Methoden Mailbenutzer Remote anzulegen

[kthron]

Hallo,

wollte ma fragen was ihr so für Möglichkeiten seht remote mit PHP (oder anderen Script-Sprachen) Mailbenutzer anzulegen. Lokal ließen sich ja verschiendeste Skripts erstellen, die PHP dann nur aufzurufen braucht und das Skript erstellt dann den Mailbenutzer. Bei Remote ist es, denke ich mal, sehr stark von der Gesamtkonfiguration des Mailservers abhängig. Ich habe auch schon von speziellen Programmen gehört, die angesteuert werden können um Mailbenutzer anzulegen. Aber ob das Remote funktioniert weiss ich nicht.

Was denkt ihr über folgende Konfiguration:
Benutzer werden über eine Datenbank verwaltet. Über PHP kann man dann per SSL eine Verbindung remote zum Mailserver eine Verbindung herstellen und den Benutzer anlegen. Sicher? Oder was seht ihr da für Probleme?

Und wenn wir schon beim anlegen von Benutzern sind: Sind die jeweiligen Umsetzungsmöglichkeiten auch dafür geeignet Benutzer zu löschen? Als Beispiel: Der beschriebene Weg mit der Datenbank hat das große Problem, dass der Benutzer zwar gelöscht wird, nicht jedoch sein E-Mail-Postfach. Entsprechend muss vorher das E-Mailfach geleert werden damit ein später angelegter Benutzer mit gleicher E-Mail nicht auf die E-Mails des Vorbesitzers trifft. Aber auch nach dem leeren des Postfachs bleiben leere Postfächer übrig, was ich langfristig sehr kritisch sehe.

Würde mich über eure Beiträge freuen

[Roger Wilco]

Benutzer werden über eine Datenbank verwaltet.

Das an sich (wobei "Datenbank" jetzt mal stellvertretend für ein RDBMS oder einen Verzeichnisdienst wie LDAP steht) ist Usus bei Installationen mit mehr als 10 Benutzern. Jeder mehr oder weniger verbreitete MTA und Mailstore unterstützt das. Das Anlegen der Benutzer in der Datenbank kann, bei entsprechender Konfiguration, auch problemlos von anderen Rechnern erfolgen. Bei größeren Setups mit zentraler Benutzerverwaltung ist das auch üblich. Ob du PHP oder eine andere Programmiersprache für das Frontend nutzt, ist dabei erstmal nebensächlich.

Und wenn wir schon beim anlegen von Benutzern sind: Sind die jeweiligen Umsetzungsmöglichkeiten auch dafür geeignet Benutzer zu löschen?

Bei Cyrus Admin kann z. B. 'cyradm' benutzt werden, um Konten zu löschen - auch über Rechnergrenzen hinweg. Bei Einsatz von DBMail würde es sich z. B. auf das Löschen der zu dem Benutzer gehörenden Datensätze im RDBMS beschränken. Das lässt sich sicherlich noch lange weiterführen. Aber selbst wenn der Mailstore das nicht direkt unterstützt - ein kleines Skript zum Löschen nicht mehr vorhandener Postfächer ist schnell geschrieben.

[kthron]

Also das mit dem Script zum Löschen, da hast du recht, ist schnell gemacht. Die Konfiguration mit der Datenbank erschien mir einfach als einfachste, da entsprechende Bordmittel bei vielen Scriptsprachen schon vorhanden sind. Ich habe mich nur gefragt wie sicher es ist Remote Benutzer per Datenbankverbindung erstellen zu lassen. Immerhin muss man dann die Datenbank nach außen lauschen lassen, was an sich schon ein nettes Einfalstor ist. Andererseits muss es ja so ein "Einfallstor" geben (egal welche Methode). Wollte halt nur wissen ob bessere Möglichkeiten denkbar wären.

[Roger Wilco]

Immerhin muss man dann die Datenbank nach außen lauschen lassen, was an sich schon ein nettes Einfalstor ist.

Außen ist relativ. Ich sage mal SSH-Tunnel oder allgemein VPN.

[kthron]

Hallo zusammen und danke für die Beiträge.
Also, an ein SSH Tunnel habe ich auch schon gedacht. Aber ich habe bis jetzt noch keine Idee wie ich das genau nutzen soll. Wie schon eingangs gesagt benutze ich PHP (bei anderen Scriptsprachen muss ich den Webhoster genau fragen) und google hat mir mit PHP und SSH-Tunnel nichts sinniges ausgespuckt.
Nachtrag: Habe mich gerade etwas genauer über SSH-Tunnels gelesen. Denke, dass dies in meinem Fall nicht machbar wäre. Insbesondere weil der Webhoster mir sehr unwahrscheinlich SSH-Logindaten gewähren wird.

Mit VPN kenne ich mich leider gar nicht aus. Aber so wie ich das bis jetzt verstanden habe muss man hierzu stark in das System und deren Konfiguration eingreifen. Beim Webhoster läßt sich sowas nicht machen.
Nachtrag: Auch VPN scheint zu starke Vorrausetzungen auf dem Remoterechner zu benötigen. Daher ist auch diese Option nicht anwendbar.

Die Idee mit den IP-Tables finde ich schon klasse. Einfach und Effektiv. Benutzt man zudem SSL beim Aufbau der Datenbankverbindung müßte es doch im wesentlichen die selbe Sicherheit bieten wie ein SSH-Tunnel.

@Roger Wilco: Der Zugriff auf 'cyradm' stellst du dir auch über ein SSH vor? Weil, soweit ich bis jetzt gelesen habe ist es ein lokales Programm. Müsste man entsprechend lokal eingeloggt sein. Habe mir gerade openmailadmin runtergeladen. Habe den Quellcode noch nicht ganz verstanden, aber zumindest scheint es so, dass dort neben den normalen IMAP-Befehlen auch spezielle Befehle für die Benutzerverwaltung versandt werden können?

[Roger Wilco]

@Roger Wilco: Der Zugriff auf 'cyradm' stellst du dir auch über ein SSH vor?

Wäre denkbar. cyradm kann aber auch direkt eine Verbindung zu einem entfernten Cyrus IMAP-Server aufnehmen.

Habe mir gerade openmailadmin runtergeladen. Habe den Quellcode noch nicht ganz verstanden, aber zumindest scheint es so, dass dort neben den normalen IMAP-Befehlen auch spezielle Befehle für die Benutzerverwaltung versandt werden können?

Ja.