From lists at puersten.de Tue Dec 1 09:39:42 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 09:39:42 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B13E71C.1020502@aloah-from-hell.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> Message-ID: <4B14D64E.2090308@puersten.de> Werner Detter schrieb: > Hi Oliver, > > >> Nov 30 15:53:17 mailout2 postfix/smtpd[903]: warning: >> unknown[85.220.144.25]: SASL DIGEST-MD5 authentication failed: >> authentication failure > > Outlook kann kein DIGEST-MD5/CRAM-MD5, daher musst du Outlook dazu > bringen sich via PLAIN/LOGIN und TLS zu auth'n Da stellt sich mir dann aber die Frage wieso wie das auf dem alten System nicht auch schon hatten, da waren die Einstellungen in der smtpd.conf die gleichen, was die Auth-Methoden betrifft. > > Ciao, > Werner > Gruß Oliver From lists at puersten.de Tue Dec 1 10:16:50 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 10:16:50 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <20091130153909.GE10164@state-of-mind.de> References: <4B13E1C4.9080908@puersten.de> <20091130153909.GE10164@state-of-mind.de> Message-ID: <4B14DF02.6010305@puersten.de> Patrick Ben Koetter schrieb: > * Oliver Pürsten : >> Hallo Zusammen, >> >> und mal wieder ein Problem... >> >> Diesmal habe ich das Problem das seit der Neueinrichtung zweier >> Server einige Kunden sporadisch keine Mails versenden können. >> >> Clientseitig äußert sich das Problem wohl so das der Kunde vom >> Client, was im übrigen immer eine Version von Outlook ist, zur neuen >> Eingabe seiner Passwörter gebeten wird. Hat er dieses getan, auch >> mehrfach, funktioniert es aber immer noch nicht. >> >> Eventuell hängt es vielleicht auch irgendwie mit der Umstellung auf >> pre-queue zusammen, da wir vorher postqueue genutzt haben. Oder >> durch das mit der Neuinstallation verbundene Upgrade der Software >> entsteht dieser Fehler jetzt. Auf den alten Servern war dieser >> Fehler auf jeden Fall nicht. >> >> Hier noch ein paar Daten: >> >> SASL Einstellungen main.cf: >> smtpd_sasl_auth_enable = yes >> smtpd_sasl_security_options = noanonymous >> broken_sasl_auth_clients = yes >> >> smtpd.conf: >> pwcheck_method: auxprop >> auxprop_plugin: sql >> log_level: 7 >> mech_list: plain login CRAM-MD5 DIGEST-MD5 >> sql_engine: mysql >> sql_hostnames: localhost >> sql_user: [user] >> sql_passwd: [pass] >> sql_database: [database] >> sql_select: [SELECT sql] > > Bitte schick die config nochmal als output von saslfinger. > Kann gut sein, dass Du eine Typo hast und Dein Abtippen, das nicht sichtbar > macht. > > p at rick > Ich hoffe du meintest das: ./saslfinger -s saslfinger - postfix Cyrus sasl configuration Tue Dec 1 10:09:37 CET 2009 version: 1.0.2 mode: server-side SMTP AUTH -- basics -- Postfix: 2.6.5 System: FreeBSD 7.2-RELEASE-p4 (GENERIC) #0: Thu Oct 15 14:22:56 CEST 2009 Welcome to FreeBSD! -- smtpd is linked to -- libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x8007bb000) -- active SMTP AUTH and TLS parameters for smtpd -- broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_tls_cert_file = /usr/local/etc/postfix/ssl/domain.de.crt smtpd_tls_key_file = /usr/local/etc/postfix/ssl/domain.de.key smtpd_tls_security_level = may -- listing of /usr/local/lib/sasl2 -- total 940 drwxr-xr-x 2 root wheel 1024 Nov 30 16:03 . drwxr-xr-x 10 root wheel 3584 Nov 3 11:51 .. -rw-r--r-- 1 root wheel 19468 Oct 16 15:30 libanonymous.a -rwxr-xr-x 1 root wheel 956 Oct 16 15:30 libanonymous.la -rwxr-xr-x 1 root wheel 20322 Oct 16 15:30 libanonymous.so -rwxr-xr-x 1 root wheel 20322 Oct 16 15:30 libanonymous.so.2 -rw-r--r-- 1 root wheel 22834 Oct 16 15:30 libcrammd5.a -rwxr-xr-x 1 root wheel 942 Oct 16 15:30 libcrammd5.la -rwxr-xr-x 1 root wheel 24482 Oct 16 15:30 libcrammd5.so -rwxr-xr-x 1 root wheel 24482 Oct 16 15:30 libcrammd5.so.2 -rw-r--r-- 1 root wheel 63976 Oct 16 15:30 libdigestmd5.a -rwxr-xr-x 1 root wheel 965 Oct 16 15:30 libdigestmd5.la -rwxr-xr-x 1 root wheel 57212 Oct 16 15:30 libdigestmd5.so -rwxr-xr-x 1 root wheel 57212 Oct 16 15:30 libdigestmd5.so.2 -rw-r--r-- 1 root wheel 32820 Oct 16 15:30 libgssapiv2.a -rwxr-xr-x 1 root wheel 1018 Oct 16 15:30 libgssapiv2.la -rwxr-xr-x 1 root wheel 34419 Oct 16 15:30 libgssapiv2.so -rwxr-xr-x 1 root wheel 34419 Oct 16 15:30 libgssapiv2.so.2 -rw-r--r-- 1 root wheel 20046 Oct 16 15:30 liblogin.a -rwxr-xr-x 1 root wheel 936 Oct 16 15:30 liblogin.la -rwxr-xr-x 1 root wheel 20927 Oct 16 15:30 liblogin.so -rwxr-xr-x 1 root wheel 20927 Oct 16 15:30 liblogin.so.2 -rw-r--r-- 1 root wheel 40868 Oct 16 15:30 libntlm.a -rwxr-xr-x 1 root wheel 930 Oct 16 15:30 libntlm.la -rwxr-xr-x 1 root wheel 38803 Oct 16 15:30 libntlm.so -rwxr-xr-x 1 root wheel 38803 Oct 16 15:30 libntlm.so.2 -rw-r--r-- 1 root wheel 28414 Oct 16 15:30 libotp.a -rwxr-xr-x 1 root wheel 930 Oct 16 15:30 libotp.la -rwxr-xr-x 1 root wheel 29659 Oct 16 15:30 libotp.so -rwxr-xr-x 1 root wheel 29659 Oct 16 15:30 libotp.so.2 -rw-r--r-- 1 root wheel 19894 Oct 16 15:30 libplain.a -rwxr-xr-x 1 root wheel 936 Oct 16 15:30 libplain.la -rwxr-xr-x 1 root wheel 20781 Oct 16 15:30 libplain.so -rwxr-xr-x 1 root wheel 20781 Oct 16 15:30 libplain.so.2 -rw-r--r-- 1 root wheel 29324 Oct 16 15:30 libsasldb.a -rwxr-xr-x 1 root wheel 935 Oct 16 15:30 libsasldb.la -rwxr-xr-x 1 root wheel 26328 Oct 16 15:30 libsasldb.so -rwxr-xr-x 1 root wheel 26328 Oct 16 15:30 libsasldb.so.2 -rw-r--r-- 1 root wheel 28368 Oct 16 15:30 libsql.a -rwxr-xr-x 1 root wheel 1015 Oct 16 15:30 libsql.la -rwxr-xr-x 1 root wheel 29820 Oct 16 15:30 libsql.so -rwxr-xr-x 1 root wheel 29820 Oct 16 15:30 libsql.so.2 -rw-r--r-- 1 root wheel 406 Nov 30 16:03 smtpd.conf -- content of /usr/local/lib/sasl2/smtpd.conf -- pwcheck_method: auxprop auxprop_plugin: sql log_level: 7 mech_list: plain login CRAM-MD5 DIGEST-MD5 sql_engine: mysql sql_hostnames: localhost sql_user: --- replaced --- sql_passwd: --- replaced --- sql_database: --- replaced --- sql_select: --- replaced --- -- active services in /usr/local/etc/postfix/master.cf -- # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp -o smtp_fallback_relay= showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache 127.0.0.1:10025 inet n - n - 40 smtpd -o content_filter= -o smtpd_proxy_filter= -o myhostname=scan-out.domain.de -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_event_limit_exceptions=127.0.0.0/8 -- mechanisms on localhost -- 250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5 -- end of saslfinger output -- Gruss Oliver From werner at aloah-from-hell.de Tue Dec 1 10:29:47 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Tue, 01 Dec 2009 10:29:47 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14D64E.2090308@puersten.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> Message-ID: <4B14E20B.7020901@aloah-from-hell.de> Hi, > Da stellt sich mir dann aber die Frage wieso wie das auf dem alten > System nicht auch schon hatten, da waren die Einstellungen in der > smtpd.conf die gleichen, was die Auth-Methoden betrifft. Vielleicht waren die Einstellungen im Client aber nicht die selben? Ggf. wurde "damals" ja PLAIN/LOGIN verwendet. Ich kann hier nur raten ... From lists at puersten.de Tue Dec 1 10:44:21 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 10:44:21 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14E20B.7020901@aloah-from-hell.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> Message-ID: <4B14E575.4010604@puersten.de> Werner Detter schrieb: > Hi, > >> Da stellt sich mir dann aber die Frage wieso wie das auf dem alten >> System nicht auch schon hatten, da waren die Einstellungen in der >> smtpd.conf die gleichen, was die Auth-Methoden betrifft. > > Vielleicht waren die Einstellungen im Client aber nicht die selben? > Ggf. wurde "damals" ja PLAIN/LOGIN verwendet. Ich kann hier nur raten ... > Klar, kann sein. Kann ich mir aber nicht vorstellen das die Kunden gerade zufällig zu dem Zeitpunkt wo wir unsere Server umstellen Ihre Clients umkonfigurierten und dann auch nur manche. Bis zu viel zufällig da drin für meinen Geschmack... Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber auch nirgends eine Einstellungsmöglichkeit für die Authentifizierungsmethodel. Kann man die überhaupt ändern? Gruß Oliver From werner at aloah-from-hell.de Tue Dec 1 10:46:15 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Tue, 01 Dec 2009 10:46:15 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14E575.4010604@puersten.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> <4B14E575.4010604@puersten.de> Message-ID: <4B14E5E7.1040700@aloah-from-hell.de> Hi, > Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber > auch nirgends eine Einstellungsmöglichkeit für die > Authentifizierungsmethodel. Kann man die überhaupt ändern? Ich glaub da gibt's irgendwo nen Häkchen "sichere Authentifizierungsmethode verwenden" - das mal deaktivieren :-) Ciao, Werner From lists at puersten.de Tue Dec 1 10:50:47 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 10:50:47 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14E5E7.1040700@aloah-from-hell.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> <4B14E575.4010604@puersten.de> <4B14E5E7.1040700@aloah-from-hell.de> Message-ID: <4B14E6F7.5020407@puersten.de> Werner Detter schrieb: > Hi, > >> Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber >> auch nirgends eine Einstellungsmöglichkeit für die >> Authentifizierungsmethodel. Kann man die überhaupt ändern? > > Ich glaub da gibt's irgendwo nen Häkchen "sichere Authentifizierungsmethode > verwenden" - das mal deaktivieren :-) > Also wenn Du "Anmeldung durch gesicherte Kennwortauthentifizierung (SPA)" meinst dann ist es das schon mal nicht. War/ist nicht aktiv bei den Problemkunden. Gruß Oliver From werner at aloah-from-hell.de Tue Dec 1 10:56:15 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Tue, 01 Dec 2009 10:56:15 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14E6F7.5020407@puersten.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> <4B14E575.4010604@puersten.de> <4B14E5E7.1040700@aloah-from-hell.de> <4B14E6F7.5020407@puersten.de> Message-ID: <4B14E83F.4080307@aloah-from-hell.de> Oliver Pürsten schrieb: > Werner Detter schrieb: >> Hi, >> >>> Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber >>> auch nirgends eine Einstellungsmöglichkeit für die >>> Authentifizierungsmethodel. Kann man die überhaupt ändern? >> >> Ich glaub da gibt's irgendwo nen Häkchen "sichere >> Authentifizierungsmethode >> verwenden" - das mal deaktivieren :-) >> > Also wenn Du "Anmeldung durch gesicherte Kennwortauthentifizierung > (SPA)" meinst dann ist es das schon mal nicht. War/ist nicht aktiv bei > den Problemkunden. Nein, das meine ich nicht. From lists at puersten.de Tue Dec 1 11:06:21 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 11:06:21 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14E83F.4080307@aloah-from-hell.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> <4B14E575.4010604@puersten.de> <4B14E5E7.1040700@aloah-from-hell.de> <4B14E6F7.5020407@puersten.de> <4B14E83F.4080307@aloah-from-hell.de> Message-ID: <4B14EA9D.6060609@puersten.de> Werner Detter schrieb: > Oliver Pürsten schrieb: >> Werner Detter schrieb: >>> Hi, >>> >>>> Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber >>>> auch nirgends eine Einstellungsmöglichkeit für die >>>> Authentifizierungsmethodel. Kann man die überhaupt ändern? >>> Ich glaub da gibt's irgendwo nen Häkchen "sichere >>> Authentifizierungsmethode >>> verwenden" - das mal deaktivieren :-) >>> >> Also wenn Du "Anmeldung durch gesicherte Kennwortauthentifizierung >> (SPA)" meinst dann ist es das schon mal nicht. War/ist nicht aktiv bei >> den Problemkunden. > > Nein, das meine ich nicht. Ansonsten hab ich hier in Outlook 2003 aber nix was ich noch einstellen kann. From werner at aloah-from-hell.de Tue Dec 1 11:09:19 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Tue, 01 Dec 2009 11:09:19 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14EA9D.6060609@puersten.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> <4B14E575.4010604@puersten.de> <4B14E5E7.1040700@aloah-from-hell.de> <4B14E6F7.5020407@puersten.de> <4B14E83F.4080307@aloah-from-hell.de> <4B14EA9D.6060609@puersten.de> Message-ID: <4B14EB4F.7040205@aloah-from-hell.de> Oliver Pürsten schrieb: > Werner Detter schrieb: >> Oliver Pürsten schrieb: >>> Werner Detter schrieb: >>>> Hi, >>>> >>>>> Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber >>>>> auch nirgends eine Einstellungsmöglichkeit für die >>>>> Authentifizierungsmethodel. Kann man die überhaupt ändern? >>>> Ich glaub da gibt's irgendwo nen Häkchen "sichere >>>> Authentifizierungsmethode >>>> verwenden" - das mal deaktivieren :-) >>>> >>> Also wenn Du "Anmeldung durch gesicherte Kennwortauthentifizierung >>> (SPA)" meinst dann ist es das schon mal nicht. War/ist nicht aktiv bei >>> den Problemkunden. >> >> Nein, das meine ich nicht. > Ansonsten hab ich hier in Outlook 2003 aber nix was ich noch einstellen > kann. Hm in den erweiterten Einstellungen ? From hans.moser at ofd-sth.niedersachsen.de Tue Dec 1 11:27:18 2009 From: hans.moser at ofd-sth.niedersachsen.de (Marc Patermann) Date: Tue, 01 Dec 2009 11:27:18 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14D64E.2090308@puersten.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> Message-ID: <4B14EF86.1090108@ofd-sth.niedersachsen.de> Oliver Pürsten schrieb: > Werner Detter schrieb: >>> Nov 30 15:53:17 mailout2 postfix/smtpd[903]: warning: >>> unknown[85.220.144.25]: SASL DIGEST-MD5 authentication failed: >>> authentication failure >> >> Outlook kann kein DIGEST-MD5/CRAM-MD5, daher musst du Outlook dazu >> bringen sich via PLAIN/LOGIN und TLS zu auth'n > > Da stellt sich mir dann aber die Frage wieso wie das auf dem alten > System nicht auch schon hatten, da waren die Einstellungen in der > smtpd.conf die gleichen, was die Auth-Methoden betrifft. Hattest du auf dem alten Server die CRAM/DIGEST-Pakete vielleicht nicht installiert? Dann wurden die Mechanismen u.U. nicht angeboten und nun werden sie es und da hast das Problem. Jetzt bietest du es jedenfalls an: "mech_list: plain login CRAM-MD5 DIGEST-MD5" Vielleicht besser so: "mech_list: plain login" Marc From lists at puersten.de Tue Dec 1 11:59:13 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 11:59:13 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14EF86.1090108@ofd-sth.niedersachsen.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14EF86.1090108@ofd-sth.niedersachsen.de> Message-ID: <4B14F701.3030809@puersten.de> Marc Patermann schrieb: > Oliver Pürsten schrieb: >> Werner Detter schrieb: >>>> Nov 30 15:53:17 mailout2 postfix/smtpd[903]: warning: >>>> unknown[85.220.144.25]: SASL DIGEST-MD5 authentication failed: >>>> authentication failure >>> >>> Outlook kann kein DIGEST-MD5/CRAM-MD5, daher musst du Outlook dazu >>> bringen sich via PLAIN/LOGIN und TLS zu auth'n >> >> Da stellt sich mir dann aber die Frage wieso wie das auf dem alten >> System nicht auch schon hatten, da waren die Einstellungen in der >> smtpd.conf die gleichen, was die Auth-Methoden betrifft. > Hattest du auf dem alten Server die CRAM/DIGEST-Pakete vielleicht nicht > installiert? Dann wurden die Mechanismen u.U. nicht angeboten und nun > werden sie es und da hast das Problem. > Jetzt bietest du es jedenfalls an: > "mech_list: plain login CRAM-MD5 DIGEST-MD5" > Vielleicht besser so: > "mech_list: plain login" > > > Marc Nö, war auf dem alten Server auch schon mit DIGEST-MD5/CRAM-MD5 installiert. Konfiguration ist auch gleich... Oliver From lists at puersten.de Tue Dec 1 11:59:35 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 01 Dec 2009 11:59:35 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B14EB4F.7040205@aloah-from-hell.de> References: <4B13E1C4.9080908@puersten.de> <4B13E71C.1020502@aloah-from-hell.de> <4B14D64E.2090308@puersten.de> <4B14E20B.7020901@aloah-from-hell.de> <4B14E575.4010604@puersten.de> <4B14E5E7.1040700@aloah-from-hell.de> <4B14E6F7.5020407@puersten.de> <4B14E83F.4080307@aloah-from-hell.de> <4B14EA9D.6060609@puersten.de> <4B14EB4F.7040205@aloah-from-hell.de> Message-ID: <4B14F717.3000702@puersten.de> Werner Detter schrieb: > Oliver Pürsten schrieb: >> Werner Detter schrieb: >>> Oliver Pürsten schrieb: >>>> Werner Detter schrieb: >>>>> Hi, >>>>> >>>>>> Also ich hab mir das mal bei Outlook 2003 angesehen, ich finde da aber >>>>>> auch nirgends eine Einstellungsmöglichkeit für die >>>>>> Authentifizierungsmethodel. Kann man die überhaupt ändern? >>>>> Ich glaub da gibt's irgendwo nen Häkchen "sichere >>>>> Authentifizierungsmethode >>>>> verwenden" - das mal deaktivieren :-) >>>>> >>>> Also wenn Du "Anmeldung durch gesicherte Kennwortauthentifizierung >>>> (SPA)" meinst dann ist es das schon mal nicht. War/ist nicht aktiv bei >>>> den Problemkunden. >>> Nein, das meine ich nicht. >> Ansonsten hab ich hier in Outlook 2003 aber nix was ich noch einstellen >> kann. > > Hm in den erweiterten Einstellungen ? > Also ich hab da nirgends in allen Einstellungen was zu gefunden. From andreas.schulze at datev.de Tue Dec 1 14:56:11 2009 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 1 Dec 2009 14:56:11 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart Message-ID: <20091201135611.GB8137@spider.services.datevnet.de> Hallo, ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope # telnet postfixserver 25 Trying ::1... Connected to postfixserver. Escape character is '^]'. 220 localost ESMTP ehlo localhost 250-postfixserver 250-PIPELINING 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN mail from: <<<<---- ÜÜÜ 250 2.1.0 Ok rcpt to: 250 2.1.0 Ok ... hier will ich eigentlich schon eine Ablehnung. Weiss jemand den passend Schalter ? Danke ! -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : GnuPG-Signatur.asc Dateityp : application/pgp-signature Dateigröße : 315 bytes Beschreibung: digitale Signatur dieser Nachricht von Andreas Schulze URL : From jbacksch-postfixbuch-users at tca-os.de Tue Dec 1 15:03:58 2009 From: jbacksch-postfixbuch-users at tca-os.de (Joerg Backschues) Date: Tue, 01 Dec 2009 15:03:58 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <20091201135611.GB8137@spider.services.datevnet.de> References: <20091201135611.GB8137@spider.services.datevnet.de> Message-ID: <4B15224E.3080502@tca-os.de> Andreas Schulze schrieb: > ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope Darauf werden wir uns allerdings in Zukunft einstellen müssen: RFC 5335 RFC 5336 RFC 5337 -- Mit freundlichen Grüßen Jörg Backschues From alexander.muth at lgb-rlp.de Tue Dec 1 15:04:21 2009 From: alexander.muth at lgb-rlp.de (Alexander Muth) Date: Tue, 01 Dec 2009 15:04:21 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B13348C.4050404@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> <4B0D49A1.7070604@web.de> <4B0D57FA.7050901@ib-gerhards.de> <4B0E4990.50701@ofd-sth.niedersachsen.de> <4B13348C.4050404@ib-gerhards.de> Message-ID: <4B152265.3020906@lgb-rlp.de> Norbert Gerhards schrieb: > > Wenn es zu der Groupware-Erweiterung kommt, wird es nach > ausführlicher Recherche wohl tatsächlich eGroupware werden. > > Da die User sämtlich lokale User (nicht virtuelle) User sind, > und die User-Authorisierung nicht über LDAP oder MySQL laufen > soll: > 1. Geht das dann überhaupt mit eGroupware oder 'vergibt' man > dadurch irgendwelche Vorteile z. B. beim Dateihandling? > Ich habe mal geschaut welche "Art der Authentifizierung" egroupware standardmäßig unterstützt. Dies sind: SQL, LDAP,ADS, Mail, HTTP, NIS, PAM, CAS selbst habe ich nur Erfahrung mit ADS und SQL. Vielleicht fragst du mal in der egroupware Liste. grüße Alexander From Ralf.Hildebrandt at charite.de Tue Dec 1 15:53:45 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 1 Dec 2009 15:53:45 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <20091201135611.GB8137@spider.services.datevnet.de> References: <20091201135611.GB8137@spider.services.datevnet.de> Message-ID: <20091201145345.GC30786@charite.de> * Andreas Schulze : > Hallo, > > ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope > > # telnet postfixserver 25 > Trying ::1... > Connected to postfixserver. > Escape character is '^]'. > 220 localost ESMTP > ehlo localhost > 250-postfixserver > 250-PIPELINING > 250-ENHANCEDSTATUSCODES > 250-8BITMIME > 250 DSN > mail from: <<<<---- ÜÜÜ > 250 2.1.0 Ok > rcpt to: > 250 2.1.0 Ok > ... > > hier will ich eigentlich schon eine Ablehnung. > > > Weiss jemand den passend Schalter ? reject_unknown_sender_domain -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Tue Dec 1 15:54:08 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 1 Dec 2009 15:54:08 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <4B15224E.3080502@tca-os.de> References: <20091201135611.GB8137@spider.services.datevnet.de> <4B15224E.3080502@tca-os.de> Message-ID: <20091201145408.GD30786@charite.de> * Joerg Backschues : > Andreas Schulze schrieb: > > > ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope > > Darauf werden wir uns allerdings in Zukunft einstellen müssen: > > RFC 5335 > RFC 5336 > RFC 5337 Nö. Umlaute im Envelope müssen codiert sein. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From gregor at a-mazing.de Tue Dec 1 16:12:45 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 1 Dec 2009 16:12:45 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <20091201135611.GB8137@spider.services.datevnet.de> References: <20091201135611.GB8137@spider.services.datevnet.de> Message-ID: <200912011612.45635@office.a-mazing.net> Hallo Andreas, Am Dienstag, 1. Dezember 2009 schrieb Andreas Schulze: > ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope > ... > mail from: <<<<---- ÜÜÜ > 250 2.1.0 Ok > ... > > hier will ich eigentlich schon eine Ablehnung. > Weiss jemand den passend Schalter ? /etc/postfix/umlaute.pcre: /[^[:ascii:]]/ REJECT Illegal address syntax: Non-ASCII characters in envelope address main.cf: ... smtpd_recipient_restrictions = .... check_sender_access pcre:/etc/postfix/umlaute.pcre check_recipient_access pcre:/etc/postfix/umlaute.pcre .... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From werner at aloah-from-hell.de Tue Dec 1 16:15:37 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Tue, 01 Dec 2009 16:15:37 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <200912011612.45635@office.a-mazing.net> References: <20091201135611.GB8137@spider.services.datevnet.de> <200912011612.45635@office.a-mazing.net> Message-ID: <4B153319.5090703@aloah-from-hell.de> Gregor Hermens schrieb: > Hallo Andreas, > > Am Dienstag, 1. Dezember 2009 schrieb Andreas Schulze: >> ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope >> > ... >> mail from: <<<<---- ÜÜÜ >> 250 2.1.0 Ok >> ... >> >> hier will ich eigentlich schon eine Ablehnung. >> Weiss jemand den passend Schalter ? > > /etc/postfix/umlaute.pcre: > > /[^[:ascii:]]/ REJECT Illegal address syntax: Non-ASCII characters in > envelope address > > main.cf: > > ... > smtpd_recipient_restrictions = > .... > check_sender_access pcre:/etc/postfix/umlaute.pcre > check_recipient_access pcre:/etc/postfix/umlaute.pcre > .... > > Gruß, > Gregor Warum so umständlich? reject_unknown_sender_domain tut's doch auch und braucht dabei weniger Ressourcen als mit PCRE. Ciao, Werner From gregor at a-mazing.de Tue Dec 1 16:56:23 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 1 Dec 2009 16:56:23 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <4B153319.5090703@aloah-from-hell.de> References: <20091201135611.GB8137@spider.services.datevnet.de> <200912011612.45635@office.a-mazing.net> <4B153319.5090703@aloah-from-hell.de> Message-ID: <200912011656.23135@office.a-mazing.net> Hallo Werner, Am Dienstag, 1. Dezember 2009 schrieb Werner Detter: > Gregor Hermens schrieb: > > Hallo Andreas, > > > > Am Dienstag, 1. Dezember 2009 schrieb Andreas Schulze: > >> ich sehe manchmal Mails mit Nichtascci-Zeichen um Envelope > > > > ... > >> mail from: <<<<---- ÜÜÜ > >> 250 2.1.0 Ok > >> ... > >> > >> hier will ich eigentlich schon eine Ablehnung. > >> Weiss jemand den passend Schalter ? > > > > /etc/postfix/umlaute.pcre: > > > > /[^[:ascii:]]/ REJECT Illegal address syntax: Non-ASCII characters in > > envelope address > > > > main.cf: > > > > ... > > smtpd_recipient_restrictions = > > .... > > check_sender_access pcre:/etc/postfix/umlaute.pcre > > check_recipient_access pcre:/etc/postfix/umlaute.pcre > > .... > > Warum so umständlich? reject_unknown_sender_domain tut's doch auch und > braucht dabei weniger Ressourcen als mit PCRE. http://www.postfix.org/postconf.5.html#reject_unknown_sender_domain reject_unknown_*_domain kümmert sich, wie der Name schon sagt, nur um den Domain-Part bzw. dessen Auflösung im DNS. In der Frage ging es aber um Umlaute im Local-Part. In meinem Setup steht reject_unknown_*_domain vor den Umlaut-Checks. Laut dir dürften die dann ja nichts mehr finden. Tun sie aber, allein heute schon 9 mal ... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From werner at aloah-from-hell.de Tue Dec 1 16:57:50 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Tue, 01 Dec 2009 16:57:50 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <200912011656.23135@office.a-mazing.net> References: <20091201135611.GB8137@spider.services.datevnet.de> <200912011612.45635@office.a-mazing.net> <4B153319.5090703@aloah-from-hell.de> <200912011656.23135@office.a-mazing.net> Message-ID: <4B153CFE.2090508@aloah-from-hell.de> Hi, > http://www.postfix.org/postconf.5.html#reject_unknown_sender_domain > > reject_unknown_*_domain kümmert sich, wie der Name schon sagt, nur um den > Domain-Part bzw. dessen Auflösung im DNS. In der Frage ging es aber um Umlaute > im Local-Part. Das mit dem Local-Part hab ich überlesen, stimmt. From gregor at a-mazing.de Tue Dec 1 17:03:09 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 1 Dec 2009 17:03:09 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <4B153CFE.2090508@aloah-from-hell.de> References: <20091201135611.GB8137@spider.services.datevnet.de> <200912011656.23135@office.a-mazing.net> <4B153CFE.2090508@aloah-from-hell.de> Message-ID: <200912011703.09475@office.a-mazing.net> Hi Werner, Am Dienstag, 1. Dezember 2009 schrieb Werner Detter: > > http://www.postfix.org/postconf.5.html#reject_unknown_sender_domain > > > > reject_unknown_*_domain kümmert sich, wie der Name schon sagt, nur um den > > Domain-Part bzw. dessen Auflösung im DNS. In der Frage ging es aber um > > Umlaute im Local-Part. > > Das mit dem Local-Part hab ich überlesen, stimmt. die Idee mit den Umlauten stammt übrigens nicht von mir, sondern aus einer Diskussion hier im Januar 2008: http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-January/041014.html ff Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From Ralf.Hildebrandt at charite.de Tue Dec 1 20:44:13 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 1 Dec 2009 20:44:13 +0100 Subject: [Postfixbuch-users] Umlaute im SMTP Localpart In-Reply-To: <200912011703.09475@office.a-mazing.net> References: <20091201135611.GB8137@spider.services.datevnet.de> <200912011656.23135@office.a-mazing.net> <4B153CFE.2090508@aloah-from-hell.de> <200912011703.09475@office.a-mazing.net> Message-ID: <20091201194412.GD12618@charite.de> * Gregor Hermens : > > Das mit dem Local-Part hab ich überlesen, stimmt. > > die Idee mit den Umlauten stammt übrigens nicht von mir, sondern aus einer > Diskussion hier im Januar 2008: > > http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-January/041014.html Aber selbst im Localpart muss es codiert sein, ergo war der tip mit dem [[:alpha:]] gar nicht so schlecht. Moral: Wenn's irgendwo 8-bit sind, dann stinkt etwas (envelope, header etc.) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfix-list at novuage.de Tue Dec 1 21:58:22 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 01 Dec 2009 21:58:22 +0100 Subject: [Postfixbuch-users] DKIM und Amavis Message-ID: <4B15836E.9020201@novuage.de> Hallo Leute, hab mich nie mit DKIM beschäftigt und habe hier nun gelesen das in Amavis >= 2.6.0 DKIM drin ist. Da ich Debian Lenny verwende wo 2.6.0 dabei ist habe ich die hier geschilderten Befehle/Zeilen auch mal einfach gemacht. #> mkdir /etc/amavis/dkim #> amavisd-new genrsa /etc/amavis/dkim/server.key Dann hab ich in der Konfiguration --- Schnipp --- $enable_dkim_verification = 1; $enable_dkim_signing = 0; dkim_key('test.novuage.de', 'dkim2009112701', '/etc/amavis/dkim/server.key'); --- Schnapp --- Signing hab ich, solange das im DNS noch nicht rum war, bzw. jetzt weil es nicht klappt noch ausgeschaltet. Da ich per Policybank arbeite hab ich bei dem Relay noch "originating => 1" angegeben... signieren klappt auch, hab ich Testweise mal gemacht... Im DNS steht es drin (auf allen DNS Servern) host -t txt dkim2009112701._domainkey.test.novuage.de dkim2009112701._domainkey.test.novuage.de descriptive text "v=DKIM1\; p=" "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDNREB0O3Nsj5JXnnHyLePiHyC" "lAEAYEM+lLLpjxnHWe6U1+P5cNMjXNZcp3WdoonQElxFauH5rTrhXvPywsq+vVmx" "ShG0gPBo8KMBp5N1Pfb7o147aGwCXz5DM8b2qAch8jWymvE5BYq0fuGy0Ko+IgEh" "Li20XELk0XxDYjGsPQIDAQAB" Was aber nicht klappt... #> amavisd-new testkeys TESTING: dkim2009112701._domainkey.test.novuage.de => fail (message has been altered) Was kann hier der Grund sein? Bis hier war alles sehr einfach, aber das "message has been altered" verstehe ich nicht. Steht der Key im DNS falsch drin? Hab das genauso eingetragen wie das hier rausgekommen ist. Abgesehen von den TTL Zeiten, zum Testen hab ich die auf 60 gestellt :-) #> amavisd-new showkey dkim2009112701._domainkey.test.novuage.de. 3600 TXT ( "v=DKIM1; p=" "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDNREB0O3Nsj5JXnnHyLePiHyC" "lAEAYEM+lLLpjxnHWe6U1+P5cNMjXNZcp3WdoonQElxFauH5rTrhXvPywsq+vVmx" "ShG0gPBo8KMBp5N1Pfb7o147aGwCXz5DM8b2qAch8jWymvE5BYq0fuGy0Ko+IgEh" "Li20XELk0XxDYjGsPQIDAQAB") -- Gruß Sascha From jk at jkart.de Wed Dec 2 10:04:28 2009 From: jk at jkart.de (Jim Knuth) Date: Wed, 02 Dec 2009 10:04:28 +0100 Subject: [Postfixbuch-users] Ablehnung durch dynip Message-ID: <4B162D9C.3050509@jkart.de> Hallo, ich hab hier nen "Fall" von Rejects von dynamischen IPs. Es wird die dynip (modifiziert) von Uwe Driessen verwendet und dadurch dip0.t-ipconnect.de abgelehnt: --snip NOQUEUE: reject: RCPT from p5099f1a8.dip0.t-ipconnect.de[80.153.241.168]: 550 5.7.1 : Client host rejected: reject We do not accept mail from dynamic IP --snap Benutzen "die" ne Standleitung oder ist das einfach ne Fehlkonfiguration beim Sender; oder Emfänger? Danke für Antworten im Voraus. -- mit freundlichem Gruss - with kind regard Jim Knuth From sebastian at debianfan.de Wed Dec 2 10:14:42 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 02 Dec 2009 10:14:42 +0100 Subject: [Postfixbuch-users] Ablehnung durch dynip In-Reply-To: <4B162D9C.3050509@jkart.de> References: <4B162D9C.3050509@jkart.de> Message-ID: <4B163002.6050404@debianfan.de> Jim Knuth schrieb: > Hallo, > > ich hab hier nen "Fall" von Rejects von dynamischen IPs. > Es wird die dynip (modifiziert) von Uwe Driessen verwendet > und dadurch dip0.t-ipconnect.de abgelehnt: > > --snip > NOQUEUE: reject: RCPT from > p5099f1a8.dip0.t-ipconnect.de[80.153.241.168]: 550 5.7.1 > : Client host rejected: > reject We do not accept mail from dynamic IP > --snap > > Benutzen "die" ne Standleitung oder ist das einfach ne Fehlkonfiguration > beim Sender; oder Emfänger? > > Danke für Antworten im Voraus. > Ich benutze die dynip-Liste nicht mehr - die Telekom gibt aus ihrem dynamischen Adresspool auch Adressen für feste IP heraus - die laufen halt dann voll in den Filter :-( From driessen at fblan.de Wed Dec 2 10:55:55 2009 From: driessen at fblan.de (Uwe Driessen) Date: Wed, 2 Dec 2009 10:55:55 +0100 Subject: [Postfixbuch-users] Ablehnung durch dynip In-Reply-To: <4B162D9C.3050509@jkart.de> References: <4B162D9C.3050509@jkart.de> Message-ID: <003601ca7335$a43a1010$0565a8c0@uwe> On Behalf Of Jim Knuth > Hallo, > > ich hab hier nen "Fall" von Rejects von dynamischen IPs. > Es wird die dynip (modifiziert) von Uwe Driessen verwendet > und dadurch dip0.t-ipconnect.de abgelehnt: > > --snip > NOQUEUE: reject: RCPT from > p5099f1a8.dip0.t-ipconnect.de [80.153.241.168]: 550 5.7.1 > : Client host rejected: > reject We do not accept mail from dynamic IP > --snap > > Benutzen "die" ne Standleitung oder ist das einfach ne > Fehlkonfiguration beim Sender; oder Emfänger? > > Danke für Antworten im Voraus. > Da handelt es sich um Einwahlzugänge ob fest oder dynamische IP Adressvergabe kann ich von hier nicht prüfen. Was ich aber weis ist das mit diesen PTR jede Menge spam rein kam. Wenn du dem Host vertraust und dieser immer wieder von der selben IP kommt gibt es zwei Möglichkeiten: 1. du suchst den dafür zuständigen regex und nimmst die Zeile komplett raus 2. du generierst eine Ausnahme an den Anfang der datei /dip0\.t-ipconnect.de$/ DUNNO um alle freizuschalten Oder /^p5099f1a8\.dip0\.t-ipconnect\.de$/ DUNNO um nur den einen anzunehmen bzw. von diesem Test auszunehmen. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From theofel at etes.de Wed Dec 2 10:33:22 2009 From: theofel at etes.de (Jan Theofel) Date: Wed, 2 Dec 2009 10:33:22 +0100 Subject: [Postfixbuch-users] Ablehnung durch dynip In-Reply-To: <4B162D9C.3050509@jkart.de> References: <4B162D9C.3050509@jkart.de> Message-ID: <20091202093322.GA12542@intranet.hq.stgt.etes.de> Hi, On Wed, Dec 02, 2009 at 10:04:28AM +0100, Jim Knuth wrote: > > ich hab hier nen "Fall" von Rejects von dynamischen IPs. > Es wird die dynip (modifiziert) von Uwe Driessen verwendet > und dadurch dip0.t-ipconnect.de abgelehnt: > > --snip > NOQUEUE: reject: RCPT from > p5099f1a8.dip0.t-ipconnect.de[80.153.241.168]: 550 5.7.1 > : Client host rejected: > reject We do not accept mail from dynamic IP > --snap > > Benutzen "die" ne Standleitung oder ist das einfach ne > Fehlkonfiguration beim Sender; oder Emfänger? Bekanntes Problem der Telekom seit fünf Jahren: http://www.theofel.de/archives/2004/10/warum_eine_fest.html Wir lehnen die Hosts weiter ab, weil ich keinen Bock auf SPAM aus deren Dialup-Netz habe. Wer sich so eine IP vergeben lässt muss sich dann leider einen nicht-generischen Reverse-Lookup einrichten. Dann darf er uns auch wieder mailen. Jan -- Jan Theofel Mail: theofel at etes.de ETES GmbH Fon : +49 (7 11) 48 90 83 - 17 Gablenberger Hauptstrasse 32 Fax : +49 (7 11) 48 90 83 - 50 D-70186 Stuttgart Web : http://www.etes.de/ Registergericht: Amtsgericht Stuttgart HRB 721182 Geschäftsführende Gesellschafter: Markus Espenhain und Jan Theofel Sitz der Gesellschaft: Stuttgart USt.-Id.Nr.: DE814767446 From michael at nausch.org Wed Dec 2 14:26:56 2009 From: michael at nausch.org (Michael Nausch) Date: Wed, 02 Dec 2009 14:26:56 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <4B15836E.9020201@novuage.de> References: <4B15836E.9020201@novuage.de> Message-ID: <20091202142656.ilh87q8f40s808k0@buero.nausch.org> Griasdebou! Quoting Sascha Peters : > Was kann hier der Grund sein? Bis hier war alles sehr einfach, aber das > "message has been altered" verstehe ich nicht. Gin die eMail von User A nach User B oder an die Mailingliste? Was zum Testen auch sehr hilfreich is' ist die Seite von Brandon Chekketts => http://www.brandonchecketts.com/emailtest.php (hab' ich aus 'nem DKIM-Beschreibungs-How2) > Steht der Key im DNS falsch drin? Auch das kannste selber sehr leicht ausprobieren, ala: $ host -t TXT main._domainkey.nausch.org ttyl, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: Digitale PGP-Unterschrift URL : From postfix-list at novuage.de Wed Dec 2 17:47:24 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 02 Dec 2009 17:47:24 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <20091202142656.ilh87q8f40s808k0@buero.nausch.org> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> Message-ID: <4B169A1C.9000707@novuage.de> Hallo Michael, Michael Nausch schrieb: > Quoting Sascha Peters : > >> Was kann hier der Grund sein? Bis hier war alles sehr einfach, aber das >> "message has been altered" verstehe ich nicht. > > Gin die eMail von User A nach User B oder an die Mailingliste? > Was zum Testen auch sehr hilfreich is' ist die Seite von Brandon > Chekketts => http://www.brandonchecketts.com/emailtest.php (hab' ich aus > 'nem DKIM-Beschreibungs-How2) Die E-Mail ging von A->B von Mir zu Mir, aber unterschiedliche Adressen. Mein Server zu GMX. Die Seiten schau ich mir an. >> Steht der Key im DNS falsch drin? > > Auch das kannste selber sehr leicht ausprobieren, ala: > $ host -t TXT main._domainkey.nausch.org die Ausgabe davon hab ich doch in die Anfrage gepackt. Ich gehe davon aus das dies korrekt ist. Oder muss ich das Zeichen für Zeichen vergleichen? Gibt es da Probleme beim bind9? -- Gruß Sascha From michael at nausch.org Wed Dec 2 19:00:29 2009 From: michael at nausch.org (Michael Nausch) Date: Wed, 02 Dec 2009 19:00:29 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <4B169A1C.9000707@novuage.de> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> Message-ID: <1259776829.2929.5.camel@compaq-evo.nausch.org> HI! Am Mittwoch, den 02.12.2009, 17:47 +0100 schrieb Sascha Peters: > Die E-Mail ging von A->B von Mir zu Mir, aber unterschiedliche Adressen. > Mein Server zu GMX. O.K., da solltes es auf alle Fälle klappen. > Die Seiten schau ich mir an. Jo, ich hab' so gemacht g'habt: http://dokuwiki.nausch.org/doku.php?id=centos:mailserver:dkim > Oder muss ich das Zeichen für Zeichen > vergleichen? Sollte schon 1:1 passen. > Gibt es da Probleme beim bind9? Nicht, dass ich's wüsste. ttyl, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org From postfix-list at novuage.de Wed Dec 2 19:55:02 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 02 Dec 2009 19:55:02 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <1259776829.2929.5.camel@compaq-evo.nausch.org> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> <1259776829.2929.5.camel@compaq-evo.nausch.org> Message-ID: <4B16B806.1080001@novuage.de> Michael Nausch schrieb: > Am Mittwoch, den 02.12.2009, 17:47 +0100 schrieb Sascha Peters: >> Die E-Mail ging von A->B von Mir zu Mir, aber unterschiedliche Adressen. >> Mein Server zu GMX. > > O.K., da solltes es auf alle Fälle klappen. das ist doch gar nicht das Problem, wozu soll ich das testen wenn selbst der vorherige interne test "amavisd-new testkeys" wie in der Mail gesagt einen Fehler wirft... Zur Erinnerung: #> amavisd-new testkeys TESTING: dkim2009112701._domainkey.test.novuage.de => fail (message has been altered) >> Die Seiten schau ich mir an. > > Jo, ich hab' so gemacht g'habt: > http://dokuwiki.nausch.org/doku.php?id=centos:mailserver:dkim Ich habe diese Wiki-Seite schon vorher gefunden, und auch danach gemacht, wenn Du mir meine erste Mail mal anschaust, da steht quasi genu was in dem Wiki steht. Das hilft mir nicht... >> Oder muss ich das Zeichen für Zeichen >> vergleichen? > > Sollte schon 1:1 passen. Scheinbar nicht. Das gleiche noch mal machen hilft nicht. Ich habe ein Problem... kennt die Ausgabe keiner? -- Gruß Sascha From traced at xpear.de Wed Dec 2 20:04:45 2009 From: traced at xpear.de (Basti) Date: Wed, 02 Dec 2009 20:04:45 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname Message-ID: <4B16BA4D.6050304@xpear.de> Hi, wollte mal kurz anfragen ob Ihr die obigen Restrictions so im Einsatz habt, oder ob die false-positive Rate schmerzhaft wäre? viele Grüße Basti From postfix-list at novuage.de Wed Dec 2 20:18:57 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 02 Dec 2009 20:18:57 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname In-Reply-To: <4B16BA4D.6050304@xpear.de> References: <4B16BA4D.6050304@xpear.de> Message-ID: <4B16BDA1.2070801@novuage.de> Basti schrieb: > wollte mal kurz anfragen ob Ihr die obigen Restrictions so im > Einsatz habt, oder ob die false-positive Rate schmerzhaft wäre? ich habe diese im Einsatz, mir ist keine false-positive bekannt. Wenn müsste man auch eher davon sprechen das jemand anderes was falsch gemacht hat... Ab Postfix 2.3 heißt das übrigens "reject_invalid_helo_hostname", und zusätzlich habe ich noch "reject_non_fqdn_helo_hostname". Die andere Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab ich auch nicht im Einsatz. -- Gruß Sascha From postfix-list at novuage.de Wed Dec 2 20:24:41 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 02 Dec 2009 20:24:41 +0100 Subject: [Postfixbuch-users] VRFY Message-ID: <4B16BEF9.4040101@novuage.de> Hallo Michael, habe von deinem Wiki auch noch beim Stöbern das hier gesehen: http://dokuwiki.nausch.org/doku.php?id=centos:mailserver:backup_mailserver --- Schnipp --- Damit unser MX die Empfängeradressen auf dem Zielserver über den SMTP-Befehl VRFY verifizieren kann, ist dort sicherzustellen, dass dies nicht fälschlicher Weise geblockt wurde. --- Schnapp --- Das ist meines Wissens aber quatsch. Die Verifizierung der Adressen läuft über einen SMTP Dialog mittels "HELO, MAIL From, und RCPT To" der mit einem "QUIT" beendet wird. Dazu braucht Postfix nicht das "VRFY" Kommando. Ich habe das bei mir auch ausgeschaltet. http://www.postfix.org/postconf.5.html#disable_vrfy_command Im SMTP Dialog der bei "EHLO domain.tld" kommt taucht dieser Befehl dann auch nicht mehr auf. -- Gruß Sascha From ffiene at veka.com Wed Dec 2 21:36:11 2009 From: ffiene at veka.com (Frank Fiene) Date: Wed, 2 Dec 2009 21:36:11 +0100 Subject: [Postfixbuch-users] Spamcop hat orange.fr gelistet Message-ID: Was ist denn da wieder los, sind die bei Orange wieder zu blöd? Es erscheinen immer wieder einige Mailserver bei Spamcop. In den einschlägigen Foren hört man ja nichts gutes über diesen französischen Provider. Unsere französische Tochtergesellschaft hätte jetzt natürlich gerne, dass wir die Mail-Server von Orange freischalten, ich habe mich bis jetzt noch erfolgreich zur Wehr setzen können. Aber erklärt das mal einem Vertriebler! Die Kunden sagen dann immer: "Euer System ist das einzige wo wir keine Mails hinschicken können!" Ja ne, is klar! Mann mann mann. Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From daniel at dlutt.de Wed Dec 2 21:44:30 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Wed, 2 Dec 2009 21:44:30 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <4B16B806.1080001@novuage.de> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> <1259776829.2929.5.camel@compaq-evo.nausch.org> <4B16B806.1080001@novuage.de> Message-ID: <537705005.20091202214430@dlutt.de> Sascha Peters schrieb: > Michael Nausch schrieb: >> Am Mittwoch, den 02.12.2009, 17:47 +0100 schrieb Sascha Peters: >>> Die E-Mail ging von A->B von Mir zu Mir, aber unterschiedliche Adressen. >>> Mein Server zu GMX. >> >> O.K., da solltes es auf alle Fälle klappen. > das ist doch gar nicht das Problem, wozu soll ich das testen wenn selbst > der vorherige interne test "amavisd-new testkeys" wie in der Mail gesagt > einen Fehler wirft... > Zur Erinnerung: #>> amavisd-new testkeys > TESTING: dkim2009112701._domainkey.test.novuage.de => fail (message has > been altered) wenn ich einen Lookup auf deinen DNS TXT Record mache,dann fallen mir ungewöhnlich viele Anführungszeichen auf... Dein Record: "v=DKIM1; p=" "MIGfMA0GCSqGS....." "lAEA...." Beispiel bei meinem Record: "v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqG....." Vielleicht ist das die Ursache? Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From postfix-list at novuage.de Wed Dec 2 23:53:23 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 02 Dec 2009 23:53:23 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <537705005.20091202214430@dlutt.de> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> <1259776829.2929.5.camel@compaq-evo.nausch.org> <4B16B806.1080001@novuage.de> <537705005.20091202214430@dlutt.de> Message-ID: <4B16EFE3.4080703@novuage.de> Daniel Luttermann schrieb: > Sascha Peters schrieb: > #>> amavisd-new testkeys >> TESTING: dkim2009112701._domainkey.test.novuage.de => fail (message has >> been altered) > > wenn ich einen Lookup auf deinen DNS TXT Record mache,dann fallen mir > ungewöhnlich viele Anführungszeichen auf... > > Dein Record: > > "v=DKIM1; p=" > "MIGfMA0GCSqGS....." > "lAEA...." > > Beispiel bei meinem Record: > > "v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqG....." > > Vielleicht ist das die Ursache? Die Ausgabe vom "amavisd-new showkeys" gibt das ja mehrzeilig aus und man sagt "copy and past" in bind. Das hatte ich vorher nicht, da war das anders. Hatte aber keine Änderung... Versuche ich aber noch mal... in einer Zeile... Und das gleiche Problem, kannst Du gerne noch mal gegenchecken. Aber es sollte nun der neue/andere Key im DNS stehen. Danke für die Idee... sonst noch jemand? -- Gruß Sascha From postfixbuch at spam-hosting.com Thu Dec 3 00:22:24 2009 From: postfixbuch at spam-hosting.com (postfixbuch at spam-hosting.com) Date: Thu, 03 Dec 2009 00:22:24 +0100 Subject: [Postfixbuch-users] Spamcop hat orange.fr gelistet In-Reply-To: References: Message-ID: <4B16F6B0.9040602@spam-hosting.com> Hi Frank, ich würde den ein Link schicken, wo die ganzen Blacklisten aufgeführt sind, wo die geblockt sind und evtl. aus öffentlichen Archiven den ein paar Spammails zeigen. Zudem sollte man ihn deutlich mitteilen, das sie bei ihrem Provider (orange) beschweren und druck machen sollen, das die ihr Abuse-Handling verbessern und z.B. ausgehende Nachrichten prüfen oder User nach schon zwei Beschwerden sperren. Die Telekom, kommentiert ein Block immer damit (aus dem Gedächtnis): Um unsere Systeme und Infrastruktur vor dem gestiegenen Spamvolumen von Ihren Servern aus zu schützen, wurden Ihre IP's automatisch geblockt... Wahrscheinlich senden eure Kollegen keine Mails an andere Server oder die armen User der anderen Server bekommen super viel Spam :-) Oder biete Ihnen an die Mail-Sachen bei euch zu hosten oder in .de ;-) martin -- signatur usw. Frank Fiene schrieb: > Was ist denn da wieder los, sind die bei Orange wieder zu blöd? > > Es erscheinen immer wieder einige Mailserver bei Spamcop. In den einschlägigen Foren hört man ja nichts gutes über diesen französischen Provider. > > Unsere französische Tochtergesellschaft hätte jetzt natürlich gerne, dass wir die Mail-Server von Orange freischalten, ich habe mich bis jetzt noch erfolgreich zur Wehr setzen können. > > Aber erklärt das mal einem Vertriebler! > Die Kunden sagen dann immer: "Euer System ist das einzige wo wir keine Mails hinschicken können!" > Ja ne, is klar! > > Mann mann mann. > > Viele Grüße! > Frank From michael at nausch.org Thu Dec 3 10:14:31 2009 From: michael at nausch.org (Michael Nausch) Date: Thu, 03 Dec 2009 10:14:31 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <4B16EFE3.4080703@novuage.de> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> <1259776829.2929.5.camel@compaq-evo.nausch.org> <4B16B806.1080001@novuage.de> <537705005.20091202214430@dlutt.de> <4B16EFE3.4080703@novuage.de> Message-ID: <20091203101431.8yauznomscg0w8go@buero.nausch.org> Griasde Sascha, Quoting Sascha Peters : > Und das gleiche Problem, kannst Du gerne noch mal gegenchecken. Aber es > sollte nun der neue/andere Key im DNS stehen. O.K. also der DNS-Eintrag sollte passen: $ host -t TXT dkim2009112701._domainkey.test.novuage.de dkim2009112701._domainkey.test.novuage.de descriptive text "v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDNREB0O3Nsj5JXnnHyLePiHyClAEAYEM+lLLpjxnHWe6U1+P5cNMjXNZcp3WdoonQElxFauH5rTrhXvPywsq+vVmxShG0gPBo8KMBp5N1Pfb7o147aGwCXz5DM8b2qAch8jWymvE5BYq0fuGy0Ko+IgEhLi20XELk0XxDYjGsPQIDAQAB" frage ich meinen ab, sieht er fast genau so aus. host -t TXT main._domainkey.nausch.org main._domainkey.nausch.org descriptive text "v=DKIM1\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDWypzomx/COZmYML/9j/MRNH9Chw652qzbHjM4RdzpeWzainKC+kyYP+VuoJWMtUX2KSo+kTuWaH4AUgwWSxKq4IBq34MgWsDi3h/mFekOqtnIHTZM16CLtouQDlkUYdatXLcMTlhIO/AH9eNB2F9qbRFRB4WWJyuCF6GNQLX9jQIDAQAB" > Danke für die Idee... sonst noch jemand? Magst mir mal eine Testmessage an michael at nausch.org schicken? Und wie sieht denn das Ergenis bei http://www.brandonchecketts.com/emailtest.php aus? Und noch 'ne Idee, wie lieferst Du denn Deine eMails an Deinem Server ein? via SMTP oder "sendmail"? Ciao, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: Digitale PGP-Unterschrift URL : From michael at nausch.org Thu Dec 3 11:49:08 2009 From: michael at nausch.org (Michael Nausch) Date: Thu, 03 Dec 2009 11:49:08 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <4B16BEF9.4040101@novuage.de> References: <4B16BEF9.4040101@novuage.de> Message-ID: <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> Griasdebou! Quoting Sascha Peters : > Hallo Michael, Wenn mir nicht g'rad langweilig wär' hätte ich doch glatt das Subject "VRFY" übersprungen. Aber nachdem Du mich bei meinem Realnamevornamen ansprichst, denke ich mal Du meinst mich, oder? > habe von deinem Wiki auch noch beim Stöbern das hier gesehen: > http://dokuwiki.nausch.org/doku.php?id=centos:mailserver:backup_mailserver Aha, Du meinst also mich. ;) > Das ist meines Wissens aber quatsch. Kann gut sein, ich mache gerne und viel Quatsch, aber wenn ich mich recht so erinnere haben wir das heuer im Frühjahr beim Master Grande in Berlin so gelernt oder um es präziser auszudrücken, ich habe es so verstanden (Zumal ja auch die erarbeitet Musterlösung bei Peer selbiges zu Tage brachte). > Die Verifizierung der Adressen läuft über einen SMTP Dialog mittels > "HELO, MAIL From, und RCPT To" der mit einem "QUIT" beendet wird. > Dazu braucht Postfix nicht das "VRFY" Kommando. Hmmm stimmt anscheinend, hab' mal VRFY disabled und über den Backupmailserver versucht eine eMail zuzustellen: telnet mx1.tachtler.net 25 Trying 88.217.171.167... Connected to mx1.tachtler.net (88.217.171.167). Escape character is '^]'. 220 mx1.tachtler.net ESMTP Postfix HELO mx.novuage.de 250 mx1.tachtler.net MAIL FROM: 250 2.1.0 Ok RCPT TO: 577 5.1.1 : Recipient address rejected: undeliverable address: host mx1.nausch.org[88.217.187.21] said: 550 5.1.1 : Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command) quit 221 2.0.0 Bye Connection closed by foreign host. Anscheinend passiert die Überprüfung der eMailadressen in der Tat via: HELO, MAIL FROM, RCPT TO disable_vrfy_command sagt demnach nur aus, ob Postfix selbst auf VRFY-Anfragen reagieren soll oder nicht. > http://www.postfix.org/postconf.5.html#disable_vrfy_command > Im SMTP Dialog der bei "EHLO domain.tld" kommt taucht dieser Befehl > dann auch nicht mehr auf. Macht ja auch Sinn, die Option zu disablen wenn man das nicht möchte. Warum man das allerdings machen soll, hab' ich noch nicht genau 100%ig verstanden, da man ja jederzeit auch die Gültigkeit einer Adresse via RCPT TO: überprüfen kann. Vielleicht hat ja Peer 'ne schlüssige Erklärung. ;) Sascha, soll ich selbst den "Quatsch" berichtigen, oder willst Du es selber machen? Pfiade, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: Digitale PGP-Unterschrift URL : From postfix-list at novuage.de Thu Dec 3 17:22:05 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 03 Dec 2009 17:22:05 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> References: <4B16BEF9.4040101@novuage.de> <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> Message-ID: <4B17E5AD.7060306@novuage.de> Michael Nausch schrieb: > Quoting Sascha Peters : >> Hallo Michael, > > Wenn mir nicht g'rad langweilig wär' hätte ich doch glatt das Subject > "VRFY" übersprungen. Aber nachdem Du mich bei meinem Realnamevornamen > ansprichst, denke ich mal Du meinst mich, oder? > >> habe von deinem Wiki auch noch beim Stöbern das hier gesehen: >> http://dokuwiki.nausch.org/doku.php?id=centos:mailserver:backup_mailserver >> > > Aha, Du meinst also mich. ;) Sorry :-) hätte auch deutlicher werden können .-) >> Das ist meines Wissens aber quatsch. > > Kann gut sein, ich mache gerne und viel Quatsch, aber wenn ich mich > recht so erinnere haben wir das heuer im Frühjahr beim Master Grande in > Berlin so gelernt oder um es präziser auszudrücken, ich habe es so > verstanden (Zumal ja auch die erarbeitet Musterlösung bei Peer selbiges > zu Tage brachte). Das sollte man ja auch abschalten, aber es hat trotzdem mit dem nix zu tun was da stand... bzw. mit dem verify :-) > Macht ja auch Sinn, die Option zu disablen wenn man das nicht möchte. > Warum man das allerdings machen soll, hab' ich noch nicht genau 100%ig > verstanden, da man ja jederzeit auch die Gültigkeit einer Adresse via > RCPT TO: überprüfen kann. > > Vielleicht hat ja Peer 'ne schlüssige Erklärung. ;) > > Sascha, soll ich selbst den "Quatsch" berichtigen, oder willst Du es > selber machen? Ach ja, ist das ein "offenes" Wiki :-) mach Du mal... :-) -- Gruß Sascha From michael at nausch.org Thu Dec 3 21:08:31 2009 From: michael at nausch.org (Michael Nausch) Date: Thu, 03 Dec 2009 21:08:31 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <4B17E5AD.7060306@novuage.de> References: <4B16BEF9.4040101@novuage.de> <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> <4B17E5AD.7060306@novuage.de> Message-ID: <1259870911.3109.8.camel@thinkpad.nausch.org> Griasdebou! Am Donnerstag, den 03.12.2009, 17:22 +0100 schrieb Sascha Peters: > > Aha, Du meinst also mich. ;) > > Sorry :-) hätte auch deutlicher werden können .-) Wie gesagt, ich hab' nur zufällig die Diskussion gesehen. Ich würde da eher eine pes.Post schicken, wenn ich jemanden direkt ansprechen möchte. > Das sollte man ja auch abschalten, aber es hat trotzdem mit dem nix zu > tun was da stand... bzw. mit dem verify :-) O.K. also zwei Dinge: 1. Warum sollte man das abschalten? das habe ich noch nicht verstanden. Das musst Du mir mal erklären, ehrlich! 