüsselte Mails ein. OpenPGP sowie KGpg sollten dafür installiert und gepflegt sein. Die Warnung, dass die Signatur für eine andere Emailadresse (nämlich die reale im Internet) ausgestellt wurde, kann man bei korrekten Umsetzungsregeln in Postfix - für externe wie interne Empfänger - ignorieren.

Der Reiter “Erweitert” erlaubt später die Einrichtung der Ordner für versendete Dateien, Entwürfe und Vorlagen zur angelegten “Identität”. Damit man dabei auch Ordner des IMAP-Servers auswählen kann, muss die Anbindung an den Server erst einmal stehen. Man holt diese Ordner-Konfiguration einfach später nach. Unter diesem Reiter legt man übrigens auch die “Antwort”-Mail-Adresse (”Reply to” - Adresse) für seine Mails fest.

Unter dem Reiter “Signatur” pflegt man seine Signatur-Angaben ein - also den Abspann für Mails. Ob dieser Abspann bei zitierten Mails vor oder nach dem Zitat-Bereich eingefügt werden soll, legt man übrigens unter “Einstellungen - Kmail einrichten - E-Mail-Editor - Reiter Allgemein” fest.

Festlegung des IMAP-Zugangs

Die Einstellungen für den Zugang zu einer Mailbox des IMAP-Servers (samt der untergeordneten Mail-Directory-Struktur) nimmt man unter dem Menüpunkt “Einstellungen - Kmail einrichten - Zugänge” vor. Danach geht man zum Reiter “Empfang”. Hier muss man sich grundsätzlich entscheiden, ob man einen replizierenden, sog. “disconnected Imap” - Zugang oder einen gewöhnlichen IMAP-Zugang anlegen will.

Hierzu folgender Hinweis: Ich habe bei früheren KDE 3.5-Versionen immer einen “disconnected IMAP” Zugang angelegt, obwohl die Replizierung der Mails bei mir enorm viel lokalen Speicherplatz auf der Platte verbrauchte (2 GB). Das verursachte auch länglich Abgleichzeiten mit intensivem Plattenzugriff. Diese Nachteile habe ich in Kauf genommen, um etliche Kmail-Fehler bei der Anwendung von lokalen Filterbefehlen (z.B. für eine Virusanalyse) über mehrere 100 Mails hinweg zu umschiffen. Das sukzessive und automatische Abarbeiten vieler mails hat mit normalen IMAP-Zugängen nie so richtig ohne Fehler und Abbrüche bis Abstürze funktioniert. Sehr wohl ging das aber fehlerfrei mit den replizierten (lokalen) Mails der disconnected-IMAP-Variante.

Unter KDE 4.2 habe ich bisher allerdings keine Probleme feststellen können. Daher verwende ich hier inzwischen einen normalen IMAP-Zugang.

Nach der Festlegung der IMAP-Zugangs-Art wählt man “Hinzufügen” und arbeitet dann der Reihe nach die Reiter für den neuen Zugang ab.
Die Zugangsdaten (IMAP-Account-Id und zugehöriges Passwort; diese Daten muss man natürlich kennen) zur eigenen Mailbox auf dem IMAP-Server werden unter dem Reiter “Allgemein” eingegeben. Kreuzt man dabei “IMAP-Passwort merken” an, so wird das Passwort nach Rückfrage in Kwallet hinterlegt.

Unter dem Reiter “Erweitert” bekommt man neben den typischen Einstell-Möglichkeiten für abonnierte und versteckten Ordner auch die Möglichkeit, die für diesen Zugang zu verwendende Identität festzulegen. In der Regel hat man nur eine, nämlich die, die man schon weiter oben angelegt hat. Festgelegt wird hier auch der Ordner für den Mülleimer.

