From p.heinlein at heinlein-support.de Sun Nov 1 00:03:07 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 1 Nov 2009 00:03:07 +0100 Subject: [Postfixbuch-users] Virtuelle Domains mit Postfix und Cyrus In-Reply-To: <20091031225644.GD13398@mail.incertum.net> References: <200910312325.39947.p.heinlein@heinlein-support.de> <20091031225644.GD13398@mail.incertum.net> Message-ID: <200911010003.08025.p.heinlein@heinlein-support.de> Am Samstag, 31. Oktober 2009 schrieb Stefan Förster: > Fast. Man kann das doch garantiert dazu mißbrauchen, das recipient > verifying von Postfix erledigen zu lassen, wenn man schon Cyrus am > Start hat, oder? ;-) Das ist -- wenn man meiner Musterlösung zu den Restrictions folgt -- ja dann bereits vorbereitet und wird automatisch mitgemacht. Richtig. Das ist ja einer der Gründe warum das Relaying hier viel besser ist als dieser Quatsch mit dem mailbox_command. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From stephane at lux.io Sun Nov 1 00:51:29 2009 From: stephane at lux.io (=?iso-8859-1?Q?St=E9phane_Lux?=) Date: Sun, 1 Nov 2009 00:51:29 +0100 Subject: [Postfixbuch-users] Virtuelle Domains mit Postfix und Cyrus In-Reply-To: References: Message-ID: <05097C99-0EB6-446D-8593-A979990B482F@lux.io> Hi, das nenne ich mal eine schnelle Antwort. Wow, vielen Dank. Am 31.10.2009 um 23:55 schrieb postfixbuch-users-request at listen.jpberlin.de : > Der einzig richtige Weg ist es in meinen Augen diese Domains als > relay_domains einzutragen und diese dann per LMTP auf den Cyrus-LMTP- > Port > zu routen. Erstens klappt dann einfach alles, zweitens IST Postfix ein > Relay vor dem Cyrus. Warum sollte man das also auch krampfhaft anders > konfigurieren wollen?! Also: relay_domains nutzen. > > Im POP3/IMAP-Buch ist das auf Seite 198 ausführlicher beschrieben, die > Seitenzahl im Postfix-Buch habe ich gerade nicht parat. > >> Hat jemand eine Idee, was ich falsch gemacht haben könnte? > > relay_domains=hash:/etc/postfix/relay_domains > > und in dieser Datei dann > > example.com lmtp:unix:public/lmtp > > eintragen + postmap machen. Anschließend die transport_maps noch um > einen > Lookup in der relay_domains ergänzen: > > transport_maps=hash:/etc/postfix/transports,hash:/etc/postfix/ > relay_domains. > > FERTIG! > Super. Scheint soweit zu funktionieren. Aber ich stoße auf das nächste Problem. Cyrus findet die Mailbox nicht, obwohl sie existiert: ... Nov 1 00:49:30 lvps87-230-18-213 postfix/lmtp[19762]: 7261534E8060: to=, relay=server.de[/var/run/cyrus/socket/lmtp], delay=0.4, delays=0.23/0.05/0.05/0.07, dsn=5.1.1, status=bounced (host server.de[/var/run/cyrus/socket/lmtp] said: 550-Mailbox unknown. Either there is no mailbox associated with this 550-name or you do not have authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO command)) ... >cyradm -u cyrus localhost hosteurope.de> lm .. user/user at example.com ... Hat jemand einen Tipp? Stéphane From jk at jkart.de Sun Nov 1 00:55:43 2009 From: jk at jkart.de (Jim Knuth) Date: Sun, 01 Nov 2009 00:55:43 +0100 Subject: [Postfixbuch-users] p0f fingerprint mit Amavisd-new In-Reply-To: <20091031225427.GC13398@mail.incertum.net> References: <4AEC767D.3070002@jkart.de> <20091031225427.GC13398@mail.incertum.net> Message-ID: <4AECCE7F.30101@jkart.de> am 31.10.2009 23:54 Uhr schrieb Stefan Förster : > * Jim Knuth : >> bei mir läuft p0f >> >> /usr/bin/perl -T /usr/sbin/p0f-analyzer.pl 2345 >> >> und in der amavisd.conf ist es aktiviert >> >> $os_fingerprint_method = 'p0f:127.0.0.1:2345'; >> >> Ich kann aber weder im Log was von p0f finden und es wird auch kein >> header eingefügt. Hab ich irgendwas vergessen? > > Ich denke Du hast vergessen, p0f selbst zu starten. nee, das lief schon per runit. ;) Ich hatte vergessen, die p0f-analyzer.pl zu patchen .. > > JFTR: /usr/sbin/p0f -l 'tcp dst port 25' 2>&1 | /usr/sbin/p0f-analyzer 2345 & > > > Ciao > Stefan -- mit freundlichem Gruss - with kind regard Jim Knuth From n.gerhards at ib-gerhards.de Sun Nov 1 11:13:16 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Sun, 01 Nov 2009 11:13:16 +0100 Subject: [Postfixbuch-users] welche blacklists? In-Reply-To: <4AECA916.9030407@amaltea.ath.cx> References: <20091029183512.D2E2C2274074@lobos.wdns.at> <4AECA916.9030407@amaltea.ath.cx> Message-ID: <4AED5F3C.4000402@ib-gerhards.de> Hallo Paul, "das ist seine Konfig" trifft inzwischen - nicht zuletzt dank euerer Hilfe - nicht mehr zu. Meine Konfig. in main.cf sieht derzeit so aus, und ich wäre euch ehrlich dankbar, wenn ihr sie noch einmal einer ernsthaften Kontrolle unterzöget: [...] smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no readme_directory = no smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache myhostname = mail.xxger.com mydomain = xxger.com default_database_type = btree alias_maps = btree:/etc/aliases alias_database = btree:/etc/aliases virtual_alias_domains = btree:/etc/postfix/virtual_alias_domains virtual_alias_maps = btree:/etc/postfix/virtual_alias_maps myorigin = /etc/mailname mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost relayhost = mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 # mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all home_mailbox = Maildir/ content_filter = smtp-amavis:[127.0.0.1]:10024 header_checks = pcre:/etc/postfix/header_checks-pcre body_checks = pcre:/etc/postfix/body_checks-pcre smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_recipient_rfc-btree, check_client_access cidr:/etc/postfix/access_client-cidr, check_helo_access btree:/etc/postfix/access_helo-btree, check_helo_access cidr:/etc/postfix/access_helo-cidr, check_sender_access btree:/etc/postfix/access_sender-btree, check_recipient_access btree:/etc/postfix/access_recipient-btree, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_rbl_client ix.dnsbl.manitu.net, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:60000, reject_unverified_recipient, permit Ich habe also aufgrund euerer Ratschläge geändert: - access_helo in IP- und Domain-Checks per cidr bzw. btree - reject_unauth_dest. direkt nach den mynetworks und sasl_auth. - (den Einwurf von Peer verstehe ich, nutze aber kein backup-mx) - nur noch ein rbl-check: manitu _vor_ polw und grey Ich weiß, dass das abschließende 'permit' überflüssig ist, aber ich finde es schön, so abzuschließen. ;-) Wenn ihr bitte mal nach oben, in den allg. Teil schaut: da habe ich # mailbox_command = procmail -a "$EXTENSION" auskommentiert. Damit benutzt postfix wieder seine Standard-MDAs 'local' und 'virtual'. Es kam mir so vor, als ob Courier-imap damit besser zurecht käme als mit dem procmail-MDA. Liege ich da richtig, oder verschenke ich damit einen mir unbakannten Vorteil von procmail? Ich bin für jeden Verbesserungsvorschlag dankbar. :-) Mit Pauls neuen Ergänzungen bzgl. smtpd_data_restrictions möchte ich mich noch beschäftigen = nachlesen in postfix.org. Viele Grüße und ein schönes Rest-WE Norbert PV schrieb: > Alois Kratochwill schrieb: >> Hi, >> und nun wäre ein Musterbeispiel eurer Erkenntniss für uns alle von großem >> Nutzen! > Du meinst ein Musterbeispiel für 'warum ist es "besser" > reject_unauth_destination vor den RBL Checks zu setzen'? > > Nun ähm, also > das ist seine Konfig: > smtpd_recipient_restrictions = > check_client_access cidr:/etc/postfix/access_client, > check_helo_access btree:/etc/postfix/access_helo, > check_sender_access btree:/etc/postfix/access_sender, > check_recipient_access btree:/etc/postfix/access_recipient, > reject_nonfqdn_sender, > reject_nonfqdn_recipient, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > permit_sasl_authenticated, > permit_mynetworks, > reject_rbl_client zen.spamhaus.org, > reject_rbl_client ix.dnsbl.manitu.net, > reject_rbl_client bl.spamcop.net, > reject_rbl_client dnsbl.njabl.org, > recect_rbl_client list.dsbl.org, > reject_rhsbl_client blackhole.securitysage.com, > check_policy_service inet:127.0.0.1:12525, > check_policy_service inet:127.0.0.1:60000, > reject_unverified_recipient, > reject_unauth_destination, > permit > > Und das würde ich daraus machen: > smtpd_recipient_restrictions = > check_recipient_access btree:/etc/postfix/access_recipient-rfc, > check_client_access cidr:/etc/postfix/access_client, > check_helo_access btree:/etc/postfix/access_helo, > check_sender_access btree:/etc/postfix/access_sender, > check_recipient_access btree:/etc/postfix/access_recipient, > reject_nonfqdn_sender, > reject_nonfqdn_recipient, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > permit_sasl_authenticated, > permit_mynetworks, > reject_invalid_helo_hostname, > reject_unauth_destination, > reject_rbl_client ix.dnsbl.manitu.net, > check_policy_service inet:127.0.0.1:12525, > check_policy_service inet:127.0.0.1:60000, > reject_unverified_recipient > smtpd_data_restrictions = > reject_multi_recipient_bounce > warn_if_reject reject_unauth_pipelining > > Soll heißen: > Ich setze reject_unauth_destination direkt nachdem ganz klar ist, dass > die Mail auslieferbar ist (also nach check_mumble_dings, fqdn, > permit_bla) oder von meinen Leuten (sasl & mynetworks). > Wenn die Mail bis hierhin noch nicht permittet wurde, ist fast sicher, > dass die Mail von fremden stammt. > Da ich keine kaputten Helo mag, setze ich es direkt danach ein. Kann > sein, muss nicht. Der check kostet nichts und liefert wenig false positivs. > Dann stellst du sicher, dass der Server bei der Mail weiß, dass die Mail > auch für ihn bestimmt ist (reject_unauth_destination). > Weil ich Manitus Liste sehr vertraue, setze ich den als harten reject ein. > Anschliessend erst starte ich die spritverbrauchenden Motoren an und > setze postgrey und polw ein. > Wen die Mail das überlebt hat, dann wird erst wieder das > wieder ressourcenverbrauchende Verifying gestartet. Am besten mit DB. > z.B. > address_verify_map = btree:/var/lib/postfix/address_verify_map_DB > Anschliessend noch ein paar andere kuriose aber sinnvolle Rejects > (multi_recipient). > > Alles klar? > > Viele Grüße > Paul > > > > >> Danke, >> Alois >> >> >> >> >> >> >> >> ------------------- >> Hi Paul, >> >> ja, wir denken in die selbe Richtung. >> Du drückst es nur besser und richtiger aus. >> >> Viele Grüße >> >> Norbert >> >> PV schrieb: >> >>>> Ja, das meinte ich: man REJECTED hier alles, was nicht für die >>>> eigenen Adressen gültig ist und vermeidet so, quasi intern noch >>>> zum Spam-Verteiler zu werden? >>>> Danke und freundliche Grüße >>> Ich bin mir nicht ganz sicher, ob wir uns verstehen, daher hier noch ein >>> paar Brainstorming Gedanken. >>> >>> So früh wie möglich, so spät wie nötig... würde ich >>> reject_unauth_destination setzen, denn >>> warum z.B. einen RBL Check durchführen, wenn klar ist, dass du sowieso >>> nicht zuständig für die Zieldomain bist. >>> >>> Ich denke, wir denken schon in die richtige Richtung. :) >>> >>> Gruß, >>> Paul >>> >>>> Norbert >>> -- >> >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From stephane at lux.io Wed Nov 4 16:06:26 2009 From: stephane at lux.io (=?iso-8859-1?Q?St=E9phane_Lux?=) Date: Wed, 4 Nov 2009 16:06:26 +0100 Subject: [Postfixbuch-users] Probleme bei der Auslieferung von Postfix an cyrus (550-Mailbox unknown) Message-ID: <45AD7245-E7B7-4A5E-864A-4F90D626C760@lux.io> Hallo, bei dem Versuch der Zustellung eine Mail an user at example.com erhalte ich folgende Fehlermeldung: : host server.com[/var/run/cyrus/socket/lmtp] said: 550-Mailbox unknown. Either there is no mailbox associated with this 550-name or you do not have authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO command) Reporting-MTA: dns; server.com X-Postfix-Queue-ID: 1A02534E8060 X-Postfix-Sender: rfc822; stephane at lux.io Arrival-Date: Wed, 4 Nov 2009 14:39:32 +0100 (CET) Final-Recipient: rfc822; user at example.com Original-Recipient: rfc822;user at example.com Action: failed Status: 5.1.1 Remote-MTA: dns; server.com Diagnostic-Code: smtp; 550-Mailbox unknown. Either there is no mailbox associated with this 550-name or you do not have authorization to see it. 550 5.1.1 User unknown Der User existiert aber: server.com:~# cyradm -u cyrus localhost Password: server.com.dedicated.hosteurope.de> lam user/user at example.com user at example.com lrswipcda server.com.dedicated.hosteurope.de> Woran könnte es liegen? Stéphane Lux From reinhard.moser at gmail.com Thu Nov 5 08:31:45 2009 From: reinhard.moser at gmail.com (Reinhard Moser) Date: Thu, 05 Nov 2009 08:31:45 +0100 Subject: [Postfixbuch-users] Probleme bei der Auslieferung von Postfix an cyrus (550-Mailbox unknown) In-Reply-To: <45AD7245-E7B7-4A5E-864A-4F90D626C760@lux.io> References: <45AD7245-E7B7-4A5E-864A-4F90D626C760@lux.io> Message-ID: <4AF27F61.4080802@gmail.com> Hi Stephane, die Mailbox am Cyrus sollte user und nicht user at example.com heißen. lg Reinhard Stéphane Lux schrieb: > Hallo, > > bei dem Versuch der Zustellung eine Mail an user at example.com erhalte > ich folgende Fehlermeldung: > > : host server.com[/var/run/cyrus/socket/lmtp] said: > 550-Mailbox unknown. Either there is no mailbox associated with this > 550-name or you do not have authorization to see it. 550 5.1.1 User > unknown > (in reply to RCPT TO command) > Reporting-MTA: dns; server.com > X-Postfix-Queue-ID: 1A02534E8060 > X-Postfix-Sender: rfc822; stephane at lux.io > Arrival-Date: Wed, 4 Nov 2009 14:39:32 +0100 (CET) > > Final-Recipient: rfc822; user at example.com > Original-Recipient: rfc822;user at example.com > Action: failed > Status: 5.1.1 > Remote-MTA: dns; server.com > Diagnostic-Code: smtp; 550-Mailbox unknown. Either there is no mailbox > associated with this 550-name or you do not have authorization to > see it. > 550 5.1.1 User unknown > > Der User existiert aber: > > server.com:~# cyradm -u cyrus localhost > Password: > server.com.dedicated.hosteurope.de> lam user/user at example.com > user at example.com lrswipcda > server.com.dedicated.hosteurope.de> > > Woran könnte es liegen? > > Stéphane Lux > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From stephane at lux.io Thu Nov 5 13:30:36 2009 From: stephane at lux.io (=?iso-8859-1?Q?St=E9phane_Lux?=) Date: Thu, 5 Nov 2009 13:30:36 +0100 Subject: [Postfixbuch-users] Probleme bei der Auslieferung von Postfix an cyrus (550-Mailbox unknown) In-Reply-To: <4AF27F61.4080802@gmail.com> References: <45AD7245-E7B7-4A5E-864A-4F90D626C760@lux.io> <4AF27F61.4080802@gmail.com> Message-ID: <885B0AAA-4B26-4F3E-9A6D-57700477516B@lux.io> Hallo Rainer, Am 05.11.2009 um 08:31 schrieb Reinhard Moser: > Hi Stephane, > > die Mailbox am Cyrus sollte user und nicht user at example.com heißen. > > lg > > Reinhard Danke für deinen Tipp. So wie ich verstanden habe, unterstützt cryrus Domänen im Usernamen. Ich kann mich auch mit einem IMAP Mail Client an cyrus mit dem Benutzer user at example.com anmelden. Ich möchte auch für die Mailadresse user at example.com und user at example2.com unterschiedliche Postfächer haben. Ansonsten würde Dein Vorschlag sicherlich funktionieren. LG Stéphane > > Stéphane Lux schrieb: >> Hallo, >> >> bei dem Versuch der Zustellung eine Mail an user at example.com erhalte >> ich folgende Fehlermeldung: >> >> : host server.com[/var/run/cyrus/socket/lmtp] said: >> 550-Mailbox unknown. Either there is no mailbox associated with >> this >> 550-name or you do not have authorization to see it. 550 5.1.1 User >> unknown >> (in reply to RCPT TO command) >> Reporting-MTA: dns; server.com >> X-Postfix-Queue-ID: 1A02534E8060 >> X-Postfix-Sender: rfc822; stephane at lux.io >> Arrival-Date: Wed, 4 Nov 2009 14:39:32 +0100 (CET) >> >> Final-Recipient: rfc822; user at example.com >> Original-Recipient: rfc822;user at example.com >> Action: failed >> Status: 5.1.1 >> Remote-MTA: dns; server.com >> Diagnostic-Code: smtp; 550-Mailbox unknown. Either there is no >> mailbox >> associated with this 550-name or you do not have authorization to >> see it. >> 550 5.1.1 User unknown >> >> Der User existiert aber: >> >> server.com:~# cyradm -u cyrus localhost >> Password: >> server.com.dedicated.hosteurope.de> lam user/user at example.com >> user at example.com lrswipcda >> server.com.dedicated.hosteurope.de> >> >> Woran könnte es liegen? >> >> Stéphane Lux >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From postfix at online-webservice24.de Thu Nov 5 15:15:42 2009 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Thu, 5 Nov 2009 15:15:42 +0100 Subject: [Postfixbuch-users] Probleme mit Postfix und MySQL Message-ID: hallo Liste, ich habe nen kleines Problem, mit meinem Postfix ... der zickt zur Zeit etwas rum ... hier mal nen auszug aus der err : Nov 4 12:32:20 srv1 postfix/trivial-rewrite[31694]: fatal: mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table lookup problem Nov 4 12:32:21 srv1 postfix/trivial-rewrite[31696]: fatal: mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table lookup problem Nov 4 12:32:21 srv1 postfix/trivial-rewrite[31698]: fatal: mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table lookup problem Nov 4 12:32:21 srv1 postfix/trivial-rewrite[31699]: fatal: mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table lookup problem Nov 4 13:00:29 srv1 dovecot: Time just moved backwards by 1 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards Nov 4 16:00:28 srv1 dovecot: Time just moved backwards by 3 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards Nov 4 16:00:32 srv1 dovecot: auth(default): Time just moved backwards by 2 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards Nov 4 20:00:28 srv1 dovecot: Time just moved backwards by 3 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards Nov 4 20:00:32 srv1 dovecot: auth(default): Time just moved backwards by 2 seconds. I'll sleep now until we're back in present. http://wiki.dovecot.org/TimeMovedBackwards Nov 5 00:00:14 srv1 dovecot: Time just moved backwards by 17 seconds. This might cause a lot of problems, so I'll just kill myself now. http://wiki.dovecot.org/TimeMovedBackwards postconf -e alias_database = hash:/etc/aliases alias_maps = $alias_database biff = no bounce_size_limit = 51200000 broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix content_filter = smtp-amavis:[127.0.0.1]:10024 daemon_directory = /usr/lib/postfix default_destination_concurrency_limit = 20 default_process_limit = 50 delay_warning_time = 1d deliver_lock_attempts = 10 disable_vrfy_command = yes fork_delay = 120s invalid_hostname_reject_code = 554 local_destination_concurrency_limit = 2 local_destination_recipient_limit = 1 local_recipient_maps = unix:passwd.byname $alias_database local_transport = local mail_spool_directory = /var/mail mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 153800000 message_size_limit = 51200000 mydomain = srv1.online-webservice24.de mynetworks = 127.0.0.1 , 85.88.6.105 mynetworks_style = host sendmail_path = /usr/sbin/sendmail smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_client_restrictions = smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_helo_hostname, reject_unlisted_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, check_recipient_access hash:/etc/postfix/recipient_checks, check_sender_mx_access cidr:/etc/postfix/bogus_mx, reject_non_fqdn_hostname, check_policy_service inet:127.0.0.1:60000, smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = online-webservice24.de smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = strict_rfc821_envelopes = yes unknown_local_recipient_reject_code = 554 virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf virtual_gid_maps = static:2000 virtual_mailbox_base = /var/kunden/mail/ virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_uid_maps = static:2000 vielleicht habr ihr je ne idee, was ich verbessern kann bzw woran es liegt ... mal gleich noch ne andere frage, ich bekomme 80% rejected, kann man bei zuvielen rejected die server für ne zeit sperren, oder macht das keinen sinn ??? danke mfg -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ad+lists at uni-x.org Thu Nov 5 15:23:06 2009 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Thu, 05 Nov 2009 15:23:06 +0100 Subject: [Postfixbuch-users] Probleme bei der Auslieferung von Postfix an cyrus (550-Mailbox unknown) In-Reply-To: <45AD7245-E7B7-4A5E-864A-4F90D626C760@lux.io> References: <45AD7245-E7B7-4A5E-864A-4F90D626C760@lux.io> Message-ID: <4AF2DFCA.2080604@uni-x.org> Stéphane Lux schrieb: > Hallo, > > bei dem Versuch der Zustellung eine Mail an user at example.com erhalte ich > folgende Fehlermeldung: > > : host server.com[/var/run/cyrus/socket/lmtp] said: > 550-Mailbox unknown. Either there is no mailbox associated with this > 550-name or you do not have authorization to see it. 550 5.1.1 User > unknown > (in reply to RCPT TO command) > Reporting-MTA: dns; server.com > X-Postfix-Queue-ID: 1A02534E8060 > X-Postfix-Sender: rfc822; stephane at lux.io > Arrival-Date: Wed, 4 Nov 2009 14:39:32 +0100 (CET) > > Final-Recipient: rfc822; user at example.com > Original-Recipient: rfc822;user at example.com > Action: failed > Status: 5.1.1 > Remote-MTA: dns; server.com > Diagnostic-Code: smtp; 550-Mailbox unknown. Either there is no mailbox > associated with this 550-name or you do not have authorization to see > it. > 550 5.1.1 User unknown > > Der User existiert aber: > > server.com:~# cyradm -u cyrus localhost > Password: > server.com.dedicated.hosteurope.de> lam user/user at example.com > user at example.com lrswipcda > server.com.dedicated.hosteurope.de> > > Woran könnte es liegen? > > Stéphane Lux Hast Du mal das syslog() vom cyrus-imapd angesehen? Dann solltest Du besser sehen können, warum er dem Postfix zurückmeldet, die adressierte Mailbox gäbe es nicht. Gegebenenfalls musst Du Deinem syslog() explizit sagen, dass er die priority debug der einkompilierten facility (typischerweise ist das mail) loggen soll. Alexander From ad+lists at uni-x.org Thu Nov 5 16:05:40 2009 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Thu, 05 Nov 2009 16:05:40 +0100 Subject: [Postfixbuch-users] Probleme mit Postfix und MySQL In-Reply-To: References: Message-ID: <4AF2E9C4.9070006@uni-x.org> Online-WebService24 - Postfix schrieb: > hallo Liste, > > ich habe nen kleines Problem, mit meinem Postfix ... > > der zickt zur Zeit etwas rum ... > > hier mal nen auszug aus der err : > > Nov 4 12:32:20 srv1 postfix/trivial-rewrite[31694]: fatal: > mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table > lookup problem > Nov 4 12:32:21 srv1 postfix/trivial-rewrite[31696]: fatal: > mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table > lookup problem > Nov 4 12:32:21 srv1 postfix/trivial-rewrite[31698]: fatal: > mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table > lookup problem > Nov 4 12:32:21 srv1 postfix/trivial-rewrite[31699]: fatal: > mysql:/etc/postfix/mysql-virtual_alias_maps.cf(0,lock|fold_fix): table > lookup problem Schau Dir Dein MySQL Setup an. Analysiere dessen Funktion und Performance. Das mysqltuner Script - http://blog.mysqltuner.com/ - könnte dabei hilfreich sein. Prüfe die Nutzung der proxymap(8) Funktion in Postfix. > Nov 4 13:00:29 srv1 dovecot: Time just moved backwards by 1 seconds. I'll > sleep now until we're back in present. > http://wiki.dovecot.org/TimeMovedBackwards > Nov 4 16:00:28 srv1 dovecot: Time just moved backwards by 3 seconds. I'll > sleep now until we're back in present. > http://wiki.dovecot.org/TimeMovedBackwards > Nov 4 16:00:32 srv1 dovecot: auth(default): Time just moved backwards by 2 > seconds. I'll sleep now until we're back in present. > http://wiki.dovecot.org/TimeMovedBackwards > Nov 4 20:00:28 srv1 dovecot: Time just moved backwards by 3 seconds. I'll > sleep now until we're back in present. > http://wiki.dovecot.org/TimeMovedBackwards > Nov 4 20:00:32 srv1 dovecot: auth(default): Time just moved backwards by 2 > seconds. I'll sleep now until we're back in present. > http://wiki.dovecot.org/TimeMovedBackwards > Nov 5 00:00:14 srv1 dovecot: Time just moved backwards by 17 seconds. This > might cause a lot of problems, so I'll just kill myself now. > http://wiki.dovecot.org/TimeMovedBackwards Andere Baustelle. Das Thema findet sich auf der dovecot Mailingliste. Auf die Wiki Dokumentation bist Du ja direkt hingewiesen. Ist das ein virtueller Server? NTP Updates cronjob gesteuert über ntpdate? > postconf -e > > alias_database = hash:/etc/aliases > alias_maps = $alias_database > biff = no > bounce_size_limit = 51200000 > broken_sasl_auth_clients = yes > command_directory = /usr/sbin > config_directory = /etc/postfix > content_filter = smtp-amavis:[127.0.0.1]:10024 > daemon_directory = /usr/lib/postfix > default_destination_concurrency_limit = 20 > default_process_limit = 50 > delay_warning_time = 1d > deliver_lock_attempts = 10 > disable_vrfy_command = yes > fork_delay = 120s > invalid_hostname_reject_code = 554 > local_destination_concurrency_limit = 2 > local_destination_recipient_limit = 1 > local_recipient_maps = unix:passwd.byname $alias_database > local_transport = local > mail_spool_directory = /var/mail > mailbox_command = procmail -a "$EXTENSION" > mailbox_size_limit = 153800000 > message_size_limit = 51200000 > mydomain = srv1.online-webservice24.de > mynetworks = 127.0.0.1 , 85.88.6.105 > mynetworks_style = host > sendmail_path = /usr/sbin/sendmail > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > smtpd_client_restrictions = > smtpd_helo_required = yes > smtpd_helo_restrictions = > smtpd_recipient_restrictions = permit_sasl_authenticated, > permit_mynetworks, reject_non_fqdn_helo_hostname, > reject_unlisted_recipient, reject_unknown_sender_domain, > reject_unknown_recipient_domain, reject_non_fqdn_recipient, > reject_unauth_destination, reject_unauth_pipelining, > check_recipient_access hash:/etc/postfix/recipient_checks, > check_sender_mx_access cidr:/etc/postfix/bogus_mx, > reject_non_fqdn_hostname, check_policy_service inet:127.0.0.1:60000, > smtpd_sasl_auth_enable = yes > smtpd_sasl_local_domain = online-webservice24.de > smtpd_sasl_security_options = noanonymous > smtpd_sender_restrictions = > strict_rfc821_envelopes = yes > unknown_local_recipient_reject_code = 554 > virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf > virtual_gid_maps = static:2000 > virtual_mailbox_base = /var/kunden/mail/ > virtual_mailbox_domains = > mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf > virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf > virtual_uid_maps = static:2000 > > > vielleicht habr ihr je ne idee, was ich verbessern kann bzw woran es liegt > ... > > mal gleich noch ne andere frage, ich bekomme 80% rejected, kann man bei > zuvielen rejected die server für ne zeit sperren, > oder macht das keinen sinn ??? Ist Dein Server durch die Rejects an der Lastgrenze? Was gewinnst Du durch Rejecting der Verbindung vor dem Postfix, außer Verwaltungsoverhead und pozentielle Fehlerquellen? > danke > > mfg Alexander From driessen at fblan.de Thu Nov 5 16:40:16 2009 From: driessen at fblan.de (Uwe Driessen) Date: Thu, 5 Nov 2009 16:40:16 +0100 Subject: [Postfixbuch-users] Probleme mit Postfix und MySQL In-Reply-To: <4AF2E9C4.9070006@uni-x.org> References: <4AF2E9C4.9070006@uni-x.org> Message-ID: <002201ca5e2e$46a697f0$0565a8c0@uwe> On Behalf Of Alexander Dalloz > Online-WebService24 - Postfix schrieb: > > > > mal gleich noch ne andere frage, ich bekomme 80% rejected, kann man bei > > zuvielen rejected die server für ne zeit sperren, > > oder macht das keinen sinn ??? > > Ist Dein Server durch die Rejects an der Lastgrenze? Was gewinnst Du > durch Rejecting der Verbindung vor dem Postfix, außer > Verwaltungsoverhead und pozentielle Fehlerquellen? > z.B. Saubere lesbare Maillogs die nicht zugemüllt sind. z.B. je nachdem wann rejectet wird weniger Last auf dem Server z.B. bleibt bei "Einlieferungswellen" der Server benutzbar (ich hatte schon mal so ein System das nur aufgrund ungültiger Einlieferungen in die Knie gegangen ist) usw. usw. Grundsätzlich ist es aber eine Frage der Policy die man fährt und mit welcher Technik man die Sperren generieren lässt (Stichworte: Fail2ban mit/und IPSET verursacht wenig last und ist nur eine IPtables Regel) Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From postfix at online-webservice24.de Thu Nov 5 17:54:02 2009 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Thu, 5 Nov 2009 17:54:02 +0100 Subject: [Postfixbuch-users] Probleme mit Postfix und MySQL In-Reply-To: <002201ca5e2e$46a697f0$0565a8c0@uwe> References: <4AF2E9C4.9070006@uni-x.org> <002201ca5e2e$46a697f0$0565a8c0@uwe> Message-ID: also es ist kein Virtueller Server, zeit syncro