2. Dass das ganze auch ohne aktiviertem Verify geht, habe ich ja nun auch gelernt, aber glaube mir, auch der neben mir im Office sitzt, hat das Thema so bei Peer's Schulung in Berlin mitgenommen. ;) > > Sascha, soll ich selbst den "Quatsch" berichtigen, oder willst Du es > > selber machen? > > Ach ja, ist das ein "offenes" Wiki :-) mach Du mal... :-) Feigling! ;) Pfiade, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org From p.heinlein at heinlein-support.de Thu Dec 3 21:32:52 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 3 Dec 2009 21:32:52 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> References: <4B16BEF9.4040101@novuage.de> <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> Message-ID: <200912032132.53032.p.heinlein@heinlein-support.de> Am Donnerstag, 3. Dezember 2009 schrieb Michael Nausch: > Kann gut sein, ich mache gerne und viel Quatsch, aber wenn ich mich > recht so erinnere haben wir das heuer im Frühjahr beim Master Grande > in Berlin so gelernt oder um es präziser auszudrücken, ich habe es so > verstanden (Zumal ja auch die erarbeitet Musterlösung bei Peer > selbiges zu Tage brachte). Äh... ne. Das VRFY kommt normalerweise in der gesamten Schulungswoche überhaupt nicht vor, dazu wird eigentlich (wegen Irrelevanz) kein Wort verloren. Ich schwöre auch gerne Stein und Bein daß dazu definitiv nichts gesagt wurde, erst recht nicht in Zusammenhang mit der dynamischen Empfängervalidierung. Das VRFY ist asbach-uralt. Das dynamische Verifizieren ist relativ neu. Das hat nix miteinander zu tun. > > Die Verifizierung der Adressen läuft über einen SMTP Dialog mittels > > "HELO, MAIL From, und RCPT To" der mit einem "QUIT" beendet wird. > > Dazu braucht Postfix nicht das "VRFY" Kommando. Korrekt. > Warum man das allerdings machen soll, hab' ich noch nicht genau 100%ig > verstanden, da man ja jederzeit auch die Gültigkeit einer Adresse via > RCPT TO: überprüfen kann. > > Vielleicht hat ja Peer 'ne schlüssige Erklärung. ;) Yip. Man konnte darüber früher beispielseweise die Expansion eines Mailverteilers erfahren, also beispielsweise wer sich hinter team at example.com verbirgt. Oder man konnte Adressen auf Existenz überprüfen, obwohl diese als Empfänger gesperrt waren. Oder oder oder. Das VRFY kommt aus einer ganz anderen Zeit. Damals erfreute man sich noch an UUCP und ein Host war anhand seiner IP-Adresse als vertrauenswürdig einzustufen. > 2. Dass das ganze auch ohne aktiviertem Verify geht, habe ich ja nun > auch gelernt, aber glaube mir, auch der neben mir im Office sitzt, hat > das Thema so bei Peer's Schulung in Berlin mitgenommen. ;) Jaja, so ergeht einem das wenn man im Unterricht zuviel quatscht. :-) Peer P.S.: Wie bitte "Peer's" Schulung? In dieser Mailinglisten sind Deppen-Apo'strophe verboten und ein deutsches Genitiv-S hat keinen Apostroph. Danke'schön's. Aber derzeit freut man sich ja schon fast wieder wenn es nur ein Deppen-Apostroph ist. Viel unsäglicher ist derzeit die fehlende Durchkopplung von Worten, die sich mehr und mehr als Unsitte der Falschschreibung ausbreitet. Eine "Mailing Liste" oder die "Fehler Analyse" oder das "Festplatten Kabel". Huarks. So steht das derzeit überall. An jeder Ecke. Furchtbar! Äh, Furcht Bar! Dann schon lieber Deppen-Apostroph. Äh, natürlich Deppen Apostroph. Amen. -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From timo.schoeler at riscworks.net Thu Dec 3 21:35:21 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Thu, 03 Dec 2009 21:35:21 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <200912032132.53032.p.heinlein@heinlein-support.de> References: <4B16BEF9.4040101@novuage.de> <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> <200912032132.53032.p.heinlein@heinlein-support.de> Message-ID: <4B182109.6080600@riscworks.net> On 12/03/2009 09:32 PM, Peer Heinlein wrote: > Peer > > > > P.S.: Wie bitte "Peer's" Schulung? In dieser Mailinglisten sind > Deppen-Apo'strophe verboten und ein deutsches Genitiv-S hat keinen > Apostroph. Danke'schön's. Aber derzeit freut man sich ja schon fast > wieder wenn es nur ein Deppen-Apostroph ist. Viel unsäglicher ist derzeit > die fehlende Durchkopplung von Worten, die sich mehr und mehr als Unsitte > der Falschschreibung ausbreitet. Eine "Mailing Liste" Mailingliste wäre ebenso inkorrekt. ;) > oder die "Fehler > Analyse" oder das "Festplatten Kabel". Huarks. So steht das derzeit > überall. An jeder Ecke. Furchtbar! Äh, Furcht Bar! Dann schon lieber > Deppen-Apostroph. Äh, natürlich Deppen Apostroph. Amen. Timo From michael at nausch.org Thu Dec 3 22:38:43 2009 From: michael at nausch.org (Michael Nausch) Date: Thu, 03 Dec 2009 22:38:43 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <200912032132.53032.p.heinlein@heinlein-support.de> References: <4B16BEF9.4040101@novuage.de> <20091203114908.ykscwtoqskcs8w8w@buero.nausch.org> <200912032132.53032.p.heinlein@heinlein-support.de> Message-ID: <1259876323.3109.32.camel@thinkpad.nausch.org> Griasde Master Grande! Am Donnerstag, den 03.12.2009, 21:32 +0100 schrieb Peer Heinlein: > > verstanden (Zumal ja auch die erarbeitet Musterlösung bei Peer > > selbiges zu Tage brachte). > > Äh... ne. Jo, auf der Platte meines Dienstlaptops war genau das d'rauf. Aber wie ich schon schrieb, hatte ich es so verstanden und auch Clyde! Habe heute extra nachgefragt. > Das VRFY kommt normalerweise in der gesamten Schulungswoche überhaupt > nicht vor, dazu wird eigentlich (wegen Irrelevanz) kein Wort verloren. "Normalerweise" Jo jo, wir mussten eMails quer über den Tisch annehmen und verifizieren, ob der Account auf dem Zielsystem existiert. Da kam auch VRFY zur Sprache. > Ich schwöre auch gerne Stein und Bein daß dazu definitiv nichts gesagt > wurde, erst recht nicht in Zusammenhang mit der dynamischen > Empfängervalidierung. So so, was wett' ma denn? ;) Im Moment stehts 2:1. > Das VRFY ist asbach-uralt. Das dynamische Verifizieren ist relativ neu. > Das hat nix miteinander zu tun. Hab es kapiert und auch dokumentiert => http://dokuwiki.nausch.org/doku.php?id=centos:mailserver:backup_mailserver&do=diff > > Vielleicht hat ja Peer 'ne schlüssige Erklärung. ;) > > Yip. Man konnte darüber früher beispielseweise die Expansion eines > Mailverteilers erfahren, also beispielsweise wer sich hinter > team at example.com verbirgt. Oder man konnte Adressen auf Existenz > überprüfen, obwohl diese als Empfänger gesperrt waren. Oder oder oder. Sehr gut, _das_ nenne ich doch mal 'ne kompetente Antwort! > > 2. Dass das ganze auch ohne aktiviertem Verify geht, habe ich ja nun > > auch gelernt, aber glaube mir, auch der neben mir im Office sitzt, hat > > das Thema so bei Peer's Schulung in Berlin mitgenommen. ;) > > Jaja, so ergeht einem das wenn man im Unterricht zuviel quatscht. :-) Öha, na na na, was komt denn als nächstes? Dass ich der Urheber der vielen dicken Bäuche in deinem Büro bin? Ich war dat nich! ;) Nur ein digga Bauch, nämlich meiner! Ausserdem hast Du uns eineiige Zwillinge ja gleich am zweiten Tag getrennt. > P.S.: Wie bitte "Peer's" Schulung? In dieser Mailinglisten sind > Deppen-Apo'strophe verboten und ein deutsches Genitiv-S hat keinen > Apostroph. Wie meinen? Ich bin Künstler - ein Buchstabenkünstler! Das ist Ausdruck meines künstlerischen Wirkens. > Huarks. So steht das derzeit > überall. An jeder Ecke. Furchtbar! Äh, Furcht Bar! Dann schon lieber > Deppen-Apostroph. Äh, natürlich Deppen Apostroph. Amen. Also wär'st Du "Mr. B", dann würde ich sagen, aha isses doch der fehlende Beischlaf und zu wenig Urlaub. Irgendwie muss man Dich doch auch aus der Reserve locken dürfen? :) Pfiade, Django P.S.: Es steht immer noch der Grilltermin aus, nur isses mir im Moment etwas zu kalt draussen im Garten. Also wird es Zeit dass wir das im Frühjahr machen, wenn wir "eMail Neu" anwerfen und ein Audit unserer kranken Gedankengänge benötigen. -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org From p.heinlein at heinlein-support.de Thu Dec 3 22:56:28 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 3 Dec 2009 22:56:28 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <1259876323.3109.32.camel@thinkpad.nausch.org> References: <4B16BEF9.4040101@novuage.de> <200912032132.53032.p.heinlein@heinlein-support.de> <1259876323.3109.32.camel@thinkpad.nausch.org> Message-ID: <200912032256.29199.p.heinlein@heinlein-support.de> Am Donnerstag, 3. Dezember 2009 schrieb Michael Nausch: > > Das VRFY kommt normalerweise in der gesamten Schulungswoche überhaupt > > nicht vor, dazu wird eigentlich (wegen Irrelevanz) kein Wort > > verloren. > > "Normalerweise" Jo jo, wir mussten eMails quer über den Tisch Jau. Der Jurist sagt immer "grundsätzlich" :-) > annehmen und verifizieren, ob der Account auf dem Zielsystem existiert. > Da kam auch VRFY zur Sprache. Na, dann aber allerhöchstens in der Art und Weise "spielt hier keine Rolle". > > Ich schwöre auch gerne Stein und Bein daß dazu definitiv nichts > > gesagt wurde, erst recht nicht in Zusammenhang mit der dynamischen > > Empfängervalidierung. > > So so, was wett' ma denn? ;) Im Moment stehts 2:1. Ach, alles gefälscht. Da war bestimmt ein Hacker auf Deinem Laptop. Ich darf hier gerade ein Gerichtsgutachten schreiben wo ein anderer Gutachter vor Gericht zwar nicht wußte, was RFC 2821 ist, aber als Ergebnis seines Gutachtens ausgesagt hat, daß der Zugang der E-Mail selbst bei protokollierter 250-OK-Übertragung nicht sichergestellt ist, weil sich ja ein Hacker dazwischengeschlichen haben könnte, der vielleicht die E-Mail zwischen den zwei Mailservern entführt hat und auch dann hätte der absendende Server ja ein 250 OK protokolliert. So. Und jetzt argumentiert mal laienverständlich, daß sich da natürlich ein Hacker vor einen der weltgrößten E-Mail-Provider vorghackt haben "könnte", daß es jetzt aber nicht wirklich gerichtstauglich ist ohne jeden Hinweis darauf anzunehmen, daß jetzt dieser Hacker nun lediglich und unbemerkt eine ganz konkrete poplige E-Mail nie an den Empfänger zugestellt wurde, obwohl alle mitgeschnittenen SMTP-Übertragungsprotokolle das sauber dokumentierten. Und keiner hat's gemerkt, daß sich dieser Hacker da auf dem Backbone in einen viele Gigabit dicken Datenstrom eines über viele Rechenzentren verteilten ISPs gehackt hat. Da hat der kluge Hacker den ganzen Traffic bestimmt kurzerhand über seinen Root-Server umgeleitet und die E-Mail rausgelöscht. Und keiner hat's gemerkt. Skandal! Natürlich "könnte" sich da ein Hacker vorgeschaltet haben. Natürlich könnten wir auch alle in der Matrix leben. Natürlich könnte es auch sein, daß es gar keine E-Mails gibt. Und natürlich könnte es sein, daß Strom in Wirklichkeit doch gelb ist. Wer will da schon ein "kann nicht sein" antworten?! Ich muß gestehen, ich komme da gerade argumentativ an meine Grenzen. Manche Thesen sind so absurd -- die kann man einfach nicht widerlegen. Aber der Richter hat's damals geschluckt und akzeptiert. Ich kämpfe jedoch noch mit den richtigen Formulierungen. Außer unglaubwürdigem Sarkasmus ist mir da noch nicht so viel zu eingefallen. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From postfix-list at novuage.de Thu Dec 3 23:10:50 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 03 Dec 2009 23:10:50 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <200912032256.29199.p.heinlein@heinlein-support.de> References: <4B16BEF9.4040101@novuage.de> <200912032132.53032.p.heinlein@heinlein-support.de> <1259876323.3109.32.camel@thinkpad.nausch.org> <200912032256.29199.p.heinlein@heinlein-support.de> Message-ID: <4B18376A.90109@novuage.de> Hallo Peer, Peer Heinlein schrieb: > Ich darf hier gerade ein Gerichtsgutachten schreiben wo ein anderer > Gutachter vor Gericht zwar nicht wußte, was RFC 2821 ist, aber als > Ergebnis seines Gutachtens ausgesagt hat, daß der Zugang der E-Mail > selbst bei protokollierter 250-OK-Übertragung nicht sichergestellt ist, > weil sich ja ein Hacker dazwischengeschlichen haben könnte, der > vielleicht die E-Mail zwischen den zwei Mailservern entführt hat und auch > dann hätte der absendende Server ja ein 250 OK protokolliert. > > So. Und jetzt argumentiert mal laienverständlich, daß sich da natürlich > ein Hacker vor einen der weltgrößten E-Mail-Provider vorghackt > haben "könnte", daß es jetzt aber nicht wirklich gerichtstauglich ist > ohne jeden Hinweis darauf anzunehmen, daß jetzt dieser Hacker nun > lediglich und unbemerkt eine ganz konkrete poplige E-Mail nie an den > Empfänger zugestellt wurde, obwohl alle mitgeschnittenen > SMTP-Übertragungsprotokolle das sauber dokumentierten. > > Und keiner hat's gemerkt, daß sich dieser Hacker da auf dem Backbone in > einen viele Gigabit dicken Datenstrom eines über viele Rechenzentren > verteilten ISPs gehackt hat. Da hat der kluge Hacker den ganzen Traffic > bestimmt kurzerhand über seinen Root-Server umgeleitet und die E-Mail > rausgelöscht. Und keiner hat's gemerkt. Skandal! > > Natürlich "könnte" sich da ein Hacker vorgeschaltet haben. Natürlich > könnten wir auch alle in der Matrix leben. Natürlich könnte es auch sein, > daß es gar keine E-Mails gibt. Und natürlich könnte es sein, daß Strom in > Wirklichkeit doch gelb ist. > > Wer will da schon ein "kann nicht sein" antworten?! > > Ich muß gestehen, ich komme da gerade argumentativ an meine Grenzen. > Manche Thesen sind so absurd -- die kann man einfach nicht widerlegen. > Aber der Richter hat's damals geschluckt und akzeptiert. Ich kämpfe > jedoch noch mit den richtigen Formulierungen. Außer unglaubwürdigem > Sarkasmus ist mir da noch nicht so viel zu eingefallen. Also hier auf der Liste denke ich macht das immer Spaß zu lesen wie Du das schreibst. Und hier kommt es dann auch Inhaltlich denke ich korrekt an. Es bleibt bei sowas doch in der Tat immer eine Rechnung der Wahrscheinlichkeit. Auch wie groß ist denn der Nutzen eines solchen Angriffes und damit auch die Wahrscheinlichkeit das es so passiert ist. Ist es nicht auch so das quasi ein Richter danach Urteilt wie sicher er sich das Vorstellen kann? Irgendwie muss er ja nur Überzeugt werden wie wahrscheinlich es ist das es so sein könnte. Wenn ich Dich recht verstanden habe sind auch die SMTP Logfiles von dem "250 OK" Server vorhanden. Und Dokumentieren das DIESER Server die Mail angenommen hat. Selbst wenn da ein Hacker dazwischen war, und nicht auf dem Server selbst, dann kann er die Mail lesen, verbreiten und auch als Flugblatt verteilen, was aber in diesem Fall wenn es keine Geheimnisse waren für den Fall ja überflüssige Informationen sind. Es kommt doch hier nach dem was Du hast durchblicken lassen nur darauf an das der Server Dokumentiert hat das er es angenommen hat und auch wie er es Zugestellt hat. PUNKT. Ob jemand drittes als Hacker Kenntnis des Inhaltes hat spielt doch dann keine Rolle, die E-Mail ist dann trotzdem im Postfach gelandet. Oder? Sonst bewegen wir uns doch in einem Raum in dem man alles wiederlegen kann. Ein Schloss von einem Hochsicherheitssystem kann theoretisch auch jeder knacken. Die Summe der wahrscheinlichen Möglichkeiten macht doch nachher die Meinung aus, oder? Und die Hausfrau 200km weiter die von dem Inhalt und der Existenz des Schlosses nichts wusste wird es sicher nicht gewesen sein. Wenn Du was geschrieben hast, falls das geht, würde mich aber interessieren welche Argumente Du genutzt hast ;-) Ist sicher immer Interessant. -- Gruß Sascha From timo.schoeler at riscworks.net Thu Dec 3 23:44:34 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Thu, 03 Dec 2009 23:44:34 +0100 Subject: [Postfixbuch-users] VRFY In-Reply-To: <4B18376A.90109@novuage.de> References: <4B16BEF9.4040101@novuage.de> <200912032132.53032.p.heinlein@heinlein-support.de> <1259876323.3109.32.camel@thinkpad.nausch.org> <200912032256.29199.p.heinlein@heinlein-support.de> <4B18376A.90109@novuage.de> Message-ID: <4B183F52.5000904@riscworks.net> On 12/03/2009 11:10 PM, Sascha Peters wrote: > Hallo Peer, > > Peer Heinlein schrieb: >> Ich darf hier gerade ein Gerichtsgutachten schreiben wo ein anderer >> Gutachter vor Gericht zwar nicht wußte, was RFC 2821 ist, aber als >> Ergebnis seines Gutachtens ausgesagt hat, daß der Zugang der E-Mail >> selbst bei protokollierter 250-OK-Übertragung nicht sichergestellt >> ist, weil sich ja ein Hacker dazwischengeschlichen haben könnte, der >> vielleicht die E-Mail zwischen den zwei Mailservern entführt hat und >> auch dann hätte der absendende Server ja ein 250 OK protokolliert. >> >> So. Und jetzt argumentiert mal laienverständlich, daß sich da >> natürlich ein Hacker vor einen der weltgrößten E-Mail-Provider >> vorghackt haben "könnte", daß es jetzt aber nicht wirklich >> gerichtstauglich ist ohne jeden Hinweis darauf anzunehmen, daß jetzt >> dieser Hacker nun lediglich und unbemerkt eine ganz konkrete poplige >> E-Mail nie an den Empfänger zugestellt wurde, obwohl alle >> mitgeschnittenen SMTP-Übertragungsprotokolle das sauber dokumentierten. >> Und keiner hat's gemerkt, daß sich dieser Hacker da auf dem Backbone >> in einen viele Gigabit dicken Datenstrom eines über viele >> Rechenzentren verteilten ISPs gehackt hat. Da hat der kluge Hacker den >> ganzen Traffic bestimmt kurzerhand über seinen Root-Server umgeleitet >> und die E-Mail rausgelöscht. Und keiner hat's gemerkt. Skandal! >> >> Natürlich "könnte" sich da ein Hacker vorgeschaltet haben. Natürlich >> könnten wir auch alle in der Matrix leben. Natürlich könnte es auch >> sein, daß es gar keine E-Mails gibt. Und natürlich könnte es sein, daß >> Strom in Wirklichkeit doch gelb ist. >> >> Wer will da schon ein "kann nicht sein" antworten?! >> >> Ich muß gestehen, ich komme da gerade argumentativ an meine Grenzen. >> Manche Thesen sind so absurd -- die kann man einfach nicht widerlegen. >> Aber der Richter hat's damals geschluckt und akzeptiert. Ich kämpfe >> jedoch noch mit den richtigen Formulierungen. Außer unglaubwürdigem >> Sarkasmus ist mir da noch nicht so viel zu eingefallen. > > Also hier auf der Liste denke ich macht das immer Spaß zu lesen wie Du > das schreibst. Und hier kommt es dann auch Inhaltlich denke ich korrekt an. > > Es bleibt bei sowas doch in der Tat immer eine Rechnung der > Wahrscheinlichkeit. Auch wie groß ist denn der Nutzen eines solchen > Angriffes und damit auch die Wahrscheinlichkeit das es so passiert ist. > Ist es nicht auch so das quasi ein Richter danach Urteilt wie sicher er > sich das Vorstellen kann? > > Irgendwie muss er ja nur Überzeugt werden wie wahrscheinlich es ist das > es so sein könnte. Wenn ich Dich recht verstanden habe sind auch die > SMTP Logfiles von dem "250 OK" Server vorhanden. Und Dokumentieren das > DIESER Server die Mail angenommen hat. > > Selbst wenn da ein Hacker dazwischen war, und nicht auf dem Server > selbst, dann kann er die Mail lesen, verbreiten und auch als Flugblatt > verteilen, was aber in diesem Fall wenn es keine Geheimnisse waren für > den Fall ja überflüssige Informationen sind. > Es kommt doch hier nach dem was Du hast durchblicken lassen nur darauf > an das der Server Dokumentiert hat das er es angenommen hat und auch wie > er es Zugestellt hat. PUNKT. > > Ob jemand drittes als Hacker Kenntnis des Inhaltes hat spielt doch dann > keine Rolle, die E-Mail ist dann trotzdem im Postfach gelandet. Oder? > > > Sonst bewegen wir uns doch in einem Raum in dem man alles wiederlegen > kann. Ein Schloss von einem Hochsicherheitssystem kann theoretisch auch > jeder knacken. Die Summe der wahrscheinlichen Möglichkeiten macht doch > nachher die Meinung aus, oder? Und die Hausfrau 200km weiter die von dem > Inhalt und der Existenz des Schlosses nichts wusste wird es sicher nicht > gewesen sein. > > > Wenn Du was geschrieben hast, falls das geht, würde mich aber > interessieren welche Argumente Du genutzt hast ;-) Ist sicher immer > Interessant. Ich würde nicht unbedingt außer acht lassen, wieviel 'Dampf' heutige Systeme via ASICs, hochoptimierter Vector Engines und ebenfalls immer effizienter arbeitenden Compilern sind und welche Möglichkeiten genau hier im Bereich von 'Deep Packet Inspection' entstehen. Es muß ja nicht immer 'ein' 'böser' 'Hacker' sein -- es gibt ja auch 'demokratische' 'Institutionen' (*hust* BND *hust* 'Verfassungsschutz* *hust*), die -- man ignoriere nicht Vorgänge wie 'false flag-Operationen' et al. -- nicht immer übermäßig dem folgen, was Kant/Wittgenstein empfahlen... ;) Just my 2 cents, Timo From postfixbuch-users at drobic.de Fri Dec 4 10:13:34 2009 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Fri, 04 Dec 2009 10:13:34 +0100 Subject: [Postfixbuch-users] Spamcop hat orange.fr gelistet In-Reply-To: References: Message-ID: <4B18D2BE.1000900@drobic.de> Frank Fiene wrote: > Was ist denn da wieder los, sind die bei Orange wieder zu blöd? > > Es erscheinen immer wieder einige Mailserver bei Spamcop. In den einschlägigen Foren hört man ja nichts gutes über diesen französischen Provider. > > Unsere französische Tochtergesellschaft hätte jetzt natürlich gerne, dass wir die Mail-Server von Orange freischalten, ich habe mich bis jetzt noch erfolgreich zur Wehr setzen können. > > Aber erklärt das mal einem Vertriebler! > Die Kunden sagen dann immer: "Euer System ist das einzige wo wir keine Mails hinschicken können!" > Ja ne, is klar! Glatt gelogen, ich kenne noch mehr Systeme, wo die unerwünscht sind! Auf meinen Servern sind die auch schon unangenehm wegen Spam aufgefallen. :-/ From postfixbuch-users at drobic.de Fri Dec 4 10:16:34 2009 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Fri, 04 Dec 2009 10:16:34 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname In-Reply-To: <4B16BDA1.2070801@novuage.de> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> Message-ID: <4B18D372.8030905@drobic.de> Sascha Peters wrote: > Basti schrieb: >> wollte mal kurz anfragen ob Ihr die obigen Restrictions so im >> Einsatz habt, oder ob die false-positive Rate schmerzhaft wäre? > > ich habe diese im Einsatz, mir ist keine false-positive bekannt. Wenn > müsste man auch eher davon sprechen das jemand anderes was falsch > gemacht hat... > > Ab Postfix 2.3 heißt das übrigens "reject_invalid_helo_hostname", und > zusätzlich habe ich noch "reject_non_fqdn_helo_hostname". Die andere > Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab > ich auch nicht im Einsatz. Genau diese ist aber kritisch! Die würde bei mir zu einer hohen Fehlerquote führen, da viele kleine Firmen direkt versenden und der Exchange gerne als firma.local konfiguriert wurde. Damit meldet er sich dann auch per HELO. Die Einstellung ist natürlich falsch, aber leider doch häufig anzutreffen. From timo.schoeler at riscworks.net Fri Dec 4 10:32:47 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Fri, 04 Dec 2009 10:32:47 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname In-Reply-To: <4B18D372.8030905@drobic.de> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> <4B18D372.8030905@drobic.de> Message-ID: <4B18D73F.4080605@riscworks.net> thus Sandy Drobic spake: > Sascha Peters wrote: >> Basti schrieb: >>> wollte mal kurz anfragen ob Ihr die obigen Restrictions so im >>> Einsatz habt, oder ob die false-positive Rate schmerzhaft wäre? >> ich habe diese im Einsatz, mir ist keine false-positive bekannt. Wenn >> müsste man auch eher davon sprechen das jemand anderes was falsch >> gemacht hat... >> >> Ab Postfix 2.3 heißt das übrigens "reject_invalid_helo_hostname", und >> zusätzlich habe ich noch "reject_non_fqdn_helo_hostname". Die andere >> Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab >> ich auch nicht im Einsatz. > > Genau diese ist aber kritisch! Die würde bei mir zu einer hohen Fehlerquote > führen, da viele kleine Firmen direkt versenden und der Exchange gerne als > firma.local konfiguriert wurde. Damit meldet er sich dann auch per HELO. > > Die Einstellung ist natürlich falsch, aber leider doch häufig anzutreffen. Aber warum sollte man das RFC-nonkonforme Geschluder mancher Hobby-Admins dergestalt subventionieren, daß man sie dann quasi 'per se' gewähren läßt? Bei uns gibt's dann auf Kundenanfrage ('Unsere chinesische Dependance kann uns keine Mails schicken' -- klar, irgendein krudes Exchange aus einem noch kruderen DialUp-Bereich) i.d.R. ein whitelisting für den einen betroffenen Host. Beizeiten scheint mir der pädagogische Anteil im Tätigkeitsbereich als Admin über die Jahre immer weiter anzuschwellen... ;) MsG, Timo From postfixbuch-users at drobic.de Fri Dec 4 10:41:44 2009 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Fri, 04 Dec 2009 10:41:44 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname In-Reply-To: <4B18D73F.4080605@riscworks.net> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> <4B18D372.8030905@drobic.de> <4B18D73F.4080605@riscworks.net> Message-ID: <4B18D958.4010403@drobic.de> Timo Schoeler wrote: > thus Sandy Drobic spake: >> Sascha Peters wrote: >>> Basti schrieb: >>> Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab >>> ich auch nicht im Einsatz. >> >> Genau diese ist aber kritisch! Die würde bei mir zu einer hohen >> Fehlerquote >> führen, da viele kleine Firmen direkt versenden und der Exchange gerne >> als >> firma.local konfiguriert wurde. Damit meldet er sich dann auch per HELO. >> >> Die Einstellung ist natürlich falsch, aber leider doch häufig >> anzutreffen. > > Aber warum sollte man das RFC-nonkonforme Geschluder mancher > Hobby-Admins dergestalt subventionieren, daß man sie dann quasi 'per se' > gewähren läßt? Bei uns gibt's dann auf Kundenanfrage ('Unsere Das sind Firmen, die einfach keinen Mailadmin haben, der sich mit den RFCs auskennt. Meine Frage ist nicht, ob die auch peinlich jeden RFC erfüllen, sondern ob die Mails von denen erwünscht sind oder nicht. Diese Frage kann ich nicht anhand des HELO firma.local beantworten, also verwende ich ihn nicht. > chinesische Dependance kann uns keine Mails schicken' -- klar, irgendein > krudes Exchange aus einem noch kruderen DialUp-Bereich) i.d.R. ein > whitelisting für den einen betroffenen Host. > > Beizeiten scheint mir der pädagogische Anteil im Tätigkeitsbereich als > Admin über die Jahre immer weiter anzuschwellen... ;) Ehrlich gesagt habe ich wichtigeres zu tun als externe zu belehren, dass deren Server RFC xyz nicht erfüllt. Meine Server sollen erwünschte Mails annehmen und unerwünschte möglichst nicht annehmen. Priorität ist jedoch ersteres. Wenn ich RFC-Polizist spielen würde, hätte ich noch mehr damit zu tun, meinem Chef die Frage zu beantworten, warum unser Mailsystem kaputt ist, da es die erwünschten Mails nicht annimmt. (^-^) Fazit: jeder muss selbst entscheiden, ob ein Check für seine Mailpolicy geeignet ist oder nicht. From Ralf.Hildebrandt at charite.de Fri Dec 4 10:56:55 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Dec 2009 10:56:55 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname In-Reply-To: <4B18D73F.4080605@riscworks.net> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> <4B18D372.8030905@drobic.de> <4B18D73F.4080605@riscworks.net> Message-ID: <20091204095655.GT22362@charite.de> > Aber warum sollte man das RFC-nonkonforme Geschluder mancher > Hobby-Admins dergestalt subventionieren, daß man sie dann quasi 'per > se' gewähren läßt? Weil das Profis sind :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From ffiene at veka.com Fri Dec 4 11:00:55 2009 From: ffiene at veka.com (Frank Fiene) Date: Fri, 4 Dec 2009 11:00:55 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241710.44820.p.heinlein@heinlein-support.de> <75C67039-7A9B-4AF9-B689-36B91BAED9C8@veka.com> <4B0CD77D.30501@riscworks.net> Message-ID: <4626E99F-DD6F-4E46-AE6A-C227216F4C41@veka.com> Am 25.11.2009 um 09:43 schrieb Frank Fiene: > > Am 25.11.2009 um 08:06 schrieb Timo Schoeler: > >> thus Frank Fiene spake: >>> Am 24.11.2009 um 17:10 schrieb Peer Heinlein: >>>> Am Dienstag 24 November 2009 schrieb Frank Fiene: >>>>> War das nur ein Spaß oder funktioniert das wirklich? Und wieviel >>>>> SPAM fängt so etwas ein? 10%? >>>> Stimmt, da fällt mir ein: Das wollte ich ja schon immer mal ganz >>>> konkret messen. Muß ich mir mal vornehmen. >>>> Genaue Zahlen habe ich da derzeit leider auch nicht. >>> OK, dann mal etwas genauer zur Konfiguration. >>> Es gibt drei Möglichkeiten: >>> 1) MX 20 auf nicht aktive IP (natürlich im eigenen Netz ;-) ) 2) MX >>> 20 auf aktive IP und TCP Reset 3) MX 20 auf aktive IP und Pakete >>> wegwerfen >>> Was bringt am meisten? >>> Bei 1) könnten die Spammer ja merken, dass der Rechner gar nicht da >>> ist, ich würde sagen 3) ärgert den SPAM-Bot am meisten, da geht er >>> gleich zum nächsten Ziel nachdem er etwas gewartet hat. >>> 2) und 3) kann man mit einem eigenen System machen oder auf dem >>> Paketfilter. >>> Das könnte man eigentlich mal alles durchmessen, stört ja den >>> Produktivbetrieb nicht, verschiebt nur den SPAM auf andere Ziele. >> >> Mit OpenBSDs spamd [0] kann man sowohl den Nutzen als auch die >> Statistiken erreichen. ;) > > > Ja, mailgraph kann das auch, das ist nicht das Thema. > > Ich werde das mal versuchen, wir haben allerdings nur ca. 40 msgs/min (davon 35 rejected wg Greylisting, SPAM und Viren kommen damit kaum bis zum amavis) auf jedem der beiden mx-10er. > In einer größeren Umgebung kann man das sicher besser messen! So, jetzt mal Butter bei die Fische! Ich habe das mit dem MX20 jetzt eine Woche laufen lassen mit der Policy "Drop", also Pakete auf der Firewall wegwerfen, der Rechner, der hinter dem MX20 steht, existiert. Die Rejects auf den beiden Mailservern sind von 35 msgs/min auf 22 msgs/min runter und einen Großteil der 13 "fehlenden" Rejects sehe ich im Log des Paketfilters, der Rest wird normal Schwankung sein. Noch etwas erstaunliches: die Peaks (so normalerweise um 14 Uhr, Montags um 12 Uhr, da stehen die Amis wohl früher auf! ;-) ) sind wesentlich geringer geworden, von max 200 Rejects/min auf ca. 100! Ich würde also mal auf eine Erfolgsquote bei uns auf mindestens 20% tippen. Der Einsparungseffekt bei uns ist jetzt wegen dem vergleichweise geringen Traffic ja nicht so groß, aber na ja, für nix? Das nimmt man also mit, oder? Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From traced at xpear.de Fri Dec 4 11:21:28 2009 From: traced at xpear.de (Basti) Date: Fri, 04 Dec 2009 11:21:28 +0100 Subject: [Postfixbuch-users] =?utf-8?q?reject=5Funknown=5Fhostname=09und?= =?utf-8?q?=09reject=5Finvalid=5Fhostname?= In-Reply-To: <4B18D372.8030905@drobic.de> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> <4B18D372.8030905@drobic.de> Message-ID: <5600db69271acd78a12145af45d24b37@localhost> On Fri, 04 Dec 2009 10:16:34 +0100, Sandy Drobic wrote: > Sascha Peters wrote: >> Basti schrieb: >>> wollte mal kurz anfragen ob Ihr die obigen Restrictions so im >>> Einsatz habt, oder ob die false-positive Rate schmerzhaft wäre? >> >> ich habe diese im Einsatz, mir ist keine false-positive bekannt. Wenn >> müsste man auch eher davon sprechen das jemand anderes was falsch >> gemacht hat... >> >> Ab Postfix 2.3 heißt das übrigens "reject_invalid_helo_hostname", und >> zusätzlich habe ich noch "reject_non_fqdn_helo_hostname". Die andere >> Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab >> ich auch nicht im Einsatz. > > Genau diese ist aber kritisch! Die würde bei mir zu einer hohen Fehlerquote > führen, da viele kleine Firmen direkt versenden und der Exchange gerne als > firma.local konfiguriert wurde. Damit meldet er sich dann auch per HELO. > > Die Einstellung ist natürlich falsch, aber leider doch häufig anzutreffen. > -- So siehts bei mir mmt aus: .... reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_unlisted_recipient, reject_invalid_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, .... Seht ihr das als zu kritisch an? Ich komm da geistig mmt. auf keinen grünen Zweig was ich durchgehen lassen soll und was nicht ... viele Grüße Basti From alois.kratochwill at wdns.at Fri Dec 4 16:55:20 2009 From: alois.kratochwill at wdns.at (alois.kratochwill at wdns.at) Date: Fri, 04 Dec 2009 16:55:20 +0100 Subject: [Postfixbuch-users] =?utf-8?q?reject=5Funknown=5Fhostname=09und?= =?utf-8?q?=09reject=5Finvalid=5Fhostname?= In-Reply-To: <4B18D958.4010403@drobic.de> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> <4B18D372.8030905@drobic.de> <4B18D73F.4080605@riscworks.net> <4B18D958.4010403@drobic.de> Message-ID: <577c59b16cee362c5234b4d54e71540a@wdns.at> On Fri, 04 Dec 2009 10:41:44 +0100, Sandy Drobic wrote: > Timo Schoeler wrote: >> thus Sandy Drobic spake: >>> Sascha Peters wrote: >>>> Basti schrieb: > >>>> Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab >>>> ich auch nicht im Einsatz. >>> >>> Genau diese ist aber kritisch! Die würde bei mir zu einer hohen >>> Fehlerquote >>> führen, da viele kleine Firmen direkt versenden und der Exchange gerne >>> als >>> firma.local konfiguriert wurde. Damit meldet er sich dann auch per HELO. >>> >>> Die Einstellung ist natürlich falsch, aber leider doch häufig >>> anzutreffen. >> >> Aber warum sollte man das RFC-nonkonforme Geschluder mancher >> Hobby-Admins dergestalt subventionieren, daß man sie dann quasi 'per se' >> gewähren läßt? Bei uns gibt's dann auf Kundenanfrage ('Unsere > > Das sind Firmen, die einfach keinen Mailadmin haben, der sich mit den RFCs > auskennt. Meine Frage ist nicht, ob die auch peinlich jeden RFC erfüllen, > sondern ob die Mails von denen erwünscht sind oder nicht. Diese Frage kann > ich > nicht anhand des HELO firma.local beantworten, also verwende ich ihn nicht. > >> chinesische Dependance kann uns keine Mails schicken' -- klar, irgendein >> krudes Exchange aus einem noch kruderen DialUp-Bereich) i.d.R. ein >> whitelisting für den einen betroffenen Host. >> >> Beizeiten scheint mir der pädagogische Anteil im Tätigkeitsbereich als >> Admin über die Jahre immer weiter anzuschwellen... ;) > > Ehrlich gesagt habe ich wichtigeres zu tun als externe zu belehren, dass > deren > Server RFC xyz nicht erfüllt. Meine Server sollen erwünschte Mails > annehmen > und unerwünschte möglichst nicht annehmen... ...und wie soll das ohne die Einhaltung von RFCs vonstatten gehen? > Wenn > ich RFC-Polizist spielen würde, hätte ich noch mehr damit zu tun, meinem > Chef > die Frage zu beantworten, warum unser Mailsystem kaputt ist, da es die > erwünschten Mails nicht annimmt. (^-^) > > Fazit: jeder muss selbst entscheiden, ob ein Check für seine Mailpolicy > geeignet ist oder nicht. > > -- From postfixusers at home.tom-krieger.de Fri Dec 4 17:11:27 2009 From: postfixusers at home.tom-krieger.de (Thomas Krieger) Date: Fri, 4 Dec 2009 17:11:27 +0100 Subject: [Postfixbuch-users] Spamcop hat orange.fr gelistet In-Reply-To: <4B18D2BE.1000900@drobic.de> References: <4B18D2BE.1000900@drobic.de> Message-ID: <200912041711.32074.postfixusers@home.tom-krieger.de> Am Fr Dezember 4 2009 schrieb Sandy Drobic: > Frank Fiene wrote: > > Was ist denn da wieder los, sind die bei Orange wieder zu blöd? > > > > Es erscheinen immer wieder einige Mailserver bei Spamcop. In den > > einschlägigen Foren hört man ja nichts gutes über diesen französischen > > Provider. > > > > Unsere französische Tochtergesellschaft hätte jetzt natürlich gerne, dass > > wir die Mail-Server von Orange freischalten, ich habe mich bis jetzt noch > > erfolgreich zur Wehr setzen können. > > > > Aber erklärt das mal einem Vertriebler! > > Die Kunden sagen dann immer: "Euer System ist das einzige wo wir keine > > Mails hinschicken können!" Ja ne, is klar! > > Glatt gelogen, ich kenne noch mehr Systeme, wo die unerwünscht sind! > Auf meinen Servern sind die auch schon unangenehm wegen Spam aufgefallen. bei mir sind die auch schon mehrfach unangenehm aufgefallen und kommen nicht mehr auf die Whitelist. Servus Thomas From postfix-list at novuage.de Fri Dec 4 20:15:48 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 04 Dec 2009 20:15:48 +0100 Subject: [Postfixbuch-users] reject_unknown_hostname und reject_invalid_hostname In-Reply-To: <4B18D372.8030905@drobic.de> References: <4B16BA4D.6050304@xpear.de> <4B16BDA1.2070801@novuage.de> <4B18D372.8030905@drobic.de> Message-ID: <4B195FE4.8020500@novuage.de> Sandy Drobic schrieb: > Sascha Peters wrote: >> Basti schrieb: >>> wollte mal kurz anfragen ob Ihr die obigen Restrictions so im >>> Einsatz habt, oder ob die false-positive Rate schmerzhaft wäre? >> ich habe diese im Einsatz, mir ist keine false-positive bekannt. Wenn >> müsste man auch eher davon sprechen das jemand anderes was falsch >> gemacht hat... >> >> Ab Postfix 2.3 heißt das übrigens "reject_invalid_helo_hostname", und >> zusätzlich habe ich noch "reject_non_fqdn_helo_hostname". Die andere >> Option von Dir heoßt ab 2.3 "reject_unknown_helo_hostname". Diese hab >> ich auch nicht im Einsatz. > > Genau diese ist aber kritisch! Die würde bei mir zu einer hohen Fehlerquote > führen, da viele kleine Firmen direkt versenden und der Exchange gerne als > firma.local konfiguriert wurde. Damit meldet er sich dann auch per HELO. Also ich habe da noch nicht so viel ärger mit gehabt, und die meisten die dagegen laufen würden sich auch gegen den policyd-weight rennen. Ich habe zumindest deswegen noch keinen Eintrag machen müssen. Auch die Kommunikation mit der Gegenstelle hält sich in grenzen, kurze Schilderung des Problems mit Hinweisen wo man eventuell Änderungen machen muss, und es war schnell erledigt. Ich habe zwar nun nicht sooo viel Traffic, das ist es aber Wert. -- Gruß Sascha From postfix-list at novuage.de Fri Dec 4 20:19:53 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 04 Dec 2009 20:19:53 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <20091203101431.8yauznomscg0w8go@buero.nausch.org> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> <1259776829.2929.5.camel@compaq-evo.nausch.org> <4B16B806.1080001@novuage.de> <537705005.20091202214430@dlutt.de> <4B16EFE3.4080703@novuage.de> <20091203101431.8yauznomscg0w8go@buero.nausch.org> Message-ID: <4B1960D9.9090608@novuage.de> Michael Nausch schrieb: > Quoting Sascha Peters : > >> Und das gleiche Problem, kannst Du gerne noch mal gegenchecken. Aber es >> sollte nun der neue/andere Key im DNS stehen. > > O.K. also der DNS-Eintrag sollte passen: > > $ host -t TXT dkim2009112701._domainkey.test.novuage.de > dkim2009112701._domainkey.test.novuage.de descriptive text "v=DKIM1\; > p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDNREB0O3Nsj5JXnnHyLePiHyClAEAYEM+lLLpjxnHWe6U1+P5cNMjXNZcp3WdoonQElxFauH5rTrhXvPywsq+vVmxShG0gPBo8KMBp5N1Pfb7o147aGwCXz5DM8b2qAch8jWymvE5BYq0fuGy0Ko+IgEhLi20XELk0XxDYjGsPQIDAQAB" > > > frage ich meinen ab, sieht er fast genau so aus. > > host -t TXT main._domainkey.nausch.org > main._domainkey.nausch.org descriptive text "v=DKIM1\; > p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDWypzomx/COZmYML/9j/MRNH9Chw652qzbHjM4RdzpeWzainKC+kyYP+VuoJWMtUX2KSo+kTuWaH4AUgwWSxKq4IBq34MgWsDi3h/mFekOqtnIHTZM16CLtouQDlkUYdatXLcMTlhIO/AH9eNB2F9qbRFRB4WWJyuCF6GNQLX9jQIDAQAB" > > >> Danke für die Idee... sonst noch jemand? > > Magst mir mal eine Testmessage an michael at nausch.org schicken? Testmail war seit heute Mittag auf dem Weg. Kannste ja mal gucken ob das "valide" ist. > Und wie sieht denn das Ergenis bei > http://www.brandonchecketts.com/emailtest.php aus? Hier wurde zu meiner Überraschung ein "pass" angegeben. Ich frag mich warum das beim Testkommando dann einen "Fehler" gibt. > Und noch 'ne Idee, wie lieferst Du denn Deine eMails an Deinem Server > ein? via SMTP oder "sendmail"? Also in der Regel mache ich die Tests über "telnet" oder wenn es SMTP-Auth ist über den PHPMailer ebenfalls direkt über SMTP. Aber ich habe sooo viele Tests mit den E-Mails noch nicht gemacht, weil ich der Meinung bin wenn der einfache Testbefehl von amavisd-new schon nicht klappt, brauch ich nicht groß schauen ob es geht. Scheint ja falsch zu sein ;-) -- Gruß Sascha From jk at jkart.de Fri Dec 4 22:54:53 2009 From: jk at jkart.de (Jim Knuth) Date: Fri, 04 Dec 2009 22:54:53 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff Message-ID: <4B19852D.70609@jkart.de> Hi, hier ist mal ein Headercheck gepostet worden, der alle E-Mails ohne Betreff/Subject abweist. Leider ist mir dieser Post verloren gegangen und auch intensives Googlen hat nix gebracht. Kann mir bitte jemand kurz helfen? Danke. :) -- mit freundlichem Gruss - with kind regard Jim Knuth From traced at xpear.de Fri Dec 4 22:57:31 2009 From: traced at xpear.de (Basti) Date: Fri, 04 Dec 2009 22:57:31 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B19852D.70609@jkart.de> References: <4B19852D.70609@jkart.de> Message-ID: <4B1985CB.8000300@xpear.de> Jim Knuth schrieb: > Hi, > > hier ist mal ein Headercheck gepostet worden, der alle E-Mails ohne > Betreff/Subject abweist. Leider ist mir dieser Post verloren gegangen > und auch intensives Googlen hat nix gebracht. Kann mir bitte jemand kurz > helfen? Danke. :) Das ist aber eher gefährlich, ich könnte mindestens drei Kunden aufzählen, denen man einfach nicht beibringen kann Subjects zu verwenden :) Grüsse Basti From jk at jkart.de Fri Dec 4 23:00:38 2009 From: jk at jkart.de (Jim Knuth) Date: Fri, 04 Dec 2009 23:00:38 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1985CB.8000300@xpear.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> Message-ID: <4B198686.9060403@jkart.de> am 04.12.2009 22:57 Uhr schrieb Basti : > Jim Knuth schrieb: >> Hi, >> >> hier ist mal ein Headercheck gepostet worden, der alle E-Mails ohne >> Betreff/Subject abweist. Leider ist mir dieser Post verloren gegangen >> und auch intensives Googlen hat nix gebracht. Kann mir bitte jemand >> kurz helfen? Danke. :) > > Das ist aber eher gefährlich, ich könnte mindestens drei Kunden > aufzählen, denen man einfach nicht beibringen kann Subjects > zu verwenden :) > > Grüsse > Basti ja, da magst du Recht haben. Aber "die" lernen es auch irgendwann .. ;) -- mit freundlichem Gruss - with kind regard Jim Knuth From timo.schoeler at riscworks.net Fri Dec 4 23:03:32 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Fri, 04 Dec 2009 23:03:32 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1985CB.8000300@xpear.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> Message-ID: <4B198734.6050107@riscworks.net> thus Basti spake: > Jim Knuth schrieb: >> Hi, >> >> hier ist mal ein Headercheck gepostet worden, der alle E-Mails ohne >> Betreff/Subject abweist. Leider ist mir dieser Post verloren gegangen >> und auch intensives Googlen hat nix gebracht. Kann mir bitte jemand >> kurz helfen? Danke. :) > > Das ist aber eher gefährlich, ich könnte mindestens drei Kunden > aufzählen, denen man einfach nicht beibringen kann Subjects > zu verwenden :) > /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen verwenden/Please do not send emails without subject ...müßte funktionieren. > Grüsse > Basti HTH, Timo PS: Die Pädagogikdiskussion ist hier fehl am Platze, q.e.d. ;) From cite+postfix-buch at incertum.net Fri Dec 4 23:19:21 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Fri, 4 Dec 2009 23:19:21 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B198734.6050107@riscworks.net> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> Message-ID: <20091204221921.GF18506@mail.incertum.net> Hallo Timo, * Timo Schoeler : > thus Basti spake: >> Das ist aber eher gefährlich, ich könnte mindestens drei Kunden >> aufzählen, denen man einfach nicht beibringen kann Subjects >> zu verwenden :) >> > > /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen verwenden/Please /^Subject:\s*$/ REJECT Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #22: Interaktives Fernsehen - Fernsteuerung mit Taste 'Bezahlen' statt 'Aus'. ('Standpay'-Taste) (nach Peter Berlich) From timo.schoeler at riscworks.net Fri Dec 4 23:21:54 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Fri, 04 Dec 2009 23:21:54 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <20091204221921.GF18506@mail.incertum.net> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> Message-ID: <4B198B82.6030606@riscworks.net> 'nabend, > Hallo Timo, > > * Timo Schoeler : >> thus Basti spake: >>> Das ist aber eher gefährlich, ich könnte mindestens drei Kunden >>> aufzählen, denen man einfach nicht beibringen kann Subjects >>> zu verwenden :) >>> >> >> /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen verwenden/Please > > /^Subject:\s*$/ REJECT Tatsache -- den anderen hatte ich glaube ich mal (mit massig blanks) für Subjects mit zu vielen blanks im Sinn... MsG > Ciao > Stefan From jk at jkart.de Sat Dec 5 12:40:32 2009 From: jk at jkart.de (Jim Knuth) Date: Sat, 05 Dec 2009 12:40:32 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <20091204221921.GF18506@mail.incertum.net> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> Message-ID: <4B1A46B0.6040402@jkart.de> am 04.12.2009 23:19 Uhr schrieb Stefan Förster : > Hallo Timo, > > * Timo Schoeler : >> thus Basti spake: >>> Das ist aber eher gefährlich, ich könnte mindestens drei Kunden >>> aufzählen, denen man einfach nicht beibringen kann Subjects >>> zu verwenden :) >>> >> /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen verwenden/Please > > /^Subject:\s*$/ REJECT > > > Ciao > Stefan Danke Stefan und Timo :) -- mit freundlichem Gruss - with kind regard Jim Knuth From p.heinlein at heinlein-support.de Sat Dec 5 12:55:13 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 5 Dec 2009 12:55:13 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B198B82.6030606@riscworks.net> References: <4B19852D.70609@jkart.de> <20091204221921.GF18506@mail.incertum.net> <4B198B82.6030606@riscworks.net> Message-ID: <200912051255.14206.p.heinlein@heinlein-support.de> Am Freitag, 4. Dezember 2009 schrieb Timo Schoeler: > >> /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen > >> verwenden/Please > > Tatsache -- den anderen hatte ich glaube ich mal (mit massig blanks) > für Subjects mit zu vielen blanks im Sinn... Naja... diese Regel matcht auf *ALLE* Subject-Zeilen. Also 100% der E-Mails werden abgelehnt. Eine Headerzeile, die mit Subject: beginnt und dann absolut beliebig (.*) weitergeht. Senkt die Last des Mailservers zumindest sehr nachhaltig und wirksam. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From postfix at linuxmaker.de Sat Dec 5 14:26:14 2009 From: postfix at linuxmaker.de (Andreas =?utf-8?q?G=C3=BCnther?=) Date: Sat, 5 Dec 2009 14:26:14 +0100 Subject: [Postfixbuch-users] "unknown mail transport error" Message-ID: <200912051426.15186.postfix@linuxmaker.de> Hallo, ich habe hinter einer Firewall einen Mailserver mit der IP-Adresse 192.168.0.101 stehen. postconf -n liefert: alias_maps = hash:/etc/postfix/alias append_dot_mydomain = no biff = no config_directory = /etc/postfix inet_interfaces = all inet_protocols = ipv4 mailbox_size_limit = 0 mailbox_transport = cyrus message_size_limit = 20000000 mydestination = $mydomain $myhostname localhost localhost. $mydomain example.com example.net myhostname = mail.example.de mynetworks = 127.0.0.0/8 192.168.0.0/24 myorigin = $mydomain readme_directory = no recipient_delimiter = + smtp_bind_address = 217.xx.xxx.xxx # habe ich nur für die Liste maskiert smtpd_banner = ESMTP IMMOEURO24 says hello to you! Die Firewall hat die zwei IP-Adressen 192.168.0.1 und eben 217.xx.xxx.xxx Die master.cf sieht so aus: maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user} Intern kann ich Mails prima versenden und zustellen lassen. Die Mails landen in den Cyrus-Accounts. Probleme macht mir das Versenden ins Internet. Dann bekomme ich diese Meldungen: Dec 5 11:53:02 mail postfix/error[2762]: CDE6479E1E5: to=, relay=none, delay=0.02, delays=0.02/0/0/0, dsn=4.3.0, status=deferred (unknown mail transport error) Firewall (Shorewall) hat für Lokal nach Internet diese Regeln. Chain loc2net (1 references) pkts bytes target prot opt in out source destination 36003 3166K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 300 18963 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8 7462 566K LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:loc2net:ACCEPT:' 7462 566K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Ich stehe jetzt einwenig auf dem Schlauch, weil ich den Fehler nicht finde, warum der Versand ins Internet nicht geht. Habt ihr eine Idee? Viele Grüße Andreas From p.heinlein at heinlein-support.de Sat Dec 5 16:58:10 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 5 Dec 2009 16:58:10 +0100 Subject: [Postfixbuch-users] "unknown mail transport error" In-Reply-To: <200912051426.15186.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> Message-ID: <200912051658.10614.p.heinlein@heinlein-support.de> Am Samstag, 5. Dezember 2009 schrieb Andreas Günther: > Dann bekomme ich diese Meldungen: > Dec 5 11:53:02 mail postfix/error[2762]: CDE6479E1E5: > to=, relay=none, delay=0.02, delays=0.02/0/0/0, > dsn=4.3.0, status=deferred (unknown mail transport error) Welchen Output liefert: *) dig gmx.net MX (sprich: Geht DNS überhaupt?) Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From postfix at linuxmaker.de Sat Dec 5 17:04:37 2009 From: postfix at linuxmaker.de (Andreas =?iso-8859-1?q?G=FCnther?=) Date: Sat, 5 Dec 2009 17:04:37 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D__=22unknown_mai?= =?iso-8859-1?q?l_transport_error=22?= In-Reply-To: <200912051426.15186.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> Message-ID: <200912051704.37394.postfix@linuxmaker.de> Hallo Peer, Deine Mail erreicht mich beim Verfassen dieser Lösung. Zu Deiner Frage, ja das DNS läuft, sonst hätte ich die Software mit aptitude gar nicht installieren können. Ich denke, daß ich das Problem teilweise lösen konnte. Ich habe Debian Linux "Squeeze" installiert und in dem Verzeichnis /var/spool/postfix/etc/ waren keine Einträge. Nachdem ich /etc/hosts /etc/resolv.conf /etc/services /etc/localtime nach /var/spool/postfix/etc/ kopiert hatte und einen postfix reload gemacht hatte, lief es anstandslos. Frage: Wo liegen die Kopierbefehle für diese Aktion, damit Debian die Dateien selber anlegt. Das wäre noch schön zu wissen. Grüsse Andreas From postfix at linuxmaker.de Sat Dec 5 17:09:39 2009 From: postfix at linuxmaker.de (Andreas =?iso-8859-1?q?G=FCnther?=) Date: Sat, 5 Dec 2009 17:09:39 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <200912051704.37394.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> Message-ID: <200912051709.40149.postfix@linuxmaker.de> Blöde Frage > Frage: Wo liegen die Kopierbefehle für diese Aktion, damit Debian die > Dateien selber anlegt. Das wäre noch schön zu wissen. In /etc/init.d/postfix natürlich. Sollte ich bloß noch rauskriegen, warum das nihct übernommen wurde. From n.gerhards at ib-gerhards.de Sat Dec 5 17:17:02 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Sat, 05 Dec 2009 17:17:02 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <200912051709.40149.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> <200912051709.40149.postfix@linuxmaker.de> Message-ID: <4B1A877E.5080907@ib-gerhards.de> Hi, ich fürchte, Dein Hauptfehler liegt darin, dass Du zum Aufbau eines Servers debian squeeze (=testing) nimmst. Nimm lieber das aktuelle lenny (=stable), dann kopiert postfix auch alles automatisch dahin, wo es hingehört. ;-) Norbert Andreas Günther schrieb: > Blöde Frage >> Frage: Wo liegen die Kopierbefehle für diese Aktion, damit Debian die >> Dateien selber anlegt. Das wäre noch schön zu wissen. > > In /etc/init.d/postfix natürlich. Sollte ich bloß noch rauskriegen, warum das > nihct übernommen wurde. > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From werner at aloah-from-hell.de Sat Dec 5 17:17:31 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Sat, 05 Dec 2009 17:17:31 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D__=22unknown_mai?= =?iso-8859-1?q?l_transport_error=22?= In-Reply-To: <200912051704.37394.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> Message-ID: <4B1A879B.1040502@aloah-from-hell.de> Andreas Günther schrieb: > Hallo Peer, > > Deine Mail erreicht mich beim Verfassen dieser Lösung. Zu Deiner Frage, ja das > DNS läuft, sonst hätte ich die Software mit aptitude gar nicht installieren > können. > > Ich denke, daß ich das Problem teilweise lösen konnte. Ich habe Debian > Linux "Squeeze" installiert und in dem Verzeichnis /var/spool/postfix/etc/ > waren keine Einträge. > Nachdem ich > /etc/hosts > /etc/resolv.conf > /etc/services > /etc/localtime > nach /var/spool/postfix/etc/ kopiert hatte und einen postfix reload gemacht > hatte, lief es anstandslos. > > Frage: Wo liegen die Kopierbefehle für diese Aktion, damit Debian die Dateien > selber anlegt. Das wäre noch schön zu wissen. > > Grüsse > > Andreas Du kannst auch in der master.cf auf "n" setzen sofern du kein CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - naja?) Ciao, Werner From postfix at linuxmaker.de Sat Dec 5 17:31:19 2009 From: postfix at linuxmaker.de (Andreas =?iso-8859-1?q?G=FCnther?=) Date: Sat, 5 Dec 2009 17:31:19 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <4B1A879B.1040502@aloah-from-hell.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> <4B1A879B.1040502@aloah-from-hell.de> Message-ID: <200912051731.19518.postfix@linuxmaker.de> An sich finde ich das gar nicht so schlecht: > Du kannst auch in der master.cf auf "n" setzen sofern du kein > CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - > naja?) Das machen die Debianer prinzipiell so: Möglichst sicher. Der Tomcat5 unter Debian ist auch total erstmal abgesichert. Grüße Andreas From timo.schoeler at riscworks.net Sat Dec 5 17:40:05 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 05 Dec 2009 17:40:05 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <200912051731.19518.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> <4B1A879B.1040502@aloah-from-hell.de> <200912051731.19518.postfix@linuxmaker.de> Message-ID: <4B1A8CE5.9000407@riscworks.net> On 12/05/2009 05:31 PM, Andreas Günther wrote: > An sich finde ich das gar nicht so schlecht: >> Du kannst auch in der master.cf auf "n" setzen sofern du kein >> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >> naja?) > Das machen die Debianer prinzipiell so: Möglichst sicher. http://www.heise.de/newsticker/meldung/Debian-seit-mehreren-Wochen-ohne-Sicherheits-Updates-Update-111503.html http://www.heise.de/newsticker/meldung/Konsequenzen-des-OpenSSL-Debakels-207829.html > Der Tomcat5 unter Debian ist auch total erstmal abgesichert. > > Grüße > > Andreas From cite+postfix-buch at incertum.net Sat Dec 5 17:52:22 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Sat, 5 Dec 2009 17:52:22 +0100 Subject: [Postfixbuch-users] "unknown mail transport error" In-Reply-To: <200912051426.15186.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> Message-ID: <20091205165222.GA20948@mail.incertum.net> Hallo Andreas, * Andreas Günther : > smtp_bind_address = 217.xx.xxx.xxx # habe ich nur für die Liste maskiert Das kann wohl kaum etwas werden, es sei denn, die 217er-IP sei lokal auf einem Interface definiert. Das sollte wohl proxy_interfaces werden. > smtpd_banned = ESMTP IMMOEURO24 says hello to you! Ich glaube nicht, daß das wirklich die Ausgabe von "postconf -n" ist, die kennt kein "smtpd_banned". > Die master.cf sieht so aus: Ist das die ganze master.cf? Wenn ja, verchweigst Du uns da ein Multi-Instance-Setup? > Intern kann ich Mails prima versenden und zustellen lassen. Die Mails landen > in den Cyrus-Accounts. > Probleme macht mir das Versenden ins Internet. Klingt logisch, wenn obiges die gesamte master.cf war. > Dec 5 11:53:02 mail postfix/error[2762]: CDE6479E1E5: to=, > relay=none, delay=0.02, delays=0.02/0/0/0, dsn=4.3.0, status=deferred > (unknown mail transport error) Auch das klingt nach einem Fehler in der master.cf. > Firewall (Shorewall) hat für Lokal nach Internet diese Regeln. Die Firewall hat mit diesem Fehler nicht das geringste zu tun. > Ich stehe jetzt einwenig auf dem Schlauch, weil ich den Fehler nicht finde, Könnte daran liegen, daß Du an der falschen Stelle suchst. > Habt ihr eine Idee? Jede Menge. Ich fände es z.B. toll, ein Gerät zu bauen, mit dem ich Kunden über das Internet mit einem Bleistift in's Auge stechen könnte. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 Wer davon überzeugt ist, das Ende der Dinge zu wissen, die er gerade erst beginnt, ist entweder außerordentlich weise oder ganz besonders töricht. From werner at aloah-from-hell.de Sat Dec 5 17:54:54 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Sat, 05 Dec 2009 17:54:54 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <200912051731.19518.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> <4B1A879B.1040502@aloah-from-hell.de> <200912051731.19518.postfix@linuxmaker.de> Message-ID: <4B1A905E.5050505@aloah-from-hell.de> Andreas Günther schrieb: > An sich finde ich das gar nicht so schlecht: >> Du kannst auch in der master.cf auf "n" setzen sofern du kein >> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >> naja?) > Das machen die Debianer prinzipiell so: Möglichst sicher. Das ist mir klar. Aber "möglichst sicher" per Default ist in diesem Fall in meinen Augen nicht sinnvoll - es verursacht bei neuen Konstellationen/Setups meist probleme. Mir persönlich wäre es daher umgekehrt lieber (chroot deaktiviert) - bei Bedarf kann ich Chroot immer noch aktivieren - so wie das die anderen Distri's eben auch machen. Aber Debian braucht halt wieder eine Extrawurst, kennen wir doch schon ;) Ciao, Werner From n.gerhards at ib-gerhards.de Sat Dec 5 18:02:25 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Sat, 05 Dec 2009 18:02:25 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <4B1A905E.5050505@aloah-from-hell.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> <4B1A879B.1040502@aloah-from-hell.de> <200912051731.19518.postfix@linuxmaker.de> <4B1A905E.5050505@aloah-from-hell.de> Message-ID: <4B1A9221.3050409@ib-gerhards.de> Hi, verwechselt ihr da nicht etwas? Weder in etch noch in lenny chrootet debian den postfix per default. Nur in Ubuntu ist das m. W. nach so. Viele Grüße Norbert Werner Detter schrieb: > Andreas Günther schrieb: >> An sich finde ich das gar nicht so schlecht: >>> Du kannst auch in der master.cf auf "n" setzen sofern du kein >>> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >>> naja?) >> Das machen die Debianer prinzipiell so: Möglichst sicher. > > Das ist mir klar. Aber "möglichst sicher" per Default ist in diesem Fall in > meinen Augen nicht sinnvoll - es verursacht bei neuen Konstellationen/Setups > meist probleme. > > Mir persönlich wäre es daher umgekehrt lieber (chroot deaktiviert) - bei > Bedarf kann ich Chroot immer noch aktivieren - so wie das die anderen Distri's > eben auch machen. > > Aber Debian braucht halt wieder eine Extrawurst, kennen wir doch schon ;) > > Ciao, > Werner > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From alois.kratochwill at wdns.at Sat Dec 5 18:45:36 2009 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Sat, 5 Dec 2009 18:45:36 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <4B1A8CE5.9000407@riscworks.net> Message-ID: <20091205174647.48B71227406C@lobos.wdns.at> >On 12/05/2009 05:31 PM, Andreas Günther wrote: >> An sich finde ich das gar nicht so schlecht: >>> Du kannst auch in der master.cf auf "n" setzen sofern du kein >>> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >>> naja?) >> Das machen die Debianer prinzipiell so: Möglichst sicher. > http://www.heise.de/newsticker/meldung/Debian-seit-mehreren-Wochen-ohne-Sicherhe its-Updates-Update-111503.html > http://www.heise.de/newsticker/meldung/Konsequenzen-des-OpenSSL-Debakels-207829. html Sorry, aber deine Uhr läuft etwas nach oder beachtest du dein Timestamps des Newstickers nicht? Vielleicht hilft ein aptitude install ntp ntpdate > Der Tomcat5 unter Debian ist auch total erstmal abgesichert. > Ah ha, ... Etch, Lenny, Squeeze oder SID ? > Grüße > > Andreas Schöne Ostern, Alois From postfix at linuxmaker.de Sat Dec 5 18:52:50 2009 From: postfix at linuxmaker.de (Andreas =?iso-8859-1?q?G=FCnther?