Bei der Pfad-Angabe “Persönlich” trägt man das Inbox-verzeichnis auf dem IMAP-Server ein (meist “INBOX/”). Bei Namensräumen i.d.R.: “user/”
- das ist der Pfad unter /var/spool/imap, der zu den Verzeichnissen der einzelenen IMAP-Accounts (IMAP-User) führt. Den Punkt “Freigegeben” läßt man <Leer>.

Unter dem Reiter “Sicherheit” kann man Sicherheitsfeatures des IMAP-Servers testen. Ich habe auf unserem OX unter anderem TLS eingerichtet. Im internen Netzwerk benötige ich die verschlüsselte Übertragung zu meinem Arbeitsplatz aber zumeist nicht. Dies mag in anderen Firmen anders sein.

Sieve-Filtering kann man unter dem letzten Reiter angeben, wenn man den IMAP-Server entsprechend eingerichtet hat. (Die OX-Oberfläche hilft beim Festlegen von Sieve-Einstellungen).

Alle IMAP-Zugangs-Einstellungen sind einfach zu überblicken. Hat man alles richtig gemacht, so kann man nun bereits sein Postfach auf dem IMAP-Server sehen. (Wurde ein “disconnected Imap”-Zugang angelegt, so muss man im nächsten Schritt die erstmalige Replikation aller (abonnierten Ordner) vornehmen. Menü “Datei - nach Email sehen “; dann den IMAP-Zugang wählen, den man zuvor konfiguriert hat.)

Hinweis: Das Menü “Datei” enthält einen Punkt “Alte Nachrichten aus allen Ordnern löschen”. Nicht benutzen! Und bitte auch für keinen Ordner Verfallszeiten für Mails einrichten. Das Löschen geht so schnell - und wehe, man hat dann keine regelmäßige IMAP-Sicherung ! Ich würde es gerne sehen, dass dieser Befehl aus dem regulären Satz an Menü-Befehlen verschwindet.

Festlegung des SMTP-Versands

Die Einstellungen für den Mailversand per SMTP nimmt man unter dem Menüpunkt “Einstellungen - Kmail einrichten - Zugänge” vor. Danach geht man zum Reiter “Versand”. Auch dort sind die Einstellungen einfach vorzunehmen. Wieder kann man TLS oder SSL für eine verschlüsselte Übertragung der Mails zum Server einrichten. Der Reiter “Erweitert” erlaubt die Eingabe von Authentifizierungsdaten und die Wahl des Authentifizierungsverfahrens (SMTP-AUTH Mechanismus). Wir setzen CRAM-MD5 ein. Der OX Server mit Postfix muss natürlich bzgl. der SMTP-Auth Mechanismen entsprechend eingerichtet sein. Postfix bedient sich diesbzgl. der (Cyrus) SASL-Mechanismen. Wir benutzen bei uns als Authentification Backends sowohl “saslauthd” als auch “auxprop” plugins (mit sasldb(2)). Die Fähigkeiten des Servers kann man vor der Festlegung des Auth-Mechanismus testen.

Festlegung von Verzeichnissen

Unter Kmail werden die Einstellungen für bestimmte Verzeichnisse an folgenden Orten festgelegt:

• Ordner für versendete Nachrichten : Einstellung unter Menü “Einstellungen - Kmail einrichten”, dann “Identitäten”, dort Reiter “Erweitert”
• Ordner für Entwürfe : Einstellung unter Menü “Einstellungen - Kmail einrichten”, dann “Identitäten”, dort Reiter “Erweitert”
• Ordner für Vorlagen : Einstellung unter Menü “Einstellungen - Kmail einrichten”, dann “Identitäten”, dort Reiter “Erweitert”
• Mülleimer für gelöschte Mails: Einstellung unter Menü “Einstellungen - Kmail einrichten”, dann “Zugänge - Reiter Empfang”, dann IMAP-Konto wählen - Reiter “Erweitert”
• Ordner, der beim Start von Kmail geöffnet werden soll: Menü “Einstellungen - Kmail einrichten”, dann “Diverses”

In allen Fällen können dort auch Verzeichnisse im Directory-Baum des IMAP_Servers angegeben oder ausgewählt werden, sobald der Zugang zum IMAP-Server etabliert wurde.