wird aller 30 min gemacht ... sollte also auch immer aktuell sein ... die last auf dem server selber ist nen witz ... läuft ja schon ne weile so ... also ist nen 3000 64bit mit 2gb ram und nen lenny 64bit system ... habe nur immer mal seit neuestem : Out: 220 srv1.online-webservice24.de ESMTP Postfix (Debian/GNU) In: ehlo dkmembroidery.com Out: 250-srv1.online-webservice24.de Out: 250-PIPELINING Out: 250-SIZE 51200000 Out: 250-ETRN Out: 250-AUTH LOGIN CRAM-MD5 DIGEST-MD5 Out: 250-AUTH=LOGIN CRAM-MD5 DIGEST-MD5 Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: mail from: Out: 250 2.1.0 Ok In: rcpt to: Out: 451 4.3.0 : Temporary lookup failure das mit den rejectet ist ne gute frage ... wann welcher rejectet sinnvoll ist ... fail2ban habe ich noch laufen, da müsste ich aber die logs noch mit einbinden, dass er dann auch die server blockt ... irgendwie macht er dass wohl nicht ... From sebastian at debianfan.de Fri Nov 6 00:02:23 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 06 Nov 2009 00:02:23 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" Message-ID: <4AF3597F.7000908@debianfan.de> Hallo, auf einer neuen Maschine postfix, amavisd-new und spamassassin installiert. Jetzt kommt im mail.log diese Meldung. main.cf: smtpd_banner = $myhostname biff = no append_dot_mydomain = no readme_directory = /usr/share/doc/postfix myhostname = meinhostname.org alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = $myhostname mydestination = debianfan.de, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all html_directory = /usr/share/doc/postfix/html mailbox_command = procmail -a "$EXTENSION" virtual_maps = hash:/etc/postfix/virtual home_mailbox = Maildir/ smtpd_client_connection_rate_limit = 10 smtpd_client_connection_count_limit = 10 master.cf: # Postfix master process configuration file. For details on the format # of the file, see the master(5) manual page (command: "man 5 master"). # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 #submission inet n - - - - smtpd # -o smtpd_enforce_tls=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject #smtps inet n - - - - smtpd # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject #628 inet n - - - - qmqpd pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - - 300 1 oqmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - n - - smtp # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix - - n - - smtp -o fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - - - 1 scache 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # # See the Postfix UUCP_README file for configuration details. # uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # Other external delivery methods. # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} amavis-d - config: $forward_method = 'smtp:127.0.0.1:10025'; # Wichtig für Postfix! $notify_method = $forward_method; # Wichtig für Postfix! $QUARANTINEDIR = "$MYHOME/virusmails"; $quarantine_subdir_levels = 1; # enable quarantine dir hashing $log_level = 3; $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_ident = 'amavis'; # syslog ident tag, prepended to all messages $syslog_facility = 'mail'; $syslog_priority = 'debug'; # switch to info to drop debug output, etc $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # default listening socket gruß Sebastian gruß Sebastian From ad+lists at uni-x.org Fri Nov 6 00:17:02 2009 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Fri, 06 Nov 2009 00:17:02 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF3597F.7000908@debianfan.de> References: <4AF3597F.7000908@debianfan.de> Message-ID: <4AF35CEE.4060606@uni-x.org> sebastian at debianfan.de schrieb: > Hallo, > > auf einer neuen Maschine postfix, amavisd-new und spamassassin installiert. > > Jetzt kommt im mail.log diese Meldung. Von einer oder mehreren Mails, die noch in der Queue hängen, und den transport smtp-amavis kennen, weil Dein Setup vorher anders aussah? > Sebastian Alexander From postfix-list at novuage.de Fri Nov 6 00:20:29 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 06 Nov 2009 00:20:29 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF35CEE.4060606@uni-x.org> References: <4AF3597F.7000908@debianfan.de> <4AF35CEE.4060606@uni-x.org> Message-ID: <4AF35DBD.4070303@novuage.de> Alexander Dalloz schrieb: > sebastian at debianfan.de schrieb: >> auf einer neuen Maschine postfix, amavisd-new und spamassassin installiert. >> Jetzt kommt im mail.log diese Meldung. > > Von einer oder mehreren Mails, die noch in der Queue hängen, und den > transport smtp-amavis kennen, weil Dein Setup vorher anders aussah? Ok, das kann sein, keine Ahnung. Aber wenn, was macht er dann... ein Requeue? Was doch mittels "postsuper -r ALL" geht, oder? -- Gruß Sascha From postfix-list at novuage.de Fri Nov 6 00:16:37 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 06 Nov 2009 00:16:37 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF3597F.7000908@debianfan.de> References: <4AF3597F.7000908@debianfan.de> Message-ID: <4AF35CD5.9010306@novuage.de> sebastian at debianfan.de schrieb: > auf einer neuen Maschine postfix, amavisd-new und spamassassin installiert. > Jetzt kommt im mail.log diese Meldung. "warning: connect to transport smtp-amavis: No such file or directory" Das ist also die Meldung und ich sehe nirgendwo das der Transport mit diesem Namen überhaupt angelegt wird. Geschweige denn irgendwo benutzt wird. Ein Transport wird in der master.cf angelegt, wenn ich das aber richtig sehe brauchst Du diesen nicht, denn Du willst per SMTP an den Amavisd weiterleiten. Das machst Du ja auch bei Connection auf Port 25 mit smtpd_proxy_filter. Warum also der Transport "smtp-amavis" gesucht wird, weiß ich nicht. Da scheint was an der Konfiguration zu fehlen. So wie ich diese Konfigurationen lese macht das keinen Sinn. -- Gruß Sascha From sebastian at debianfan.de Fri Nov 6 00:35:51 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 06 Nov 2009 00:35:51 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF35DBD.4070303@novuage.de> References: <4AF3597F.7000908@debianfan.de> <4AF35CEE.4060606@uni-x.org> <4AF35DBD.4070303@novuage.de> Message-ID: <4AF36157.6030603@debianfan.de> Sascha Peters schrieb: > Alexander Dalloz schrieb: >> sebastian at debianfan.de schrieb: >>> auf einer neuen Maschine postfix, amavisd-new und spamassassin >>> installiert. >>> Jetzt kommt im mail.log diese Meldung. >> >> Von einer oder mehreren Mails, die noch in der Queue hängen, und den >> transport smtp-amavis kennen, weil Dein Setup vorher anders aussah? > > Ok, das kann sein, keine Ahnung. Aber wenn, was macht er dann... > ein Requeue? Was doch mittels "postsuper -r ALL" geht, oder? > > Ihr hattet recht - es waren alte Mails. Danke für den Hinweis From ad+lists at uni-x.org Fri Nov 6 00:37:24 2009 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Fri, 06 Nov 2009 00:37:24 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF35DBD.4070303@novuage.de> References: <4AF3597F.7000908@debianfan.de> <4AF35CEE.4060606@uni-x.org> <4AF35DBD.4070303@novuage.de> Message-ID: <4AF361B4.7070004@uni-x.org> Sascha Peters schrieb: > Alexander Dalloz schrieb: >> sebastian at debianfan.de schrieb: >>> auf einer neuen Maschine postfix, amavisd-new und spamassassin >>> installiert. >>> Jetzt kommt im mail.log diese Meldung. >> >> Von einer oder mehreren Mails, die noch in der Queue hängen, und den >> transport smtp-amavis kennen, weil Dein Setup vorher anders aussah? > > Ok, das kann sein, keine Ahnung. Aber wenn, was macht er dann... > ein Requeue? Was doch mittels "postsuper -r ALL" geht, oder? Ja, das sollte Abhilfe schaffen. Alexander From sebastian at debianfan.de Fri Nov 6 01:07:31 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 06 Nov 2009 01:07:31 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF361B4.7070004@uni-x.org> References: <4AF3597F.7000908@debianfan.de> <4AF35CEE.4060606@uni-x.org> <4AF35DBD.4070303@novuage.de> <4AF361B4.7070004@uni-x.org> Message-ID: <4AF368C3.2090802@debianfan.de> Alexander Dalloz schrieb: > Sascha Peters schrieb: > >> Alexander Dalloz schrieb: >> >>> sebastian at debianfan.de schrieb: >>> >>>> auf einer neuen Maschine postfix, amavisd-new und spamassassin >>>> installiert. >>>> Jetzt kommt im mail.log diese Meldung. >>>> >>> Von einer oder mehreren Mails, die noch in der Queue hängen, und den >>> transport smtp-amavis kennen, weil Dein Setup vorher anders aussah? >>> >> Ok, das kann sein, keine Ahnung. Aber wenn, was macht er dann... >> ein Requeue? Was doch mittels "postsuper -r ALL" geht, oder? >> > > Ja, das sollte Abhilfe schaffen. > > Alexander > -- > _______________________________________________ > Kommando zurück - es werden zwar Mails zugestellt, aber trotzdem verschwindet diese Meldung nicht :-( From postfix-list at novuage.de Fri Nov 6 08:34:39 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 06 Nov 2009 08:34:39 +0100 Subject: [Postfixbuch-users] Problem mit "warning: connect to transport smtp-amavis: No such file or directory" In-Reply-To: <4AF368C3.2090802@debianfan.de> References: <4AF3597F.7000908@debianfan.de> <4AF35CEE.4060606@uni-x.org> <4AF35DBD.4070303@novuage.de> <4AF361B4.7070004@uni-x.org> <4AF368C3.2090802@debianfan.de> Message-ID: <4AF3D18F.4070403@novuage.de> sebastian at debianfan.de schrieb: > Alexander Dalloz schrieb: >> Sascha Peters schrieb: >> >>> Alexander Dalloz schrieb: >>> >>>> sebastian at debianfan.de schrieb: >>>> >>>>> auf einer neuen Maschine postfix, amavisd-new und spamassassin >>>>> installiert. >>>>> Jetzt kommt im mail.log diese Meldung. >>>>> >>>> Von einer oder mehreren Mails, die noch in der Queue hängen, und den >>>> transport smtp-amavis kennen, weil Dein Setup vorher anders aussah? >>>> >>> Ok, das kann sein, keine Ahnung. Aber wenn, was macht er dann... >>> ein Requeue? Was doch mittels "postsuper -r ALL" geht, oder? >>> >> >> Ja, das sollte Abhilfe schaffen. >> > Kommando zurück - es werden zwar Mails zugestellt, aber trotzdem > verschwindet diese Meldung nicht :-( Das bedeutet nun genau was? Wo liegen die Mails noch, erneut den Fehler bitte senden. Ansonsten mal "neue" Mails testen und Logfiles senden. -- Gruß Sascha From w.flamme at web.de Fri Nov 6 13:20:56 2009 From: w.flamme at web.de (Werner Flamme) Date: Fri, 06 Nov 2009 13:20:56 +0100 Subject: [Postfixbuch-users] Probleme mit Postfix und MySQL In-Reply-To: References: <4AF2E9C4.9070006@uni-x.org> <002201ca5e2e$46a697f0$0565a8c0@uwe> Message-ID: <4AF414A8.3010205@web.de> Online-WebService24 - Postfix [05.11.2009 17:54]: > also es ist kein Virtueller Server, zeit syncro wird aller 30 min gemacht > ... > sollte also auch immer aktuell sein ... Nein, sie kann schon ganz schön abgehangen sein in der Zwischenzeit! Bei lenny gehört ein ntp-Client zum Standardumfang. Warum benutzt Du den nicht? Der wird m. E. nach sogar automatisch so konfiguriert, dass Zeitserver aus einem Pool gezogen werden. Dann - und *nur* dann - sind die Zeitsprünge weg... HTH Werner From lists at puersten.de Fri Nov 6 14:49:11 2009 From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=) Date: Fri, 06 Nov 2009 14:49:11 +0100 Subject: [Postfixbuch-users] queue file write error im pre-queue setup Message-ID: <4AF42957.8090903@puersten.de> Hallo Zusammen, mal wieder ein kleines Problem, bei dem ich nicht weiterkomme. Ich habe die Tage neue Mailserver installiert und diese nutzen jetzt auch amavis im pre-queue modus und nicht mehr post-queue. Nun habe ich das Problem das der Mailserver hin und wieder einen "queue file write error" schmeißt. Ich habe mehrere Ideen was der Fehler sein könnte: 1. Anzahl der Prozesse von Postfix zu Amavis, welche in der master.cf konfiguriert sind, sind voll. 2. Ein Zusammenhand mit der Größe der Email 3. RAM Disk Speicherplatz von /var/amavis/tmp erschöpft Meine Frage wäre jetzt eigentlich was genau diese Fehler aussagt und ob er zu meinen zwei Theorien passt. zu Punk 1. Habe ich für mich eigentlich schon fast ausgeschlossen, ich habe mehrfach geschaut wie viele Prozesse offen sind und diese haben das Limit nicht erreicht. zu Punk 2. Hier ist mir aufgefallen das die Mails fast alle recht groß waren. Zur Info, wir haben 100MB als Limit. (ja, ich weis) Im Logfile lässt sich zu dem Zeitpunkt an dem die Fehlermeldung kommt nichts genaueres finden. Komischerweise steht die Email hier auch als zugestellt drin, was ich gar nicht nachvollziehen kann. Die Emails sind zudem alle per SMTP-Auth rein gekommen. Besten Dank ! Gruß Oliver From postfix at online-webservice24.de Fri Nov 6 15:27:32 2009 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Fri, 6 Nov 2009 15:27:32 +0100 Subject: [Postfixbuch-users] Probleme mit Postfix und MySQL In-Reply-To: <4AF414A8.3010205@web.de> References: <4AF2E9C4.9070006@uni-x.org> <002201ca5e2e$46a697f0$0565a8c0@uwe> <4AF414A8.3010205@web.de> Message-ID: -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme Gesendet: Freitag, 6. November 2009 13:21 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Probleme mit Postfix und MySQL Online-WebService24 - Postfix [05.11.2009 17:54]: > also es ist kein Virtueller Server, zeit syncro wird aller 30 min > gemacht ... > sollte also auch immer aktuell sein ... Nein, sie kann schon ganz schön abgehangen sein in der Zwischenzeit! Bei lenny gehört ein ntp-Client zum Standardumfang. Warum benutzt Du den nicht? Der wird m. E. nach sogar automatisch so konfiguriert, dass Zeitserver aus einem Pool gezogen werden. Dann - und *nur* dann - sind die Zeitsprünge weg... HTH Werner -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users aja, ok ... habe das mal installier und eingerichtet ... bisher hatte ich das nur immer über nen cron gemacht ... mal sehen, obs besser wird ... danke From p.heinlein at heinlein-support.de Sat Nov 7 18:20:00 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 7 Nov 2009 18:20:00 +0100 Subject: [Postfixbuch-users] queue file write error im pre-queue setup In-Reply-To: <4AF42957.8090903@puersten.de> References: <4AF42957.8090903@puersten.de> Message-ID: <200911071820.00564.p.heinlein@heinlein-support.de> Am Freitag, 6. November 2009 schrieb Oliver Pürsten: > Nun habe ich das Problem das der Mailserver hin und wieder einen > "queue file write error" schmeißt. In /var/log/mail stehen die Details dazu. Dort steht genau drin, was los ist. > 1. Anzahl der Prozesse von Postfix zu Amavis, welche in der master.cf > konfiguriert sind, sind voll. Gibt es im pre-queue-Modus doch gar nicht. Was aber zu 99% die Ursache ist: Die in der Config von Amavis (!) eingestellten maximalen Prozesse sind voll. > 2. Ein Zusammenhand mit der Größe der Email Möglich, kommt drauf an, was in /var/log/mail steht. > 3. RAM Disk Speicherplatz von /var/amavis/tmp erschöpft Auch hier gäbe es Kiloweise Logmeldungen in /var/log/mail. > Meine Frage wäre jetzt eigentlich was genau diese Fehler aussagt und > ob er zu meinen zwei Theorien passt. Warum Theorien aufstellen? In /var/log/mail steht die Antwort. :-) > Hier ist mir aufgefallen das die Mails fast alle recht groß waren. > Zur Info, wir haben 100MB als Limit. (ja, ich weis) Komplette (!) Logmeldungen einer betroffenen E-Mail lesen. Es kann sein, daß das Filtern der E-Mail länger dauert, als Postfix zu warten bereit ist. Das würde man dann aber deutlich an den Uhrzeiten der Logmeldungen sehen. > Im Logfile lässt sich zu dem Zeitpunkt an dem die Fehlermeldung kommt > nichts genaueres finden. Dann steht's davor. > Komischerweise steht die Email hier auch als > zugestellt drin, was ich gar nicht nachvollziehen kann. Zeigen. Aber dann bitte auch komplett. > Die Emails sind zudem alle per SMTP-Auth rein gekommen. Egal. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix-list at novuage.de Sat Nov 7 22:59:53 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sat, 07 Nov 2009 22:59:53 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?L=D6SUNG__Grund_das_web=2Ede_e?= =?iso-8859-1?q?inen_als_SPAM_erkennt_herausfinden?= In-Reply-To: <510BF50C63F4224E8722880FDABE9F1D1C2885@zeitdieb.acp.local> References: <510BF50C63F4224E8722880FDABE9F1D1C2885@zeitdieb.acp.local> Message-ID: <4AF5EDD9.6010103@novuage.de> Hallo, ich finde so vergleiche immer schön, lese diese Nachricht erst jetzt und muss ein bisschen Spaß machen. Es möchte mir bitte jeder vergeben :-) Lexa schrieb: >>> "... weist in der Regel auf ein mit schädlicher Software verseuchtes >>> System hin." Das ist auch eine vorzügliche Begründung, etwa so wie >>> "Bauchschmerzen weisen in der Regel auf eine Blinddarmentzündung hin -> >>> ab in den OP" :) >> Naja, wenn Du krasse Bauchschmerzen hast dann ist es in der Tat so, daß >> man das sehr kritisch beobachten sollte. Genau das hat web.de durch die >> temporäre Sperre getan. ... > > Muss ich operiert werden, nur weil ich mich überfressen habe? ;) Wenn man durch "überfressen" Bauchweh bekommt, dann weiß man das in der Regel nach dem ersten mal. Und sonst nach dem zweiten oder dritten mal. Das ist die Erfahrung die man im Leben sammelt. Und man nimmt dann irgendwann (je nach Lernkurve) Rücksicht drauf. Da in der Welt ja bekanntlich nicht immer alles Gut ist. Also, man lernt aus den Erfahrungen und diese hier sind halt bei web.de in die eine oder andere Richtung deutlich geworden. Und zum Thema, wenn die dauerhaft Sachen sperren, ist das eigentlich in der Tat schlecht. Aber sage Deinen Kunden das Du zu web.de keine E-Mails mehr senden willst und mach in einer anderen Richtung neue Erfahrungen :-) Ich find das auch echt schade, da es ja nun eher schaden bringt als es nutzt. Aus meinen Augen auch für web.de Und ist web.de und GMX nun nicht mehr oder weniger ein Verein? Fahren die sooo unterschiedliche Politiken... ich drifte ab... Schönen Abend... -- Gruß Sascha From debian at net-service-24.de Sat Nov 7 22:38:02 2009 From: debian at net-service-24.de (Roland Schmid) Date: Sat, 07 Nov 2009 22:38:02 +0100 Subject: [Postfixbuch-users] TLS server engine: cannot load cert/key data, may be a cert/key mismatch? Message-ID: <1257629882.21750.24.camel@workstation> Hallo, ich betreibe auf einem Test-Server (etch) Postfix 2.3.8 und Cyrus-IMAP. Postfix relayt die Mails via socket (relay_domains) an cyrus SMTP AUTH macht Cyrus-Sasl (pam) Authentifizierung macht saslauthd plain login, verbindung ist über SSL/TLS geschützt. Seit dem ich meine eigenens zertifikat einsetze (selbst signiert) im cyrus, erhalte ich diese fehlermeldung: Nov 7 21:50:56 test-server cyrus/imap[3694]: TLS server engine: cannot load CA data Nov 7 21:50:56 test-server cyrus/imap[3694]: unable to get certificate from '/etc/ssl/certs/cert.pem' Nov 7 21:50:56 test-server cyrus/imap[3694]: TLS server engine: cannot load cert/key data, may be a cert/key mismatch? Nov 7 21:50:56 test-server cyrus/imap[3694]: error initializing TLS Bei der Erzeugung der eigenen CA (./CA.pl -newca) wurde ich am Schluss nach der Eingabe eines Challenge Passwortes gefragt (habe eins eingegeben) Liegt es daran, dass cyrus den TLS server engine fehler bringt ? Im Mail Client (Evolution) bekomme ich den Fehler "Error Initializing TLS". Gruss Roland /etc/postfix/main.cf [...] # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/cert.pem smtpd_tls_key_file=/etc/ssl/private/key.pem smtpd_tls_CAfile=/etc/ssl/certs/CAcert.pem smtpd_use_tls=yes smtpd_tls_received_header = yes smtpd_tls_auth_only = no smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache [...] /etc/imapd.conf [...] # SSL/TLS Options # File containing the global certificate used for ALL services (imap, pop3, # lmtp, sieve) #tls_cert_file: /etc/ssl/certs/ssl-cert-snakeoil.pem # mein eigenes zertifikat tls_cert_file: /etc/ssl/certs/cert.pem # File containing the private key belonging to the global server certificate. #tls_key_file: /etc/ssl/private/ssl-cert-snakeoil.key # mein eigenes zertifikat (server.pem enthält auch den private key) tls_key_file: /etc/ssl/private/key.pem # File containing one or more Certificate Authority (CA) certificates. #tls_ca_file: /etc/ssl/certs/cyrus-imapd-ca.pem # meine eigene CA tls_ca_file: /etc/ssl/certs/CAcert.pem # Path to directory with certificates of CAs. #tls_ca_path: /etc/ssl/certs #Pfad zu meiner eigenen CA tls_ca_path: /etc/ssl/certs [...] From stefan at webetc.de Sat Nov 7 23:19:25 2009 From: stefan at webetc.de (Stefan Dorn) Date: Sat, 07 Nov 2009 23:19:25 +0100 Subject: [Postfixbuch-users] BATV Message-ID: <4AF5F26D.3090505@webetc.de> Hallo zusammen, durch einen Zufall bin ich auf BATV gestossen. (http://babel.de/batv.html) Auf dieser Mailingliste wurde das anscheinend auch noch nicht sooo ausführlich diskutiert? Vielleicht habe ich auch nur noch nicht alles geunden. Bisher nur das: http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-August/045261.html Haben damit noch mehr Leute Erfahrung gemacht? Hin und wieder rauscht hier ein Schwung falscher Bounces rein. Oft kommts nicht vor, aber wenn, dann nervts. Gruß Stefan From fstoyan at swapon.de Sun Nov 8 05:43:17 2009 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Sun, 8 Nov 2009 05:43:17 +0100 Subject: [Postfixbuch-users] TLS server engine: cannot load cert/key data, may be a cert/key mismatch? In-Reply-To: <1257629882.21750.24.camel@workstation> References: <1257629882.21750.24.camel@workstation> Message-ID: <20091108044317.GA17858@excelsior.lab.swapon.de> On 7.11.09 22:38, Roland Schmid wrote: > Hallo, > > ich betreibe auf einem Test-Server (etch) Postfix 2.3.8 und Cyrus-IMAP. > Postfix relayt die Mails via socket (relay_domains) an cyrus > SMTP AUTH macht Cyrus-Sasl (pam) > Authentifizierung macht saslauthd plain login, verbindung ist über > SSL/TLS geschützt. > > Seit dem ich meine eigenens zertifikat einsetze (selbst signiert) im > cyrus, erhalte ich diese fehlermeldung: > Nov 7 21:50:56 test-server cyrus/imap[3694]: TLS server engine: cannot > load CA data > Nov 7 21:50:56 test-server cyrus/imap[3694]: unable to get certificate > from '/etc/ssl/certs/cert.pem' > Nov 7 21:50:56 test-server cyrus/imap[3694]: TLS server engine: cannot > load cert/key data, may be a cert/key mismatch? > Nov 7 21:50:56 test-server cyrus/imap[3694]: error initializing TLS > > Bei der Erzeugung der eigenen CA (./CA.pl -newca) wurde ich am Schluss > nach der Eingabe eines Challenge Passwortes gefragt (habe eins > eingegeben) Liegt es daran, dass cyrus den TLS server engine fehler > bringt ? > > Im Mail Client (Evolution) bekomme ich den Fehler "Error Initializing > TLS". > > Gruss Roland > > /etc/imapd.conf > [...] > # SSL/TLS Options > # File containing the global certificate used for ALL services (imap, > pop3, > # lmtp, sieve) > #tls_cert_file: /etc/ssl/certs/ssl-cert-snakeoil.pem > # mein eigenes zertifikat > tls_cert_file: /etc/ssl/certs/cert.pem > > # File containing the private key belonging to the global server > certificate. > #tls_key_file: /etc/ssl/private/ssl-cert-snakeoil.key > # mein eigenes zertifikat (server.pem enthält auch den private key) > tls_key_file: /etc/ssl/private/key.pem > > # File containing one or more Certificate Authority (CA) certificates. > #tls_ca_file: /etc/ssl/certs/cyrus-imapd-ca.pem > # meine eigene CA > tls_ca_file: /etc/ssl/certs/CAcert.pem > > # Path to directory with certificates of CAs. > #tls_ca_path: /etc/ssl/certs > #Pfad zu meiner eigenen CA > tls_ca_path: /etc/ssl/certs > [...] Ich würde mal schauen, ob das CA-Zertifikat in Ordnung ist: openssl x509 -noout -text -in /etc/ssl/certs/CAcert.pem Hat der imapd die Permissions auf die Zertifikate/Keys zuzugreifen? mfg Friedemann From debian at net-service-24.de Sun Nov 8 12:22:02 2009 From: debian at net-service-24.de (Roland Schmid) Date: Sun, 08 Nov 2009 12:22:02 +0100 Subject: [Postfixbuch-users] TLS server engine: cannot load cert/key data, may be a cert/key mismatch? In-Reply-To: <20091108044317.GA17858@excelsior.lab.swapon.de> References: <1257629882.21750.24.camel@workstation> <20091108044317.GA17858@excelsior.lab.swapon.de> Message-ID: <1257679322.22786.9.camel@workstation> Hallo, Am Sonntag, den 08.11.2009, 05:43 +0100 schrieb Friedemann Stoyan: > Hat der imapd die Permissions auf die Zertifikate/Keys zuzugreifen? > das war der Fehler, ich hatte chmod 400 *.pem ausgeführt, weil der private key ohne kennwort ist. So konnte nur root lesen. Habe cyrus leserecht gegeben und jetzt geht es. Gibt es keine Möglichkeit im Falle eines passwortgeschützten private key postfix und cyrus das kennwort bekannt zu machen ? Gruss Roland From jbacksch-postfixbuch-users at tca-os.de Sun Nov 8 13:55:40 2009 From: jbacksch-postfixbuch-users at tca-os.de (Joerg Backschues) Date: Sun, 08 Nov 2009 13:55:40 +0100 Subject: [Postfixbuch-users] BATV In-Reply-To: <4AF5F26D.3090505@webetc.de> References: <4AF5F26D.3090505@webetc.de> Message-ID: <4AF6BFCC.5030202@tca-os.de> Stefan Dorn schrieb: > durch einen Zufall bin ich auf BATV gestossen. (http://babel.de/batv.html) > Auf dieser Mailingliste wurde das anscheinend auch noch nicht sooo > ausführlich diskutiert? Ich kenne verschiedene Installationen die BATV seit rund 2 Jahren ohne Probleme einsetzen. -- Mit freundlichen Grüßen Jörg Backschues From postfix-list at novuage.de Sun Nov 8 14:08:54 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 08 Nov 2009 14:08:54 +0100 Subject: [Postfixbuch-users] BATV In-Reply-To: <4AF6BFCC.5030202@tca-os.de> References: <4AF5F26D.3090505@webetc.de> <4AF6BFCC.5030202@tca-os.de> Message-ID: <4AF6C2E6.4060107@novuage.de> Joerg Backschues schrieb: > Stefan Dorn schrieb: > >> durch einen Zufall bin ich auf BATV gestossen. >> (http://babel.de/batv.html) >> Auf dieser Mailingliste wurde das anscheinend auch noch nicht sooo >> ausführlich diskutiert? > > Ich kenne verschiedene Installationen die BATV seit rund 2 Jahren ohne > Probleme einsetzen. kannte das bisher nicht, habe aber da eine Blacklist gesehen gegen Backscatter die nur für NULL Sender ist. Das hört sich interessant an. Hat damit jemand Erfahrung. Also negative oder positive Erfahrungen im Einsatz. -- Gruß Sascha From p.heinlein at heinlein-support.de Sun Nov 8 13:55:39 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 8 Nov 2009 13:55:39 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?TLS_server_engine=3A_cannot_lo?= =?iso-8859-1?q?ad=09cert/key=09data_=2C_may_be_a_cert/key_mismatch?= =?iso-8859-1?q?=3F?= In-Reply-To: <1257679322.22786.9.camel@workstation> References: <1257629882.21750.24.camel@workstation> <20091108044317.GA17858@excelsior.lab.swapon.de> <1257679322.22786.9.camel@workstation> Message-ID: <200911081355.39656.p.heinlein@heinlein-support.de> Am Sonntag, 8. November 2009 schrieb Roland Schmid: > Gibt es keine Möglichkeit im Falle eines passwortgeschützten private > key postfix und cyrus das kennwort bekannt zu machen ? Nicht sinnvoll. Postfix/Cyrus müssen ja an den Schlüssel kommen -- also steht der irgendwo. Und zwar so, daß die beiden da rankommen. Also dann auch ein Dritter, der an einen Key der dem User cyrus gehören ebenfalls rankommen kann. Und wo ist dann der Unterschied ob ein Unbefugter Dritter den Key direkt oder das Passwort dazu liest? Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Helga.Mayer at uni-hohenheim.de Sun Nov 8 15:30:48 2009 From: Helga.Mayer at uni-hohenheim.de (Helga.Mayer at uni-hohenheim.de) Date: Sun, 08 Nov 2009 15:30:48 +0100 Subject: [Postfixbuch-users] BATV In-Reply-To: References: Message-ID: <20091108153048.24969ye0zert4aag@mailbox1.rz.uni-hohenheim.de> Stefan Dorn schrieb: > Date: Sat, 07 Nov 2009 23:19:25 +0100 > From: Stefan Dorn > Subject: [Postfixbuch-users] BATV > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <4AF5F26D.3090505 at webetc.de> > Content-Type: text/plain; charset=ISO-8859-15 > > Hallo zusammen, > > durch einen Zufall bin ich auf BATV gestossen. (http://babel.de/batv.html) > Auf dieser Mailingliste wurde das anscheinend auch noch nicht sooo > ausführlich diskutiert? > Vielleicht habe ich auch nur noch nicht alles geunden. Bisher nur das: > http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-August/045261.html > > Haben damit noch mehr Leute Erfahrung gemacht? > Hin und wieder rauscht hier ein Schwung falscher Bounces rein. Oft > kommts nicht vor, aber wenn, dann nervts. > > Gruß > Stefan > Die Anzahl der Backscatter Mails und damit die Motivation, mich mit BATV zu befassen geht deutlich gegen Null, seit ich Amavisd auf pre-queue umgestellt habe. Früher hatte ich, falls ein Benutzer richtig mit Backscatter bombardiert wurde, auch mal eine Restriction Class eingerichtet, die die Fehlermeldung: "Do not send bounces to this recipient" zurückgegeben hat, bis der Sturm vorbei war. Grüße Helga Mayer From debian at net-service-24.de Sun Nov 8 16:09:30 2009 From: debian at net-service-24.de (Roland Schmid) Date: Sun, 08 Nov 2009 16:09:30 +0100 Subject: [Postfixbuch-users] TLS server engine: cannot load cert/key data , may be a cert/key mismatch? In-Reply-To: <200911081355.39656.p.heinlein@heinlein-support.de> References: <1257629882.21750.24.camel@workstation> <20091108044317.GA17858@excelsior.lab.swapon.de> <1257679322.22786.9.camel@workstation> <200911081355.39656.p.heinlein@heinlein-support.de> Message-ID: <1257692970.23997.13.camel@workstation> Am Sonntag, den 08.11.2009, 13:55 +0100 schrieb Peer Heinlein: > Nicht sinnvoll. > > Postfix/Cyrus müssen ja an den Schlüssel kommen -- also steht der > irgendwo. Und zwar so, daß die beiden da rankommen. Also dann auch ein > Dritter, der an einen Key der dem User cyrus gehören ebenfalls rankommen > kann. > > Und wo ist dann der Unterschied ob ein Unbefugter Dritter den Key direkt > oder das Passwort dazu liest? leuchtet ein, macht keinen Sinn. Eine abschliessbare Tür macht keinen Sinn, wenn jeder den Schlüssel hat Also bleibt nichts anderes übrig, als den private Key unverschlüsselt zu lassen und ihn durch dateirechte zu schützen. # openssl rsa key.pem Gruss Roland From postfix-list at novuage.de Sun Nov 8 22:19:55 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 08 Nov 2009 22:19:55 +0100 Subject: [Postfixbuch-users] TLS server engine: cannot load cert/key data , may be a cert/key mismatch? In-Reply-To: <1257692970.23997.13.camel@workstation> References: <1257629882.21750.24.camel@workstation> <20091108044317.GA17858@excelsior.lab.swapon.de> <1257679322.22786.9.camel@workstation> <200911081355.39656.p.heinlein@heinlein-support.de> <1257692970.23997.13.camel@workstation> Message-ID: <4AF735FB.8040602@novuage.de> Roland Schmid schrieb: > Am Sonntag, den 08.11.2009, 13:55 +0100 schrieb Peer Heinlein: >> Nicht sinnvoll. >> >> Postfix/Cyrus müssen ja an den Schlüssel kommen -- also steht der >> irgendwo. Und zwar so, daß die beiden da rankommen. Also dann auch ein >> Dritter, der an einen Key der dem User cyrus gehören ebenfalls rankommen >> kann. >> >> Und wo ist dann der Unterschied ob ein Unbefugter Dritter den Key direkt >> oder das Passwort dazu liest? > > leuchtet ein, macht keinen Sinn. > Eine abschliessbare Tür macht keinen Sinn, wenn jeder den Schlüssel hat Also wenn jeder theoretisch den Schlüssel aus der hinteren Ecke im Flur in der untersten Schublade des Schrankes nehmen kann, gibt es vielleicht noch immer Leute die da nicht suchen. Dann macht das Sinn. Aber "Sicher" ist es dadurch nicht. :-) -- Gruß Sascha From p.heinlein at heinlein-support.de Mon Nov 9 00:30:39 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 9 Nov 2009 00:30:39 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?TLS_server_engine=3A=09cannot?= =?iso-8859-1?q?=09load=09cert/key=09data_=2C_may_be_a_cert/key_mis?= =?iso-8859-1?q?match=3F?= In-Reply-To: <4AF735FB.8040602@novuage.de> References: <1257629882.21750.24.camel@workstation> <1257692970.23997.13.camel@workstation> <4AF735FB.8040602@novuage.de> Message-ID: <200911090030.39690.p.heinlein@heinlein-support.de> Am Sonntag, 8. November 2009 schrieb Sascha Peters: > Also wenn jeder theoretisch den Schlüssel aus der hinteren Ecke im Flur > in der untersten Schublade des Schrankes nehmen kann, gibt es > vielleicht noch immer Leute die da nicht suchen. Dann macht das Sinn. > Aber "Sicher" ist es dadurch nicht. :-) Also, schwadronierende hinkende Analogien in Ehren, aber wenn jemand weiß, warum er einen SSL-Schlüssel kapern und was er damit anstellen will, der scheitert jetzt ganz sicher nicht daran, daß das Key-Passwort in einem Script hinterlegt ist... Relevanter ist da schon eher, daß jemand, der einen SSH-Key mit root-Rechten vom Server auslesen kann (geschützt oder ungeschützt) dann auch eigentlich in der bequemen Situation ist, daß er diesen SSH-Key eigentlich auch gar nicht mehr sinnvoll für irgendwas brauchen kann -- gerade bei Mailservern. Und solange es bratzige Pappenheimer-CAs gibt, die Zertifikate ohne relevante Überprüfung ausstellen und sich trotzdem in relevante Browser und SSL-Komponenten als CA eingekauft haben, ist das Prinzip "authentifizierte signierte Schlüssel durch die CA" in meinen Augen eh halbwegs hinfällig. Gruß Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From lists at puersten.de Mon Nov 9 14:03:04 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Mon, 09 Nov 2009 14:03:04 +0100 Subject: [Postfixbuch-users] queue file write error im pre-queue setup In-Reply-To: <200911071820.00564.p.heinlein@heinlein-support.de> References: <4AF42957.8090903@puersten.de> <200911071820.00564.p.heinlein@heinlein-support.de> Message-ID: <4AF81308.6020206@puersten.de> Peer Heinlein schrieb: > Am Freitag, 6. November 2009 schrieb Oliver Pürsten: > >> Nun habe ich das Problem das der Mailserver hin und wieder einen >> "queue file write error" schmeißt. > > In /var/log/mail stehen die Details dazu. Dort steht genau drin, was los > ist. > Leider nicht, wie ich ja schon schrieb. Da steht genau null drinne, man kann zu dem Zeitpunkt komischerweise nur sehen das die Email zugestellt wurde, was sich mir garnicht mehr erschließt. >> 1. Anzahl der Prozesse von Postfix zu Amavis, welche in der master.cf >> konfiguriert sind, sind voll. > > Gibt es im pre-queue-Modus doch gar nicht. > > Was aber zu 99% die Ursache ist: Die in der Config von Amavis (!) > eingestellten maximalen Prozesse sind voll. > ok, klar dumm beschrieben. Meinte natürlich die Menge der zur Verfügung stehenden Amavis Prozesse. Wenn die erreicht sind, dann muss Postfix ja auch irgendeine Fehlermeldung an den einliefernden Client zurück geben. Ist das denn dann ein queue file write error? >> 2. Ein Zusammenhand mit der Größe der Email > > Möglich, kommt drauf an, was in /var/log/mail steht. > s.o. >> 3. RAM Disk Speicherplatz von /var/amavis/tmp erschöpft > > Auch hier gäbe es Kiloweise Logmeldungen in /var/log/mail. > s.o. >> Meine Frage wäre jetzt eigentlich was genau diese Fehler aussagt und >> ob er zu meinen zwei Theorien passt. > > Warum Theorien aufstellen? In /var/log/mail steht die Antwort. :-) > hmm, s.o. >> Hier ist mir aufgefallen das die Mails fast alle recht groß waren. >> Zur Info, wir haben 100MB als Limit. (ja, ich weis) > > Komplette (!) Logmeldungen einer betroffenen E-Mail lesen. Es kann sein, > daß das Filtern der E-Mail länger dauert, als Postfix zu warten bereit > ist. Das würde man dann aber deutlich an den Uhrzeiten der Logmeldungen > sehen. > Werde ich drauf achten wenn das nächste Mal der Fehler auftritt. Du meinst das die Connection zu Amavis so lange läuft bis postfix sie dann mit einem Timeout beendet? >> Im Logfile lässt sich zu dem Zeitpunkt an dem die Fehlermeldung kommt >> nichts genaueres finden. > > Dann steht's davor. > Werde ich auch mal schauen. >> Komischerweise steht die Email hier auch als >> zugestellt drin, was ich gar nicht nachvollziehen kann. > > Zeigen. Aber dann bitte auch komplett. > Ok, fummele ich mal aus den Logs raus beim nächsten Mal. >> Die Emails sind zudem alle per SMTP-Auth rein gekommen. > > Egal. > > Peer > Danke Oliver From postfix-list at novuage.de Mon Nov 9 23:37:34 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 09 Nov 2009 23:37:34 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver Message-ID: <4AF899AE.2060905@novuage.de> Hallo Liste, ich werde nun doch mein ganzes Setup auf Dovecot umstellen müssen. Ich habe schon erste Tests und das kompilieren des Dovecots hinter mir. Nun hab ich mich auch an das Kapitel 23 im Postfixbuch erinnert und es noch mal kurz überflogen. Dazu hab ich noch eine Frage. Seite 676 bzw. 677 beschreibt die Anbindung von Postfix einmal auf einem Relay und einmal auf dem IMAP Server. Ich habe einen Getrennten Relay und IMAP Server. Nun steht dort aber das auch der IMAP Server die Domains als "relay" betrachte soll und dann mittels "dovecot:" über den Transport jagen soll. Was dort steht Zitat:"Da wir das Dovecot-Modul deliver nutzen wollen, ist es am besten, wenn die Maildomains aus Sicht von Postfix als Relay-Domains eingetragen bleiben." Warum ist das am besten, bzw. wie ist das zu verstehen? Was ist der Vorteil? Ist das was ich machen würde falsch, oder was ist dagegen der Nachteil? Bisher nutze ich "virtual" und habe auf dem Relay "relay_domains" und "relay_recipient_maps" gesetzt und auf dem IMAP Server "virtual_alias_maps", "virtual_mailbox_domains" und "virtual_mailbox_maps". Ebenso wie "virtual_transport = virtual" Ich würde nun logisch gesehen "virtual_transport = dovecot" setzen und nicht die "relay_domains" verwenden und dann in "transport_maps" den Transport "dovecot:" aus der master.cf eintragen. Irgendwie hab ich hier eine Knoten drin. Als zweite kurze Frage, vielleicht direkt an Peer, ist das Problem was hier Diskutiert wurde noch vorhanden? Eventuell anderweitig gelöst oder gar eine Antwort von "oben" vorhanden? Problem: Thread vom April diesen Jahres "Dubletten rausfiltern" http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-April/049230.html -- Gruß Sascha From n.gerhards at ib-gerhards.de Tue Nov 10 06:46:15 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 10 Nov 2009 06:46:15 +0100 Subject: [Postfixbuch-users] doppelte Filterschleifen? Message-ID: <4AF8FE27.1070400@ib-gerhards.de> Guten Morgen, ich bitte die User um Rat für einen postfix-newbie. ;-) Meine Konfiguration soll folgendes erreichen: Von 'draussen' kommende mails sollen per pre-queue durch amavis laufen und vorab abgewiesen werden. Was durchkommt, soll über localhost:10024 hereinkommen und ausgeliefert werden. Mails von 'innen' werden von pickup erfasst und durchlaufen eine post-queue via content-filter, bevor sie auch wieder an localhost:10024 gehen. Habe ich das richtig verstanden und ausgeführt, oder ist da schon ein 'Klopper' drin? Brauche ich überhaupt den content_filter = smtp-amavis:[127.0.0.1]:10024 Eintrag in main.cf? (master schlägt main, oder anders ausgedrückt: die master-Einträge überschreiben immer die main-Einträge?) Brauche ich den smtp-amavis Eintrag in master.cf als 'Versendekanal' für die von 'innen' stammenden mails, oder mache ich da einen Gedankensalto? Zuguterletzt: ich habe auskommentiert # mailbox_command = procmail -a "$EXTENSION" so dass Postfix per local oder virtual die Mails ablegt. Was wäre der Unterschied, wenn ich procmail wie oben benutzte? Hier meine Konfig in Auszügen: main.cf: ------------------------------------------------------------------------------- smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no readme_directory = no # TLS parameter: smtpd_tls_cert_file=/etc/apache2/ssl/apache.pem smtpd_tls_key_file=/etc/apache2/ssl/apache.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # spezifische Einstellungen: myhostname = mail.xxger.com mydomain = xxger.com default_database_type = btree alias_maps = btree:/etc/aliases alias_database = btree:/etc/aliases virtual_alias_domains = btree:/etc/postfix/virtual_alias_domains virtual_alias_maps = btree:/etc/postfix/virtual_alias_maps myorigin = /etc/mailname mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost relayhost = mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 # mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all home_mailbox = Maildir/ content_filter = smtp-amavis:[127.0.0.1]:10024 # smtpd_proxy_filter = 127.0.0.1:10024 header_checks = pcre:/etc/postfix/header_checks-pcre body_checks = pcre:/etc/postfix/body_checks-pcre # Restriktionen und weitere Checks: smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_recipient_rfc-btree, check_client_access cidr:/etc/postfix/access_client-cidr, check_helo_access btree:/etc/postfix/access_helo-btree, check_helo_access cidr:/etc/postfix/access_helo-cidr, check_sender_access btree:/etc/postfix/access_sender-btree, check_recipient_access btree:/etc/postfix/access_recipient-btree, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_rbl_client ix.dnsbl.manitu.net, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:60000, reject_unverified_recipient, permit ------------------------------------------------------------------------------ master.cf: ------------------------------------------------------------------------------ smtp inet n - n - 20 smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o smtpd_client_connection_count_limit=10 -o content_filter= 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks pickup fifo n - n 60 1 pickup -o content_filter=smtp:[127.0.0.1]:10024 [...] Standardeinträge smtp unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=no smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes [...] der Rest ist wie Standard - nicht angefasst. ----------------------------------------------------------------------------- Ich bin Euch für sachdienliche und kritische Kommentare sehr dankbar. Viele Grüße Norbert From debian at net-service-24.de Wed Nov 11 06:27:24 2009 From: debian at net-service-24.de (Roland Schmid) Date: Wed, 11 Nov 2009 06:27:24 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_cyrus_mit_L?= =?iso-8859-1?q?DAP_Backend=09=28OpenLDAP=29?= Message-ID: <1257917244.28565.20.camel@workstation> Hallo, ich möchte einen LDAP-Server (OpenLDAP) als Backend für Cyrus einsetzen. Cyrus läuft im erweiterten namensraum (mehrere domains) /etc/imapd.conf [...] virtdomains: yes unixhierarchysep: 1 [...] Zu meiner Frage: Auch wenn die Benutzerinformationen im LDAP vorgehalten werden, müssen dennoch die mailboxen im cryus angelegt/vorhanden sein. (z.B. var/spool/imap/stage/domain/user/max/) Ich möchte den LDAP-Server mit dem LDAP-Account Manager LAM verwalten. Wenn ich nun im LDAP neue E-Mail Adressen und neue Domains anlege, wie handle ich das, dass ich nicht jedesmal manuell mit cyradm die user anlegen muss. Läuft das mit einem Script, dass beim anlegen der user im LDAP automatisch ausgeführt wird ? Gruss Roland From postfixusers at home.tom-krieger.de Wed Nov 11 07:22:32 2009 From: postfixusers at home.tom-krieger.de (Thomas Krieger) Date: Wed, 11 Nov 2009 07:22:32 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_cyrus_mit_L?= =?iso-8859-1?q?DAP_Backend_=28OpenLDAP=29?= In-Reply-To: <1257917244.28565.20.camel@workstation> References: <1257917244.28565.20.camel@workstation> Message-ID: <200911110722.34994.postfixusers@home.tom-krieger.de> Hallo, > > ich möchte einen LDAP-Server (OpenLDAP) als Backend für Cyrus einsetzen. > Cyrus läuft im erweiterten namensraum (mehrere domains) > /etc/imapd.conf > [...] > virtdomains: yes > unixhierarchysep: 1 > [...] > > Zu meiner Frage: > Auch wenn die Benutzerinformationen im LDAP vorgehalten werden, > müssen dennoch die mailboxen im cryus angelegt/vorhanden sein. > (z.B. var/spool/imap/stage/domain/user/max/) > Ich möchte den LDAP-Server mit dem LDAP-Account Manager LAM verwalten. > Wenn ich nun im LDAP neue E-Mail Adressen und neue Domains anlege, wie > handle ich das, dass ich nicht jedesmal manuell mit cyradm die user > anlegen muss. Läuft das mit einem Script, dass beim anlegen der user im > LDAP automatisch ausgeführt wird ? schau Dir mal die openLDAP Backends back-shell and back-perl an. Das könnte das sein, was Du brauchst. http://www.openldap.org/doc/admin24/backends.html#Perl/Shell Schau Dir auch die man Pages zu slapd-perl und slapd-shell an. Servus Thomas From hartmut.woehrle at mail.pcom.de Wed Nov 11 11:24:41 2009 From: hartmut.woehrle at mail.pcom.de (Hartmut =?iso-8859-1?Q?W=F6hrle?=) Date: Wed, 11 Nov 2009 11:24:41 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_cyrus_mit_L?= =?iso-8859-1?q?DAP_Backend_=28OpenLDAP=29?= In-Reply-To: <1257917244.28565.20.camel@workstation> References: <1257917244.28565.20.camel@workstation> Message-ID: <423de993a6feb3145b5f3628c98d6eff.squirrel@www.hartmut-woehrle.ch> Mit autocreateinboxfolders: 1 -> man imapd.conf autocreateinboxfolders: If a user does not have an INBOX created then the INBOX as well as some INBOX subfolders are created under two conditions. 1. The user logins via the IMAP or the POP3 protocol. (autocreatequota option must have a nonzero value) 2. A message arrives for the user through the LMTPD protocol.(createonpost option must be yes) autocreateinboxfolders is a list of INBOX's subfolders separated by a "|", that are automatically created by the server under the previous two situations. Wenn Du in Postfix eine access Liste führst, die automatisch mit dem LDAP abgeglichen wird kannst das ohne Probleme einrichten. CU Hartmut Am Mi, 11.11.2009, 06:27 schrieb Roland Schmid: > Hallo, > > ich möchte einen LDAP-Server (OpenLDAP) als Backend für Cyrus einsetzen. > Cyrus läuft im erweiterten namensraum (mehrere domains) > /etc/imapd.conf > [...] > virtdomains: yes > unixhierarchysep: 1 > [...] > > Zu meiner Frage: > Auch wenn die Benutzerinformationen im LDAP vorgehalten werden, > müssen dennoch die mailboxen im cryus angelegt/vorhanden sein. > (z.B. var/spool/imap/stage/domain/user/max/) > Ich möchte den LDAP-Server mit dem LDAP-Account Manager LAM verwalten. > Wenn ich nun im LDAP neue E-Mail Adressen und neue Domains anlege, wie > handle ich das, dass ich nicht jedesmal manuell mit cyradm die user > anlegen muss. Läuft das mit einem Script, dass beim anlegen der user im > LDAP automatisch ausgeführt wird ? > > > Gruss Roland > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From debian at net-service-24.de Wed Nov 11 18:38:56 2009 From: debian at net-service-24.de (Roland Schmid) Date: Wed, 11 Nov 2009 18:38:56 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_cyrus=09mit?= =?iso-8859-1?q?_LDAP_Backend_=28OpenLDAP=29?= In-Reply-To: <423de993a6feb3145b5f3628c98d6eff.squirrel@www.hartmut-woehrle.ch> References: <1257917244.28565.20.camel@workstation> <423de993a6feb3145b5f3628c98d6eff.squirrel@www.hartmut-woehrle.ch> Message-ID: <1257961136.29185.13.camel@workstation> Hallo, Am Mittwoch, den 11.11.2009, 11:24 +0100 schrieb Hartmut Wöhrle: > Wenn Du in Postfix eine access Liste führst, die automatisch mit dem LDAP > abgeglichen wird kannst das ohne Probleme einrichten. > wäre das der richtige Weg ? /etc/postfix/main.cf [...] relay_recipient_maps = ldap:/etc/postfix/ldap/ldap-relay-recipient-maps.cf [...] die domains, die postfix an cyrus relayed stehen in relay_domains und noch das verify module in der master.cf aktivieren. Gruss Roland From hartmut.woehrle at mail.pcom.de Wed Nov 11 19:26:38 2009 From: hartmut.woehrle at mail.pcom.de (Hartmut =?iso-8859-1?q?W=F6hrle?=) Date: Wed, 11 Nov 2009 19:26:38 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_cyrus=09mit?= =?iso-8859-1?q?_LDAP_Backend_=28OpenLDAP=29?= In-Reply-To: <1257961136.29185.13.camel@workstation> References: <1257917244.28565.20.camel@workstation> <423de993a6feb3145b5f3628c98d6eff.squirrel@www.hartmut-woehrle.ch> <1257961136.29185.13.camel@workstation> Message-ID: <200911111926.38931.hartmut.woehrle@mail.pcom.de> Viele Wege führen nach Rom ;) Du kannst auch ein Perl Skript schreiben (bzw. anpassen, weil existiert schon), dass dir regelmässig die User ausliest und sie in die normale /etc/postfix/access reinschreibt. Dann ein crontab Eintrag und alles läuft automatisch. Bei grösseren Einrichtungen ist das vorzuziehen, weil Du sonst bei jeder Mail eine Abfrage am LDAP Server startest - also einmal eine Mailattacke und dein LDAP liegt als Nebeneffekt auch dar nieder ;) CU Hartmut Am Mittwoch, 11. November 2009 18:38:56 schrieb Roland Schmid: > Hallo, > > Am Mittwoch, den 11.11.2009, 11:24 +0100 schrieb Hartmut Wöhrle: > > Wenn Du in Postfix eine access Liste führst, die automatisch mit dem LDAP > > abgeglichen wird kannst das ohne Probleme einrichten. > > wäre das der richtige Weg ? > > /etc/postfix/main.cf > [...] > relay_recipient_maps = > ldap:/etc/postfix/ldap/ldap-relay-recipient-maps.cf > [...] > > die domains, die postfix an cyrus relayed stehen in relay_domains > > und noch das verify module in der master.cf aktivieren. > > > Gruss Roland > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- --------------------------------------------------------------------------------------- Hartmut Wöhrle Email: hartmut.woehrle at mail.pcom.de --------------------------------------------------------------------------------------- From ml at irmawi.de Wed Nov 11 19:28:02 2009 From: ml at irmawi.de (Markus Winkler) Date: Wed, 11 Nov 2009 19:28:02 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_cyrus_mit_L?= =?iso-8859-1?q?DAP_Backend_=28OpenLDAP=29?= In-Reply-To: <1257917244.28565.20.camel@workstation> References: <1257917244.28565.20.camel@workstation> Message-ID: <4AFB0232.6050407@irmawi.de> On 11.11.2009 06:27 Roland Schmid wrote: > > Ich möchte den LDAP-Server mit dem LDAP-Account Manager LAM verwalten. > Wenn ich nun im LDAP neue E-Mail Adressen und neue Domains anlege, wie > handle ich das, dass ich nicht jedesmal manuell mit cyradm die user > anlegen muss. Läuft das mit einem Script, dass beim anlegen der user im > LDAP automatisch ausgeführt wird ? Nur mal der Vollständigkeit halber erwähnt: Ich nutze in einer Umgebung seit mehreren Jahren eine Kombination aus Postfix + Cyrus und als LDAP-Frontend GOsa (http://www.gosa-project.org/) - da klappt das Verwalten der Postfächer (also inkl. Anlegen und auch Löschen der Mailboxen, Quota, Forwarding etc.) völlig problemlos. Die Accounts verwalten da übrigens nur Nicht-Admins, und die kommen prima mit der Oberfläche klar. Gruß Markus From debian at net-service-24.de Thu Nov 12 07:21:57 2009 From: debian at net-service-24.de (Roland Schmid) Date: Thu, 12 Nov 2009 07:21:57 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_=09cyrus=09?= =?iso-8859-1?q?mit_LDAP_Backend_=28OpenLDAP=29?= In-Reply-To: <200911111926.38931.hartmut.woehrle@mail.pcom.de> References: <1257917244.28565.20.camel@workstation> <423de993a6feb3145b5f3628c98d6eff.squirrel@www.hartmut-woehrle.ch> <1257961136.29185.13.camel@workstation> <200911111926.38931.hartmut.woehrle@mail.pcom.de> Message-ID: <1258006917.30394.11.camel@workstation> Guten Morgen, Am Mittwoch, den 11.11.2009, 19:26 +0100 schrieb Hartmut Wöhrle: > Viele Wege führen nach Rom ;) > Du kannst auch ein Perl Skript schreiben (bzw. anpassen, weil existiert > schon), dass dir regelmässig die User ausliest und sie in die normale > /etc/postfix/access reinschreibt. Dann ein crontab Eintrag und alles läuft > automatisch. > Bei grösseren Einrichtungen ist das vorzuziehen, weil Du sonst bei jeder Mail > eine Abfrage am LDAP Server startest - also einmal eine Mailattacke und dein > LDAP liegt als Nebeneffekt auch dar nieder ;) > das würde bedeuten, dass /etc/postfix/main.cf: smtpd_client_restrictions = check_client_access hash:/etc/postfix/access /etc/postfix/access: 1.2.3 REJECT 1.2.3.4 OK (access - würde vom perl script aus dem LDAP ausgelesen) bei REJECT der user im cyrus nicht angelegt würde und bei OK würde ein user automatisch angelegt, sofern er im cyrus noch nicht existiert ? Bei relay_recipient_maps = ldap:/etc/postfix/ldap/ldap-relay-recipient-maps.cf wäre das die gleiche Entscheidungsfindung für User Anlegen im cyrus oder nicht, nur das jedesmal der LDAP-Server befragt würde ? Gruss Roland From n.gerhards at ib-gerhards.de Thu Nov 12 10:14:59 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Thu, 12 Nov 2009 10:14:59 +0100 Subject: [Postfixbuch-users] doppelte Filterschleifen? In-Reply-To: <4AF8FE27.1070400@ib-gerhards.de> References: <4AF8FE27.1070400@ib-gerhards.de> Message-ID: <4AFBD213.8050004@ib-gerhards.de> Ahemm, da sich so gar niemand zu meiner Frage äußert, vermute ich mal, sie ist Euch zu trivial? ,-) Norbert Norbert Gerhards schrieb: > Guten Morgen, > > ich bitte die User um Rat für einen postfix-newbie. ;-) > > Meine Konfiguration soll folgendes erreichen: > > Von 'draussen' kommende mails sollen per > pre-queue durch amavis laufen und vorab > abgewiesen werden. > > Was durchkommt, soll über localhost:10024 > hereinkommen und ausgeliefert werden. > > Mails von 'innen' werden von pickup erfasst > und durchlaufen eine post-queue via > content-filter, bevor sie auch wieder an > localhost:10024 gehen. > > Habe ich das richtig verstanden und ausgeführt, > oder ist da schon ein 'Klopper' drin? > > Brauche ich überhaupt den > content_filter = smtp-amavis:[127.0.0.1]:10024 > Eintrag in main.cf? (master schlägt main, oder > anders ausgedrückt: die master-Einträge überschreiben > immer die main-Einträge?) > > Brauche ich den smtp-amavis Eintrag in master.cf > als 'Versendekanal' für die von 'innen' > stammenden mails, oder mache ich da einen > Gedankensalto? > > Zuguterletzt: ich habe auskommentiert > # mailbox_command = procmail -a "$EXTENSION" > so dass Postfix per local oder virtual die > Mails ablegt. Was wäre der Unterschied, wenn > ich procmail wie oben benutzte? > > Hier meine Konfig in Auszügen: > main.cf: > ------------------------------------------------------------------------------- > > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > biff = no > append_dot_mydomain = no > readme_directory = no > > # TLS parameter: > smtpd_tls_cert_file=/etc/apache2/ssl/apache.pem > smtpd_tls_key_file=/etc/apache2/ssl/apache.key > smtpd_use_tls=yes > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > > # spezifische Einstellungen: > myhostname = mail.xxger.com > mydomain = xxger.com > default_database_type = btree > alias_maps = btree:/etc/aliases > alias_database = btree:/etc/aliases > virtual_alias_domains = btree:/etc/postfix/virtual_alias_domains > virtual_alias_maps = btree:/etc/postfix/virtual_alias_maps > myorigin = /etc/mailname > mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost > relayhost = > mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 > [::ffff:127.0.0.0]/104 [::1]/128 > # mailbox_command = procmail -a "$EXTENSION" > mailbox_size_limit = 0 > recipient_delimiter = + > inet_interfaces = all > home_mailbox = Maildir/ > content_filter = smtp-amavis:[127.0.0.1]:10024 > # smtpd_proxy_filter = 127.0.0.1:10024 > header_checks = pcre:/etc/postfix/header_checks-pcre > body_checks = pcre:/etc/postfix/body_checks-pcre > > # Restriktionen und weitere Checks: > smtpd_recipient_restrictions = > check_recipient_access btree:/etc/postfix/access_recipient_rfc-btree, > check_client_access cidr:/etc/postfix/access_client-cidr, > check_helo_access btree:/etc/postfix/access_helo-btree, > check_helo_access cidr:/etc/postfix/access_helo-cidr, > check_sender_access btree:/etc/postfix/access_sender-btree, > check_recipient_access btree:/etc/postfix/access_recipient-btree, > reject_non_fqdn_sender, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > permit_sasl_authenticated, > permit_mynetworks, > reject_unauth_destination, > reject_rbl_client ix.dnsbl.manitu.net, > check_policy_service inet:127.0.0.1:12525, > check_policy_service inet:127.0.0.1:60000, > reject_unverified_recipient, > permit > ------------------------------------------------------------------------------ > > > master.cf: > ------------------------------------------------------------------------------ > > smtp inet n - n - 20 smtpd > -o smtpd_proxy_filter=127.0.0.1:10024 > -o smtpd_client_connection_count_limit=10 > -o content_filter= > > 127.0.0.1:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o receive_override_options=no_unknown_recipient_checks > > pickup fifo n - n 60 1 pickup > -o content_filter=smtp:[127.0.0.1]:10024 > > [...] Standardeinträge > > smtp unix - - n - 2 smtp > -o smtp_data_done_timeout=1200 > -o smtp_send_xforward_command=yes > -o disable_dns_lookups=no > > smtp-amavis unix - - n - 2 smtp > -o smtp_data_done_timeout=1200 > -o smtp_send_xforward_command=yes > -o disable_dns_lookups=yes > > [...] der Rest ist wie Standard - nicht angefasst. > > ----------------------------------------------------------------------------- > > > Ich bin Euch für sachdienliche und kritische Kommentare > sehr dankbar. > > Viele Grüße > > Norbert > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Dipl.-Ing. Norbert Gerhards Ingenieurbüro Gerhards Laurentiusstr. 