=) Date: Sat, 5 Dec 2009 18:52:50 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <20091205174647.48B71227406C@lobos.wdns.at> References: <20091205174647.48B71227406C@lobos.wdns.at> Message-ID: <200912051852.51060.postfix@linuxmaker.de> Vielleicht war das Testing auch Vorgabe von Oben? > Ah ha, ... Etch, Lenny, Squeeze oder SID ? > Die Typen vor meiner Zeit wollten das aus unergründlichen gründen so. Auf meinem Mist war diese Testing-Idee nicht gewachsen. > > Schöne Ostern, > Alois Na, erstmal muß dieser Typ erst in drei Wochen geboren werden, bevor er wieder ans Kreuz geschlagen werden kann. Bye, bye Andreas From timo.schoeler at riscworks.net Sat Dec 5 18:54:11 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 05 Dec 2009 18:54:11 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <20091205174647.48B71227406C@lobos.wdns.at> References: <20091205174647.48B71227406C@lobos.wdns.at> Message-ID: <4B1A9E43.8020209@riscworks.net> thus Alois Kratochwill spake: > >> On 12/05/2009 05:31 PM, Andreas Günther wrote: >>> An sich finde ich das gar nicht so schlecht: >>>> Du kannst auch in der master.cf auf "n" setzen sofern du kein >>>> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >>>> naja?) >>> Das machen die Debianer prinzipiell so: Möglichst sicher. > >> > http://www.heise.de/newsticker/meldung/Debian-seit-mehreren-Wochen-ohne-Sicherhe > its-Updates-Update-111503.html > > >> > http://www.heise.de/newsticker/meldung/Konsequenzen-des-OpenSSL-Debakels-207829. > html > > > Sorry, aber deine Uhr läuft etwas nach oder beachtest du dein Timestamps des > Newstickers nicht? *Semantik interpolier* Weder noch -- obige Strukturprobleme sind zeitlos, deswegen spielt letztere keine Rolle. > Vielleicht hilft ein > aptitude install ntp ntpdate aptitude gibt's weder für AIX noch für Net/Free/OpenBSD, Solaris oder RHEL/CentOS. =8-) >> Der Tomcat5 unter Debian ist auch total erstmal abgesichert. >> > > Ah ha, ... Etch, Lenny, Squeeze oder SID ? > >> Grüße >> >> Andreas > > Schöne Ostern, > Alois Noch schöneren Ramadan! Timo From timo.schoeler at riscworks.net Sat Dec 5 18:56:40 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 05 Dec 2009 18:56:40 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <200912051852.51060.postfix@linuxmaker.de> References: <20091205174647.48B71227406C@lobos.wdns.at> <200912051852.51060.postfix@linuxmaker.de> Message-ID: <4B1A9ED8.3010809@riscworks.net> thus Andreas Günther spake: > Vielleicht war das Testing auch Vorgabe von Oben? >> Ah ha, ... Etch, Lenny, Squeeze oder SID ? >> > > > Die Typen vor meiner Zeit wollten das aus unergründlichen gründen so. Auf > meinem Mist war diese Testing-Idee nicht gewachsen. Mag ja im Bereich des möglichen liegen, daß da eine Applikation X Features benötigte, die es *damals* nur in testing gab; ggf. sind die ja jetzt in stable zu finden. >> Schöne Ostern, >> Alois > Na, erstmal muß dieser Typ erst in drei Wochen geboren werden, bevor er wieder > ans Kreuz geschlagen werden kann. 'Jehova!' (und: http://www.zeitgeistmovie.com/) > Bye, bye > > Andreas Timo From alois.kratochwill at wdns.at Sat Dec 5 18:58:58 2009 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Sat, 5 Dec 2009 18:58:58 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <4B1A9E43.8020209@riscworks.net> Message-ID: <20091205180010.45AE7227406C@lobos.wdns.at> thus Alois Kratochwill spake: > >> On 12/05/2009 05:31 PM, Andreas Günther wrote: >>> An sich finde ich das gar nicht so schlecht: >>>> Du kannst auch in der master.cf auf "n" setzen sofern du kein >>>> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >>>> naja?) >>> Das machen die Debianer prinzipiell so: Möglichst sicher. > >> > http://www.heise.de/newsticker/meldung/Debian-seit-mehreren-Wochen-ohne-Sicherhe > its-Updates-Update-111503.html > > >> > http://www.heise.de/newsticker/meldung/Konsequenzen-des-OpenSSL-Debakels-207829. > html > > > Sorry, aber deine Uhr läuft etwas nach oder beachtest du dein Timestamps des > Newstickers nicht? >*Semantik interpolier* >Weder noch -- obige Strukturprobleme sind zeitlos, deswegen spielt >letztere keine Rolle. >> Vielleicht hilft ein >> aptitude install ntp ntpdate > aptitude gibt's weder für AIX noch für Net/Free/OpenBSD, Solaris oder > RHEL/CentOS. =8-) Yep, in den Newstickern ist aber explizit von Debian die Rede! >> Der Tomcat5 unter Debian ist auch total erstmal abgesichert. >> > > Ah ha, ... Etch, Lenny, Squeeze oder SID ? > >> Grüße >> >> Andreas > > Schöne Ostern, > Alois Noch schöneren Ramadan! Timo -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From timo.schoeler at riscworks.net Sat Dec 5 19:05:11 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 05 Dec 2009 19:05:11 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <20091205180010.45AE7227406C@lobos.wdns.at> References: <20091205180010.45AE7227406C@lobos.wdns.at> Message-ID: <4B1AA0D7.3080409@riscworks.net> thus Alois Kratochwill spake: > thus Alois Kratochwill spake: >> >>> On 12/05/2009 05:31 PM, Andreas Günther wrote: >>>> An sich finde ich das gar nicht so schlecht: >>>>> Du kannst auch in der master.cf auf "n" setzen sofern du kein >>>>> CHROOT für Postfix haben möchtest (warum Debian das per Default so macht - >>>>> naja?) >>>> Das machen die Debianer prinzipiell so: Möglichst sicher. >> >>> >> > http://www.heise.de/newsticker/meldung/Debian-seit-mehreren-Wochen-ohne-Sicherhe >> its-Updates-Update-111503.html >> >> >>> >> > http://www.heise.de/newsticker/meldung/Konsequenzen-des-OpenSSL-Debakels-207829. >> html >> >> >> Sorry, aber deine Uhr läuft etwas nach oder beachtest du dein Timestamps des >> Newstickers nicht? > >> *Semantik interpolier* > >> Weder noch -- obige Strukturprobleme sind zeitlos, deswegen spielt >> letztere keine Rolle. > >>> Vielleicht hilft ein >>> aptitude install ntp ntpdate > >> aptitude gibt's weder für AIX noch für Net/Free/OpenBSD, Solaris oder >> RHEL/CentOS. =8-) > > > Yep, in den Newstickern ist aber explizit von Debian die Rede! Richtig! Deswegen habe ich diese Links auch SCNR-weise gepostet, alldieweil sich die Diskussion *hier* eben um die famose Debiansche Sicherheit dreht. Wie Du dann (warum und wie auch immer) -- bezogen auf das jeweilige Datum der o.g. Artikel -- implizierst, möge auf meinen Maschinen das Datum leicht verquer sein (da entstand dann andernorts der Jesus-Witz draus) -- was inkorrekt ist -- und empfahlst in Folge, mir via aptitude 'nen ntpd draufzupappen. Timo From timo.schoeler at riscworks.net Sat Dec 5 19:09:11 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 05 Dec 2009 19:09:11 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <200912051255.14206.p.heinlein@heinlein-support.de> References: <4B19852D.70609@jkart.de> <20091204221921.GF18506@mail.incertum.net> <4B198B82.6030606@riscworks.net> <200912051255.14206.p.heinlein@heinlein-support.de> Message-ID: <4B1AA1C7.9000303@riscworks.net> thus Peer Heinlein wrote: > Am Freitag, 4. Dezember 2009 schrieb Timo Schoeler: > >>>> /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen >>>> verwenden/Please >> >> Tatsache -- den anderen hatte ich glaube ich mal (mit massig blanks) >> für Subjects mit zu vielen blanks im Sinn... > > Naja... Ich hatte die Regel selbst bisher nie im Einsatz -- irgendwo im Netz vor Urzeiten gefunden und e.g. auf http://www.posluns.com/files/header_checks wiederzufinden. Dergestalt möge mir Knecht Ruprecht (Rrrrr!) den Hintern versohlen, ungeprüften Kram zu posten. > diese Regel matcht auf *ALLE* Subject-Zeilen. Also 100% der E-Mails werden > abgelehnt. > Eine Headerzeile, die mit Subject: beginnt und dann absolut beliebig (.*) > weitergeht. Kommt auf's parsen drauf an, das aber nur nebenbei. > Senkt die Last des Mailservers zumindest sehr nachhaltig und wirksam. Oh, ich dachte 'Nachhaltigkeit' wäre un-PC, spätestens seit Raffelhüschen. ;) > Peer Timo From jk at jkart.de Sat Dec 5 19:24:46 2009 From: jk at jkart.de (Jim Knuth) Date: Sat, 05 Dec 2009 19:24:46 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AA1C7.9000303@riscworks.net> References: <4B19852D.70609@jkart.de> <20091204221921.GF18506@mail.incertum.net> <4B198B82.6030606@riscworks.net> <200912051255.14206.p.heinlein@heinlein-support.de> <4B1AA1C7.9000303@riscworks.net> Message-ID: <4B1AA56E.2060504@jkart.de> am 05.12.2009 19:09 Uhr schrieb Timo Schoeler : >> Senkt die Last des Mailservers zumindest sehr nachhaltig und wirksam. > > Oh, ich dachte 'Nachhaltigkeit' wäre un-PC, spätestens seit > Raffelhüschen. ;) ^^^^^^^^^^^^^^^^ was das denn? ;) -- mit freundlichem Gruss - with kind regard Jim Knuth From timo.schoeler at riscworks.net Sat Dec 5 19:28:19 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 05 Dec 2009 19:28:19 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AA56E.2060504@jkart.de> References: <4B19852D.70609@jkart.de> <20091204221921.GF18506@mail.incertum.net> <4B198B82.6030606@riscworks.net> <200912051255.14206.p.heinlein@heinlein-support.de> <4B1AA1C7.9000303@riscworks.net> <4B1AA56E.2060504@jkart.de> Message-ID: <4B1AA643.1050905@riscworks.net> thus Jim Knuth spake: > am 05.12.2009 19:09 Uhr schrieb Timo Schoeler > : > > >>> Senkt die Last des Mailservers zumindest sehr nachhaltig und wirksam. >> >> Oh, ich dachte 'Nachhaltigkeit' wäre un-PC, spätestens seit >> Raffelhüschen. ;) > ^^^^^^^^^^^^^^^^ > > was das denn? ;) Totally OT: http://tinyurl.com/ydfa73h HTH From Ralf.Hildebrandt at charite.de Sat Dec 5 21:05:50 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 5 Dec 2009 21:05:50 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B198734.6050107@riscworks.net> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> Message-ID: <20091205200550.GD32525@charite.de> * Timo Schoeler : > /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen verwenden/Please > do not send emails without subject > > ...müßte funktionieren. Tuts aber nicht. Das weist Mails ab, die "Subject: " gefolgt von 0 oder beliebieg vielen beliebigen Zeichen enthalten. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Sat Dec 5 21:06:43 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 5 Dec 2009 21:06:43 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <200912051255.14206.p.heinlein@heinlein-support.de> References: <4B19852D.70609@jkart.de> <20091204221921.GF18506@mail.incertum.net> <4B198B82.6030606@riscworks.net> <200912051255.14206.p.heinlein@heinlein-support.de> Message-ID: <20091205200643.GE32525@charite.de> * Peer Heinlein : > Am Freitag, 4. Dezember 2009 schrieb Timo Schoeler: > > > >> /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen > > >> verwenden/Please > > > > Tatsache -- den anderen hatte ich glaube ich mal (mit massig blanks) > > für Subjects mit zu vielen blanks im Sinn... > > Naja... > > diese Regel matcht auf *ALLE* Subject-Zeilen. Also 100% der E-Mails werden > abgelehnt. Nee, die KOMPLETT OHNE Subject Zeile (gibts sowas überhaupt?) nicht. BUHAHAHAHAA. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From jk at jkart.de Sat Dec 5 21:50:01 2009 From: jk at jkart.de (Jim Knuth) Date: Sat, 05 Dec 2009 21:50:01 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <20091204221921.GF18506@mail.incertum.net> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> Message-ID: <4B1AC779.60003@jkart.de> am 04.12.2009 23:19 Uhr schrieb Stefan Förster : > Hallo Timo, > > * Timo Schoeler : >> thus Basti spake: >>> Das ist aber eher gefährlich, ich könnte mindestens drei Kunden >>> aufzählen, denen man einfach nicht beibringen kann Subjects >>> zu verwenden :) >>> >> /^Subject: .*/ REJECT Bitte keine leeren Betreffzeilen verwenden/Please > > /^Subject:\s*$/ REJECT hab das jetzt mit postmap geprüft: postmap -q "Subject:" regexp:/etc/postfix/filter/header_checks.regexp REJECT Bitte keine leeren Betreffzeilen verwenden/Do not send emails without subject Alles ok, aber live gehen solche Mails durch. Warum? > > > Ciao > Stefan -- mit freundlichem Gruss - with kind regard Jim Knuth From wolfgang.zeikat at desy.de Sat Dec 5 22:52:25 2009 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Sat, 05 Dec 2009 22:52:25 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AC779.60003@jkart.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> Message-ID: <4B1AD619.1040707@desy.de> Jim Knuth wrote: >> /^Subject:\s*$/ REJECT > > hab das jetzt mit postmap geprüft: > > postmap -q "Subject:" regexp:/etc/postfix/filter/header_checks.regexp > REJECT Bitte keine leeren Betreffzeilen verwenden/Do not send emails > without subject > > Alles ok, aber live gehen solche Mails durch. Warum? Funktionieren denn andere Subject-bezogene header_checks? Und: wenn in der Mail keine Subject:-Zeile ist, greift die regexp nicht, könnte das der Grund sein? Kannst du mal eine entsprechende Mail auf pastebin ablegen? Ich wusste nicht, dass regexp in Postfix "\s" unterstützt, wie sieh's mit /^Subject:[:[space]:]*$/ REJECT blah aus? Hope this helps, wolfgang From jk at jkart.de Sat Dec 5 23:13:13 2009 From: jk at jkart.de (Jim Knuth) Date: Sat, 05 Dec 2009 23:13:13 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AD619.1040707@desy.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> <4B1AD619.1040707@desy.de> Message-ID: <4B1ADAF9.7080604@jkart.de> am 05.12.2009 22:52 Uhr schrieb Wolfgang Zeikat : > Jim Knuth wrote: > >>> /^Subject:\s*$/ REJECT >> >> hab das jetzt mit postmap geprüft: >> >> postmap -q "Subject:" regexp:/etc/postfix/filter/header_checks.regexp >> REJECT Bitte keine leeren Betreffzeilen verwenden/Do not send emails >> without subject >> >> Alles ok, aber live gehen solche Mails durch. Warum? > > Funktionieren denn andere Subject-bezogene header_checks? > > Und: wenn in der Mail keine Subject:-Zeile ist, greift die regexp nicht, > könnte das der Grund sein? ja, genau. Ich habe das mit Thunderbird (Mac) probiert und da wird bei völlig leerem Betreff keine Subject Zeile im Header erzeugt. SA bzw. Amavis hat das aber erkannt und MISSING_SUBJECT=1.762 erteilt. > > Kannst du mal eine entsprechende Mail auf pastebin ablegen? > > Ich wusste nicht, dass regexp in Postfix "\s" unterstützt, wie sieh's mit > /^Subject:[:[space]:]*$/ REJECT blah > aus? schlecht ;) schlägt gar nicht an > > Hope this helps, > > wolfgang -- mit freundlichem Gruss - with kind regard Jim Knuth From wolfgang.zeikat at desy.de Sat Dec 5 23:28:10 2009 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Sat, 05 Dec 2009 23:28:10 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1ADAF9.7080604@jkart.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> <4B1AD619.1040707@desy.de> <4B1ADAF9.7080604@jkart.de> Message-ID: <4B1ADE7A.3090309@desy.de> Jim Knuth wrote: >> Und: wenn in der Mail keine Subject:-Zeile ist, greift die regexp >> nicht, könnte das der Grund sein? > > ja, genau. Ich habe das mit Thunderbird (Mac) probiert und da wird bei > völlig leerem Betreff keine Subject Zeile im Header erzeugt. > SA bzw. Amavis hat das aber erkannt und MISSING_SUBJECT=1.762 erteilt. OK. Fehlende Subject-Zeilen kannst du m.E. mit Postfix-header_checks nicht ausfindig machen. Und kannst du in Thunderbird (Mac) mehrere Leerzeichen (oder Leerzeichen TAB oder sowas) als Subject eingeben? Dann sollte die regexp ja funktionieren ... Gruß, wolfgang From jk at jkart.de Sat Dec 5 23:37:02 2009 From: jk at jkart.de (Jim Knuth) Date: Sat, 05 Dec 2009 23:37:02 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1ADE7A.3090309@desy.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> <4B1AD619.1040707@desy.de> <4B1ADAF9.7080604@jkart.de> <4B1ADE7A.3090309@desy.de> Message-ID: <4B1AE08E.6040100@jkart.de> am 05.12.2009 23:28 Uhr schrieb Wolfgang Zeikat : > Jim Knuth wrote: >>> Und: wenn in der Mail keine Subject:-Zeile ist, greift die regexp >>> nicht, könnte das der Grund sein? >> >> ja, genau. Ich habe das mit Thunderbird (Mac) probiert und da wird bei >> völlig leerem Betreff keine Subject Zeile im Header erzeugt. >> SA bzw. Amavis hat das aber erkannt und MISSING_SUBJECT=1.762 erteilt. > > OK. Fehlende Subject-Zeilen kannst du m.E. mit Postfix-header_checks > nicht ausfindig machen. is klar > > Und kannst du in Thunderbird (Mac) mehrere Leerzeichen (oder Leerzeichen > TAB oder sowas) als Subject eingeben? ja, hab ich. Hat aber keine Wirkung > Gruß, > > wolfgang -- mit freundlichem Gruss - with kind regard Jim Knuth From wolfgang.zeikat at desy.de Sat Dec 5 23:42:09 2009 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Sat, 05 Dec 2009 23:42:09 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AE08E.6040100@jkart.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> <4B1AD619.1040707@desy.de> <4B1ADAF9.7080604@jkart.de> <4B1ADE7A.3090309@desy.de> <4B1AE08E.6040100@jkart.de> Message-ID: <4B1AE1C1.1090901@desy.de> Jim Knuth wrote: > am 05.12.2009 23:28 Uhr schrieb Wolfgang Zeikat : > > >> Jim Knuth wrote: >>>> Und: wenn in der Mail keine Subject:-Zeile ist, greift die regexp >>>> nicht, könnte das der Grund sein? >>> >>> ja, genau. Ich habe das mit Thunderbird (Mac) probiert und da wird >>> bei völlig leerem Betreff keine Subject Zeile im Header erzeugt. >>> SA bzw. Amavis hat das aber erkannt und MISSING_SUBJECT=1.762 erteilt. >> >> OK. Fehlende Subject-Zeilen kannst du m.E. mit Postfix-header_checks >> nicht ausfindig machen. > > is klar > >> >> Und kannst du in Thunderbird (Mac) mehrere Leerzeichen (oder >> Leerzeichen TAB oder sowas) als Subject eingeben? > > ja, hab ich. Hat aber keine Wirkung Heisst das, die regexp wirkt nicht? Oder es wird keine Subject-Zeile erzeugt? Mir ist inzwischen nicht mehr klar, ob du - Mails ohne Subject-Zeile oder - Mails mit einer Subject-Zeile ohne weitere Zeichen ausser evtl. Leerzeichen ablehnen willst. In einer Telnet-SMTP-Session solltest du auf jeden Fall eine leere Subject-Zeile eingeben können. Was für ein Thread, ey ;) gruß, wolfgang > >> Gruß, >> >> wolfgang > > From jk at jkart.de Sun Dec 6 00:00:48 2009 From: jk at jkart.de (Jim Knuth) Date: Sun, 06 Dec 2009 00:00:48 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AE1C1.1090901@desy.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> <4B1AD619.1040707@desy.de> <4B1ADAF9.7080604@jkart.de> <4B1ADE7A.3090309@desy.de> <4B1AE08E.6040100@jkart.de> <4B1AE1C1.1090901@desy.de> Message-ID: <4B1AE620.9020308@jkart.de> am 05.12.2009 23:42 Uhr schrieb Wolfgang Zeikat : > Jim Knuth wrote: >> am 05.12.2009 23:28 Uhr schrieb Wolfgang Zeikat >> : >> >> >>> Jim Knuth wrote: >>>>> Und: wenn in der Mail keine Subject:-Zeile ist, greift die regexp >>>>> nicht, könnte das der Grund sein? >>>> >>>> ja, genau. Ich habe das mit Thunderbird (Mac) probiert und da wird >>>> bei völlig leerem Betreff keine Subject Zeile im Header erzeugt. >>>> SA bzw. Amavis hat das aber erkannt und MISSING_SUBJECT=1.762 erteilt. >>> >>> OK. Fehlende Subject-Zeilen kannst du m.E. mit Postfix-header_checks >>> nicht ausfindig machen. >> >> is klar >> >>> >>> Und kannst du in Thunderbird (Mac) mehrere Leerzeichen (oder >>> Leerzeichen TAB oder sowas) als Subject eingeben? >> >> ja, hab ich. Hat aber keine Wirkung > > Heisst das, die regexp wirkt nicht? Oder es wird keine Subject-Zeile > erzeugt? es wird keine Subject (Header)Zeile erzeugt, OHNE Eingabe eines Betreff, bzw. bei Eingabe von 1 oder mehreren Leerzeichen. Wie gesagt, ich hab nur Thunderbird für Mac zum Testen. > > Mir ist inzwischen nicht mehr klar, ob du > - Mails ohne Subject-Zeile oder > - Mails mit einer Subject-Zeile ohne weitere Zeichen ausser evtl. > Leerzeichen > > ablehnen willst. ich würde gern Mails von Leuten ablehnen, die keinen Betreff verwenden. Ob das nun eine fehlendes Subject im Header ist oder der Betreff leer ist, ist ja dann egal. > > In einer Telnet-SMTP-Session solltest du auf jeden Fall eine leere > Subject-Zeile eingeben können. > > Was für ein Thread, ey ;) > > gruß, > > wolfgang -- mit freundlichem Gruss - with kind regard Jim Knuth From postfix-list at novuage.de Sun Dec 6 00:01:11 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 06 Dec 2009 00:01:11 +0100 Subject: [Postfixbuch-users] Dateiendungen im Anhang Message-ID: <4B1AE637.5010800@novuage.de> Hallo, ich habe einen Kunden der einen BlackBerry besitzt, da kommt es ab und zu vor da E-Mails wegen der Dateiendung nicht durchgehen. Die sehen zum Teil so aus, also eine .DAT Datei im Anhang. --- Schnipp --- --902405727-6348-1260050328=:2244 Content-Type: APPLICATION/octet-stream; name=ETP.DAT Content-Transfer-Encoding: BASE64 Content-Description: ETP.DAT Content-Disposition: attachment; filename=ETP.DAT --- Schnapp --- Inhalt ist folgender: --- Schnipp --- This message is used to carry data between the BlackBerry handheld and an associated server. Please do not delete, move or respond to this message - it will be processed by the server. --- Schnapp --- Da sagt Google zu das es automatische E-Mails sind um irgendwelche Infos zwischen Handy und Software auszutauschen. Das passiert recht oft, der Kunde meldet sich aber nicht, scheint also nicht sooo wichtig zu sein. Allerdings hab ich gerade im Amavis nachgeschaut, da ist die Dateiendung .DAT gar nicht gesperrt. Warum wird diese E-mail dann abgewiesen? Der Score ist auch bei "-6.451", Weil die BlackBerry Server mir "RCVD_IN_DNSWL_MED=-4" bewertet werden. Genau Meldung: --- Schnipp --- "554 5.7.0 Reject, id=28107-08 - BANNED: multipart/mixed | application/octet-stream,.exe,ETP.DAT" --- Schnapp --- Wie kommt der hier auf ".exe" macht der das über die Prüfung des Typs? Kann das sein das der Inhalt für Ihn aussieht wie eine .exe Datei? Kapier das nicht, könnte ich da eine Ausnahme erstellen, wenn ja wie? -- Gruß Sascha From postfix-list at novuage.de Sun Dec 6 00:03:51 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 06 Dec 2009 00:03:51 +0100 Subject: [Postfixbuch-users] RegEx bei leerem Betreff In-Reply-To: <4B1AE620.9020308@jkart.de> References: <4B19852D.70609@jkart.de> <4B1985CB.8000300@xpear.de> <4B198734.6050107@riscworks.net> <20091204221921.GF18506@mail.incertum.net> <4B1AC779.60003@jkart.de> <4B1AD619.1040707@desy.de> <4B1ADAF9.7080604@jkart.de> <4B1ADE7A.3090309@desy.de> <4B1AE08E.6040100@jkart.de> <4B1AE1C1.1090901@desy.de> <4B1AE620.9020308@jkart.de> Message-ID: <4B1AE6D7.80805@novuage.de> Jim Knuth schrieb: > ich würde gern Mails von Leuten ablehnen, die keinen Betreff verwenden. > Ob das nun eine fehlendes Subject im Header ist oder der Betreff leer > ist, ist ja dann egal. Also SpamAssassin gibt hier ja Punkte, dreh diese doch hoch, oder kopier diese Regel und mach eine eigene drauß die dann auch verändert Punkte vergibt, so das es Zur Abweisung reicht. Dann kannst Du auch das komplette Fehlen des Headers prüfen. Das sollte doch eine Lösung sein die akzeptabel ist, oder? -- Gruß Sascha From p.heinlein at heinlein-support.de Sun Dec 6 09:47:00 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 6 Dec 2009 09:47:00 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=5BGEL=D6ST=5D_=22unknown_mail?= =?iso-8859-1?q?_transport_error=22?= In-Reply-To: <200912051704.37394.postfix@linuxmaker.de> References: <200912051426.15186.postfix@linuxmaker.de> <200912051704.37394.postfix@linuxmaker.de> Message-ID: <200912060947.01187.p.heinlein@heinlein-support.de> Am Samstag, 5. Dezember 2009 schrieb Andreas Günther: > Deine Mail erreicht mich beim Verfassen dieser Lösung. Zu Deiner Frage, > ja das DNS läuft, sonst hätte ich die Software mit aptitude gar nicht Nee, lief es eben nicht :-) > Ich denke, daß ich das Problem teilweise lösen konnte. Ich habe Debian > Linux "Squeeze" installiert und in dem Verzeichnis > /var/spool/postfix/etc/ waren keine Einträge. > Nachdem ich > /etc/hosts > /etc/resolv.conf Eben. Und *DANN* lief das DNS auch (für Postfix). Schönen Gruß Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From cite+postfix-buch at incertum.net Sun Dec 6 13:49:43 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Sun, 6 Dec 2009 13:49:43 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Effektivit=C3=A4t_von_smtpd=5Fproxy?= =?utf-8?q?=5Foptions=3Dspeed=5Fadjust?= Message-ID: <20091206124943.GL18506@mail.incertum.net> Können die Leute, die seit kurzem einen Postfix-Snapshot ab 2.7-20091109 einsetzen mal über die Effektivität dieses Features berichten? Bei mir hat eine Auswertung über drei Tage ergeben, daß die Anzahl der Proxy-Prozesse die mit Postfix gesprochen haben, sich fast halbiert hat (16 -> 8). Eine größere Datenbasis dazu würde mich mal sehr interessieren. Stefan P.S: Für Debian/stable gibt es hier Pakete: http://www.incertum.net/archives/433-Postfix-2.7-20091115-fuer-Debianlenny.html From philipp-hoffmann at arcor.de Sun Dec 6 16:54:39 2009 From: philipp-hoffmann at arcor.de (Philipp Hoffmann) Date: Sun, 6 Dec 2009 16:54:39 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay Message-ID: <000001ca768c$6b2953d0$417bfb70$@de> Hallo Liste, folgende Konstellation habe ich vor am Donnerstag zu installieren: Eingehende E-Mails: Absender => post.xxx.de (Postfix) => dc1.xxx.local (192.168.1.1, Microsoft Exchange 2003 Std.) => Empfänger Ausgehende E-Mails: Absender (z.B. pc1.xxx.local) => dc1.xxx.local => post.xxx.de => Empfänger Leider habe ich derzeit keine Möglichkeit die Konfiguration für Postfix (siehe unten) zu testen, da ein neuer passender Server hierfür erst am Mittwoch geliefert wird und die Grundfunktion innerhalb von 1-2 Stunden funktionieren sollte, sagt der Chef. Relayed werden sollten alle E-Mails an xxx.de. Sofern Exchange erreichbar ist und dieser den User nach "rcpt to:" Übermittlung kennt ("Parallelverbindung", kein Cache!), soll die Mail angenommen und zugestellt werden. Es wäre nett, wenn mir jemand die Fehler in der Konfiguration unten verbessern könnte, damit am Donnerstag alles glatt geht. :) Mein Entwurf: myhostname = post.xxx.de mydomain = xxx.de myorigin = $mydomain mydestionation = $myhostname, localhost.$mydomain, $mydomain mynetworks = 127.0.0.1, 192.168.1.0/24 alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_recipient_restrictions = permit_mynetworks, reject_invalid_hostname, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, permit relay_domains = $mydomain relay_recipient_maps = hash:/etc/postfix/relay_recipients relayhost = 192.168.1.1 Viele Grüße, Philipp From traced at xpear.de Sun Dec 6 18:09:57 2009 From: traced at xpear.de (Basti) Date: Sun, 06 Dec 2009 18:09:57 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <000001ca768c$6b2953d0$417bfb70$@de> References: <000001ca768c$6b2953d0$417bfb70$@de> Message-ID: <4B1BE565.9090509@xpear.de> Philipp Hoffmann schrieb: > Hallo Liste, > > folgende Konstellation habe ich vor am Donnerstag zu installieren: > > Eingehende E-Mails: > Absender => post.xxx.de (Postfix) => dc1.xxx.local (192.168.1.1, Microsoft > Exchange 2003 Std.) => Empfänger > > Ausgehende E-Mails: > Absender (z.B. pc1.xxx.local) => dc1.xxx.local => post.xxx.de => Empfänger > > Leider habe ich derzeit keine Möglichkeit die Konfiguration für Postfix > (siehe unten) zu testen, da ein neuer passender Server hierfür erst am > Mittwoch geliefert wird und die Grundfunktion innerhalb von 1-2 Stunden > funktionieren sollte, sagt der Chef. > > Relayed werden sollten alle E-Mails an xxx.de. Sofern Exchange erreichbar > ist und dieser den User nach "rcpt to:" Übermittlung kennt > ("Parallelverbindung", kein Cache!), soll die Mail angenommen und zugestellt > werden. > > Es wäre nett, wenn mir jemand die Fehler in der Konfiguration unten > verbessern könnte, damit am Donnerstag alles glatt geht. :) > > Mein Entwurf: > > myhostname = post.xxx.de > mydomain = xxx.de > myorigin = $mydomain > mydestionation = $myhostname, localhost.$mydomain, $mydomain > mynetworks = 127.0.0.1, 192.168.1.0/24 > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > smtpd_delay_reject = yes > smtpd_helo_required = yes > smtpd_recipient_restrictions = > permit_mynetworks, > reject_invalid_hostname, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_non_fqdn_sender, > reject_unknown_recipient_domain, > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > permit > relay_domains = $mydomain > relay_recipient_maps = hash:/etc/postfix/relay_recipients > relayhost = 192.168.1.1 > > Viele Grüße, > Philipp > > -- Hi, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, das erstmal gegen z.B. policyd-weight tauschen, sonst werden bei Dir nicht viele Mails ankommen, irgendwie steht ja schon fast alles bei Spamhaus gelistet. Du könntest noch mit reject_unverified_recipient auf dem Exchange prüfen lassen ob der Empfänger existiert, musst aber dann dem Exchange noch abgewöhnen dass er nicht alles annimmt. Grüsse Basti From philipp-hoffmann at arcor.de Sun Dec 6 20:26:07 2009 From: philipp-hoffmann at arcor.de (Philipp Hoffmann) Date: Sun, 6 Dec 2009 20:26:07 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <4B1BE565.9090509@xpear.de> References: <000001ca768c$6b2953d0$417bfb70$@de> <4B1BE565.9090509@xpear.de> Message-ID: <000001ca76a9$f587d1b0$e0977510$@de> Hi Basti, danke für deine schnelle Antwort. Unten findest du die zusammengefasste Konfiguration, mit Einbezug von Amavis, postgrey, und policyd-weight. Die "smtpd_recipient_restrictions" setzten sich u.a. aus dem Muster in Peers Buch auf Seite 212 (3. Auflage) zusammen. Exchange lehnt nun E-Mails direkt ab, sofern der Empfänger nicht existiert (getestet per telenet). Siehe auch: http://www.msxfaq.de/spam/filter-rcptto.htm Eine letzte Frage: "relayhost" ist derzeit der Exchange Server, klar. Was aber nun wenn für ausgehende E-Mails (User => Exchange => Postfix => Empfänger) ins Internet ein extra Relayhost z.B. der des Providers verwendet werden soll? Wo lässt sich dieser definieren? Viele Grüße, Philipp main.cf: myhostname = post.xxx.de mydomain = xxx.de myorigin = $mydomain mydestionation = $myhostname, localhost.$mydomain, $mydomain mynetworks = 127.0.0.1, 192.168.1.0/24 alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases smtpd_proxy_filter = 127.0.0.1:10025 # Amavis content_filter = smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_recipient_restrictions = check_recipient_access bree:/etc/postfix/access_recipient-rfc, check_client_access btree:/etc/postfix/access_client, check_helo_access btree:/etc/postfix/access_helo, check_sender_access btree:/etc/postfix/access_sender, check_recipient_access btree:/etc/postfix/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknow_sender_domain, reject_unknow_recipient_domain, permit_mynetwork, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client list.dsbl.org, reject_rhsbl_client blackhole.securitysage.com, check_policy_service inet:127.0.0.1:12525, # policyd-weight check_policy_service inet:127.0.0.1:10023, # postgrey reject_unverified_recipient, permit_mx_backup, reject_unauth_desination, permit relay_domains = $mydomain relay_recipient_maps = hash:/etc/postfix/relay_recipients relayhost = 192.168.1.1 master.cf: localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Basti Gesendet: Sonntag, 6. Dezember 2009 18:10 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Postfix, Exchange Relay Philipp Hoffmann schrieb: > Hallo Liste, > > folgende Konstellation habe ich vor am Donnerstag zu installieren: > > Eingehende E-Mails: > Absender => post.xxx.de (Postfix) => dc1.xxx.local (192.168.1.1, Microsoft > Exchange 2003 Std.) => Empfänger > > Ausgehende E-Mails: > Absender (z.B. pc1.xxx.local) => dc1.xxx.local => post.xxx.de => Empfänger > > Leider habe ich derzeit keine Möglichkeit die Konfiguration für Postfix > (siehe unten) zu testen, da ein neuer passender Server hierfür erst am > Mittwoch geliefert wird und die Grundfunktion innerhalb von 1-2 Stunden > funktionieren sollte, sagt der Chef. > > Relayed werden sollten alle E-Mails an xxx.de. Sofern Exchange erreichbar > ist und dieser den User nach "rcpt to:" Übermittlung kennt > ("Parallelverbindung", kein Cache!), soll die Mail angenommen und zugestellt > werden. > > Es wäre nett, wenn mir jemand die Fehler in der Konfiguration unten > verbessern könnte, damit am Donnerstag alles glatt geht. :) > > Mein Entwurf: > > myhostname = post.xxx.de > mydomain = xxx.de > myorigin = $mydomain > mydestionation = $myhostname, localhost.$mydomain, $mydomain > mynetworks = 127.0.0.1, 192.168.1.0/24 > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > smtpd_delay_reject = yes > smtpd_helo_required = yes > smtpd_recipient_restrictions = > permit_mynetworks, > reject_invalid_hostname, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_non_fqdn_sender, > reject_unknown_recipient_domain, > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > permit > relay_domains = $mydomain > relay_recipient_maps = hash:/etc/postfix/relay_recipients > relayhost = 192.168.1.1 > > Viele Grüße, > Philipp > > -- Hi, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, das erstmal gegen z.B. policyd-weight tauschen, sonst werden bei Dir nicht viele Mails ankommen, irgendwie steht ja schon fast alles bei Spamhaus gelistet. Du könntest noch mit reject_unverified_recipient auf dem Exchange prüfen lassen ob der Empfänger existiert, musst aber dann dem Exchange noch abgewöhnen dass er nicht alles annimmt. Grüsse Basti -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From debian at net-service-24.de Sun Dec 6 20:17:39 2009 From: debian at net-service-24.de (Roland Schmid) Date: Sun, 06 Dec 2009 20:17:39 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <000001ca768c$6b2953d0$417bfb70$@de> References: <000001ca768c$6b2953d0$417bfb70$@de> Message-ID: <1260127059.8658.34.camel@workstation> Hallo, Am Sonntag, den 06.12.2009, 16:54 +0100 schrieb Philipp Hoffmann: > Mein Entwurf: > > myhostname = post.xxx.de > mydomain = xxx.de > myorigin = $mydomain > mydestionation = $myhostname, localhost.$mydomain, $mydomain > mynetworks = 127.0.0.1, 192.168.1.0/24 > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > smtpd_delay_reject = yes > smtpd_helo_required = yes > smtpd_recipient_restrictions = > permit_mynetworks, > reject_invalid_hostname, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_non_fqdn_sender, > reject_unknown_recipient_domain, reject_unverified_recipient # um den Exchange zu entlasten > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > permit > relay_domains = $mydomain > relay_recipient_maps = hash:/etc/postfix/relay_recipients > relayhost = 192.168.1.1 relay_domains = hash:/etc/postfix/relay_domains transport_maps = hash:/etc/postfix/transport,hash:/etc/postfix/relay_domains address_verify_map=btree:/var/spool/postfix/data/verify /etc/postfix/relay_domains e-mail-domain.de :[fqdn-exchange-server.de] /etc/postfix/transport e-mail-domain.de :[fqdn-exchange-server.de] so würde ich das regeln, smtp port des exchange muss erreichbar sein. (kannste ja über ein telnet fqdn-exchange-server.de 25 testen) (und exchange beibringen, dass er nicht alles annimmt, im Exchange SystemManager -> Message Delivery (Filter recipients who are not in the Directory aktivieren + SystemManager -> Default SMTP nur dem Postfix das relayen von mails erlauben) Deine Konfiguration ist unvollständig, sieht so aus, als ob jeder! Mails relayen dürfte, [Openrelay] $mydomain sollte != e-mail-domain.de sein Gruss Roland From p.heinlein at heinlein-support.de Sun Dec 6 20:33:26 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 6 Dec 2009 20:33:26 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Effektivit=E4t_von_smtpd=5Fpro?= =?iso-8859-1?q?xy=5Foptions=3Dspeed=5Fadjust?= In-Reply-To: <20091206124943.GL18506@mail.incertum.net> References: <20091206124943.GL18506@mail.incertum.net> Message-ID: <200912062033.27895.p.heinlein@heinlein-support.de> Am Sonntag, 6. Dezember 2009 schrieb Stefan Förster: > Können die Leute, die seit kurzem einen Postfix-Snapshot ab > 2.7-20091109 einsetzen mal über die Effektivität dieses Features > berichten? Bei mir hat eine Auswertung über drei Tage ergeben, daß die > Anzahl der Proxy-Prozesse die mit Postfix gesprochen haben, sich fast > halbiert hat (16 -> 8). Ich setze es noch nicht ein. Sicherlich reduziert es die Verbindungen (warum auch nicht). Andererseits spart es Verbindungen ein, die NICHTS tun (außer warten und empfangen). Das heißt: Dieses Feature spart RAM. Aber RAM spielt auf heutigen Maschinen quasi keine Rolle mehr -- vor allem nicht in Relation zur CPU. Wenn Du jetzt die Warte-Verbindungen reduziert heißt das nicht, daß Du mehr schaffst. Die CPU wird quasi genauso viel zu tun haben, wie vorher auch. Ergo: Dieses Feature hilft, wenn RAM der Flaschenhals war/ist. Dieses Feature hilft nicht/kaum, wenn CPU oder I/O der Flaschenhals ist. Das ist also eine Frage der Hardware. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From postfix-list at novuage.de Sun Dec 6 21:23:26 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 06 Dec 2009 21:23:26 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <000001ca76a9$f587d1b0$e0977510$@de> References: <000001ca768c$6b2953d0$417bfb70$@de> <4B1BE565.9090509@xpear.de> <000001ca76a9$f587d1b0$e0977510$@de> Message-ID: <4B1C12BE.3000902@novuage.de> Philipp Hoffmann schrieb: > Eine letzte Frage: > "relayhost" ist derzeit der Exchange Server, klar. Was aber nun wenn für > ausgehende E-Mails (User => Exchange => Postfix => Empfänger) ins Internet > ein extra Relayhost z.B. der des Providers verwendet werden soll? Wo lässt > sich dieser definieren? Als relayhost kommt dann der Provider rein und über die transport_map steuerst Du einzelne Ausnahmen und gibst dieses Ziel an. Das sind dann die Dir bekannten die zum Exchange sollen. -- Gruß Sascha From philipp-hoffmann at arcor.de Sun Dec 6 20:48:17 2009 From: philipp-hoffmann at arcor.de (Philipp Hoffmann) Date: Sun, 6 Dec 2009 20:48:17 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <1260127059.8658.34.camel@workstation> References: <000001ca768c$6b2953d0$417bfb70$@de> <1260127059.8658.34.camel@workstation> Message-ID: <000101ca76ad$0ee3f280$2cabd780$@de> Hallo, so besser? Wenn ich jetzt relayhost auf ein SMTP Server beim Provider setzte (dieser verlangt kein Login), wird dieser dann für alle E-Mails angewendet deren Empfänger-Domain nicht in der /etc/postfix/relay_domains definiert sind? Zum Beispiel: relayhost = mail.qsc.de Gruß, Philipp /etc/postfix/main.cf: myhostname = post.xxx.de mydomain = xxx.de myorigin = $mydomain mydestionation = $myhostname, localhost.$mydomain, $mydomain mynetworks = 127.0.0.1, 192.168.1.0/24 alias_maps = hash:/etc/aliases relay_domains = hash:/etc/postfix/relay_domains transport_maps = hash:/etc/postfix/transport,hash:/etc/postfix/relay_domains address_verify_map = btree:/var/spool/postfix/data/verify smtpd_proxy_filter = 127.0.0.1:10025 # Amavis content_filter = smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknow_sender_domain, reject_unknow_recipient_domain, permit_mynetwork, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client list.dsbl.org, reject_rhsbl_client blackhole.securitysage.com, check_policy_service inet:127.0.0.1:12525, # policyd-weight check_policy_service inet:127.0.0.1:10023, # postgrey reject_unverified_recipient, permit_mx_backup, reject_unauth_desination, permit /etc/postfix/relay_domains: xxx.de :192.168.1.1 /etc/postfix/transport: xxx.de :192.168.1.1 -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Roland Schmid Gesendet: Sonntag, 6. Dezember 2009 20:18 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Postfix, Exchange Relay Hallo, Am Sonntag, den 06.12.2009, 16:54 +0100 schrieb Philipp Hoffmann: > Mein Entwurf: > > myhostname = post.xxx.de > mydomain = xxx.de > myorigin = $mydomain > mydestionation = $myhostname, localhost.$mydomain, $mydomain > mynetworks = 127.0.0.1, 192.168.1.0/24 > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > smtpd_delay_reject = yes > smtpd_helo_required = yes > smtpd_recipient_restrictions = > permit_mynetworks, > reject_invalid_hostname, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_non_fqdn_sender, > reject_unknown_recipient_domain, reject_unverified_recipient # um den Exchange zu entlasten > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > permit > relay_domains = $mydomain > relay_recipient_maps = hash:/etc/postfix/relay_recipients > relayhost = 192.168.1.1 relay_domains = hash:/etc/postfix/relay_domains transport_maps = hash:/etc/postfix/transport,hash:/etc/postfix/relay_domains address_verify_map=btree:/var/spool/postfix/data/verify /etc/postfix/relay_domains e-mail-domain.de :[fqdn-exchange-server.de] /etc/postfix/transport e-mail-domain.de :[fqdn-exchange-server.de] so würde ich das regeln, smtp port des exchange muss erreichbar sein. (kannste ja über ein telnet fqdn-exchange-server.de 25 testen) (und exchange beibringen, dass er nicht alles annimmt, im Exchange SystemManager -> Message Delivery (Filter recipients who are not in the Directory aktivieren + SystemManager -> Default SMTP nur dem Postfix das relayen von mails erlauben) Deine Konfiguration ist unvollständig, sieht so aus, als ob jeder! Mails relayen dürfte, [Openrelay] $mydomain sollte != e-mail-domain.de sein Gruss Roland -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From postfix-list at novuage.de Sun Dec 6 23:12:35 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 06 Dec 2009 23:12:35 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <000101ca76ad$0ee3f280$2cabd780$@de> References: <000001ca768c$6b2953d0$417bfb70$@de> <1260127059.8658.34.camel@workstation> <000101ca76ad$0ee3f280$2cabd780$@de> Message-ID: <4B1C2C53.2070004@novuage.de> Philipp Hoffmann schrieb: > so besser? naja... ;-) > reject_rbl_client list.dsbl.org, http://www.postfixbuch.de/web/service/korrekturen/hinweise/ http://dsbl.org/ Solltest Du nicht mehr verwenden... > check_policy_service inet:127.0.0.1:12525, # policyd-weight > check_policy_service inet:127.0.0.1:10023, # postgrey Bau diese doch in policyd-weight ein, bzw, die eine da oben muss da auch raus. Ich würde nur sehr weniger RBLs direkt in Postfix einbauen. Hab mich so im Detail mit diesen noch nicht beschäftigt, aber die "ix.dnsbl.manitu.net" ist die einzige die ich direkt in Postfix drin habe. -- Gruß Sascha From postfixbuch at cboltz.de Mon Dec 7 02:12:03 2009 From: postfixbuch at cboltz.de (Christian Boltz) Date: Mon, 7 Dec 2009 02:12:03 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <4B1BE565.9090509@xpear.de> References: <000001ca768c$6b2953d0$417bfb70$@de> <4B1BE565.9090509@xpear.de> Message-ID: <200912070212.03463@tux.boltz.de.vu> Hallo Basti, hallo Leute, Am Sonntag, 6. Dezember 2009 schrieb Basti: > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > > das erstmal gegen z.B. policyd-weight tauschen, sonst werden bei Dir > nicht viele Mails ankommen, irgendwie steht ja schon fast alles bei > Spamhaus gelistet. Huch? Ich verwende zen.spamhaus.org und ix.dnsbl.manitu.net als Blacklisten, und habe keine nennenswerten[1] Probleme mit zu Unrecht abgewiesenen Mails. Wenn Spamhaus "fast alles" gelistet hätte, bekäme ich garantiert reichlich Nachfragen von den Usern... (bl.spamcop.net nutze ich nicht.) Gruß Christian Boltz [1] Mir sind höchstens 1-2 false positives _pro Jahr_ bekannt - bei mehreren tausend Mails täglich ist das quasi nichts. -- Wolfram Kopp wrote: > [...] Schgule gezwunbgen werdedn, [...] sag mal, WoKo, kann man mit Deinen Fingern eigentlich auch Baseball spielen? [Hajo Pflueger in dag°] From cite+postfix-buch at incertum.net Mon Dec 7 07:32:07 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 7 Dec 2009 07:32:07 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Effektivit=C3=A4t_von_smtpd=5Fproxy?= =?utf-8?q?=5Foptions=3Dspeed=5Fadjust?= In-Reply-To: <200912062033.27895.p.heinlein@heinlein-support.de> References: <20091206124943.GL18506@mail.incertum.net> <200912062033.27895.p.heinlein@heinlein-support.de> Message-ID: <20091207063206.GN18506@mail.incertum.net> * Peer Heinlein : > Am Sonntag, 6. Dezember 2009 schrieb Stefan Förster: [smtpd_proxy_options = speed_adjust] > Wenn Du jetzt die Warte-Verbindungen reduziert heißt das nicht, daß Du > mehr schaffst. Die CPU wird quasi genauso viel zu tun haben, wie vorher > auch. Daß ein einzelner Filter-Prozess mit diesem Feature nicht plötzlich mehr Mails scannen können wird, war mir schon irgendwie klar ;-) Trotzdem siehst Du da IMHO nur einen Teil des ganzen Bildes. > Ergo: Dieses Feature hilft, wenn RAM der Flaschenhals war/ist. Dieses > Feature hilft nicht/kaum, wenn CPU oder I/O der Flaschenhals ist. Wenn man nur gut angebundene Clients hat, die die Mails schnell über die Leitung bringen, dann hast Du recht, da sind CPU bzw. I/O der Flaschenhals. In allen anderen Fällen aber hat man aber IMHO die folgenden Vorteile: 1. Es reduziert das DoS-Risiko. Wie schieße ich denn heute einen Server ab, von dem ich weiß, das er im pre-queue-Modus filtert? Ich suche mir 5 Clients die nicht irgendwo geblacklistet sind, mache von jedem aus 5 Verbindungen auf und übertrage da jeweils sehr langsam eine Mail. Aus die Maus, wenn die Gegenseite <= 25 Filter-Prozesse am Start hat (oder eine Konfiguration, die nur je eine Verbindung pro Client zulässt, wie realistisch das auch sein mag). 2. Es bewahrt mich davor, die Anzahl der Filterprozesse überdimensionieren zu müssen: Ich würde mein letztes Hemd darauf verwetten, daß nur ein Bruchteil der Leute, die mit mehr als 20 Filter-Prozessen fahren, schonmal ausprobiert haben, was passiert, wenn diese Filter wirklich alle auf einmal aktiv werden müssen - da würde es garantiert einiges an Heulen und Zähneklappern geben, à la "aber im Test mit smtp-source hat er doch auch nicht geswappt....!" Mit dem Patch kann ich mir die 40 amavisd-new-Prozesse getrost schenken. 3. Am wichtigsten: Man kann mit dem Patch immer mindestens genauso viele Mails filtern wie ohne - kommen aber Clients dazu, die lange brauchen, um eine Mail zu übermitteln, dann kann ich mit der Erweiterung _immer_ _mehr_ Mails verarbeiten als ohne - weil das 4kB große Mailinglisten-Posting eben schneller einen freien Filter-Slot bekommt, den ohne speed_adjust die 20MB PPT-Präsentation oder ein Zombie in Beschlag hat. Und wenn man sich den letzten Punkt ansieht, dann irsst Du hier teilweise- man schafft mit gleicher Prozess-Zahl eine bessere Auslastung der eigenen Resourcen - und damit dann eben doch mehr Mails ;-) Ich sehe das Feature in der selben Ecke wie den Stress-Modus oder postscreen(8): Möglichst effizientes Haushalten mit den eigenen Resourcen im Angesicht von Botnetzen. Nur zu sagen "Das spart RAM" ist ein bißchen kurzsichtig. Ciao Stefan P.S: Interessanterweise war einer der "early adaptors" auch Mark Martinec - und genau der hat bisher immer davon abgeraten, amavisd-new im pre-queue-Modus zu betreiben. -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 "Eins mal vorweg: Frauen dürfen regelmäßig sowenig tragen wie sie wollen, da es seltener vorkommt, dass sie sowenig tragen wie ich will." -- L.K. From traced at xpear.de Mon Dec 7 09:06:47 2009 From: traced at xpear.de (Basti) Date: Mon, 07 Dec 2009 09:06:47 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <200912070212.03463@tux.boltz.de.vu> References: <000001ca768c$6b2953d0$417bfb70$@de> <4B1BE565.9090509@xpear.de> <200912070212.03463@tux.boltz.de.vu> Message-ID: <09432cc02e6b185e661fd32cacd6cefd@localhost> On Mon, 7 Dec 2009 02:12:03 +0100, Christian Boltz wrote: > Hallo Basti, hallo Leute, > > Am Sonntag, 6. Dezember 2009 schrieb Basti: >> reject_rbl_client zen.spamhaus.org, >> reject_rbl_client bl.spamcop.net, >> >> das erstmal gegen z.B. policyd-weight tauschen, sonst werden bei Dir >> nicht viele Mails ankommen, irgendwie steht ja schon fast alles bei >> Spamhaus gelistet. > > Huch? > > Ich verwende zen.spamhaus.org und ix.dnsbl.manitu.net als Blacklisten, > und habe keine nennenswerten[1] Probleme mit zu Unrecht abgewiesenen > Mails. Wenn Spamhaus "fast alles" gelistet hätte, bekäme ich garantiert > reichlich Nachfragen von den Usern... > > (bl.spamcop.net nutze ich nicht.) > > > Gruß > > Christian Boltz > > [1] Mir sind höchstens 1-2 false positives _pro Jahr_ bekannt - bei > mehreren tausend Mails täglich ist das quasi nichts. > -- Verwendest Du die direkt in Postfix? In policyd-weight hab ich die auch drin, aber wenn die _nur_ auf der spamhaus Liste steht passiert erstmal noch nix, wenn sonst alles mit der Mail stimmt. Grüsse Basti From postfixbuch at cboltz.de Tue Dec 8 00:44:49 2009 From: postfixbuch at cboltz.de (Christian Boltz) Date: Tue, 8 Dec 2009 00:44:49 +0100 Subject: [Postfixbuch-users] Postfix, Exchange Relay In-Reply-To: <09432cc02e6b185e661fd32cacd6cefd@localhost> References: <000001ca768c$6b2953d0$417bfb70$@de> <200912070212.03463@tux.boltz.de.vu> <09432cc02e6b185e661fd32cacd6cefd@localhost> Message-ID: <200912080044.49899@tux.boltz.de.vu> Hallo Basti, hallo Leute, Am Montag, 7. Dezember 2009 schrieb Basti: > On Mon, 7 Dec 2009 02:12:03 +0100, Christian Bolt> wrote: > > Ich verwende zen.spamhaus.org und ix.dnsbl.manitu.net als > > Blacklisten, und habe keine nennenswerten[1] Probleme mit zu > > Unrecht abgewiesenen Mails. [...] > Verwendest Du die direkt in Postfix? In policyd-weight hab ich die > auch drin, aber wenn die _nur_ auf der spamhaus Liste steht passiert > erstmal noch nix, wenn sonst alles mit der Mail stimmt. Ja, ich verwende die direkt in Postfix. (Sorry, dass das in meiner Mail nicht klar drinstand.) Nichts gegen policyd-weight, aber ich sehe beim "harten" Blacklisten kein Problem. Zumindest solange man sich die Blacklists und deren Policy genau anschaut ;-) Gruß Christian Boltz -- Es gibt in Mailformaten keinen Individualismus. Es gibt sehr detailliert REGELN (nämlich die RFCs), die solche Sachen auf Punkt und Komma vorschreiben, und wer das witzigerweise anders macht, fährt auf der falschen Straßenseite und kommt unter die Räder. [Ratti in suse-linux] From malesur at gmx.de Tue Dec 8 15:15:32 2009 From: malesur at gmx.de (Malesur) Date: Tue, 08 Dec 2009 15:15:32 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay Message-ID: <4B1E5F84.90002@gmx.de> Hi Postfix-User, ich hab mal eine ganz allgemeine Verständnisfrage zu der Funktionsweise von Postfix (bzw. betrifft das wahrscheinlich generell alle MTAs) ... es geht um den Ablauf Client (z.B. Thunderbird) will eine Mail versenden. Im Prinzip wird das hier eine Ja/Nein Frage ... ich werd mal versuchen mein Verständis der Geschichte hier nieder zu schreiben und dann einfach die Frage in den Raum stellen ob ich das so korrekt verstanden habe oder irgendetwas übersehen habe ;) Also ... vergessen wir mal die Seite "Mailempfang". Mir gehts nur um das Versenden. Nehmen wir an ich hab eine Konfiguration wie im Buch (3. Auflage) ab Seite 663 beschrieben (Postfix, LDAP, Dovecot). Nehmen wir weiter an ich habe ein EMail Postfach für test at example.com korrekt angelegt das korrekt funktioniert (POP3/IMAP). Beim Abholen von Emails mit einem EMail-Client (z.B. Thunderbird) per POP3 oder IMAP würde nun Dovecot die Authenifizierungsdaten mit LDAP abgleichen und dann ins richtige Postfach "zeigen". Jetzt kommt die interessante Seite... beim EMail versandt benutzt Postfix per Konfiguration das SASL-Modul von Dovecot um den User für das relayen zu authentifizieren (auch gegen LDAP dann). Wenn ich das richtig verstanden habe wird hierbei aber nur geprüft ob die Authentifizierungsdaten korrekt sind und damit wäre dann das Relayen erlaubt. Und es ist hierbei ein globales relayen gemeint ... also für jede Domain selbst wenn Postfix dafür nicht zuständig ist. Sprich der User der sich mit text at example.com korrekt zum relayen authentifiziert kann auch Emails als xx at xx.xx verschicken, also für Domains oder Aliases die gar nicht in Postfix (oder Dovecot) konfiguriert sind. Ist das so korrekt? Prüft Postfix seine Zuständigkeit für eine Domain bzw. deren Email-Aliase nur beim einliefern von Mails und nicht beim ausliefern von Mails? Oder gibt es da noch einen Sicherungsmechanismus den ich überlesen habe und der sicherstellt das der User text at example.com nur als text at example.com (bzw. die dafür eingetragenen Aliases) senden darf? Grüße Dominik From kai_postfix at fuerstenberg.ws Tue Dec 8 15:27:26 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 08 Dec 2009 15:27:26 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay In-Reply-To: <4B1E5F84.90002@gmx.de> References: <4B1E5F84.90002@gmx.de> Message-ID: <4B1E624E.9080106@fuerstenberg.ws> Malesur schrieb am 08.12.2009 15:15: > Wenn ich das richtig verstanden habe wird hierbei aber nur geprüft ob > die Authentifizierungsdaten korrekt sind und damit wäre dann das Relayen > erlaubt. Und es ist hierbei ein globales relayen gemeint ... also für > jede Domain selbst wenn Postfix dafür nicht zuständig ist. > Sprich der User der sich mittext at example.com korrekt zum relayen > authentifiziert kann auch Emails alsxx at xx.xx verschicken, also für > Domains oder Aliases die gar nicht in Postfix (oder Dovecot) > konfiguriert sind. Ja. > Oder gibt es da noch einen Sicherungsmechanismus > den ich überlesen habe und der sicherstellt das der User > text at example.com nur als text at example.com (bzw. die dafür eingetragenen > Aliases) senden darf? Parameter gibt es einige: reject_unlisted_sender reject_unauthenticated_sender_login_mismatch reject_authenticated_sender_login_mismatch reject_sender_login_mismatch reject_unverified_sender Welcher für dich sinnvoll ist, musst du aber selbst entscheiden. Einige sind Kombinationen aus anderen. reject_sender_login_mismatch wehrt bei mir ca. 30% des Spams ab. Die versuchen immer mit meinen eigenen Adressen einzuliefern. Ist aber eben nicht für jeden geeignet. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From gregor at a-mazing.de Tue Dec 8 15:31:27 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 8 Dec 2009 15:31:27 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay In-Reply-To: <4B1E5F84.90002@gmx.de> References: <4B1E5F84.90002@gmx.de> Message-ID: <200912081531.27313@office.a-mazing.net> Hallo Dominik, Am Dienstag, 8. Dezember 2009 schrieb Malesur: > beim EMail versandt benutzt Postfix per Konfiguration das SASL-Modul von > Dovecot um den User für das relayen zu authentifizieren (auch gegen LDAP > dann). > > Wenn ich das richtig verstanden habe wird hierbei aber nur geprüft ob > die Authentifizierungsdaten korrekt sind und damit wäre dann das Relayen > erlaubt. Und es ist hierbei ein globales relayen gemeint ... also für > jede Domain selbst wenn Postfix dafür nicht zuständig ist. > Sprich der User der sich mit text at example.com korrekt zum relayen > authentifiziert kann auch Emails als xx at xx.xx verschicken, also für > Domains oder Aliases die gar nicht in Postfix (oder Dovecot) > konfiguriert sind. > > Ist das so korrekt? Prüft Postfix seine Zuständigkeit für eine Domain > bzw. deren Email-Aliase nur beim einliefern von Mails und nicht beim > ausliefern von Mails? Oder gibt es da noch einen Sicherungsmechanismus > den ich überlesen habe und der sicherstellt das der User > text at example.com nur als text at example.com (bzw. die dafür eingetragenen > Aliases) senden darf? du kannst die erlaubten Absender-Envelope-Adressen abhängig vom verwendeten Login einschränken: http://www.postfix.org/postconf.5.html#reject_authenticated_sender_login_mismatch Ohne diese Maßnahme kann der Client nach der Authentifizierung das Envelope- From frei wählen. Tortzdem kannst du aber im Log immer nachvollzihen, mit welchem Login der Client angemeldet war. Eine andere Möglichkeit wäre noch, den Login-Namen in den Header der Mail zu schreiben: http://www.postfix.org/postconf.5.html#smtpd_sasl_authenticated_header Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From malesur at gmx.de Tue Dec 8 15:40:31 2009 From: malesur at gmx.de (Malesur) Date: Tue, 08 Dec 2009 15:40:31 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay In-Reply-To: <4B1E624E.9080106@fuerstenberg.ws> References: <4B1E5F84.90002@gmx.de> <4B1E624E.9080106@fuerstenberg.ws> Message-ID: <4B1E655F.6090800@gmx.de> Tja da war ich wohl wieder einfach zu blöd zum lesen ... bin jetzt über die Parameter die ihr hier aufgezeigt hast an die richtige Stelle im Buch gesprungen. Seite 311 (3. Auflage) Kapitel 11.4.2 - die Zauberwörter sind... smtpd_sender_login_maps reject_sender_login_mismatch reject_unauthenticated_sender_login_mismatch ... hätte mich auch stark gewundert wenn es sowas nicht geben würde! Danke Kai und Gregor ... Thema erledigt ... ich werd mal experimentieren *zwinker* From postfix-list at novuage.de Tue Dec 8 18:46:27 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 08 Dec 2009 18:46:27 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay In-Reply-To: <4B1E624E.9080106@fuerstenberg.ws> References: <4B1E5F84.90002@gmx.de> <4B1E624E.9080106@fuerstenberg.ws> Message-ID: <4B1E90F3.6080205@novuage.de> Kai Fürstenberg schrieb: >> Oder gibt es da noch einen Sicherungsmechanismus >> den ich überlesen habe und der sicherstellt das der User >> text at example.com nur als text at example.com (bzw. die dafür eingetragenen >> Aliases) senden darf? > > Parameter gibt es einige: > reject_unlisted_sender > reject_unauthenticated_sender_login_mismatch > reject_authenticated_sender_login_mismatch > reject_sender_login_mismatch > reject_unverified_sender > > Welcher für dich sinnvoll ist, musst du aber selbst entscheiden. Einige > sind Kombinationen aus anderen. > > reject_sender_login_mismatch wehrt bei mir ca. 30% des Spams ab. Die > versuchen immer mit meinen eigenen Adressen einzuliefern. Ist aber eben > nicht für jeden geeignet. Das bedeutet deine User (Authentifizierte) wollen in der Tat so viel Spam versenden, und dann noch mit deinem Absender? Ich habe noch keinen Benutzer gehabt dem seine SMTP-Auth Daten missbraucht wurden, oder wo der PC über diesen Weg zum Versender von Spam wurde. -- Gruß Sascha From postfix at d-herrmann.de Tue Dec 8 23:55:44 2009 From: postfix at d-herrmann.de (postfix at d-herrmann.de) Date: Tue, 8 Dec 2009 23:55:44 +0100 (CET) Subject: [Postfixbuch-users] Postfix als Mail-Gateway Message-ID: Hallo Liste, ich habe mich nun auch mal hier angemeldet, weil ich zu dem Punkt gekommen bin, wo ich mit google kein passendes Ergebnis mehr gefunden habe und außerdem am Produktiv-System nicht viel rumspielen sondern lieber gleich richtig machen will. Ich fange mal kurz an, mein Problem zu schildern: Ich habe einen eigenen Server, auf dem meine Domains (Web + Mail laufen). Das läuft soweit recht gut und erfreulich Spamfrei. Ich habe nun das Problem, dass in der Uni der ausgehende Port 25 gesperrt ist. Nunja, kein Problem, Postfix einfach auf einem zweiten Port (2524) lauschen lassen, Problem gelöst. Für meine Domains stimmt das auch, allerdings bin ich noch Besitzer einer gmx.de Adresse, die ich leider nicht komplett vernachlässigen kann. Dort kann man ja leider den Port nicht umstellen, und der Relayserver der Uni kann nicht so konfiguriert werden, die Mail an GMX weiterzuleiten, er sendet die Mail mit meiner @gmx.de Domain direkt an den Empfänger. Die Probleme dabei könnt ihr euch ja sicherlich denken. Nun würde ich mein Postfix gerne so konfigurieren, dass er als Mailgateway zwischen mir und dem SMTP Server von GMX fungiert. Er soll also an einem beliebigen Port lauschen, die Mail (gegen Zugangsdaten versteht sich) annehmen und mittels den hinterlegten Zugangsdaten an den GMX SMTP weiterleiten. Meine main.cf: ---------------schnipp----------------- myhostname = mail.domain.tpl myorigin = $myhostname mydestination = $myhostname, lists.mailmandomain.tpl mynetworks = 127.0.0.0/8 inet_protocols = ipv4 biff = no append_dot_mydomain = no alias_maps = hash:/etc/aliases, hash:/usr/local/mailman/data/aliases alias_database = hash:/etc/aliases smtpd_banner = $myhostname ESMTP Mailserver smtpd_helo_required = yes smtpd_delay_reject = yes smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, reject_invalid_helo_hostname, check_policy_service inet:127.0.0.1:12525 strict_rfc821_envelopes = yes smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = smtp_sasl_auth_enable = no broken_sasl_auth_clients = yes virtual_mailbox_base = /var/syscp/mails/ virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_alias_domains = virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 dovecot_destination_recipient_limit = 1 virtual_transport = dovecot ---------------schnapp----------------- Natürlich soll das nur bei den entsprechenden Mails passieren, alle anderen Mails (von syscp, in den virtual_alias Direktiven) sollen davon natürlich unberührt bleiben. Ich hoffe, jemand von Euch hat eine Idee dazu. Danke schonmal im vorraus und noch einen schönen Abend Daniel Herrmann From news at amaltea.de Wed Dec 9 08:09:04 2009 From: news at amaltea.de (PV) Date: Wed, 09 Dec 2009 08:09:04 +0100 Subject: [Postfixbuch-users] Postfix als Mail-Gateway In-Reply-To: References: Message-ID: <4B1F4D10.4030306@amaltea.de> postfix at d-herrmann.de schrieb: > Hallo Liste, > > ich habe mich nun auch mal hier angemeldet, weil ich zu dem Punkt gekommen > bin, wo ich mit google kein passendes Ergebnis mehr gefunden habe und > außerdem am Produktiv-System nicht viel rumspielen sondern lieber gleich > richtig machen will. > > Ich fange mal kurz an, mein Problem zu schildern: > > Ich habe einen eigenen Server, auf dem meine Domains (Web + Mail laufen). > Das läuft soweit recht gut und erfreulich Spamfrei. > > Ich habe nun das Problem, dass in der Uni der ausgehende Port 25 gesperrt > ist. Nunja, kein Problem, Postfix einfach auf einem zweiten Port (2524) > lauschen lassen, Problem gelöst. Dafür gibt (den zusätzlichen) Submission Port 587. Siehe master.cf. Ich glaube nicht, dass die Uni diesen Port auch gesperrt hat. > > Für meine Domains stimmt das auch, allerdings bin ich noch Besitzer einer > gmx.de Adresse, die ich leider nicht komplett vernachlässigen kann. Dort > kann man ja leider den Port nicht umstellen, und der Relayserver der Uni > kann nicht so konfiguriert werden, die Mail an GMX weiterzuleiten, er > sendet die Mail mit meiner @gmx.de Domain direkt an den Empfänger. Die > Probleme dabei könnt ihr euch ja sicherlich denken. > > Nun würde ich mein Postfix gerne so konfigurieren, dass er als Mailgateway > zwischen mir und dem SMTP Server von GMX fungiert. Er soll also an einem > beliebigen Port lauschen, die Mail (gegen Zugangsdaten versteht sich) > annehmen und mittels den hinterlegten Zugangsdaten an den GMX SMTP > weiterleiten. Soweit ich weiß, bietet GMX auch den Submission Port an. Wenn der also nicht gesperrt ist, ist alles in Butter und du kannst direkt versenden. Oder nutz doch einfach Webmail... [...] Gruß Paul From postfix-list at novuage.de Wed Dec 9 08:20:46 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 09 Dec 2009 08:20:46 +0100 Subject: [Postfixbuch-users] Postfix als Mail-Gateway In-Reply-To: References: Message-ID: <4B1F4FCE.2060001@novuage.de> Hallo, postfix at d-herrmann.de schrieb: > Ich habe nun das Problem, dass in der Uni der ausgehende Port 25 gesperrt > ist. Nunja, kein Problem, Postfix einfach auf einem zweiten Port (2524) > lauschen lassen, Problem gelöst. Für Clients mit SMTP-Auth und Co ist der "submission" Port (587) vorgesehen, würde auch diesen verwenden und nicht dann 2524. > Für meine Domains stimmt das auch, allerdings bin ich noch Besitzer einer > gmx.de Adresse, die ich leider nicht komplett vernachlässigen kann. Dort > kann man ja leider den Port nicht umstellen, und der Relayserver der Uni > kann nicht so konfiguriert werden, die Mail an GMX weiterzuleiten, er > sendet die Mail mit meiner @gmx.de Domain direkt an den Empfänger. Die > Probleme dabei könnt ihr euch ja sicherlich denken. SPF :-) -- Gruß Sascha From kai_postfix at fuerstenberg.ws Wed Dec 9 09:27:17 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 09 Dec 2009 09:27:17 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay In-Reply-To: <4B1E90F3.6080205@novuage.de> References: <4B1E5F84.90002@gmx.de> <4B1E624E.9080106@fuerstenberg.ws> <4B1E90F3.6080205@novuage.de> Message-ID: <4B1F5F65.8030607@fuerstenberg.ws> Sascha Peters schrieb am 08.12.2009 18:46: >> reject_sender_login_mismatch wehrt bei mir ca. 30% des Spams ab. Die >> versuchen immer mit meinen eigenen Adressen einzuliefern. Ist aber eben >> nicht für jeden geeignet. > > Das bedeutet deine User (Authentifizierte) wollen in der Tat so viel > Spam versenden, und dann noch mit deinem Absender? Ich habe noch keinen > Benutzer gehabt dem seine SMTP-Auth Daten missbraucht wurden, oder wo > der PC über diesen Weg zum Versender von Spam wurde. Nein. Die Spammer versuchen bei mir einzuliefern. Mit meiner Adresse als Envelope-From und ohne SMTP-Auth. Ich könnte das natürlich auch weniger restriktiv machen, aber ich habe mich nun mal dafür entschieden. Bevor ich fail2ban verwendet habe, hatte ich regelmäßig einige tausend Zugriffsversuche auf POP3-Postfächer. Über diese kläglichen Wörterbuch- und Namenslisten-Angriffe lach ich mich eher schlapp. Ist halt nur nervig, dass Bandbreite und Verbindungen verbraucht werden, auch wenn es nicht unbedingt ins Gewicht fällt. Außerdem füllt es nur unnötigerweise das Log. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From timo.schoeler at riscworks.net Wed Dec 9 12:34:37 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 09 Dec 2009 12:34:37 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <200911270906.56558@office.a-mazing.net> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> <200911270906.56558@office.a-mazing.net> Message-ID: <4B1F8B4D.7020008@riscworks.net> thus Gregor Hermens spake: > Moin, > > Am Mittwoch, 25. November 2009 schrieb Gregor Hermens: >> Seit gestern abend ist die Zahl >> der abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des normalen >> Wertes abgesackt, ohne das ich bei den angenommenen Mails eine Veränderung >> sehen kann... > > gestern ca 19:50h ist der Wert wieder auf "Normal" hochgeschnellt. Sieht also > so aus, als wäre einfach nur ein Botnetz 2 Tage außer Betrieb gewesen... > > Gruß, > Gregor Hallo, ich kann das hier nur bestätigen; wie sieht es bei Euch aus? Das Problem scheint primär ja zu sein, daß die Spams vom linguistischen Standpunkt aus betrachtet nur schwer (i.e. mit dann auch steigender Tendenz zu false positives) zu parsen sind, mein 'Favorit' ist da die 'Einkäufer gesucht'-Variante... MsG, Timo From ouenjli at imbei.uni-mainz.de Wed Dec 9 12:28:53 2009 From: ouenjli at imbei.uni-mainz.de (ouenjli) Date: Wed, 09 Dec 2009 12:28:53 +0100 Subject: [Postfixbuch-users] vacation und alias Message-ID: <4B1F89F5.7000607@imbei.uni-mainz.de> Hallo zusammen, ich habe versucht vacation für einen alias zu deaktivieren und dabei beobachtet das zum Beispiel: user nachname hat einen alias: vorname.nachname für diesen user funktioniert vacation nicht. user nachname hat einen alias: nachname.vorname für diesen user fuktioniert vacation. beide user haben .forward: \nachname, "/usr/bin/vacation nachname" Das Ziel ist wenn eine Mail an vorname.nachname adressiert ist soll keine vacation notice geben, aber für mail an nachname soll doch eine notice geben. vacation: 3.3.0-0.3 postfix: 2.5.5-1.1 Vielen Dank ouenjli From traced at xpear.de Wed Dec 9 17:18:28 2009 From: traced at xpear.de (Basti) Date: Wed, 09 Dec 2009 17:18:28 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable Message-ID: <421103103186062a97aebb993c760326@localhost> Hi, ich fahre auch meinen eingehenden Mailgates immer die selbe main.cf, diese unterscheiden sich auch nur in myhostname. Gibt es eine Möglichkeit diese Variable "automatisch" zu definieren? Also z.B. dass Postfix sich hier den realen Hostnamen irgendwie schnappt? Hintergrund ist der, dass ich dann einfach wenn ich was ändere einfach die Config mit SCP auf die anderen Server schieben kann, und nicht jedesmal den Hostnamen ändern muss. Danke & viele Grüße Basti From kai_postfix at fuerstenberg.ws Wed Dec 9 17:29:48 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 09 Dec 2009 17:29:48 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <421103103186062a97aebb993c760326@localhost> References: <421103103186062a97aebb993c760326@localhost> Message-ID: <4B1FD07C.1020901@fuerstenberg.ws> Basti schrieb am 09.12.2009 17:18: > ich fahre auch meinen eingehenden Mailgates immer die selbe main.cf, > diese unterscheiden sich auch nur in myhostname. Gibt es eine > Möglichkeit diese Variable "automatisch" zu definieren? Also z.B. > dass Postfix sich hier den realen Hostnamen irgendwie schnappt? > > Hintergrund ist der, dass ich dann einfach wenn ich was ändere > einfach die Config mit SCP auf die anderen Server schieben > kann, und nicht jedesmal den Hostnamen ändern muss. aus der Doku: myhostname (default: see "postconf -d" output) The internet hostname of this mail system. The default is to use the fully-qualified domain name from gethostname(). $myhostname is used as a default value for many other configuration parameters. Insofern bräuchtest du den Parameter wohl gar nicht erst angeben, solange deine Server wissen, wie sie heißen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From postfix at d-herrmann.de Wed Dec 9 19:14:58 2009 From: postfix at d-herrmann.de (postfix at d-herrmann.de) Date: Wed, 9 Dec 2009 19:14:58 +0100 (CET) Subject: [Postfixbuch-users] Postfix als Mail-Gateway In-Reply-To: <4B1F4FCE.2060001@novuage.de> References: <4B1F4FCE.2060001@novuage.de> Message-ID: >> Ich habe nun das Problem, dass in der Uni der ausgehende Port 25 >> gesperrt >> ist. Nunja, kein Problem, Postfix einfach auf einem zweiten Port (2524) >> lauschen lassen, Problem gelöst. > > Für Clients mit SMTP-Auth und Co ist der "submission" Port (587) > vorgesehen, würde auch diesen verwenden und nicht dann 2524. Das ist ja prinzipiell erstmal zweitrangig, da er aber dafür gedacht ist, werde ich ihn einfach nehmen ;) GMX bietet offensichtlich auch den Port an (danke Paul). Ich werde das morgen in der Uni einfach mal ausprobieren. Falls das funktioniert, macht es die Sache natürlich erheblich einfacher. Danke euch beiden. > > >> Für meine Domains stimmt das auch, allerdings bin ich noch Besitzer >> einer >> gmx.de Adresse, die ich leider nicht komplett vernachlässigen kann. Dort >> kann man ja leider den Port nicht umstellen, und der Relayserver der Uni >> kann nicht so konfiguriert werden, die Mail an GMX weiterzuleiten, er >> sendet die Mail mit meiner @gmx.de Domain direkt an den Empfänger. Die >> Probleme dabei könnt ihr euch ja sicherlich denken. > > SPF :-) Korrekt ;) Gruß Daniel From cite+postfix-buch at incertum.net Wed Dec 9 19:36:42 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 9 Dec 2009 19:36:42 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <4B1FD07C.1020901@fuerstenberg.ws> References: <421103103186062a97aebb993c760326@localhost> <4B1FD07C.1020901@fuerstenberg.ws> Message-ID: <20091209183642.GT18506@mail.incertum.net> Hallo Kai, * Kai Fürstenberg : > Basti schrieb am 09.12.2009 17:18: >> ich fahre auch meinen eingehenden Mailgates immer die selbe main.cf, >> diese unterscheiden sich auch nur in myhostname. Gibt es eine >> Möglichkeit diese Variable "automatisch" zu definieren? Also z.B. >> dass Postfix sich hier den realen Hostnamen irgendwie schnappt? >> >> Hintergrund ist der, dass ich dann einfach wenn ich was ändere >> einfach die Config mit SCP auf die anderen Server schieben >> kann, und nicht jedesmal den Hostnamen ändern muss. > > aus der Doku: > myhostname (default: see "postconf -d" output) > > The internet hostname of this mail system. The default is to use the > fully-qualified domain name from gethostname(). $myhostname is used as a > default value for many other configuration parameters. Das mit dem eigenen FQDN ist so eine Sache. Eigentlich steht nirgendwo, daß der Name, den gethostname(2) zurückliefert, qualifiziert sein muß - ich meine, welche Domain sollte da auch gemeint sein? Die NIS-Domain? Die DNS-Domain? Oder gar die LL-Adresse? Wenn man "hostname -f" bei einer /etc/hosts, die keine Zeile für den eigenen Namen enthält, auf die Finger schaut, dann sieht man, daß er ein gethostname(2) macht, darauf dann ein gethostbyname(2) - und das Ergebnis davon hängt dann einzig und allein vom Resolver ab. Ebenso der nächste Schritt, ein gethostbyaddr(2) auf die IP, die er in Schritt zwei zurückkriegt. Das kann jetzt im günstigsten Fall so laufen: 1. gethostname(): mail 2. gethostbyname("mail"): 10.0.0.1 3. gethostbyaddr("10.0.0.1"): mail.example.net Ebenso kann Schritt zwei aber "127.0.0.1" zurückliefern, z.B. bei einer Zeile wie 127.0.0.1 localhost mail in der /etc/hosts. In Schritt drei kommt da dann "localhost" raus. Gehen sie nicht über "Los"... Es ist unter Linux üblich, daß der eigene Hostname, also das Ergebnis von gethostname(2) _nicht_ qualifiziert ist - das haben aber selbst viele Linuxer nicht kapiert (so stand das bis zu einem Bugreport meinerseites falsch im Gentoo-Wiki und ward dergestalt auch in deren Init-Skripten verwurstet). Postfix setzt dann für $mydomain "localdomain" => #fail. Abhilfe ist ein Workaround wie postconf -e "mydomain=$(dnsdomainname)". Oder, um Deine Frage zu beantworten: Nein, das geht nicht. Ciao Stefan P.S: Ananas ftw. -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #197: Human Resources - Menschenmaterial (Konstantin Welke) From traced at xpear.de Wed Dec 9 20:17:41 2009 From: traced at xpear.de (Basti) Date: Wed, 09 Dec 2009 20:17:41 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <20091209183642.GT18506@mail.incertum.net> References: <421103103186062a97aebb993c760326@localhost> <4B1FD07C.1020901@fuerstenberg.ws> <20091209183642.GT18506@mail.incertum.net> Message-ID: <4B1FF7D5.9080805@xpear.de> Stefan Förster schrieb: > Hallo Kai, > > * Kai Fürstenberg : >> Basti schrieb am 09.12.2009 17:18: >>> ich fahre auch meinen eingehenden Mailgates immer die selbe main.cf, >>> diese unterscheiden sich auch nur in myhostname. Gibt es eine >>> Möglichkeit diese Variable "automatisch" zu definieren? Also z.B. >>> dass Postfix sich hier den realen Hostnamen irgendwie schnappt? >>> >>> Hintergrund ist der, dass ich dann einfach wenn ich was ändere >>> einfach die Config mit SCP auf die anderen Server schieben >>> kann, und nicht jedesmal den Hostnamen ändern muss. >> aus der Doku: >> myhostname (default: see "postconf -d" output) >> >> The internet hostname of this mail system. The default is to use the >> fully-qualified domain name from gethostname(). $myhostname is used as a >> default value for many other configuration parameters. > Das wäre natürlich Ideal gewesen ;) > Das mit dem eigenen FQDN ist so eine Sache. Eigentlich steht > nirgendwo, daß der Name, den gethostname(2) zurückliefert, > qualifiziert sein muß - ich meine, welche Domain sollte da auch > gemeint sein? Die NIS-Domain? Die DNS-Domain? Oder gar die LL-Adresse? > > Wenn man "hostname -f" bei einer /etc/hosts, die keine Zeile für den > eigenen Namen enthält, auf die Finger schaut, dann sieht man, daß er > ein gethostname(2) macht, darauf dann ein gethostbyname(2) - und das > Ergebnis davon hängt dann einzig und allein vom Resolver ab. Ebenso > der nächste Schritt, ein gethostbyaddr(2) auf die IP, die er in > Schritt zwei zurückkriegt. > > Das kann jetzt im günstigsten Fall so laufen: > > 1. gethostname(): mail > 2. gethostbyname("mail"): 10.0.0.1 > 3. gethostbyaddr("10.0.0.1"): mail.example.net > > Ebenso kann Schritt zwei aber "127.0.0.1" zurückliefern, z.B. bei > einer Zeile wie > > 127.0.0.1 localhost mail > > in der /etc/hosts. In Schritt drei kommt da dann "localhost" raus. > Gehen sie nicht über "Los"... > > Es ist unter Linux üblich, daß der eigene Hostname, also das Ergebnis > von gethostname(2) _nicht_ qualifiziert ist - das haben aber selbst > viele Linuxer nicht kapiert (so stand das bis zu einem Bugreport > meinerseites falsch im Gentoo-Wiki und ward dergestalt auch in deren > Init-Skripten verwurstet). > > Postfix setzt dann für $mydomain "localdomain" => #fail. > > Abhilfe ist ein Workaround wie postconf -e "mydomain=$(dnsdomainname)". > > Oder, um Deine Frage zu beantworten: Nein, das geht nicht. > Hmm... dann werde ich dsa wohl lieber sein lassen... wäre ja auch zu schön gewesen... Gibt es dann vielleicht die Möglichkeit, diese Variable mit dem Inhalt eines vorher erstellten Textfiles auf dem Server zu füttern? > > Ciao > Stefan Danke schonmal für Eure Antworten! viele Grüße Basti > > P.S: Ananas ftw. Häää? :-) From postfix-list at novuage.de Wed Dec 9 20:31:03 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 09 Dec 2009 20:31:03 +0100 Subject: [Postfixbuch-users] Allgemeine Frage - Client-Relay In-Reply-To: <4B1F5F65.8030607@fuerstenberg.ws> References: <4B1E5F84.90002@gmx.de> <4B1E624E.9080106@fuerstenberg.ws> <4B1E90F3.6080205@novuage.de> <4B1F5F65.8030607@fuerstenberg.ws> Message-ID: <4B1FFAF7.1040405@novuage.de> Kai Fürstenberg schrieb: > Sascha Peters schrieb am 08.12.2009 18:46: >>> reject_sender_login_mismatch wehrt bei mir ca. 30% des Spams ab. Die >>> versuchen immer mit meinen eigenen Adressen einzuliefern. Ist aber eben >>> nicht für jeden geeignet. >> >> Das bedeutet deine User (Authentifizierte) wollen in der Tat so viel >> Spam versenden, und dann noch mit deinem Absender? Ich habe noch keinen >> Benutzer gehabt dem seine SMTP-Auth Daten missbraucht wurden, oder wo >> der PC über diesen Weg zum Versender von Spam wurde. > > Nein. Die Spammer versuchen bei mir einzuliefern. Mit meiner Adresse als > Envelope-From und ohne SMTP-Auth. Ich könnte das natürlich auch weniger > restriktiv machen, aber ich habe mich nun mal dafür entschieden. > > Bevor ich fail2ban verwendet habe, hatte ich regelmäßig einige tausend > Zugriffsversuche auf POP3-Postfächer. Über diese kläglichen Wörterbuch- > und Namenslisten-Angriffe lach ich mich eher schlapp. Ist halt nur > nervig, dass Bandbreite und Verbindungen verbraucht werden, auch wenn es > nicht unbedingt ins Gewicht fällt. Außerdem füllt es nur unnötigerweise > das Log. Sorry, hatte das "login" falsch verstanden in dem Parameter, für mich ist ein Login dann auch SMTP-Auth. Dann verstehe ich was Du meinst. Warum das aber login_mismatch bedeutet... steh da glaub ich gerade auf der Leitung... -- Gruß Sascha From postfix-list at novuage.de Wed Dec 9 20:56:02 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 09 Dec 2009 20:56:02 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <4B1FF7D5.9080805@xpear.de> References: <421103103186062a97aebb993c760326@localhost> <4B1FD07C.1020901@fuerstenberg.ws> <20091209183642.GT18506@mail.incertum.net> <4B1FF7D5.9080805@xpear.de> Message-ID: <4B2000D2.8070007@novuage.de> Basti schrieb: > Hmm... dann werde ich dsa wohl lieber sein lassen... wäre ja auch zu > schön gewesen... > > Gibt es dann vielleicht die Möglichkeit, diese Variable mit dem Inhalt > eines vorher erstellten Textfiles auf dem Server zu füttern? Also bei einem Debian läuft das Standardmäßig so, bau ich aber immer um, daher kann ich das gerade nicht nachsehen. Aber ein kurzes Googeln zeigt: --- Schnipp --- # Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. #myorigin = /etc/mailname --- Schnapp --- Ok, ist auskommentiert und es ist myorigin. Aber das geht dann eventuell auch für andere Variablen. Einfach mal testen... wäre dann ja für dich eine gute Idee. Bei mir existiert die Datei noch #> cat /etc/mailname mail01.novuage.de -- Gruß Sascha From traced at xpear.de Wed Dec 9 20:59:37 2009 From: traced at xpear.de (Basti) Date: Wed, 09 Dec 2009 20:59:37 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <4B2000D2.8070007@novuage.de> References: <421103103186062a97aebb993c760326@localhost> <4B1FD07C.1020901@fuerstenberg.ws> <20091209183642.GT18506@mail.incertum.net> <4B1FF7D5.9080805@xpear.de> <4B2000D2.8070007@novuage.de> Message-ID: <4B2001A9.8010302@xpear.de> Sascha Peters schrieb: > Basti schrieb: >> Hmm... dann werde ich dsa wohl lieber sein lassen... wäre ja auch zu >> schön gewesen... >> >> Gibt es dann vielleicht die Möglichkeit, diese Variable mit dem Inhalt >> eines vorher erstellten Textfiles auf dem Server zu füttern? > > Also bei einem Debian läuft das Standardmäßig so, bau ich aber immer um, > daher kann ich das gerade nicht nachsehen. Aber ein kurzes Googeln zeigt: > > --- Schnipp --- > # Debian specific: Specifying a file name will cause the first > # line of that file to be used as the name. The Debian default > # is /etc/mailname. > #myorigin = /etc/mailname > --- Schnapp --- > > Ok, ist auskommentiert und es ist myorigin. Aber das geht dann eventuell > auch für andere Variablen. Einfach mal testen... wäre dann ja für dich > eine gute Idee. > > Bei mir existiert die Datei noch > > #> cat /etc/mailname > mail01.novuage.de > > Das hab ich gesucht, danke!! viele Grüße Basti From Beat.Jucker at glue.ch Wed Dec 9 21:44:42 2009 From: Beat.Jucker at glue.ch (Beat Jucker) Date: Wed, 9 Dec 2009 21:44:42 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <4B1FF7D5.9080805@xpear.de> References: <421103103186062a97aebb993c760326@localhost> <4B1FD07C.1020901@fuerstenberg.ws> <20091209183642.GT18506@mail.incertum.net> <4B1FF7D5.9080805@xpear.de> Message-ID: <20091209214442.A4073@calvin.glue.ch> > Hmm... dann werde ich dsa wohl lieber sein lassen... wäre ja auch zu > schön gewesen... > > Gibt es dann vielleicht die Möglichkeit, diese Variable mit dem Inhalt > eines vorher erstellten Textfiles auf dem Server zu füttern? Eine andere Moeglichkeit koennte ein Shell Wrapper sein. Wegen unserer Failover Konfiguration hatte ich frueher unser Postfix Startup Script /etc/init.d/local.postfix modifiziert: start) /opt/postfix/sbin/postconf -e "smtp_bind_address=$BIND_ADDRESS" /opt/postfix/sbin/postconf -e "smtp_helo_name=$HELO_NAME" /opt/postfix/sbin/postconf -e "inet_interfaces=$INET_ADDRESS" /opt/postfix/sbin/postfix "$1" Genauso kann man mit anderen Postfix Variablen (zB myhostname) verfahren. Gruss -- Beat From kai_postfix at fuerstenberg.ws Thu Dec 10 15:23:20 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 10 Dec 2009 15:23:20 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <20091209183642.GT18506@mail.incertum.net> References: <421103103186062a97aebb993c760326@localhost> <4B1FD07C.1020901@fuerstenberg.ws> <20091209183642.GT18506@mail.incertum.net> Message-ID: <4B210458.2010207@fuerstenberg.ws> Stefan Förster schrieb am 09.12.2009 19:36: > Eigentlich steht > nirgendwo, daß der Name, den gethostname(2) zurückliefert, > qualifiziert sein muß Der Witz ist aber doch: _Wenn_ er qualifiziert ist, muss ich myhostname nicht gesondert in der main.cf angeben. Basti könnte dann eine Standard main.cf ohne myhostname verwenden, die bei allen Servern gleich ist. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From Helga.Mayer at uni-hohenheim.de Thu Dec 10 23:10:17 2009 From: Helga.Mayer at uni-hohenheim.de (Helga.Mayer at uni-hohenheim.de) Date: Thu, 10 Dec 2009 23:10:17 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: References: Message-ID: <20091210231017.10707bd2ur2su6rt@webmail.uni-hohenheim.de> Beat Jucker schrieb: > >> Hmm... dann werde ich dsa wohl lieber sein lassen... wäre ja auch zu >> schön gewesen... >> >> Gibt es dann vielleicht die Möglichkeit, diese Variable mit dem Inhalt >> eines vorher erstellten Textfiles auf dem Server zu füttern? > > Eine andere Moeglichkeit koennte ein Shell Wrapper sein. Wegen unserer > Failover Konfiguration hatte ich frueher unser Postfix Startup Script > /etc/init.d/local.postfix modifiziert: > > start) > /opt/postfix/sbin/postconf -e "smtp_bind_address=$BIND_ADDRESS" > /opt/postfix/sbin/postconf -e "smtp_helo_name=$HELO_NAME" > /opt/postfix/sbin/postconf -e "inet_interfaces=$INET_ADDRESS" > /opt/postfix/sbin/postfix "$1" > > Genauso kann man mit anderen Postfix Variablen (zB myhostname) verfahren. > > Gruss > -- Beat > wir verwalten unsere Server mit cfengine, weil wir noch ein paar config files mehr - ausser main.cf - verteilen wollen. Geht auf jedem Linux/Unix. Der Rechnername wird so eingesetzt: editfiles: { /etc/postfix/main.cf LocateLineMatching "#myhostname.*" ReplaceLineWith "myhostname = $(fqhost)" } Aus dem Manual: fqhost The fully qualified (DNS/BIND) hostname of the system. Grüsse Helga Mayer From traced at xpear.de Thu Dec 10 23:19:56 2009 From: traced at xpear.de (Basti) Date: Thu, 10 Dec 2009 23:19:56 +0100 Subject: [Postfixbuch-users] Postfix main.cf myhostname-Variable In-Reply-To: <20091210231017.10707bd2ur2su6rt@webmail.uni-hohenheim.de> References: <20091210231017.10707bd2ur2su6rt@webmail.uni-hohenheim.de> Message-ID: <4B21740C.9000907@xpear.de> Helga.Mayer at uni-hohenheim.de schrieb: > > > Beat Jucker schrieb: >> >>> Hmm... dann werde ich dsa wohl lieber sein lassen... wäre ja auch zu >>> schön gewesen... >>> >>> Gibt es dann vielleicht die Möglichkeit, diese Variable mit dem Inhalt >>> eines vorher erstellten Textfiles auf dem Server zu füttern? >> >> Eine andere Moeglichkeit koennte ein Shell Wrapper sein. Wegen unserer >> Failover Konfiguration hatte ich frueher unser Postfix Startup Script >> /etc/init.d/local.postfix modifiziert: >> >> start) >> /opt/postfix/sbin/postconf -e "smtp_bind_address=$BIND_ADDRESS" >> /opt/postfix/sbin/postconf -e "smtp_helo_name=$HELO_NAME" >> /opt/postfix/sbin/postconf -e "inet_interfaces=$INET_ADDRESS" >> /opt/postfix/sbin/postfix "$1" >> >> Genauso kann man mit anderen Postfix Variablen (zB myhostname) verfahren. >> >> Gruss >> -- Beat >> > > wir verwalten unsere Server mit cfengine, weil wir noch ein paar config > files > mehr - ausser main.cf - verteilen wollen. Geht auf jedem Linux/Unix. > Der Rechnername wird so eingesetzt: > > editfiles: > { /etc/postfix/main.cf > LocateLineMatching "#myhostname.*" > ReplaceLineWith "myhostname = $(fqhost)" > } > > Aus dem Manual: > > fqhost > The fully qualified (DNS/BIND) hostname of the system. > > Grüsse > Helga Mayer > > Hallo Helga, werde ich mir gleich mal ansehen, das klingt interessant! Danke & viele Grüße Basti From ffiene at veka.com Fri Dec 11 07:48:12 2009 From: ffiene at veka.com (Frank Fiene) Date: Fri, 11 Dec 2009 07:48:12 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <4626E99F-DD6F-4E46-AE6A-C227216F4C41@veka.com> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241710.44820.p.heinlein@heinlein-support.de> <75C67039-7A9B-4AF9-B689-36B91BAED9C8@veka.com> <4B0CD77D.30501@riscworks.net> <4626E99F-DD6F-4E46-AE6A-C227216F4C41@veka.com> Message-ID: Am 04.12.2009 um 11:00 schrieb Frank Fiene: > So, jetzt mal Butter bei die Fische! > > Ich habe das mit dem MX20 jetzt eine Woche laufen lassen mit der Policy "Drop", also Pakete auf der Firewall wegwerfen, der Rechner, der hinter dem MX20 steht, existiert. > > Die Rejects auf den beiden Mailservern sind von 35 msgs/min auf 22 msgs/min runter und einen Großteil der 13 "fehlenden" Rejects sehe ich im Log des Paketfilters, der Rest wird normal Schwankung sein. > > Noch etwas erstaunliches: die Peaks (so normalerweise um 14 Uhr, Montags um 12 Uhr, da stehen die Amis wohl früher auf! ;-) ) sind wesentlich geringer geworden, von max 200 Rejects/min auf ca. 100! > > Ich würde also mal auf eine Erfolgsquote bei uns auf mindestens 20% tippen. > > Der Einsparungseffekt bei uns ist jetzt wegen dem vergleichweise geringen Traffic ja nicht so groß, aber na ja, für nix? > Das nimmt man also mit, oder? Exakt eine Woche später ist die Anzahl der Rejects auf den Mailservern total eingebrochen. Seit einer Woche liegt die jetzt auf 5-6 pro Minute bei gleichbleibender Anzahl von Sent und Received Mails. Wurde da ein Botnetz durchgestartet? Woher kommt denn das? Ist ja voll geil! Oder hat das so lange gedauert mit dem DNS? Kann ich mir nicht vorstellen! -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From andreas.schulze at datev.de Fri Dec 11 13:25:27 2009 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 11 Dec 2009 13:25:27 +0100 Subject: [Postfixbuch-users] Spam-Spitzen fehlen Message-ID: <20091211122527.GA11358@spider.services.datevnet.de> Hallo, ich hatte in den letzten Monaten auch Spitzen in der Reject-Rate ( bis zu 500% gegenüber dem Tagesmittel ) Vermutete Quelle waren stundenweise gemietete Botnetze. Am Dienstag hatte ich die letzte Spitze. Da ist irgendwas Größeres kaputtgegangen. .. aber das stört nicht ;-) -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : GnuPG-Signatur.asc Dateityp : application/pgp-signature Dateigröße : 315 bytes Beschreibung: digitale Signatur dieser Nachricht von Andreas Schulze URL : From postfixbuch at spam-hosting.com Fri Dec 11 15:39:57 2009 From: postfixbuch at spam-hosting.com (postfixbuch at spam-hosting.com) Date: Fri, 11 Dec 2009 15:39:57 +0100 Subject: [Postfixbuch-users] Spam-Spitzen fehlen In-Reply-To: <20091211122527.GA11358@spider.services.datevnet.de> References: <20091211122527.GA11358@spider.services.datevnet.de> Message-ID: <4B2259BD.5000104@spam-hosting.com> Hi, bei mir (4 Server) ist die Rate seit ca. Juni gleich bleibend, allerdings sind die SSH- und andere Brute-Force-Angriffe seit Montag 23 Uhr um über 1.000 Stück täglich angestiegen. -- signatur usw. Am 11.12.2009 13:25, schrieb Andreas Schulze: > Hallo, > > ich hatte in den letzten Monaten auch Spitzen in der Reject-Rate > ( bis zu 500% gegenüber dem Tagesmittel ) > Vermutete Quelle waren stundenweise gemietete Botnetze. > Am Dienstag hatte ich die letzte Spitze. Da ist irgendwas Größeres kaputtgegangen. > .. aber das stört nicht ;-) From max at grobecker-wtal.de Sun Dec 13 21:34:17 2009 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Sun, 13 Dec 2009 21:34:17 +0100 Subject: [Postfixbuch-users] Spam-Spitzen fehlen In-Reply-To: <4B2259BD.5000104@spam-hosting.com> References: <20091211122527.GA11358@spider.services.datevnet.de> <4B2259BD.5000104@spam-hosting.com> Message-ID: <4B254FC9.8070809@grobecker-wtal.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Moin, seit etwa zwei Wochen ist bei mir die Reject-Rate um gut 40% runtergegangen. Ich habe absolut keine Veränderungen vorgenommen, ist da vielleicht wieder ein Rechenzentrum vom Netz genommen worden? ;-) Viele Grüße aus dem Tal Max postfixbuch at spam-hosting.com schrieb: > Hi, > > bei mir (4 Server) ist die Rate seit ca. Juni gleich bleibend, > allerdings sind die SSH- und andere Brute-Force-Angriffe seit Montag 23 > Uhr um über 1.000 Stück täglich angestiegen. > > -- > signatur usw. > > > Am 11.12.2009 13:25, schrieb Andreas Schulze: >> Hallo, >> >> ich hatte in den letzten Monaten auch Spitzen in der Reject-Rate >> ( bis zu 500% gegenüber dem Tagesmittel ) >> Vermutete Quelle waren stundenweise gemietete Botnetze. >> Am Dienstag hatte ich die letzte Spitze. Da ist irgendwas Größeres kaputtgegangen. >> .. aber das stört nicht ;-) > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAkslT8kACgkQlKb5BRGc3FIoPwCgwHfWzKbplZxfkEZTf3u3SwjN +34AoLbG+cdlFty7z7TyptLcg+9n0eAr =eWiq -----END PGP SIGNATURE----- From postfix-list at novuage.de Mon Dec 14 12:31:18 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 12:31:18 +0100 Subject: [Postfixbuch-users] DKIM und Amavis In-Reply-To: <4B1960D9.9090608@novuage.de> References: <4B15836E.9020201@novuage.de> <20091202142656.ilh87q8f40s808k0@buero.nausch.org> <4B169A1C.9000707@novuage.de> <1259776829.2929.5.camel@compaq-evo.nausch.org> <4B16B806.1080001@novuage.de> <537705005.20091202214430@dlutt.de> <4B16EFE3.4080703@novuage.de> <20091203101431.8yauznomscg0w8go@buero.nausch.org> <4B1960D9.9090608@novuage.de> Message-ID: <4B262206.2030002@novuage.de> Sascha Peters schrieb: > Michael Nausch schrieb: >> Magst mir mal eine Testmessage an michael at nausch.org schicken? > > Testmail war seit heute Mittag auf dem Weg. Kannste ja mal gucken ob das > "valide" ist. War die Mail angekommen, valide? Jemand eine Idee warum noch immer "amavisd-new testkeys" Fehler Ausgibt. --- Schnipp --- #> amavisd-new testkeys TESTING: dkim2009112701._domainkey.test.novuage.de => fail (message has been altered) #> --- Schnapp --- -- Gruß Sascha From mailing-lists at thomasschwenski.de Mon Dec 14 14:24:24 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Mon, 14 Dec 2009 14:24:24 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten Message-ID: <4B263C88.3080501@thomasschwenski.de> Hallo, ich bräuchte mal euren Rat: Mein Relayserver soll per Getmail oder Fetchmail ein externes Postfach abfragen und die Mail dann (unter Umgehung von Amavisd-New) mit verändertem Envelope-To an Postfix auf Port 10026 zur weiteren Bearbeitung weiterleiten. Leider grübel ich gerade über die Umsetzung, da ja nicht nur die Weiterleitung auf dem abweichenden Port eine Rolle spielt, sondern auch noch der Envelope-To angepasst werden soll, während die eigentliche E-Mail und die E-Mail-Header unverändert sein müssen. Habt Ihr dafür Vorschläge? Thomas From p.heinlein at heinlein-support.de Mon Dec 14 14:34:40 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 14 Dec 2009 14:34:40 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B263C88.3080501@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> Message-ID: <200912141434.40990.p.heinlein@heinlein-support.de> Am Montag, 14. Dezember 2009 14:24:24 schrieb Thomas Schwenski: > noch der Envelope-To angepasst werden soll, während die eigentliche > E-Mail und die E-Mail-Header unverändert sein müssen. > Habt Ihr dafür Vorschläge? Äh... vielleicht sagst Du erstmal, wo da das Problem sein soll? Ich sehe gerade kein Problem, insofern weiß ich nicht, welche Antwort Dir da helfen soll. Wenn Du eine ganze normale Fetchmail-Config machst und Du da ein '...is XXX here...' angibst, dann WIRD die E-Mail doch an XXX gesendet und das IST doch ein umgeschriebener Envelope. Also: Es geht out-of-the-box. Ansonsten bitte genauer erklären was Dein Problem ist und warum es nicht gehen soll. Peer From werner at aloah-from-hell.de Mon Dec 14 16:44:14 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Mon, 14 Dec 2009 16:44:14 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter Message-ID: <4B265D4E.2090702@aloah-from-hell.de> Hallo zusammen, es existiert ein Mailserver, der mittels Milter/DKIM-Filter DKIM-signieren soll. Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden und entsprechend der öffentliche Key im DNS publiziert werden oder *nur ein Keypair* mit dem ihr dann alle Domains im DNS ausstattet? Grüsse, Werner From postfix-list at novuage.de Mon Dec 14 16:51:09 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 16:51:09 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B265D4E.2090702@aloah-from-hell.de> References: <4B265D4E.2090702@aloah-from-hell.de> Message-ID: <4B265EED.5050807@novuage.de> Werner Detter schrieb: > es existiert ein Mailserver, der mittels Milter/DKIM-Filter DKIM-signieren soll. > > Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden und entsprechend > der öffentliche Key im DNS publiziert werden oder *nur ein Keypair* mit dem ihr > dann alle Domains im DNS ausstattet? Es ist denke ich nicht eine Frage des "muss" sondern, was Du willst. Es geht beides. Sorry wenn ich da an die Liste noch eine Frage anhänge: Wenn man das mit amavisd-new macht, und ein SMTP-Auth User nimmt einen Absender der auch über meinen Server läuft, dann signiert der Server diese E-Mail auch mit dem Key, ob es der gleiche, oder einer für eine andere Domain ist. Da so wie ich das verstanden habe aber DKIM die Header-Informationen schützen soll, und nicht nur zeigen Soll es kommt von Server XY, ist doch hier streng genommen eine Lücke, oder? Wenn ich also einen SMTP-Auth Login habe für mail.jpberlin.de (was ich ja habe) und als Absender Peers "heinlein-support.de" Adresse verwende, dann würde er in den hier bekannten Amavisd-new Scenarien doch ach eine Valide E-Mail versenden mit den Infos die zeigen sollen das Wirklich Peer und nicht "nur" der Server dies versendet hat, oder? -- Gruß Sascha From werner at aloah-from-hell.de Mon Dec 14 16:55:51 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Mon, 14 Dec 2009 16:55:51 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B265EED.5050807@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> Message-ID: <4B266007.7070400@aloah-from-hell.de> Am 14.12.09 16:51, schrieb Sascha Peters: > Werner Detter schrieb: >> es existiert ein Mailserver, der mittels Milter/DKIM-Filter >> DKIM-signieren soll. >> >> Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden und >> entsprechend >> der öffentliche Key im DNS publiziert werden oder *nur ein Keypair* >> mit dem ihr >> dann alle Domains im DNS ausstattet? > > Es ist denke ich nicht eine Frage des "muss" sondern, was Du willst. Es > geht beides. Sorry wenn ich da an die Liste noch eine Frage anhänge: Ich weiss, dass beides geht - was aber ist denn "best practice" ? Das will ich wissen. Ciao, Werner From postfix-list at novuage.de Mon Dec 14 17:00:57 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 17:00:57 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B266007.7070400@aloah-from-hell.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <4B266007.7070400@aloah-from-hell.de> Message-ID: <4B266139.2040206@novuage.de> Werner Detter schrieb: > Am 14.12.09 16:51, schrieb Sascha Peters: >> Werner Detter schrieb: >>> es existiert ein Mailserver, der mittels Milter/DKIM-Filter >>> DKIM-signieren soll. >>> >>> Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden und >>> entsprechend >>> der öffentliche Key im DNS publiziert werden oder *nur ein Keypair* >>> mit dem ihr >>> dann alle Domains im DNS ausstattet? >> Es ist denke ich nicht eine Frage des "muss" sondern, was Du willst. Es >> geht beides. Sorry wenn ich da an die Liste noch eine Frage anhänge: > > Ich weiss, dass beides geht - was aber ist denn "best practice" ? Das > will ich wissen. weiß nicht, ich habe momentan für jede Domain einen eigenen, aber aktuell sind das auch nur 3 Domains :) -- Gruß Sascha From mailing-lists at thomasschwenski.de Mon Dec 14 17:13:40 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Mon, 14 Dec 2009 17:13:40 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <200912141434.40990.p.heinlein@heinlein-support.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> Message-ID: <4B266434.7060303@thomasschwenski.de> Hallo Peer, > Wenn Du eine ganze normale Fetchmail-Config machst und Du da ein > > '...is XXX here...' > > angibst, dann WIRD die E-Mail doch an XXX gesendet und das IST doch ein > umgeschriebener Envelope. > > Also: Es geht out-of-the-box. Ansonsten bitte genauer erklären was Dein > Problem ist und warum es nicht gehen soll. > Soweit war ich auch schon gekommen. Das eigentliche Problem liegt daran, dass es sich um einen Relayserver handelt, der ausschließlich weiterreicht (Vielleicht ist das aber auch noch nicht das große Ding.) und vor allem, dass die Mail an Amavis vorbei direkt auf 127.0.0.1:10026 an Postfix wieder zurückgegeben werden soll. Ist so etwas ausschließlich mit getmail/fetchmail machbar, oder muss ich da sendmail/procmail in die entsprechende Konfiguration einbinden? Thomas From postfix-list at novuage.de Mon Dec 14 17:29:34 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 17:29:34 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B266434.7060303@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> Message-ID: <4B2667EE.6000006@novuage.de> Thomas Schwenski schrieb: > Hallo Peer, >> Wenn Du eine ganze normale Fetchmail-Config machst und Du da ein >> >> '...is XXX here...' >> >> angibst, dann WIRD die E-Mail doch an XXX gesendet und das IST doch >> ein umgeschriebener Envelope. >> >> Also: Es geht out-of-the-box. Ansonsten bitte genauer erklären was >> Dein Problem ist und warum es nicht gehen soll. >> > Soweit war ich auch schon gekommen. > Das eigentliche Problem liegt daran, dass es sich um einen Relayserver > handelt, der ausschließlich weiterreicht > (Vielleicht ist das aber auch noch nicht das große Ding.) Nicht das ich wüßte, habe fetchmail schon lange nicht mehr genutzt, aber der Envelope wird doch auch vom Relay nicht geändert, sondern auch für die Weiterleitung genutzt. Da sollte also kein Problem vorliegen. --- Schnipp --- poll POP3SERVER with proto POP3 timeout 120 user 'smtpauthuser' there with password 'password' is 'ziel at domain.tld' here options keep smtphost 127.0.0.1/10026 --- Schnapp --- Ist nur kurz bei Google rausgekommen, eventuell noch mal "man fetchmailrc" und hier "http://www.msexchangefaq.de/tools/fetchmail.htm" > und vor allem, dass die Mail an Amavis vorbei direkt auf 127.0.0.1:10026 > an Postfix wieder zurückgegeben werden soll. Hier gibt man doch in der Konfiguration an wohin die E-Mail gehen soll. Wo ist dann hier das Problem? -- Gruß Sascha From technoworx at gmx.de Mon Dec 14 18:04:05 2009 From: technoworx at gmx.de (Alexander Stoll) Date: Mon, 14 Dec 2009 18:04:05 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B266434.7060303@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> Message-ID: <4B267005.2000007@gmx.de> Am 14.12.2009 17:13, schrieb Thomas Schwenski: > Das eigentliche Problem liegt daran, dass es sich um einen Relayserver > handelt, der ausschließlich weiterreicht Wo und warum ist das ein Problem??? > (Vielleicht ist das aber auch noch nicht das große Ding.) > und vor allem, dass die Mail an Amavis vorbei direkt auf 127.0.0.1:10026 > an Postfix wieder zurückgegeben werden soll. Du kannst z.B. fetchmail die Adresse + Port definieren an die es einliefern soll, als auch die Envelope Adresse... Hast Du überhaupt mal die Doku zu fetchmail durchgelesen??? Da kommen mir Zweifel... > Ist so etwas ausschließlich mit getmail/fetchmail machbar, oder muss ich > da sendmail/procmail in die entsprechende Konfiguration einbinden? _Dein_ Hauptproblem ist, dass hier kaum jemand nachvollziehen kann worin und warum das Setup problematisch sein soll und wo die Schwierigkeit liegt, die Du umschiffen willst, bzw. wo Du nicht weiterkommst. Vielleicht machst Du Dir kurz die Mühe die Topologie eindeutig und erschöpfend zu skizzieren und genau Deine Schwierigkeiten bei der Umsetzung zu erklären, damit man Dir zielgerichtet helfen kann. Gruß, AS From cite+postfix-buch at incertum.net Mon Dec 14 19:02:02 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:02:02 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B265EED.5050807@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> Message-ID: <20091214180202.GA3125@mail.incertum.net> * Sascha Peters : > Wenn ich also einen SMTP-Auth Login habe für mail.jpberlin.de (was ich > ja habe) und als Absender Peers "heinlein-support.de" Adresse verwende, > dann würde er in den hier bekannten Amavisd-new Scenarien doch ach eine > Valide E-Mail versenden mit den Infos die zeigen sollen das Wirklich > Peer und nicht "nur" der Server dies versendet hat, oder? Wenn Du über Peers Serrver mit seiner Absenderadresse schreiben darfst gehört sich das auch mit DKIM signiert. Hat den Vorteil, daß Du Dich nachher nicht rausreden kannst, wenn Peer Dich mit der neunschwänzigen Katze verfolgt - Dein User steht ja wahrscheinlich in den Headern. Signiert. Leugnen zwecklos. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 I drank what? - Socrates From cite+postfix-buch at incertum.net Mon Dec 14 19:04:02 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:04:02 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B266007.7070400@aloah-from-hell.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <4B266007.7070400@aloah-from-hell.de> Message-ID: <20091214180402.GB3125@mail.incertum.net> * Werner Detter : >>> Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden >>> und entsprechend der öffentliche Key im DNS publiziert werden >>> oder *nur ein Keypair* mit dem ihr dann alle Domains im DNS >>> ausstattet? Wo die meiste Kohle bei der wenigsten Arbeit abfällt. Eigenene Keys kosten halt dann extra. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #139: AOL-CD - Das wichtigste Werkzeug des gemeinen Spammers oder Trolls in Deutschland. (Marc Haber) From postfix-list at novuage.de Mon Dec 14 19:05:17 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:05:17 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214180202.GA3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> Message-ID: <4B267E5D.70806@novuage.de> Stefan Förster schrieb: > * Sascha Peters : >> Wenn ich also einen SMTP-Auth Login habe für mail.jpberlin.de (was ich >> ja habe) und als Absender Peers "heinlein-support.de" Adresse verwende, >> dann würde er in den hier bekannten Amavisd-new Scenarien doch ach eine >> Valide E-Mail versenden mit den Infos die zeigen sollen das Wirklich >> Peer und nicht "nur" der Server dies versendet hat, oder? > > Wenn Du über Peers Serrver mit seiner Absenderadresse schreiben > darfst gehört sich das auch mit DKIM signiert. Hat den Vorteil, daß Du > Dich nachher nicht rausreden kannst, wenn Peer Dich mit der > neunschwänzigen Katze verfolgt - Dein User steht ja wahrscheinlich in > den Headern. Signiert. Leugnen zwecklos. Das man herausfinden kann das ich das war, bzw. welche Kennung ist mir klar. Aber der Empfänger will sich ja darauf verlassen das es wirklich der Absender war der Ihm etwas (was auch immer) gesendet hat. Und da könnte man ja argumentieren, dazu wurde es auch Signiert. Denn Sonst kann man ja auch anhand der Herkunft und der Benutzer genau das gleicher herausfinden, nämlich das ich das gesendet habe. -- Gruß Sascha From cite+postfix-buch at incertum.net Mon Dec 14 19:14:13 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:14:13 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B267E5D.70806@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> Message-ID: <20091214181413.GE3125@mail.incertum.net> * Sascha Peters : > Das man herausfinden kann das ich das war, bzw. welche Kennung ist mir > klar. Aber der Empfänger will sich ja darauf verlassen das es wirklich > der Absender war der Ihm etwas (was auch immer) gesendet hat. Und da > könnte man ja argumentieren, dazu wurde es auch Signiert. Nach einer Lobotomie vielleicht. Mit intakter grauer Substanz greift man dazu zu S/MIME, PGP oder Voodoo. > Denn Sonst kann man ja auch anhand der Herkunft und der Benutzer genau > das gleicher herausfinden, nämlich das ich das gesendet habe. Schnickschnack. DKIM verifiziert keine Personen. Und amavis kann gleich zweimal nicht wissen, ob Du mit Peers Adresse was senden darfst oder nicht. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #277: GIGA - Der WDR-Computerclub in Farbe. (Kai Fett) From mailing-lists at thomasschwenski.de Mon Dec 14 19:15:43 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Mon, 14 Dec 2009 19:15:43 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B267005.2000007@gmx.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> <4B267005.2000007@gmx.de> Message-ID: <4B2680CF.3000308@thomasschwenski.de> Hallo, >> und vor allem, dass die Mail an Amavis vorbei direkt auf 127.0.0.1:10026 >> an Postfix wieder zurückgegeben werden soll. > Du kannst z.B. fetchmail die Adresse + Port definieren an die es > einliefern soll, als auch die Envelope Adresse... Das war die Info, die mir gefehlt hatte. > Hast Du überhaupt mal die Doku zu fetchmail durchgelesen??? Da kommen > mir Zweifel... Du magst zweifeln, aber nachdem ich mir erst getmail und danach fetchmail angeschaut hatte, habe ich irgendwann abgebrochen um zu fragen. Was ist überhaupt von beiden aktuell besser? Irgendwie hatte ich eine (schon ältere) Empfehlung für getmail in Erinnerung. > Vielleicht machst Du Dir kurz die Mühe die Topologie eindeutig und > erschöpfend zu skizzieren und genau Deine Schwierigkeiten bei der > Umsetzung zu erklären, damit man Dir zielgerichtet helfen kann. Das Problem ist ja nun schon fast geklärt, aber der Vollständigkeit halber: (Internet) -> Relayserver (DMZ) -> Exchange-Server(Intranet) Auf dem Relayserver: Postfix(+Postgrey+PolicyD-Weight) -> Amavis -> Postfix(:10026) Fetchmail/Getmail soll die Mail nun direkt an Postfix(:10026) einliefern, da ein effektiver REJECT ja nun nicht mehr möglich bzw. nicht sehr sinnvoll ist. Allerdings kommt mir gerade noch ein anderes "Problem" (komplett losgelöst vom obigen) in den Sinn. Wie habt Ihr eure PreQueue-Filtering-Systeme konfiguriert, damit per Fetchmail/Getmail eingelieferte Mails trotzdem auf Viren/Spam gecheckt, dann aber nicht REJECTed, sondern nur getaggt werden, während sonst im PreQueue-Stil eben REJECTed wird? Löst Ihr das über 2 Amavisd-New-Instanzen oder was ist da machbar? Thomas From postfix-list at novuage.de Mon Dec 14 19:17:10 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:17:10 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214181413.GE3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> Message-ID: <4B268126.2020908@novuage.de> Stefan Förster schrieb: > * Sascha Peters : >> Das man herausfinden kann das ich das war, bzw. welche Kennung ist mir >> klar. Aber der Empfänger will sich ja darauf verlassen das es wirklich >> der Absender war der Ihm etwas (was auch immer) gesendet hat. Und da >> könnte man ja argumentieren, dazu wurde es auch Signiert. > > Nach einer Lobotomie vielleicht. Mit intakter grauer Substanz greift > man dazu zu S/MIME, PGP oder Voodoo. Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain diesen Key. >> Denn Sonst kann man ja auch anhand der Herkunft und der Benutzer genau >> das gleicher herausfinden, nämlich das ich das gesendet habe. > > Schnickschnack. DKIM verifiziert keine Personen. Und amavis kann > gleich zweimal nicht wissen, ob Du mit Peers Adresse was senden darfst > oder nicht. Nur weil amavis was nicht weiß, heißt es ja nicht das es auch korrekt so ist. Man kann ihm viel sagen, oder vorher schon diese Sachen "zulassen", oder eben nicht. Mit Postfix Beispielsweise. -- Gruß Sascha From cite+postfix-buch at incertum.net Mon Dec 14 19:21:09 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:21:09 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B268126.2020908@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> Message-ID: <20091214182108.GI3125@mail.incertum.net> * Sascha Peters : > Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern > Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain > diesen Key. Ich greife zu DKIM, weil ich als sendende Organisation nachweisen will, daß die Mails berechtigterweise mit dem Absender gesendet wurden, den sie tragen. Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber das kann er besser als ich. >> Schnickschnack. DKIM verifiziert keine Personen. Und amavis kann >> gleich zweimal nicht wissen, ob Du mit Peers Adresse was senden darfst >> oder nicht. > > Nur weil amavis was nicht weiß, heißt es ja nicht das es auch korrekt so > ist. Man kann ihm viel sagen, oder vorher schon diese Sachen "zulassen", > oder eben nicht. Mit Postfix Beispielsweise. Das hat jetzt aber gedauert. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 vi .emacs From cite+postfix-buch at incertum.net Mon Dec 14 19:23:18 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:23:18 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214182108.GI3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> Message-ID: <20091214182318.GJ3125@mail.incertum.net> * Stefan Förster : > * Sascha Peters : > > Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern > > Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain > > diesen Key. > > Ich greife zu DKIM, weil ich als sendende Organisation nachweisen > will, daß die Mails berechtigterweise mit dem Absender gesendet > wurden, den sie tragen. s/dem Absender/der Absendedomain im Evnelope oder im From-Header/g From listen at papernet.de Mon Dec 14 19:24:10 2009 From: listen at papernet.de (Matthias Ebner) Date: Mon, 14 Dec 2009 19:24:10 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B268126.2020908@novuage.de> Message-ID: <002101ca7cea$a2244d40$0601a8c0@emnpc2> Sascha Peters schrieb am Montag, den 14. Dezember 2009 > Und wer würde wozu zu DKIM greifen? Meinte auch keine > Personen sondern > Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain > diesen Key. Würde mich auch mal interessieren ;-) In letzter Zeit fragen immer wieder mal Leute an, können aber die Frage nach dem "Warum?" und dem Nutzen, den sie sich davon versprechen, nicht beantworten. Man hat halt mal drüber gelesen. Für mich persöhnlich ist DKIM aktuell noch ein "Feature" ohne wirklichen Praxis-Nutzen. Lasse mich aber gerne vom Gegenteil überzeugen ;-) LG Matthias From cite+postfix-buch at incertum.net Mon Dec 14 19:25:36 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:25:36 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <002101ca7cea$a2244d40$0601a8c0@emnpc2> References: <4B268126.2020908@novuage.de> <002101ca7cea$a2244d40$0601a8c0@emnpc2> Message-ID: <20091214182536.GK3125@mail.incertum.net> * Matthias Ebner : > Für mich persöhnlich ist DKIM aktuell noch ein "Feature" ohne wirklichen > Praxis-Nutzen. Neben dem, was ich irgendwo anders schrieb: Es ist toll, um massig Mails an Freemailer auszuliefern. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 Live to Code, Code to Live! From postfix-list at novuage.de Mon Dec 14 19:27:24 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:27:24 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214182108.GI3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> Message-ID: <4B26838C.3010007@novuage.de> Stefan Förster schrieb: > Ich greife zu DKIM, weil ich als sendende Organisation nachweisen > will, daß die Mails berechtigterweise mit dem Absender gesendet > wurden, den sie tragen. Ok, auch auf die Gefahr hin was zu missverstehen, wenn ich aber mit Peers Absender sende, dann ist das nicht der Fall, und trotzdem ist die DKIM Signatur Valide. Das Produkt was also beim Ziel ankommt, ist Valide aber nicht vom korrekten Absender. Oder nicht? >>> Schnickschnack. DKIM verifiziert keine Personen. Und amavis kann >>> gleich zweimal nicht wissen, ob Du mit Peers Adresse was senden darfst >>> oder nicht. >> Nur weil amavis was nicht weiß, heißt es ja nicht das es auch korrekt so >> ist. Man kann ihm viel sagen, oder vorher schon diese Sachen "zulassen", >> oder eben nicht. Mit Postfix Beispielsweise. > > Das hat jetzt aber gedauert. Gedauert... ich verstehe das noch immer nicht. Wenn ich mit DKIM den Absender (Adresse) verifizieren will, das oben aber nicht geht, wenn ich korrekt mit Peers Absender senden kann, dann frage ich mich warum DKIM. Das was ich über Postfix gesagt habe kann ich auch ohne DKIM machen, hat also nur Sekundär was damit zu tun. Ich würde das nun so zusammenfassen, das wenn man DKIM einsetzt, jeder Domain, bzw. Kunden ein Schlüsselpaar ausstellt und dafür Sorge trägt das nur diese den Absender nutzen. Und zwar so das es technisch nicht zugelassen wird, nicht das man es nur im Zweifel beweisen könnte wenn man in die Logs schaut. oder? -- Gruß Sascha From cite+postfix-buch at incertum.net Mon Dec 14 19:30:38 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:30:38 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B26838C.3010007@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <4B26838C.3010007@novuage.de> Message-ID: <20091214183038.GL3125@mail.incertum.net> Hallo Sascha, * Sascha Peters : > Stefan Förster schrieb: >> Ich greife zu DKIM, weil ich als sendende Organisation nachweisen >> will, daß die Mails berechtigterweise mit dem Absender gesendet >> wurden, den sie tragen. > > Ok, auch auf die Gefahr hin was zu missverstehen, wenn ich aber mit > Peers Absender sende, dann ist das nicht der Fall, und trotzdem ist die > DKIM Signatur Valide. Das Produkt was also beim Ziel ankommt, ist Valide > aber nicht vom korrekten Absender. Oder nicht? Domaindomaindomaindomaindomain. >> Das hat jetzt aber gedauert. > > Gedauert... ich verstehe das noch immer nicht. Wenn ich mit DKIM den > Absender (Adresse) verifizieren will, das oben aber nicht geht, wenn ich > korrekt mit Peers Absender senden kann, dann frage ich mich warum DKIM. Zurück auf Start. Deine Ursprungsfrage: "Aber wenn ich mit Peers Adresse versende, signiert das amavisd-new doch trotzdem. Ist das dann nicht sinnlos?" Dieser Frage liegt die irrige Annahme zugrunde, DKIM wolle Aussagen über die Authentizität von Personen treffen. Das will es nicht - es verifiziert sendende Domains. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #203: Öffentliche Adressverzeichnisse - Spammers Umschreibung für das Usenet. (Marc Haber) From postfix-list at novuage.de Mon Dec 14 19:31:42 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:31:42 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <002101ca7cea$a2244d40$0601a8c0@emnpc2> References: <002101ca7cea$a2244d40$0601a8c0@emnpc2> Message-ID: <4B26848E.1060705@novuage.de> Matthias Ebner schrieb: > Sascha Peters schrieb am Montag, den 14. Dezember 2009 >> Und wer würde wozu zu DKIM greifen? Meinte auch keine >> Personen sondern >> Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain >> diesen Key. > > Würde mich auch mal interessieren ;-) > In letzter Zeit fragen immer wieder mal Leute an, können aber die Frage nach > dem "Warum?" und dem Nutzen, den sie sich davon versprechen, nicht > beantworten. Man hat halt mal drüber gelesen. > > Für mich persöhnlich ist DKIM aktuell noch ein "Feature" ohne wirklichen > Praxis-Nutzen. > Lasse mich aber gerne vom Gegenteil überzeugen ;-) Also es war nun nicht sonderlich schwer einzurichten, wenn es auch noch immer Fehler bei mir wirft dich ich nicht verstehe. Und wenn andere das Toll finden stört es nicht das zu tun. Aber gerade auf Servern die sehr viele Kunden und Domains haben, wäre es doch ein Problem wenn da jeder die Domain des anderen als Absender einsetzen könnte. Dann würde DKIM hier doch das verfehlen was er eigentlich tun sollte. Wenn das was ich verstanden habe was er tun soll korrekt ist ;-) Und das ist bestätigen das der Absender (Domain) korrekt ist, und auf dem Weg sich nicht geändert hat. -- Gruß Sascha From postfix-list at novuage.de Mon Dec 14 19:36:42 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:36:42 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214183038.GL3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <4B26838C.3010007@novuage.de> <20091214183038.GL3125@mail.incertum.net> Message-ID: <4B2685BA.2050707@novuage.de> Stefan Förster schrieb: > Zurück auf Start. Ok > Deine Ursprungsfrage: "Aber wenn ich mit Peers Adresse versende, > signiert das amavisd-new doch trotzdem. Ist das dann nicht sinnlos?" > > Dieser Frage liegt die irrige Annahme zugrunde, DKIM wolle Aussagen > über die Authentizität von Personen treffen. Das will es nicht - es > verifiziert sendende Domains. Nicht zwingend, die Domain würde für mich eine Organisation darstellen, und auch hier wäre es ja so das ich nicht zu der Organisation gehöre die im Absender steht. Das ist gerade mein Problem. Ich würde das aktuell so verstehen, das DKIM sicherstellt das der Signierte Inhalte (diverse Header) vom Server wo die E-Mail versendet wurde nicht verändert worden ist. Und der Server selbst berechtigt ist die Domain als Absender zu nutzen. Es macht mir aber nicht zwingend deutlich, das die E-Mail auch von der Organisation (ungleich dem ISP) kommt dem die Absenderdomain gehört. Ich könnte hier also feststellen das der Server mit einem korrekten Absender versendet, aber nicht das auch der Inhalt von diesem Absender bzw. eben der Organisation kommt. Sorry schon mal für das Hin und Her. -- Gruß Sascha From postfix-list at novuage.de Mon Dec 14 19:39:23 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:39:23 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B2680CF.3000308@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> <4B267005.2000007@gmx.de> <4B2680CF.3000308@thomasschwenski.de> Message-ID: <4B26865B.3020604@novuage.de> Thomas Schwenski schrieb: > Allerdings kommt mir gerade noch ein anderes "Problem" (komplett > losgelöst vom obigen) in den Sinn. > > Wie habt Ihr eure PreQueue-Filtering-Systeme konfiguriert, damit per > Fetchmail/Getmail eingelieferte Mails trotzdem auf Viren/Spam gecheckt, > dann aber nicht REJECTed, sondern nur getaggt werden, während sonst im > PreQueue-Stil eben REJECTed wird? > > Löst Ihr das über 2 Amavisd-New-Instanzen oder was ist da machbar? Ähm, warum sendet das Internet nicht per SMTP direkt an den Relay? Das würde vieles ein bisschen leichter machen. Warum muss der Umweg denn über ein POP/Fetchmail sein? Mag sein das es dafür Grunde gibt, diese sind aber bisher noch nicht erwähnt worden und würden obiges Problem ja auflösen. Dann könntest Du rejecten. -- Gruß Sascha From n.gerhards at ib-gerhards.de Mon Dec 14 19:39:57 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Mon, 14 Dec 2009 19:39:57 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <002101ca7cea$a2244d40$0601a8c0@emnpc2> References: <002101ca7cea$a2244d40$0601a8c0@emnpc2> Message-ID: <4B26867D.2000707@ib-gerhards.de> Aktuell könntest Du einen Artikel zu DKIM von Patrick Koetter in der c't 26, S. 190 ff lesen. Aus dem Füllhorn seiner RFC-konformen Vorschläge: - Einlieferung _nur_ noch über Port 587 - Sender nur mit SMTP-Auth und möglichst TLS - dazu noch ein wenig DKIM Uff, das hieße für mich beispielsweise, 4 Server komplett neu aufzusetzen, im laufenden Betrieb usw. Darüber denke ich also höchstens noch mal nach, wenn ich sowoeso einen nagelneuen Server in Ruhe aufsetze und gründlich testen kann, bevor ich ihn auf die Menschheit (=meine Kunden) loslasse. Aber falls jemand hier Lust hat, einen solchen exemplarischen Testserver mit mir aufzubauen: ich stelle einen zur Verfügung und verfasse ein ausführliches HowTo hier für die Liste. Bedingung: Server läuft unter debian lenny. Na, wie wärs? Viele Grüße Norbert Matthias Ebner schrieb: > Sascha Peters schrieb am Montag, den 14. Dezember 2009 > >> Und wer würde wozu zu DKIM greifen? Meinte auch keine >> Personen sondern >> Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain >> diesen Key. > > Würde mich auch mal interessieren ;-) > In letzter Zeit fragen immer wieder mal Leute an, können aber die Frage nach > dem "Warum?" und dem Nutzen, den sie sich davon versprechen, nicht > beantworten. Man hat halt mal drüber gelesen. > > Für mich persöhnlich ist DKIM aktuell noch ein "Feature" ohne wirklichen > Praxis-Nutzen. > Lasse mich aber gerne vom Gegenteil überzeugen ;-) > > > LG > Matthias > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Dipl.-Ing. Norbert Gerhards Ingenieurbüro Gerhards Laurentiusstr. 16 - 20 52072 Aachen Deutschland Tel. +49-241-705 08-14 Fax +49-241-705 08-99 mobil +49-172-240 66 36 email n.gerhards at fca.de From cite+postfix-buch at incertum.net Mon Dec 14 19:42:43 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 14 Dec 2009 19:42:43 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B2685BA.2050707@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <4B26838C.3010007@novuage.de> <20091214183038.GL3125@mail.incertum.net> <4B2685BA.2050707@novuage.de> Message-ID: <20091214184243.GM3125@mail.incertum.net> * Sascha Peters : > Ich würde das aktuell so verstehen, das DKIM sicherstellt das der > Signierte Inhalte (diverse Header) vom Server wo die E-Mail versendet > wurde nicht verändert worden ist. Und der Server selbst berechtigt ist > die Domain als Absender zu nutzen. > > Es macht mir aber nicht zwingend deutlich, das die E-Mail auch von der > Organisation (ungleich dem ISP) kommt dem die Absenderdomain gehört. Ich > könnte hier also feststellen das der Server mit einem korrekten Absender > versendet, aber nicht das auch der Inhalt von diesem Absender bzw. eben > der Organisation kommt. Zurück auf Start und ganz technisch: Wenn ich in der Lage bin, eine DKIM-signierte Mail für eine Absendedomain zu erzeugen, dann kenne ich offensichtlich den geheimen Teil des Schlüssels, dessen öffentlicher Teil im DNS für diese Absendedomain hinterlegt wurde. Das ist alles. Und jetzt zum schönen Teil: Was Du für Konsequenzen aus dem Vorhandensein und der Validität einer solchen Signatur machst, was für Dich eine Organistation ist und überhaupt: Das ist Deine eigene Policy (Patrick, bist Du jetzt stolz auf mich?). Mir reichts. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 I must be missing something. I'm always missing something. From p at state-of-mind.de Mon Dec 14 19:48:58 2009 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 14 Dec 2009 19:48:58 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214182108.GI3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> Message-ID: <20091214184858.GC9561@state-of-mind.de> * Stefan Förster : > * Sascha Peters : > > Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern > > Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain > > diesen Key. > > Ich greife zu DKIM, weil ich als sendende Organisation nachweisen > will, daß die Mails berechtigterweise mit dem Absender gesendet > wurden, den sie tragen. > > Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber > das kann er besser als ich. *RÄUSPER* *MIMIMIMIIIII* Also... ;) Es gibt zwei klassische Fehlannahmen in Verbindung mit DKIM: Fehlannahme 1: Mail wurde rechtmäßig versendet Eine gültige DKIM-Signatur besagt nicht, dass eine Mail rechtmäßig gesendet wurde! Der Mailserver könnte mißbraucht werden und ohne es zu wissen ganz stolz jeder ausgehenden Nachricht eine Signatur "Das habe ich gemacht..." verpassen. Bestes Beispiel ist der spam von gmail.com, der DKIM-signiert aufschlägt. Fehlannahme 2: Absenderidentität ist belegt Eine gültige DKIM-Signatur belegt nicht die Identität des Absenders! Solange der Server gestattet, dass jeder jede Envelope-Sender-Adresse verwenden darf, kann jeder eine beliebige Identität annehmen. Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender möglich, also PGP, S/MIME etc. Wozu dann DKIM? DKIM belegt die Identität eines Servers. Ein Server, der über einen längeren Zeitraum seine Identität nachweist, kann sich einen Namen (Reputation) machen. Wenn lange nur Ham kommt, kann der Server sich einen guten Ruf erarbeiten. Ein Spammer mit eigenen Ressourcen kann das nicht. Er ist nicht lange genug da, um seiner Spammer-Domain einen guten Ruf zu verpassen. Der gute Ruf kann bei der Klassifizierung in die Beurteilung einer Nachricht einfliessen. Klassifizierung bedeutet im Moment Spam oder Ham, kann aber theoretisch auf andere Fragestellungen angewendet werden. DKIM zahlt sich sofort, aber erst auf lange Sicht richtig gut aus. Es ist im besonderen eine der wenigen Methoden mit der man Gutartigkeit belegen kann. Das halte ich für besonders wichtig, weil wir heute hauptsächlich Methoden haben, um Fehlverhalten zu entdecken und zu bestrafen. Damit sind wir sozusagen in der Steinzeit. Unsere Server können nur "Ich Dich nicht kennen" und "Du Böse" sagen. DKIM fügt "Du Gut" hinzu. Das ist ein um 1/3 grösserer Wortschatz und IMO ein echter Fortschritt. ;) HTH, p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From p.heinlein at heinlein-support.de Mon Dec 14 19:55:14 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 14 Dec 2009 19:55:14 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B265D4E.2090702@aloah-from-hell.de> References: <4B265D4E.2090702@aloah-from-hell.de> Message-ID: <200912141955.14286.p.heinlein@heinlein-support.de> Am Montag, 14. Dezember 2009 16:44:14 schrieb Werner Detter: > Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden und > entsprechend der öffentliche Key im DNS publiziert werden oder *nur > ein Keypair* mit dem ihr dann alle Domains im DNS ausstattet? Ich wüßte nicht, welche Vorteile unterschiedliche Keys bringen sollten und nutze einen Key für alle, Peer From postfix-list at novuage.de Mon Dec 14 19:54:49 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:54:49 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B26867D.2000707@ib-gerhards.de> References: <002101ca7cea$a2244d40$0601a8c0@emnpc2> <4B26867D.2000707@ib-gerhards.de> Message-ID: <4B2689F9.7090701@novuage.de> Norbert Gerhards schrieb: > Aktuell könntest Du einen Artikel zu DKIM von Patrick Koetter > in der c't 26, S. 190 ff lesen. den habe ich gelesen... da wird aber über DKIM gesprochen, nicht unbedingt in Zusammenhang mit der Art und Weise der Umsetzung bei Amavis. Ich denke ich werden mein Server so umbauen müssen das Kunden nur Ihre eigene Absender oder eben anderweitig Erlaubte Absender genutzt werden können. Einziges Problem was ich gerade dabei habe. Es gibt da ja die "login_mismatch" Sachen, doch was ist wenn ich für einen Client nicht SMTP-Auth sondern eine IP-Adresse als Authentifizierung verwenden, kann man auch sagen diese IP-Adresse darf nur gewisse Absender verwenden? Wenn das gehen würde, man also anders ausgedrückt, alle Quellen die man auf welche Art auch immer Authentifiziert behandelt will, genaue Adressen oder komplette Domains zuweisen kann, dann wäre das perfekt. Von mir aktuell genutzte Möglichkeiten auf den Servern sind folgende: permit_mynetworks permit_sasl_authenticated permit_tls_clientcerts check_client_access btree:whitelist > Aus dem Füllhorn seiner RFC-konformen Vorschläge: > - Einlieferung _nur_ noch über Port 587 > - Sender nur mit SMTP-Auth und möglichst TLS > - dazu noch ein wenig DKIM Das sollte so sein, aber würde ja in diesem Fall auch keinen Unterschied darstellen, ich würde bei Peer (um das Beispiel beizubehalten) auch über 587 einliefern TLS verwenden und mich mittels SMTP-Auth anmelden. > Uff, das hieße für mich beispielsweise, 4 Server komplett > neu aufzusetzen, im laufenden Betrieb usw. echt? So viel ist das nicht, ich mache es nur nicht gerne direkt so das für die Kunden sich was so ändert das es Probleme geben kann. Also TLS als Pflicht, wenn es bisher nicht so war. Ebenso NUR über Port 587. Ich Kommuniziere aber den Port 587 immer und habe Ihn auch, aber der 25er funktioniert auch. Ich verwende aber aktuell für die SMTP-Auth Geschichte eine eigene IP-Adresse, was mich auf Port 25 ebenfalls flexibler macht als wenn hier auch die MXer und Co drüber laufen würden. > Darüber denke ich also höchstens noch mal nach, wenn ich > sowoeso einen nagelneuen Server in Ruhe aufsetze und > gründlich testen kann, bevor ich ihn auf die Menschheit > (=meine Kunden) loslasse. Kann man doch alles vorab auch in einem Testcase machen, mittels VMware und Co. Ich baue auch nix einfach mal so um ohne das in den VMware Maschinen probiert zu haben. Das wäre einfach nur schlimm :-) > Aber falls jemand hier Lust hat, einen solchen exemplarischen > Testserver mit mir aufzubauen: ich stelle einen zur Verfügung > und verfasse ein ausführliches HowTo hier für die Liste. > Bedingung: Server läuft unter debian lenny. > > Na, wie wärs? Kein Problem. Fasse genau zusammen was Du hast und willst... Glaub nicht das es so ein Problem ist. Da Du sicher auch aktuelle Software einsetzt ist es durch diverse kleine Änderungen nachher aber sicher auch ohne Neuinstallation auf die Server zu übertragen, und im Zweifel wieder rückgängig zu machen. -- Gruß Sascha From p.heinlein at heinlein-support.de Mon Dec 14 19:57:23 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 14 Dec 2009 19:57:23 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B266434.7060303@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> Message-ID: <200912141957.23376.p.heinlein@heinlein-support.de> Am Montag, 14. Dezember 2009 17:13:40 schrieb Thomas Schwenski: > Soweit war ich auch schon gekommen. Tja. Dann fehlen Deiner Anfrage wohl die relevanten Informationen. > Das eigentliche Problem liegt daran, dass es sich um einen > Relayserver handelt, der ausschließlich weiterreicht a) Bitte dann gleich dazu sagen b) Ja... und? ...is user at domain.de here... Gleiche Antwort wie vorher auch. Was soll's? > (Vielleicht ist das aber auch noch nicht das große Ding.) > und vor allem, dass die Mail an Amavis vorbei direkt auf > 127.0.0.1:10026 an Postfix wieder zurückgegeben werden soll. Was hat das damit zu tun? > Ist so etwas ausschließlich mit getmail/fetchmail machbar, oder muss Ja. Standardfall. Ich sehe nicht wie Du auf die Frage und Idee kommst, daß es NICHT möglich sein sollte. Mach es ganz normal wie immer und es geht. > ich da sendmail/procmail in die entsprechende Konfiguration > einbinden? Braucht man nicht. Peer From postfix-list at novuage.de Mon Dec 14 19:55:42 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 19:55:42 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214184243.GM3125@mail.incertum.net> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <4B26838C.3010007@novuage.de> <20091214183038.GL3125@mail.incertum.net> <4B2685BA.2050707@novuage.de> <20091214184243.GM3125@mail.incertum.net> Message-ID: <4B268A2E.5020603@novuage.de> Stefan Förster schrieb: > Mir reichts. Ok. -- Gruß Sascha From mailing-lists at thomasschwenski.de Mon Dec 14 19:56:45 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Mon, 14 Dec 2009 19:56:45 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B26865B.3020604@novuage.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> <4B267005.2000007@gmx.de> <4B2680CF.3000308@thomasschwenski.de> <4B26865B.3020604@novuage.de> Message-ID: <4B268A6D.3030107@thomasschwenski.de> Für die sekundäre Fragestellung: >> Allerdings kommt mir gerade noch ein anderes "Problem" (komplett >> losgelöst vom obigen) in den Sinn. >> >> Wie habt Ihr eure PreQueue-Filtering-Systeme konfiguriert, damit per >> Fetchmail/Getmail eingelieferte Mails trotzdem auf Viren/Spam gecheckt, >> dann aber nicht REJECTed, sondern nur getaggt werden, während sonst im >> PreQueue-Stil eben REJECTed wird? >> >> Löst Ihr das über 2 Amavisd-New-Instanzen oder was ist da machbar? > > Ähm, warum sendet das Internet nicht per SMTP direkt an den Relay? Macht es ja im Prinzip auch und das arbeitet in der aktuellen Konfiguration ja auch prima. > Das würde vieles ein bisschen leichter machen. Warum muss der Umweg > denn über ein POP/Fetchmail sein? Um andere (externe) Postfächer abzufragen zu können. > Mag sein das es dafür Grunde gibt, diese sind aber bisher noch nicht > erwähnt worden und würden obiges Problem ja auflösen. Dann könntest Du > rejecten. Zumindest aus meiner Sicht liegen die Gründe sehr nahe. Werden in externen Postfächern Weiterleitungen eingerichtet, dann werden die Mails regulär auf Port 25 eingeliefert und ganz normal behandelt. Das bedeutet auch, dass mein System die Mails REJECTed, der relayende Server BOUNCEs generieren muss. Lasse ich die Mails abholen, dann kann ich die weitere Verarbeitung selbst steuern und (wie auch immer) dafür sorgen, dass meine Filter keinen REJECT auslösen sondern die Mails eben nur mit einem Score belegen und gegebenenfalls dann taggen, aber eben nicht mehr ablehnen. So gesehen sehe ich im Fetching mehr Vorteile als beim Relayen durch die externen Server. Oder übersehe ich einen Aspekt? Dann bitte ich natürlich um Korrektur und Aufklärung. Mal ganz davon abgesehen ist das auch ein Feature, was die Kunden anfragen, weil sie es von den Großen her kennen. Die interessiert der technische Hintergrund dann aber nicht. Thomas From postfix-list at novuage.de Mon Dec 14 20:03:22 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 20:03:22 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214184858.GC9561@state-of-mind.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <20091214184858.GC9561@state-of-mind.de> Message-ID: <4B268BFA.3010407@novuage.de> Patrick Ben Koetter schrieb: > * Stefan Förster : >> * Sascha Peters : >>> Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern >>> Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain >>> diesen Key. >> Ich greife zu DKIM, weil ich als sendende Organisation nachweisen >> will, daß die Mails berechtigterweise mit dem Absender gesendet >> wurden, den sie tragen. >> >> Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber >> das kann er besser als ich. > > *RÄUSPER* *MIMIMIMIIIII* > > Also... ;) > > Es gibt zwei klassische Fehlannahmen in Verbindung mit DKIM: > > Fehlannahme 1: Mail wurde rechtmäßig versendet > Eine gültige DKIM-Signatur besagt nicht, dass eine Mail rechtmäßig gesendet > wurde! Der Mailserver könnte mißbraucht werden und ohne es zu wissen ganz > stolz jeder ausgehenden Nachricht eine Signatur "Das habe ich gemacht..." > verpassen. Bestes Beispiel ist der spam von gmail.com, der DKIM-signiert > aufschlägt. Das ist ebenfalls klar, man kann damit aber wie ich vermutet haben, klar machen welcher Server die Mail versendet hat. Nämlich einer der sonst auch dafür zuständig ist (vermutlich) weil er eine Valide DKIM Signatur hinbekommen hat. Damit meine ich nun nicht neue Domains die von Spammern rigistriert werden und Co. > Fehlannahme 2: Absenderidentität ist belegt > Eine gültige DKIM-Signatur belegt nicht die Identität des Absenders! > Solange der Server gestattet, dass jeder jede Envelope-Sender-Adresse > verwenden darf, kann jeder eine beliebige Identität annehmen. Genau das meinte ich doch... danke! > Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse > limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen > gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH > identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger > Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender > möglich, also PGP, S/MIME etc. Wenn jemand meinen MUA kontrolliert, dann hat er doch auch Kontrolle über meine S/MIME. Denn die steckt doch auch im MUA, genau wie die SMTP-Auth Daten. Von der Seite her kann man nie sicher sein das einer den Inhalt geschrieben hat, es sei denn man ruft an und fragt Ihn ob er das geschrieben hat. Oder besser man schaut Ihn dabei in die Augen ;-) > Wozu dann DKIM? > DKIM belegt die Identität eines Servers. Ein Server, der über einen längeren > Zeitraum seine Identität nachweist, kann sich einen Namen (Reputation) machen. Das macht Sinn und hab ich ja quasi auch spekuliert... > Wenn lange nur Ham kommt, kann der Server sich einen guten Ruf erarbeiten. Ein > Spammer mit eigenen Ressourcen kann das nicht. Er ist nicht lange genug da, um > seiner Spammer-Domain einen guten Ruf zu verpassen. > > Der gute Ruf kann bei der Klassifizierung in die Beurteilung einer Nachricht > einfliessen. Klassifizierung bedeutet im Moment Spam oder Ham, kann aber > theoretisch auf andere Fragestellungen angewendet werden. > > DKIM zahlt sich sofort, aber erst auf lange Sicht richtig gut aus. Es ist im > besonderen eine der wenigen Methoden mit der man Gutartigkeit belegen kann. > Das halte ich für besonders wichtig, weil wir heute hauptsächlich Methoden > haben, um Fehlverhalten zu entdecken und zu bestrafen. Genau... also geht es quasi nur über die Längere Sicht, also das mitschreiben wie lange der Absender schon korrekte DKIM Verfahren an mich sendet, das prüft aber doch noch keine Software mittels Datenbank, sorry, hab den Artikel der c´t zwar gelesen aber noch nicht die Links und Co verfolgt. > Damit sind wir sozusagen in der Steinzeit. Unsere Server können nur "Ich Dich > nicht kennen" und "Du Böse" sagen. DKIM fügt "Du Gut" hinzu. Das ist ein um > 1/3 grösserer Wortschatz und IMO ein echter Fortschritt. ;) Vertauen baut sich langsam auf ;-) -- Gruß Sascha From postfix-list at novuage.de Mon Dec 14 20:06:05 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 20:06:05 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <200912141955.14286.p.heinlein@heinlein-support.de> References: <4B265D4E.2090702@aloah-from-hell.de> <200912141955.14286.p.heinlein@heinlein-support.de> Message-ID: <4B268C9D.9040506@novuage.de> Peer Heinlein schrieb: > Am Montag, 14. Dezember 2009 16:44:14 schrieb Werner Detter: > >> Frage: muss jetzt für *jede* Domain eines Keypair erstellt werden und >> entsprechend der öffentliche Key im DNS publiziert werden oder *nur >> ein Keypair* mit dem ihr dann alle Domains im DNS ausstattet? > > Ich wüßte nicht, welche Vorteile unterschiedliche Keys bringen sollten > und nutze einen Key für alle, Gerade hat der Patrick auch geschrieben das man einen Server damit identifiziert, damit ist auch schnurz ob es mehrere oder ein Key ist. Ich würde nur nicht pauschal alle E-Mails signieren, wenn es auch Domains ohne öffentlichen Teil im DNS gibt, da die DNS Server nicht von Dir verwaltet werden, oder es dort keine Möglichkeit gibt eine Signatur zu hinterlegen. Also ein Key für alle und manuell bestimmen welche Absenderdomains signiert werden. -- Gruß Sascha From postfix-list at novuage.de Mon Dec 14 20:11:53 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 20:11:53 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B268A6D.3030107@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> <4B267005.2000007@gmx.de> <4B2680CF.3000308@thomasschwenski.de> <4B26865B.3020604@novuage.de> <4B268A6D.3030107@thomasschwenski.de> Message-ID: <4B268DF9.1090109@novuage.de> Thomas Schwenski schrieb: >> Mag sein das es dafür Grunde gibt, diese sind aber bisher noch nicht >> erwähnt worden und würden obiges Problem ja auflösen. Dann könntest Du >> rejecten. > > Zumindest aus meiner Sicht liegen die Gründe sehr nahe. > Werden in externen Postfächern Weiterleitungen eingerichtet, dann werden > die Mails regulär auf Port 25 eingeliefert und ganz normal behandelt. > Das bedeutet auch, dass mein System die Mails REJECTed, der relayende > Server BOUNCEs generieren muss. > Lasse ich die Mails abholen, dann kann ich die weitere Verarbeitung > selbst steuern und (wie auch immer) dafür sorgen, dass meine Filter > keinen REJECT auslösen sondern die Mails eben nur mit einem Score > belegen und gegebenenfalls dann taggen, aber eben nicht mehr ablehnen. Das Problem hab ich mit web.de Postfächern. Die Legen erkannten Spam in den Spamordner, aber wenn man eine Weiterleitung einrichten leiten die alles weiter, was ich meist annehmen würde und oft auch tue, weil der Client ja in der Regel nett ist (web.de) Nur wenn der Body und Co mich zuschlagen lässt bekommt es einen Reject den dann Web.de um die Ohren gehauen bekommt. Ich fände es echt gut wenn Web.de hier die Spamordner nicht weiterleiten würde oder mindestens das Konfigurierbar machen würde. Ob man die Mails aus dem Spamordner auch per POP bekommt weiß ich leider nicht, aber wenn nicht, dann wäre das auch eine Überlegung bei mir wert das so zu mache ;-) > > So gesehen sehe ich im Fetching mehr Vorteile als beim Relayen durch die > externen Server. Oder übersehe ich einen Aspekt? Dann bitte ich > natürlich um Korrektur und Aufklärung. Man weiß ja in der Regel von wo die E-Mails dann kommen, es sei denn es sind X Kunden die Dynamisch über Webtools immer unterschiedliche POP Accounts sammeln wollen (bzw. Weiterleitungen auf deine Server setzen). Ansonsten kann man die Server oder Server/Absender Kombination ja Whitelisten oder mit Amavis andere Punkte geben lassen. Dann hätte man auch was Du willst. > Mal ganz davon abgesehen ist das auch ein Feature, was die Kunden > anfragen, weil sie es von den Großen her kennen. > Die interessiert der technische Hintergrund dann aber nicht. Das ist dann ein anderes Problem, da hast Du recht. -- Gruß Sascha From mailing-lists at thomasschwenski.de Mon Dec 14 20:52:36 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Mon, 14 Dec 2009 20:52:36 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B268DF9.1090109@novuage.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> <4B267005.2000007@gmx.de> <4B2680CF.3000308@thomasschwenski.de> <4B26865B.3020604@novuage.de> <4B268A6D.3030107@thomasschwenski.de> <4B268DF9.1090109@novuage.de> Message-ID: <4B269784.5010908@thomasschwenski.de> Hallo Sascha, >> So gesehen sehe ich im Fetching mehr Vorteile als beim Relayen durch die >> externen Server. Oder übersehe ich einen Aspekt? Dann bitte ich >> natürlich um Korrektur und Aufklärung. > > Man weiß ja in der Regel von wo die E-Mails dann kommen, es sei denn es > sind X Kunden die Dynamisch über Webtools immer unterschiedliche POP > Accounts sammeln wollen (bzw. Weiterleitungen auf deine Server setzen). > Ansonsten kann man die Server oder Server/Absender Kombination ja > Whitelisten oder mit Amavis andere Punkte geben lassen. Dann hätte man > auch was Du willst. Dein Ansatz ergibt zwar Sinn, aber erscheint mir nicht komplett durchdacht. Ehrlich gesagt habe ich keine Lust, einen (z.B.) web.de-Server in meine Whitelist aufzunehmen, geschweige denn deren ganze Server-Farm. Auch wenn Web.de gerade eine Paradebeispiel ist (beobachte einfach mal Deine mailq ein wenig) gilt das auch für GMX, Googlemail, Yahoo, Hotmail und wen auch immer. Denn ich glaube nicht - bzw. weiß nicht 100%ig sicher - ob "die Großen" für eine Weiterleitung andere Systeme nutzen, als für den normalen Mailversand (und selbst wenn dem so wäre, gibt es keine Garantie, dass das nicht mal geändert wird). Ich würde also mit einem Whitelist-Eintrag einen absoluten Freibrief erteilen, mir allen Müll einzuliefern. Und das ganze nur für 1 oder 2 Leute bei diesem Anbieter?? Ab einer gewissen Anzahl Kunden, wäre das Problem dann wirklich gelöst, weil dann alle wichtigen Anbieter auf der Whitelist stehen würden und ich den Spamfilter komplett deaktivieren kann. Nein - entweder liefert Fetchmail/Getmail die Mails erst nach Amavis in der Prozesskette wieder ein, oder aber Mails die per Fetchmail/Getmail werden, werden von Amavis irgendwie erkannt und gesondert behandelt, so dass diese nicht mehr REJECTed werden, sondern stattdessen nur getaggt werden. >> Mal ganz davon abgesehen ist das auch ein Feature, was die Kunden >> anfragen, weil sie es von den Großen her kennen. >> Die interessiert der technische Hintergrund dann aber nicht. > > Das ist dann ein anderes Problem, da hast Du recht. Tzja, aber mit genau dieser Begründung muss auch Variante "Weiterleitung durch den externen Anbieter" umgesetzt werden. Wenn ich allerdings die obige Variante anbieten kann, dann sind mir die negativen Auswirkungen bei den Relayern dann herzlich egal. Ich kann meinen Kunden Empfehlungen aussprechen oder notfalls administrativ umkonfigurieren. Auf der anderen Seite kann man bei größeren Setups mit mehreren Systemen und auch mehrerern IP-Adressen (am Besten aus sehr unterschiedlichen Subnetzen) auch auf Nummer sicher gehen: Um zu verhindern, dass man, weil man Relayserver dazu "zwingt" Bounces zu generieren, bei denen im Gegenzug auf eine interne Blacklist gesetzt wird, könnte man als MX eine andere IP-Adresse nutzen als als SMTP-"Client"-Server. Das wäre zwar auch kein 100%iger Schutz dagegen, würde aber eine zusätzliche Hürde bei einer derartigen "Rache-Reaktion" darstellen. Thomas From p at state-of-mind.de Mon Dec 14 20:57:41 2009 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 14 Dec 2009 20:57:41 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B268BFA.3010407@novuage.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <20091214184858.GC9561@state-of-mind.de> <4B268BFA.3010407@novuage.de> Message-ID: <20091214195740.GD9561@state-of-mind.de> * Sascha Peters : > Patrick Ben Koetter schrieb: > >* Stefan Förster : > >>* Sascha Peters : > >>>Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern > >>>Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain > >>>diesen Key. > >>Ich greife zu DKIM, weil ich als sendende Organisation nachweisen > >>will, daß die Mails berechtigterweise mit dem Absender gesendet > >>wurden, den sie tragen. > >> > >>Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber > >>das kann er besser als ich. > > > >*RÄUSPER* *MIMIMIMIIIII* > > > >Also... ;) > > > >Es gibt zwei klassische Fehlannahmen in Verbindung mit DKIM: > > > >Fehlannahme 1: Mail wurde rechtmäßig versendet > >Eine gültige DKIM-Signatur besagt nicht, dass eine Mail rechtmäßig gesendet > >wurde! Der Mailserver könnte mißbraucht werden und ohne es zu wissen ganz > >stolz jeder ausgehenden Nachricht eine Signatur "Das habe ich gemacht..." > >verpassen. Bestes Beispiel ist der spam von gmail.com, der DKIM-signiert > >aufschlägt. > > Das ist ebenfalls klar, man kann damit aber wie ich vermutet haben, > klar machen welcher Server die Mail versendet hat. Nämlich einer der Ja, genau. Du kannst die Identität des Servers belegen. > sonst auch dafür zuständig ist (vermutlich) weil er eine Valide DKIM > Signatur hinbekommen hat. Damit meine ich nun nicht neue Domains die > von Spammern rigistriert werden und Co. Die "einer der sonst auch dafür zuständig ist" Verbindung bekommst Du nur mit ADSP hin. Mit den Author Domain Signing Practices kannst Du Aussagen treffen wie: "Ich signiere nichts", "Ich bringe hin und wieder Signaturen an", "Ich signiere alles" und "Ich signiere alles und wenn Du eine unsignierte Mail erhältst, dann wirf sie weg!" > >Fehlannahme 2: Absenderidentität ist belegt > >Eine gültige DKIM-Signatur belegt nicht die Identität des Absenders! > >Solange der Server gestattet, dass jeder jede Envelope-Sender-Adresse > >verwenden darf, kann jeder eine beliebige Identität annehmen. > > Genau das meinte ich doch... danke! Gern geschehen :) > >Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse > >limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen > >gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH > >identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger > >Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender > >möglich, also PGP, S/MIME etc. > > Wenn jemand meinen MUA kontrolliert, dann hat er doch auch Kontrolle > über meine S/MIME. Denn die steckt doch auch im MUA, genau wie die IMO hat er das nicht. Ihm fehlt das Passwort mit dem der private S/MIME-Key nutzbar gemacht wird. Ohne Kennwort kein S/MIME, keine Signatur etc. > SMTP-Auth Daten. Von der Seite her kann man nie sicher sein das > einer den Inhalt geschrieben hat, es sei denn man ruft an und fragt > Ihn ob er das geschrieben hat. Oder besser man schaut Ihn dabei in > die Augen ;-) Oder man weiß, dass der andere verantwortungsvoll mit seiner digitalen Identität umgeht und den Key mit einem brauchbaren Kennwort geschützt hat. Da kann man übrigens fast Krieg und Frieden als Passwort eingeben... ;) > >Wozu dann DKIM? > >DKIM belegt die Identität eines Servers. Ein Server, der über einen längeren > >Zeitraum seine Identität nachweist, kann sich einen Namen (Reputation) machen. > > Das macht Sinn und hab ich ja quasi auch spekuliert... > > > >Wenn lange nur Ham kommt, kann der Server sich einen guten Ruf erarbeiten. Ein > >Spammer mit eigenen Ressourcen kann das nicht. Er ist nicht lange genug da, um > >seiner Spammer-Domain einen guten Ruf zu verpassen. > > > >Der gute Ruf kann bei der Klassifizierung in die Beurteilung einer Nachricht > >einfliessen. Klassifizierung bedeutet im Moment Spam oder Ham, kann aber > >theoretisch auf andere Fragestellungen angewendet werden. > > > >DKIM zahlt sich sofort, aber erst auf lange Sicht richtig gut aus. Es ist im > >besonderen eine der wenigen Methoden mit der man Gutartigkeit belegen kann. > >Das halte ich für besonders wichtig, weil wir heute hauptsächlich Methoden > >haben, um Fehlverhalten zu entdecken und zu bestrafen. > > Genau... also geht es quasi nur über die Längere Sicht, also das > mitschreiben wie lange der Absender schon korrekte DKIM Verfahren an > mich sendet, das prüft aber doch noch keine Software mittels > Datenbank, sorry, hab den Artikel der c´t zwar gelesen aber noch > nicht die Links und Co verfolgt. Es lohnt sich! dkim-reputation.org ist wirklich gut zu integrieren. > >Damit sind wir sozusagen in der Steinzeit. Unsere Server können nur "Ich Dich > >nicht kennen" und "Du Böse" sagen. DKIM fügt "Du Gut" hinzu. Das ist ein um > >1/3 grösserer Wortschatz und IMO ein echter Fortschritt. ;) > > Vertauen baut sich langsam auf ;-) Ja und das Tolle ist: "Langsam" und "Vertrauen" sind zwei Eigenschaften, die sich Spammer nicht zulegen können. p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From postfix-list at novuage.de Mon Dec 14 21:42:29 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 21:42:29 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214195740.GD9561@state-of-mind.de> References: <4B265D4E.2090702@aloah-from-hell.de> <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <20091214184858.GC9561@state-of-mind.de> <4B268BFA.3010407@novuage.de> <20091214195740.GD9561@state-of-mind.de> Message-ID: <4B26A335.20205@novuage.de> Patrick Ben Koetter schrieb: >>> Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse >>> limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen >>> gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH >>> identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger >>> Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender >>> möglich, also PGP, S/MIME etc. >> Wenn jemand meinen MUA kontrolliert, dann hat er doch auch Kontrolle >> über meine S/MIME. Denn die steckt doch auch im MUA, genau wie die > > IMO hat er das nicht. Ihm fehlt das Passwort mit dem der private S/MIME-Key > nutzbar gemacht wird. Ohne Kennwort kein S/MIME, keine Signatur etc. Man braucht das das SMTP-Auth Passwort nicht speichern, macht aber auch jeder... ist doch eigentlich genau das gleiche. > Es lohnt sich! dkim-reputation.org ist wirklich gut zu integrieren. muss ich mir in Ruhe ansehen, steht schon auf der Liste ;-) -- Gruß Sascha From p at state-of-mind.de Mon Dec 14 21:58:26 2009 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 14 Dec 2009 21:58:26 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B26A335.20205@novuage.de> References: <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <20091214184858.GC9561@state-of-mind.de> <4B268BFA.3010407@novuage.de> <20091214195740.GD9561@state-of-mind.de> <4B26A335.20205@novuage.de> Message-ID: <20091214205826.GB8048@state-of-mind.de> * Sascha Peters : > Patrick Ben Koetter schrieb: > >>>Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse > >>>limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen > >>>gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH > >>>identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger > >>>Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender > >>>möglich, also PGP, S/MIME etc. > >>Wenn jemand meinen MUA kontrolliert, dann hat er doch auch Kontrolle > >>über meine S/MIME. Denn die steckt doch auch im MUA, genau wie die > > > >IMO hat er das nicht. Ihm fehlt das Passwort mit dem der private S/MIME-Key > >nutzbar gemacht wird. Ohne Kennwort kein S/MIME, keine Signatur etc. > > Man braucht das das SMTP-Auth Passwort nicht speichern, macht aber > auch jeder... ist doch eigentlich genau das gleiche. Nein. Ein SMTP-Auth Passwort kannst Du Dir selber ausstellen. Das beweist rein rechtlich gar nichts. Ein ordentlicher S/MIME-Key für dessen Ausstellung der Besitzer ein Ident-Verfahren durchlaufen musste, sagt mehr. Es sagt, dass eine dritte Instanz, ein Bürge, die Identität des S/MIME-Key-Besitzers geprüft hat. Wenn Du dem Bürgen traust, kannst Du auch dem S/MIME-Key-Besitzer trauen. > >Es lohnt sich! dkim-reputation.org ist wirklich gut zu integrieren. > > muss ich mir in Ruhe ansehen, steht schon auf der Liste ;-) Ist was für "zwischen die Feiertage..." ;) p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From postfix-list at novuage.de Mon Dec 14 22:32:55 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 14 Dec 2009 22:32:55 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <20091214205826.GB8048@state-of-mind.de> References: <4B265EED.5050807@novuage.de> <20091214180202.GA3125@mail.incertum.net> <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <20091214184858.GC9561@state-of-mind.de> <4B268BFA.3010407@novuage.de> <20091214195740.GD9561@state-of-mind.de> <4B26A335.20205@novuage.de> <20091214205826.GB8048@state-of-mind.de> Message-ID: <4B26AF07.9040903@novuage.de> Patrick Ben Koetter schrieb: > Ist was für "zwischen die Feiertage..." ;) Hab mal gerade eine E-Mail die von eBay gekommen ist auf den Seiten eingegeben: http://www.dkim-reputation.org/ Email: ebay at ebay.de Signature domain: ebay.de ebay at ebay.de signed by ebay.de has currently BAD reputation: Reputation: 1000, latest hit: 12/03/2009 06:00:24 Was denn das? Haben die was nicht im Griff, oder währe das schon ein false positiv? -- Gruß Sascha From p at state-of-mind.de Mon Dec 14 23:08:53 2009 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 14 Dec 2009 23:08:53 +0100 Subject: [Postfixbuch-users] Frage zu DKIM-Filter In-Reply-To: <4B26AF07.9040903@novuage.de> References: <4B267E5D.70806@novuage.de> <20091214181413.GE3125@mail.incertum.net> <4B268126.2020908@novuage.de> <20091214182108.GI3125@mail.incertum.net> <20091214184858.GC9561@state-of-mind.de> <4B268BFA.3010407@novuage.de> <20091214195740.GD9561@state-of-mind.de> <4B26A335.20205@novuage.de> <20091214205826.GB8048@state-of-mind.de> <4B26AF07.9040903@novuage.de> Message-ID: <20091214220852.GD8048@state-of-mind.de> * Sascha Peters : > Patrick Ben Koetter schrieb: > >Ist was für "zwischen die Feiertage..." ;) > > Hab mal gerade eine E-Mail die von eBay gekommen ist auf den Seiten > eingegeben: http://www.dkim-reputation.org/ > > Email: ebay at ebay.de > Signature domain: ebay.de > > ebay at ebay.de signed by ebay.de has currently BAD reputation: > Reputation: 1000, latest hit: 12/03/2009 06:00:24 > > > Was denn das? Haben die was nicht im Griff, oder währe das schon ein > false positiv? Gute Frage, die ich nicht beantworten kann. Ich würde sie Florian Sager vom dkim-reputation.org-Projekt stellen. Florian kann bestimmt erklären wie es zu dieser Wertung kommt. p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From technoworx at gmx.de Tue Dec 15 15:06:31 2009 From: technoworx at gmx.de (Alexander Stoll) Date: Tue, 15 Dec 2009 15:06:31 +0100 Subject: [Postfixbuch-users] Mail mit Getmail/Fetchmail umleiten In-Reply-To: <4B2680CF.3000308@thomasschwenski.de> References: <4B263C88.3080501@thomasschwenski.de> <200912141434.40990.p.heinlein@heinlein-support.de> <4B266434.7060303@thomasschwenski.de> <4B267005.2000007@gmx.de> <4B2680CF.3000308@thomasschwenski.de> Message-ID: <4B2797E7.60401@gmx.de> Am 14.12.2009 19:15, schrieb Thomas Schwenski: > Fetchmail/Getmail soll die Mail nun direkt an Postfix(:10026) > einliefern, da ein effektiver REJECT ja nun nicht mehr möglich bzw. > nicht sehr sinnvoll ist. Reject ist nicht nur nicht sinnvoll, sondern verursacht Backscatter! Und Du willst da keine Virenprüfung oder Tagging des Spams??? > Allerdings kommt mir gerade noch ein anderes "Problem" (komplett > losgelöst vom obigen) in den Sinn. aha! ;-) > Wie habt Ihr eure PreQueue-Filtering-Systeme konfiguriert, damit per > Fetchmail/Getmail eingelieferte Mails trotzdem auf Viren/Spam gecheckt, > dann aber nicht REJECTed, sondern nur getaggt werden, während sonst im > PreQueue-Stil eben REJECTed wird? Du willst diese sicher Post-Queue filtern, z.B. auf einem eigenen Port einliefern, der die ganzen nun unnötigen Checks (Mail ist ja schon extern angenommen worden) nicht macht... > Löst Ihr das über 2 Amavisd-New-Instanzen oder was ist da machbar? => Policy Banks in Amavisd-new Gruß, AS From kirchel at gutenberg-rz.de Tue Dec 15 15:02:29 2009 From: kirchel at gutenberg-rz.de (Kirchel Oliver) Date: Tue, 15 Dec 2009 15:02:29 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? Message-ID: Hallo Liste, seit Tagen haben wir das Problem, dass ab mittags E-Mails, die an web.de geschickt werden mehrere Stunden in unserer Queue hängen bleiben. Die Meldungen von web.de variieren, das geht von host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: Too many concurrent SMTP connections from one IP address; über host mx-ha02.web.de[217.72.192.188] refused to talk to me: 421 mx37.web.de: Too much load; please try again later über delivery temporarily suspended: host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: SMTP command timeout - closing connection über delivery temporarily suspended: connect to mx-ha02.web.de[217.72.192.188]:25: Connection timed out Nun habe ich im Netz irgendwo gelesen, dass man sich whitelisten lassen kann, um diese Probleme zu umgehen. Ist das richtig und wenn ja, wie geht das? Gruß Olli From mailing-lists at thomasschwenski.de Tue Dec 15 15:44:31 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 15 Dec 2009 15:44:31 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? In-Reply-To: References: Message-ID: <4B27A0CF.3070308@thomasschwenski.de> Hallo Oliver, Kirchel Oliver schrieb: > Hallo Liste, > seit Tagen haben wir das Problem, dass ab mittags E-Mails, die an web.de geschickt werden mehrere Stunden in unserer Queue hängen bleiben. Die Meldungen von web.de variieren, das geht von > > host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: Too many concurrent SMTP connections from one IP address; > > über > > host mx-ha02.web.de[217.72.192.188] refused to talk to me: 421 mx37.web.de: Too much load; please try again later > > über > > delivery temporarily suspended: host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: SMTP command timeout - closing connection > > über > > delivery temporarily suspended: connect to mx-ha02.web.de[217.72.192.188]:25: Connection timed out meinen Erfahrungen und bisherigen Informationen zu web.de zufolge ist das bei denen normales (beabsichtigtes?) Verhalten. Aber wenn es Mittel dagegen geben sollte bin ich sehr informiert. Thomas From tobster at brain-force.ch Tue Dec 15 16:22:07 2009 From: tobster at brain-force.ch (tobi) Date: Tue, 15 Dec 2009 16:22:07 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? Message-ID: <4B27A99F.1020308@brain-force.ch> On 15.12.2009 15:02, Kirchel Oliver wrote: > Hallo Liste, > seit Tagen haben wir das Problem, dass ab mittags E-Mails, die an web.de geschickt werden mehrere Stunden in unserer Queue hängen bleiben. Die Meldungen von web.de variieren, das geht von > > host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: Too many concurrent SMTP connections from one IP address; > > über > > host mx-ha02.web.de[217.72.192.188] refused to talk to me: 421 mx37.web.de: Too much load; please try again later > > über > > delivery temporarily suspended: host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: SMTP command timeout - closing connection > > über > > delivery temporarily suspended: connect to mx-ha02.web.de[217.72.192.188]:25: Connection timed out > > Nun habe ich im Netz irgendwo gelesen, dass man sich whitelisten lassen kann, um diese Probleme zu umgehen. > > Ist das richtig und wenn ja, wie geht das? > > Gruß > > Olli > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > Ich glaube die Infos zum Whitelistning betrafen wohl eher die Einstellungen der Spamfilter bei web.de Die Fehlermeldungen kommen von serverweiten Einstellungen/Einschränkungen und daher glaube ich kaum, dass es dagegen eine Whitelist geben würde. Das würde sich ja jeder Spammer gerne draufsetzen lassen. Das einzige was gehen könnte wäre wenn du den Admin von web.de zum Bier einlädst und ihn überredest die serverweiten Einschränkungen auf deine IP(s) nicht anzuwenden ;-) Wenn es doch geht würde ich mich gerne eines besseren belehren lassen Gruss tobi From postfix-list at novuage.de Tue Dec 15 19:17:34 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 15 Dec 2009 19:17:34 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? In-Reply-To: References: Message-ID: <4B27D2BE.3090403@novuage.de> Kirchel Oliver schrieb: > Hallo Liste, > seit Tagen haben wir das Problem, dass ab mittags E-Mails, > die an web.de geschickt werden mehrere Stunden in unserer > Queue hängen bleiben. Die Meldungen von web.de variieren, > das geht von [ ... ] Ein paar davon hab ich auch schon gesehen, es soll wohl auch bedeuten was da steht. Also: > host mx-ha02.WEB.DE[217.72.192.188] refused to > talk to me: 421 mx43.web.de: Too many concurrent > SMTP connections from one IP address; Das könnte damit zu tun haben wenn Du schon viel in der Queue hast, und dann ein Limit erreichst. Ansonsten würde ich diese Meldung schon auf MEINE IP-Adresse beziehen. > host mx-ha02.web.de[217.72.192.188] refused > to talk to me: 421 mx37.web.de: Too much load; > please try again later Die haben einfach ein bisschen Last und der Server den Du da bekommst will daher keine Mail annehmen (aktuell zumindest) > delivery temporarily suspended: host > mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: > 421 mx43.web.de: SMTP command timeout - closing connection Eben ein Timeout, denke auch eine Folge von Überlastungen. > delivery temporarily suspended: connect to > mx-ha02.web.de[217.72.192.188]:25: Connection timed out Dann hat der so viel Last das er vermutlich nichts mehr sagen will. Sind alles nur Schnellschüsse, aber in jedem Fall sieht es nach viel E-Mail Last aus, und ich bekomme auch über die web.de Postfächer aktuell viel mehr Spam rein als vorher. Du scheinst mir für das Problem nichts zu können, sondern Web.de. > Nun habe ich im Netz irgendwo gelesen, dass man sich > whitelisten lassen kann, um diese Probleme zu umgehen. Für obige Probleme? Möchte ich mal bestreiten.... -- Gruß Sascha From cite+postfix-buch at incertum.net Tue Dec 15 19:40:26 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Tue, 15 Dec 2009 19:40:26 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? In-Reply-To: References: Message-ID: <20091215184025.GB31082@mail.incertum.net> * Kirchel Oliver : > host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: Too many concurrent SMTP connections from one IP address; > host mx-ha02.web.de[217.72.192.188] refused to talk to me: 421 mx37.web.de: Too much load; please try again later > delivery temporarily suspended: host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: SMTP command timeout - closing connection > delivery temporarily suspended: connect to mx-ha02.web.de[217.72.192.188]:25: Connection timed out Deliver nicht soviel auf einmal zu web.de. 1. "smtp"-Transport in master.cf klonen, z.B. "unstable" nennen. 2. In der main.cf folgende Parameter setzen: # allow concurrency * failed_cohort_limit failed deliveries # before marking the destination as dead # here: 200 unstable_destination_concurrency_failed_cohort_limit = 100 unstable_destination_concurrency_limit = 2 # desperate measure: pause 2 second between delivery attempts #unstable_destination_rate_delay = 1 3. Eine Map in die Liste der transport_maps aufnehmen, die web.de an den "unstable"-Klon übergibt. Siehe man 5 transport. Oder aber: Einfach ignorieren. Ciao Stefan P.S: Frei nach http://www.postfix.org/QSHAPE_README.html#backlog -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 Q: Do you know what the death rate around here is? A: One per person. --Anonymous From mailing-lists at thomasschwenski.de Tue Dec 15 23:24:05 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 15 Dec 2009 23:24:05 +0100 Subject: [Postfixbuch-users] Nachtrag: Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B280B80.1070305@thomasschwenski.de> References: <4B280B80.1070305@thomasschwenski.de> Message-ID: <4B280C85.1070301@thomasschwenski.de> Kleine Fehlerkorrektur: Thomas Schwenski schrieb: > Versuche ich deliver testweise mit dem Parameter "user=vmail:vmail" > zu starten, weigert er sich auch mit (berechtigten) Sicherheitsbedenken: > > Dec 15 23:00:41 KISTE postfix/pipe[13618]: fatal: user= command-line > attribute specifies root privileges Ich meine natürlich mit dem Parameter "user=root:root"! Thomas From mailing-lists at thomasschwenski.de Tue Dec 15 23:19:44 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 15 Dec 2009 23:19:44 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot Message-ID: <4B280B80.1070305@thomasschwenski.de> Hallo, nachdem ich jetzt schon eine Weile mit der Konfiguration von dovecot beschäftigt bin, hänge ich jetzt gerade an "deliver" etwas. Im Log steht: Dec 15 23:05:17 KISTE deliver(user at example.com): setgid(XXXX) failed with euid=2000, gid=2000, egid=2000: Operation not permitted uid 2000 / gid 2000 gehören dem Benutzer und der Gruppe "vmail". So gesehen macht die Fehlermeldung auch Sinn. Laut /etc/postfix/master.cf läuft deliver unter diesem Benutzer. Meine MailDirs haben alle (gruppiert nach Kunden) unterschiedliche Besitzer/Gruppen, um die Daten im Dateisystem sauber voneinander zu trennen, so dass deliver zum jeweiligen Benutzer wechseln müsste. Leider klappt das nicht so wie beabsichtigt (siehe Logzeile oben). Versuche ich deliver testweise mit dem Parameter "user=vmail:vmail" zu starten, weigert er sich auch mit (berechtigten) Sicherheitsbedenken: Dec 15 23:00:41 KISTE postfix/pipe[13618]: fatal: user= command-line attribute specifies root privileges und ganz ohne "user="-Parameter geht's auch nicht: Dec 15 23:04:23 KISTE postfix/pipe[13710]: fatal: missing user= command-line attribute Habt Ihr einen Vorschlag, wie ich das anstellen kann, dass es läuft? Ich könnte die Einlieferung in die MailDirs Postfix überlassen - zumindest läuft es hier so in Zusammenhang mit Courier, aber dann dürfte ich die Sieve-Funktionalität verlieren. Welche Option habe ich um beides (Unterschiedliche Systembenutzer/-gruppen als Besitzer, Sieve) hinzubekommen? Thomas From driessen at fblan.de Wed Dec 16 00:02:39 2009 From: driessen at fblan.de (Uwe Driessen) Date: Wed, 16 Dec 2009 00:02:39 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B280B80.1070305@thomasschwenski.de> References: <4B280B80.1070305@thomasschwenski.de> Message-ID: <003f01ca7dda$b3c89510$0565a8c0@uwe> On Behalf Of Thomas Schwenski > Hallo, > > nachdem ich jetzt schon eine Weile mit der Konfiguration von dovecot > beschäftigt bin, hänge ich jetzt gerade an "deliver" etwas. > > Im Log steht: > > Dec 15 23:05:17 KISTE deliver(user at example.com): setgid(XXXX) failed > with euid=2000, gid=2000, egid=2000: Operation not permitted > > > uid 2000 / gid 2000 gehören dem Benutzer und der Gruppe "vmail". > So gesehen macht die Fehlermeldung auch Sinn. > Laut /etc/postfix/master.cf läuft deliver unter diesem Benutzer. > > Meine MailDirs haben alle (gruppiert nach Kunden) unterschiedliche > Besitzer/Gruppen, um die Daten im Dateisystem sauber voneinander zu > trennen, so dass deliver zum jeweiligen Benutzer wechseln müsste. > > Leider klappt das nicht so wie beabsichtigt (siehe Logzeile oben). > > Versuche ich deliver testweise mit dem Parameter "user=vmail:vmail" > zu starten, weigert er sich auch mit (berechtigten) Sicherheitsbedenken: > > Dec 15 23:00:41 KISTE postfix/pipe[13618]: fatal: user= command-line > attribute specifies root privileges > > und ganz ohne "user="-Parameter geht's auch nicht: > > Dec 15 23:04:23 KISTE postfix/pipe[13710]: fatal: missing user= > command-line attribute > > > Habt Ihr einen Vorschlag, wie ich das anstellen kann, dass es läuft? > Ich könnte die Einlieferung in die MailDirs Postfix überlassen - > zumindest läuft es hier so in Zusammenhang mit Courier, aber dann dürfte > ich die Sieve-Funktionalität verlieren. > > Welche Option habe ich um beides (Unterschiedliche > Systembenutzer/-gruppen als Besitzer, Sieve) hinzubekommen? > > Thomas Hier läuft Dovecot mit den Benutzern mail_uid = vmail mail_gid = mail wenn du unterschiedliche User für das ablegen benutzen möchtest musst du die Gruppen und User Dovecot entsprechend mitteilen /usr/share/doc/dovecot-common/wiki/UserIds.txt.gz Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From mailing-lists at thomasschwenski.de Wed Dec 16 00:12:10 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Wed, 16 Dec 2009 00:12:10 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <003f01ca7dda$b3c89510$0565a8c0@uwe> References: <4B280B80.1070305@thomasschwenski.de> <003f01ca7dda$b3c89510$0565a8c0@uwe> Message-ID: <4B2817CA.8040707@thomasschwenski.de> Hallo Uwe, > wenn du unterschiedliche User für das ablegen benutzen möchtest musst > du die Gruppen und User Dovecot entsprechend mitteilen > > /usr/share/doc/dovecot-common/wiki/UserIds.txt.gz Ich hab mir das mal unter http://wiki.dovecot.org/UserIds durchgelesen (sollte hoffentlich derselbe Inhalt sein). UIDs und GIDs holt sich Dovecot/Deliver/Postfix aus dem Backend/der PassDB/UserDB - allerdings bekomme ich dann halt im Log folgendes: >> Dec 15 23:05:17 KISTE deliver(user at example.com): setgid(XXXX) failed >> with euid=2000, gid=2000, egid=2000: Operation not permitted XXXX steht hierbei für die UserID, die er sich aus dem Backend geholt hat. Nur der Wechsel in die Gruppe funktioniert leider nicht. Darum mein Posting. Thomas From mailing-lists at thomasschwenski.de Wed Dec 16 00:16:48 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Wed, 16 Dec 2009 00:16:48 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B2817CA.8040707@thomasschwenski.de> References: <4B280B80.1070305@thomasschwenski.de> <003f01ca7dda$b3c89510$0565a8c0@uwe> <4B2817CA.8040707@thomasschwenski.de> Message-ID: <4B2818E0.7010309@thomasschwenski.de> Es ist schon zu spät bzw. noch zu früh für mich, > XXXX steht hierbei für die UserID, die er sich aus dem Backend geholt hat. > Nur der Wechsel in die Gruppe funktioniert leider nicht. XXXX ist in diesem Fall natürlich die GroupID aus dem Backend! Thomas From tobster at brain-force.ch Wed Dec 16 00:38:50 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 00:38:50 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B2818E0.7010309@thomasschwenski.de> References: <4B280B80.1070305@thomasschwenski.de> <003f01ca7dda$b3c89510$0565a8c0@uwe> <4B2817CA.8040707@thomasschwenski.de> <4B2818E0.7010309@thomasschwenski.de> Message-ID: <4B281E0A.50201@brain-force.ch> On 16.12.2009 00:16, Thomas Schwenski wrote: > Es ist schon zu spät bzw. noch zu früh für mich, > > >> XXXX steht hierbei für die UserID, die er sich aus dem Backend geholt hat. >> Nur der Wechsel in die Gruppe funktioniert leider nicht. >> > XXXX ist in diesem Fall natürlich die GroupID aus dem Backend! > > Thomas > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > Darf ein Prozess der nicht unter Root läuft seine Rechte überhaupt ausweiten/ändern? Im Manual wird empfohlen bei virtuellen Benutzern den deliver suid und als Eigentümer root zu nehmen (http://wiki.dovecot.org/LDA) From jonny.oschaetzky at wittcom.de Wed Dec 16 08:22:58 2009 From: jonny.oschaetzky at wittcom.de (=?ISO-8859-1?Q?Jonny_Osch=E4tzky?