Hinweis:
Natürlich kann man neben dem IMAP-Zugang zum eigenen IMAP-Server auch weitere POP- und IMAP-Zugänge zu externen Servern im Internet einrichten. Für ganz besondere Konstellationen ist es dann im Menü “Einstellungen - Kmail einrichten - Identitäten - Reiter Erweitert” möglich, für jeden IMAP-Zugang einen eigenen SMTP-Versandweg einrichten, wenn dies erforderlich sein sollte.

Mehr ist für ein funktionierendes Zusammenspiel auf der Kmail Seite nicht zu tun. Dem Text kann man aber schon entnehmen, dass die eigentlichen Schwierigkeiten bei der Einrichtung eines funktionierenden Mailsystems im lokalen netzwerk eher auf der Seite des Servers - also bei der Postfix und Cyrus-Konfiguration liegen.

Wir werden uns einigen Details der Mailserver-Konfiguration vielleicht in späteren Beiträgen widmen.

Geschrieben in Open-Xchange 5, Kontact - Kmail, Postfix, Cyrus, Kmail, Open-Xchange | Keine Kommentare »

23.10.2008 von rmo.

Das letzte Update des OX5-Servers auf das SP4 U1 führte in unserer Umgebung leider zu folgendem Fehler:

Bei allen vorher existierenden User-Accounts waren plötzlich die privaten Adresseinträge nicht mehr zugänglich. So etwas ist trotz Sicherung mehr als ärgerlich. Nur die OX-Entwickler wissen vermutlich, wie es zu diesem Missstand kommen konnte. In einer Produktivumgebung ist sowas ein kleines Desaster.

Andererseits lieferte es in unserem Fall auch ein Beispiel dafür, dass man in einer Open Source-Umgebung solche Fehler mit ein wenig Geschick selbst beheben kann. Als nützlichen Nebeneffekt lernten wir dabei auch noch etwas über die Datenstrukturen von OX5, die auf unserem Server in einer Postgres-Datenbank mit der Bezeichnung “openexchange” abgelegt sind.

Der Fehler wurde auf unserem System dadurch sichtbar, dass ein Klick auf das Kontakt-Icon in der Bedienungsleiste des OX-Portals zur Meldung führte, dass man keine Berechtigung für den Zugriff besäße:

Kontakte
“Keine Berechtigung. Für den gewünschten Bereich fehlt Ihnen die Berechtigung.. “.

Daran änderte auch eine explizite neue Rechtevergabe für die betroffenen Accounts über die OX-Administrationsoberfläche leider gar nichts. Dann fiel uns auf, dass der bisher existente Default-Ordner “Kontakte” auch nicht mehr im persönlichen Ordnerbereich angezeigt wurde. Waren die privaten Adressdaten der verschiedenen User-Accounts also überhaupt noch vorhanden?

Kontakte Ordner, Datenbank und LDAP

Adressdaten werden im OX-System in sog. “Kontakte-Ordnern” abgelegt:

• einem speziellen privaten Kontaktordner, der beim Anlegen eines Accounts automatisch erstellt wird (zusammen mit einem Kalender- und Aufgaben-Ordner)
• selbst erstellten weiteren privaten Kontaktordnern,
• einem “globalen Adressbuch”, das firmenweit gültige Adressen bereitstellt,
• und in einem LDAP-Verzeichnisdienst.

Alle angelegten Kontakte tauchen dabei sowohl in der Openexchange Datenbank als auch im LDAP-Verzeichnis auf. Auf beide Quellen kann man unter KDE übrigens mit dem Informationsmanager “KDE Kontact” zugreifen.