16 - 20 52072 Aachen Deutschland Tel. +49-241-705 08-14 Fax +49-241-705 08-99 mobil +49-172-240 66 36 email n.gerhards at fca.de URL www.ib-gerhards.de From kai_postfix at fuerstenberg.ws Thu Nov 12 11:02:58 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 12 Nov 2009 11:02:58 +0100 Subject: [Postfixbuch-users] doppelte Filterschleifen? In-Reply-To: <4AFBD213.8050004@ib-gerhards.de> References: <4AF8FE27.1070400@ib-gerhards.de> <4AFBD213.8050004@ib-gerhards.de> Message-ID: <4AFBDD52.7000202@fuerstenberg.ws> Hallo Norbert, Norbert Gerhards schrieb am 12.11.2009 10:14: > Norbert Gerhards schrieb: >> Guten Morgen, >> >> ich bitte die User um Rat für einen postfix-newbie. ;-) >> >> Meine Konfiguration soll folgendes erreichen: >> >> Von 'draussen' kommende mails sollen per >> pre-queue durch amavis laufen und vorab >> abgewiesen werden. >> >> Was durchkommt, soll über localhost:10024 >> hereinkommen und ausgeliefert werden. >> >> Mails von 'innen' werden von pickup erfasst >> und durchlaufen eine post-queue via >> content-filter, bevor sie auch wieder an >> localhost:10024 gehen. >> >> Habe ich das richtig verstanden und ausgeführt, >> oder ist da schon ein 'Klopper' drin? Einen "Klopper" finde ich da jetzt nicht, ich frage mich allerdings, warum du so einen Aufwand betreiben möchtest und nicht einfach bei einem bleibst... >> Brauche ich überhaupt den >> content_filter = smtp-amavis:[127.0.0.1]:10024 >> Eintrag in main.cf? (master schlägt main, oder >> anders ausgedrückt: die master-Einträge überschreiben >> immer die main-Einträge?) Ja, master schlägt main. Allerdings nur für den jeweiligen Prozess, wo die geänderte Einstellung auch angegeben ist. Außerdem kannst du nicht alle Einstellungen in der master.cf ändern. Bezüglich des Eintrages selbst habe ich weiter unten einen Vorschlag. >> Brauche ich den smtp-amavis Eintrag in master.cf >> als 'Versendekanal' für die von 'innen' >> stammenden mails, oder mache ich da einen >> Gedankensalto? Ich sag's mal so: Wenn es so läuft, lass es so. Wenn du den Eintrag nicht brauchst, kannst du ihn drinlassen, er stört nicht. Mein Vorschlag ist, dass du den content_filter in die main.cf schreibst, und beim smtpd in der master.cf rausnimmst und dafür smtpd_proxy_filter verwendest. Und wenn ich mir deine Konfiguration jetzt mal ansehe, hast du genau das gemacht, abgesehen davon, dass du den content_filter beim pickup sozusagen ein zweites Mal eingetragen hast, aber das ist auch nicht dramatisch. >> Zuguterletzt: ich habe auskommentiert >> # mailbox_command = procmail -a "$EXTENSION" >> so dass Postfix per local oder virtual die >> Mails ablegt. Was wäre der Unterschied, wenn >> ich procmail wie oben benutzte? Die Mail geht an Procmail, und der liefert in die Mailbox, ansonsten macht das Postfix. >> Hier meine Konfig in Auszügen: >> main.cf: bitte immer 'postconf -n' schicken. Das ist die Ausgabe der Konfiguration, wie sie Postfix angenommen hat. Postfix nimmt die Konfig nicht immer so an, wie du sie geschrieben hast. Versuche zudem möglichst wenige Einstellungen in der master.cf zu hinterlegen, das macht die Überprüfung der Konfiguration nur unübersichtlich und eine Fehlersuche evtl. schwerer. >> [...] -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From postfix-list at novuage.de Thu Nov 12 12:43:54 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 12 Nov 2009 12:43:54 +0100 Subject: [Postfixbuch-users] doppelte Filterschleifen? In-Reply-To: <4AF8FE27.1070400@ib-gerhards.de> References: <4AF8FE27.1070400@ib-gerhards.de> Message-ID: <4AFBF4FA.6050801@novuage.de> Hallo, Norbert Gerhards schrieb: > ich bitte die User um Rat für einen postfix-newbie. ;-) > master.cf: > ------------------------------------------------------------------------------ > > smtp inet n - n - 20 smtpd > -o smtpd_proxy_filter=127.0.0.1:10024 > -o smtpd_client_connection_count_limit=10 > -o content_filter= > > 127.0.0.1:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o receive_override_options=no_unknown_recipient_checks > > pickup fifo n - n 60 1 pickup > -o content_filter=smtp:[127.0.0.1]:10024 > > [...] Standardeinträge > > smtp unix - - n - 2 smtp > -o smtp_data_done_timeout=1200 > -o smtp_send_xforward_command=yes > -o disable_dns_lookups=no > > smtp-amavis unix - - n - 2 smtp > -o smtp_data_done_timeout=1200 > -o smtp_send_xforward_command=yes > -o disable_dns_lookups=yes > > [...] der Rest ist wie Standard - nicht angefasst. ich lese hier 2 Mal etwas von "smtp". Und einmal fehlt der "content_filter=" Eintrag. Oder sehe ich das falsch? Macht den Eindruck als würde es erst durch den smtpd_proxy_filter gehen und dann über den content_filter. Aber die Einträge doppelt zu haben ist komisch. Würde aber auch bei einem bleiben, und das sollte der smtpd_proxy_filter sein. -- Gruß Sascha From postfix-list at novuage.de Thu Nov 12 12:45:25 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 12 Nov 2009 12:45:25 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver In-Reply-To: <4AF899AE.2060905@novuage.de> References: <4AF899AE.2060905@novuage.de> Message-ID: <4AFBF555.3080503@novuage.de> Sascha Peters schrieb: > Dazu hab ich noch eine Frage. Seite 676 bzw. 677 beschreibt die > Anbindung von Postfix einmal auf einem Relay und einmal auf dem IMAP > Server. Ich habe einen Getrennten Relay und IMAP Server. Nun steht dort > aber das auch der IMAP Server die Domains als "relay" betrachte soll und > dann mittels "dovecot:" über den Transport jagen soll. > > Was dort steht Zitat:"Da wir das Dovecot-Modul deliver nutzen wollen, > ist es am besten, wenn die Maildomains aus Sicht von Postfix als > Relay-Domains eingetragen bleiben." Kann mir hier keiner erklären warum das "der beste" weg ist. Ich würde die Domains weiterhin in "virtual_mailbox_domains" legen und den virtual_transport = deliver setzen. (der dann in der master.cf definiert ist) -- Gruß Sascha From p.heinlein at heinlein-support.de Thu Nov 12 17:58:35 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 12 Nov 2009 17:58:35 +0100 Subject: [Postfixbuch-users] doppelte Filterschleifen? In-Reply-To: <4AFBD213.8050004@ib-gerhards.de> References: <4AF8FE27.1070400@ib-gerhards.de> <4AFBD213.8050004@ib-gerhards.de> Message-ID: <200911121758.35963.p.heinlein@heinlein-support.de> Am Donnerstag, 12. November 2009 schrieb Norbert Gerhards: > Ahemm, da sich so gar niemand zu meiner > Frage äußert, vermute ich mal, sie ist Euch > zu trivial? Keine Zeit gehabt, bin auf Achse. > > Von 'draussen' kommende mails sollen per > > pre-queue durch amavis laufen und vorab > > abgewiesen werden. Ja, gut. > > Mails von 'innen' werden von pickup erfasst > > und durchlaufen eine post-queue via > > content-filter, bevor sie auch wieder an > > localhost:10024 gehen. Ja, gut. Oder eben neben pickup ein weiterer smtpd, der auf einer eigenen IP horcht. > > Habe ich das richtig verstanden und ausgeführt, > > oder ist da schon ein 'Klopper' drin? Nein, genau richtig. Zumindest mache ich das immer so. > > Brauche ich überhaupt den > > content_filter = smtp-amavis:[127.0.0.1]:10024 > > Eintrag in main.cf? (master schlägt main, oder > > anders ausgedrückt: die master-Einträge überschreiben > > immer die main-Einträge?) Korrekt. Raus damit aus der main.cf und stattdessen alles schön kompakt und logisch zusammengehörend in die master.cf. > > Brauche ich den smtp-amavis Eintrag in master.cf > > als 'Versendekanal' für die von 'innen' > > stammenden mails, oder mache ich da einen > > Gedankensalto? Da Du ja nirgendwo auf smtp-amavis: verweist brauchst Du es auch nicht. Du könntest jetzt natürlich auch beim pickup auf smtp-amavis veweisen um die (kleinen) Vorteile des eigenen smtp-amavis-Transports zu nutzen. Aber im Endeffekt... was soll's. > > Zuguterletzt: ich habe auskommentiert > > # mailbox_command = procmail -a "$EXTENSION" > > so dass Postfix per local oder virtual die > > Mails ablegt. Was wäre der Unterschied, wenn > > ich procmail wie oben benutzte? Keiner. Außer, daß das dann eben procmail macht. > > 127.0.0.1:10025 inet n - n - - > > smtpd -o content_filter= > > -o smtpd_proxy_filter= > > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > > -o smtpd_client_restrictions= > > -o smtpd_helo_restrictions= > > -o smtpd_sender_restrictions= > > -o smtpd_recipient_restrictions=permit_mynetworks,reject Ich halte davon nichts hier eigene Restrictions zu machen. Soweit es doppelt stattfindet tut es nicht wirklich weh, andererseits gibt's Sachen, die im pre-queue-Modus vor Amavis NICHT funktionieren. So kannst Du auf Port :25 in keiner access-Map die Aktion HOLD oder FILTER triggern -- weil die Mail nicht durch den QUeue-Bereich läuft. Das geht erst, wenn die Mail auf 10025 zurückkommt. Würdest Du hier die normalen Restrictions nochmal durchlaufen, so könntest DU in irgendwelche access-Maps einfach so HOLD oder FILTER benutzen und müßtest von den Stolpersteinen ja gar nix wissen. Es würde ja immer gehen! Schönen Gruß aus Weimar, Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Thu Nov 12 18:43:51 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 12 Nov 2009 18:43:51 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver In-Reply-To: <4AFBF555.3080503@novuage.de> References: <4AF899AE.2060905@novuage.de> <4AFBF555.3080503@novuage.de> Message-ID: <200911121843.51443.p.heinlein@heinlein-support.de> Am Donnerstag, 12. November 2009 schrieb Sascha Peters: > Kann mir hier keiner erklären warum das "der beste" weg ist. Ich würde > die Domains weiterhin in "virtual_mailbox_domains" legen und den > virtual_transport = deliver setzen. (der dann in der master.cf > definiert ist) Weil relay_domains am besten die Realität abbildet (Postfix IST ein Relay vor einer Blackbox, es IST NICHT eine virtuelle Domain), weil man es dann viel leichter mit anderen Systemen kombinierne kann (Domain A = Exchangem, Domain B = Dovecot => Beide identisch verwaltet), weil es Fehler vermeidet, wel man relay_domains und transport_maps gut zusammenlegen und einfach verwalten kann, weil man Cyrus ebenso anbindet und es keinen Grund gibt, das unterschiedlich zu machen. Warum sollte man eine real existierende Domain mit realem Userbestand in einem Setup, wo Postfix ein Relay davor ist dann eigentlich anders abbildet? Warum absichtlich einen Weg wählen, der keine Vorteile bringt aber schwieriger nachzuvollziehen, ungewöhnlicher und in entscheidenden Details dann eben auch anders ist? Gegenfrage; Warum sollte man das tun?! Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix-list at novuage.de Thu Nov 12 18:55:15 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 12 Nov 2009 18:55:15 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver In-Reply-To: <200911121843.51443.p.heinlein@heinlein-support.de> References: <4AF899AE.2060905@novuage.de> <4AFBF555.3080503@novuage.de> <200911121843.51443.p.heinlein@heinlein-support.de> Message-ID: <4AFC4C03.3040504@novuage.de> Peer Heinlein schrieb: > Am Donnerstag, 12. November 2009 schrieb Sascha Peters: >> Kann mir hier keiner erklären warum das "der beste" weg ist. Ich würde >> die Domains weiterhin in "virtual_mailbox_domains" legen und den >> virtual_transport = deliver setzen. (der dann in der master.cf >> definiert ist) > > Weil relay_domains am besten die Realität abbildet (Postfix IST ein Relay > vor einer Blackbox, es IST NICHT eine virtuelle Domain), weil man es dann > viel leichter mit anderen Systemen kombinierne kann (Domain A = > Exchangem, Domain B = Dovecot => Beide identisch verwaltet), weil es > Fehler vermeidet, wel man relay_domains und transport_maps gut > zusammenlegen und einfach verwalten kann, weil man Cyrus ebenso anbindet > und es keinen Grund gibt, das unterschiedlich zu machen. Ok > Warum sollte man eine real existierende Domain mit realem Userbestand in > einem Setup, wo Postfix ein Relay davor ist dann eigentlich anders > abbildet? > > Warum absichtlich einen Weg wählen, der keine Vorteile bringt aber > schwieriger nachzuvollziehen, ungewöhnlicher und in entscheidenden > Details dann eben auch anders ist? > > Gegenfrage; Warum sollte man das tun?! Es hat also Vorteile, weil es einfach ist. Ist es denn technisch auch irgendwie begründet das man ein solches Setup besser nutzen sollte. Das irgendwas sonst nicht geht? Also einen Grund alles, man kann dann "dies oder jenes" nicht verwenden. Oder ein solches "Setup XY" ist nicht möglich. Oder ist es technisch mit den "virtual_domains" das gleiche? Versteh mich nicht falsch. Interessiere mich dafür nur. Denn wo man dann Weiterleitungen macht ist mir gerade auch nicht klar. Hier wäre "virtual" doch dann genauso verwirrend, oder? Du machst vermutlich "relay_domains", "transport_map" und "verify_recipients", ich habe auf dem Relay bisher noch eine "relay_recipient_maps" gepflegt und wollte nur "externe" Domains über "verify_recipients" anbinden, was mich ja schon vor Probleme bzw. Umbauarbeiten stellt. Ich möchte eigentlich nichts dynamisch lernen was ich selbst beantworten kann. Also wenn ich in meiner DB weiß das ich eine Adresse habe, dann soll Sie das Relay nicht ablehnen wenn der IMAP Server (transport Ziel) kurz weg ist, auch nicht bei neuen Adressen die noch nicht "gerlernt" wurden. -- Gruß Sascha From lexa at acpweb.de Thu Nov 12 19:13:35 2009 From: lexa at acpweb.de (Lexa) Date: Thu, 12 Nov 2009 19:13:35 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?L=D6SUNG__Grund_das_web=2Ede_e?= =?iso-8859-1?q?inen_als_SPAM_erkennt_herausfinden?= Message-ID: <510BF50C63F4224E8722880FDABE9F1D1C28D7@zeitdieb.acp.local> > Es möchte mir bitte jeder vergeben :-) Wofür? Thema verfehlt? > Und zum Thema, wenn die dauerhaft Sachen sperren, ist das eigentlich in > der Tat schlecht. Aber sage Deinen Kunden das Du zu web.de keine E-Mails > mehr senden willst ... Doch. Ganz bestimmt! Mein Kunde will Mails an web.de Kunden in Form von Bestellbestätigungen, Passwortänderungen, Opt-In Mails, Newsletter, usw. senden, da diese ja auch seine Kunden sind! Nochmal in Kurzform: Es ging darum, dass web.de keine Mails angenommen hat. Es wurde die Kommunikation mit der IP verweigert, da sich der HELO Host geändert hat, was ja erlaubt sein muss, wenn sich z.B. auf Grund einer Umfirmierung die Domäne ändert, aber nicht der Server und somit auch nicht die IP. Und erweiternd: Auch ist man nicht verpflichtet, eine Domäne zu behalten, wenn man sie nicht mehr benötigt. Spinnt man den Faden weiter, bedeutet das, dass der nächste Domäneninhaber, der ja zwangsläufig ein für web.de "verdächtiges" Domäne+IP Paar besitzt und somit ein "wechselndes HELO" darstellt, von Anfang an keine Mails an web.de Adressen senden kann, weil es sich um ein verseuchtes System handeln muss. Komische Logik, auch wenn die Wahrscheinlichkeit gegeben ist. Spinnt man das *noch* weiter, dann wäre es für web.de völlig o.k., wenn ich von Anfang an "microsoft.de" im HELO verwendet hätte, denn ein DNS Abgleich findet ja nicht statt, sonst hätte man sinnvollere Mittel, um ein verseuchtes System zu entlarven. Stimmst du mir zu? Es genügt, den HELO von example.de auf example.com umzustellen, um für web.de ein "verseuchtes System" - sprich Spamschleuder - zu sein. Verständlich ist es dann, wenn das stündlich, täglich oder von mir aus auch wöchentlich geschieht. Aber so? > Und ist web.de und GMX nun nicht mehr oder weniger ein Verein? Fahren > die sooo unterschiedliche Politiken... ??? > ich drifte ab... In der Tat, und nicht nur das ;) Aber wo wir das Thema nochmal aufgewärmt haben: Vielleicht hast du ja doch noch eine konstruktive Idee. Wie hättest *du* es gemacht? Soll ich: [ ] Vor der Domänenänderung einen Antrag auf HELO Wechsel bei web.de stellen? [ ] Und sicherheitshalber gleich noch bei allen in Frage kommenden Providern? [ ] Alle web.de, gmx, hotmail, AOL, yahoo usw. -Kunden aussperren? [ ] Pro Domain einen eigenen Server (bzw. IP-Adresse) buchen? [ ] ... ? Die Frage ist durchaus ernst gemeint. ^^ -- Gruss - lexa From postfix-list at novuage.de Thu Nov 12 20:21:15 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 12 Nov 2009 20:21:15 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?L=D6SUNG__Grund_das_web=2Ede_e?= =?iso-8859-1?q?inen_als_SPAM_erkennt_herausfinden?= In-Reply-To: <510BF50C63F4224E8722880FDABE9F1D1C28D7@zeitdieb.acp.local> References: <510BF50C63F4224E8722880FDABE9F1D1C28D7@zeitdieb.acp.local> Message-ID: <4AFC602B.8040506@novuage.de> Lexa schrieb: >> Es möchte mir bitte jeder vergeben :-) > > Wofür? Thema verfehlt? Jein, für den Spaß, Du Zitierst eben zu wenig ;-) >> Und zum Thema, wenn die dauerhaft Sachen sperren, ist das eigentlich in >> der Tat schlecht. Aber sage Deinen Kunden das Du zu web.de keine E-Mails >> mehr senden willst ... > > Doch. Ganz bestimmt! War auch Irnoie... aber unterm Strich bleibt es dabei übrig. Wenn die das so machen ist das nicht schön. Aber was will man machen? Das sollte also heißen:" Da Du Deinen Kunden nicht sagen kannst Das Du dahin keine E-Mails senden kannst, muss man sich auch an Unsinnige Sachen halten die Firmen mit gewissen Marktmacht tun. Was nicht heißt das ich das alles gut finden muss. :( > Mein Kunde will Mails an web.de Kunden in Form von Bestellbestätigungen, > Passwortänderungen, Opt-In Mails, Newsletter, usw. senden, da diese ja auch > seine Kunden sind! Logisch... > Nochmal in Kurzform: > > Es ging darum, dass web.de keine Mails angenommen hat. Es wurde die > Kommunikation mit der IP verweigert, da sich der HELO Host geändert hat, was > ja erlaubt sein muss, wenn sich z.B. auf Grund einer Umfirmierung die Domäne > ändert, aber nicht der Server und somit auch nicht die IP. Da muss sich nichts ändern, ist aber in der Tat schöner. Wenn Sich das nur einmal ändern, und ebenfalls der Reverse Eintrag der IP geändert wurde, dann verstehe ich das ebenfalls nicht. Kann mir nur vorstellen das die Kombination nicht korrekt war für eine Gewisse Zeit, und daher Du gesperrt wurdest. Warum die das dauerhaft machen, warum die auf E-Mails postmaster at web.de nicht reagieren (Zeitnah) kann ich auch nicht sagen. Aber das kann man sich vorstellen. Spekulationen sind das aber alles, oder hast Du eine Aussage von dem Unternehmen erhalten? > Und erweiternd: > > Auch ist man nicht verpflichtet, eine Domäne zu behalten, wenn man sie nicht > mehr benötigt. Spinnt man den Faden weiter, bedeutet das, dass der nächste > Domäneninhaber, der ja zwangsläufig ein für web.de "verdächtiges" Domäne+IP > Paar besitzt und somit ein "wechselndes HELO" darstellt, von Anfang an keine > Mails an web.de Adressen senden kann, weil es sich um ein verseuchtes System > handeln muss. Weiterspinnen kann man nur wenn man genau weiß was die machen. Dann kann man auch weiterrechnen was das bedeuten kann. Eventuell ist auch das ein Stein von vielen gewesen und hat bei etwas dazu geführt das Du gesperrt wurdest. Keine Ahnung. Auch hier ist das dauerhafte Sperren und Manuelle Entfernen quatsch meiner Ansicht nach, aber auch diese Sicht ist vorstellbar und würde das verhalten erklären :-) > Komische Logik, auch wenn die Wahrscheinlichkeit gegeben ist. > > Spinnt man das *noch* weiter, dann wäre es für web.de völlig o.k., wenn ich > von Anfang an "microsoft.de" im HELO verwendet hätte, denn ein DNS Abgleich > findet ja nicht statt, sonst hätte man sinnvollere Mittel, um ein verseuchtes > System zu entlarven. Ebenfalls Spekulation. man müsste mal einen IP-Adresse checken. Mails davon versenden und dann den Helo ändern. Mal sehen was dann passiert. Ich denke das die bei microsoft.de ebenfalls Probleme hätten mit Dir. > Stimmst du mir zu? bedingt :-) Aber wie ursprünglich schon gesagt war das mehr oder weniger alles ein Spaß und Spekulation. Gut ist es wie Du es beschreibst nicht. > Es genügt, den HELO von example.de auf example.com umzustellen, um für web.de > ein "verseuchtes System" - sprich Spamschleuder - zu sein. Verständlich ist es > dann, wenn das stündlich, täglich oder von mir aus auch wöchentlich geschieht. > Aber so? Um das zu vergleichen müssten die Ja Listen oder Datenbanken der IP-Adressen inklusive Namen erstellen. Oder sie verwenden wie alle anderen auch den Reverse DNS Eintrag. Je nach TTL Zeit des DNS Eintrages kann es aber genau hier Überschneidungen gegeben haben wo das nicht stimmte. Und wenn die dann "sofort dauerhaft" sperren. Ist der Salat schon da. Ebenfalls irgendwie dumm, aber würde auch deiner Theorie des Abgleiches nicht standhalten. Spekulationen... :-) >> Und ist web.de und GMX nun nicht mehr oder weniger ein Verein? Fahren >> die sooo unterschiedliche Politiken... > > ??? Das ist doch alles unter United Internet AG zusammen :-) http://www.unitedinternet.de/ Und dann auf Unternehmen klicken. Da stehen die Marken und Zielgruppen .-) GMX, Web.de, 1und1, united domains, InterNetX ..... >> ich drifte ab... > > In der Tat, und nicht nur das ;) Ja, mehr oder minder muss das doch mal sein... immer alles so ernst .-) > Aber wo wir das Thema nochmal aufgewärmt haben: Vielleicht hast du ja doch noch > eine konstruktive Idee. Wie hättest *du* es gemacht? > > Soll ich: > > [ ] Vor der Domänenänderung einen Antrag auf HELO Wechsel bei web.de stellen? Nein... > [ ] Und sicherheitshalber gleich noch bei allen in Frage kommenden Providern? Nein... > [ ] Alle web.de, gmx, hotmail, AOL, yahoo usw. -Kunden aussperren? Ja... Aber so viel Freiheit geben die Kunden einem nicht. Denn irgendwann kann man das nicht mehr machen, dann hat man keine Kunden mehr ;-) > [ ] Pro Domain einen eigenen Server (bzw. IP-Adresse) buchen? Nein, aber vielleicht bei der Umstellung eine neue IP-Adresse nehmen. Ich verstehe auch nicht warum Du da Probleme hattest, ich habe meine Servernamen auch schon mehrfach geändert... was direkt auch einfluss auf den HELO hatte. > [ ] ... ? > > Die Frage ist durchaus ernst gemeint. ^^ Die Antworten teilweise nicht, aber das erkennt man. Fazit, solange man nicht weiß was die prüfen kann man auch keine Schluss daraus ziehen. Ich kann mir nur vorstellen das eine Summe von Sachen zu einem Blocken geführt hat. Was vielleicht AUCH an dem HELO lag. Wie bist Du denn vorgegangen? Wie sieht, oder sah der Reverse Eintrag aus und wie hast du das geändert. Da das bei Mailservern einheitlich sein sollte, und das bei einer Änderung lange dauert, würde ich die TTL Runtersetzen der Einträge, ändern und wieder hochsetzen. Dann ist das Zeitfenster sehr klein. Und für kurze Zeit eben über eine andere IP-Adresse raussenden. Weil ich schlechte Erfahrungen mit AOL gemacht habe, und man immer auf Listen ohne Einfluss landen was man den Kunden nicht immer direkt erklären kann hab ich auch mehrer IP-Adressen auf die ich im Zweifel mit meinem Outbound wechsel bis die anderen Adressen Clean sind. Das ist immer zu empfehlen. Beim letzten Namen/HELO Änderung hab ich das aber auch einfach so gemacht, kein Problem. -- Gruß Sascha From hartmut.woehrle at mail.pcom.de Thu Nov 12 21:06:02 2009 From: hartmut.woehrle at mail.pcom.de (Hartmut =?iso-8859-1?q?W=F6hrle?=) Date: Thu, 12 Nov 2009 21:06:02 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_=09cyrus=09?= =?iso-8859-1?q?mit_LDAP_Backend_=28OpenLDAP=29?= In-Reply-To: <1258006917.30394.11.camel@workstation> References: <1257917244.28565.20.camel@workstation> <200911111926.38931.hartmut.woehrle@mail.pcom.de> <1258006917.30394.11.camel@workstation> Message-ID: <200911122106.02572.hartmut.woehrle@mail.pcom.de> Am Donnerstag, 12. November 2009 07:21:57 schrieb Roland Schmid: > Guten Morgen, > > Am Mittwoch, den 11.11.2009, 19:26 +0100 schrieb Hartmut Wöhrle: > > Viele Wege führen nach Rom ;) > > Du kannst auch ein Perl Skript schreiben (bzw. anpassen, weil existiert > > schon), dass dir regelmässig die User ausliest und sie in die normale > > /etc/postfix/access reinschreibt. Dann ein crontab Eintrag und alles > > läuft automatisch. > > Bei grösseren Einrichtungen ist das vorzuziehen, weil Du sonst bei jeder > > Mail eine Abfrage am LDAP Server startest - also einmal eine Mailattacke > > und dein LDAP liegt als Nebeneffekt auch dar nieder ;) > > das würde bedeuten, dass > > /etc/postfix/main.cf: > smtpd_client_restrictions = > check_client_access hash:/etc/postfix/access > > /etc/postfix/access: > 1.2.3 REJECT > 1.2.3.4 OK > (access - würde vom perl script aus dem LDAP ausgelesen) > > bei REJECT der user im cyrus nicht angelegt würde und > bei OK würde ein user automatisch angelegt, sofern er im cyrus noch nicht > existiert ? Genau > > > Bei relay_recipient_maps = > ldap:/etc/postfix/ldap/ldap-relay-recipient-maps.cf wäre das die gleiche > Entscheidungsfindung für User Anlegen im cyrus oder nicht, nur das jedesmal > der LDAP-Server befragt würde ? > exakt > > Gruss Roland > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From lists at puersten.de Fri Nov 13 11:23:58 2009 From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=) Date: Fri, 13 Nov 2009 11:23:58 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions Message-ID: <4AFD33BE.80109@puersten.de> Moin Zusammen, ich bräuchte da mal einen kleinen Tipp zu den smptpd_recipient_restrictions. Anhand dessen was Peer im Buch beschrieben hat komme ich einfach nicht auf eine vern. Lösung um das abzubilden was ich bräuchte. Ich würde gerne eine zusätzliche Prüfung mit einbauen die die verwendeten Absender Domains der Clients die aus mynetworks versenden prüft und da fehlt mir irgendwie der richtige Denkansatz zu. folgendes Szenario: smtpd_recipient_restrictions = check_recipient_access hash:/usr/local/etc/postfix/access_recipient_rfc check_client_access hash:/usr/local/etc/postfix/access_client check_helo_access hash:/usr/local/etc/postfix/access_helo check_sender_access hash:/usr/local/etc/postfix/access_sender check_recipient_access hash:/usr/local/etc/postfix/access_recipient reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_sender_domain reject_unknown_recipient_domain reject_unauth_pipelining permit_mynetworks permit_sasl_authenticated check_policy_service inet:127.0.0.1:12525 check_policy_service inet:127.0.0.1:10023 reject_unverified_recipient permit_mx_backup reject_unauth_destination permit Wo baue ich da jetzt am besten was für einen Schritt ein um das Versenden von nur speziellen Domains aus mynetworks zu erlauben? Gruß Oliver From driessen at fblan.de Fri Nov 13 11:37:56 2009 From: driessen at fblan.de (Uwe Driessen) Date: Fri, 13 Nov 2009 11:37:56 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions In-Reply-To: <4AFD33BE.80109@puersten.de> References: <4AFD33BE.80109@puersten.de> Message-ID: <004801ca644d$5cc2a540$0565a8c0@uwe> On Behalf Of Oliver Pürsten > > ich bräuchte da mal einen kleinen Tipp zu den smptpd_recipient_restrictions. > Anhand dessen was Peer im Buch beschrieben hat komme ich einfach nicht auf eine > vern. Lösung um das abzubilden was ich bräuchte. > > Ich würde gerne eine zusätzliche Prüfung mit einbauen die die verwendeten Absender > Domains der Clients die aus mynetworks versenden prüft und da fehlt mir irgendwie > der richtige Denkansatz zu. > > folgendes Szenario: > > smtpd_recipient_restrictions = > check_recipient_access hash:/usr/local/etc/postfix/access_recipient_rfc > check_client_access hash:/usr/local/etc/postfix/access_client > check_helo_access hash:/usr/local/etc/postfix/access_helo > check_sender_access hash:/usr/local/etc/postfix/access_sender > check_recipient_access hash:/usr/local/etc/postfix/access_recipient > reject_non_fqdn_sender > reject_non_fqdn_recipient > reject_unknown_sender_domain > reject_unknown_recipient_domain > reject_unauth_pipelining > permit_mynetworks > permit_sasl_authenticated > check_policy_service inet:127.0.0.1:12525 > check_policy_service inet:127.0.0.1:10023 > reject_unverified_recipient > permit_mx_backup > reject_unauth_destination > permit > > Wo baue ich da jetzt am besten was für einen Schritt ein um das Versenden von nur > speziellen Domains aus mynetworks zu erlauben? > check_sender_access type:table Search the specified access(5) database for the MAIL FROM address, domain, parent domains, or localpart@, and execute the corresponding action. Vor > permit_mynetworks > permit_sasl_authenticated Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From n.gerhards at ib-gerhards.de Fri Nov 13 12:37:45 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Fri, 13 Nov 2009 12:37:45 +0100 Subject: [Postfixbuch-users] doppelte Filterschleifen? In-Reply-To: <200911121758.35963.p.heinlein@heinlein-support.de> References: <4AF8FE27.1070400@ib-gerhards.de> <4AFBD213.8050004@ib-gerhards.de> <200911121758.35963.p.heinlein@heinlein-support.de> Message-ID: <4AFD4509.8070403@ib-gerhards.de> Hallo Postfixbuch-User, danke für Euere Durchsicht, Zeit und Hilfe! :-) u. a. Peer Heinlein schrieb: [...] >>> Brauche ich überhaupt den >>> content_filter = smtp-amavis:[127.0.0.1]:10024 >>> Eintrag in main.cf? (master schlägt main, oder >>> anders ausgedrückt: die master-Einträge überschreiben >>> immer die main-Einträge?) > > Korrekt. Raus damit aus der main.cf und stattdessen alles schön kompakt > und logisch zusammengehörend in die master.cf. > Dachte es mir. Ist schon raus. Danke für die Bestätigung. >>> Brauche ich