=) Date: Wed, 16 Dec 2009 08:22:58 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B281E0A.50201@brain-force.ch> References: <4B280B80.1070305@thomasschwenski.de> <003f01ca7dda$b3c89510$0565a8c0@uwe> <4B2817CA.8040707@thomasschwenski.de> <4B2818E0.7010309@thomasschwenski.de> <4B281E0A.50201@brain-force.ch> Message-ID: <4B288AD2.5010001@wittcom.de> Am 16.12.2009 00:38, schrieb tobi: > Darf ein Prozess der nicht unter Root läuft seine Rechte überhaupt > ausweiten/ändern? Meines Wissens darf er das nicht und genau das scheint hier auch das Problem zu sein. Jonny From mailing-lists at thomasschwenski.de Wed Dec 16 08:25:09 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Wed, 16 Dec 2009 08:25:09 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B281E0A.50201@brain-force.ch> References: <4B280B80.1070305@thomasschwenski.de> <003f01ca7dda$b3c89510$0565a8c0@uwe> <4B2817CA.8040707@thomasschwenski.de> <4B2818E0.7010309@thomasschwenski.de> <4B281E0A.50201@brain-force.ch> Message-ID: <4B288B55.1050305@thomasschwenski.de> tobi schrieb: > Darf ein Prozess der nicht unter Root läuft seine Rechte überhaupt > ausweiten/ändern? Ich denke nicht. Deshalb machte die Fehlermeldung "Operation not permitted" ja auch für mich Sinn (siehe erste Mail). > Im Manual wird empfohlen bei virtuellen Benutzern den deliver suid und > als Eigentümer root zu nehmen (http://wiki.dovecot.org/LDA) Das war der Trick auf den ich letzte Nacht dann nicht mehr gekommen bin. Danke From Ralf.Hildebrandt at charite.de Wed Dec 16 09:03:22 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 16 Dec 2009 09:03:22 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B280B80.1070305@thomasschwenski.de> References: <4B280B80.1070305@thomasschwenski.de> Message-ID: <20091216080321.GI28775@charite.de> * Thomas Schwenski : > Hallo, > > nachdem ich jetzt schon eine Weile mit der Konfiguration von dovecot > beschäftigt bin, hänge ich jetzt gerade an "deliver" etwas. > > Im Log steht: > > Dec 15 23:05:17 KISTE deliver(user at example.com): setgid(XXXX) failed > with euid=2000, gid=2000, egid=2000: Operation not permitted > > > uid 2000 / gid 2000 gehören dem Benutzer und der Gruppe "vmail". > So gesehen macht die Fehlermeldung auch Sinn. > Laut /etc/postfix/master.cf läuft deliver unter diesem Benutzer. Musst der nicht als root laufen, damit setgid geht? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Wed Dec 16 09:04:05 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 16 Dec 2009 09:04:05 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <4B281E0A.50201@brain-force.ch> References: <4B280B80.1070305@thomasschwenski.de> <003f01ca7dda$b3c89510$0565a8c0@uwe> <4B2817CA.8040707@thomasschwenski.de> <4B2818E0.7010309@thomasschwenski.de> <4B281E0A.50201@brain-force.ch> Message-ID: <20091216080405.GJ28775@charite.de> * tobi : > Darf ein Prozess der nicht unter Root läuft seine Rechte überhaupt > ausweiten/ändern? Das heisst dann Root Exploit :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From mailing-lists at thomasschwenski.de Wed Dec 16 09:07:36 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Wed, 16 Dec 2009 09:07:36 +0100 Subject: [Postfixbuch-users] Probleme bei der Einrichtung von Dovecot In-Reply-To: <20091216080321.GI28775@charite.de> References: <4B280B80.1070305@thomasschwenski.de> <20091216080321.GI28775@charite.de> Message-ID: <4B289548.8010709@thomasschwenski.de> Ralf Hildebrandt schrieb: > * Thomas Schwenski : >> Hallo, >> >> nachdem ich jetzt schon eine Weile mit der Konfiguration von dovecot >> beschäftigt bin, hänge ich jetzt gerade an "deliver" etwas. >> >> Im Log steht: >> >> Dec 15 23:05:17 KISTE deliver(user at example.com): setgid(XXXX) failed >> with euid=2000, gid=2000, egid=2000: Operation not permitted >> >> >> uid 2000 / gid 2000 gehören dem Benutzer und der Gruppe "vmail". >> So gesehen macht die Fehlermeldung auch Sinn. >> Laut /etc/postfix/master.cf läuft deliver unter diesem Benutzer. > > Musst der nicht als root laufen, damit setgid geht? Hallo Ralf, dachte ich auch, aber wie schon in der von Dir zitierten Mail (in Zusammenhang mit meinem Nachtrag!) geschrieben, quitiert deliver dann den Dienst, mit Beschwerde über die Root-Rechte. > Versuche ich deliver testweise mit dem Parameter "user=root:root" > zu starten, weigert er sich auch mit (berechtigten) > Sicherheitsbedenken: > > Dec 15 23:00:41 KISTE postfix/pipe[13618]: fatal: user= command-line > attribute specifies root privileges (Den im Nachtrag korrigierten Fehler, habe ich hier ebenfalls schon ausgebessert.) Aber das Problem ist schon gelöst durch Anpassung der Rechte auf deliver. Thomas From kirchel at gutenberg-rz.de Wed Dec 16 12:09:16 2009 From: kirchel at gutenberg-rz.de (Kirchel Oliver) Date: Wed, 16 Dec 2009 12:09:16 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? In-Reply-To: <20091215184025.GB31082@mail.incertum.net> References: <20091215184025.GB31082@mail.incertum.net> Message-ID: Hallo, ich hatte so was im Netz gefunden: in /etc/postfix/transport "web.de schmalspur:" definieren und in der master.cf das: schmalspur unix - - n 5 - smtp Leider bekomme ich folgenden Fehler: postfix/smtp[15893]: warning: unexpected attribute W from schmalspur socket (expecting: flags) Hat jemand eine Idee, was da falsch ist? Gruß Olli -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Stefan Förster Gesendet: Dienstag, 15. Dezember 2009 19:40 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? * Kirchel Oliver : > host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: Too many concurrent SMTP connections from one IP address; > host mx-ha02.web.de[217.72.192.188] refused to talk to me: 421 mx37.web.de: Too much load; please try again later > delivery temporarily suspended: host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: SMTP command timeout - closing connection > delivery temporarily suspended: connect to mx-ha02.web.de[217.72.192.188]:25: Connection timed out Deliver nicht soviel auf einmal zu web.de. 1. "smtp"-Transport in master.cf klonen, z.B. "unstable" nennen. 2. In der main.cf folgende Parameter setzen: # allow concurrency * failed_cohort_limit failed deliveries # before marking the destination as dead # here: 200 unstable_destination_concurrency_failed_cohort_limit = 100 unstable_destination_concurrency_limit = 2 # desperate measure: pause 2 second between delivery attempts #unstable_destination_rate_delay = 1 3. Eine Map in die Liste der transport_maps aufnehmen, die web.de an den "unstable"-Klon übergibt. Siehe man 5 transport. Oder aber: Einfach ignorieren. Ciao Stefan P.S: Frei nach http://www.postfix.org/QSHAPE_README.html#backlog -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 Q: Do you know what the death rate around here is? A: One per person. --Anonymous -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From tobster at brain-force.ch Wed Dec 16 13:46:00 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 13:46:00 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... Message-ID: <4B28D688.3000200@brain-force.ch> Hallo zusammen ich habe ein "Problem" mit meinen Emails wo ich nicht so sicher bin wo überhaupt der Fehler liegen könnte: Wenn ich von gmail (Webinterface) eine Email an meine Adresse auf dem Postfix Server schicke, dann kommt diese sauber an und landet in der Mailbox. Komischerweise erhalte ich dieselbe Email nochmal, sobald mein getmail die gmail Mailbox leert. Im Webinterface von gmail kann ich aber keine Email sehen, die getmail abholen könnte. Die Header der korrekt erhaltenen Email sehen soweit ich das beurteilen kann gut aus: Return-Path: Delivered-To: tobster at brain-force.ch Received: by 84-73-83-173.dclient.hispeed.ch (Postfix, from userid 125) id 29E5418521; Wed, 16 Dec 2009 13:17:28 +0100 (CET) X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on mail [..] Received: from mail-fx0-f213.google.com (mail-fx0-f213.google.com [209.85.220.213]) by 84-73-83-173.dclient.hispeed.ch (Postfix) with ESMTP id 5ADEB18527 for; Wed, 16 Dec 2009 13:17:15 +0100 (CET) Received: by fxm5 with SMTP id 5so889380fxm.8 for; Wed, 16 Dec 2009 04:17:13 -0800 (PST) [...] MIME-Version: 1.0 Received: by 10.102.14.17 with SMTP id 17mr437803mun.40.1260965832780; Wed, 16 Dec 2009 04:17:12 -0800 (PST) Date: Wed, 16 Dec 2009 13:17:12 +0100 Message-ID: Subject: Test webmaster From: tobi To: webmaster at brain-force.ch Wenn ich hingegen die Header der Email anschaue, die fälschlicherweise danach kommt dann sehe ich, dass die Email wohl von getmail geholt worden ist: Return-Path: Delivered-To: unknown Received: from pop.googlemail.com (72.14.221.16) by mail with POP3-SSL; 16 Dec 2009 12:20:14 -0000 [...] MIME-Version: 1.0 Received: by 10.103.39.2 with HTTP; Wed, 16 Dec 2009 04:17:12 -0800 (PST) Date: Wed, 16 Dec 2009 13:17:12 +0100 Delivered-To: tobisworld at gmail.com Message-ID: Subject: Test webmaster From: tobi To: webmaster at brain-force.ch Wo könnte ich ansetzen? Der "Fehler" ist zwar nicht so tragisch, weil ich mir selten selber Emails schicke und es passiert nur bei gmail und keinem anderen Provider den ich habe. Trotzdem irgendwie nervig Danke und Gruss tobi From postfix-list at novuage.de Wed Dec 16 13:50:44 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 16 Dec 2009 13:50:44 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B28D688.3000200@brain-force.ch> References: <4B28D688.3000200@brain-force.ch> Message-ID: <4B28D7A4.6090002@novuage.de> tobi schrieb: > Wo könnte ich ansetzen? Der "Fehler" ist zwar nicht so tragisch, weil > ich mir selten selber Emails schicke und es passiert nur bei gmail und > keinem anderen Provider den ich habe. Trotzdem irgendwie nervig Verstehe ich das richtig? Eine E-Mail von A zu B wird bei C per POP abgerufen? Obwohl diese schon bei B angekommen ist, und A/B/C haben untereinander nichts miteinander zu tun? Das ist in der Tat komisch, sind da eventuell Weiterleitungen auf B eingerichtet die die E-Mail nach Google weiterleiten und dann per POP abrufen und löschen? -- Gruß Sascha From tobster at brain-force.ch Wed Dec 16 14:59:09 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 14:59:09 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B28D7A4.6090002@novuage.de> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> Message-ID: <4B28E7AD.4060808@brain-force.ch> On 16.12.2009 13:50, Sascha Peters wrote: > Verstehe ich das richtig? Eine E-Mail von A zu B wird bei C per POP > abgerufen? Obwohl diese schon bei B angekommen ist, und A/B/C haben > untereinander nichts miteinander zu tun? C wäre meine Gmail Adresse. A eine Weiterleitung (virtueller Alias) an B. Sowohl A als auch B werden von meinem Postfix bedient. Bei gmail schicke ich eine Email To A und Cc B. Es ist mir klar dass auf diese Weise zwei Emails in der Mailbox landen (einmal To und einmal Cc), nur sobald getmail den gmail Account leert kommen nochmals 2 Email (total also 4 Stück) > Das ist in der Tat komisch, sind da eventuell Weiterleitungen auf B > eingerichtet die die E-Mail nach Google weiterleiten und dann per POP > abrufen und löschen? An Weiterleitungen habe ich auch schon gedacht, aber dann müsste die Email ja an gmail zurückgeschickt worden sein und hätte entsprechende Header. Auch müsste sich doch die Message-ID ändern? Wenn ich nach dem Absenden der Email und dem Empfang in meiner lokalen Mailbox im Webinterface bei gmail den Posteingang anschaue, dann ist der leer! Ich habe hier mal noch das mail.log einer solche doppelten Zustellung: Dec 16 14:38:24 mail deliver(tobster at brain-force.ch): msgid=: saved mail to INBOX [...] Dec 16 14:40:07 mail dovecot: auth(default): passwd-file(tobster at brain-force.ch): lookup: user=tobster at brain-force.ch file=/opt/etc/dovecot/passwd Dec 16 14:40:07 mail dovecot: auth(default): master out: USER 1 tobster at brain-force.ch uid=1032 gid=65537 home=/volume1/homes/vmail/tobster at brain-force.ch Dec 16 14:40:07 mail deliver(tobster at brain-force.ch): msgid=: saved mail to INBOX Um 14:38:24 wurde die Email die ich an B geschickt habe empfangen. Dann um 14:40:07 geht getmail los und stellt die Email nochmals rein (gleiche Msg ID) Gruss tobi From ballensiefen at stm-gruppe.de Wed Dec 16 16:18:36 2009 From: ballensiefen at stm-gruppe.de (Andre Ballensiefen | STM Vertriebs GbR) Date: Wed, 16 Dec 2009 16:18:36 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B28E7AD.4060808@brain-force.ch> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> Message-ID: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC94F0E54@ECCR01PUBLIC.exchange.local> Hi, das ist bei Googlemail normal. Es gibt in den Einstellungen von Google irgendwo eine Einstellung dafür. Das macht Google für die Konversationshistorie. Jede Mail die du über das Webinterface sendest wird quasi "CC" normal an dich gesendet. Gruß, Andre -- STM Vertriebs GbR Kaufmannstraße 39 53115 Bonn Tel : 0228 / 65 41 96 Fax : 0228 / 65 41 99 Mobil: 0171 / 567 91 83 eMail: ballensiefen at stm-gruppe.de Geschäftsführer: André Ballensiefen, Salvatore Mormina USt-IdNr.: DE262177068, Finanzamt Bonn-Innenstadt From tobster at brain-force.ch Wed Dec 16 17:13:42 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 17:13:42 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC94F0E54@ECCR01PUBLIC.exchange.local> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <057D3E7241F17C44B3D1997DA3A9B9BD01ACC94F0E54@ECCR01PUBLIC.exchange.local> Message-ID: <4B290736.4090203@brain-force.ch> On 16.12.2009 16:18, Andre Ballensiefen | STM Vertriebs GbR wrote: > Hi, > > das ist bei Googlemail normal. Es gibt in den Einstellungen von Google irgendwo eine Einstellung dafür. > Das macht Google für die Konversationshistorie. Jede Mail die du über das Webinterface sendest wird quasi "CC" normal an dich gesendet. > Danke für den Tipp. Habe mir aber mittlerweile in den Optionen von gmail einen Wolf gesucht und nichts gefunden. Habe auch schon einen Filter probiert, aber auch der half nichts. Sieht man denn solche Cc Google Mails nicht im Posteingang? Weil der ist wirklich immer leer. Du weisst nicht zufällig noch wie diese Option heisst? Danke und Gruss tobi From sebastian at debianfan.de Wed Dec 16 17:21:10 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 16 Dec 2009 17:21:10 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer Message-ID: <4B2908F6.6040909@debianfan.de> Hallo zusammen und Guten Abend, gibt es Daten (ip-Adressen, Mailadressen, rexexp für body/header/mime-Filter) - irgendwas - womit ich Mails von planet49.de Gewinnspielmails, Autogewinnspielmails, Neckermann-Gewinnspielmails usw... - blocken kann? Bei deutschen Firmen ist das ja relativ einfach - bei den Spa--ern (Postfachbefüllern) von Unister hat ein T5F geholfen - nach einem Anruf war die Dame am anderen Ende der Leitung sehr "kooperativ" ;-) Aber die meisten sitzen ja nicht im Bereich des deutschen Rechtssystems - da helfen nur andere Methoden. Hinweise? Vorschläge? Erfahrungswerte? gruß Sebastian From listen at papernet.de Wed Dec 16 17:26:57 2009 From: listen at papernet.de (Matthias Ebner) Date: Wed, 16 Dec 2009 17:26:57 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer In-Reply-To: <4B2908F6.6040909@debianfan.de> Message-ID: <001101ca7e6c$96af5080$0601a8c0@emnpc2> sebastian at debianfan.de schrieb am Mittwoch, den 16. Dezember 2009 > Hinweise? > Vorschläge? > Erfahrungswerte? Evtl. http://www.postfixbuch.de/web/service/checks ? Haben wir seit ca. einem Jahr auf den Servern eingebunden. Beschwerden wegen irrtümlich geblockter Mails gab es bisher noch nicht. LG Matthias From cert at flost.info Wed Dec 16 17:38:49 2009 From: cert at flost.info (Computer Emergency Response Team) Date: Wed, 16 Dec 2009 17:38:49 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer Message-ID: <1260981529.4b290d19db1f9@office.wonczak.de> Hallo Sebastian, ich würde vorschlagen, dass du die üblichen Anti Spam Maßnahmen ergreifst (Blacklisten abfragen, Spamassessin, policy-wheightd, Virusscans etc.). Die werfen dir nahezu alle unerwünschten Mails raus (ich bekomme z.B. zwei Spam Mails im Monat bei ~50 Mailadressen). Viele Grüße fLOSt Am Mittwoch, den 16.12.2009 um 17:21 schrieb "sebastian at debianfan.de" : Hallo zusammen und Guten Abend, gibt es Daten (ip-Adressen, Mailadressen, rexexp für body/header/mime-Filter) - irgendwas - womit ich Mails von planet49.de Gewinnspielmails, Autogewinnspielmails, Neckermann-Gewinnspielmails usw... - blocken kann? Bei deutschen Firmen ist das ja relativ einfach - bei den Spa--ern (Postfachbefüllern) von Unister hat ein T5F geholfen - nach einem Anruf war die Dame am anderen Ende der Leitung sehr "kooperativ" ;-) Aber die meisten sitzen ja nicht im Bereich des deutschen Rechtssystems - da helfen nur andere Methoden. Hinweise? Vorschläge? Erfahrungswerte? gruß Sebastian -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfix-list at novuage.de Wed Dec 16 19:14:37 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 16 Dec 2009 19:14:37 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC94F0E54@ECCR01PUBLIC.exchange.local> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <057D3E7241F17C44B3D1997DA3A9B9BD01ACC94F0E54@ECCR01PUBLIC.exchange.local> Message-ID: <4B29238D.4040803@novuage.de> Andre Ballensiefen | STM Vertriebs GbR schrieb: > das ist bei Googlemail normal. Es gibt in den Einstellungen von Google irgendwo eine Einstellung dafür. > Das macht Google für die Konversationshistorie. Jede Mail die du über das Webinterface sendest wird quasi "CC" normal an dich gesendet. Was? Aber selbst dann sollten es nicht 4 Sondern 3 E-Mails sein, oder? -- Gruß Sascha From postfix-list at novuage.de Wed Dec 16 19:15:43 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 16 Dec 2009 19:15:43 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B28E7AD.4060808@brain-force.ch> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> Message-ID: <4B2923CF.3040504@novuage.de> tobi schrieb: > On 16.12.2009 13:50, Sascha Peters wrote: >> Verstehe ich das richtig? Eine E-Mail von A zu B wird bei C per POP >> abgerufen? Obwohl diese schon bei B angekommen ist, und A/B/C haben >> untereinander nichts miteinander zu tun? > C wäre meine Gmail Adresse. A eine Weiterleitung (virtueller Alias) an > B. Sowohl A als auch B werden von meinem Postfix bedient. Bei gmail > schicke ich eine Email To A und Cc B. Es ist mir klar dass auf diese > Weise zwei Emails in der Mailbox landen (einmal To und einmal Cc), nur > sobald getmail den gmail Account leert kommen nochmals 2 Email (total > also 4 Stück) das ist ja verrückt... >> Das ist in der Tat komisch, sind da eventuell Weiterleitungen auf B >> eingerichtet die die E-Mail nach Google weiterleiten und dann per POP >> abrufen und löschen? > An Weiterleitungen habe ich auch schon gedacht, aber dann müsste die > Email ja an gmail zurückgeschickt worden sein und hätte entsprechende > Header. Auch müsste sich doch die Message-ID ändern? Mal ganz kreativ... Google Sync vom Handy oder per Tool im Client? Das dein IMAP von B abgerufen wird und mit Google Syncronisiert und dann getmail GENAU diese abruft... Und bei Google ist sie dann weg, wenn du per POP arbeitest, weil doch POP die E-Mails vom Server löscht... -- Gruß Sascha From tobster at brain-force.ch Wed Dec 16 19:30:01 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 19:30:01 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B2923CF.3040504@novuage.de> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <4B2923CF.3040504@novuage.de> Message-ID: <4B292729.3010106@brain-force.ch> On 16.12.2009 19:15, Sascha Peters wrote: > Mal ganz kreativ... Google Sync vom Handy oder per Tool im Client? Das > dein IMAP von B abgerufen wird und mit Google Syncronisiert und dann > getmail GENAU diese abruft... > Und bei Google ist sie dann weg, wenn du per POP arbeitest, weil doch > POP die E-Mails vom Server löscht... Ich greife nicht direkt auf gmail zu, das macht nur der Server mit getmail. Selber greife ich nur auf den lokalen Account auf meinem Dovecot Server zu. Im Webinterface von gmail sehe ich ja das keine Email vorhanden ist. Wenn ich dann aber manuell den getmail abfeuere, dann findet der eine Email. Und das ist was ich nicht kapiere. Ein Default Cc wie bereits geschrieben, müsste doch als Email in der Inbox liegen. Auch müsste ein Cc doch mindestens eine Received Zeile mit gmail in den Headern haben Gruss tobi From postfix-list at novuage.de Wed Dec 16 19:34:10 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 16 Dec 2009 19:34:10 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B292729.3010106@brain-force.ch> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <4B2923CF.3040504@novuage.de> <4B292729.3010106@brain-force.ch> Message-ID: <4B292822.208@novuage.de> tobi schrieb: > On 16.12.2009 19:15, Sascha Peters wrote: >> Mal ganz kreativ... Google Sync vom Handy oder per Tool im Client? Das >> dein IMAP von B abgerufen wird und mit Google Syncronisiert und dann >> getmail GENAU diese abruft... >> Und bei Google ist sie dann weg, wenn du per POP arbeitest, weil doch >> POP die E-Mails vom Server löscht... > Ich greife nicht direkt auf gmail zu, das macht nur der Server mit > getmail. Selber greife ich nur auf den lokalen Account auf meinem > Dovecot Server zu. Im Webinterface von gmail sehe ich ja das keine Email > vorhanden ist. Wenn ich dann aber manuell den getmail abfeuere, dann > findet der eine Email. Und das ist was ich nicht kapiere. Ein Default Cc > wie bereits geschrieben, müsste doch als Email in der Inbox liegen. > Auch müsste ein Cc doch mindestens eine Received Zeile mit gmail in den > Headern haben In der Tat, ich weiß schon warum ich Google nicht mag... Das macht alles keinen Sinn so wie Du das hier schreibst. Schau doch mal für Spaß mit den Daten die getmail verwendet per POP und Telnet auf den Server und ins Frontend. Zu den Headern... wenn die GENAU Identisch sind, dann kann auch von der Seite schon das kein auto CC sein, weil deine Server dann ja nicht drin stehen dürfen. Oder tun sie das nicht? -- Gruß Sascha From tobster at brain-force.ch Wed Dec 16 20:12:12 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 20:12:12 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B292822.208@novuage.de> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <4B2923CF.3040504@novuage.de> <4B292729.3010106@brain-force.ch> <4B292822.208@novuage.de> Message-ID: <4B29310C.30702@brain-force.ch> On 16.12.2009 19:34, Sascha Peters wrote: > tobi schrieb: >> On 16.12.2009 19:15, Sascha Peters wrote: >>> Mal ganz kreativ... Google Sync vom Handy oder per Tool im Client? >>> Das dein IMAP von B abgerufen wird und mit Google Syncronisiert und >>> dann getmail GENAU diese abruft... >>> Und bei Google ist sie dann weg, wenn du per POP arbeitest, weil >>> doch POP die E-Mails vom Server löscht... >> Ich greife nicht direkt auf gmail zu, das macht nur der Server mit >> getmail. Selber greife ich nur auf den lokalen Account auf meinem >> Dovecot Server zu. Im Webinterface von gmail sehe ich ja das keine >> Email vorhanden ist. Wenn ich dann aber manuell den getmail abfeuere, >> dann findet der eine Email. Und das ist was ich nicht kapiere. Ein >> Default Cc wie bereits geschrieben, müsste doch als Email in der >> Inbox liegen. >> Auch müsste ein Cc doch mindestens eine Received Zeile mit gmail in >> den Headern haben > > In der Tat, ich weiß schon warum ich Google nicht mag... Das macht > alles keinen Sinn so wie Du das hier schreibst. > > Schau doch mal für Spaß mit den Daten die getmail verwendet per POP > und Telnet auf den Server und ins Frontend. Zu den Headern... wenn die > GENAU Identisch sind, dann kann auch von der Seite schon das kein auto > CC sein, weil deine Server dann ja nicht drin stehen dürfen. Oder tun > sie das nicht? > > Nein die Header sind nicht genau identisch. Ich habe sie mir jetzt nochmal angeschaut und bei der doppelten Email steht ein Received by HTTP drin. Also wohl doch ein Auto-Cc Received: by 10.103.39.2 with HTTP; Wed, 16 Dec 2009 08:22:12 -0800 (PST) Die Emails landen wohl in der Inbox, aber das Webinterface von gmail scheint solche Emails nicht anzuzeigen. Per telnet und pop müssen sie ja vorhanden sein, sonst würde getmail nix laden können. Ich habe das mit telnet zwar noch nicht getestet, aber ich kann mir kaum vorstellen, dass getmail, welches bei der Zustellung des "richtigen" (ersten) Emails nicht involviert war, plötzlich solche Emails "erfinden" würde. Gruss tobi From tobster at brain-force.ch Wed Dec 16 20:23:07 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 20:23:07 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B29310C.30702@brain-force.ch> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <4B2923CF.3040504@novuage.de> <4B292729.3010106@brain-force.ch> <4B292822.208@novuage.de> <4B29310C.30702@brain-force.ch> Message-ID: <4B29339B.8000308@brain-force.ch> Oh mann jetzt hab ich es. Als ich testweise mal den Filter bei gmail angelegt habe, verwendete ich nur die Option "Skip the Inbox (Archive it)". Damit wurde die Email aber trotzdem noch via pop ausgeliefert. Erst diese Option zusammen mit "Delete it" bringt die gewünschte Wirkung. Nebeneffekt: Die Email ist auch nicht in den gesendeten Objekten bei gmail zu finden und man jedesmal eine nervige Fehlermeldung bekommt, dass die gesendete Email lokal gelöscht wurde. Aber zumindest die Fehlermeldung kriegt man weg indem man auf das html-pur Interface von gmail wechselt. Danke an alle für die Hilfe Gruss tobi From postfix-list at novuage.de Wed Dec 16 20:29:01 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 16 Dec 2009 20:29:01 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B29310C.30702@brain-force.ch> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <4B2923CF.3040504@novuage.de> <4B292729.3010106@brain-force.ch> <4B292822.208@novuage.de> <4B29310C.30702@brain-force.ch> Message-ID: <4B2934FD.5050805@novuage.de> tobi schrieb: > Die Emails landen wohl in der Inbox, aber das Webinterface von gmail > scheint solche Emails nicht anzuzeigen. Per telnet und pop müssen sie ja > vorhanden sein, sonst würde getmail nix laden können. Ich habe das mit > telnet zwar noch nicht getestet, aber ich kann mir kaum vorstellen, dass > getmail, welches bei der Zustellung des "richtigen" (ersten) Emails > nicht involviert war, plötzlich solche Emails "erfinden" würde. ein Webmailer der quasi per IMAP den Inhalt des Postfaches anzeigen sollte zeigt normal auch nicht ohne Grund die E-Mails nicht an. Und wie geht es weiter ;-) So, aber wenn es ein Auto-CC wäre, dann dürften es eigentlich 3 Mails und nicht 4 sein. Du sendest doch eine E-Mail ab, und nutzt To: und Cc: sagtest Du. Das ist eine E-Mail und bei einem Auto-CC werden es dann 3 und nicht 4... oder? -- Gruß Sascha From rh at mserve.nr67.de Wed Dec 16 20:22:04 2009 From: rh at mserve.nr67.de (Roland Huehn) Date: Wed, 16 Dec 2009 20:22:04 +0100 Subject: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? In-Reply-To: References: <20091215184025.GB31082@mail.incertum.net> Message-ID: <4B29335C.2080505@mserve.nr67.de> Kirchel Oliver schrieb: > Hallo, > ich hatte so was im Netz gefunden: > > in /etc/postfix/transport "web.de schmalspur:" definieren > > und in der master.cf das: > # wakeup maxproc > schmalspur unix - - n 5 - smtp # wakeup maxproc schmalspur unix - - n - 5 smtp > > Leider bekomme ich folgenden Fehler: > > postfix/smtp[15893]: warning: unexpected attribute W from schmalspur socket (expecting: flags) > > Hat jemand eine Idee, was da falsch ist? > > Gruß > > Olli > > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Stefan Förster > Gesendet: Dienstag, 15. Dezember 2009 19:40 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: [Postfixbuch-users] Gibt es sowas wie whitelisting bei web.de? > > * Kirchel Oliver : >> host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: Too many concurrent SMTP connections from one IP address; >> host mx-ha02.web.de[217.72.192.188] refused to talk to me: 421 mx37.web.de: Too much load; please try again later >> delivery temporarily suspended: host mx-ha02.WEB.DE[217.72.192.188] refused to talk to me: 421 mx43.web.de: SMTP command timeout - closing connection >> delivery temporarily suspended: connect to mx-ha02.web.de[217.72.192.188]:25: Connection timed out > > Deliver nicht soviel auf einmal zu web.de. > > 1. "smtp"-Transport in master.cf klonen, z.B. "unstable" nennen. > 2. In der main.cf folgende Parameter setzen: > # allow concurrency * failed_cohort_limit failed deliveries > # before marking the destination as dead > # here: 200 > unstable_destination_concurrency_failed_cohort_limit = 100 > unstable_destination_concurrency_limit = 2 > # desperate measure: pause 2 second between delivery attempts > #unstable_destination_rate_delay = 1 > 3. Eine Map in die Liste der transport_maps aufnehmen, die web.de an > den "unstable"-Klon übergibt. Siehe man 5 transport. > > Oder aber: Einfach ignorieren. > > > Ciao > Stefan > > P.S: Frei nach http://www.postfix.org/QSHAPE_README.html#backlog From tobster at brain-force.ch Wed Dec 16 20:41:34 2009 From: tobster at brain-force.ch (tobi) Date: Wed, 16 Dec 2009 20:41:34 +0100 Subject: [Postfixbuch-users] Doppelte Email bei bestimmten Sender... In-Reply-To: <4B2934FD.5050805@novuage.de> References: <4B28D688.3000200@brain-force.ch> <4B28D7A4.6090002@novuage.de> <4B28E7AD.4060808@brain-force.ch> <4B2923CF.3040504@novuage.de> <4B292729.3010106@brain-force.ch> <4B292822.208@novuage.de> <4B29310C.30702@brain-force.ch> <4B2934FD.5050805@novuage.de> Message-ID: <4B2937EE.3090209@brain-force.ch> On 16.12.2009 20:29, Sascha Peters wrote: > tobi schrieb: >> Die Emails landen wohl in der Inbox, aber das Webinterface von gmail >> scheint solche Emails nicht anzuzeigen. Per telnet und pop müssen sie >> ja vorhanden sein, sonst würde getmail nix laden können. Ich habe das >> mit telnet zwar noch nicht getestet, aber ich kann mir kaum >> vorstellen, dass getmail, welches bei der Zustellung des "richtigen" >> (ersten) Emails nicht involviert war, plötzlich solche Emails >> "erfinden" würde. > > ein Webmailer der quasi per IMAP den Inhalt des Postfaches anzeigen > sollte zeigt normal auch nicht ohne Grund die E-Mails nicht an. Und > wie geht es weiter ;-) > > So, aber wenn es ein Auto-CC wäre, dann dürften es eigentlich 3 Mails > und nicht 4 sein. Du sendest doch eine E-Mail ab, und nutzt To: und > Cc: sagtest Du. Das ist eine E-Mail und bei einem Auto-CC werden es > dann 3 und nicht 4... oder? > > Ich kriege gesamthaft doppelt so viele Emails wie ich Empfänger drin hatte. Also eine für den To und eine für den Cc. Kein Plan wieso, aber definitiv doppelt so viele wie Empfänger in der Email. Verwende ich ein To und zwei Cc, dann habe ich 6 Emails in der Mailbox. Ich kanns mir nur so erklären: Google eben... Oder vielleicht filtern sie bei der Anzeige der Inbox im Browser mehrfach gleiche Msg-IDs weg. Denn diese waren immer identisch bei den doppelten Emails From kai_postfix at fuerstenberg.ws Wed Dec 16 22:03:42 2009 From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=) Date: Wed, 16 Dec 2009 22:03:42 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer In-Reply-To: <1260981529.4b290d19db1f9@office.wonczak.de> References: <1260981529.4b290d19db1f9@office.wonczak.de> Message-ID: <4B294B2E.3090402@fuerstenberg.ws> Hallo zusammen, Computer Emergency Response Team schrieb: > ich würde vorschlagen, dass du die üblichen Anti Spam Maßnahmen > ergreifst (Blacklisten abfragen, Spamassessin, policy-wheightd, > Virusscans etc.). Die werfen dir nahezu alle unerwünschten Mails raus > (ich bekomme z.B. zwei Spam Mails im Monat bei ~50 Mailadressen). bitte kein Top-Posting. Außerdem funktioniert das meistens nicht, da die DNS-Einträge korrekt sind, und die Server auf keiner der üblichen Listen stehen. > > Am Mittwoch, den 16.12.2009 um 17:21 schrieb "sebastian at debianfan.de" > : > > Hallo zusammen und Guten Abend, > > gibt es Daten (ip-Adressen, Mailadressen, rexexp für > body/header/mime-Filter) - irgendwas - womit ich Mails von > planet49.de > Gewinnspielmails, Autogewinnspielmails, Neckermann-Gewinnspielmails > usw... - blocken kann? > > Bei deutschen Firmen ist das ja relativ einfach - bei den Spa--ern > (Postfachbefüllern) von Unister hat ein T5F geholfen - nach einem > Anruf > war die Dame am anderen Ende der Leitung sehr "kooperativ" ;-) > > Aber die meisten sitzen ja nicht im Bereich des deutschen > Rechtssystems > - da helfen nur andere Methoden. > Weiterhin geht es Sebastian wohl eher um Newsletterversender. z.B. Kajomi, SuperComm, DataComm, AdRom, Unister, ... oder im speziellen planet49.de = planet49.com Ich kenne bisher folgende (ohne Gewähr): Kajomi (KJM): 85.10.252.0/24 86.110.71.0/24 213.239.243.96/28 AdRom (NWML): 78.47.227.0/26 88.198.174.0/24 Bellnet: 217.168.174.0/24 Opinion World: 4.71.174.0/26 Email Vision: 81.92.112.0/20 Optivo: 193.169.180.0/23 Unister gibt's auch noch, von denen habe ich aber gerade keinen IP-Bereich. Es gibt dann noch die 3Cats Media Corp., aber die verwendet kein zusammenhängendes Netz sondern hängt immer irgendwo zwischendrin im Kolido-Netz. Und Kolido hat 91.184.48.0/20. Die hosten aber auch legitime Server. Bei Planet49 müsstest du einfach mal die IP-Adresse der Servers raussuchen. Meist hast du dann auch eine andere Domain. Ein Whois auf die IP-Adresse bringt dir z.T. schon mal das Netzwerk, mit dem die versenden, sofern die das gekauft haben und entsprechend eingetragen sind. -- Gruß Kai From kai_postfix at fuerstenberg.ws Thu Dec 17 10:31:32 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 17 Dec 2009 10:31:32 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer In-Reply-To: <4B294B2E.3090402@fuerstenberg.ws> References: <1260981529.4b290d19db1f9@office.wonczak.de> <4B294B2E.3090402@fuerstenberg.ws> Message-ID: <4B29FA74.7000309@fuerstenberg.ws> Kai Fürstenberg schrieb am 16.12.2009 22:03: > Unister gibt's auch noch, von denen habe ich aber gerade keinen > IP-Bereich. 217.114.223.0/24 gehört Unister. Ich bin aber auch noch auf "United Mail Solutions" gestossen, denen das Netz 62.27.57.0/24 gehört. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From christian at cg-networks.de Thu Dec 17 12:36:15 2009 From: christian at cg-networks.de (Christian Garling) Date: Thu, 17 Dec 2009 12:36:15 +0100 (CET) Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch Message-ID: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> Hallo zusammen, zwar etwas Offtopic, aber da diese Liste hier die aktivste ist die ich im Mailserverbereich kenne versuche ich es mal: Wir haben letzten Dienstag bei unserem Kunden einen Mailcluster in Betrieb genommen, welcher aus zwei Debian 5.0 64 Bit Servern mit Postfix und Dovecot besteht. Das Dovecot Mailstore liegt auf einem DRBD Device, dass aktuell mit Protocol A (asynchrone Synchronisation) läuft. Wir sind uns nicht ganz sicher ob das wirklich Dovecot ist, der da Probleme macht, aber laut top sieht es stark danach aus. Die Last des Server steigt auf 40.00 und mehr an, IO Wait schwankt laut top zwischen 30 und 60%. Die Benutzer beklagen sich natürlich zu recht über die schlechte Performance. Wir sind momentan etwas ratlos wie wir das Problem anpacken sollen. Hier mal die Configs: mailserver-prod:/var/log# dovecot -n # 1.0.15: /etc/dovecot/dovecot.conf log_timestamp: %Y-%m-%d %H:%M:%S syslog_facility: local1 ssl_cert_file: /etc/ssl/certs/dovecot.crt ssl_key_file: /etc/ssl/private/dovecot.key disable_plaintext_auth: no login_dir: /var/run/dovecot/login login_executable: /usr/lib/dovecot/imap-login login_max_processes_count: 512 login_max_connections: 1024 mail_privileged_group: mail mail_location: maildir:/data/mail/%n/Maildir mail_plugins: quota imap_quota auth default: passdb: driver: pam passdb: driver: sql args: /etc/dovecot/dovecot-sql.conf userdb: driver: passwd userdb: driver: sql args: /etc/dovecot/dovecot-sql.conf socket: type: listen client: path: /var/spool/postfix/private/auth mode: 432 user: postfix group: postfix master: path: /var/run/dovecot/auth-master mode: 384 user: vmail group: vmail plugin: quota: maildir:ignore=Trash mailserver-prod:/var/log# postconf -n alias_maps = hash:/etc/aliases body_checks = pcre:/etc/postfix/header_body_checks/body_checks bounce_queue_lifetime = 3d broken_sasl_auth_clients = yes config_directory = /etc/postfix disable_vrfy_command = yes header_checks = pcre:/etc/postfix/header_body_checks/header_checks mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man maximal_queue_lifetime = 3d message_size_limit = 30720000 mydestination = localhost, localhost.$mydomain, $myhostname, mailserver.vendus.local, mailserver-prod.vendus.local myhostname = mail.vendus-group.de mynetworks = 127.0.0.0/8, hash:/etc/postfix/mynetworks myorigin = $myhostname newaliases_path = /usr/bin/newaliases readme_directory = /usr/share/doc/postfix recipient_bcc_maps = hash:/etc/postfix/bcc_maps/recipient_bcc_maps sample_directory = /usr/share/doc/postfix/examples sender_bcc_maps = hash:/etc/postfix/bcc_maps/sender_bcc_maps sendmail_path = /usr/sbin/sendmail smtp_tls_security_level = may smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access_maps/access_role_accounts, check_client_access hash:/etc/postfix/access_maps/access_client_hostname, check_client_access cidr:/etc/postfix/access_maps/access_client_ip.cidr, check_helo_access hash:/etc/postfix/access_maps/access_helo, check_helo_access pcre:/etc/postfix/access_maps/access_helo.pcre, check_sender_access hash:/etc/postfix/access_maps/access_sender, check_recipient_access hash:/etc/postfix/access_maps/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated, check_recipient_access hash:/etc/postfix/access_maps/access_interne_verteiler, check_policy_service inet:127.0.0.1:12525 reject_unauth_destination, reject_unauth_pipelining, permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_tls_CAfile = /etc/ssl/vendusCA/cacert.pem smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/postfix.crt smtpd_tls_key_file = /etc/ssl/private/postfix.key smtpd_tls_security_level = may soft_bounce = no transport_maps = hash:/etc/postfix/relay/relay.vendusch virtual_alias_maps = proxy:mysql:/etc/postfix/mysql/virtual_alias_maps.cf, hash:/etc/postfix/virtual/catchall virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf, hash:/etc/postfix/relay/relay.vendusch virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf virtual_transport = dovecot Gruß, Christian Garling From andre.huebner at gmx.de Thu Dec 17 13:21:13 2009 From: andre.huebner at gmx.de (=?iso-8859-1?Q?Andre_H=FCbner?=) Date: Thu, 17 Dec 2009 13:21:13 +0100 Subject: [Postfixbuch-users] too many recipients - logging Message-ID: <850E6B9D057B425793E59BFAA57546AC@nmm.local> Hallo, ich habe momentan den Fall das einer meiner User nicht senden kann und den Fehler "4.5.3 Error: too many recipients" bekommt. Der user versichert nur etwa 50 Empfänger in seiner BCC-Liste zu haben . Ich kann dass so leider nicht im Log nachvollziehen. Ich sehe zu den Uhrzeiten einen Connect und ein sasl-login des Users, danach dann später nur noch einen disconnect. Ich denke das wird der bewußte Vorgang sein, aber müsste ich in meinen Logs dann nicht wenigstens die Ablehnung sehen? Der Fall ist mir sowieso suspekt da ich hier an den Postfix Defaults nichts geändert hab. Hab gegoogelt, viel wird dabei auf den Client geschoben, so richtig will mir das aber in dem Fall nicht passen. Was soll man davon halten? Danke, Andre From michael at nausch.org Thu Dec 17 13:24:42 2009 From: michael at nausch.org (Michael Nausch) Date: Thu, 17 Dec 2009 13:24:42 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL Message-ID: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> HI, ich gehe doch recht der Annahme, daß ein postsuper -r ALL die Zeitstempel der eMails in der queue auf die aktuelle Zeit zurücksetzt, oder? Ein täglicher Aufruf von postsuper -r ALL würde also die maximal_queue_lifetime_days kontrakarrieren, oder? Mögliche Antworten: [ ] ja [ ] nein [ ] QUATSCH ;) cul8r, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org From werner at aloah-from-hell.de Thu Dec 17 13:34:34 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Thu, 17 Dec 2009 13:34:34 +0100 Subject: [Postfixbuch-users] too many recipients - logging In-Reply-To: <850E6B9D057B425793E59BFAA57546AC@nmm.local> References: <850E6B9D057B425793E59BFAA57546AC@nmm.local> Message-ID: <4B2A255A.50303@aloah-from-hell.de> Am 17.12.09 13:21, schrieb Andre Hübner: > Hallo, > > ich habe momentan den Fall das einer meiner User nicht senden kann und > den Fehler "4.5.3 Error: too many recipients" bekommt. > Der user versichert nur etwa 50 Empfänger in seiner BCC-Liste zu haben . > Hi, per Default ist default_destination_recipient_limit auf 50 gestellt. Du musst den Parameter default_destination_recipient_limit justieren: postconf -d | grep default_destination_recipient_limit default_destination_recipient_limit = 50 lmtp_destination_recipient_limit = $default_destination_recipient_limit relay_destination_recipient_limit = $default_destination_recipient_limit smtp_destination_recipient_limit = $default_destination_recipient_limit virtual_destination_recipient_limit = $default_destination_recipient_limit Ciao, Werner From werner at aloah-from-hell.de Thu Dec 17 13:37:12 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Thu, 17 Dec 2009 13:37:12 +0100 Subject: [Postfixbuch-users] too many recipients - logging In-Reply-To: <4B2A255A.50303@aloah-from-hell.de> References: <850E6B9D057B425793E59BFAA57546AC@nmm.local> <4B2A255A.50303@aloah-from-hell.de> Message-ID: <4B2A25F8.7060101@aloah-from-hell.de> Am 17.12.09 13:34, schrieb Werner Detter: > Am 17.12.09 13:21, schrieb Andre Hübner: >> Hallo, >> >> ich habe momentan den Fall das einer meiner User nicht senden kann und >> den Fehler "4.5.3 Error: too many recipients" bekommt. >> Der user versichert nur etwa 50 Empfänger in seiner BCC-Liste zu haben . >> > > > Hi, > > per Default ist default_destination_recipient_limit auf 50 gestellt. Du musst > den Parameter default_destination_recipient_limit justieren: > > postconf -d | grep default_destination_recipient_limit > default_destination_recipient_limit = 50 > lmtp_destination_recipient_limit = $default_destination_recipient_limit > relay_destination_recipient_limit = $default_destination_recipient_limit > smtp_destination_recipient_limit = $default_destination_recipient_limit > virtual_destination_recipient_limit = $default_destination_recipient_limit > > Ciao, > Werner Der entsprechende Parameter für den SMTPD wäre: smtpd_recipient_limit (default: 1000). Ciao, Werner From Ralf.Hildebrandt at charite.de Thu Dec 17 13:50:40 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 13:50:40 +0100 Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch In-Reply-To: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> References: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> Message-ID: <20091217125039.GQ15680@charite.de> * Christian Garling : > mailserver-prod:/var/log# dovecot -n > # 1.0.15: /etc/dovecot/dovecot.conf Bei dovecot kannst Du mit antiken Versionen wirklich echte Probleme kriegen. Aber OK. maildir_copy_with_hardlinks = yes maildir_copy_preserve_filename = yes maildir_very_dirty_syncs = yes mal probieren (wenn es das schon gibt in deiner Version) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From christian at cg-networks.de Thu Dec 17 14:25:09 2009 From: christian at cg-networks.de (Christian Garling) Date: Thu, 17 Dec 2009 14:25:09 +0100 (CET) Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch In-Reply-To: <20091217125039.GQ15680@charite.de> References: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> <20091217125039.GQ15680@charite.de> Message-ID: <622158f08a0ebeff6cd4639756cf1e96.squirrel@www.cg-networks.de> > * Christian Garling : > >> mailserver-prod:/var/log# dovecot -n >> # 1.0.15: /etc/dovecot/dovecot.conf > > Bei dovecot kannst Du mit antiken Versionen wirklich echte Probleme > kriegen. Aber OK. > Wir haben aktuell das Problem mit einem Konto das im Sekunden Takt mehrere Tausend Mails im .Sent/cur Ordner auftauchen, die sich im Client als verfielfachte Mails darstellen, also 1 Mail in 50facher Ausführung und das für fast alle gesendeten Mails die existieren. > maildir_copy_with_hardlinks = yes > maildir_copy_preserve_filename = yes > maildir_very_dirty_syncs = yes > > mal probieren (wenn es das schon gibt in deiner Version) > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | http://www.charite.de > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > Gruß, Christian Garling From Ralf.Hildebrandt at charite.de Thu Dec 17 14:31:03 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 14:31:03 +0100 Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch In-Reply-To: <622158f08a0ebeff6cd4639756cf1e96.squirrel@www.cg-networks.de> References: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> <20091217125039.GQ15680@charite.de> <622158f08a0ebeff6cd4639756cf1e96.squirrel@www.cg-networks.de> Message-ID: <20091217133103.GX15680@charite.de> * Christian Garling : > Wir haben aktuell das Problem mit einem Konto das im Sekunden Takt mehrere > Tausend Mails im .Sent/cur Ordner auftauchen, die sich im Client als > verfielfachte Mails darstellen, also 1 Mail in 50facher Ausführung und das > für fast alle gesendeten Mails die existieren. Sehr sehr seltsam, aber das Problem hatte ich (auch mit 1.0.x!) nicht. Könnte natürlich die Performance runterreissen... Bei Eurer doch einfachen Konfig würde ich empfhlen, mal die 1.2er Pakete zu nutzen: http://wiki.dovecot.org/PrebuiltBinaries deb http://xi.rename-it.nl/debian/ testing-auto/dovecot-1.1 main oder deb http://xi.rename-it.nl/debian/ testing-auto/dovecot-1.2 main 1.0 -> 1.1 wechsel ist schmerzlos. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From christian at cg-networks.de Thu Dec 17 14:35:38 2009 From: christian at cg-networks.de (Christian Garling) Date: Thu, 17 Dec 2009 14:35:38 +0100 (CET) Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch In-Reply-To: <20091217133103.GX15680@charite.de> References: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> <20091217125039.GQ15680@charite.de> <622158f08a0ebeff6cd4639756cf1e96.squirrel@www.cg-networks.de> <20091217133103.GX15680@charite.de> Message-ID: <9da64df8e86bb06cce4c99b62f1300e8.squirrel@www.cg-networks.de> > * Christian Garling : > >> Wir haben aktuell das Problem mit einem Konto das im Sekunden Takt >> mehrere >> Tausend Mails im .Sent/cur Ordner auftauchen, die sich im Client als >> verfielfachte Mails darstellen, also 1 Mail in 50facher Ausführung und >> das >> für fast alle gesendeten Mails die existieren. > > Sehr sehr seltsam, aber das Problem hatte ich (auch mit 1.0.x!) nicht. > Könnte natürlich die Performance runterreissen... > > Bei Eurer doch einfachen Konfig würde ich empfhlen, mal die 1.2er > Pakete zu nutzen: http://wiki.dovecot.org/PrebuiltBinaries Wenn das überhaupt an Dovecot liegt und nicht an Amavis oder Postfix oder doch DRBD oder was ganz anderes. Es soll auch einen IO Wait Kernel Bug geben, der erst mit 2.3.32 gefixt ist. Und das so kurz vorm Urlaub :( > > deb http://xi.rename-it.nl/debian/ testing-auto/dovecot-1.1 main > oder > deb http://xi.rename-it.nl/debian/ testing-auto/dovecot-1.2 main > > 1.0 -> 1.1 wechsel ist schmerzlos. > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | http://www.charite.de > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From andre.huebner at gmx.de Thu Dec 17 14:36:39 2009 From: andre.huebner at gmx.de (=?iso-8859-1?Q?Andre_H=FCbner?=) Date: Thu, 17 Dec 2009 14:36:39 +0100 Subject: [Postfixbuch-users] too many recipients - logging References: <850E6B9D057B425793E59BFAA57546AC@nmm.local><4B2A255A.50303@aloah-from-hell.de> <4B2A25F8.7060101@aloah-from-hell.de> Message-ID: Hallo, >>> Hallo, >>> >>> ich habe momentan den Fall das einer meiner User nicht senden kann und >>> den Fehler "4.5.3 Error: too many recipients" bekommt. >>> Der user versichert nur etwa 50 Empfänger in seiner BCC-Liste zu haben . >>> >> >> >> Hi, >> >> per Default ist default_destination_recipient_limit auf 50 gestellt. Du >> musst >> den Parameter default_destination_recipient_limit justieren: >> >> postconf -d | grep default_destination_recipient_limit >> default_destination_recipient_limit = 50 >> lmtp_destination_recipient_limit = $default_destination_recipient_limit >> relay_destination_recipient_limit = $default_destination_recipient_limit >> smtp_destination_recipient_limit = $default_destination_recipient_limit >> virtual_destination_recipient_limit = >> $default_destination_recipient_limit >> >> Ciao, >> Werner > > Der entsprechende Parameter für den SMTPD wäre: smtpd_recipient_limit > > (default: 1000). smtpd_recipient_limit steht bei mir defaultmäßig auf 1000. an default_destination_recipient_limit hätte ich nicht gedacht, hab ich von 50 auch mal auf 1000 erhöht. der user meldet aber leider dass trotzdem kein Versenden möglich war. eine echte Fehlermeldung find ich trotzdem nicht im Log. Andre From Ralf.Hildebrandt at charite.de Thu Dec 17 15:43:44 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 15:43:44 +0100 Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch In-Reply-To: <9da64df8e86bb06cce4c99b62f1300e8.squirrel@www.cg-networks.de> References: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> <20091217125039.GQ15680@charite.de> <622158f08a0ebeff6cd4639756cf1e96.squirrel@www.cg-networks.de> <20091217133103.GX15680@charite.de> <9da64df8e86bb06cce4c99b62f1300e8.squirrel@www.cg-networks.de> Message-ID: <20091217144344.GJ15680@charite.de> * Christian Garling : > > * Christian Garling : > > > >> Wir haben aktuell das Problem mit einem Konto das im Sekunden Takt > >> mehrere > >> Tausend Mails im .Sent/cur Ordner auftauchen, die sich im Client als > >> verfielfachte Mails darstellen, also 1 Mail in 50facher Ausführung und > >> das > >> für fast alle gesendeten Mails die existieren. > > > > Sehr sehr seltsam, aber das Problem hatte ich (auch mit 1.0.x!) nicht. > > Könnte natürlich die Performance runterreissen... > > > > Bei Eurer doch einfachen Konfig würde ich empfhlen, mal die 1.2er > > Pakete zu nutzen: http://wiki.dovecot.org/PrebuiltBinaries > > Wenn das überhaupt an Dovecot liegt und nicht an Amavis oder Postfix oder > doch DRBD oder was ganz anderes. Es soll auch einen IO Wait Kernel Bug > geben, der erst mit 2.3.32 gefixt ist. Und das so kurz vorm Urlaub :( Kann auch sein. Aber man sieht das ja recht schnell wenn man postfix einfach abstellt :) oder htop nutzt um zu sehen wer da IO macht... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From m at micz.de Thu Dec 17 17:16:34 2009 From: m at micz.de (=?ISO-8859-15?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 17:16:34 +0100 Subject: [Postfixbuch-users] =?iso-8859-15?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-15?q?=E4ngervalidierung_und_Dovecot?= Message-ID: <4B2A5962.3020404@micz.de> Hallo, ich teste grade ein wenig mit Postfix und Dovecot rum. Als UserDb habe ich einen passwd-file benutzt. Leider klappt das mit dem dynamischen verifizieren des Empfängers nicht. Ich bekomme bei echo Testmail | /usr/sbin/sendmail gibtsgarnicht at MYDOMAIN.de immer einen Bounce Dec 17 17:12:46 micserv03 postfix/pickup[9994]: 167414B299: uid=0 from= Dec 17 17:12:46 micserv03 postfix/cleanup[10137]: 167414B299: message-id=<20091217161246.167414B299 at mail.roehrig-net.de> Dec 17 17:12:46 micserv03 postfix/qmgr[9995]: 167414B299: from=, size=301, nrcpt=1 (queue active) Dec 17 17:12:46 micserv03 dovecot: auth(default): passwd-file(gibtsgarnicht at roehrig-net.de): unknown user Dec 17 17:12:46 micserv03 postfix/pipe[10139]: 167414B299: to=, relay=dovecot, delay=0.23, delays=0.13/0.04/0/0.07, dsn=5.1.1, status=bounced (user unknown) Dec 17 17:12:46 micserv03 postfix/cleanup[10137]: 409154B29A: message-id=<20091217161246.409154B29A at mail.MYDOMAIN.de> Dec 17 17:12:46 micserv03 postfix/qmgr[9995]: 409154B29A: from=<>, size=2065, nrcpt=1 (queue active) Dec 17 17:12:46 micserv03 postfix/bounce[10141]: 167414B299: sender non-delivery notification: 409154B29A Dec 17 17:12:46 micserv03 postfix/qmgr[9995]: 167414B299: removed Dec 17 17:12:46 micserv03 postfix/local[10143]: 409154B29A: to=, relay=local, delay=0.07, delays=0.02/0.05/0/0.01, dsn=2.0.0, status=sent (delivered to maildir) Dec 17 17:12:46 micserv03 postfix/qmgr[9995]: 409154B29A: removed Kann mir da wer weiter helfen? Hier meine Konfiguration: postconf -n address_verify_map = btree:/var/spool/postfix/data/verify broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = //usr/lib/postfix data_directory = /var/lib/postfix debug_peer_level = 2 home_mailbox = .maildir/ html_directory = /usr/share/doc/postfix-2.6.5/html inet_interfaces = all mail_owner = postfix mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man maximal_queue_lifetime = 3d mydestination = $myhostname, localhost.$mydomain, localhost myhostname = mail.roehrig-net.de mynetworks_style = host myorigin = $myhostname newaliases_path = /usr/bin/newaliases proxy_interfaces = xxx.xxx.xxx.xxx queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix-2.6.5/readme relay_domains = hash:/etc/postfix/relay_domains sample_directory = /etc/postfix sendmail_path = /usr/sbin/sendmail setgid_group = postdrop smtpd_banner = $myhostname ESMTP $mail_name smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access_recipient-rfc, check_client_access hash:/etc/postfix/access_client, check_helo_access hash:/etc/postfix/access_helo, check_sender_access hash:/etc/postfix/access_sender, check_recipient_access hash:/etc/postfix/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, reject_unverified_recipient, reject_unauth_destination, permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous, noplaintext smtpd_sasl_tls_security_options = noanonymous smtpd_sasl_type = dovecot transport_maps = hash:/etc/postfix/relay_domains unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 577 dovecot -n protocols: imap ssl: no login_dir: /var/run/dovecot/login login_executable: /usr/libexec/dovecot/imap-login mail_location: maildir:~/Maildir lda: postmaster_address: testuser at roehrig-net.de auth default: mechanisms: plain login cram-md5 digest-md5 verbose: yes passdb: driver: passwd-file args: /etc/dovecot/passwd userdb: driver: static args: uid=vmail gid=vmail home=/home/vmail/%u socket: type: listen client: path: /var/spool/postfix/private/auth mode: 432 user: postfix group: postfix master: path: /var/run/dovecot/auth-master mode: 438 user: vmail Gruß Maik From Ralf.Hildebrandt at charite.de Thu Dec 17 17:22:21 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 17:22:21 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Probleme_mit_dynamischer_Empf=C3=A4?= =?utf-8?q?ngervalidierung_und_Dovecot?= In-Reply-To: <4B2A5962.3020404@micz.de> References: <4B2A5962.3020404@micz.de> Message-ID: <20091217162221.GE8719@charite.de> * Maik Röhrig : > Hallo, > > ich teste grade ein wenig mit Postfix und Dovecot rum. Als UserDb habe > ich einen passwd-file benutzt. Leider klappt das mit dem dynamischen > verifizieren des Empfängers nicht. Ich bekomme bei Und wo verifizierst Du dabei? > address_verify_map = btree:/var/spool/postfix/data/verify Wenn du mit sendmail testest, aber address_verify_map nur via smtpd genutzt wird... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From m at micz.de Thu Dec 17 17:27:33 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 17:27:33 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-1?q?=E4ngervalidierung_und_Dovecot?= In-Reply-To: <20091217162221.GE8719@charite.