In einem ersten Schritt bemühten wir den LDAP-Browser “gq”, um uns ein Bild davon zu verschaffen, welche Adresseinträge eigentlich auf dem LDAP-Server noch vorhanden waren. Mit Erleichterung konnte ich die Vollständigkeit privater Adresseinträge im Zweig

ou=addr,uid=MYSELF,ou=people,dc=MYDOMAIN,dc=de

des LDAP-Baumes feststellen. Meine eingepflegten Adressen war also zumindest dort noch vorhanden. Als nächsten Schritt legte ich dann einen neuen OX-Useraccount an, um herauszufinden, ob durch das Upgrade irgendwelche persönlichen Einstellungen verpfuscht worden waren. Zunächst konnte ich feststellen, dass der Vergleichsaccount
a) bis auf den Namen zu genau den gleichen Basiseinträge im LDAP führte, die auch mein Originalaccount aufwies,
b) und dass der Fehler mit dem Kontakte-Ordner für den neuen Account gar nicht auftauchte !

Die Ursachen für den Fehler waren also wirklich im Upgrade und irgendwelchen irregulären Datenbanktransaktionen für die vorhandenen Accounts zu verdanken.

Tabellen für Kontakte, Defaultordner und Zugriffsrechte in der Datenbank “openexchange”

Also: SSH-Zugriff auf den OX-Server. “su postgres” absetzen und danach mit “psql openexchange” auf die Postgres-Datenbank zugreifen. Ein “\dt” verschafft einem dann einen Überblick über die vorhandenen Tabellen. Nach etlichen Selects und ein wenig Kombinationsvermögen erkennt man schließlich Folgendes:

1. Die “Standardordner” eines Benutzeraccounts sind u.a. in der Tabelle “oxfolder_standardfolders” über Referenzschlüssel eingetragen.
2. Die eigentlichen Ordnereinträge findet man in der Tabelle oxfolder_tree. Der dortige Primary Key entspricht dann für die Defaultordner (u.a. “Kontakte”) eines Users den Referenzschlüsseln in der Tabelle “oxfolder_standardfolders”.
3. Adressdatensätze sind in der Tabelle “prg_contacts” eingetragen. Dort tauchen in entsprechenden Spalten dann natürlich auch Referenzschlüssel zum jeweiligen Ordner und zum User auf. (In dieser Tabelle fand ich dann in schöner Übereinstimmung zum LDAP auch meine privaten Adresseinträge wieder).
4. Die Rechte zu den Ordnern sind in der Tabelle “oxfolder_permissions” eingetragen. (Details der numerischen Rechtekammstruktur lassen sich durch Beispieleinträge mit unterschiedlich vergebenen Rechten analysieren und ermitteln).

Durch Vergleich der Einträge zu meinem Originalaccount in den verschiedenen Tabellen mit entsprechenden Einträgen zu einem frisch angelegten Useraccount konnte ich dann folgende, durch das Upgrade entstandene Defizite ermitteln:

• In der Tabelle “oxfolder_tree” fehlte in der Spalte “owner” der Eintrag des User-Kürzels. Dies war durchgängig für alle Accounts der Fall, die bereits vor dem Upgrade existierten.
• In der Tabelle “oxfolder_permissions” fehlten die Einträge für die Default-Kontakteordner der User völlig.

Nach einem Vergleich mit den Daten eines neuen Accounts konnte wir mit Hilfe von Update- und Insert-Statements die erforderlichen Sätze letztlich recht einfach rekonstruieren. Und siehe da: Danach führte dann auch der Klick auf das “Kontakte”-Ordner-Icon wieder zum gewünschten Ergebnis!

Fazit:

Auch bei einem rel. umfassenden System wie “Open-Xchange” hat man im Fehlerfall (manchmal) eine Chance, diesen selbst zu beheben. Ein echter Vorteil von Open Source-Produkten! Das Auftreten des beschriebenen Problems im Zuge eines Upgrades ist aber dennoch in höchstem Maße ärgerlich!

Geschrieben in Open-Xchange 5, Erfahrungsberichte, Open-Xchange | Keine Kommentare »