den smtp-amavis Eintrag in master.cf >>> als 'Versendekanal' für die von 'innen' >>> stammenden mails, oder mache ich da einen >>> Gedankensalto? > > Da Du ja nirgendwo auf smtp-amavis: verweist brauchst Du es auch nicht. > > Du könntest jetzt natürlich auch beim pickup auf smtp-amavis veweisen um > die (kleinen) Vorteile des eigenen smtp-amavis-Transports zu nutzen. > > Aber im Endeffekt... was soll's. > Nein, so hoch ist das Mailaufkommen wahrhaftig nicht, dass ich mir vom 'zweiten Kanal' irgendwelche Vorteile verspräche. Insofern: ist schon rausgenommen. Less is more! >>> Zuguterletzt: ich habe auskommentiert >>> # mailbox_command = procmail -a "$EXTENSION" >>> so dass Postfix per local oder virtual die >>> Mails ablegt. Was wäre der Unterschied, wenn >>> ich procmail wie oben benutzte? > > Keiner. Außer, daß das dann eben procmail macht. > Wenn procmail also keine VORTEILE gegenüber dem Postfix-eigenen 'local' bietet - weg damit und wieder eine (Kommentar-)Zeile eingespart. Welches Programm bringt eigentlich 'procmail' mit ein: Postfix selbst? Courier IMAP? Cyrus? Bewußt installiert habe ich das jedenfalls nicht. >>> 127.0.0.1:10025 inet n - n - - >>> smtpd -o content_filter= >>> -o smtpd_proxy_filter= >>> -o smtpd_authorized_xforward_hosts=127.0.0.0/8 >>> -o smtpd_client_restrictions= >>> -o smtpd_helo_restrictions= >>> -o smtpd_sender_restrictions= >>> -o smtpd_recipient_restrictions=permit_mynetworks,reject > > Ich halte davon nichts hier eigene Restrictions zu machen. Soweit es > doppelt stattfindet tut es nicht wirklich weh, andererseits gibt's > Sachen, die im pre-queue-Modus vor Amavis NICHT funktionieren. > > So kannst Du auf Port :25 in keiner access-Map die Aktion HOLD oder FILTER > triggern -- weil die Mail nicht durch den QUeue-Bereich läuft. > > Das geht erst, wenn die Mail auf 10025 zurückkommt. > > Würdest Du hier die normalen Restrictions nochmal durchlaufen, so könntest > DU in irgendwelche access-Maps einfach so HOLD oder FILTER benutzen und > müßtest von den Stolpersteinen ja gar nix wissen. Es würde ja immer > gehen! > Dieser Kommentar von Dir, Peer, verwirrt mich ein wenig: "Ich halte davon nichts hier eigene Restrictions zu machen." Tue ich das hier bei der Wiedereinlieferung aus pre-queue in Port 10025 smtpd? Ich glaubte mit diesen Einstellungen eigentl. content-filter und smtpd-proxy-filter etc. AUSGESCHALTET zu haben (damit sie nicht noch mal durchlaufen werden) und 'nutze' eigentlich nur die vier Anweisungen: -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks Da findet dann doch "nichts doppelt statt', oder doch? Die Aktionen HOLD und FILTER habe ich noch nie verwendet, insofern reicht doch der eine 'Durchgang' durch die restrictions VOR der Wiedereinlieferung auf Port 10025? Mit freundlichen Grüßen Norbert From n.gerhards at ib-gerhards.de Fri Nov 13 13:02:25 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Fri, 13 Nov 2009 13:02:25 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions In-Reply-To: <4AFD33BE.80109@puersten.de> References: <4AFD33BE.80109@puersten.de> Message-ID: <4AFD4AD1.1030105@ib-gerhards.de> Hi Oliver, das hast Du doch schon eingebaut: "check_sender_access hash:/usr/local/etc/postfix/access_sender" In der Datei kannst Du für Deine verschiednen sendenden Domains das Verhalten steuern. Und noch eins zu Deinen restrictions: Falls Du KEINEN 2. Mailserver als mx-backup hast, wirf die Anweisung raus und setze die 'billige' Prüfung reject_unauth_destination nach oben direkt hinter permit_sasl_authenticated, also VOR die 'teueren' (CPU, Netz) externen Prüfungen via policy-services. Habe ich auch erst vorige Woche hier gelernt und eingesehen. ;-) Viele Grüße Norbert Oliver Pürsten schrieb: > Moin Zusammen, > > ich bräuchte da mal einen kleinen Tipp zu den > smptpd_recipient_restrictions. > Anhand dessen was Peer im Buch beschrieben hat komme ich einfach nicht > auf eine > vern. Lösung um das abzubilden was ich bräuchte. > > Ich würde gerne eine zusätzliche Prüfung mit einbauen die die > verwendeten Absender > Domains der Clients die aus mynetworks versenden prüft und da fehlt mir > irgendwie > der richtige Denkansatz zu. > > folgendes Szenario: > > smtpd_recipient_restrictions = > check_recipient_access hash:/usr/local/etc/postfix/access_recipient_rfc > check_client_access hash:/usr/local/etc/postfix/access_client > check_helo_access hash:/usr/local/etc/postfix/access_helo > check_sender_access hash:/usr/local/etc/postfix/access_sender > check_recipient_access hash:/usr/local/etc/postfix/access_recipient > reject_non_fqdn_sender > reject_non_fqdn_recipient > reject_unknown_sender_domain > reject_unknown_recipient_domain > reject_unauth_pipelining > permit_mynetworks > permit_sasl_authenticated > check_policy_service inet:127.0.0.1:12525 > check_policy_service inet:127.0.0.1:10023 > reject_unverified_recipient > permit_mx_backup > reject_unauth_destination > permit > > Wo baue ich da jetzt am besten was für einen Schritt ein um das > Versenden von nur > speziellen Domains aus mynetworks zu erlauben? > > Gruß Oliver > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From lists at puersten.de Fri Nov 13 13:44:06 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Fri, 13 Nov 2009 13:44:06 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions In-Reply-To: <004801ca644d$5cc2a540$0565a8c0@uwe> References: <4AFD33BE.80109@puersten.de> <004801ca644d$5cc2a540$0565a8c0@uwe> Message-ID: <4AFD5496.2090303@puersten.de> Uwe Driessen schrieb: > On Behalf Of Oliver Pürsten >> ich bräuchte da mal einen kleinen Tipp zu den smptpd_recipient_restrictions. >> Anhand dessen was Peer im Buch beschrieben hat komme ich einfach nicht auf eine >> vern. Lösung um das abzubilden was ich bräuchte. >> >> Ich würde gerne eine zusätzliche Prüfung mit einbauen die die verwendeten Absender >> Domains der Clients die aus mynetworks versenden prüft und da fehlt mir irgendwie >> der richtige Denkansatz zu. >> >> folgendes Szenario: >> >> smtpd_recipient_restrictions = >> check_recipient_access hash:/usr/local/etc/postfix/access_recipient_rfc >> check_client_access hash:/usr/local/etc/postfix/access_client >> check_helo_access hash:/usr/local/etc/postfix/access_helo >> check_sender_access hash:/usr/local/etc/postfix/access_sender >> check_recipient_access hash:/usr/local/etc/postfix/access_recipient >> reject_non_fqdn_sender >> reject_non_fqdn_recipient >> reject_unknown_sender_domain >> reject_unknown_recipient_domain >> reject_unauth_pipelining >> permit_mynetworks >> permit_sasl_authenticated >> check_policy_service inet:127.0.0.1:12525 >> check_policy_service inet:127.0.0.1:10023 >> reject_unverified_recipient >> permit_mx_backup >> reject_unauth_destination >> permit >> >> Wo baue ich da jetzt am besten was für einen Schritt ein um das Versenden von nur >> speziellen Domains aus mynetworks zu erlauben? >> > > check_sender_access type:table > Search the specified access(5) database for the MAIL FROM address, domain, parent domains, > or localpart@, and execute the corresponding action. > > Vor Aber wenn ich das nach dem Schema vorgehe dann muss ich ja schon eine Abfrage bauen die bei allen Domains, außer den von mir für das relaying gewünschten, ein REJECT zurück gibt. Oder hab ich nen falschen Denkansatz? >> permit_mynetworks >> permit_sasl_authenticated > > > > Mit freundlichen Grüßen > > Drießen > Danke Oliver From lists at puersten.de Fri Nov 13 13:48:25 2009 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Fri, 13 Nov 2009 13:48:25 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions In-Reply-To: <4AFD4AD1.1030105@ib-gerhards.de> References: <4AFD33BE.80109@puersten.de> <4AFD4AD1.1030105@ib-gerhards.de> Message-ID: <4AFD5599.7010703@puersten.de> Gerhards schrieb: > Hi Oliver, > > das hast Du doch schon eingebaut: > "check_sender_access hash:/usr/local/etc/postfix/access_sender" > In der Datei kannst Du für Deine verschiednen sendenden Domains > das Verhalten steuern. > > Und noch eins zu Deinen restrictions: > Falls Du KEINEN 2. Mailserver als mx-backup hast, wirf die > Anweisung raus und setze die 'billige' Prüfung > reject_unauth_destination nach oben direkt hinter > permit_sasl_authenticated, also VOR die 'teueren' (CPU, Netz) > externen Prüfungen via policy-services. > > Habe ich auch erst vorige Woche hier gelernt und eingesehen. ;-) > > Viele Grüße > > Norbert > > > Oliver Pürsten schrieb: >> Moin Zusammen, >> >> ich bräuchte da mal einen kleinen Tipp zu den >> smptpd_recipient_restrictions. >> Anhand dessen was Peer im Buch beschrieben hat komme ich einfach nicht >> auf eine >> vern. Lösung um das abzubilden was ich bräuchte. >> >> Ich würde gerne eine zusätzliche Prüfung mit einbauen die die >> verwendeten Absender >> Domains der Clients die aus mynetworks versenden prüft und da fehlt >> mir irgendwie >> der richtige Denkansatz zu. >> >> folgendes Szenario: >> >> smtpd_recipient_restrictions = >> check_recipient_access >> hash:/usr/local/etc/postfix/access_recipient_rfc >> check_client_access hash:/usr/local/etc/postfix/access_client >> check_helo_access hash:/usr/local/etc/postfix/access_helo >> check_sender_access hash:/usr/local/etc/postfix/access_sender >> check_recipient_access hash:/usr/local/etc/postfix/access_recipient >> reject_non_fqdn_sender >> reject_non_fqdn_recipient >> reject_unknown_sender_domain >> reject_unknown_recipient_domain >> reject_unauth_pipelining >> permit_mynetworks >> permit_sasl_authenticated >> check_policy_service inet:127.0.0.1:12525 >> check_policy_service inet:127.0.0.1:10023 >> reject_unverified_recipient >> permit_mx_backup >> reject_unauth_destination >> permit >> >> Wo baue ich da jetzt am besten was für einen Schritt ein um das >> Versenden von nur >> speziellen Domains aus mynetworks zu erlauben? >> >> Gruß Oliver >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Hi Norbert, ist bis jetzt nur ein theoretischer Ansatz, daher noch das MX Backup drinne. Aber danke für den Hinweis, werde das beachten. Gruß Oliver p.s. Bitte unter dem zitiertem Text antworten From ballensiefen at stm-gruppe.de Fri Nov 13 15:07:04 2009 From: ballensiefen at stm-gruppe.de (Andre Ballensiefen | STM Vertriebs GbR) Date: Fri, 13 Nov 2009 15:07:04 +0100 Subject: [Postfixbuch-users] Postfix mit 2 smarthosts Message-ID: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39@ECCR01PUBLIC.exchange.local> Hallo zusammen, folgende Situation: 2 mail-gateways mit postfix 1 server mit postfix und courier. Die Gateways sind als mx bei den Domains hinterlegt beide leiten alle emails per transport an den server weiter der dann pop und imap den Nutzern zur Verfügung stellt. Wenn ein Nutzer mails versendet, hat der den "Mail-Server" als smtp eingetragen. Der wiederrum versendet die Mails über die Gateways. Hoffe es kommen noch alle mit :-) Sollte der mail-gw1 einmal ausfallen, soll natürlich der mail-gw2 genommen werden. Ich kann aber nur einen Server als relayhost angeben. Hab jetzt schon mehrfach die Option fallback_relay gelesen aber mehrere Wiedersprüche gefunden. (Viele Foren verderben den Brei :-) ) Deshalb die Frage: Ist dies die Option die ich brauche ? Danke ! Gruß, Andre From werner at aloah-from-hell.de Fri Nov 13 15:18:41 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Fri, 13 Nov 2009 15:18:41 +0100 Subject: [Postfixbuch-users] Postfix mit 2 smarthosts In-Reply-To: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39@ECCR01PUBLIC.exchange.local> References: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39@ECCR01PUBLIC.exchange.local> Message-ID: <4AFD6AC1.5000808@aloah-from-hell.de> Hi, > Hab jetzt schon mehrfach die Option fallback_relay gelesen aber mehrere Wiedersprüche gefunden. > (Viele Foren verderben den Brei :-) ) Das ist nur intressant wenn du einen Postfix entlasten willst (und zwar von den Mails die nicht sofort zugestellt werden können). Hierbei kümmert sich der fallback_relay dann um die finale Zustellung der Nachrichten, die der eigentliche Server "nicht gleich los bekommen hat". Setz einen neuen DNS-Eintrag, der die beiden IP's deiner Gateways beinhaltet. Diesen DNS-Eintrag setzt du "auf dem Mailserver" als SMTP. Fällt einer der Gateways aus nutzt "dein Mailserver" eben den anderen im DNS hinterlegten Gateway (lokale Hosts-Einträge sollten auch tun). Ciao, Werner From postfix-list at novuage.de Fri Nov 13 15:59:55 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 13 Nov 2009 15:59:55 +0100 Subject: [Postfixbuch-users] Postfix mit 2 smarthosts In-Reply-To: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39@ECCR01PUBLIC.exchange.local> References: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39@ECCR01PUBLIC.exchange.local> Message-ID: <4AFD746B.6000805@novuage.de> Andre Ballensiefen | STM Vertriebs GbR schrieb: > folgende Situation: > > 2 mail-gateways mit postfix > 1 server mit postfix und courier. > > Die Gateways sind als mx bei den Domains hinterlegt beide > leiten alle emails per transport an den server weiter der > dann pop und imap den Nutzern zur Verfügung stellt. Ich vergebe mal Namen 2 mail-gateways (mail-gw1, mail-gw2) 1 server mit postfix und couriert (mail-store1) MX 10 mail-gw1 MX 10 mail-gw2 Diese leiten dann alles an mail-store1 weiter. > Wenn ein Nutzer mails versendet, hat der den "Mail-Server" > als smtp eingetragen. Der wiederrum versendet die Mails > über die Gateways. Nutzer versenden dann vermutlich an mail-store1, der dann wiederrum über mail-gw1 und mail-gw2 versenden soll. Hier kann man also dem Postfix auf dem mail-store1 als "relay = mail-gw" eintragen, nicht zu verwechseln mit "relay = [mail-gw]" und müsste dann für den DNS Namen "mail-gw" MX Einträge setzen. Bei gleicher Lastverteilung mail-gw MX 10 mail-gw1 mail-gw MX 10 mail-gw2 ansonsten einen, den anderen als "Fallback" mail-gw MX 10 mail-gw1 mail-gw MX 20 mail-gw2 > Hoffe es kommen noch alle mit :-) weiß nicht ob ich das korrekt verstanden habe? Wer soll denn einen Fallback nutzen können, der versendene mail-store1 oder die Clients selbst? Das muss ja jeder Client selbst unterstützen. Wenn die Clients das nicht können hast du keine Möglichkeit. Nur einen DNS Namen zu nehmen der dann geändert wird, oder zwei mal A Records mit unterschiedlichen IPs, das ist dann aber kein Fallback sondern man sucht sich aus welche IP genommen wird (RoundRobin) > Sollte der mail-gw1 einmal ausfallen, soll natürlich der mail-gw2 genommen werden. > Ich kann aber nur einen Server als relayhost angeben. Wie oben geragt, wo denn? Bei den Kunden clients, oder am mail-store1 bzw. anderen Postfix als Client? Da geht es wie oben gezeigt recht einfach. Das mach ich auch mit Exchange 2007 bei einem Kunden so. Der Empfängt und sendet also egal ob ein Server bei mir weg ist oder ausfällt. -- Gruß Sascha From postfix-list at novuage.de Fri Nov 13 16:08:57 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 13 Nov 2009 16:08:57 +0100 Subject: [Postfixbuch-users] Postfix mit 2 smarthosts In-Reply-To: <4AFD746B.6000805@novuage.de> References: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39@ECCR01PUBLIC.exchange.local> <4AFD746B.6000805@novuage.de> Message-ID: <4AFD7689.2060106@novuage.de> Sascha Peters schrieb: > Nutzer versenden dann vermutlich an mail-store1, der dann wiederrum über > mail-gw1 und mail-gw2 versenden soll. Hier kann man also dem Postfix auf > dem mail-store1 als "relay = mail-gw" eintragen, nicht zu verwechseln > mit "relay = [mail-gw]" und müsste dann für den DNS Namen "mail-gw" MX > Einträge setzen. Bei gleicher Lastverteilung sorry, es muss natürlich "relayhost = " bedeutet und nicht "relay = " -- Gruß Sascha From driessen at fblan.de Fri Nov 13 18:05:56 2009 From: driessen at fblan.de (Uwe Driessen) Date: Fri, 13 Nov 2009 18:05:56 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions In-Reply-To: <4AFD5496.2090303@puersten.de> References: <4AFD33BE.80109@puersten.de> <004801ca644d$5cc2a540$0565a8c0@uwe> <4AFD5496.2090303@puersten.de> Message-ID: <002901ca6483$911a6540$0565a8c0@uwe> On Behalf Of Oliver Pürsten > Uwe Driessen schrieb: > > On Behalf Of Oliver Pürsten > >> Wo baue ich da jetzt am besten was für einen Schritt ein um das Versenden von nur > >> speziellen Domains aus mynetworks zu erlauben? > >> > > > > check_sender_access type:table > > Search the specified access(5) database for the MAIL FROM address, domain, parent > domains, > > or localpart@, and execute the corresponding action. > > > > Vor > Aber wenn ich das nach dem Schema vorgehe dann muss ich ja schon eine Abfrage bauen > die bei allen Domains, außer den von mir für das relaying gewünschten, ein REJECT > zurück gibt. Oder hab ich nen falschen Denkansatz? Und wo ist das Problem Fremder mit einer deiner internen Domains als Absender dann eh reject Aus dem internen Netz mit Domain die nicht senden darf auch reject Alles andere wird mit dem nächsten check beglückt Oder hab ich da was missverstanden? Dann gibt da noch die Master.cf mit der Möglichkeit auf bestimmten Ports unterschiedliche Restriktionen einzubinden submission inet n - - 0 - smtpd -o smtpd_recipient_restrictions=$submission_smtpd_recipient_restriction Und in der Main.cf steht dann drin submission_smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_sender_login_mismatch, reject_unlisted_sender, check_sender_access pcre:/etc/postfix/maps/leere_Absender, permit_sasl_authenticated, reject oder was auch immer. 3. Möglichkeit Restriktionclass in die verzweigt wird wenn interne Domain > > >> permit_mynetworks > >> permit_sasl_authenticated > > > > > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From Helga.Mayer at uni-hohenheim.de Sat Nov 14 15:01:28 2009 From: Helga.Mayer at uni-hohenheim.de (Helga.Mayer at uni-hohenheim.de) Date: Sat, 14 Nov 2009 15:01:28 +0100 Subject: [Postfixbuch-users] Postfix mit 2 smarthosts In-Reply-To: References: Message-ID: <20091114150128.16993eqj6j12qcl4@webmail.uni-hohenheim.de> > Date: Fri, 13 Nov 2009 15:07:04 +0100 > From: Andre Ballensiefen | STM Vertriebs GbR > > Subject: [Postfixbuch-users] Postfix mit 2 smarthosts > To: "postfixbuch-users at listen.jpberlin.de" > > Message-ID: > <057D3E7241F17C44B3D1997DA3A9B9BD01ACC8293E39 at ECCR01PUBLIC.exchange.local> > > Content-Type: text/plain; charset="iso-8859-1" > > Hallo zusammen, > > folgende Situation: > > 2 mail-gateways mit postfix > 1 server mit postfix und courier. > > Die Gateways sind als mx bei den Domains hinterlegt beide leiten > alle emails per transport an den server weiter der dann pop und imap > den Nutzern zur Verfügung stellt. > > Wenn ein Nutzer mails versendet, hat der den "Mail-Server" als smtp > eingetragen. Der wiederrum versendet die Mails über die Gateways. auf dem "Mail-Server" (ich nehme an, das ist der Mailstore mit postfix und courier) in main.cf: mydomain=stm-gruppe.de und dann: relayhost=$mydomain Viele Gruesse Helga Mayer > > Hoffe es kommen noch alle mit :-) > > > Sollte der mail-gw1 einmal ausfallen, soll natürlich der mail-gw2 > genommen werden. > Ich kann aber nur einen Server als relayhost angeben. > > Hab jetzt schon mehrfach die Option fallback_relay gelesen aber > mehrere Wiedersprüche gefunden. > (Viele Foren verderben den Brei :-) ) > > Deshalb die Frage: > > Ist dies die Option die ich brauche ? > > Danke ! > > Gruß, > > Andre > > > ------------------------------ > > Message: 6 > Date: Fri, 13 Nov 2009 15:18:41 +0100 > From: Werner Detter > Subject: Re: [Postfixbuch-users] Postfix mit 2 smarthosts > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <4AFD6AC1.5000808 at aloah-from-hell.de> > Content-Type: text/plain; charset=ISO-8859-1 > > > Hi, > > >> Hab jetzt schon mehrfach die Option fallback_relay gelesen aber >> mehrere Wiedersprüche gefunden. >> (Viele Foren verderben den Brei :-) ) > > Das ist nur intressant wenn du einen Postfix entlasten willst (und > zwar von den Mails die nicht sofort > zugestellt werden können). Hierbei kümmert sich der fallback_relay > dann um die finale Zustellung > der Nachrichten, die der eigentliche Server "nicht gleich los bekommen hat". > > Setz einen neuen DNS-Eintrag, der die beiden IP's deiner Gateways > beinhaltet. Diesen DNS-Eintrag > setzt du "auf dem Mailserver" als SMTP. Fällt einer der Gateways aus > nutzt "dein Mailserver" > eben den anderen im DNS hinterlegten Gateway (lokale Hosts-Einträge > sollten auch tun). > > Ciao, > Werner > > > ------------------------------ > > _______________________________________________ > Postfixbuch-users mailing list > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > > Ende Postfixbuch-users Nachrichtensammlung, Band 132, Eintrag 14 > **************************************************************** > From p.heinlein at heinlein-support.de Sun Nov 15 15:43:38 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 15 Nov 2009 15:43:38 +0100 Subject: [Postfixbuch-users] smptpd_recipient_restrictions In-Reply-To: <4AFD33BE.80109@puersten.de> References: <4AFD33BE.80109@puersten.de> Message-ID: <200911151543.38801.p.heinlein@heinlein-support.de> Am Freitag, 13. November 2009 schrieb Oliver Pürsten: > Ich würde gerne eine zusätzliche Prüfung mit einbauen die die > verwendeten Absender Domains der Clients die aus mynetworks versenden > prüft und da fehlt mir irgendwie der richtige Denkansatz zu. Definiere eine Restrcition-Klasse "meinnetz": smtpd_restriction_classes=meinnetz Ersetze dann das "permit_mynetworks" durch ein "check_client_access" auf eine cidr-Access-Map, die alle gewünschten Netzbereiche aus mynetworks enthält und das als Action jeweils die Rectriction Class enthält: check_client_access cidr:/etc/postfix/mynetworks.cidr 192.168.0.0/16 meinnetz Und dann in der main.cf wieder: meinnetz= check_sender_access hash:/etc/postfix/erlaubtelokaldomains reject Das war's. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From tn96web at gmx.de Sun Nov 15 15:56:57 2009 From: tn96web at gmx.de (tn96web at gmx.de) Date: Sun, 15 Nov 2009 15:56:57 +0100 Subject: [Postfixbuch-users] Wartung am backend Server Message-ID: <4B0016B9.5040208@gmx.de> Hallo Zusammen, ich muss leider eine umfangreiche Umbauaktion an meinen Mailserver machen. Wie kann ich die Zeit einstellen bis mein Postfix die angenommenen Nachricht zurückschickt wenn der in der /etc/transport angegebene Server nicht erreichbar ist? Danke Andy From tn96web at gmx.de Sun Nov 15 15:58:38 2009 From: tn96web at gmx.de (tn96web at gmx.de) Date: Sun, 15 Nov 2009 15:58:38 +0100 Subject: [Postfixbuch-users] TLS zu Domain Message-ID: <4B00171E.2030505@gmx.de> Hallo Zusammen, kann ich Postfix zwingen zu gewissen ZielDomains nur TLS Verbindungen aufzubauen? Danke Andy From postfix-list at novuage.de Sun Nov 15 16:13:11 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 15 Nov 2009 16:13:11 +0100 Subject: [Postfixbuch-users] Wartung am backend Server In-Reply-To: <4B0016B9.5040208@gmx.de> References: <4B0016B9.5040208@gmx.de> Message-ID: <4B001A87.4020900@novuage.de> tn96web at gmx.de schrieb: > ich muss leider eine umfangreiche Umbauaktion an meinen Mailserver machen. mach doch... Es gibt die Möglichkeit harte Fehler mittels Temporäre abzuweisen. soft_bounce = yes Falls diese irrtümlich aufgrund des "falschen" Setups passieren. So kannst Du im Logfile erstmal alles prüfen. Solltest Du auch nicht annehmen wollen, dann sperre die Zielkiste per Firewall oder nimm eine andere IP-Adresse und teste erstmal selbst. > Wie kann ich die Zeit einstellen bis mein Postfix die angenommenen > Nachricht zurückschickt wenn der in der /etc/transport angegebene Server > nicht erreichbar ist? Eine Meldung geht erst als Warnung später an den Absender, oder irgendwann nach Zeit direkt mit Fehler. Siehe folgende Parameter. delay_warning_time = 4h bounce_queue_lifetime = 3d maximal_queue_lifetime = 3d Wenn also die Arbeiten mehr als 4h dauern, dann würde ich diese Zahl erhöhen oder ausschalten, glaube das ging mit "0". Aber ich würde wenn es länger dauert eher ein Testsystem aufbauen und eine Testdomain zum testen verwenden. Dann sollte es immer unter 4h zu schaffen sein. Und mehr als 3 Tage, Standard ist glaube ich 5 Tage, solltest Du in keinem Fall brauchen, das ist dann keine Umstellung sondern ein Problem ;-) Ich setze immer ein Testsystem auf, checke hier alles und sperre dann per Firewall alles nötige, teste im Live-System selbst, und lasse dann wieder alles zu. Erstmal ist hier vielleicht aber noch "soft_bounce = yes" zu empfehlen. -- Gruß Sascha From gregor at a-mazing.de Sun Nov 15 16:13:40 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Sun, 15 Nov 2009 16:13:40 +0100 Subject: [Postfixbuch-users] TLS zu Domain In-Reply-To: <4B00171E.2030505@gmx.de> References: <4B00171E.2030505@gmx.de> Message-ID: <200911151613.40473@office.a-mazing.net> Hallo nochmal, Am Sonntag, 15. November 2009 schrieb tn96web at gmx.de: > kann ich Postfix zwingen zu gewissen ZielDomains nur TLS Verbindungen > aufzubauen? http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From gregor at a-mazing.de Sun Nov 15 16:06:18 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Sun, 15 Nov 2009 16:06:18 +0100 Subject: [Postfixbuch-users] Wartung am backend Server In-Reply-To: <4B0016B9.5040208@gmx.de> References: <4B0016B9.5040208@gmx.de> Message-ID: <200911151606.18335@office.a-mazing.net> Hallo Andy, Am Sonntag, 15. November 2009 schrieb tn96web at gmx.de: > Wie kann ich die Zeit einstellen bis mein Postfix die angenommenen > Nachricht zurückschickt wenn der in der /etc/transport angegebene Server > nicht erreichbar ist? http://www.postfix.org/postconf.5.html#maximal_queue_lifetime Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From p.heinlein at heinlein-support.de Sun Nov 15 17:38:33 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 15 Nov 2009 17:38:33 +0100 Subject: [Postfixbuch-users] Wartung am backend Server In-Reply-To: <4B0016B9.5040208@gmx.de> References: <4B0016B9.5040208@gmx.de> Message-ID: <200911151738.34197.p.heinlein@heinlein-support.de> Am Sonntag, 15. November 2009 schrieb tn96web at gmx.de: > Wie kann ich die Zeit einstellen bis mein Postfix die angenommenen > Nachricht zurückschickt wenn der in der /etc/transport angegebene > Server nicht erreichbar ist? maximal_queue_lifetime = 5d Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Sun Nov 15 17:39:27 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 15 Nov 2009 17:39:27 +0100 Subject: [Postfixbuch-users] Wartung am backend Server In-Reply-To: <4B0016B9.5040208@gmx.de> References: <4B0016B9.5040208@gmx.de> Message-ID: <200911151739.27401.p.heinlein@heinlein-support.de> Am Sonntag, 15. November 2009 schrieb tn96web at gmx.de: > Hallo Zusammen, > > ich muss leider eine umfangreiche Umbauaktion an meinen Mailserver > machen. > > Wie kann ich die Zeit einstellen bis mein Postfix die angenommenen > Nachricht zurückschickt wenn der in der /etc/transport angegebene > Server nicht erreichbar ist? Korrekter natürlich auch die Bounce-Queue-Lifetime: maximal_queue_lifetime = 5d bounce_queue_lifetime = 5d Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Sun Nov 15 17:40:58 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 15 Nov 2009 17:40:58 +0100 Subject: [Postfixbuch-users] TLS zu Domain In-Reply-To: <4B00171E.2030505@gmx.de> References: <4B00171E.2030505@gmx.de> Message-ID: <200911151740.58415.p.heinlein@heinlein-support.de> Am Sonntag, 15. November 2009 schrieb tn96web at gmx.de: > Hallo Zusammen, > > kann ich Postfix zwingen zu gewissen ZielDomains nur TLS Verbindungen > aufzubauen? Eigene Transportmethode in der master.cf setzen und dafür "smtp_enforce_tls=yes" definieren. Dann Routingweg auf diese Transportmethode in der transports setzen, Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix-list at novuage.de Sun Nov 15 20:15:16 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 15 Nov 2009 20:15:16 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver In-Reply-To: <4AF899AE.2060905@novuage.de> References: <4AF899AE.2060905@novuage.de> Message-ID: <4B005344.9000502@novuage.de> Sascha Peters schrieb: > Als zweite kurze Frage, vielleicht direkt an Peer, ist das Problem was > hier Diskutiert wurde noch vorhanden? Eventuell anderweitig gelöst oder > gar eine Antwort von "oben" vorhanden? > > Problem: Thread vom April diesen Jahres "Dubletten rausfiltern" > http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-April/049230.html Das Problem ist noch vorhanden... das kann ich hier bestätigen. Ich bekomme dann in dem Postfach auch 2 Mal die E-Mail :/ -- Gruß Sascha From postfix-list at novuage.de Sun Nov 15 23:20:16 