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> Message-ID: <4B2A5BF5.3030709@micz.de> Auch wenn ich per SMTP einliefer bietet sich ein änliches Bild: Dec 17 17:25:45 micserv03 postfix/smtpd[10158]: connect from unknown[192.168.1.20] Dec 17 17:25:45 micserv03 postfix/smtpd[10158]: D845DA00D: client=unknown[192.168.1.20], sasl_method=CRAM-MD5, sasl_username=testuser at roehrig-net.de Dec 17 17:25:45 micserv03 postfix/cleanup[10162]: D845DA00D: message-id=<4B2A5B89.3080309 at roehrig-net.de> Dec 17 17:25:45 micserv03 postfix/qmgr[9995]: D845DA00D: from=, size=523, nrcpt=1 (queue active) Dec 17 17:25:45 micserv03 postfix/smtpd[10158]: disconnect from unknown[192.168.1.20] Dec 17 17:25:45 micserv03 dovecot: auth(default): passwd-file(gibtsnicht at roehrig-net.de): unknown user Dec 17 17:25:46 micserv03 postfix/pipe[10163]: D845DA00D: to=, relay=dovecot, delay=0.27, delays=0.17/0.04/0/0.07, dsn=5.1.1, status=bounced (user unknown) Dec 17 17:25:46 micserv03 postfix/cleanup[10162]: 051544B29B: message-id=<20091217162546.051544B29B at mail.roehrig-net.de> Dec 17 17:25:46 micserv03 postfix/qmgr[9995]: 051544B29B: from=<>, size=2326, nrcpt=1 (queue active) Dec 17 17:25:46 micserv03 postfix/bounce[10165]: D845DA00D: sender non-delivery notification: 051544B29B Dec 17 17:25:46 micserv03 postfix/qmgr[9995]: D845DA00D: removed Dec 17 17:25:46 micserv03 dovecot: deliver(testuser at roehrig-net.de): msgid=<20091217162546.051544B29B at mail.roehrig-net.de>: saved mail to INBOX Dec 17 17:25:46 micserv03 postfix/pipe[10163]: 051544B29B: to=, relay=dovecot, delay=0.09, delays=0.02/0/0/0.07, dsn=2.0.0, status=sent (delivered via dovecot service) Dec 17 17:25:46 micserv03 postfix/qmgr[9995]: 051544B29B: removed Ralf Hildebrandt schrieb: > * Maik Röhrig : >> Hallo, >> >> ich teste grade ein wenig mit Postfix und Dovecot rum. Als UserDb habe >> ich einen passwd-file benutzt. Leider klappt das mit dem dynamischen >> verifizieren des Empfängers nicht. Ich bekomme bei > > Und wo verifizierst Du dabei? > >> address_verify_map = btree:/var/spool/postfix/data/verify > > Wenn du mit sendmail testest, aber address_verify_map nur via smtpd > genutzt wird... > From Ralf.Hildebrandt at charite.de Thu Dec 17 18:35:15 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 18:35:15 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Probleme_mit_dynamischer_Empf=C3=A4?= =?utf-8?q?ngervalidierung_und_Dovecot?= In-Reply-To: <4B2A5BF5.3030709@micz.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> Message-ID: <20091217173515.GB16623@charite.de> * Maik Röhrig : > Auch wenn ich per SMTP einliefer bietet sich ein änliches Bild: Und wo ist nun die Validierung? Wie redet Postfix mit dovecot? From m at micz.de Thu Dec 17 18:37:30 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 18:37:30 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-1?q?=E4ngervalidierung_und_Dovecot?= In-Reply-To: <20091217173515.GB16623@charite.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> Message-ID: <4B2A6C5A.4020400@micz.de> Ralf Hildebrandt schrieb: > > Und wo ist nun die Validierung? Wie redet Postfix mit dovecot? Hat sich erledigt. Ich hab einfach mal die verify.db gelöscht und jetzt klappt es problemlos. Danke für deine Mühe From Ralf.Hildebrandt at charite.de Thu Dec 17 18:39:41 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 18:39:41 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Probleme_mit_dynamischer_Empf=C3=A4?= =?utf-8?q?ngervalidierung_und_Dovecot?= In-Reply-To: <4B2A6C5A.4020400@micz.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> Message-ID: <20091217173941.GC16623@charite.de> * Maik Röhrig : > Ralf Hildebrandt schrieb: > > > > Und wo ist nun die Validierung? Wie redet Postfix mit dovecot? > > Hat sich erledigt. Ich hab einfach mal die verify.db gelöscht und jetzt > klappt es problemlos. Danke für deine Mühe Ich wills aber trotzdem wissen :) Per transport, naemlich dovecot, oder? Aber wie ist der transport dovecot definiert? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From m at micz.de Thu Dec 17 18:48:06 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 18:48:06 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-1?q?=E4ngervalidierung_und_Dovecot?= In-Reply-To: <20091217173941.GC16623@charite.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> Message-ID: <4B2A6ED6.6040506@micz.de> Ralf Hildebrandt schrieb: > > Ich wills aber trotzdem wissen :) > Per transport, naemlich dovecot, oder? Aber wie ist der transport > dovecot definiert? > mmmh ich hab mich verguckt. es klappt doch nicht. also mails an mailboxen zustellen, die es in dovecot gibt, klappt. Nur wenn ich eine mail an einen empfänger, den es nicht gibt, sende, sendet mein server eine bouncenachricht an den sendenden server, also ein backscatter. ich habe es gemacht, wie peer es im buch beschreiben hat. meine relay_domains sieht so aus (für relay_domains und transport_map): roehrig-net.de dovecot: und in der master.cf habe ich folgendes hinzugefügt: dovecot unix - n n - 10 pipe flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient} Hast du ne Idee? From Ralf.Hildebrandt at charite.de Thu Dec 17 19:28:29 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 19:28:29 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Probleme_mit_dynamischer_Empf=C3=A4?= =?utf-8?q?ngervalidierung_und_Dovecot?= In-Reply-To: <4B2A6ED6.6040506@micz.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> <4B2A6ED6.6040506@micz.de> Message-ID: <20091217182829.GE16623@charite.de> * Maik Röhrig : > Ralf Hildebrandt schrieb: > > > > Ich wills aber trotzdem wissen :) > > Per transport, naemlich dovecot, oder? Aber wie ist der transport > > dovecot definiert? > > > > mmmh ich hab mich verguckt. es klappt doch nicht. Hätte mich auch gewundert :) > also mails an mailboxen zustellen, die es in dovecot gibt, klappt. Nur > wenn ich eine mail an einen empfänger, den es nicht gibt, sende, sendet > mein server eine bouncenachricht an den sendenden server, also ein > backscatter. Ja, weil Du nur gegen SMTP oder LMTP verifizieren kannst! Aber dovecot kann kein LMTP... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From m at micz.de Thu Dec 17 19:31:40 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 19:31:40 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-1?q?=E4ngervalidierung_und_Dovecot?= In-Reply-To: <20091217182829.GE16623@charite.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> <4B2A6ED6.6040506@micz.de> <20091217182829.GE16623@charite.de> Message-ID: <4B2A790C.6040201@micz.de> Ralf Hildebrandt schrieb: > > Hätte mich auch gewundert :) > > > Ja, weil Du nur gegen SMTP oder LMTP verifizieren kannst! > Aber dovecot kann kein LMTP... > Und wie mach ich dann sauber eine Empfängervalidierung? Listen von Hand führen? ich dachte immer mit dovecot wäre alles einfacher als mit cyrus... From Ralf.Hildebrandt at charite.de Thu Dec 17 19:38:17 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 19:38:17 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Probleme_mit_dynamischer_Empf=C3=A4?= =?utf-8?q?ngervalidierung_und_Dovecot?= In-Reply-To: <4B2A790C.6040201@micz.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> <4B2A6ED6.6040506@micz.de> <20091217182829.GE16623@charite.de> <4B2A790C.6040201@micz.de> Message-ID: <20091217183817.GF16623@charite.de> * Maik Röhrig : > Und wie mach ich dann sauber eine Empfängervalidierung? Listen von Hand > führen? Oder halt automatisch aus der Liste generieren, die auch dovecot heranzieht -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From m at micz.de Thu Dec 17 19:56:34 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 19:56:34 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-1?q?=E4ngervalidierung_und_Dovecot?= In-Reply-To: <20091217183817.GF16623@charite.de> References: <4B2A5962.3020404@micz.de> <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> <4B2A6ED6.6040506@micz.de> <20091217182829.GE16623@charite.de> <4B2A790C.6040201@micz.de> <20091217183817.GF16623@charite.de> Message-ID: <4B2A7EE2.5060106@micz.de> wie deaktiviere ich denn verify? nur aus der master.cf rauswerfen? Ralf Hildebrandt schrieb: > * Maik Röhrig : > >> Und wie mach ich dann sauber eine Empfängervalidierung? Listen von Hand >> führen? > > Oder halt automatisch aus der Liste generieren, die auch dovecot > heranzieht > From Ralf.Hildebrandt at charite.de Thu Dec 17 20:16:54 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 17 Dec 2009 20:16:54 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Probleme_mit_dynamischer_Empf=C3=A4?= =?utf-8?q?ngervalidierung_und_Dovecot?= In-Reply-To: <4B2A7EE2.5060106@micz.de> References: <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> <4B2A6ED6.6040506@micz.de> <20091217182829.GE16623@charite.de> <4B2A790C.6040201@micz.de> <20091217183817.GF16623@charite.de> <4B2A7EE2.5060106@micz.de> Message-ID: <20091217191654.GG16623@charite.de> * Maik Röhrig : > wie deaktiviere ich denn verify? nur aus der master.cf rauswerfen? reject_unverified_recipient rausnehmen main.cf -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From m at micz.de Thu Dec 17 20:31:51 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Thu, 17 Dec 2009 20:31:51 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Probleme_mit_dynamischer_Empf?= =?iso-8859-1?q?=E4ngervalidierung_und_Dovecot?= In-Reply-To: <20091217191654.GG16623@charite.de> References: <20091217162221.GE8719@charite.de> <4B2A5BF5.3030709@micz.de> <20091217173515.GB16623@charite.de> <4B2A6C5A.4020400@micz.de> <20091217173941.GC16623@charite.de> <4B2A6ED6.6040506@micz.de> <20091217182829.GE16623@charite.de> <4B2A790C.6040201@micz.de> <20091217183817.GF16623@charite.de> <4B2A7EE2.5060106@micz.de> <20091217191654.GG16623@charite.de> Message-ID: <4B2A8727.1010905@micz.de> So, jetzt klappts. Vielen Dank für die Hilfe. Ralf Hildebrandt schrieb: > > reject_unverified_recipient rausnehmen > main.cf > From postfix-list at novuage.de Thu Dec 17 23:33:23 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 17 Dec 2009 23:33:23 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer In-Reply-To: <4B29FA74.7000309@fuerstenberg.ws> References: <1260981529.4b290d19db1f9@office.wonczak.de> <4B294B2E.3090402@fuerstenberg.ws> <4B29FA74.7000309@fuerstenberg.ws> Message-ID: <4B2AB1B3.2090202@novuage.de> Kai Fürstenberg schrieb: > Kai Fürstenberg schrieb am 16.12.2009 22:03: >> Unister gibt's auch noch, von denen habe ich aber gerade keinen >> IP-Bereich. > > 217.114.223.0/24 gehört Unister. Ich bin aber auch noch auf "United Mail > Solutions" gestossen, denen das Netz 62.27.57.0/24 gehört. Was sind das für welche? Blocked Ihr diese etwa alle, kann ich mir nicht vorstellen... -- Gruß Sascha From postfix-list at novuage.de Thu Dec 17 23:34:56 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 17 Dec 2009 23:34:56 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> Message-ID: <4B2AB210.3020107@novuage.de> Michael Nausch schrieb: > ich gehe doch recht der Annahme, daß ein postsuper -r ALL die > Zeitstempel der eMails in der queue auf die aktuelle Zeit zurücksetzt, > oder? Ein täglicher Aufruf von postsuper -r ALL würde also die > maximal_queue_lifetime_days kontrakarrieren, oder? > > Mögliche Antworten: > > [ ] ja > [ ] nein > [ ] QUATSCH ;) [x] Glaub ich nicht würde ich sagen... setze die zeit doch runter und checke das (in einem Testsystem) -- Gruß Sascha From postfix-list at novuage.de Thu Dec 17 23:36:24 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 17 Dec 2009 23:36:24 +0100 Subject: [Postfixbuch-users] too many recipients - logging In-Reply-To: <850E6B9D057B425793E59BFAA57546AC@nmm.local> References: <850E6B9D057B425793E59BFAA57546AC@nmm.local> Message-ID: <4B2AB268.7010800@novuage.de> Andre Hübner schrieb: > ich habe momentan den Fall das einer meiner User nicht senden kann und > den Fehler "4.5.3 Error: too many recipients" bekommt. > Der user versichert nur etwa 50 Empfänger in seiner BCC-Liste zu haben . > Ich kann dass so leider nicht im Log nachvollziehen. > Ich sehe zu den Uhrzeiten einen Connect und ein sasl-login des Users, > danach dann später nur noch einen disconnect. > Ich denke das wird der bewußte Vorgang sein, aber müsste ich in meinen > Logs dann nicht wenigstens die Ablehnung sehen? > Der Fall ist mir sowieso suspekt da ich hier an den Postfix Defaults > nichts geändert hab. > Hab gegoogelt, viel wird dabei auf den Client geschoben, so richtig will > mir das aber in dem Fall nicht passen. > Was soll man davon halten? Testen mit deinem Client, eventuell spricht der nicht direkt mit Dir. Und ein Server davor oder der Client schiebt einen Riegel davor. -- Gruß Sascha From p.heinlein at heinlein-support.de Fri Dec 18 09:05:29 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 18 Dec 2009 09:05:29 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <4B2AB210.3020107@novuage.de> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <4B2AB210.3020107@novuage.de> Message-ID: <200912180905.30213.p.heinlein@heinlein-support.de> Am Donnerstag, 17. Dezember 2009 23:34:56 schrieb Sascha Peters: > > ich gehe doch recht der Annahme, daß ein postsuper -r ALL die > > Zeitstempel der eMails in der queue auf die aktuelle Zeit > > zurücksetzt, oder? Ein täglicher Aufruf von postsuper -r ALL würde Nein. Ein "postsuper -r" macht ein Re-Queue, d.h. die Mails werden (mit neuer Queue-ID) wieder über pickup eingeliefert und mit cleanuop durchgerödelt. Das hat also mit "nur" einem Zeitstempel nichts zu tun -- die ganze Mail wird einmal komplett aus der outbound-Queustruktur rausgeholt und neu eingespeist. Peer From kai_postfix at fuerstenberg.ws Fri Dec 18 09:16:49 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 18 Dec 2009 09:16:49 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer In-Reply-To: <4B2AB1B3.2090202@novuage.de> References: <1260981529.4b290d19db1f9@office.wonczak.de> <4B294B2E.3090402@fuerstenberg.ws> <4B29FA74.7000309@fuerstenberg.ws> <4B2AB1B3.2090202@novuage.de> Message-ID: <4B2B3A71.20603@fuerstenberg.ws> Sascha Peters schrieb am 17.12.2009 23:33: > Was sind das für welche? Blocked Ihr diese etwa alle, kann ich mir nicht > vorstellen... Nicht per default. Es soll ja welche geben, die so was haben wollen. Wenn aber ein User sagt, "ich krieg hier ständig was von SuperComm" und "ich will nichts mehr von denen haben", dann wird dieses Netz für diesen Empfänger geblockt. Seine Entscheidung ... Oder man geht den aufwändigeren Weg über die Unterlassungserklärung. Die, die ich aufgelistet habe sind alles deutsche Versender (abgesehen von 3Cats). Aber statt das Netz zu blocken, ist es wohl einfacher die Hostnamen zu nehmen. Die Server der Newsletterversender haben allesamt korrekte DNS-Einträge (Forward und Reverse). Dann wäre auch eine Änderung des IP-Bereiches nicht mehr dramatisch. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From michael at nausch.org Fri Dec 18 09:33:24 2009 From: michael at nausch.org (Michael Nausch) Date: Fri, 18 Dec 2009 09:33:24 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <4B2AB210.3020107@novuage.de> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <4B2AB210.3020107@novuage.de> Message-ID: <20091218093324.td83ffoqqyogsgkk@buero.nausch.org> HI Sascha, Quoting Sascha Peters : >> [ ] QUATSCH ;) > > [x] Glaub ich nicht Ähem, ich hatte extra für die das letzte Auswahlfeld eingebaut. ;) > würde ich sagen... setze die zeit doch runter und checke das (in > einem Testsystem) Hab' da so 'nen Verdacht, den ich nur gerne von einem bestätigt haben wollte. Aber wie ich schon gesehen hab', isses so wie ich vermutet, aber falsch beschreiben hatte. Pfiade, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org From michael at nausch.org Fri Dec 18 09:41:42 2009 From: michael at nausch.org (Michael Nausch) Date: Fri, 18 Dec 2009 09:41:42 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <200912180905.30213.p.heinlein@heinlein-support.de> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <4B2AB210.3020107@novuage.de> <200912180905.30213.p.heinlein@heinlein-support.de> Message-ID: <20091218094142.g6pflf14lc044kc0@buero.nausch.org> Griasdebou! Quoting Peer Heinlein : > Nein. O.K. hab's richtig gemeint, aber falsch beschrieben. > Ein "postsuper -r" macht ein Re-Queue, d.h. die Mails werden (mit neuer > Queue-ID) wieder über pickup eingeliefert und mit cleanuop > durchgerödelt. Also (doch) genauso, wie wenn Sie gerade das erste mal aufschlagen würde. Hatte mich schon gewundert, warum auf einer Maschine über "Wochen" eMails in der Queue hängen - na ja unser Newbee hat sich gedacht, ich schmeiss jeden Morgen mal 'nen postsuper -r ALL und gut isses. Wieder was dazu gelernt bzw. verfestigt (... und das trotz meines fortgeschrittenen Alters! ) Pfiade, Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: Digitale PGP-Unterschrift URL : From christian at cg-networks.de Fri Dec 18 10:34:14 2009 From: christian at cg-networks.de (Christian Garling) Date: Fri, 18 Dec 2009 10:34:14 +0100 (CET) Subject: [Postfixbuch-users] Offtopic: Dovecot treibt Last hoch In-Reply-To: <20091217144344.GJ15680@charite.de> References: <24661db4f0bf78aaa63a0119336776c7.squirrel@www.cg-networks.de> <20091217125039.GQ15680@charite.de> <622158f08a0ebeff6cd4639756cf1e96.squirrel@www.cg-networks.de> <20091217133103.GX15680@charite.de> <9da64df8e86bb06cce4c99b62f1300e8.squirrel@www.cg-networks.de> <20091217144344.GJ15680@charite.de> Message-ID: > * Christian Garling : >> > * Christian Garling : >> > >> >> Wir haben aktuell das Problem mit einem Konto das im Sekunden Takt >> >> mehrere >> >> Tausend Mails im .Sent/cur Ordner auftauchen, die sich im Client als >> >> verfielfachte Mails darstellen, also 1 Mail in 50facher Ausführung >> und >> >> das >> >> für fast alle gesendeten Mails die existieren. >> > >> > Sehr sehr seltsam, aber das Problem hatte ich (auch mit 1.0.x!) nicht. >> > Könnte natürlich die Performance runterreissen... >> > >> > Bei Eurer doch einfachen Konfig würde ich empfhlen, mal die 1.2er >> > Pakete zu nutzen: http://wiki.dovecot.org/PrebuiltBinaries >> >> Wenn das überhaupt an Dovecot liegt und nicht an Amavis oder Postfix >> oder >> doch DRBD oder was ganz anderes. Es soll auch einen IO Wait Kernel Bug >> geben, der erst mit 2.3.32 gefixt ist. Und das so kurz vorm Urlaub :( > > Kann auch sein. Aber man sieht das ja recht schnell wenn man postfix > einfach abstellt :) Ich habe jetzt dovecot auf einer virtuellen Maschine, bestückt mit dem original Image des echten Servers von 1.0.15 auf 1.2.8 upgedatet. Die dovecot.conf habe ich angepasst, stehe jetzt aber vor dem Problem das die Sieve Skripte nicht funktionieren. Wenn ich mit eGroupware eine neue Filterregel erstelle, wird die gar nicht erst gespeichert. Ich benutzte pysieved für Sieve. Installiert habe ich dovecot 1.2.8 aus den Debian Backports. > > oder htop nutzt um zu sehen wer da IO macht... > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | http://www.charite.de > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From p.heinlein at heinlein-support.de Sat Dec 19 12:50:50 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 12:50:50 +0100 Subject: [Postfixbuch-users] =?utf-8?q?maximal=5Fqueue=5Flifetime=5Fdays_U?= =?utf-8?q?ND_postsuper=09-r_ALL?= In-Reply-To: <20091218094142.g6pflf14lc044kc0@buero.nausch.org> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <200912180905.30213.p.heinlein@heinlein-support.de> <20091218094142.g6pflf14lc044kc0@buero.nausch.org> Message-ID: <200912191250.50282.p.heinlein@heinlein-support.de> Am Freitag, 18. Dezember 2009 schrieb Michael Nausch: > Also (doch) genauso, wie wenn Sie gerade das erste mal aufschlagen > würde. Hatte mich schon gewundert, warum auf einer Maschine über > "Wochen" eMails in der Queue hängen - na ja unser Newbee hat sich > gedacht, ich schmeiss jeden Morgen mal 'nen postsuper -r ALL und gut > isses. Bitte */10 * * * * reboot in die crontab eintragen. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From p.heinlein at heinlein-support.de Sat Dec 19 12:53:55 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 12:53:55 +0100 Subject: [Postfixbuch-users] too many recipients - logging In-Reply-To: References: <850E6B9D057B425793E59BFAA57546AC@nmm.local> <4B2A25F8.7060101@aloah-from-hell.de> Message-ID: <200912191253.56057.p.heinlein@heinlein-support.de> Am Donnerstag, 17. Dezember 2009 schrieb Andre Hübner: > der user meldet aber leider dass trotzdem kein Versenden möglich war. > eine echte Fehlermeldung find ich trotzdem nicht im Log. a) debug_peer_list anwerfen und nachschauen, was läuft b) die Layer-7-Superduperponyhof-Firewallapliance aus dem Fenster werfen, die davor steht und Dich davor "schützt" zuviele Empfänger zu kriegen? Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From mailing-lists at thomasschwenski.de Sat Dec 19 12:56:20 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Sat, 19 Dec 2009 12:56:20 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: Message-ID: <4B2CBF64.5090308@thomasschwenski.de> Hallo, mal eine Frage in Bezug zu den smtpd_recipient_restrictions. Wie verhält sich eigentlich ein Client*, wenn er beim Senden von "RCPT TO: " einen temporären Fehler bekommt? Wenn es nur einen Empfänger gibt, dann ist's klar: er versucht die Mail später zuzustellen. Bei mehreren Empfängern und einem permanenten Fehler als Response für einen "RCPT TO:" ist's auch klar. Die Mail wird zugestellt und für den einen Empfänger gibt es eben eine negative DSN. Aber was passiert, wenn der Server einen temporären Fehler als Response für einen von mehreren Empfängern zurückliefert? Wird die Zustellung der kompletten Mail dann durch den Client* abgebrochen und später erneut versucht? Oder wird die Mail für alle anderen Empfänger eingeliefert und für den temporär abgelehnten Empfänger später noch einmal? Es gibt auch noch die (allerdings unsinnige) Variante, dass die Mail für alle anderen Empfänger eingeliefert wird, auf dem Client* aber trotzdem wegen der einen temporären Ablehnung komplett zurückgestellt wird und bei einem späteren Zustellversuch noch einmal komplett (also auch an alle anderen Empfänger) eingeliefert wird. Gibt es dafür irgendwo eine "Vorschrift"? Wenn ja wo? Oder ist das allein dem Client* und seiner Implementierung des SMTP/ESMTP-Protokolls überlassen? (* Client hier natürlich im Sinne eines anderen Mailservers!) Habt ihr dazu Informationen oder Erfahrungen? Thomas From p.heinlein at heinlein-support.de Sat Dec 19 13:14:00 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 13:14:00 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CBF64.5090308@thomasschwenski.de> References: <4B2CBF64.5090308@thomasschwenski.de> Message-ID: <200912191314.00789.p.heinlein@heinlein-support.de> Am Samstag, 19. Dezember 2009 schrieb Thomas Schwenski: > Bei mehreren Empfängern und einem permanenten Fehler als Response für > einen "RCPT TO:" ist's auch klar. > Die Mail wird zugestellt und für den einen Empfänger gibt es eben eine > negative DSN. Ja. > Aber was passiert, wenn der Server einen temporären Fehler als Response > für einen von mehreren Empfängern zurückliefert? Na, warum sollte etwas anderes passieren als bei einem fatalen Fehler?! > Wird die Zustellung der kompletten Mail dann durch den Client* > abgebrochen und später erneut versucht? Nein. Das ergibt doch von A bis Z keinen Sinn. Warum sollte er denn die Mail an die anderen Empfänger NICHT zusenden? Warum sollte er das tun-tun? > Oder wird die Mail für alle anderen Empfänger eingeliefert und für den > temporär abgelehnten Empfänger später noch einmal? Na klar. Das ist das einzig sinnvolle Verhalten. > Es gibt auch noch die (allerdings unsinnige) Variante, dass die Mail > für alle anderen Empfänger eingeliefert wird, auf dem Client* aber > trotzdem wegen der einen temporären Ablehnung komplett zurückgestellt > wird und bei einem späteren Zustellversuch noch einmal komplett (also > auch an alle anderen Empfänger) eingeliefert wird. Und dann gibt es noch dien unsinnige Variante daß er sie an eine beliebige andere Adresse weiterleitet, die ihm gerade einfällt. Soll heißen: Nein, das ist natürlich absolut kein sinnvolles, geschweige denn irgendwie mögliches Verhalten, denn dann würde er ja im zweifel 200 Kopien der Mail machen. Und warum sollte er eine Mail erneut ausliefern, die er schon ausgeliefert hat? Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From mailing-lists at thomasschwenski.de Sat Dec 19 13:21:15 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Sat, 19 Dec 2009 13:21:15 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <200912191314.00789.p.heinlein@heinlein-support.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> Message-ID: <4B2CC53B.9000507@thomasschwenski.de> Hallo Peer, >> Aber was passiert, wenn der Server einen temporären Fehler als Response >> für einen von mehreren Empfängern zurückliefert? > > Na, warum sollte etwas anderes passieren als bei einem fatalen Fehler?! > >> Wird die Zustellung der kompletten Mail dann durch den Client* >> abgebrochen und später erneut versucht? > > Nein. Das ergibt doch von A bis Z keinen Sinn. > > Warum sollte er denn die Mail an die anderen Empfänger NICHT zusenden? > Warum sollte er das tun-tun? > >> Oder wird die Mail für alle anderen Empfänger eingeliefert und für den >> temporär abgelehnten Empfänger später noch einmal? > > Na klar. Das ist das einzig sinnvolle Verhalten. Wie ich schon schrieb ist die Variante mit der Mail-Duplikation unsinnig. Allerdings ist da noch die Frage: Gibt es irgendwo die explizite Festlegung, dass ein Client Variante 2 und nicht Variante 1 umsetzt (auch wenn Variante 2 die einzig wirklich sinnvolle Umsetzung wäre)? Oder ergibt sich das nur aus den Inhalten von RFC 822/2822 ? Thomas From p.heinlein at heinlein-support.de Sat Dec 19 13:44:08 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 13:44:08 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CC53B.9000507@thomasschwenski.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> <4B2CC53B.9000507@thomasschwenski.de> Message-ID: <200912191344.08339.p.heinlein@heinlein-support.de> Am Samstag, 19. Dezember 2009 schrieb Thomas Schwenski: > Wie ich schon schrieb ist die Variante mit der Mail-Duplikation > unsinnig. Allerdings ist da noch die Frage: > Gibt es irgendwo die explizite Festlegung, dass ein Client Variante 2 > und nicht Variante 1 umsetzt (auch wenn Variante 2 die einzig wirklich > sinnvolle Umsetzung wäre)? > Oder ergibt sich das nur aus den Inhalten von RFC 822/2822 ? Es gibt natürlich keine Vorschrift, die einem Client vorschreibt, daß er eine Mail absenden muß, wenn er nicht (mehr) will. Wenn der Client wollen täten würde tun eine Mail dann nicht mehr abzusenden, wenn ein Empfänger von vielen einen 4xx bekommen hat, so kann er natürlich abbrechen und nie das DATA-Kommando senden. Klar kann er das. Aber wieso?! Was willst Du auch machen: Ihn zurückrufen? Jungs zum Verhauen vorbeischicken? Strafanzeige erstatten? Seinen Stromstecker ziehen? Also: Natürlich gibt es kein RFC das vorschreibt, daß er die Mail absenden muß. Es gibt auch kein RFC daß ihm vorschreibt, daß er die Mail absenden MUSS wenn der Empfänger ein 250 bekommen hat. Er KANN dann fortfahren und die Mail absenden. Genausogut könntest/solltest Du jetzt also die Diskussion führen, ob ein Client eine Mail auch dann absendet, wenn der Empfänger einen 250 bekommen hat oder ob er nicht die (zugegebenermaßen unsinnige) Variante wählt die Mail in die deferred-Queue zu stellen oder die Mail grün anzustreichen oder so. Oder meinetwegen die Mail mit Lametta zu schmücken, ist ja Weihnachten. Sprich: Das ist irgendwie alles eine wenig sinnvolle Überlegung/Diskussion und ich sehe auch keinerlei Anhaltspunkte, warum man sich darüber 'nen Kopp machen sollte?! Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From mailing-lists at thomasschwenski.de Sat Dec 19 13:51:04 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Sat, 19 Dec 2009 13:51:04 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <200912191344.08339.p.heinlein@heinlein-support.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> <4B2CC53B.9000507@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> Message-ID: <4B2CCC38.6050906@thomasschwenski.de> Peer Heinlein schrieb: > Sprich: Das ist irgendwie alles eine wenig sinnvolle Überlegung/Diskussion > und ich sehe auch keinerlei Anhaltspunkte, warum man sich darüber 'nen > Kopp machen sollte?! Also ich sehe da schon einen Sinn. Konkret ergab sich meine Überlegung aus dem Kundenwunsch einige Antispam-Maßnahmen Empfängerbasiert umzusetzen und ich wollte im Vorfeld eventuelle Probleme einschätzen können. Ganz konkret ging es um das Verhalten bei Empfängerbasiertem Greylisting. Thomas From p.heinlein at heinlein-support.de Sat Dec 19 14:01:44 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 14:01:44 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CCC38.6050906@thomasschwenski.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> Message-ID: <200912191401.44569.p.heinlein@heinlein-support.de> Am Samstag, 19. Dezember 2009 schrieb Thomas Schwenski: > Ganz konkret ging es um das Verhalten bei Empfängerbasiertem > Greylisting. Ja, ist ja richtig. Und WEIL Du das sinnvoll findest HAST Du ja auch recht und alle anderen sehen das ja auch so. Ich halte es für sinnfrei & hypothetisch anzunehmen, jemand würde das anders handhaben wollen. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From p.heinlein at heinlein-support.de Sat Dec 19 14:03:07 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 14:03:07 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CCC38.6050906@thomasschwenski.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> Message-ID: <200912191403.07567.p.heinlein@heinlein-support.de> Am Samstag, 19. Dezember 2009 schrieb Thomas Schwenski: > Ganz konkret ging es um das Verhalten bei Empfängerbasiertem > Greylisting. Btw: Greylisting ist IMMER empfängerbasiert weil es eben nach den gespeicherten halboffenen Tripeln geht. Erst wenn ein Server per se als Server gelistet wird gibt es kein Greylisting mehr. Dann natürlich für alle. Bis dahin ist es IMMER so, daß User A noch ein Greylisting kriegt, der User B vom gleichen Absender jedoch ggf. nicht mehr. Insofern hast Du keinen Sonder-, sondern einen Standardfall, der gewohnt problemlos funktioniert. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From postfix-list at novuage.de Sat Dec 19 14:08:10 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sat, 19 Dec 2009 14:08:10 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <200912191250.50282.p.heinlein@heinlein-support.de> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <200912180905.30213.p.heinlein@heinlein-support.de> <20091218094142.g6pflf14lc044kc0@buero.nausch.org> <200912191250.50282.p.heinlein@heinlein-support.de> Message-ID: <4B2CD03A.3040704@novuage.de> Peer Heinlein schrieb: > Am Freitag, 18. Dezember 2009 schrieb Michael Nausch: > > >> Also (doch) genauso, wie wenn Sie gerade das erste mal aufschlagen >> würde. Hatte mich schon gewundert, warum auf einer Maschine über >> "Wochen" eMails in der Queue hängen - na ja unser Newbee hat sich >> gedacht, ich schmeiss jeden Morgen mal 'nen postsuper -r ALL und gut >> isses. > > Bitte > > */10 * * * * reboot > > in die crontab eintragen. Aber welcher User ;-) Und streng genommen müsste es doch --- Schnipp --- 0 7 * * * reboort --- Schnapp --- sein ;-) *ggg* -- Gruß Sascha From timo.schoeler at riscworks.net Sat Dec 19 14:09:33 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Sat, 19 Dec 2009 14:09:33 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <4B2CD03A.3040704@novuage.de> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <200912180905.30213.p.heinlein@heinlein-support.de> <20091218094142.g6pflf14lc044kc0@buero.nausch.org> <200912191250.50282.p.heinlein@heinlein-support.de> <4B2CD03A.3040704@novuage.de> Message-ID: <4B2CD08D.9000702@riscworks.net> On 12/19/2009 02:08 PM, Sascha Peters wrote: > Peer Heinlein schrieb: >> Am Freitag, 18. Dezember 2009 schrieb Michael Nausch: >> >> >>> Also (doch) genauso, wie wenn Sie gerade das erste mal aufschlagen >>> würde. Hatte mich schon gewundert, warum auf einer Maschine über >>> "Wochen" eMails in der Queue hängen - na ja unser Newbee hat sich >>> gedacht, ich schmeiss jeden Morgen mal 'nen postsuper -r ALL und gut >>> isses. >> >> Bitte >> >> */10 * * * * reboot >> >> in die crontab eintragen. > > Aber welcher User ;-) > Und streng genommen müsste es doch > > --- Schnipp --- > 0 7 * * * reboort > --- Schnapp --- > > sein ;-) *ggg* ...und vom Typo abgesehen sollte man auch in der crontab mit absoluten Pfaden arbeiten. :) From postfix-list at novuage.de Sat Dec 19 16:20:00 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sat, 19 Dec 2009 16:20:00 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CCC38.6050906@thomasschwenski.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> <4B2CC53B.9000507@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> Message-ID: <4B2CEF20.9000608@novuage.de> Thomas Schwenski schrieb: > Peer Heinlein schrieb: >> Sprich: Das ist irgendwie alles eine wenig sinnvolle Überlegung/Diskussion >> und ich sehe auch keinerlei Anhaltspunkte, warum man sich darüber 'nen >> Kopp machen sollte?! > > Also ich sehe da schon einen Sinn. > Konkret ergab sich meine Überlegung aus dem Kundenwunsch einige > Antispam-Maßnahmen Empfängerbasiert umzusetzen und ich wollte im Vorfeld > eventuelle Probleme einschätzen können. Gibt es nicht irgendwelche Einschränkungen oder Probleme oder Auswirkungen (was auch immer) wenn man Amavisseitig Empfängerbasirende Regelwerke verwendet? Das wäre wenn Du auch in diese Richtung denkst eventuell das was Dich/Kunden davon abhalten könnte. Mehr als "da war was" bekomme ich aber gerade nicht zusammen und gebe das mal wieder in die Runde. > Ganz konkret ging es um das Verhalten bei Empfängerbasiertem Greylisting. Das klappt gut... bei mir mach ich das. Also alles was Quasi direkt von Postfix gemacht wird sollte man so hinbekommen. -- Gruß Sascha From postfix-list at novuage.de Sat Dec 19 16:22:41 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sat, 19 Dec 2009 16:22:41 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <200912191403.07567.p.heinlein@heinlein-support.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> <200912191403.07567.p.heinlein@heinlein-support.de> Message-ID: <4B2CEFC1.80108@novuage.de> Peer Heinlein schrieb: > Am Samstag, 19. Dezember 2009 schrieb Thomas Schwenski: > >> Ganz konkret ging es um das Verhalten bei Empfängerbasiertem >> Greylisting. > > Btw: Greylisting ist IMMER empfängerbasiert weil es eben nach den > gespeicherten halboffenen Tripeln geht. > > Erst wenn ein Server per se als Server gelistet wird gibt es kein > Greylisting mehr. Dann natürlich für alle. > > Bis dahin ist es IMMER so, daß User A noch ein Greylisting kriegt, der > User B vom gleichen Absender jedoch ggf. nicht mehr. Insofern hast Du > keinen Sonder-, sondern einen Standardfall, der gewohnt problemlos > funktioniert. Das ist Greylisting selbst, Ich denke wohl eher das Thomas Greylisting komplett für einige Empfänger ein- oder ausschalten will. So das nie geprüft wird ob dieses Tripel vorhanden ist, weil bei diesem Empfänger das Greylisting ausgeschaltet wird und postgrey nicht mal befragt wird. -- Gruß Sascha From michael at nausch.org Sat Dec 19 16:29:17 2009 From: michael at nausch.org (Michael Nausch) Date: Sat, 19 Dec 2009 16:29:17 +0100 Subject: [Postfixbuch-users] maximal_queue_lifetime_days UND postsuper -r ALL In-Reply-To: <200912191250.50282.p.heinlein@heinlein-support.de> References: <20091217132442.zvh765ekaocc88s4@buero.nausch.org> <200912180905.30213.p.heinlein@heinlein-support.de> <20091218094142.g6pflf14lc044kc0@buero.nausch.org> <200912191250.50282.p.heinlein@heinlein-support.de> Message-ID: <1261236558.2912.1.camel@compaq-evo.nausch.org> Griasde Peer, Am Samstag, den 19.12.2009, 12:50 +0100 schrieb Peer Heinlein: > in die crontab eintragen. Wo fidne ich denn dieses crontab? Pfiade, Django P.S.: Tip zwecks eMailarchivierung hast Du bekommen? -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org From mailing-lists at thomasschwenski.de Sat Dec 19 16:32:58 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Sat, 19 Dec 2009 16:32:58 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CEF20.9000608@novuage.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> <4B2CC53B.9000507@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> <4B2CEF20.9000608@novuage.de> Message-ID: <4B2CF22A.5030108@thomasschwenski.de> Sascha Peters schrieb: > Thomas Schwenski schrieb: >> Peer Heinlein schrieb: >>> Sprich: Das ist irgendwie alles eine wenig sinnvolle >>> Überlegung/Diskussion und ich sehe auch keinerlei Anhaltspunkte, >>> warum man sich darüber 'nen Kopp machen sollte?! >> >> Also ich sehe da schon einen Sinn. >> Konkret ergab sich meine Überlegung aus dem Kundenwunsch einige >> Antispam-Maßnahmen Empfängerbasiert umzusetzen und ich wollte im Vorfeld >> eventuelle Probleme einschätzen können. > > Gibt es nicht irgendwelche Einschränkungen oder Probleme oder > Auswirkungen (was auch immer) wenn man Amavisseitig Empfängerbasirende > Regelwerke verwendet? Das wäre wenn Du auch in diese Richtung denkst > eventuell das was Dich/Kunden davon abhalten könnte. > > Mehr als "da war was" bekomme ich aber gerade nicht zusammen und gebe > das mal wieder in die Runde. Mir fiele da beim Überlegen nur Folgendes ein: Sofern Du Amavis als Pre-Queue-Filter verwendest, dann könnte es zu Problemen kommen, wenn Empfänger A ein schärferes Regelwerk verwendet als Empfänger B. Zumindest so lange wir hier von Content-Filterung sprechen (also nicht die Black-/Whitelist-Funktionalität von Amavis). Amavis könnte die Mail dann nicht mehr User-basiert REJECTen, da zum Zeitpunkt der Content-Filterung die Mail schon komplett übertragen wurde und ein REJECT dann nur für alle Empfänger gelten würde. Auch wenn die Mail nur von einem Empfänger (gemäß dessen Einstellungen) gewollt wäre, müsste sie auf Grund der Beschränkungen der anderen abgelehnt werden ODER aber Amavis liefert wegen dieses einen Empfängers ein OK und generiert für die anderen Empfänger selbst einen BOUNCE. Wie genau das in der Praxis umgesetzt wurde kann ich Dir nicht sagen, aber das ist, was mir in den Sinn kommt dabei. Thomas From postfix-list at novuage.de Sat Dec 19 16:39:38 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sat, 19 Dec 2009 16:39:38 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CF22A.5030108@thomasschwenski.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> <4B2CC53B.9000507@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> <4B2CEF20.9000608@novuage.de> <4B2CF22A.5030108@thomasschwenski.de> Message-ID: <4B2CF3BA.2090602@novuage.de> Thomas Schwenski schrieb: > Sascha Peters schrieb: >> Thomas Schwenski schrieb: >>> Peer Heinlein schrieb: >>>> Sprich: Das ist irgendwie alles eine wenig sinnvolle >>>> Überlegung/Diskussion und ich sehe auch keinerlei Anhaltspunkte, >>>> warum man sich darüber 'nen Kopp machen sollte?! >>> Also ich sehe da schon einen Sinn. >>> Konkret ergab sich meine Überlegung aus dem Kundenwunsch einige >>> Antispam-Maßnahmen Empfängerbasiert umzusetzen und ich wollte im Vorfeld >>> eventuelle Probleme einschätzen können. >> Gibt es nicht irgendwelche Einschränkungen oder Probleme oder >> Auswirkungen (was auch immer) wenn man Amavisseitig Empfängerbasirende >> Regelwerke verwendet? Das wäre wenn Du auch in diese Richtung denkst >> eventuell das was Dich/Kunden davon abhalten könnte. >> >> Mehr als "da war was" bekomme ich aber gerade nicht zusammen und gebe >> das mal wieder in die Runde. > > Mir fiele da beim Überlegen nur Folgendes ein: > Sofern Du Amavis als Pre-Queue-Filter verwendest, dann könnte es zu > Problemen kommen, wenn Empfänger A ein schärferes Regelwerk verwendet > als Empfänger B. Zumindest so lange wir hier von Content-Filterung > sprechen (also nicht die Black-/Whitelist-Funktionalität von Amavis). Macht Sinn :-) > Amavis könnte die Mail dann nicht mehr User-basiert REJECTen, da zum > Zeitpunkt der Content-Filterung die Mail schon komplett übertragen wurde > und ein REJECT dann nur für alle Empfänger gelten würde. Kurz, alles an Informationen die im SMPT Dialog zum Ablehnen führen kann man auch Empfänger basierend machen. Da für einen einzelnen RCPT Empfänger ein 5xx gegeben werden kann, aber alles was dann passiert, also nach dem DATA betrifft dann nur noch die ganze E-Mail. Ist das so korrekt zusammengestrickt? Macht auf jeden Fall Sinn in meinem Kopf ;-) > Auch wenn die Mail nur von einem Empfänger (gemäß dessen Einstellungen) > gewollt wäre, müsste sie auf Grund der Beschränkungen der anderen > abgelehnt werden ODER aber Amavis liefert wegen dieses einen Empfängers > ein OK und generiert für die anderen Empfänger selbst einen BOUNCE. Das ist ja nicht so schön. Aber verständlich das es theoretisch nur so gehen könnte. > Wie genau das in der Praxis umgesetzt wurde kann ich Dir nicht sagen, > aber das ist, was mir in den Sinn kommt dabei. Danke dafür... -- Gruß Sascha From mailing-lists at thomasschwenski.de Sat Dec 19 16:46:47 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Sat, 19 Dec 2009 16:46:47 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CF3BA.2090602@novuage.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191314.00789.p.heinlein@heinlein-support.de> <4B2CC53B.9000507@thomasschwenski.de> <200912191344.08339.p.heinlein@heinlein-support.de> <4B2CCC38.6050906@thomasschwenski.de> <4B2CEF20.9000608@novuage.de> <4B2CF22A.5030108@thomasschwenski.de> <4B2CF3BA.2090602@novuage.de> Message-ID: <4B2CF567.9000304@thomasschwenski.de> >>> Gibt es nicht irgendwelche Einschränkungen oder Probleme oder >>> Auswirkungen (was auch immer) wenn man Amavisseitig Empfängerbasirende >>> Regelwerke verwendet? Das wäre wenn Du auch in diese Richtung denkst >>> eventuell das was Dich/Kunden davon abhalten könnte. >>> >>> Mehr als "da war was" bekomme ich aber gerade nicht zusammen und gebe >>> das mal wieder in die Runde. >> >> Mir fiele da beim Überlegen nur Folgendes ein: >> Sofern Du Amavis als Pre-Queue-Filter verwendest, dann könnte es zu >> Problemen kommen, wenn Empfänger A ein schärferes Regelwerk verwendet >> als Empfänger B. Zumindest so lange wir hier von Content-Filterung >> sprechen (also nicht die Black-/Whitelist-Funktionalität von Amavis). > > Macht Sinn :-) > > >> Amavis könnte die Mail dann nicht mehr User-basiert REJECTen, da zum >> Zeitpunkt der Content-Filterung die Mail schon komplett übertragen wurde >> und ein REJECT dann nur für alle Empfänger gelten würde. > > Kurz, alles an Informationen die im SMPT Dialog zum Ablehnen führen kann > man auch Empfänger basierend machen. Da für einen einzelnen RCPT > Empfänger ein 5xx gegeben werden kann, aber alles was dann passiert, > also nach dem DATA betrifft dann nur noch die ganze E-Mail. > > Ist das so korrekt zusammengestrickt? Macht auf jeden Fall Sinn in > meinem Kopf ;-) Genau so. Ander's geht es (manchmal leider) eben nicht. Thomas From p.heinlein at heinlein-support.de Sat Dec 19 18:52:55 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 19 Dec 2009 18:52:55 +0100 Subject: [Postfixbuch-users] Clientverhalten bei 4xx nach RCPT TO: In-Reply-To: <4B2CEFC1.80108@novuage.de> References: <4B2CBF64.5090308@thomasschwenski.de> <200912191403.07567.p.heinlein@heinlein-support.de> <4B2CEFC1.80108@novuage.de> Message-ID: <200912191852.55411.p.heinlein@heinlein-support.de> Am Samstag, 19. Dezember 2009 schrieb Sascha Peters: > Das ist Greylisting selbst, Ja. > Ich denke wohl eher das Thomas Greylisting > komplett für einige Empfänger ein- oder ausschalten will. Das Verhalten nach außen hin zum Client ist daber exakt das gleiche. Empfänger A ja, Empfänger B nein. Ob und warum das Hinter den Kulissen so entschieden wird spielt ja keine Rolle. > So das nie > geprüft wird ob dieses Tripel vorhanden ist, weil bei diesem Empfänger > das Greylisting ausgeschaltet wird und postgrey nicht mal befragt wird. Spielt nach außen hin aber keine Rolle. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From lkml at ds.gauner.org Sun Dec 20 21:03:22 2009 From: lkml at ds.gauner.org (Dominik Schulz) Date: Sun, 20 Dec 2009 21:03:22 +0100 Subject: [Postfixbuch-users] Listen mit Adressen bekannter Werbespammer In-Reply-To: <4B2908F6.6040909@debianfan.de> References: <4B2908F6.6040909@debianfan.de> Message-ID: <200912202103.23337.lkml@ds.gauner.org> Am Mittwoch 16 Dezember 2009 17:21:10 schrieb sebastian at debianfan.de: > gibt es Daten (ip-Adressen, Mailadressen, rexexp für > body/header/mime-Filter) - irgendwas - womit ich Mails von planet49.de > Gewinnspielmails, Autogewinnspielmails, Neckermann-Gewinnspielmails > usw... - blocken kann? Anstatt möglicherweise erwünschte Mails zu blocken solltest du deine Benutzer lieber anhalten sich aus diesen Listen auszutragen. Das hat bei mir bis jetzt bei allen deutschen Massenversendern geholfen und ist meistens die Methode mit den geringsten Kollateralschäden. Die meisten Firmen regieren recht hilfsbereit wenn man nur mal freundlich fragt. > Aber die meisten sitzen ja nicht im Bereich des deutschen Rechtssystems > - da helfen nur andere Methoden. Nun, zumindest Planet49 sitzt in Deutschland. -- Mit freundlichen Grüßen / Best Regards Dominik From Helga.Mayer at uni-hohenheim.de Mon Dec 21 20:46:44 2009 From: Helga.Mayer at uni-hohenheim.de (Helga.Mayer at uni-hohenheim.de) Date: Mon, 21 Dec 2009 20:46:44 +0100 Subject: [Postfixbuch-users] policyd-weight: blocked because of previous errors Message-ID: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de> Hallo Liste, hier bin ich ratlos: ich habe eine Fehlermeldung vom policyd-weight (Felber) Dec 21 16:09:30 smtp2 postfix/smtpd[16364]: connect from mail-telecontrol.customer.solnet.ch[82.220.17.226] Dec 21 16:09:31 smtp2 postfix/policyd-weight[30193]: decided action=550 temporarily blocked because of previous errors - retrying too fast. penalty: 30 seconds x 0 retries.; aber im Log gibt es keine previous errors. Viele Gruesse Helga Mayer From postfix-list at novuage.de Mon Dec 21 22:42:19 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 21 Dec 2009 22:42:19 +0100 Subject: [Postfixbuch-users] Blacklisten Message-ID: <4B2FEBBB.3060009@novuage.de> Hallo Leute, ich habe letzte Woche bei einem Kunden der von der Telekom angeschrieben wurde einen Rechner der massiv Spam versendet hat ausfindig gemacht und die Firewall "konfiguriert". Ebenfalls hab ich ein Skript laufen das gegen diverse Blacklisten mir bekannte wichtig IP-Adressen prüft. Nun ist dort ein Fund von heute auf morgen von 5 IP-Adressen vorhanden. Das ist alles T-DSL Business Adressen aus der selben Stadt. Logischerweise Feste-IP-Adressen. Ich habe mich mit der Liste vorher nicht beschäftigt, aber es scheint eher so zu sein das man drauf steht, wenn in der Umgebung (Netz der Telekom) viele Spammer sitzen. Da kann ich dann wohl nicht viel machen, ich interessiere mich gerade nur dafür ob von euch jemand irgendwie die Listen verwendet, und wie. Ich finde es ein bisschen komisch das ich immer artig war, und nun auf einer Liste stehe... Geht sich um: http://www.uceprotect.net/de/rblcheck.php UCEPROTECT-Level2 217.80.0.0/12 - GELISTET Der Kunde wo ich vor Ort war, steht nur noch bei SORBS drauf, die wollen scheinbar Geld haben :/ -- Gruß Sascha From jk at jkart.de Mon Dec 21 23:14:09 2009 From: jk at jkart.de (Jim Knuth) Date: Mon, 21 Dec 2009 23:14:09 +0100 Subject: [Postfixbuch-users] (OT) Sqirrelmail Problem Message-ID: <4B2FF331.3090007@jkart.de> Hallo und Sorry für OT, ich habe hier, aus einem Backup, eine Squirrelmail Installation auf einen neuen Server "gehievt". Es geht auch fast alles, ausser dem Anlegen einer Signatur. Da kommt dann: "Fehler beim Öffnen der Zeitzonenkonfiguration. Bitte den Administrator kontaktieren" Ich habe schon die Rechte kontrolliert, Google befragt, nix .. Kann mir jemand nen Tipp geben bitte? Danke. -- mit freundlichem Gruss with kind regard Jim Knuth ------------------------------------ Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From traced at xpear.de Tue Dec 22 08:00:47 2009 From: traced at xpear.de (Basti) Date: Tue, 22 Dec 2009 08:00:47 +0100 Subject: [Postfixbuch-users] policyd-weight: blocked because of previous errors In-Reply-To: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de> References: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de> Message-ID: On Mon, 21 Dec 2009 20:46:44 +0100, Helga.Mayer at uni-hohenheim.de wrote: > Hallo Liste, > > hier bin ich ratlos: ich habe eine Fehlermeldung vom policyd-weight > (Felber) > > Dec 21 16:09:30 smtp2 postfix/smtpd[16364]: connect from > mail-telecontrol.customer.solnet.ch[82.220.17.226] > Dec 21 16:09:31 smtp2 postfix/policyd-weight[30193]: decided > action=550 temporarily blocked because of previous errors - retrying > too fast. penalty: 30 seconds x 0 retries.; > > > aber im Log gibt es keine previous errors. > > Viele Gruesse > Helga Mayer > > Hallo Helga, schonmal die Logs der letzten ein, zwei Tage nach 82.220.17.226 "gegreppt"? viele Grüße Basti From Hullen at t-online.de Tue Dec 22 07:48:00 2009 From: Hullen at t-online.de (Helmut Hullen) Date: 22 Dec 2009 07:48:00 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: <4B2FEBBB.3060009@novuage.de> Message-ID: Hallo, Sascha, Du meintest am 21.12.09 zum Thema [Postfixbuch-users] Blacklisten: > Geht sich um: > http://www.uceprotect.net/de/rblcheck.php > UCEPROTECT-Level2 > 217.80.0.0/12 - GELISTET Hmmm - diese Firma hat ein seltsames Geschäftsmodell. Such mal nach diesem Namen ... Viele Gruesse! Helmut From joachim-sturm at web.de Tue Dec 22 08:12:08 2009 From: joachim-sturm at web.de (Joachim Sturm) Date: Tue, 22 Dec 2009 08:12:08 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 Message-ID: <002901ca82d6$12da2960$388e7c20$@de> Bei einer Überprüfung bei www.whitelisted.org fand ich "Your IP is listed in UCEPROTECT Level-3" "Ihre IP 82.144.32.xxx ist Teil des AS 8881VERSATEL Versatel West GmbH und der Netzwerke 82.144.32.0/19 Was bedeutet auf UCEPROTECT-Level 3 gelistet? UCEPROTECT-Network betreibt eine dreistufige Blackliste um unseren Usern die Wahl zu lassen, wie hart sie filtern möchten. Während Level 1 nur einzelne IP's listet, die innerhalb der letzten 7 Tage wegen Mißbrauchs aufgefallen sind, kann Level 2 als Eskalationsliste bereits komplette Netzbereiche listen, aus denen innerhalb der letzten 7 Tage zu viel Mißbrauch ausgegngen ist. Level 3 schließlich ist die höchstmögliche Eskalation, und listet ausnahmslos das betreffende Autonomus System (AS), was sofern der Provider lediglich über eine ASN (Autonomus System Number) verfügt, grundsätzlich heißt: Alle IP's des betroffenen Providers werden im Level 3 gelistet, wenn innerhalb der letzten 7 Tage übermäßig viel Abuse von den IP's und Netzen dieses Providers ausgegangen ist, mithin also zu viele spammende IP's im Level 1 gelistet wurden. Obwohl Level 3 technisch gesehen nichts als Mathematik basierend auf Level 1 ist, könnte man Level 3 am treffendsten als BOYKOTTLISTE beschreiben. Wie Sie nun wissen, sind Sie ein Opfer der Versäumnisse Ihres Providers geworden. Ihre IP 82.144.32.xxx war zwar NICHT an einer Spamwelle beteiligt, allerdings haben Sie sich Ihren Provider selbst ausgesucht. Indem Sie tolerieren oder ignorieren, daß Ihr Provider gegen Spammer aus seinen Netzen nicht mit der gebotenen Sorgfalt vorgeht, supporten Sie mit Ihren Zahlungen an ihn indirekt ebenfalls den weltweiten Spam. Vor diesem Hintergund betrachtet, sollten Sie sich über die Konsequenzen nicht wirklich wundern. Bitte beschweren Sie sich bei Ihrem Provider und verlangen Sie, daß er diese Mißstände umgehend beseitigt. Bedenken Sie: Sie bezahlen ihn schließlich dafür, das Internet problemlos benutzen zu können. Falls er Ihre Beschwerde ignoriert, oder Ihnen erklärt, er könne da leider nichts machen, sollten Sie konsequent sein und den Provider wechseln." ---- Meine IP ist nicht unter Level 1 und Level 2 dort gelistet, nur unter Level 3! 1. Was bedeutet das für meine Mails? 2. Was kann ich (muß ich) dagegen machen? Gruß Achim From sebastian at debianfan.de Tue Dec 22 08:33:51 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 22 Dec 2009 08:33:51 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 In-Reply-To: <002901ca82d6$12da2960$388e7c20$@de> References: <002901ca82d6$12da2960$388e7c20$@de> Message-ID: <4B30765F.4010001@debianfan.de> Joachim Sturm schrieb: > Bei einer Überprüfung bei www.whitelisted.org fand ich "Your IP is listed in > UCEPROTECT Level-3" > > "Ihre IP 82.144.32.xxx ist Teil des AS 8881VERSATEL > Versatel West GmbH > und der Netzwerke 82.144.32.0/19 > > Was bedeutet auf UCEPROTECT-Level 3 gelistet? > UCEPROTECT-Network betreibt eine dreistufige Blackliste um unseren Usern die > Wahl zu lassen, wie hart sie filtern möchten. > Während Level 1 nur einzelne IP's listet, die innerhalb der letzten 7 Tage > wegen Mißbrauchs aufgefallen sind, kann Level 2 als Eskalationsliste bereits > komplette Netzbereiche listen, aus denen innerhalb der letzten 7 Tage zu > viel Mißbrauch ausgegngen ist. > > Level 3 schließlich ist die höchstmögliche Eskalation, und listet > ausnahmslos das betreffende Autonomus System (AS), was sofern der Provider > lediglich über eine ASN (Autonomus System Number) verfügt, grundsätzlich > heißt: > Alle IP's des betroffenen Providers werden im Level 3 gelistet, wenn > innerhalb der letzten 7 Tage übermäßig viel Abuse von den IP's und Netzen > dieses Providers ausgegangen ist, mithin also zu viele spammende IP's im > Level 1 gelistet wurden. > Obwohl Level 3 technisch gesehen nichts als Mathematik basierend auf Level 1 > ist, könnte man Level 3 am treffendsten als BOYKOTTLISTE beschreiben. > > Wie Sie nun wissen, sind Sie ein Opfer der Versäumnisse Ihres Providers > geworden. > Ihre IP 82.144.32.xxx war zwar NICHT an einer Spamwelle beteiligt, > allerdings haben Sie sich Ihren Provider selbst ausgesucht. > Indem Sie tolerieren oder ignorieren, daß Ihr Provider gegen Spammer aus > seinen Netzen nicht mit der gebotenen Sorgfalt vorgeht, supporten Sie mit > Ihren Zahlungen an ihn indirekt ebenfalls den weltweiten Spam. > Vor diesem Hintergund betrachtet, sollten Sie sich über die Konsequenzen > nicht wirklich wundern. > > Bitte beschweren Sie sich bei Ihrem Provider und verlangen Sie, daß er diese > Mißstände umgehend beseitigt. > Bedenken Sie: Sie bezahlen ihn schließlich dafür, das Internet problemlos > benutzen zu können. > Falls er Ihre Beschwerde ignoriert, oder Ihnen erklärt, er könne da leider > nichts machen, sollten Sie konsequent sein und den Provider wechseln." > > ---- > Meine IP ist nicht unter Level 1 und Level 2 dort gelistet, nur unter Level > 3! > 1. Was bedeutet das für meine Mails? > 2. Was kann ich (muß ich) dagegen machen? > Du kannst nix dagegen machen - ausser Du willst zahlen. Für Level 3 musst Du nicht verantwortlich sein sondern es kann irgendein User mit irgendeiner IP aus Deinem AS-Bereich sein. uceprotect ist eine Gurkenbude - die Daten nutzt niemand wirklich für RBL - höchstens im Rahmen einer Gewichtung bei Spamassassin. From andre.huebner at gmx.de Tue Dec 22 10:19:27 2009 From: andre.huebner at gmx.de (=?iso-8859-1?Q?Andre_H=FCbner?=) Date: Tue, 22 Dec 2009 10:19:27 +0100 Subject: [Postfixbuch-users] policyd-weight: blocked because of previouserrors References: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de> Message-ID: <0BD2F0800867432C9C79F26E890DA709@nmm.local> >schonmal die Logs der letzten ein, zwei Tage nach 82.220.17.226 > "gegreppt"? das gleiche Problem wie Helga hab ich auch ab und zu, erklärungen gegenüber den usern ist dann eher schlecht wenns keine logeinträge gibt die man damit in verbindung bringen würde schon möglich das es in den Logs der Tage davor Einträge gibt, aber mal ehrlich wenn das länger zurückliegt kann das doch nicht der Grund sein. mir kommt das eher vor wie ein bug... Andre From postfix_ml at rirasoft.de Tue Dec 22 10:15:40 2009 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Tue, 22 Dec 2009 10:15:40 +0100 (CET) Subject: [Postfixbuch-users] =?utf-8?q?_aktuelles_Postfix_mit_mysql-Unters?= =?utf-8?q?t=C3=BCtzung?