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 15 Nov 2009 23:20:16 +0100 Subject: [Postfixbuch-users] Autoresponder - Tutorial In-Reply-To: References: <4AA3E83D.1010901@gelf.net> <4ACA304F.2070607@novuage.de> Message-ID: <4B007EA0.9000708@novuage.de> Thomas Gelf schrieb: > Sascha Peters schrieb: >> Mal eben ohne das ich auf die Seite schaue (sorry dafür) eine Frage: >> Autoresponder sind ja nicht nur für Mitteilungen für "im Urlaub" oder >> so. Sondern durchaus auch für andere Dinge, wo "IMMER" Geantwortet >> werden muss. >> >> Bei einem solchen Fall (Ticketsystem oder so) gelten doch sicher andere >> Maßstäbe, da ja nicht nur eine E-Mail am Tag zu einem Absender gesendet >> werden können. Ist das berücksichtigt einbaubar, eventuell Vorbereitet :-) >> >> War nur mal eine Fixe Idee. Konkret brauch ich es im Augenblick nicht, >> aber bevor es unter geht... > > Tut immer gut zu lesen, dass es den ein oder anderen gibt, der sich doch > tatsächlich Gedanken zu dem macht, was man so verzapft ;-) Das was du > erwähnst war mit ein Hauptgrund für den Rewrite des Ganzen - das Ding > trägt jetzt "generic" im Namen und soll ein flexibler Allrounder in der > Runde der ehrenwerten Autoresponder werden und sich für alles mögliche > einsetzen lassen. Ich habe mich gerade mal eine Stunde damit beschäftigt, deinen 4 Teile gelesen und auch das Teil per SVN geladen. Die Schnipsel in dem Tutorial kann ich nachvollziehen und auch OOP ist mir ein Begriff. Leider scheine ich viel zu wenig und zu selten PHP 5 und OOP benutzt zu haben als das ich den Code "korrigieren" könnte. Lesen und den Grundsatz verstehen sollte ich noch hinbekommen. Soweit sieht auch alles sehr schön aus. :-) > Den Großteil habe ich schon entsprechend zerlegt: die unterschiedlichen > Observer entscheiden selbst, auf welche Events (derzeit: Mail erhalten, > Mail akzeptiert, Antwort gesendet) sie reagieren wollen. Wobei der > "Antwort-gesendet"-Event wiederum bloß von einem solchen Observer aus- > gelöst werden kann - die Gomar-Klasse selbst sendet keine Antworten. Weiter schritte scheitern mir hier an dem Funktionieren des Teils welcher im SVN liegt und obiger Begründung :( Würde nun Quick and Dirty Die Funktionen einzeln schreiben und je Anwendungszweck diese in unterschiedlichen Dateien nutzen, ohne OOP :-( > Zwei Beispiele sind schon dabei: der MailDumper schreibt JEDES Mail in > eine Datei, Vacation_History hingegen reagiert nur auf Mails, welche > die vielen genannten Bedingungen erfüllen (klassische Abwesenheits- > Notiz). Eine Stunde reicht nicht, macht aber trotzdem einen guten Eindruck, sobald ich die Migration von Courier auf Dovecot vollendet habe, werde ich mir auch das ansehen. Hast Du schon eine Ahnung wann Du da weiter machen kannst. Ist ja schon wieder über einen Monat vergangen. Nicht das hier was doppelt läuft. In jedem Fall würde ich, wenn ich kann helfen. Testing und Co. Egal. > Naja, es gibt noch genug zu tun. So langsam nimmt es Form an, bin mit > dem Aufbau noch nicht ganz zufrieden, aber das wird schon noch ;-) Wie > schon geschrieben: freue mich über jede Art von Feedback! In welche Richtung denkst du bei der Art zu speichern ob schon eine E-Mail an den Absender versendet wurde? Wird hier auch berücksichtigt an welches Ziel die Mail ging, macht das Sinn? Denke dabei an Weiterleitungen. Meine Adresse ist "name at domain.tld", weitergeleitet bekomme ich aber auch "name1" und "name2" sowie "name3". Wenn nun "tim at domdomain.tld" mit eine Mail sendet, bekommt er dann an einem Tag immer eine Nachricht wenn er alle Ziele einzeln anschreibt, oder nur einmal egal wohin er schreibt? Ebenfalls mal lose Überlegungen :-) -- Gruß Sascha From cite+postfix-buch at incertum.net Mon Nov 16 06:19:56 2009 From: cite+postfix-buch at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 16 Nov 2009 06:19:56 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver In-Reply-To: <200911121843.51443.p.heinlein@heinlein-support.de> References: <4AF899AE.2060905@novuage.de> <4AFBF555.3080503@novuage.de> <200911121843.51443.p.heinlein@heinlein-support.de> Message-ID: <20091116051956.GE32402@mail.incertum.net> * Peer Heinlein : > Am Donnerstag, 12. November 2009 schrieb Sascha Peters: > >> Kann mir hier keiner erklären warum das "der beste" weg ist. Ich würde >> die Domains weiterhin in "virtual_mailbox_domains" legen und den >> virtual_transport = deliver setzen. (der dann in der master.cf >> definiert ist) > > Weil relay_domains am besten die Realität abbildet (Postfix IST ein Relay > vor einer Blackbox, es IST NICHT eine virtuelle Domain), weil man es dann > viel leichter mit anderen Systemen kombinierne kann (Domain A = > Exchangem, Domain B = Dovecot => Beide identisch verwaltet), weil es > Fehler vermeidet, wel man relay_domains und transport_maps gut > zusammenlegen und einfach verwalten kann, weil man Cyrus ebenso anbindet > und es keinen Grund gibt, das unterschiedlich zu machen. So sehr ich Deinen Input sonst auch schätze, Peer, diese Mail von Dir ist für meinen Geschmack etwas zu, äh, "dogmatisch". Der riesengroße Vorteil, wenn man Cyrus per relay_domains anbindet ist doch, daß man in Postfix keine Empfängermaps pflegen muß, denn man kann mit dynamischer Verifizierung arbeiten (das beschreibst Du auch sehr schön ein paar Seiten vorher). Mit "deliver" wird Dir das schwerfallen. > Warum sollte man eine real existierende Domain mit realem Userbestand in > einem Setup, wo Postfix ein Relay davor ist dann eigentlich anders > abbildet? Weil es sich bei diesem Setup um nichts anderes als das handelt, was Postfix eben unter dem Konfigurationsschlagwort "virtual_mailbox_domains" abbildet. Du tauschst nur /usr/lib/postfix/virtual durch /usr/lib/dovecot/deliver. > Warum absichtlich einen Weg wählen, der keine Vorteile bringt aber > schwieriger nachzuvollziehen, ungewöhnlicher und in entscheidenden > Details dann eben auch anders ist? > > Gegenfrage; Warum sollte man das tun?! Mit der selben Logik könnte ich Dich fragen, warum ich dann überhaupt virtual_alias_maps verwenden sollte - wo es doch ein leichtes wäre, alle relevanten Lookups so umzuformen, daß die Alias-Adressen nicht als solche, sondern eben als ganz "normale" Adressen erkannt werden. "Ungewöhnlicher" ist der Weg auf keinen Fall, im Gegenteil, die Dovecot-Dokumentation empfiehlt ihn sogar als Standardweg, und wenn man sich mit Support-Fragen an die dovecot-Mailingliste wendet, dürfte eher der Weg über relay_domains der ungewöhnliche sein. Schwieriger nachzuvollziehen ist er auch nicht, denn Du tauschst ja nur virtual(8) gegen deliver(8). Die entscheidenden Details hast Du hier leider nur angedeutet. Kurzgesagt: Man sollte das tun, weil man damit so nahe wie möglich an den Konfigurationspfaden bleibt, die Postfix anbietet. Ciao Stefan -- Stefan Förster http://www.incertum.net/ Public Key: 0xBBE2A9E9 FdI #205: BSD - Berkeley Spongiform Derivative (Felix Deutsch) From postfix-list at novuage.de Mon Nov 16 08:02:34 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 16 Nov 2009 08:02:34 +0100 Subject: [Postfixbuch-users] Umstellung auf Dovecot/Deliver In-Reply-To: <20091116051956.GE32402@mail.incertum.net> References: <4AF899AE.2060905@novuage.de> <4AFBF555.3080503@novuage.de> <200911121843.51443.p.heinlein@heinlein-support.de> <20091116051956.GE32402@mail.incertum.net> Message-ID: <4B00F90A.7020602@novuage.de> Hallo, >> Warum sollte man eine real existierende Domain mit realem Userbestand in >> einem Setup, wo Postfix ein Relay davor ist dann eigentlich anders >> abbildet? > > Weil es sich bei diesem Setup um nichts anderes als das handelt, was > Postfix eben unter dem Konfigurationsschlagwort > "virtual_mailbox_domains" abbildet. Du tauschst nur > /usr/lib/postfix/virtual durch /usr/lib/dovecot/deliver. > >> Warum absichtlich einen Weg wählen, der keine Vorteile bringt aber >> schwieriger nachzuvollziehen, ungewöhnlicher und in entscheidenden >> Details dann eben auch anders ist? >> >> Gegenfrage; Warum sollte man das tun?! > > Mit der selben Logik könnte ich Dich fragen, warum ich dann überhaupt > virtual_alias_maps verwenden sollte - wo es doch ein leichtes wäre, > alle relevanten Lookups so umzuformen, daß die Alias-Adressen nicht > als solche, sondern eben als ganz "normale" Adressen erkannt werden. > > "Ungewöhnlicher" ist der Weg auf keinen Fall, im Gegenteil, die > Dovecot-Dokumentation empfiehlt ihn sogar als Standardweg, und wenn > man sich mit Support-Fragen an die dovecot-Mailingliste wendet, dürfte > eher der Weg über relay_domains der ungewöhnliche sein. Das ist auch das was ich gefunden habe. Egal wo man im Internet sucht, die relay_domains variante hab ich nirgendwo gefunden. Wenn es technisch hier auch keinen unterschiedlichen Funtkionsumfang gibt, dann weiß ich wirklich nicht was hier "anders" sein sollte. Eventuell kann man bei LDAP und MySQL die Datenfelder anders und einfacher nutzen, das war es dann aber auch, oder? > Schwieriger nachzuvollziehen ist er auch nicht, denn Du tauschst ja > nur virtual(8) gegen deliver(8). > > Die entscheidenden Details hast Du hier leider nur angedeutet. Sollte hier aber noch was mehr kommen, so würde ich das auch gerne hören. -- Gruß Sascha From holm at x-provi.de Mon Nov 16 08:43:22 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 08:43:22 +0100 Subject: [Postfixbuch-users] Spamversender Message-ID: <4B01029A.3000100@x-provi.de> Ich habe eine Mail von Spamcop bekommen, daß mein Server ein Spammail versendet hätte. Normalweise kann ich aufgrund des mail.logs, der message ids, der mailq usw.. immer sofort den Verursacher ausmachen, aber diesmal nicht. Ich finde auch nichts über "pickup", ob also was über den Webserver kommt. Bevor ich alles was ich gefunden habe poste zuerst eine Frage. Ich finde einfach weder die message id im Log, noch die normale id und auch nichts unter der Uhrzeit. 4AF361B200712B97 -> nicht zu finden 01ca_________3784 at s01.xxx.de> -> nicht zu finden, auch nicht 3784 at s01.xxx.de xxx -> meine Serverdomain. Inhalt Spamcop: This message is brief for your comfort. Please use links below for details. Email from 78.46.xxx.194 / Sat, 14 Nov 2009 20:02:03 +0100 http://www.spamcop.net/w3m?i=z4669899599zb88f9a8acc6c86697d800450bbae0922z ## [ Offending message ] Return-Path: Original-Recipient: rfc822;x Received: from pne-smtpin2-sn2.hy.skanova.net (81.228.8.165) by pne-ms1.vip.skanova.net (7.3.135) id 4AF26793004FBD8F; Sat, 14 Nov 2009 20:02:04 +0100 Received: from s01.xxx.de (78.46.xxx.194) by pne-smtpin2-sn2.hy.skanova.net (7.3.129) id 4AF361B200712B97; Sat, 14 Nov 2009 20:02:03 +0100 Date: Sat, 14 Nov 2009 19:53:20 -0600 From: Reply-To: X-Priority: 3 Message-ID: <01ca_________3784 at s01.xxx.de> To: Subject: Aiming at the temple or the foe MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Antivirus: avast! (VPS 091114-0, 2009-11-14), Inbound message X-Antivirus-Status: Clean I drew the curtain closed http://vkusno.hit.bg/conqueror.html ## Das einzige was ich unter xs4all.nl finde ist: Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL [127.0.1.50] [127.0.1.50] -> , Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>, mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit dieser Absenderadresse/Empfänger zu tun? Amavis ist so eingebunden, daß eingehende und ausgehende Mails geprüft werden. Holm From Rainer.Wiesenfarth at inpho.de Mon Nov 16 09:33:52 2009 From: Rainer.Wiesenfarth at inpho.de (Rainer Wiesenfarth) Date: Mon, 16 Nov 2009 09:33:52 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B01029A.3000100@x-provi.de> Message-ID: From: Holm Kapschitzki > Ich habe eine Mail von Spamcop bekommen, daß mein Server ein Spammail > versendet hätte. Normalweise kann ich aufgrund des mail.logs, der > message ids, der mailq usw.. immer sofort den Verursacher ausmachen, > aber diesmal nicht. Ich finde auch nichts über "pickup", ob also was > über den Webserver kommt. > [...] Na ja, hast Du sicher gestellt, dass nur Postfix SMTP-Verbindungen nach außen aufbauen kann? Ein anderer Prozess kann ja einfach auch am Postfix vorbei Nachrichten versenden. Im schlimmsten Fall ist Deine Kiste ferngesteuert ... Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- INPHO GmbH * Smaragdweg 1 * 70174 Stuttgart * Germany phone: +49 711 2288 10 * fax: +49 711 2288 111 * web: www.inpho.de place of business: Stuttgart * managing director: Johannes Saile commercial register: Stuttgart, HRB 9586 Leader in Photogrammetry and Digital Surface Modelling -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 6878 bytes Beschreibung: nicht verfügbar URL : From holm at x-provi.de Mon Nov 16 10:31:14 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 10:31:14 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: References: Message-ID: <4B011BE2.2080406@x-provi.de> Also, ich habe in der firewall mit iptables den Port 25 auf. Wie kann ich jetzt sicherstellen, daß nur Postfix smtp Verbindungen nach außen aufbauen kann? Holm Rainer Wiesenfarth schrieb: > From: Holm Kapschitzki >> Ich habe eine Mail von Spamcop bekommen, daß mein Server ein Spammail >> versendet hätte. Normalweise kann ich aufgrund des mail.logs, der >> message ids, der mailq usw.. immer sofort den Verursacher ausmachen, >> aber diesmal nicht. Ich finde auch nichts über "pickup", ob also was >> über den Webserver kommt. >> [...] > > Na ja, hast Du sicher gestellt, dass nur Postfix SMTP-Verbindungen nach > außen aufbauen kann? Ein anderer Prozess kann ja einfach auch am Postfix > vorbei Nachrichten versenden. Im schlimmsten Fall ist Deine Kiste > ferngesteuert ... > > Best Regards / Mit freundlichen Grüßen > Rainer Wiesenfarth > > > > ------------------------------------------------------------------------ > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From holm at x-provi.de Mon Nov 16 11:49:13 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 11:49:13 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B011BE2.2080406@x-provi.de> References: <4B011BE2.2080406@x-provi.de> Message-ID: <4B012E29.7030506@x-provi.de> Ich habe mit losof und strace perlscripte gefunden, die Mails versenden unter einem bestimmten Benutzer. Allerdings sind diese .pl Scripte nicht im Kundenaccount selbst, sondern, werden mit ps aux als user ./dfsdds.pl angezeigt. Finden tue ich diese aber nicht auf dem server. Ich habe dennoch den erstmal deaktiviert, so daß wenigstens der Versand aufhört. Kann man irgendwie verbieten, über perl Mails zu senden? Mit freundlichen Grüßen Holm Kapschitzki Holm Kapschitzki schrieb: > Also, ich habe in der firewall mit iptables den Port 25 auf. Wie kann > ich jetzt sicherstellen, daß nur Postfix smtp Verbindungen nach außen > aufbauen kann? > > Holm > > Rainer Wiesenfarth schrieb: >> From: Holm Kapschitzki >>> Ich habe eine Mail von Spamcop bekommen, daß mein Server ein Spammail >>> versendet hätte. Normalweise kann ich aufgrund des mail.logs, der >>> message ids, der mailq usw.. immer sofort den Verursacher ausmachen, >>> aber diesmal nicht. Ich finde auch nichts über "pickup", ob also was >>> über den Webserver kommt. >>> [...] >> Na ja, hast Du sicher gestellt, dass nur Postfix SMTP-Verbindungen nach >> außen aufbauen kann? Ein anderer Prozess kann ja einfach auch am Postfix >> vorbei Nachrichten versenden. Im schlimmsten Fall ist Deine Kiste >> ferngesteuert ... >> >> Best Regards / Mit freundlichen Grüßen >> Rainer Wiesenfarth >> >> >> >> ------------------------------------------------------------------------ >> >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From Rainer.Wiesenfarth at inpho.de Mon Nov 16 11:57:51 2009 From: Rainer.Wiesenfarth at inpho.de (Rainer Wiesenfarth) Date: Mon, 16 Nov 2009 11:57:51 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B011BE2.2080406@x-provi.de> Message-ID: From: Holm Kapschitzki > Also, ich habe in der firewall mit iptables den Port 25 auf. Wie kann > ich jetzt sicherstellen, daß nur Postfix smtp Verbindungen nach außen > aufbauen kann? Hmm, ich habe jetzt auf Anhieb keine Doku außer der Manual-Seite von iptables gefunden. Was ich meinte ist, die Regel noch über den --uid-owner Filter abzusichern. Das ist zwar keine 100%-Lösung, sollte aber einiges an zusätzlicher Sicherheit bieten - welcher Hacker versucht denn, einen Prozess als Benutzer postfix zu bekommen ... Und - nachdem ich das eben noch gelesen habe - die Perl-Scripts sollten dann außen vor bleiben. Ich denke aber, Du solltest mal ein wenig Forensik auf der Kiste betreiben. Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- INPHO GmbH * Smaragdweg 1 * 70174 Stuttgart * Germany phone: +49 711 2288 10 * fax: +49 711 2288 111 * web: www.inpho.de place of business: Stuttgart * managing director: Johannes Saile commercial register: Stuttgart, HRB 9586 Leader in Photogrammetry and Digital Surface Modelling -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 6878 bytes Beschreibung: nicht verfügbar URL : From holm at x-provi.de Mon Nov 16 12:03:19 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 12:03:19 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: References: Message-ID: <4B013177.9070806@x-provi.de> Erstmal danke für die Tipe. Das mit --uid-owner Filter (iptables) schau ich mir an. Ja, ich habe den Server schon am Wickel. Holm Rainer Wiesenfarth schrieb: > From: Holm Kapschitzki >> Also, ich habe in der firewall mit iptables den Port 25 auf. Wie kann >> ich jetzt sicherstellen, daß nur Postfix smtp Verbindungen nach außen >> aufbauen kann? > > Hmm, ich habe jetzt auf Anhieb keine Doku außer der Manual-Seite von > iptables gefunden. Was ich meinte ist, die Regel noch über den --uid-owner > Filter abzusichern. Das ist zwar keine 100%-Lösung, sollte aber einiges an > zusätzlicher Sicherheit bieten - welcher Hacker versucht denn, einen Prozess > als Benutzer postfix zu bekommen ... > > Und - nachdem ich das eben noch gelesen habe - die Perl-Scripts sollten dann > außen vor bleiben. > > Ich denke aber, Du solltest mal ein wenig Forensik auf der Kiste betreiben. > > Best Regards / Mit freundlichen Grüßen > Rainer Wiesenfarth > > > > ------------------------------------------------------------------------ > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From driessen at fblan.de Mon Nov 16 12:07:43 2009 From: driessen at fblan.de (Uwe Driessen) Date: Mon, 16 Nov 2009 12:07:43 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B012E29.7030506@x-provi.de> References: <4B011BE2.2080406@x-provi.de> <4B012E29.7030506@x-provi.de> Message-ID: <001a01ca66ad$07492550$0565a8c0@uwe> On Behalf Of Holm Kapschitzki > Ich habe mit losof und strace perlscripte gefunden, die Mails versenden > unter einem bestimmten Benutzer. Allerdings sind diese .pl Scripte nicht > im Kundenaccount selbst, sondern, werden mit ps aux als user ./dfsdds.pl > angezeigt. Finden tue ich diese aber nicht auf dem server. Ich habe > dennoch den erstmal deaktiviert, so daß wenigstens der Versand aufhört. > > Kann man irgendwie verbieten, über perl Mails zu senden? > Hast du mal deine Webpräsenzen geprüft? Irgendwelche Forensoftware oder joomla Zusätze die ein Sicherheitsleck haben? Irgendwelche FTP zugänge mit unsicheren PW? Schau mal nach dem Datum der Datei und ob du in den Logs zu dem Zeitpunkt was findest das auffällig wäre. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From holm at x-provi.de Mon Nov 16 13:34:37 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 13:34:37 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <001a01ca66ad$07492550$0565a8c0@uwe> References: <4B011BE2.2080406@x-provi.de> <4B012E29.7030506@x-provi.de> <001a01ca66ad$07492550$0565a8c0@uwe> Message-ID: <4B0146DD.5000106@x-provi.de> Ich habe bis jetzt nur oberflächig geschaut, vermuite aber ein Sicherheitslücke in WP und da über eine Extension. Leider ist alles nicht so klar ersichtlich wie sonst. Vielleicht wurden die Prozesse auch über remote gestartet. Ich konnte jedenfalls anhand der Zeitstempel des Webserveraccesslogs und dem mail.log bis jetzt noch nichts finden. Jedenfalls habe ich die Prozesse des Users gekillt und dem Webserver das Recht .pl Scripte unter dem User auszuführen entzogen. Seitedem ist Ruhe. Jetzt werde ich mich an die weitere Absicherung machen, bzw. den Server ev. neu aufsetzen. leider geht das alles nicht so schnell. Holm Uwe Driessen schrieb: > On Behalf Of Holm Kapschitzki >> Ich habe mit losof und strace perlscripte gefunden, die Mails versenden >> unter einem bestimmten Benutzer. Allerdings sind diese .pl Scripte nicht >> im Kundenaccount selbst, sondern, werden mit ps aux als user ./dfsdds.pl >> angezeigt. Finden tue ich diese aber nicht auf dem server. Ich habe >> dennoch den erstmal deaktiviert, so daß wenigstens der Versand aufhört. >> >> Kann man irgendwie verbieten, über perl Mails zu senden? >> > > Hast du mal deine Webpräsenzen geprüft? > Irgendwelche Forensoftware oder joomla Zusätze die ein Sicherheitsleck haben? > Irgendwelche FTP zugänge mit unsicheren PW? > > Schau mal nach dem Datum der Datei und ob du in den Logs zu dem Zeitpunkt was findest das > auffällig wäre. > > Mit freundlichen Grüßen > > Drießen > From kai_postfix at fuerstenberg.ws Mon Nov 16 14:23:05 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 16 Nov 2009 14:23:05 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B01029A.3000100@x-provi.de> References: <4B01029A.3000100@x-provi.de> Message-ID: <4B015239.5030802@fuerstenberg.ws> Hallo Holm, Holm Kapschitzki schrieb am 16.11.2009 08:43: > Das einzige was ich unter xs4all.nl finde ist: > > Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL > [127.0.1.50] [127.0.1.50] -> > , Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>, > mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms greppe mal nach BCAE11D28556. > Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit > dieser Absenderadresse/Empfänger zu tun? So spontan würde ich sagen, du wurdest Opfer eines Spoofing-Angriffes und jemand hat mit der Adresse 127.0.1.50 den Mail-Versand initiiert. Vermuten würde ich weiterhin, dass er das über den Amavis-Port gemacht hat, sonst stünde dort ja nichts. Amavis schiebt weiterhin üblicherweise an Postfix zurück, insofern muss auch da ein Log vorliegen. Ich denke, der Angriffspunkt bei Amavis ist begehrt, da auf dem Rückweg die Restriktionen meist stark gelockert werden ("kann ja nur noch von mir sein, da kann ich ja alles erlauben"). Außerdem steht als Standard in der amavisd.conf: # @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 # 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 ); Insofern wurde die Mail als lokal angesehen (zumindest von Amavis). Prüf doch mal bitte deine smtpd_recipient_restrictions auf dem rückläufigen Port, insbesondere auch so Sachen wie permit_mynetworks und mynetworks. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From leo.unglaub at gmail.com Mon Nov 16 15:54:11 2009 From: leo.unglaub at gmail.com (Leo Unglaub) Date: Mon, 16 Nov 2009 15:54:11 +0100 Subject: [Postfixbuch-users] Certified Senders Alliance - traut ihr dem? Message-ID: Hallo Postfix-Freunde, ich habe folgende Frage an euch. Ich wurde über einen Link in einem Forum auf die "Certified Senders Alliance" http://www.certified-senders.eu/csa_html/de/index_de.htm aufmerksam. In dem Forum ging es dadrum, dass man wirklich professionelle Newsletter nur verschicken kann, wenn man dort Mitglied ist. Ich habe mir die Seite angeschaut, finde den Ansatz aber sehr fragwürdig. So wie ich das verstehe heißt das doch, dass Spam-Filter am Server bei E-Mails von dort gelisteten Abwendern nicht greifen und es auf jeden Fall zustellen. Ich finde das komzept höchst zweifelhaft, da es erstens nur wirklich funktioniert, wenn alle anderne Empfänger dort Mitglied sind und zweitens halte ich das für gefährlich dort gelisteten Servern blanko Rechte zu geben. Was haltet ihr davon? Seit ihr dort Mitglied? Ich habe auch Kunden die Newsletter verschicken und hatte dank meiner RFC-konformen Server nie Probleme, daher meine Verwunderung über die Notwendigkeit einer solchen Alliance. Vielen Dank und viele Grüße Leo -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From holm at x-provi.de Mon Nov 16 16:08:32 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 16:08:32 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B015239.5030802@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> Message-ID: <4B016AF0.6030006@x-provi.de> Kai Fürstenberg schrieb: > Hallo Holm, > > Holm Kapschitzki schrieb am 16.11.2009 08:43: >> Das einzige was ich unter xs4all.nl finde ist: >> >> Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL >> [127.0.1.50] [127.0.1.50] -> >> , Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>, >> mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms > > greppe mal nach BCAE11D28556. xxx -> meine serverdomain Nov 14 22:09:36 s01 postfix/smtpd[8761]: BCAE11D28556: client=localhost.localdomain[127.0.0.1] Nov 14 22:09:36 s01 postfix/cleanup[8714]: BCAE11D28556: message-id=<01ca656e.4bf237f2 at s01.xxx.de> Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556: from=, size=1062, nrcpt=1 (queue active) Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL [127.0.1.50] [127.0.1.50] -> , Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>, mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms Nov 14 22:09:36 s01 postfix/smtp[7802]: 8A2001D28505: to=, relay=127.0.0.1[127.0.0.1]:10024, delay=0.29, delays=0.14/0/0/0.14, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=08343-06, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as BCAE11D28556) Nov 14 22:09:36 s01 postfix/smtp[8064]: BCAE11D28556: to=, relay=127.0.1.50[127.0.1.50]:25, delay=0.06, delays=0.05/0/0.01/0, dsn=5.4.6, status=bounced (mail for uswan.com loops back to myself) Nov 14 22:09:36 s01 postfix/bounce[8723]: BCAE11D28556: sender non-delivery notification: D08051D28559 Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556: removed > >> Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit >> dieser Absenderadresse/Empfänger zu tun? > > So spontan würde ich sagen, du wurdest Opfer eines Spoofing-Angriffes > und jemand hat mit der Adresse 127.0.1.50 den Mail-Versand initiiert. > Vermuten würde ich weiterhin, dass er das über den Amavis-Port gemacht > hat, sonst stünde dort ja nichts. Amavis schiebt weiterhin üblicherweise > an Postfix zurück, insofern muss auch da ein Log vorliegen. > > Ich denke, der Angriffspunkt bei Amavis ist begehrt, da auf dem Rückweg > die Restriktionen meist stark gelockert werden ("kann ja nur noch von > mir sein, da kann ich ja alles erlauben"). Außerdem steht als Standard > in der amavisd.conf: > # @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 > # 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 ); > Insofern wurde die Mail als lokal angesehen (zumindest von Amavis). > > Prüf doch mal bitte deine smtpd_recipient_restrictions auf dem > rückläufigen Port, insbesondere auch so Sachen wie permit_mynetworks und > mynetworks. > Das ist interessant. Auf diesem Server ist das so konfiguriert: master.cf: smtp-amavis unix - - n - 6 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks main.cf content_filter=smtp-amavis:[127.0.0.1]:10024 amavis: @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 ); Wie kann ich das jetzt stoppen? Ist es besser den amavis nicht in der main.cf zu deklarieren, sondern direkt in der master.cf? Soll ich bei mynetworks nur 127.0.0.1 reinschreiben? Holm From kai_postfix at fuerstenberg.ws Mon Nov 16 16:59:34 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 16 Nov 2009 16:59:34 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B016AF0.6030006@x-provi.de> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> <4B016AF0.6030006@x-provi.de> Message-ID: <4B0176E6.1060803@fuerstenberg.ws> Holm Kapschitzki schrieb am 16.11.2009 16:08: >> greppe mal nach BCAE11D28556. > > xxx -> meine serverdomain > > Nov 14 22:09:36 s01 postfix/smtpd[8761]: BCAE11D28556: > client=localhost.localdomain[127.0.0.1] > Nov 14 22:09:36 s01 postfix/cleanup[8714]: BCAE11D28556: > message-id=<01ca656e.4bf237f2 at s01.xxx.de> > Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556: > from=, size=1062, nrcpt=1 (queue active) > Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL > [127.0.1.50] [127.0.1.50] -> > , Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>, > mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms > Nov 14 22:09:36 s01 postfix/smtp[7802]: 8A2001D28505: > to=, relay=127.0.0.1[127.0.0.1]:10024, delay=0.29, > delays=0.14/0/0/0.14, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=08343-06, > from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as BCAE11D28556) > Nov 14 22:09:36 s01 postfix/smtp[8064]: BCAE11D28556: > to=, relay=127.0.1.50[127.0.1.50]:25, delay=0.06, > delays=0.05/0/0.01/0, dsn=5.4.6, status=bounced (mail for uswan.com > loops back to myself) > Nov 14 22:09:36 s01 postfix/bounce[8723]: BCAE11D28556: sender > non-delivery notification: D08051D28559 > Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556: removed > > >> >>> Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit >>> dieser Absenderadresse/Empfänger zu tun? Die Antwort steht hier: $ dig MX uswan.com ; <<>> DiG 9.5.1-P3 <<>> MX uswan.