= Message-ID: <30733.194.99.122.193.1261473340.squirrel@www.rirasoft.de> Hallo zusammen, ich benutze auf meinen Servern CentOS 5 (i386+x86_64). Das aktuellste Postfix mit mysql-Unterstützung ist die Version 2.3.3 aus dem Plus-Repo. Hat jemand aktuelle RPM-Pakete (2.5 oder 2.6)? Oder auch SRC-RPMs ? Gruß Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines frei- laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft?schen Viren. E-Mail: andreas at rirasoft.de From christian.flothmann at xabbuh.de Tue Dec 22 10:52:25 2009 From: christian.flothmann at xabbuh.de (Christian Flothmann) Date: Tue, 22 Dec 2009 10:52:25 +0100 Subject: [Postfixbuch-users] (OT) Sqirrelmail Problem In-Reply-To: <4B2FF331.3090007@jkart.de> References: <4B2FF331.3090007@jkart.de> Message-ID: <200912221052.33669.christian.flothmann@xabbuh.de> Hallo, > ich habe hier, aus einem Backup, eine Squirrelmail Installation > auf einen neuen Server "gehievt". Es geht auch fast alles, > ausser dem Anlegen einer Signatur. Da kommt dann: > > "Fehler beim Öffnen der Zeitzonenkonfiguration. Bitte den > Administrator kontaktieren" muss evtl. noch die Zeitzone für PHP korrekt konfiguriert werden? Das müsste die Option default.timezone in der php.ini sein. Gruß -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From hostmaster at taunusstein.net Tue Dec 22 11:14:15 2009 From: hostmaster at taunusstein.net (Christian Felsing) Date: Tue, 22 Dec 2009 11:14:15 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 In-Reply-To: <002901ca82d6$12da2960$388e7c20$@de> References: <002901ca82d6$12da2960$388e7c20$@de> Message-ID: <4B309BF7.7020104@taunusstein.net> Wofür UCE Protect Level-3 gut sein soll, weiss ich nicht. Selbst für Spamassassin oder policyd-weight würde ich die nicht nutzen. Level-1 und Level-2 kann man sich evtl. mal überlegen. Wie man da rein kommt: Das Abuse Handling oder der Betrieb bei dem ISP entspricht nicht den Vorstellungen des UCE Protect Betreibers. Das ist mal so meine Interpretation von dem, was die da auf ihrer Homepage stehen haben. Wie man da raus kommt: Der ISP soll da wohl was zahlen. Wenn man mit einem Verantwortlichen bei z.B. Vodafone spricht, dann merkt man schon, dass man ein ungeliebtes Thema anspricht. RBLs, die Geld für das Austragen verlangen, sind nicht seriös - just my 2 Cents. Viele Grüße Christian Joachim Sturm schrieb: > UCEPROTECT Level-3" From cite+postfix-buch at incertum.net Tue Dec 22 11:27:19 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Tue, 22 Dec 2009 11:27:19 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 In-Reply-To: <4B309BF7.7020104@taunusstein.net> References: <002901ca82d6$12da2960$388e7c20$@de> <4B309BF7.7020104@taunusstein.net> Message-ID: <20091222102719.GF30876@mail.incertum.net> * Christian Felsing : > RBLs, die Geld für das Austragen verlangen, sind nicht seriös - just > my 2 Cents. Aber damit unterstützst Du doch eine junge Mutter mit Heimarbeitsplatz, die sonst wahrscheinlich arbeitslos wäre!!1!käsealf fup2p Stefan From jk at jkart.de Tue Dec 22 12:24:30 2009 From: jk at jkart.de (Jim Knuth) Date: Tue, 22 Dec 2009 12:24:30 +0100 Subject: [Postfixbuch-users] (OT) Sqirrelmail Problem In-Reply-To: <200912221052.33669.christian.flothmann@xabbuh.de> References: <4B2FF331.3090007@jkart.de> <200912221052.33669.christian.flothmann@xabbuh.de> Message-ID: <4B30AC6E.50404@jkart.de> am 22.12.09 10:52 schrieb Christian Flothmann : > Hallo, > > >> ich habe hier, aus einem Backup, eine Squirrelmail Installation >> auf einen neuen Server "gehievt". Es geht auch fast alles, >> ausser dem Anlegen einer Signatur. Da kommt dann: >> >> "Fehler beim Öffnen der Zeitzonenkonfiguration. Bitte den >> Administrator kontaktieren" > > muss evtl. noch die Zeitzone für PHP korrekt konfiguriert werden? Das müsste > die Option default.timezone in der php.ini sein. ist gesetzt als: date.timezone = Europe/Berlin > > Gruß noch ne Idee? -- mit freundlichem Gruss with kind regard Jim Knuth ------------------------------------ Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From traced at xpear.de Tue Dec 22 12:35:33 2009 From: traced at xpear.de (Basti) Date: Tue, 22 Dec 2009 12:35:33 +0100 Subject: [Postfixbuch-users] policyd-weight: blocked because of previouserrors In-Reply-To: <0BD2F0800867432C9C79F26E890DA709@nmm.local> References: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de> <0BD2F0800867432C9C79F26E890DA709@nmm.local> Message-ID: <07e39001a4814f7c917aafc3fac1db69@localhost> On Tue, 22 Dec 2009 10:19:27 +0100, Andre Hübner wrote: >>schonmal die Logs der letzten ein, zwei Tage nach 82.220.17.226 >> "gegreppt"? > > > das gleiche Problem wie Helga hab ich auch ab und zu, erklärungen > gegenüber > den usern ist dann eher schlecht wenns keine logeinträge gibt die man > damit > in verbindung bringen würde > schon möglich das es in den Logs der Tage davor Einträge gibt, aber mal > ehrlich wenn das länger zurückliegt kann das doch nicht der Grund sein. > mir kommt das eher vor wie ein bug... > > Andre > > -- Dann wäre das hier wohl das Beste: English: policyd-weight-list at ek-muc.de (archived on mail-archive.com and gmane.org). I don't expect much traffic here, because a) the project is small and b) I and others have other work and a life, too. Send a mail with [un]subscribe policyd-weight-list in the body to: ml-service at ek-muc.de (like so). Language is English. Developers and Devel-Testers are also welcome on #policyd-weight (IRCNet) viele Grüße Basti From Helga.Mayer at uni-hohenheim.de Tue Dec 22 12:47:31 2009 From: Helga.Mayer at uni-hohenheim.de (Helga Mayer) Date: Tue, 22 Dec 2009 12:47:31 +0100 (CET) Subject: [Postfixbuch-users] policyd-weight: blocked because of previous errors In-Reply-To: References: Message-ID: On Tue, 22 Dec 2009, Basti wrote: >schonmal die Logs der letzten ein, zwei Tage nach 82.220.17.226 > "gegreppt"? die letzten 8, nichts vorhanden. Aber im Cache stand: policyd-weight -s|grep 82.220.17.226 blocked: 82.220.17.226 1 0 1261408171 das ist genau das Datum vom ersten Connect: 1261408171 = Mon, 21 Dec 2009 15:09:31 GMT Dec 21 16:09:30 smtp2 postfix/smtpd[16364]: connect from mail-telecontrol.customer.solnet.ch und keine Ahnung, wie die 1 zustande kam. Ich werd mich mal an policyd-weight-list at ek-muc.de wenden. Vielleicht hilfts. Danke fuer den Hinweis. Gruss Helga From christian at bricart.de Tue Dec 22 12:37:32 2009 From: christian at bricart.de (Christian Bricart) Date: Tue, 22 Dec 2009 12:37:32 +0100 Subject: [Postfixbuch-users] (OT) Sqirrelmail Problem In-Reply-To: <4B30AC6E.50404@jkart.de> References: <4B2FF331.3090007@jkart.de> <200912221052.33669.christian.flothmann@xabbuh.de> <4B30AC6E.50404@jkart.de> Message-ID: Jim Knuth wrote: > am 22.12.09 10:52 schrieb Christian Flothmann > : > > >> Hallo, >> >> >>> ich habe hier, aus einem Backup, eine Squirrelmail Installation >>> auf einen neuen Server "gehievt". Es geht auch fast alles, >>> ausser dem Anlegen einer Signatur. Da kommt dann: >>> >>> "Fehler beim Öffnen der Zeitzonenkonfiguration. Bitte den >>> Administrator kontaktieren" >> >> muss evtl. noch die Zeitzone für PHP korrekt konfiguriert werden? Das >> müsste >> die Option default.timezone in der php.ini sein. > > ist gesetzt als: date.timezone = Europe/Berlin > >> >> Gruß > > noch ne Idee? http://www.mail-archive.com/squirrelmail-users at lists.sourceforge.net/msg02009.html ? [quote] Does locale/timezones.cfg exist? Is it readable by the apache user? [/quote] Christian From robert at lehmanns.de Tue Dec 22 14:04:25 2009 From: robert at lehmanns.de (Robert Stark) Date: Tue, 22 Dec 2009 14:04:25 +0100 Subject: [Postfixbuch-users] header check REPLACE Message-ID: <200912221404.25254.robert@lehmanns.de> Hallo Liste, habe hier gerade ein Problem einem Outlook Klienten. Die Empfängeradressen kommen immer in folgendem Format bei Postfix an: <'adresse at domain.de'> Postfix stört sich natürlich an den einfachen Hochkommas. Gut, dachte ich, kein Problem. Wozu gibt es header_checks mit REPLACE. Also fix nen Eintrag gemacht: /<'/ REPLACE < /'>/ REPLACE > Danach noch: postmap -q "<'adresse at domain.de'>" regexp:/etc/postfix/header_checks Ergebniss: REPLACE < ----------------------------------- Soweit so gut. Nur beim Versenden scheint das REPLACE nicht zu greifen. Email wird trotzdem mit "warning: Illegal address syntax" abgewiesen. Kennt jemand das Problem mit Outlook und fehlerhaften Adressen ? Wie habt Ihr das gelöst bzw. warum funktionieren meine header_checks nicht ? Gruß From Ralf.Hildebrandt at charite.de Tue Dec 22 14:10:19 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 22 Dec 2009 14:10:19 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221404.25254.robert@lehmanns.de> References: <200912221404.25254.robert@lehmanns.de> Message-ID: <20091222131018.GI4822@charite.de> * Robert Stark : > Hallo Liste, > > habe hier gerade ein Problem einem Outlook Klienten. > Die Empfängeradressen kommen immer in folgendem Format bei Postfix an: > > <'adresse at domain.de'> Im header oder envelope? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From robert at lehmanns.de Tue Dec 22 14:34:12 2009 From: robert at lehmanns.de (Robert Stark) Date: Tue, 22 Dec 2009 14:34:12 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091222131018.GI4822@charite.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> Message-ID: <200912221434.12354.robert@lehmanns.de> Am Dienstag, 22. Dezember 2009 14:10:19 schrieb Ralf Hildebrandt: > * Robert Stark : > > Hallo Liste, > > > > habe hier gerade ein Problem einem Outlook Klienten. > > Die Empfängeradressen kommen immer in folgendem Format bei Postfix an: > > > > <'adresse at domain.de'> > > Im header oder envelope? > Ich vermute im Envelope da die komplette Meldung: postfix/smtpd[24483]: warning: Illegal address syntax from unknown[217.9.63.72] in RCPT command: <'Anehen at pearson.de'> RCPT ist doch Envelope oder ? -- Lehmanns Fachbuchhandlung GmbH Zentrale EDV Helmholtzstr. 2-9 10587 Berlin Telefon: 030-617911-66 Web: http://www.lob.de ============================== Lehmanns Fachbuchhandlung GmbH Registergericht Köln, HRB 12268 Geschäftsführer: Manfred Hahn, Frank Herzog, Detlef Buettner From p.heinlein at heinlein-support.de Tue Dec 22 15:10:05 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 22 Dec 2009 15:10:05 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221434.12354.robert@lehmanns.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> Message-ID: <200912221510.07406.p.heinlein@heinlein-support.de> Am Dienstag, 22. Dezember 2009 schrieb Robert Stark: > > > habe hier gerade ein Problem einem Outlook Klienten. > > > Die Empfängeradressen kommen immer in folgendem Format bei Postfix > > > an: > > > > > > <'adresse at domain.de'> > > > > Im header oder envelope? > > Ich vermute im Envelope da die komplette Meldung: > > postfix/smtpd[24483]: warning: Illegal address syntax from > unknown[217.9.63.72] in RCPT command: <'Anehen at pearson.de'> > > RCPT ist doch Envelope oder ? Ja, das ist der Envelope. Vorweg: Das mit dem REPLACE kann nicht gehen. Erstens würde er die komplette (!) Zeile durch "<" ersetzen, d.h. den Rest löschen. Man müßte also den Rest durch ein geeignetes RegExp "retten" -- das geht. Zweitens aber greifen die header_checks eh erst auf Basis des cleanup-Moduls und damit nicht in der Annahme beim smtpd. Aber -- hier eh egal, ist sowieso Envelope. Aber: Ich habe noch nie beobachtet, daß Outlook das macht. Die Mailadresse so zu senden ist ein krasser Protokollfehler. Ich traue Outlook viel zu, aber dann müßte man regelmäßig davon hören. Oder gibt's da noch irgendeine andere Möchtegern.-SMTP-Proxylösung dazwischen die da irgendwas vergurkt? Ich würde eher vermuten, daß der Nutzer (!) diese Mailadressen bei sich so komisch eingetragen hat. Vielleicht in seinem Adreßbuch? Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Tue Dec 22 15:14:44 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 22 Dec 2009 15:14:44 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221434.12354.robert@lehmanns.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> Message-ID: <20091222141444.GJ4822@charite.de> > Ich vermute im Envelope da die komplette Meldung: > > postfix/smtpd[24483]: warning: Illegal address syntax from > unknown[217.9.63.72] in RCPT command: <'Anehen at pearson.de'> > > RCPT ist doch Envelope oder ? Jepp. Da kann man nix machen. Die User müssen im Outlook schon die richtige Emailadresse angeben -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Tue Dec 22 15:15:50 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 22 Dec 2009 15:15:50 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221510.07406.p.heinlein@heinlein-support.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> Message-ID: <20091222141550.GK4822@charite.de> * Peer Heinlein : > Aber: Ich habe noch nie beobachtet, daß Outlook das macht. Witzigerweise ich gerade HEUTE! > Die Mailadresse so zu senden ist ein krasser Protokollfehler. Ich traue > Outlook viel zu, aber dann müßte man regelmäßig davon hören. Oder gibt's > da noch irgendeine andere Möchtegern.-SMTP-Proxylösung dazwischen die da > irgendwas vergurkt? Ich denke eher garbage in, garbage out (falsche Adresslisten) > Ich würde eher vermuten, daß der Nutzer (!) diese Mailadressen bei sich so > komisch eingetragen hat. Vielleicht in seinem Adreßbuch? Denke ich auch. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From andre.huebner at gmx.de Tue Dec 22 15:37:28 2009 From: andre.huebner at gmx.de (=?iso-8859-1?Q?Andre_H=FCbner?=) Date: Tue, 22 Dec 2009 15:37:28 +0100 Subject: [Postfixbuch-users] policyd-weight: blocked because ofpreviouserrors References: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de><0BD2F0800867432C9C79F26E890DA709@nmm.local> <07e39001a4814f7c917aafc3fac1db69@localhost> Message-ID: <709A874701244EBD9ADBE0ED47D0DF3C@nmm.local> Hallo, >> English: policyd-weight-list at ek-muc.de (archived on mail-archive.com and >> gmane.org). I don't expect much traffic here, because a) the project is >> small and b) I and others have other work and a life, too. >> Send a mail with [un]subscribe policyd-weight-list in the body to: >> ml-service at ek-muc.de (like so). Language is English. probieren, aber ich glaub policyd-weight wird nicht mehr weiterentwickelt. ich teste mit erfolg auf einigen servern den postfwd2. kuckst euch mal an: http://postfwd.org/ Andre From robert at lehmanns.de Tue Dec 22 15:50:41 2009 From: robert at lehmanns.de (Robert Stark) Date: Tue, 22 Dec 2009 15:50:41 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221510.07406.p.heinlein@heinlein-support.de> References: <200912221404.25254.robert@lehmanns.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> Message-ID: <200912221550.41674.robert@lehmanns.de> Am Dienstag, 22. Dezember 2009 15:10:05 schrieb Peer Heinlein: > Vorweg: Das mit dem REPLACE kann nicht gehen. Erstens würde er die > komplette (!) Zeile durch "<" ersetzen, d.h. den Rest löschen. Man müßte > also den Rest durch ein geeignetes RegExp "retten" -- das geht. Das wollte ich gerade anhand des Subjects mal testen. Der gehört ja zum Header. Hat aber leider auch nicht funktioniert. Mein String <'ay caramba'> wurde unverändert im Subject belassen. Gut aber das ist dann erstmal ein anderes Problem. > Aber -- hier eh egal, ist sowieso Envelope. Genau das habe ich dann auch gedacht nachdem ich den Unterschied von Envelope und Header nochmal vor Augen hatte. ;) > Aber: Ich habe noch nie beobachtet, daß Outlook das macht. > > Die Mailadresse so zu senden ist ein krasser Protokollfehler. Ich traue > Outlook viel zu, aber dann müßte man regelmäßig davon hören. Oder gibt's > da noch irgendeine andere Möchtegern.-SMTP-Proxylösung dazwischen die da > irgendwas vergurkt? > > Ich würde eher vermuten, daß der Nutzer (!) diese Mailadressen bei sich so > komisch eingetragen hat. Vielleicht in seinem Adreßbuch? So wird es letzen Endes auch gewesen sein. Adressen wurden wohl per copy+paste zusammen gesetzt. Naja, er hat Stein und Bein geschworen das schon öfter so gemacht zu haben, erfolgreich versteht sich, drum habe ich mir das mal angesehen. Vielen Dank für die Mithilfe. Erholsame Feiertage. Gruß From jk at jkart.de Tue Dec 22 17:58:24 2009 From: jk at jkart.de (Jim Knuth) Date: Tue, 22 Dec 2009 17:58:24 +0100 (CET) Subject: [Postfixbuch-users] (OT) Sqirrelmail Problem In-Reply-To: References: <4B2FF331.3090007@jkart.de> <200912221052.33669.christian.flothmann@xabbuh.de> <4B30AC6E.50404@jkart.de> Message-ID: <55281.62.153.13.191.1261501104.squirrel@webmail.art-domains.de> Am Di, 22.12.2009, 12:37 schrieb Christian Bricart: >> noch ne Idee? > > http://www.mail-archive.com/squirrelmail-users at lists.sourceforge.net/msg02009.html > ? > > [quote] > Does locale/timezones.cfg exist? Is it readable by the apache user? > [/quote] > > Christian Danke, das wars. :) -- mfg Jim Knuth From p.heinlein at heinlein-support.de Tue Dec 22 22:02:02 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 22 Dec 2009 22:02:02 +0100 Subject: [Postfixbuch-users] policyd-weight: blocked because ofpreviouserrors In-Reply-To: <709A874701244EBD9ADBE0ED47D0DF3C@nmm.local> References: <20091221204644.15239kkkfgduq5k4@webmail.uni-hohenheim.de> <07e39001a4814f7c917aafc3fac1db69@localhost> <709A874701244EBD9ADBE0ED47D0DF3C@nmm.local> Message-ID: <200912222202.02854.p.heinlein@heinlein-support.de> Am Dienstag, 22. Dezember 2009 schrieb Andre Hübner: > probieren, aber ich glaub policyd-weight wird nicht mehr > weiterentwickelt. a) falsch -- bitte keinen Unsinn weiterverbreitet b) und selbst wenn -- wo ist da dann das Problem wenn's doch funktioniert? Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Dec 22 22:03:40 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 22 Dec 2009 22:03:40 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221550.41674.robert@lehmanns.de> References: <200912221404.25254.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <200912221550.41674.robert@lehmanns.de> Message-ID: <200912222203.40384.p.heinlein@heinlein-support.de> Am Dienstag, 22. Dezember 2009 schrieb Robert Stark: > copy+paste zusammen gesetzt. Naja, er hat Stein und Bein geschworen das > schon öfter so gemacht zu haben, erfolgreich versteht sich, drum habe Logisch. Selbstverständlich. Und Du bist der ALLEROBEREINZIGSTE Mailserver auf der ganzen Welt wo es nicht geht -- und das ist ja nun wirklich unverschämt von Dir. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From postfix-list at novuage.de Tue Dec 22 22:40:01 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 22 Dec 2009 22:40:01 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: References: Message-ID: <4B313CB1.5090807@novuage.de> Helmut Hullen schrieb: > Du meintest am 21.12.09 zum Thema [Postfixbuch-users] Blacklisten: >> Geht sich um: >> http://www.uceprotect.net/de/rblcheck.php >> UCEPROTECT-Level2 >> 217.80.0.0/12 - GELISTET > > Hmmm - diese Firma hat ein seltsames Geschäftsmodell. Such mal nach > diesem Namen ... Auf den Seiten selbst sehe ich schon komishce Sachen, jährliche Zahlung für die whitelist, welche Level-2 dann nicht mehr beeinflusst... Die Liste nutzt mal hoffentlich keiner, aber ist auch nur der T-DSL Anschluss und nicht der Smarthost. SpamAssassin prüft nicht Standardmäßig darauf... also vergesse ich die Liste am besten... -- Gruß Sascha From philipp at phflesch.de Tue Dec 22 22:47:59 2009 From: philipp at phflesch.de (Philipp Flesch) Date: Tue, 22 Dec 2009 22:47:59 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: <4B313CB1.5090807@novuage.de> References: <4B313CB1.5090807@novuage.de> Message-ID: <4B313E8F.2070501@phflesch.de> Sascha Peters schrieb: > Helmut Hullen schrieb: >> Du meintest am 21.12.09 zum Thema [Postfixbuch-users] Blacklisten: >>> Geht sich um: >>> http://www.uceprotect.net/de/rblcheck.php >>> UCEPROTECT-Level2 >>> 217.80.0.0/12 - GELISTET >> >> Hmmm - diese Firma hat ein seltsames Geschäftsmodell. Such mal nach >> diesem Namen ... > > Auf den Seiten selbst sehe ich schon komishce Sachen, jährliche > Zahlung für die whitelist, welche Level-2 dann nicht mehr > beeinflusst... Die Liste nutzt mal hoffentlich keiner, aber ist auch > nur der T-DSL Anschluss und nicht der Smarthost. SpamAssassin prüft > nicht Standardmäßig darauf... also vergesse ich die Liste am besten... Schlechte Nachrichten: Gerade bei uns in Bayern setzen sehr viele Kommunen dieses Produkt als "der Weissheit letzter Schluss" ein - viele leider ohne über die genaue Konfiguration und die Folgen nachzudenken. Der "verwunderlichste" Fall war dabei, wo eine Stadt mit der anderen nur noch über die Dienstpost kommuniziert hat, weil die einer Stadt bei der anderen auf der Blacklist war. Da kann aber der Hersteller der Software nichts dafür - dennoch hatte ich die Probleme v.a. bei Kunden dieses Produkts - kann jedoch Zufall sein. Der Fall hat mir aber gezeigt, dass es generell wichtig ist, vor Einführung einer derartigen Lösung, ein umfassendes Konzept zu erarbeiten. Ein Pressesprecher, der keine mp3-Dateien von der ARD empfangen kann oder eine Feuerwehr die keine Mails vom (zugegebenermaßen "falsch" konfigurierten Server) des Innenministeriums bekommt, dürfte es unnötig schwer haben. Spannend sind auch "Pressesofortmeldungen" der Polizei die stundenlang im Greylisting hängen, weil niemand an ihre Existenz gedacht hat ;-) Philipp From postfix-list at novuage.de Tue Dec 22 23:04:23 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 22 Dec 2009 23:04:23 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: <4B313E8F.2070501@phflesch.de> References: <4B313CB1.5090807@novuage.de> <4B313E8F.2070501@phflesch.de> Message-ID: <4B314267.4070507@novuage.de> Philipp Flesch schrieb: > Sascha Peters schrieb: >> Helmut Hullen schrieb: >>> Du meintest am 21.12.09 zum Thema [Postfixbuch-users] Blacklisten: >>>> Geht sich um: >>>> http://www.uceprotect.net/de/rblcheck.php >>>> UCEPROTECT-Level2 >>>> 217.80.0.0/12 - GELISTET >>> >>> Hmmm - diese Firma hat ein seltsames Geschäftsmodell. Such mal nach >>> diesem Namen ... >> >> Auf den Seiten selbst sehe ich schon komishce Sachen, jährliche >> Zahlung für die whitelist, welche Level-2 dann nicht mehr >> beeinflusst... Die Liste nutzt mal hoffentlich keiner, aber ist auch >> nur der T-DSL Anschluss und nicht der Smarthost. SpamAssassin prüft >> nicht Standardmäßig darauf... also vergesse ich die Liste am besten... > > Schlechte Nachrichten: > Gerade bei uns in Bayern setzen sehr viele Kommunen dieses Produkt als > "der Weissheit letzter Schluss" ein - viele leider ohne über die genaue > Konfiguration und die Folgen nachzudenken. Der "verwunderlichste" Fall > war dabei, wo eine Stadt mit der anderen nur noch über die Dienstpost > kommuniziert hat, weil die einer Stadt bei der anderen auf der Blacklist > war. Tja, bei Kommunen ist schon mal leicht alles anders. Die sind auch lange Beratungsresistent bis zu einem solchen Fall. Erst wenn von weiter oben jemand runterspuckt geht man auf Seite. > Da kann aber der Hersteller der Software nichts dafür - dennoch hatte > ich die Probleme v.a. bei Kunden dieses Produkts - kann jedoch Zufall sein. Produkt? Redest Du von der Liste als Produkt, oder gibt es eine Blackbox von XY als Produkt die als Standard auf diese Liste baut. Da ich nun nicht von diesen IP-Adressen versende, sondern über einen Smarthost ist es nicht so schlimm. Ich prüfe die IP-Adressen nur weil es unter Umständen ja schon sein kann das Clients über diese Adresse versenden, je nachdem was dahinter gerade los ist. Nutzt das Produkt diese Liste, gerade als Level-2 denn auch als sofortiger reject? Denn das Level-2 setzt ja ganze Netze auf eine Liste wenn eine gewisse Zahl an einzelnen IP-Adressen auf Level-1 gekommen sind. Quasi als zusätzlichen Informationsinput. Ich habe damals viele Listen mit geprüft, das erst mal war nun ein Fund, und da hab ich mir die Liste mal genauer angesehen. > Der Fall hat mir aber gezeigt, dass es generell wichtig ist, vor > Einführung einer derartigen Lösung, ein umfassendes Konzept zu erarbeiten. > Ein Pressesprecher, der keine mp3-Dateien von der ARD empfangen kann > oder eine Feuerwehr die keine Mails vom (zugegebenermaßen "falsch" > konfigurierten Server) des Innenministeriums bekommt, dürfte es unnötig > schwer haben. Das ist es so oder so immer. Man sollte sich vorher Gedanken machen. > Spannend sind auch "Pressesofortmeldungen" der Polizei die stundenlang > im Greylisting hängen, weil niemand an ihre Existenz gedacht hat ;-) Also solche Meldungen werden ja ständig gesendet und meist wohl eher auch nicht an Unbekannte oder ständig neue Adressen, das sollte also selten bis gar nicht vorkommen das die im Greylisting stecken bleibe, schon gar nicht Stunden... -- Gruß Sascha From postfix-list at novuage.de Tue Dec 22 23:10:29 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 22 Dec 2009 23:10:29 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 In-Reply-To: <002901ca82d6$12da2960$388e7c20$@de> References: <002901ca82d6$12da2960$388e7c20$@de> Message-ID: <4B3143D5.9000505@novuage.de> Joachim Sturm schrieb: > Bitte beschweren Sie sich bei Ihrem Provider und verlangen Sie, daß er diese > Mißstände umgehend beseitigt. > Bedenken Sie: Sie bezahlen ihn schließlich dafür, das Internet problemlos > benutzen zu können. > Falls er Ihre Beschwerde ignoriert, oder Ihnen erklärt, er könne da leider > nichts machen, sollten Sie konsequent sein und den Provider wechseln." > > ---- > Meine IP ist nicht unter Level 1 und Level 2 dort gelistet, nur unter Level > 3! > 1. Was bedeutet das für meine Mails? > 2. Was kann ich (muß ich) dagegen machen? Ich bin mit einigen wie gesagt auf Level-2 gelandet. Level-3 bedeutet quasi ein ganzes AS eines Providers (mehrere Netze) ist auf der Liste. Dagegen kannst Du nix machen, außer jährliche Zahlungen zu leisten um afu die whitelist zu kommen oder eben einen anderen Provider zu suchen. Ich würde hier aber sagen, wer diese Liste einsetzt, der ist selbst Schuld. Bin gespannt ob das AS von der Telekom in dem ich mich befinde es auch bis Level-3 schafft ;-) -- Gruß Sascha From philipp at phflesch.de Tue Dec 22 23:12:53 2009 From: philipp at phflesch.de (Philipp Flesch) Date: Tue, 22 Dec 2009 23:12:53 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: <4B314267.4070507@novuage.de> References: <4B313CB1.5090807@novuage.de> <4B313E8F.2070501@phflesch.de> <4B314267.4070507@novuage.de> Message-ID: <4B314465.6020504@phflesch.de> Sascha Peters schrieb: > > > >> Da kann aber der Hersteller der Software nichts dafür - dennoch hatte >> ich die Probleme v.a. bei Kunden dieses Produkts - kann jedoch Zufall >> sein. > > Produkt? Redest Du von der Liste als Produkt, oder gibt es eine > Blackbox von XY als Produkt die als Standard auf diese Liste baut. Da > ich nun nicht von diesen IP-Adressen versende, sondern über einen > Smarthost ist es nicht so schlimm. Ich prüfe die IP-Adressen nur weil > es unter Umständen ja schon sein kann das Clients über diese Adresse > versenden, je nachdem was dahinter gerade los ist. Ich rede von einem Stücksoftware der Firma XY die als eines der wichtigsten Elemente teilweise eigene Blacklisten einsetzt. > > Nutzt das Produkt diese Liste, gerade als Level-2 denn auch als > sofortiger reject? Denn das Level-2 setzt ja ganze Netze auf eine > Liste wenn eine gewisse Zahl an einzelnen IP-Adressen auf Level-1 > gekommen sind. Welche Listen wo wie verwendet werden sagen leider die wenigsten Hersteller. Deswegen haben meine Kunden i.d.R. eigene Mailgateways (mit Postfix) und nichts out-of-the-box. Ich will doch wissen, wieso eine Mail abgewiesen wird bzw. ein bestimmtes Spam-Level erreicht wird. (per PM kann ich Dir aber gerne ein paar Städte nennen, die das Produkt einsetzen - per E-Mail nachfragen kostet ja nichts) >> Spannend sind auch "Pressesofortmeldungen" der Polizei die >> stundenlang im Greylisting hängen, weil niemand an ihre Existenz >> gedacht hat ;-) > > Also solche Meldungen werden ja ständig gesendet und meist wohl eher > auch nicht an Unbekannte oder ständig neue Adressen, das sollte also > selten bis gar nicht vorkommen das die im Greylisting stecken bleibe, > schon gar nicht Stunden... Immer die selbe IP bzw. eine von Spammern wohl kaum verwendete Absender-Domain Philipp From philipp at phflesch.de Tue Dec 22 23:14:57 2009 From: philipp at phflesch.de (Philipp Flesch) Date: Tue, 22 Dec 2009 23:14:57 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 In-Reply-To: <4B3143D5.9000505@novuage.de> References: <002901ca82d6$12da2960$388e7c20$@de> <4B3143D5.9000505@novuage.de> Message-ID: <4B3144E1.4080707@phflesch.de> Sascha Peters schrieb: > > Ich bin mit einigen wie gesagt auf Level-2 gelandet. Level-3 bedeutet > quasi ein ganzes AS eines Providers (mehrere Netze) ist auf der Liste. > Dagegen kannst Du nix machen, außer jährliche Zahlungen zu leisten um > afu die whitelist zu kommen oder eben einen anderen Provider zu suchen. > > Ich würde hier aber sagen, wer diese Liste einsetzt, der ist selbst > Schuld. Bin gespannt ob das AS von der Telekom in dem ich mich befinde > es auch bis Level-3 schafft ;-) Naja, ich nerve dann gerne einfach den Empfänger ... wie gesagt - es gibt auch viele öffentliche Einrichtungen als Anwender, wo die Listen so eingesetzt werden, dass es keine Probleme gibt. Philipp From postfix-list at novuage.de Tue Dec 22 23:17:37 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 22 Dec 2009 23:17:37 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: <4B314465.6020504@phflesch.de> References: <4B313CB1.5090807@novuage.de> <4B313E8F.2070501@phflesch.de> <4B314267.4070507@novuage.de> <4B314465.6020504@phflesch.de> Message-ID: <4B314581.3040008@novuage.de> Philipp Flesch schrieb: >>> Spannend sind auch "Pressesofortmeldungen" der Polizei die >>> stundenlang im Greylisting hängen, weil niemand an ihre Existenz >>> gedacht hat ;-) >> >> Also solche Meldungen werden ja ständig gesendet und meist wohl eher >> auch nicht an Unbekannte oder ständig neue Adressen, das sollte also >> selten bis gar nicht vorkommen das die im Greylisting stecken bleibe, >> schon gar nicht Stunden... > Immer die selbe IP bzw. eine von Spammern wohl kaum verwendete > Absender-Domain Selbst wenn es von Spammern genutzte Absender sind, das spielt doch beim Greylisting keine Rolle. Nur die Kombination "IP, Absender, Empfänger" Und die bleiben doch in der Regel identisch... -- Gruß Sascha From postfix-list at novuage.de Tue Dec 22 23:20:20 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 22 Dec 2009 23:20:20 +0100 Subject: [Postfixbuch-users] etwas OT: UCEPROTECT Level-3 In-Reply-To: <4B3144E1.4080707@phflesch.de> References: <002901ca82d6$12da2960$388e7c20$@de> <4B3143D5.9000505@novuage.de> <4B3144E1.4080707@phflesch.de> Message-ID: <4B314624.1070205@novuage.de> Philipp Flesch schrieb: >> Ich bin mit einigen wie gesagt auf Level-2 gelandet. Level-3 bedeutet >> quasi ein ganzes AS eines Providers (mehrere Netze) ist auf der Liste. >> Dagegen kannst Du nix machen, außer jährliche Zahlungen zu leisten um >> afu die whitelist zu kommen oder eben einen anderen Provider zu suchen. >> >> Ich würde hier aber sagen, wer diese Liste einsetzt, der ist selbst >> Schuld. Bin gespannt ob das AS von der Telekom in dem ich mich befinde >> es auch bis Level-3 schafft ;-) > Naja, ich nerve dann gerne einfach den Empfänger ... wie gesagt - es > gibt auch viele öffentliche Einrichtungen als Anwender, wo die Listen so > eingesetzt werden, dass es keine Probleme gibt. "Wo die Listen so eingesetzt werden, dass es keine Probleme gibt". Mach ich auch, indem ich die Listen gar nicht einsetze. Die Punkte die vergeben werden (oder wie diese auch eingesetzt werden) sind doch falsch, weil Sie nichts mit dem zu tun haben das etwas über denjenigen hinter der IP-Adresse sagen. Wenn man Greylisting und Co selektiv einsetzen will, dann würde ich sagen könnte man diese Netze dazu missbrauchen, aber davon halte ich so oder so nichts. -- Gruß Sascha From philipp at phflesch.de Tue Dec 22 23:23:58 2009 From: philipp at phflesch.de (Philipp Flesch) Date: Tue, 22 Dec 2009 23:23:58 +0100 Subject: [Postfixbuch-users] Blacklisten In-Reply-To: <4B314581.3040008@novuage.de> References: <4B313CB1.5090807@novuage.de> <4B313E8F.2070501@phflesch.de> <4B314267.4070507@novuage.de> <4B314465.6020504@phflesch.de> <4B314581.3040008@novuage.de> Message-ID: <4B3146FE.3040803@phflesch.de> Sascha Peters schrieb: > Philipp Flesch schrieb: >>>> Spannend sind auch "Pressesofortmeldungen" der Polizei die >>>> stundenlang im Greylisting hängen, weil niemand an ihre Existenz >>>> gedacht hat ;-) >>> >>> Also solche Meldungen werden ja ständig gesendet und meist wohl eher >>> auch nicht an Unbekannte oder ständig neue Adressen, das sollte also >>> selten bis gar nicht vorkommen das die im Greylisting stecken >>> bleibe, schon gar nicht Stunden... >> Immer die selbe IP bzw. eine von Spammern wohl kaum verwendete >> Absender-Domain > > Selbst wenn es von Spammern genutzte Absender sind, das spielt doch > beim Greylisting keine Rolle. Nur die Kombination "IP, Absender, > Empfänger" Und die bleiben doch in der Regel identisch... Hin und wieder greifen die auf einen "nicht gelisteten Backup-Server" zurück ;-) I.d.R. ist daher die ganze Domain in der White-List ... From postfix-list at novuage.de Tue Dec 22 23:24:43 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 22 Dec 2009 23:24:43 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091222141444.GJ4822@charite.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <20091222141444.GJ4822@charite.de> Message-ID: <4B31472B.6010003@novuage.de> Ralf Hildebrandt schrieb: >> Ich vermute im Envelope da die komplette Meldung: >> >> postfix/smtpd[24483]: warning: Illegal address syntax from >> unknown[217.9.63.72] in RCPT command: <'Anehen at pearson.de'> >> >> RCPT ist doch Envelope oder ? > > Jepp. Da kann man nix machen. Die User müssen im Outlook schon die > richtige Emailadresse angeben Ist aber schon unverschämt das Outlook nicht von selbst weiß wohin man was senden will... -- Gruß Sascha From cite+postfix-buch at incertum.net Wed Dec 23 07:18:29 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 23 Dec 2009 07:18:29 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912221510.07406.p.heinlein@heinlein-support.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> Message-ID: <20091223061829.GA27149@mail.incertum.net> * Peer Heinlein : > Am Dienstag, 22. Dezember 2009 schrieb Robert Stark: >>>> habe hier gerade ein Problem einem Outlook Klienten. >>>> Die Empfängeradressen kommen immer in folgendem Format bei Postfix >>>> an: >>>> >>>> <'adresse at domain.de'> >>> >>> Im header oder envelope? >> >> Ich vermute im Envelope da die komplette Meldung: >> >> postfix/smtpd[24483]: warning: Illegal address syntax from >> unknown[217.9.63.72] in RCPT command: <'Anehen at pearson.de'> >> >> RCPT ist doch Envelope oder ? > > Ja, das ist der Envelope. > > Vorweg: Das mit dem REPLACE kann nicht gehen. Erstens würde er die > komplette (!) Zeile durch "<" ersetzen, d.h. den Rest löschen. Man müßte > also den Rest durch ein geeignetes RegExp "retten" -- das geht. Zweitens > aber greifen die header_checks eh erst auf Basis des cleanup-Moduls und > damit nicht in der Annahme beim smtpd. Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature smtp_command_filter = pcre:/file/name - damit würde man sogar sowas in den Griff kriegen. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #68: WWW - World Wide Waiting From Ralf.Hildebrandt at charite.de Wed Dec 23 10:16:32 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 23 Dec 2009 10:16:32 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223061829.GA27149@mail.incertum.net> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> Message-ID: <20091223091632.GF20698@charite.de> * Stefan Förster : > Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature > smtp_command_filter = pcre:/file/name - damit würde man sogar sowas in > den Griff kriegen. Wirklich? GEIL! Das war irgendwie an mir vorübergegangen. Will implement right away... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Wed Dec 23 10:21:42 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 23 Dec 2009 10:21:42 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223091632.GF20698@charite.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> <20091223091632.GF20698@charite.de> Message-ID: <20091223092142.GG20698@charite.de> * Ralf Hildebrandt : > * Stefan Förster : > > > Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature > > smtp_command_filter = pcre:/file/name - damit würde man sogar sowas in > > den Griff kriegen. > > Wirklich? > GEIL! > > Das war irgendwie an mir vorübergegangen. Will implement right away... smtp***D***_command_filter -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From mail at marcel-hartmann.com Wed Dec 23 10:56:38 2009 From: mail at marcel-hartmann.com (Marcel Hartmann) Date: Wed, 23 Dec 2009 10:56:38 +0100 Subject: [Postfixbuch-users] Newsletter in kleinem Umfang In-Reply-To: <4B31E61B.5000603@marcel-hartmann.com> References: <4B31E61B.5000603@marcel-hartmann.com> Message-ID: <4B31E956.1040505@marcel-hartmann.com> Marcel Hartmann schrieb: > Hallo Liste, > > ich suche , natürlich mit postfix und cyrus einen Weg, wie ich > Newsletteradressen die ich in einer DB habe raussenden kann. > Soweit ja kein Problem, ich will nur, dass die bounces dann an z.B. > bounces at domain.tld gesendet werden, damit ich diese > a.) sehen kann und b.) am besten automatistiert aus der Datenbank > löschen kann um weitere bounces bei neuen Newslettern > zu vermeiden. > > Gibt es dafür fertige Lösungen oder Scripte die man nehmen kann? Es > handelt sich nur um max. 1500 bis 2000 Mailempfänger, > as ja SPAM technisch (soweit ich den Header etc. korrekt der > absendenden Domain angleiche tec. pp.) > > Ich bin für jeden Tipp dankbar... Natürlich ist alles double-opt in validiert und alle User können ohne weiteres über die website unsibscriben! Das nur kurz als nachtrag... Ich will wirklich nur die User den der Krams auch interessiert errreichen. Ich habe nun gerade das hier gefunden: http://www.superwebmailer.de Wäre das nicht eine Lösung dafür? Der cronjob jagt zwar immer nur alle 5 Minuten ein paar Mails raus, aber so viele sind es bei mir ja nicht in diesem Fall. Eigentlich will ich nur Newsletter anlegen wia WYSIWYG, diese Speichern alà Wheinachtsnewsletter, und die Empfänger auswählen anhand von bestimmten Datumsfeldern in der MSQL -> Buchungszeiträume, es handelt sich um Ferienwohnungskunden von einem Feriendorf. Gruß, Marcel From mail at marcel-hartmann.com Wed Dec 23 10:42:51 2009 From: mail at marcel-hartmann.com (Marcel Hartmann) Date: Wed, 23 Dec 2009 10:42:51 +0100 Subject: [Postfixbuch-users] Newsletter in kleinem Umfang Message-ID: <4B31E61B.5000603@marcel-hartmann.com> Hallo Liste, ich suche , natürlich mit postfix und cyrus einen Weg, wie ich Newsletteradressen die ich in einer DB habe raussenden kann. Soweit ja kein Problem, ich will nur, dass die bounces dann an z.B. bounces at domain.tld gesendet werden, damit ich diese a.) sehen kann und b.) am besten automatistiert aus der Datenbank löschen kann um weitere bounces bei neuen Newslettern zu vermeiden. Gibt es dafür fertige Lösungen oder Scripte die man nehmen kann? Es handelt sich nur um max. 1500 bis 2000 Mailempfänger, as ja SPAM technisch (soweit ich den Header etc. korrekt der absendenden Domain angleiche tec. pp.) Ich bin für jeden Tipp dankbar, Gruß Marcel From robert at lehmanns.de Wed Dec 23 11:09:53 2009 From: robert at lehmanns.de (Robert Stark) Date: Wed, 23 Dec 2009 11:09:53 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223061829.GA27149@mail.incertum.net> References: <200912221404.25254.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> Message-ID: <200912231109.53883.robert@lehmanns.de> Am Mittwoch, 23. Dezember 2009 07:18:29 schrieb Stefan Förster: > Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature > smtp_command_filter = pcre:/file/name - damit würde man sogar sowas in > den Griff kriegen. Postfix experimental ist nun aber leider keine wirklich beruhigende Alternative für uns. :) . Aber interessant zu wissen das für solche Fälle schon Lösungen in Arbeit sind. From cite+postfix-buch at incertum.net Wed Dec 23 11:26:36 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 23 Dec 2009 11:26:36 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223092142.GG20698@charite.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> <20091223091632.GF20698@charite.de> <20091223092142.GG20698@charite.de> Message-ID: <20091223102636.GB27149@mail.incertum.net> * Ralf Hildebrandt : > * Ralf Hildebrandt : >> * Stefan Förster : >> >>> Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature >>> smtp_command_filter = pcre:/file/name - damit würde man sogar sowas in >>> den Griff kriegen. >> >> Wirklich? >> GEIL! >> >> Das war irgendwie an mir vorübergegangen. Will implement right away... > > smtp***D***_command_filter Dann stehts falsch im Changelog. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 "Gott ist tot." - Nietzsche "Nietzsche ist tot." - Gott From p.heinlein at heinlein-support.de Wed Dec 23 11:34:15 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 23 Dec 2009 11:34:15 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912231109.53883.robert@lehmanns.de> References: <200912221404.25254.robert@lehmanns.de> <20091223061829.GA27149@mail.incertum.net> <200912231109.53883.robert@lehmanns.de> Message-ID: <200912231134.15628.p.heinlein@heinlein-support.de> Am Mittwoch, 23. Dezember 2009 schrieb Robert Stark: > Am Mittwoch, 23. Dezember 2009 07:18:29 schrieb Stefan Förster: > > Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature > > smtp_command_filter = pcre:/file/name - damit würde man sogar sowas > > in den Griff kriegen. > > Postfix experimental ist nun aber leider keine wirklich beruhigende > Alternative für uns. :) . Aber interessant zu wissen das für solche > Fälle schon Lösungen in Arbeit sind. Naja, man sollte es vielleicht noch als Snapshot bezeichnen, aber "experimental" würde der Qualität der Snapshots unrecht tun. Und was hier Snapshot ist oft stabiler als anderswo die Version 3.0 Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Wed Dec 23 11:34:58 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 23 Dec 2009 11:34:58 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223102636.GB27149@mail.incertum.net> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> <20091223091632.GF20698@charite.de> <20091223092142.GG20698@charite.de> <20091223102636.GB27149@mail.incertum.net> Message-ID: <20091223103457.GL20698@charite.de> * Stefan Förster : > * Ralf Hildebrandt : > > * Ralf Hildebrandt : > >> * Stefan Förster : > >> > >>> Für die harten Fälle gibt es in 2.7 ab Snapshot 20091023 das Feature > >>> smtp_command_filter = pcre:/file/name - damit würde man sogar sowas in > >>> den Griff kriegen. > >> > >> Wirklich? > >> GEIL! > >> > >> Das war irgendwie an mir vorübergegangen. Will implement right away... > > > > smtp***D***_command_filter > > Dann stehts falsch im Changelog. Irgendwie ist beides existent bzw. im changelog habe ich wirklich smtp_command_filter gesehen, es ist aber smtpd_command_filter -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Wed Dec 23 11:35:21 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 23 Dec 2009 11:35:21 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912231109.53883.robert@lehmanns.de> References: <200912221404.25254.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> <200912231109.53883.robert@lehmanns.de> Message-ID: <20091223103521.GM20698@charite.de> * Robert Stark : > Postfix experimental ist nun aber leider keine wirklich beruhigende > Alternative für uns. :) You need to relax. Das läuft hier IMMER. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From cite+postfix-buch at incertum.net Wed Dec 23 11:38:15 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 23 Dec 2009 11:38:15 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223103457.GL20698@charite.de> References: <200912221404.25254.robert@lehmanns.de> <20091222131018.GI4822@charite.de> <200912221434.12354.robert@lehmanns.de> <200912221510.07406.p.heinlein@heinlein-support.de> <20091223061829.GA27149@mail.incertum.net> <20091223091632.GF20698@charite.de> <20091223092142.GG20698@charite.de> <20091223102636.GB27149@mail.incertum.net> <20091223103457.GL20698@charite.de> Message-ID: <20091223103815.GC27149@mail.incertum.net> * Ralf Hildebrandt : > * Stefan Förster : >>> smtp***D***_command_filter >> >> Dann stehts falsch im Changelog. > > Irgendwie ist beides existent bzw. im changelog habe ich wirklich > smtp_command_filter gesehen, es ist aber smtpd_command_filter Tatsache. Er hats zweimal ohne "d" drinstehen. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #222: Reingewinn - Der Teil der Bilanz, den der Vorstand beim besten Willen nicht mehr vor den Aktionären verstecken kann. (Carl Fürstenberg) From p.heinlein at heinlein-support.de Wed Dec 23 11:46:23 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 23 Dec 2009 11:46:23 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223103815.GC27149@mail.incertum.net> References: <200912221404.25254.robert@lehmanns.de> <20091223103457.GL20698@charite.de> <20091223103815.GC27149@mail.incertum.net> Message-ID: <200912231146.23828.p.heinlein@heinlein-support.de> Am Mittwoch, 23. Dezember 2009 schrieb Stefan Förster: > > Irgendwie ist beides existent bzw. im changelog habe ich wirklich > > smtp_command_filter gesehen, es ist aber smtpd_command_filter > > Tatsache. Er hats zweimal ohne "d" drinstehen. Ein Bug! Ein Bug! Postfix hat einen Bug! Yeah. Ist zwar nur Changelog, aber besser als nix! Man freut sich ja irgendwann auch über sowas. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Wed Dec 23 13:08:02 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 23 Dec 2009 13:08:02 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <200912231146.23828.p.heinlein@heinlein-support.de> References: <200912221404.25254.robert@lehmanns.de> <20091223103457.GL20698@charite.de> <20091223103815.GC27149@mail.incertum.net> <200912231146.23828.p.heinlein@heinlein-support.de> Message-ID: <20091223120802.GQ20698@charite.de> * Peer Heinlein : > Ein Bug! Ein Bug! > Postfix hat einen Bug! > Yeah. Ja ist denn schon wieder Weihnachten? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Wed Dec 23 13:19:19 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 23 Dec 2009 13:19:19 +0100 Subject: [Postfixbuch-users] header check REPLACE In-Reply-To: <20091223120802.GQ20698@charite.de> References: <200912221404.25254.robert@lehmanns.de> <200912231146.23828.p.heinlein@heinlein-support.de> <20091223120802.GQ20698@charite.de> Message-ID: <200912231319.20093.p.heinlein@heinlein-support.de> Am Mittwoch, 23. Dezember 2009 schrieb Ralf Hildebrandt: > * Peer Heinlein : > > Ein Bug! Ein Bug! > > Postfix hat einen Bug! > > Yeah. > > Ja ist denn schon wieder Weihnachten? Du meinst, das er erst die Nikolausüberraschung? Ich bin gespannt auf morgen! Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein  -- Sitz: Berlin From tobster at brain-force.ch Wed Dec 23 13:29:03 2009 From: tobster at brain-force.ch (Tobias) Date: Wed, 23 Dec 2009 13:29:03 +0100 Subject: [Postfixbuch-users] Newsletter in kleinem Umfang In-Reply-To: <4B31E956.1040505@marcel-hartmann.com> References: <4B31E61B.5000603@marcel-hartmann.com> <4B31E956.1040505@marcel-hartmann.com> Message-ID: <99c77eb693d83c470f6f1f315c521b07@192.168.1.99> On Wed, 23 Dec 2009 10:56:38 +0100, Marcel Hartmann wrote: > Marcel Hartmann schrieb: >> Hallo Liste, >> >> ich suche , natürlich mit postfix und cyrus einen Weg, wie ich >> Newsletteradressen die ich in einer DB habe raussenden kann. >> Soweit ja kein Problem, ich will nur, dass die bounces dann an z.B. >> bounces at domain.tld gesendet werden, damit ich diese >> a.) sehen kann und b.) am besten automatistiert aus der Datenbank >> löschen kann um weitere bounces bei neuen Newslettern >> zu vermeiden. >> >> Gibt es dafür fertige Lösungen oder Scripte die man nehmen kann? Es >> handelt sich nur um max. 1500 bis 2000 Mailempfänger, >> as ja SPAM technisch (soweit ich den Header etc. korrekt der >> absendenden Domain angleiche tec. pp.) >> >> Ich bin für jeden Tipp dankbar... > Natürlich ist alles double-opt in validiert und alle User können ohne > weiteres über die website unsibscriben! > > Das nur kurz als nachtrag... Ich will wirklich nur die User den der > Krams auch interessiert errreichen. > Ich habe nun gerade das hier gefunden: http://www.superwebmailer.de > > Wäre das nicht eine Lösung dafür? Der cronjob jagt zwar immer nur alle 5 > Minuten ein paar Mails raus, > aber so viele sind es bei mir ja nicht in diesem Fall. Eigentlich will > ich nur Newsletter anlegen wia WYSIWYG, diese Speichern alà > Wheinachtsnewsletter, > und die Empfänger auswählen anhand von bestimmten Datumsfeldern in der > MSQL -> Buchungszeiträume, es handelt sich um Ferienwohnungskunden > von einem Feriendorf. > > Gruß, > Marcel > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Wäre eventuell mailman etwas für dich? (http://www.gnu.org/software/mailman/index.html) Gruss tobi From abien at nbmc.de Wed Dec 23 13:17:35 2009 From: abien at nbmc.de (Alexander Bien) Date: Wed, 23 Dec 2009 13:17:35 +0100 Subject: [Postfixbuch-users] Newsletter in kleinem Umfang In-Reply-To: <4B31E956.1040505@marcel-hartmann.com> References: <4B31E61B.5000603@marcel-hartmann.com> <4B31E956.1040505@marcel-hartmann.com> Message-ID: <4B320A5F.60707@nbmc.de> > Eigentlich will > ich nur Newsletter anlegen wia WYSIWYG, diese Speichern alà > Wheinachtsnewsletter, > und die Empfänger auswählen anhand von bestimmten Datumsfeldern in der > MSQL -> Buchungszeiträume, es handelt sich um Ferienwohnungskunden > von einem Feriendorf. Schau mal: http://www.phplist.com/ http://dadamailproject.com/ Evtl ist da was dabei. Gruß ab From mail at marcel-hartmann.com Wed Dec 23 15:24:22 2009 From: mail at marcel-hartmann.com (Marcel Hartmann) Date: Wed, 23 Dec 2009 15:24:22 +0100 Subject: [Postfixbuch-users] Newsletter in kleinem Umfang In-Reply-To: <4B320A5F.60707@nbmc.de> References: <4B31E61B.5000603@marcel-hartmann.com> <4B31E956.1040505@marcel-hartmann.com> <4B320A5F.60707@nbmc.de> Message-ID: <4B322816.2020502@marcel-hartmann.com> Hallo Liste, Alexander Bien schrieb: > > Eigentlich will >> ich nur Newsletter anlegen wia WYSIWYG, diese Speichern alà >> Wheinachtsnewsletter, >> und die Empfänger auswählen anhand von bestimmten Datumsfeldern in der >> MSQL -> Buchungszeiträume, es handelt sich um Ferienwohnungskunden >> von einem Feriendorf. > > Schau mal: > http://www.phplist.com/ Das ist denke ich was ich suche, ich teste es gerade mal aus... Danke für den Tipp!!! > http://dadamailproject.com/ Kostete ja Geld, was ich derzeit nicht investieren kann da Kunde noch keinen offiziellen Auftrag gegeben hat. > > Evtl ist da was dabei. > Danke und Gruß, Marcel From sebastian at debianfan.de Wed Dec 23 21:25:47 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 23 Dec 2009 21:25:47 +0100 Subject: [Postfixbuch-users] [OT] Mails erzeugen unter Windows Message-ID: <4B327CCB.2020900@debianfan.de> Hallo, ich kenne unter Postfix smtpsink um Mails zu erzeugen. Gibt es ein Tool unter Windows, mit welchem ich dann x Mails mit Größe Y, Absender A und Empfänger B erstellen kann welche ich dann über einen Relayserver (Arcor z.B.) raussenden kann? gruß Sebastian From ralf.prengel at rprengel.de Thu Dec 24 06:42:38 2009 From: ralf.prengel at rprengel.de (Ralf Prengel) Date: Thu, 24 Dec 2009 06:42:38 +0100 Subject: [Postfixbuch-users] [OT] Mails erzeugen unter Windows In-Reply-To: <4B327CCB.2020900@debianfan.de> References: <4B327CCB.2020900@debianfan.de> Message-ID: <4B32FF4E.9060709@rprengel.de> Am 23.12.2009 21:25, schrieb sebastian at debianfan.de: > Hallo, > > ich kenne unter Postfix smtpsink um Mails zu erzeugen. > > Gibt es ein Tool unter Windows, mit welchem ich dann x Mails mit Größe > Y, Absender A und Empfänger B erstellen kann welche ich dann über einen > Relayserver (Arcor z.B.) raussenden kann? > Jede beliebe Anwendnung die Serienmails anbietet. Ansonsten ggf. http://de.wikipedia.org/wiki/Cygwin vielleich ist da was dabei Gruß From alois.kratochwill at wdns.at Thu Dec 24 08:44:03 2009 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Thu, 24 Dec 2009 08:44:03 +0100 Subject: [Postfixbuch-users] [OT] Mails erzeugen unter Windows In-Reply-To: <4B32FF4E.9060709@rprengel.de> Message-ID: <20091224074459.D13692274081@lobos.wdns.at> > Am 23.12.2009 21:25, schrieb sebastian at debianfan.de: >> Hallo, >> >> ich kenne unter Postfix smtpsink um Mails zu erzeugen. >> >> Gibt es ein Tool unter Windows, mit welchem ich dann x Mails mit Größe >> Y, Absender A und Empfänger B erstellen kann welche ich dann über einen >> Relayserver (Arcor z.B.) raussenden kann? >> http://www.blat.net SW Alois -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From mail at marcel-hartmann.com Sat Dec 26 13:42:17 2009 From: mail at marcel-hartmann.com (Marcel Hartmann) Date: Sat, 26 Dec 2009 13:42:17 +0100 Subject: [Postfixbuch-users] bounce Mails an ein PHP CLI Script weiter leiten? Message-ID: <4B3604A9.1090000@marcel-hartmann.com> Hallo Liste, ich habe in der PHP Doku folgende Zeile gelesen für die Funktion mail(); |3. redirect the incoming mail from this email account to your php script (check your mail server doc on how do this) | Was muss ich nun genau tun, damit mein postfix die ankommenden Bounces für eine bestimmte Mailadresse/Domain an ein bounces.php per CLI sendet? Ich weiss grade nicht wie ich die Zeile in /etc/aliases gestalten soll. Oder wäre es besser per imap/pop aus dem php script heraus in ein bounces postfach zu schauen und zu regexen? Irgendwie gefällt mir das umgehen einer Mailbox aber besser, weil ich bounces gerne nach dem 5. mal bouncen löschen möchte bzw. als nicht aktiv in der MySQL markieren will. Ich würdfe dann den header regexen und mir die bounces anzahl in der DB speichern, ist der newsletter der aktuelle und die bounces Anzahl 5, dann weg mit dem müll. So ist zumindest der Plan derzeit ;-) Gruß Marcel || || || || From mailing-lists at thomasschwenski.de Sat Dec 26 13:46:12 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Sat, 26 Dec 2009 13:46:12 +0100 Subject: [Postfixbuch-users] bounce Mails an ein PHP CLI Script weiter leiten? In-Reply-To: <4B3604A9.1090000@marcel-hartmann.com> References: <4B3604A9.1090000@marcel-hartmann.com> Message-ID: <4B360594.8070100@thomasschwenski.de> Moin Marcel Marcel Hartmann schrieb: > Hallo Liste, > > ich habe in der PHP Doku folgende Zeile gelesen für die Funktion mail(); > > |3. redirect the incoming mail from this email account to your php > script (check your mail server doc on how do this) | > > Was muss ich nun genau tun, damit mein postfix die ankommenden Bounces > für eine bestimmte Mailadresse/Domain an ein bounces.php per CLI sendet? Schick's einfach per Postfix-Pipe an das Script. Dazu für die jeweilige Adresse einfach einen eigenen Transport einrichten, der dann auf den (in der master.cf definierten) Pipe-Aufruf zeigt. Im Prinzip nix anderes als wie bei den meisten vacation-Mailern. Thomas From postfixusers at home.tom-krieger.de Sat Dec 26 15:33:34 2009 From: postfixusers at home.tom-krieger.de (Thomas Krieger) Date: Sat, 26 Dec 2009 15:33:34 +0100 Subject: [Postfixbuch-users] bounce Mails an ein PHP CLI Script weiter leiten? In-Reply-To: <4B360594.8070100@thomasschwenski.de> References: <4B3604A9.1090000@marcel-hartmann.com> <4B360594.8070100@thomasschwenski.de> Message-ID: <200912261533.37664.postfixusers@home.tom-krieger.de> Servus, > > Marcel Hartmann schrieb: > > Hallo Liste, > > > > ich habe in der PHP Doku folgende Zeile gelesen für die Funktion mail(); > > > > |3. redirect the incoming mail from this email account to your php > > > > script (check your mail server doc on how do this) | > > > > Was muss ich nun genau tun, damit mein postfix die ankommenden Bounces > > für eine bestimmte Mailadresse/Domain an ein bounces.php per CLI sendet? > > Schick's einfach per Postfix-Pipe an das Script. > Dazu für die jeweilige Adresse einfach einen eigenen Transport > einrichten, der dann auf den (in der master.cf definierten) Pipe-Aufruf > zeigt. > > Im Prinzip nix anderes als wie bei den meisten vacation-Mailern. oder wenn Du es trotzdem als Alias machen willst, hier ein Beispiel für Perl, das analog für PHP auch funktionieren sollte: : "| /usr/bin/perl /usr/local/bin/webserver_account_abgleich.pl >>/tmp/webabgl 2>&1" Die Daten bekommst Du dann über STDIN. Servus Thomas -- Q: How many lawyers does it take to change a light bulb? A: You won't find a lawyer who can change a light bulb. Now, if you're looking for a lawyer to screw a light bulb... From mail at marcel-hartmann.com Sun Dec 27 20:12:23 2009 From: mail at marcel-hartmann.com (Marcel Hartmann) Date: Sun, 27 Dec 2009 20:12:23 +0100 Subject: [Postfixbuch-users] bounce Mails an ein PHP CLI Script weiter leiten? In-Reply-To: <200912261533.37664.postfixusers@home.tom-krieger.de> References: <4B3604A9.1090000@marcel-hartmann.com> <4B360594.8070100@thomasschwenski.de> <200912261533.37664.postfixusers@home.tom-krieger.de> Message-ID: <4B37B197.90504@marcel-hartmann.com> Thomas Krieger schrieb: > Servus, > >> Marcel Hartmann schrieb: >> >>> Hallo Liste, >>> >>> ich habe in der PHP Doku folgende Zeile gelesen für die Funktion mail(); >>> >>> |3. redirect the incoming mail from this email account to your php >>> >>> script (check your mail server doc on how do this) | >>> >>> Was muss ich nun genau tun, damit mein postfix die ankommenden Bounces >>> für eine bestimmte Mailadresse/Domain an ein bounces.php per CLI sendet? >>> >> Schick's einfach per Postfix-Pipe an das Script. >> Dazu für die jeweilige Adresse einfach einen eigenen Transport >> einrichten, der dann auf den (in der master.cf definierten) Pipe-Aufruf >> zeigt. >> >> Im Prinzip nix anderes als wie bei den meisten vacation-Mailern. >> > > oder wenn Du es trotzdem als Alias machen willst, hier ein Beispiel für Perl, > das analog für PHP auch funktionieren sollte: > > : "| /usr/bin/perl > /usr/local/bin/webserver_account_abgleich.pl >>/tmp/webabgl 2>&1" > > Die Daten bekommst Du dann über STDIN. > Cool, wenn das mit PHP als CLI Aufruf geht habe ich as ich will, dann regexe ich auf den empfänger und deaktiviere die Adresse aus der Datenbank, dann habe ich was ich brauche. Danke, Gruß Marcel