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60739 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4 ;; QUESTION SECTION: ;uswan.com. IN MX ;; ANSWER SECTION: uswan.com. 86400 IN MX 0 127.0.1.50. Insofern handelt dein Server völlig korrekt, da er versucht die lokal eingelieferte Mail, welche durch "permit_mynetworks" anscheinend erlaubt wurde, zuzustellen, nämlich über den eingetragenen MX 127.0.1.50. Darauf bin ich gekommen, da Postfix versuchte an "relay" 127.0.1.50 zu senden. Das hat mich stutzig gemacht. In der Folge wird ein Bounce an den vermeintlichen Absender geschickt: > Nov 14 22:09:36 s01 postfix/smtp[8064]: BCAE11D28556: > to=, relay=127.0.1.50[127.0.1.50]:25, delay=0.06, > delays=0.05/0/0.01/0, dsn=5.4.6, status=bounced (mail for uswan.com > loops back to myself) und der beschwert sich dann bei Spamcop und deine IP kommt in die Liste. Merkwürdigerweise (oder absichtlich? Ich weiß es nicht) steht bei Spamcop aber eine ganz normale Mail (die Spam-Mail eben), keine Mitteilung "Die Mail konnte leider nicht zugestellt werden". Außerdem behaupte ich, dass da (mindestens) eine Headerzeile fehlt. >> So spontan würde ich sagen, du wurdest Opfer eines Spoofing-Angriffes >> und jemand hat mit der Adresse 127.0.1.50 den Mail-Versand initiiert. >> Vermuten würde ich weiterhin, dass er das über den Amavis-Port gemacht >> hat, sonst stünde dort ja nichts. Amavis schiebt weiterhin üblicherweise >> an Postfix zurück, insofern muss auch da ein Log vorliegen. Das vergessen wir dann mal, das hat sich ja nun zerschlagen. >> Ich denke, der Angriffspunkt bei Amavis ist begehrt, da auf dem Rückweg >> die Restriktionen meist stark gelockert werden ("kann ja nur noch von >> mir sein, da kann ich ja alles erlauben"). Außerdem steht als Standard >> in der amavisd.conf: >> # @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 >> # 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 ); >> Insofern wurde die Mail als lokal angesehen (zumindest von Amavis). >> >> Prüf doch mal bitte deine smtpd_recipient_restrictions auf dem >> rückläufigen Port, insbesondere auch so Sachen wie permit_mynetworks und >> mynetworks. >> > > Das ist interessant. Auf diesem Server ist das so konfiguriert: > > master.cf: > 127.0.0.1:10025 inet n - n - - smtpd > -o smtpd_recipient_restrictions=permit_mynetworks,reject Das ist in ordnung so. Wichtig ist nur, dass du in der main.cf nicht stehen hast: mynetworks = 127.0.0.0/8 > Wie kann ich das jetzt stoppen? Ist es besser den amavis nicht in der > main.cf zu deklarieren, sondern direkt in der master.cf? > > Soll ich bei mynetworks nur 127.0.0.1 reinschreiben? Welches mynetworks meinst du? Das in der main.cf oder das @mynetworks in amavisd.conf? Wie wäre es mit beiden? Denn: Mal angenommen, jemand schafft es tatsächlich mittels IP-spoofing eine Verbindung aufzubauen, dann wäre zumindest der Punkt permit_mynetworks abgesichert. Darauf wollte ich hinaus. Aber ich bin ja auch von IP-Spoofing ausgegangen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From t.schneider at tms-itdienst.at Mon Nov 16 17:16:39 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Mon, 16 Nov 2009 17:16:39 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B0176E6.1060803@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> Message-ID: <200911161716.42331.t.schneider@tms-itdienst.at> > > Die Antwort steht hier: > $ dig MX uswan.com > > ; <<>> DiG 9.5.1-P3 <<>> MX uswan.com > ;; global options: printcmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60739 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4 > > ;; QUESTION SECTION: > ;uswan.com. IN MX > > ;; ANSWER SECTION: > uswan.com. 86400 IN MX 0 127.0.1.50. > Hi, interessant dabei finde ich das wenn diese IP angepingt wird, das die des lo ist. lo ist doch die 127.0.0.1 und ein ifconfig zeigt mir keine 127.0.1.50. Wie gibts das? Grüße Timm Schneider ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43 (720) 501 078 (Per ENUM kostenlos erreichbar) +49 (89) 721010-77792 M: +43 (664) 479 79 25 F: +43 (720) 501 078-57 SIP: 21100002377 (Terrasip) 0720501078 (Nemox) 0720721226 (PlatinPlus) Meine Mails werden mit Kaspersky AntiVirus überprüft! -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Mon Nov 16 17:27:25 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 16 Nov 2009 17:27:25 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <200911161716.42331.t.schneider@tms-itdienst.at> References: <4B01029A.3000100@x-provi.de> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> <200911161716.42331.t.schneider@tms-itdienst.at> Message-ID: <20091116162725.GP2283@charite.de> * Timm M.Schneider : > interessant dabei finde ich das wenn diese IP angepingt wird, das die des lo > ist. lo ist doch die 127.0.0.1 und ein ifconfig zeigt mir keine 127.0.1.50. > Wie gibts das? lo ist dein ganzes 127/8 netz -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From ballensiefen at stm-gruppe.de Mon Nov 16 17:41:50 2009 From: ballensiefen at stm-gruppe.de (Andre Ballensiefen | STM Vertriebs GbR) Date: Mon, 16 Nov 2009 17:41:50 +0100 Subject: [Postfixbuch-users] Certified Senders Alliance - traut ihr dem? In-Reply-To: References: Message-ID: <057D3E7241F17C44B3D1997DA3A9B9BD01ACC829412B@ECCR01PUBLIC.exchange.local> Hi, ein Kunde von uns ist dort Mitglied. Ist eine Internetagentur mit ein paar sehr namhaften Kunden. Prinzip ist recht einfach. Die IP-Adressen der Mailserver sind bei den großen Mailanbietern (Web, GMX etc.) auf der Whitelist, so dass diese Mails zum einen zugestellt werden aber, und das ist das wichtigste, die Mailserver auch nach tausenden von Mails nicht die Tür zu machen sondern die Tore immer brav offen halten. ABER: Ø und zweitens halte ich das für gefährlich dort gelisteten Servern blanko Rechte zu geben So einfach ist das nicht. Die Agentur hat knapp 2 Monate gebraucht um zertifiziert zu werden. D.h. der eco-Verband will wissen für wen Newsletter versendet werden. Guckt sich alle Newsletter an ob diese auch dem aktuellen Standard entsprechen (Abmelden Link etc.) und die Agentur zahlt dafür jeden Monat. Sobald sich die Beschwerden über die Newsletter häufen, werden alle IP-Adressen sofort auf die Blacklist gesetzt. Viele Grüße Andre Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Leo Unglaub Gesendet: Montag, 16. November 2009 15:54 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: [Postfixbuch-users] Certified Senders Alliance - traut ihr dem? Hallo Postfix-Freunde, ich habe folgende Frage an euch. Ich wurde über einen Link in einem Forum auf die "Certified Senders Alliance" http://www.certified-senders.eu/csa_html/de/index_de.htm aufmerksam. In dem Forum ging es dadrum, dass man wirklich professionelle Newsletter nur verschicken kann, wenn man dort Mitglied ist. Ich habe mir die Seite angeschaut, finde den Ansatz aber sehr fragwürdig. So wie ich das verstehe heißt das doch, dass Spam-Filter am Server bei E-Mails von dort gelisteten Abwendern nicht greifen und es auf jeden Fall zustellen. Ich finde das komzept höchst zweifelhaft, da es erstens nur wirklich funktioniert, wenn alle anderne Empfänger dort Mitglied sind und zweitens halte ich das für gefährlich dort gelisteten Servern blanko Rechte zu geben. Was haltet ihr davon? Seit ihr dort Mitglied? Ich habe auch Kunden die Newsletter verschicken und hatte dank meiner RFC-konformen Server nie Probleme, daher meine Verwunderung über die Notwendigkeit einer solchen Alliance. Vielen Dank und viele Grüße Leo -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From t.schneider at tms-itdienst.at Mon Nov 16 17:45:01 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Mon, 16 Nov 2009 17:45:01 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <20091116162725.GP2283@charite.de> References: <4B01029A.3000100@x-provi.de> <200911161716.42331.t.schneider@tms-itdienst.at> <20091116162725.GP2283@charite.de> Message-ID: <200911161745.01327.t.schneider@tms-itdienst.at> Hi, ach so dann ists klar. Aber warum macht einer soetwas das er als MX Adresse eine lo-IP-Adresse setzt, dann kann ja niemand ihm eine Mail senden. Thx Timm Schneider ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43 (720) 501 078 (Per ENUM kostenlos erreichbar) +49 (89) 721010-77792 M: +43 (664) 479 79 25 F: +43 (720) 501 078-57 SIP: 21100002377 (Terrasip) 0720501078 (Nemox) 0720721226 (PlatinPlus) Meine Mails werden mit Kaspersky AntiVirus überprüft! -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From holm at x-provi.de Mon Nov 16 18:01:43 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 18:01:43 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B0176E6.1060803@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> Message-ID: <4B018577.7010604@x-provi.de> Kai Fürstenberg schrieb: >>>> Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit >>>> dieser Absenderadresse/Empfänger zu tun? > > Die Antwort steht hier: > $ dig MX uswan.com > > ; <<>> DiG 9.5.1-P3 <<>> MX uswan.com > ;; global options: printcmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60739 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4 > > ;; QUESTION SECTION: > ;uswan.com. IN MX > > ;; ANSWER SECTION: > uswan.com. 86400 IN MX 0 127.0.1.50. > > Insofern handelt dein Server völlig korrekt, da er versucht die lokal > eingelieferte Mail, welche durch "permit_mynetworks" anscheinend erlaubt > wurde, zuzustellen, nämlich über den eingetragenen MX 127.0.1.50. > Darauf bin ich gekommen, da Postfix versuchte an "relay" 127.0.1.50 zu > senden. Das hat mich stutzig gemacht. Ganz schon ausgebufft, zumal mein resolver/dns dann natürlich von einer richtigen IP ausgeht, was Sie ja ist. > Das ist in ordnung so. Wichtig ist nur, dass du in der main.cf nicht > stehen hast: > mynetworks = 127.0.0.0/8 Doch das steht in der main.cf. Ich ändere das auf: main.cf mynetworks = 127.0.0.1/32 > >> Wie kann ich das jetzt stoppen? Ist es besser den amavis nicht in der >> main.cf zu deklarieren, sondern direkt in der master.cf? >> >> Soll ich bei mynetworks nur 127.0.0.1 reinschreiben? > > Welches mynetworks meinst du? Das in der main.cf oder das @mynetworks in > amavisd.conf? Wie wäre es mit beiden? > > Denn: Mal angenommen, jemand schafft es tatsächlich mittels IP-spoofing > eine Verbindung aufzubauen, dann wäre zumindest der Punkt > permit_mynetworks abgesichert. Darauf wollte ich hinaus. Aber ich bin ja > auch von IP-Spoofing ausgegangen. > Und hier folgen geändert: master.cf 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.1/32 amavis: @mynetworks = qw( 127.0.0.1/32 ); Ich hoffe das ist richtig so, weil bei mir gibts in dem Sinne nur localhost, da ich mit virtuellen Domains ansonsten den Server betreibe. Holm From kai_postfix at fuerstenberg.ws Mon Nov 16 19:44:52 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 16 Nov 2009 19:44:52 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <200911161745.01327.t.schneider@tms-itdienst.at> References: <4B01029A.3000100@x-provi.de> <200911161716.42331.t.schneider@tms-itdienst.at> <20091116162725.GP2283@charite.de> <200911161745.01327.t.schneider@tms-itdienst.at> Message-ID: <4B019DA4.60309@fuerstenberg.ws> Timm M.Schneider schrieb: > Aber warum macht einer soetwas das er als MX Adresse eine lo-IP-Adresse > setzt, dann kann ja niemand ihm eine Mail senden. Registriere irgendeine Domain und trage als MX irgendeine lo-Adresse ein. Kapere einen Mail-Account oder einen Server und lass darüber eine Mail von irgendeiner Emailadresse an diese Domain schicken. "Irgendeine Emailadresse" spielt dabei mit und erhält von dir einen Bounce. Dieser wird ein wenig manipuliert und an eine RBL geschickt, die den Server daraufhin listet. So überlistest du das System, indem du zeigst, das es nur zu leicht auszuhebeln ist und im Prinzip nahezu jeder Server gelistet werden kann, obwohl der Serverbetreiber absolut nichts falsch gemacht hat und nichts dafür kann. Die Folge wäre dann, dass RBLs nicht mehr zu verwenden sind - Spammers Traum. -- Gruß Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From kai_postfix at fuerstenberg.ws Mon Nov 16 19:49:40 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 16 Nov 2009 19:49:40 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B018577.7010604@x-provi.de> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> <4B018577.7010604@x-provi.de> Message-ID: <4B019EC4.8060807@fuerstenberg.ws> Holm Kapschitzki schrieb: > Ich hoffe das ist richtig so, weil bei mir gibts in dem Sinne nur > localhost, da ich mit virtuellen Domains ansonsten den Server betreibe. du hast mit Sicherheit noch noch eine öffentliche/offizielle IP, aber die würdest du mit Sicherheit nicht "mynetworks" nennen. ;-) -- Gruß Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From holm at x-provi.de Mon Nov 16 20:17:18 2009 From: holm at x-provi.de (Holm Kapschitzki) Date: Mon, 16 Nov 2009 20:17:18 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B019EC4.8060807@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> <4B018577.7010604@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> Message-ID: <4B01A53E.2040402@x-provi.de> Kai Fürstenberg schrieb: > Holm Kapschitzki schrieb: >> Ich hoffe das ist richtig so, weil bei mir gibts in dem Sinne nur >> localhost, da ich mit virtuellen Domains ansonsten den Server betreibe. > > du hast mit Sicherheit noch noch eine öffentliche/offizielle IP, aber > die würdest du mit Sicherheit nicht "mynetworks" nennen. ;-) > ja, die kommt da nicht rein. Holm From debian at net-service-24.de Mon Nov 16 20:28:32 2009 From: debian at net-service-24.de (Roland Schmid) Date: Mon, 16 Nov 2009 20:28:32 +0100 Subject: [Postfixbuch-users] Spam von Freemailern wie z.B. Hotmail.com Message-ID: <1258399712.4317.29.camel@workstation> Hallo, wir bekommen am tag ca. 3-4 solcher anrüchigen mails (header siehe unten) von freemail accounts wie z.b. hotmail.com Wie kann ich die los werden ohne die ganze hotmail.com zu blocken ? Habe in der main.cf des postfix unter smtpd_recipient_restrictions = [...] check_sender_access hash:/etc/postfix/ausnahmen [...] eingefügt. in /etc/postfix/ausnahmen steht dies: /(^|\.)hotmail\.com$/ DUNNO /./ REJECT You claim to be from hotmail.com but your mail didn't come from a hotmail.com server. Jetzt kam dennoch wieder so eine mail durch, offenbar wirkt es nicht. Hat jemand eine Idee, wie ich diese mails blocken kann ? Was bedeutet dieser eintrag im header ? X-Originating-IP: [92.83.249.225] Gruss Roland unsere postconf -n ausgabe broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical_maps command_directory = /usr/sbin config_directory = /etc/postfix content_filter = smtp-amavis:[127.0.0.1]:10024 daemon_directory = /usr/lib/postfix debug_peer_level = 2 home_mailbox = Maildir/ mail_owner = postfix mailbox_size_limit = 512000000 mailq_path = /var/spool/postfix manpage_directory = /usr/local/man message_size_limit = 100000000 mydestination = $myhostname, $mydomain, localhost.$mydomain, linux2.$mydomain mydomain = our-postfix-domain.de myhostname = linux2.our-postfix-domain.de mynetworks = 127.0.0.0/8 mynetworks_style = host myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = no sample_directory = /etc/postfix sendmail_path = /usr/sbin/sendmail setgid_group = postdrop smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_client_restrictions = check_client_access hash:/etc/postfix/client_access smtpd_helo_required = yes smtpd_recipient_restrictions = permit_mynetworks reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_sender_domain reject_unknown_recipient_domain reject_multi_recipient_bounce reject_unlisted_recipient reject_unlisted_sender permit_sasl_authenticated reject_unauth_destination check_sender_access hash:/etc/postfix/ausnahmen check_policy_service inet:127.0.0.1:60000 check_policy_service inet:127.0.0.1:12525 reject_unauth_pipelining reject_unknown_client_hostname reject_unknown_reverse_client_hostname smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sasl_type = cyrus soft_bounce = no unknown_local_recipient_reject_code = 550 virtual_alias_domains = our-email-domain.de virtual_alias_maps = hash:/etc/postfix/virtual Return-Path: X-Original-To: user-xy at localhost.our-postfix-domain.de Delivered-To: user-xy at localhost.our-postfix-domain.de Received: from localhost (localhost [127.0.0.1]) by linux2.our-postfix-domain.de (Postfix) with ESMTP id 9857FBE8D for ; Mon, 16 Nov 2009 18:44:01 +0100 (CET) X-Virus-Scanned: Debian amavisd-new at linux2.our-postfix-domain.de Received: from linux2.our-postfix-domain.de ([127.0.0.1]) by localhost (webserver2.our-postfix-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 0vepxKP92UdY for ; Mon, 16 Nov 2009 18:43:59 +0100 (CET) X-Greylist: delayed 353 seconds by postgrey-1.27 at webserver2; Mon, 16 Nov 2009 18:43:47 CET X-policyd-weight: using cached result; rate: -8.3 Received: from blu0-omc1-s12.blu0.hotmail.com (blu0-omc1-s12.blu0.hotmail.com [65.55.116.23]) by linux2.our-postfix-domain.de (Postfix) with ESMTP id AE3E6BDEF for ; Mon, 16 Nov 2009 18:43:47 +0100 (CET) Received: from BLU143-W7 ([65.55.116.7]) by blu0-omc1-s12.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959); Mon, 16 Nov 2009 09:37:49 -0800 Message-ID: Content-Type: multipart/alternative; boundary="_2e5dc923-b0ea-40e3-a48e-2413df8bb391_" X-Originating-IP: [92.83.249.225] From: Jay Terboss To: Subject: Hey user-xy. It is Ella. Wanna date? Date: Mon, 16 Nov 2009 12:37:49 -0500 Importance: Normal MIME-Version: 1.0 X-OriginalArrivalTime: 16 Nov 2009 17:37:49.0305 (UTC) FILETIME=[8414DE90:01CA66E3] From hostmaster at taunusstein.net Mon Nov 16 20:35:47 2009 From: hostmaster at taunusstein.net (Christian Felsing) Date: Mon, 16 Nov 2009 20:35:47 +0100 Subject: [Postfixbuch-users] Certified Senders Alliance - traut ihr dem? In-Reply-To: References: Message-ID: <4B01A993.9020704@taunusstein.net> Hallo, als ein Mitglied der anderen Seite (Provider) kann ich dazu nur sagen, dass der Ansatz schon positiv zu werten ist und IP-Adressen, die in der CSA Liste stehen, von unserem Spamassassin eine sehr viel bessere Bewertung bekommen. Ein absoluter Wert ist das natürlich nicht, wenn da ein Newletter vom Spamassassin ein +30 bekommt, dann rettet der CSA Eintrag die Mail auch nicht mehr. Bei einem +30 muss ja schon sehr viel zusammen kommen. Durch die genaue Prüfung durch eco wird dieser Fall ja aber bestimmt nie auftreten... Wer sein Geld mit legitimen Newslettern verdient, sollte einen CSA Eintrag ernsthaft in Betracht ziehen. Bei einem Newsletter des örtlichen Kleingärtnervereins ist das sicher nicht notwendig. Wer den Aufwand bei eco scheut, kann sich ja mal http://www.dnswl.org/ ansehen. Da kann man sehr viel leichter einen Eintrag bekommen. Die Beispielconfigs für Spamassassin geben aber schon zu denken. Ein Wert von -100 nur wegen eines Listeneintrags erscheint mir doch sehr übertrieben. Viele Grüße Christian Leo Unglaub schrieb: > Hallo Postfix-Freunde, > ich habe folgende Frage an euch. Ich wurde über einen Link in einem Forum > auf die "Certified Senders Alliance" > http://www.certified-senders.eu/csa_html/de/index_de.htm aufmerksam. In dem From Helga.Mayer at uni-hohenheim.de Mon Nov 16 21:12:27 2009 From: Helga.Mayer at uni-hohenheim.de (Helga.Mayer at uni-hohenheim.de) Date: Mon, 16 Nov 2009 21:12:27 +0100 Subject: [Postfixbuch-users] Spam von Freemailern wie z.B. Hotmail.com Message-ID: <20091116211227.8154665u790mewiz@webmail.uni-hohenheim.de> Roland Schmid schrieb: > Date: Mon, 16 Nov 2009 20:28:32 +0100 > From: Roland Schmid > Subject: [Postfixbuch-users] Spam von Freemailern wie z.B. Hotmail.com > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <1258399712.4317.29.camel at workstation> > Content-Type: text/plain; charset=ISO-8859-15 > > Hallo, > > wir bekommen am tag ca. 3-4 solcher anrüchigen mails (header siehe > unten) von freemail accounts wie z.b. hotmail.com > Wie kann ich die los werden ohne die ganze hotmail.com zu blocken ? Entweder ueber /etc/postfix/header_checks oder ueber amavisd pre-queue + spamassassin Das zweite ziehe ich vor. Dann kann man gewichten. z.B. in local.cf header HEADER_CHECKS_SPAM_ORIGIN X-Originating-IP =~ /.*\[(41\.2 07\.|115\.59\.|41\.189\.|41\.191\.|41\.241\.|41\.202\.|89\.186\.)/ score HEADER_CHECKS_SPAM_ORIGIN 6 describe HEADER_CHECKS_SPAM_ORIGIN Spam aus Spamnetzen ueber freemailer In /etc/postfix/header_checks: /^X-Originat(ing|or)-IP:.*\[41\.207\./ reject 5.7.1 could be Advance Fee Fraud das ist halt hard reject Viele Gruesse Helga Mayer From n.gerhards at ib-gerhards.de Tue Nov 17 07:53:28 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 17 Nov 2009 07:53:28 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B019EC4.8060807@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> <4B018577.7010604@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> Message-ID: <4B024868.1060702@ib-gerhards.de> Hallo, wenn ich als öffentliche IPs ein C-Class-Netz 193.96.xxx.0/24 habe, und mein internes LAN 10.1.1.0/24 ist, ist dann laut Kai eine Zeile in main.cf wie: mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 gefährlich bis tödlich für solche von ihm vermutete Spammer-Attacken? Und wie müsste dieser Eintrag dann lauten? Viele Grüße Norbert Kai Fürstenberg schrieb: > Holm Kapschitzki schrieb: >> Ich hoffe das ist richtig so, weil bei mir gibts in dem Sinne nur >> localhost, da ich mit virtuellen Domains ansonsten den Server betreibe. > > du hast mit Sicherheit noch noch eine öffentliche/offizielle IP, aber > die würdest du mit Sicherheit nicht "mynetworks" nennen. ;-) > From p.heinlein at heinlein-support.de Tue Nov 17 08:36:51 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 08:36:51 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B024868.1060702@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> Message-ID: <200911170836.52083.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Norbert Gerhards: > wenn ich als öffentliche IPs ein C-Class-Netz > 193.96.xxx.0/24 habe, und mein internes LAN > 10.1.1.0/24 ist, > ist dann laut Kai eine Zeile in main.cf wie: > > mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 > [::ffff:127.0.0.0]/104 [::1]/128 > > gefährlich bis tödlich für solche von ihm vermutete > Spammer-Attacken? Nein, warum sollte es? Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From n.gerhards at ib-gerhards.de Tue Nov 17 09:11:44 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 17 Nov 2009 09:11:44 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <200911170836.52083.p.heinlein@heinlein-support.de> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> <200911170836.52083.p.heinlein@heinlein-support.de> Message-ID: <4B025AC0.3080304@ib-gerhards.de> Ich habe mich halt gefragt, ob es 'sicherer' wäre, statt des kompl. C-class-Netzes hier nur die auf diesem einen Server laufenden IP-Adressen in der Form 193.96.xxx.61/32 193.96.xxx.62/32 193.96.xxx.63/32 und die loopback-Adr. generell mit 127.0.0.1/32 anzugeben? Welchen zusätzlichen Trouble handele ich mir damit gegebenenfalls ein? ;-) Norbert Peer Heinlein schrieb: > Am Dienstag, 17. November 2009 schrieb Norbert Gerhards: > >> wenn ich als öffentliche IPs ein C-Class-Netz >> 193.96.xxx.0/24 habe, und mein internes LAN >> 10.1.1.0/24 ist, >> ist dann laut Kai eine Zeile in main.cf wie: >> >> mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 >> [::ffff:127.0.0.0]/104 [::1]/128 >> >> gefährlich bis tödlich für solche von ihm vermutete >> Spammer-Attacken? > > Nein, warum sollte es? > > > Peer > -- Dipl.-Ing. Norbert Gerhards Ingenieurbüro Gerhards Laurentiusstr. 16 - 20 52072 Aachen Deutschland Tel. +49-241-705 08-14 Fax +49-241-705 08-99 mobil +49-172-240 66 36 email n.gerhards at fca.de URL www.ib-gerhards.de From mbidlingmaier at esigma-technology.com Tue Nov 17 09:20:13 2009 From: mbidlingmaier at esigma-technology.com (Max Bidlingmaier) Date: Tue, 17 Nov 2009 09:20:13 +0100 Subject: [Postfixbuch-users] DKIM signieren mit AMAVISD-NEW Message-ID: <4B025CBD.1050204@esigma-technology.com> Hallo, ich betreibe einen Mailserver postfix mit amavis. Amavis ist über smtpd_proxy_filter eingebunden. Nun möchte ich Mails von eigenen Domains DKIM signieren. Zu diesem Thema habe ich folgende Webseite gefunden: http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim Allerdings wird hier von conten_filter ausgegangen, in meiner Konfiguration mit proxy_filter sorgt diese Konfiguration dann für diese Meldung: warning: access table regexp:/etc/postfix/tag_as_originating.re: with smtpd_proxy_filter specified, action FILTER is unavailable sprich der Filter wird nicht ausgeführt. Gibt es eine sinnvolle Möglichkeit ausgehende Mails DKIM zu signieren während smtpd_proxy_filter aktiv ist? Danke im Voraus Max Bidlingmaier -- ________________________ Max Bidlingmaier IT-Administration e.sigma Technology AG Ehrenbergstraße 11 98693 Ilmenau / Germany Tel.: +49 (0) 3677 668 230 Fax.: +49 (0) 3677 668 2333 e.sigma Technology AG, Ehrenbergstr. 11, 98693 Ilmenau Vorstand / General Manager: Detlef Mämpel Vors. d. AR / Supervisory Board Chairman: Joseph Müllner Registergericht / Trade Registry : Amtsgericht Jena HRB 500 638 Geschäftssitz / Business Location: Ilmenau Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden. From debian at net-service-24.de Tue Nov 17 09:25:22 2009 From: debian at net-service-24.de (Roland Schmid) Date: Tue, 17 Nov 2009 09:25:22 +0100 (CET) Subject: [Postfixbuch-users] Spam von Freemailern wie z.B. Hotmail.com In-Reply-To: <20091116211227.8154665u790mewiz@webmail.uni-hohenheim.de> References: <20091116211227.8154665u790mewiz@webmail.uni-hohenheim.de> Message-ID: <17689.88.79.80.90.1258446322.squirrel@mail.net-service-24.de> Hallo, Helga.Mayer at uni-hohenheim.de wrote: > Entweder ueber /etc/postfix/header_checks > oder ueber amavisd pre-queue + spamassassin > > Das zweite ziehe ich vor. Dann kann man gewichten. > z.B. in local.cf > header HEADER_CHECKS_SPAM_ORIGIN X-Originating-IP =~ /.*\[(41\.2 > 07\.|115\.59\.|41\.189\.|41\.191\.|41\.241\.|41\.202\.|89\.186\.)/ > score HEADER_CHECKS_SPAM_ORIGIN 6 > describe HEADER_CHECKS_SPAM_ORIGIN Spam aus Spamnetzen ueber > freemailer die IP (im Deinem Bsp. 41.207.115.59) ziehe ich mir aus X-Originating-IP: [92.83.249.225] ? Das Spiel mit den Nummern kann ich (noch) nicht ganz nachvollziehen. Gruss Roland From kai_postfix at fuerstenberg.ws Tue Nov 17 09:41:11 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 09:41:11 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B024868.1060702@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <4B015239.5030802@fuerstenberg.ws> <4B016AF0.6030006@x-provi.de> <4B0176E6.1060803@fuerstenberg.ws> <4B018577.7010604@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> Message-ID: <4B0261A7.3000006@fuerstenberg.ws> Hallo Norbert, Norbert Gerhards schrieb am 17.11.2009 07:53: > wenn ich als öffentliche IPs ein C-Class-Netz > 193.96.xxx.0/24 habe, und mein internes LAN > 10.1.1.0/24 ist, > ist dann laut Kai eine Zeile in main.cf wie: > > mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > > gefährlich bis tödlich für solche von ihm vermutete > Spammer-Attacken? Ich würde mal sagen, dass es grundsätzlich gefährlich bis tödlich ist, wenn jemand mittels einer gespooften Adresse in deinen Rechner reinkommt, unabhängig davon, ob er nun ein Hacker, ein Spammer oder sonstwas ist, und unabhängig davon, ob er Port 22, 25, 80, 10024 oder sonst einen benutzt. Im Falle von Postfix würde ich jedoch den Parameter mynetworks so weit wie möglich einschränken: mynetworks = 193.96.xxx.0/24 10.1.1.0/24 127.0.0.1 (mit IPv6 kenne ich mich jetzt nicht aus, daher weggelassen) aus http://tools.ietf.org/html/draft-iana-rfc3330bis-11: 127.0.0.0/8 - This block is assigned for use as the Internet host loopback address. A datagram sent by a higher level protocol to an address anywhere within this block loops back inside the host. This is ordinarily implemented using only 127.0.0.1/32 for loopback. As described in [RFC1122], Section 3.2.1.3, addresses within the entire 127.0.0.0/8 block do not legitimately appear on any network anywhere. Insofern halte ich die Verwendung des ganzen 127/8-Blockes für unsinnig. Außerdem wäre es mit Sicherheit vorteilhaft zu prüfen, ob die IP-Adresse, mit der eine Verbindung zu deinem Rechner aufgebaut wird, auch zu der Netzwerkkarte passt, zu der verbunden wird. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From kai_postfix at fuerstenberg.ws Tue Nov 17 09:56:51 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 09:56:51 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B025AC0.3080304@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> <200911170836.52083.p.heinlein@heinlein-support.de> <4B025AC0.3080304@ib-gerhards.de> Message-ID: <4B026553.6080003@fuerstenberg.ws> Norbert Gerhards schrieb am 17.11.2009 09:11: > Ich habe mich halt gefragt, ob es 'sicherer' wäre, > statt des kompl. C-class-Netzes hier nur die auf > diesem einen Server laufenden IP-Adressen in der > Form > 193.96.xxx.61/32 193.96.xxx.62/32 193.96.xxx.63/32 > und die loopback-Adr. generell mit > 127.0.0.1/32 > anzugeben? Letzteres auf jeden Fall (meine Meinung, s.a. meinen anderen Beitrag). Bezüglich des Class-C-Netzes stelle ich eine Gegenfrage: Wie sicher kannst du sein, dass die IP-Adresse auch zum richtigen Host gehört? Eigentlich gar nicht, außer es handelt sich um ein lokales Netz. Bzw: Würdest du nicht stutzig werden, wenn plötzlich eine Verbindung von einer IP aus deinem Netz aufgebaut wird, die du derzeit gar nicht vergeben hast? Würdest du dieser vertrauen? Das Problem heißt nicht "mynetworks", sondern "permit_mynetworks". -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From kai_postfix at fuerstenberg.ws Tue Nov 17 10:03:17 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 10:03:17 +0100 Subject: [Postfixbuch-users] DKIM signieren mit AMAVISD-NEW In-Reply-To: <4B025CBD.1050204@esigma-technology.com> References: <4B025CBD.1050204@esigma-technology.com> Message-ID: <4B0266D5.4030708@fuerstenberg.ws> Max Bidlingmaier schrieb am 17.11.2009 09:20: > Hallo, Hallo Max, > ich betreibe einen Mailserver postfix mit amavis. Amavis ist über > smtpd_proxy_filter eingebunden. Nun möchte ich Mails von eigenen Domains > DKIM signieren. > > Zu diesem Thema habe ich folgende Webseite gefunden: > http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim > > > Allerdings wird hier von conten_filter ausgegangen, in meiner > Konfiguration mit proxy_filter sorgt diese Konfiguration dann für diese > Meldung: > warning: access table regexp:/etc/postfix/tag_as_originating.re: with > smtpd_proxy_filter specified, action FILTER is unavailable > > sprich der Filter wird nicht ausgeführt. > > Gibt es eine sinnvolle Möglichkeit ausgehende Mails DKIM zu signieren > während smtpd_proxy_filter aktiv ist? Liefere die Mails über submission ein und schicke sie dann auf einem anderen Port zu Amavis. Amavis kann dann mittels einer Policy-Bank diese Mails signieren. Mails über Port 25 werden hier allerdings nicht signiert. Den FILTER benötigst du dann nicht mehr. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From pkoch at bgc-jena.mpg.de Tue Nov 17 10:15:58 2009 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Tue, 17 Nov 2009 10:15:58 +0100 Subject: [Postfixbuch-users] Versenden von extern geht nicht (immer) ... Message-ID: <4B0269CE.5090001@bgc-jena.mpg.de> Hallo, ich habe gerade eine Mail von meinem Chef bekommen, der mit seinem MAC mal wieder Probleme hat mails abzuliefern. Verwendet wird Mac-Mail. Unser Server nimmt über TLS oder SSL nach Anmeldung Mails von extern an. Wenn wir hier in Deutschland das ganze testen (via DSL) geht (natürlich) alles. Im Log sehe ich nur folgendes (s.Anhang). Hat jemand eine Idee, a) woran es leigen könnte und b) wie man es weiter eingrenzen kann ? Wie gesgt mit einem MAC mit MACMAIL über DSL *geht* es, d.h. der Fehler tritt zumindest nicht immer auf. Debug kann (will) ich nicht so gerne für längere Zeit einschalten, da der Rechner auch als Mailgate arbeitet. Das wird dann schnell sehr groß. Hat jemand eine Idee ? Vielen Dank, Peer Nov 17 09:36:18 bahama postfix/smtpd[32398]: connect from unknown[150.146.21.58] Nov 17 09:36:18 bahama postfix/smtpd[32398]: lost connection after CONNECT from unknown[150.146.21.58] Nov 17 09:36:18 bahama postfix/smtpd[32398]: disconnect from unknown[150.146.21.58] Nov 17 09:36:18 bahama postfix/smtpd[32428]: connect from unknown[150.146.21.58] Nov 17 09:37:26 bahama postfix/smtpd[32428]: SSL_accept error from unknown[150.146.21.58]: -1 Nov 17 09:37:26 bahama postfix/smtpd[32428]: lost connection after CONNECT from unknown[150.146.21.58] Nov 17 09:37:26 bahama postfix/smtpd[32428]: disconnect from unknown[150.146.21.58] Nov 17 09:39:13 bahama postfix/smtpd[32189]: connect from unknown[150.146.21.58] Nov 17 09:39:13 bahama postfix/smtpd[32189]: lost connection after CONNECT from unknown[150.146.21.58] -- Mit freundlichem Gruß Peer-Joachim Koch _________________________________________________________ Max-Planck-Institut fuer Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : pkoch.vcf Dateityp : text/x-vcard Dateigröße : 304 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5879 bytes Beschreibung: S/MIME Cryptographic Signature URL : From mbidlingmaier at esigma-technology.com Tue Nov 17 10:50:21 2009 From: mbidlingmaier at esigma-technology.com (Max Bidlingmaier) Date: Tue, 17 Nov 2009 10:50:21 +0100 Subject: [Postfixbuch-users] DKIM signieren mit AMAVISD-NEW In-Reply-To: <4B0266D5.4030708@fuerstenberg.ws> References: <4B025CBD.1050204@esigma-technology.com> <4B0266D5.4030708@fuerstenberg.ws> Message-ID: <4B0271DD.1010909@esigma-technology.com> Hallo Kai, leider ist submission keine wirkliche Alternative, da ich dann alle meine Nutzer dazu bringen müsste ihre Mailer umzukonfigurieren. grüße Max Kai Fürstenberg schrieb: > Max Bidlingmaier schrieb am 17.11.2009 09:20: >> Hallo, > > Hallo Max, > >> ich betreibe einen Mailserver postfix mit amavis. Amavis ist über >> smtpd_proxy_filter eingebunden. Nun möchte ich Mails von eigenen Domains >> DKIM signieren. >> >> Zu diesem Thema habe ich folgende Webseite gefunden: >> http://www.ijs.si/software/amavisd/amavisd-new-docs.html#dkim >> >> >> Allerdings wird hier von conten_filter ausgegangen, in meiner >> Konfiguration mit proxy_filter sorgt diese Konfiguration dann für diese >> Meldung: >> warning: access table regexp:/etc/postfix/tag_as_originating.re: with >> smtpd_proxy_filter specified, action FILTER is unavailable >> >> sprich der Filter wird nicht ausgeführt. >> >> Gibt es eine sinnvolle Möglichkeit ausgehende Mails DKIM zu signieren >> während smtpd_proxy_filter aktiv ist? > > Liefere die Mails über submission ein und schicke sie dann auf einem > anderen Port zu Amavis. Amavis kann dann mittels einer Policy-Bank diese > Mails signieren. Mails über Port 25 werden hier allerdings nicht > signiert. Den FILTER benötigst du dann nicht mehr. > -- ________________________ Max Bidlingmaier IT-Administration e.sigma Technology AG Ehrenbergstraße 11 98693 Ilmenau / Germany Tel.: +49 (0) 3677 668 230 Fax.: +49 (0) 3677 668 2333 e.sigma Technology AG, Ehrenbergstr. 11, 98693 Ilmenau Vorstand / General Manager: Detlef Mämpel Vors. d. AR / Supervisory Board Chairman: Joseph Müllner Registergericht / Trade Registry : Amtsgericht Jena HRB 500 638 Geschäftssitz / Business Location: Ilmenau Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden. From n.gerhards at ib-gerhards.de Tue Nov 17 10:57:19 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 17 Nov 2009 10:57:19 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B026553.6080003@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> <200911170836.52083.p.heinlein@heinlein-support.de> <4B025AC0.3080304@ib-gerhards.de> <4B026553.6080003@fuerstenberg.ws> Message-ID: <4B02737F.4090500@ib-gerhards.de> Danke, Kai, das ist erhellend und leuchtet ein. Nur weil die ganze Literatur voll ist mit mynetworks = 123.456.789.0/24 127.0.0.0/8 etc. Beispielen, tendiert man als Anfänger dazu, dass als gesicherten Stand einfach zu übernehmen. Klar habe ich nicht alle 254 IPs bereits vergeben! Ich beschränke mich in Zukunft pro Server NUR auf die IPs, die auch darauf verdrahtet sind. ;-) Danke und viele Grüße Norbert Kai Fürstenberg schrieb: > Norbert Gerhards schrieb am 17.11.2009 09:11: >> Ich habe mich halt gefragt, ob es 'sicherer' wäre, >> statt des kompl. C-class-Netzes hier nur die auf >> diesem einen Server laufenden IP-Adressen in der >> Form >> 193.96.xxx.61/32 193.96.xxx.62/32 193.96.xxx.63/32 >> und die loopback-Adr. generell mit >> 127.0.0.1/32 >> anzugeben? > > Letzteres auf jeden Fall (meine Meinung, s.a. meinen anderen Beitrag). > Bezüglich des Class-C-Netzes stelle ich eine Gegenfrage: Wie sicher > kannst du sein, dass die IP-Adresse auch zum richtigen Host gehört? > Eigentlich gar nicht, außer es handelt sich um ein lokales Netz. Bzw: > Würdest du nicht stutzig werden, wenn plötzlich eine Verbindung von > einer IP aus deinem Netz aufgebaut wird, die du derzeit gar nicht > vergeben hast? Würdest du dieser vertrauen? > > Das Problem heißt nicht "mynetworks", sondern "permit_mynetworks". > From n.gerhards at ib-gerhards.de Tue Nov 17 11:13:43 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 17 Nov 2009 11:13:43 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B02737F.4090500@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> <200911170836.52083.p.heinlein@heinlein-support.de> <4B025AC0.3080304@ib-gerhards.de> <4B026553.6080003@fuerstenberg.ws> <4B02737F.4090500@ib-gerhards.de> Message-ID: <4B027757.90008@ib-gerhards.de> Noch eine ergänzende Frage dazu: Was ist dann mit den Einträgen in der master.cf: smtp inet n - n - 20 smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o smtpd_client_connection_count_limit=10 -o content_filter= 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks Sollte / darf man hier ebenfalls die 127er Netze auf die eine Loopback-Adr. 127.0.0.1/32 beschränken? MfG Norbert Norbert Gerhards schrieb: > Danke, Kai, > > das ist erhellend und leuchtet ein. > > Nur weil die ganze Literatur voll ist mit > mynetworks = 123.456.789.0/24 127.0.0.0/8 etc. > Beispielen, tendiert man als Anfänger dazu, > dass als gesicherten Stand einfach zu übernehmen. > > Klar habe ich nicht alle 254 IPs bereits vergeben! > > Ich beschränke mich in Zukunft pro Server NUR auf > die IPs, die auch darauf verdrahtet sind. ;-) > > Danke und viele Grüße > > Norbert > > Kai Fürstenberg schrieb: >> Norbert Gerhards schrieb am 17.11.2009 09:11: >>> Ich habe mich halt gefragt, ob es 'sicherer' wäre, >>> statt des kompl. C-class-Netzes hier nur die auf >>> diesem einen Server laufenden IP-Adressen in der >>> Form >>> 193.96.xxx.61/32 193.96.xxx.62/32 193.96.xxx.63/32 >>> und die loopback-Adr. generell mit >>> 127.0.0.1/32 >>> anzugeben? >> >> Letzteres auf jeden Fall (meine Meinung, s.a. meinen anderen Beitrag). >> Bezüglich des Class-C-Netzes stelle ich eine Gegenfrage: Wie sicher >> kannst du sein, dass die IP-Adresse auch zum richtigen Host gehört? >> Eigentlich gar nicht, außer es handelt sich um ein lokales Netz. Bzw: >> Würdest du nicht stutzig werden, wenn plötzlich eine Verbindung von >> einer IP aus deinem Netz aufgebaut wird, die du derzeit gar nicht >> vergeben hast? Würdest du dieser vertrauen? >> >> Das Problem heißt nicht "mynetworks", sondern "permit_mynetworks". >> > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From kai_postfix at fuerstenberg.ws Tue Nov 17 11:59:06 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 11:59:06 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B027757.90008@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> <200911170836.52083.p.heinlein@heinlein-support.de> <4B025AC0.3080304@ib-gerhards.de> <4B026553.6080003@fuerstenberg.ws> <4B02737F.4090500@ib-gerhards.de> <4B027757.90008@ib-gerhards.de> Message-ID: <4B0281FA.8040300@fuerstenberg.ws> Norbert Gerhards schrieb am 17.11.2009 11:13: > Noch eine ergänzende Frage dazu: > > Was ist dann mit den Einträgen in der master.cf: > > smtp inet n - n - 20 smtpd > -o smtpd_proxy_filter=127.0.0.1:10024 > -o smtpd_client_connection_count_limit=10 > -o content_filter= > > 127.0.0.1:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o receive_override_options=no_unknown_recipient_checks > > Sollte / darf man hier ebenfalls die 127er Netze auf die eine > Loopback-Adr. 127.0.0.1/32 beschränken? Hier ist es genauso. Warum solltest du das Netz angeben, wenn Adressen aus diesem Netz nie niemals nie benutzt werden (außer natürlich 127.0.0.1): As described in [RFC1122], Section 3.2.1.3, addresses within the entire 127.0.0.0/8 block do not legitimately appear on any network anywhere. Ich halte es natürlich auch für sinnvoll, diesen Adressblock per iptables-Regel zu reglementieren. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From Rainer.Wiesenfarth at inpho.de Tue Nov 17 12:01:12 2009 From: Rainer.Wiesenfarth at inpho.de (Rainer Wiesenfarth) Date: Tue, 17 Nov 2009 12:01:12 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B02737F.4090500@ib-gerhards.de> Message-ID: From: Norbert Gerhards > Nur weil die ganze Literatur voll ist mit > mynetworks = 123.456.789.0/24 127.0.0.0/8 etc. > Beispielen, tendiert man als Anfänger dazu, > dass als gesicherten Stand einfach zu übernehmen. > > Klar habe ich nicht alle 254 IPs bereits vergeben! > > Ich beschränke mich in Zukunft pro Server NUR auf > die IPs, die auch darauf verdrahtet sind. ;-) Hmm, na ja, ich würde sagen, das ist unnötig, ... ... zumindest wenn man - was durchaus Sinn macht - schon mit der Firewall sicher stellt, dass auf jedem Interface nur sauber und richtig adressierte Pakete herein kommen. Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- INPHO GmbH * Smaragdweg 1 * 70174 Stuttgart * Germany phone: +49 711 2288 10 * fax: +49 711 2288 111 * web: www.inpho.de place of business: Stuttgart * managing director: Johannes Saile commercial register: Stuttgart, HRB 9586 Leader in Photogrammetry and Digital Surface Modelling -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 6878 bytes Beschreibung: nicht verfügbar URL : From syncros_beach at yahoo.de Tue Nov 17 12:09:08 2009 From: syncros_beach at yahoo.de (Raimar Grosse) Date: Tue, 17 Nov 2009 11:09:08 +0000 (GMT) Subject: [Postfixbuch-users] Weitergeleitete Mail von Exchange an externe Adressen zeigen ein <> From im mail.log Message-ID: <165493.52193.qm@web24006.mail.ird.yahoo.com> Moin, also mein Problem ist folgendes: Der Exchange 2007 Server übergibt seine Mails an einen Postfix Server, dieser benutzt einen Relayhost vom Provider. Bei Mails, die normal aus dem Netzwerk gesendet werden, funktioniert alles einwandfrei. Wir haben jetzt in Exchange einige externe Mailadressen (z.B. vom gmx oder freenet) eingetragen. An diese kann man auch problemlos mailen. Nur wenn ich diese externen Mailadressen als Weiterleitung einrichte, sehe ich auf dem Postfix Server in den Logs, dass diese Mails als Absender nur <> haben. Das macht natürlich Probleme beim Provider. Im Exchange Message Tracking habe ich sehen können, dass dort der Absender korrekt erkannt wird, lediglich der Return-Path wird von der Adresse des Absenders auf <> geändert. Laut MS Doku ist ein <> Wert für den Return Path durchaus i.O. (warum habe ich noch nicht herausbekommen). Jetzt ist meine Frage, ob Postfix darufhin auch das From auf <> ändert und wenn ja, wie ich das lösen kann. Oder liegt das Problem nur bei Exchange. Vielen Dank schonmal Raimar -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From kai_postfix at fuerstenberg.ws Tue Nov 17 12:25:28 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 12:25:28 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B02737F.4090500@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <4B019EC4.8060807@fuerstenberg.ws> <4B024868.1060702@ib-gerhards.de> <200911170836.52083.p.heinlein@heinlein-support.de> <4B025AC0.3080304@ib-gerhards.de> <4B026553.6080003@fuerstenberg.ws> <4B02737F.4090500@ib-gerhards.de> Message-ID: <4B028828.5030603@fuerstenberg.ws> Norbert Gerhards schrieb am 17.11.2009 10:57: > Nur weil die ganze Literatur voll ist mit > mynetworks = 123.456.789.0/24 127.0.0.0/8 etc. > Beispielen, tendiert man als Anfänger dazu, > dass als gesicherten Stand einfach zu übernehmen. Es ist ja auch nicht falsch, das so zu machen. Vielleicht unlogisch oder unsicher, aber eben nicht falsch. Ich kann auch einfach ein iptables -A INPUT -i eth1 -s 127.0.0.0/8 -j DROP nehmen, dann kann ich mir die Gedanken zu mynetworks auch (vorerst) sparen. Vielleicht geht die Literatur auch von einer derartigen iptables-Regel von vornherein schon aus. > Ich beschränke mich in Zukunft pro Server NUR auf > die IPs, die auch darauf verdrahtet sind. ;-) Du könntest den Mailversand zwischen den Servern z.B. mit smtp-auth absichern, dann kannst du mynetworks nur auf 127.0.0.1 einstellen (wem sollte man mehr vertrauen als lo). Oder du verdrahtest die Server untereinander in einem separaten Netz. Es gibt etliche Möglichkeiten. Aber das ist Infrastruktur, und jeder muss sich seinen eigenen Plan machen, wie er diese aufbaut. In die Planung gehören natürlich auch Überlegungen zu möglichen Angriffspunkten rein und wie diese bestmöglich eliminiert werden können. IP-Spoofing ist vielleicht nicht der aktuellste, aber es ist einer. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From a.bischof at gmx.net Tue Nov 17 13:45:55 2009 From: a.bischof at gmx.net (Andre Bischof) Date: Tue, 17 Nov 2009 13:45:55 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht Message-ID: <4B029B03.5090904@gmx.net> Hallo zusammen, ich habe hier unter Debian Testing versehentlich postfix gelöscht. Macht ja nix (dachte ich), eben neu installiert (2.6.5-3), ohne Konfiguration (um die vorhandene beizubehalten) und /etc/postfix aus dem Backup heute Nacht zurückgespielt. Leider bringt postfix beim Starten (/etc/init.d/postfix start) nun Fehler, bzw. startet gar nicht. Zuerst kam: postfix/postfix-script: fatal: usage: postfix start (or stop, reload, abort, flush, check, set-permissions, upgrade-configuration) postsuper: fatal: scan_dir_push: open directory hold: No such file or directory und immer was von "integrety check failed". Zu dem ersten fand ich dann über google etwas, dass /var/spool/postfix/hold nicht vorhanden wäre, und dass man dass dann manuell anlegen müsse, damit's läuft, hab ich: drwxr-xr-x 2 postfix root 4,0K 17. Nov 12:55 hold Nun gibt # /etc/init.d/postfix start Starting Postfix Mail Transport Agent: postfixpostfix/postfix-script: fatal: usage: postfix start (or stop, reload, abort, flush, check, set-permissions, upgrade-configuration) postfix/postfix-script: fatal: Postfix integrity check failed! failed! im mail.log das gleiche. # /etc/init.d/postfix check postfix/postfix-script: fatal: usage: postfix start (or stop, reload, abort, flush, check, set-permissions, upgrade-configuration) Laufen tut der Prozess danach aber nicht (master, postfix etc.) Sollte ich upgrade-configuration durchführen? Wie komme ich dem Fehler sonst auf die Spur? Viele Grüße Andre -- Personal weblog and more: http://bischof.homelinux.net From leo.unglaub at gmail.com Tue Nov 17 14:10:33 2009 From: leo.unglaub at gmail.com (Leo Unglaub) Date: Tue, 17 Nov 2009 14:10:33 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <4B029B03.5090904@gmx.net> References: <4B029B03.5090904@gmx.net> Message-ID: Hallo ! Bitte schicke immer die genauen Fehlermeldungen mit. Des weiteren poste bitte ein dpkg -l postfix*. Viele GRüße Leo -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From A.Bischof at gmx.net Tue Nov 17 15:30:02 2009 From: A.Bischof at gmx.net (Andre Bischof) Date: Tue, 17 Nov 2009 15:30:02 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: References: <4B029B03.5090904@gmx.net> Message-ID: <20091117143002.139970@gmx.net> Hallo Leo > Hallo ! > Bitte schicke immer die genauen Fehlermeldungen mit. Des weiteren poste > bitte ein dpkg -l postfix*. > Viele GRüße > Leo Die Fehlermeldungen sind schon die aus meinem ersten Post, mehr sagt wie gesagt weder /etc/init.d/postfix start/check noch das mail.log/syslog, das ist ja mein Problem, sonst könnte ich vielleicht selbst mehr beheben. Wenn du einen Tipp hast, wie ich mehr zu sehen bekomme, wäre ich da sehr froh drum! Hier noch die Ausgabe von dpkg: # dpkg -l postfix* Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten | Status=Nicht/Installiert/Config/U=Entpackt/Fehlgeschl. Konfiguration/ Halb installiert/Trigger erWartet/Trigger anhängig |/ Fehler?=(kein)/Halten/R=Neuinst notw/X=beide (Status, Fehler: GROSS=schlecht) ||/ Name Version Beschreibung +++-=======================================-=======================================-============================================================================================== ii postfix 2.6.5-3 High-performance mail transport agent un postfix-cdb (keine Beschreibung vorhanden) un postfix-ldap (keine Beschreibung vorhanden) in postfix-mysql (keine Beschreibung vorhanden) un postfix-pcre (keine Beschreibung vorhanden) un postfix-pgsql (keine Beschreibung vorhanden) un postfix-tls (keine Beschreibung vorhanden) Viele Grüße Andre -- Jetzt kostenlos herunterladen: Internet Explorer 8 und Mozilla Firefox 3.5 - sicherer, schneller und einfacher! http://portal.gmx.net/de/go/atbrowser From A.Bischof at gmx.net Tue Nov 17 15:30:02 2009 From: A.Bischof at gmx.net (Andre Bischof) Date: Tue, 17 Nov 2009 15:30:02 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: References: <4B029B03.5090904@gmx.net> Message-ID: <20091117143002.139970@gmx.net> Hallo Leo > Hallo ! > Bitte schicke immer die genauen Fehlermeldungen mit. Des weiteren poste > bitte ein dpkg -l postfix*. > Viele GRüße > Leo Die Fehlermeldungen sind schon die aus meinem ersten Post, mehr sagt wie gesagt weder /etc/init.d/postfix start/check noch das mail.log/syslog, das ist ja mein Problem, sonst könnte ich vielleicht selbst mehr beheben. Wenn du einen Tipp hast, wie ich mehr zu sehen bekomme, wäre ich da sehr froh drum! Hier noch die Ausgabe von dpkg: # dpkg -l postfix* Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten | Status=Nicht/Installiert/Config/U=Entpackt/Fehlgeschl. Konfiguration/ Halb installiert/Trigger erWartet/Trigger anhängig |/ Fehler?=(kein)/Halten/R=Neuinst notw/X=beide (Status, Fehler: GROSS=schlecht) ||/ Name Version Beschreibung +++-=======================================-=======================================-============================================================================================== ii postfix 2.6.5-3 High-performance mail transport agent un postfix-cdb (keine Beschreibung vorhanden) un postfix-ldap (keine Beschreibung vorhanden) in postfix-mysql (keine Beschreibung vorhanden) un postfix-pcre (keine Beschreibung vorhanden) un postfix-pgsql (keine Beschreibung vorhanden) un postfix-tls (keine Beschreibung vorhanden) Viele Grüße Andre -- Jetzt kostenlos herunterladen: Internet Explorer 8 und Mozilla Firefox 3.5 - sicherer, schneller und einfacher! http://portal.gmx.net/de/go/atbrowser From kai_postfix at fuerstenberg.ws Tue Nov 17 16:24:15 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 16:24:15 +0100 Subject: [Postfixbuch-users] Weitergeleitete Mail von Exchange an externe Adressen zeigen ein <> From im mail.log In-Reply-To: <165493.52193.qm@web24006.mail.ird.yahoo.com> References: <165493.52193.qm@web24006.mail.ird.yahoo.com> Message-ID: <4B02C01F.6090303@fuerstenberg.ws> Hallo Raimar, Raimar Grosse schrieb am 17.11.2009 12:09: > Der Exchange 2007 Server übergibt seine Mails an einen Postfix Server, > dieser benutzt einen Relayhost vom Provider. Bei Mails, die normal aus > dem Netzwerk gesendet werden, funktioniert alles einwandfrei. > Wir haben jetzt in Exchange einige externe Mailadressen (z.B. vom gmx > oder freenet) eingetragen. An diese kann man auch problemlos mailen. > Nur wenn ich diese externen Mailadressen als Weiterleitung einrichte, > sehe ich auf dem Postfix Server in den Logs, dass diese Mails als > Absender nur <> haben. Das macht natürlich Probleme beim Provider. > Im Exchange Message Tracking habe ich sehen können, dass dort der > Absender korrekt erkannt wird, lediglich der Return-Path wird von der > Adresse des Absenders auf <> geändert. > Laut MS Doku ist ein <> Wert für den Return Path durchaus i.O. (warum > habe ich noch nicht herausbekommen). "<>" ist ein korrekter Wert. Allerdings nur für Bounces. > Jetzt ist meine Frage, ob Postfix darufhin auch das From auf <> ändert > und wenn ja, wie ich das lösen kann. Oder liegt das Problem nur bei > Exchange. Meinst du das "From:" in der Mail, also im Header, oder das "MAIL FROM" aus dem Envelope? Ich vermute letzteres, da dies letztlich auch im Log auftaucht. Üblicherweise ist die Angabe "Return Path" in der Mail identisch mit dem MAIL FROM des Envelopes. Das "From:" im Mail-Header wird von Postfix nicht angerührt (außer, du sagst es ihm). Insofern generiert einer deiner Server einen Bounce, den er aber offenbar gar nicht generieren soll. Nichtsdestotrotz können wir dir ohne ein entsprechendes Log nicht sagen, was dein Postfix mit besagter Mail anstellt. Und für den Fall, dass dein Postfix den Bounce erstellt, wäre ein 'postconf -n' ebenfalls hilfreich. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From kai_postfix at fuerstenberg.ws Tue Nov 17 16:35:22 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Nov 2009 16:35:22 +0100 Subject: [Postfixbuch-users] Versenden von extern geht nicht (immer) ... In-Reply-To: <4B0269CE.5090001@bgc-jena.mpg.de> References: <4B0269CE.5090001@bgc-jena.mpg.de> Message-ID: <4B02C2BA.9060905@fuerstenberg.ws> Dr.Peer-Joachim Koch schrieb am 17.11.2009 10:15: > Hallo, > > ich habe gerade eine Mail von meinem Chef bekommen, > der mit seinem MAC mal wieder Probleme hat mails abzuliefern. > > Verwendet wird Mac-Mail. Unser Server nimmt über TLS oder SSL > nach Anmeldung Mails von extern an. > > Wenn wir hier in Deutschland das ganze testen (via DSL) geht > (natürlich) alles. Im Log sehe ich nur folgendes (s.Anhang). > > Hat jemand eine Idee, a) woran es leigen könnte und b) wie man > es weiter eingrenzen kann ? > > Wie gesgt mit einem MAC mit MACMAIL über DSL *geht* es, d.h. der > Fehler tritt zumindest nicht immer auf. Debug kann (will) ich nicht so > gerne für längere Zeit einschalten, da der Rechner auch als Mailgate > arbeitet. Das wird dann schnell sehr groß. Du meinst _ein_ Mac mit MacMail geht, nur der von deinem Chef nicht. ;-) > Hat jemand eine Idee ? [..] > Nov 17 09:37:26 bahama postfix/smtpd[32428]: SSL_accept error from > unknown[150.146.21.58]: -1 [..] setze mal smtpd_tls_log_level=2 in die main.cf und poste nochmal ein Log. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From A.Bischof at gmx.net Tue Nov 17 17:33:42 2009 From: A.Bischof at gmx.net (Andre Bischof) Date: Tue, 17 Nov 2009 17:33:42 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <20091117143002.139970@gmx.net> References: <4B029B03.5090904@gmx.net> <20091117143002.139970@gmx.net> Message-ID: <20091117163342.140010@gmx.net> Hallo, > Hallo Leo > > > Hallo ! > > Bitte schicke immer die genauen Fehlermeldungen mit. Des weiteren poste > > bitte ein dpkg -l postfix*. > > Viele GRüße > > Leo > > Die Fehlermeldungen sind schon die aus meinem ersten Post, mehr sagt wie > gesagt weder /etc/init.d/postfix start/check noch das mail.log/syslog, das > ist ja mein Problem, sonst könnte ich vielleicht selbst mehr beheben. > > Wenn du einen Tipp hast, wie ich mehr zu sehen bekomme, wäre ich da sehr > froh drum! Es scheint ein Problem mit dem init-Skript zu sein, wenn ich nur postfix start eingebe, startet Postfix: ==> /var/log/mail.warn <== Nov 17 17:25:22 linux postfix/postfix-script[21990]: fatal: usage: postfix start (or stop, reload, abort, flush, check, set-permissions, upgrade-configuration) ==> /var/log/mail.info <== Nov 17 17:25:22 linux postfix/postfix-script[22052]: starting the Postfix mail system Nov 17 17:25:22 linux postfix/master[22053]: daemon started -- version 2.6.5, configuration /etc/postfix allerdings kommt dann bei der Mailzustellung, wenn ich fetchmail einschalte: Nov 17 17:25:44 linux postfix/postfix-script[22075]: the Postfix mail system is running: PID: 22053 Nov 17 17:25:51 linux postfix/smtpd[22076]: connect from node-rs1.smtp.com[98.129.4.184] Nov 17 17:25:51 linux postfix/smtpd[22076]: fatal: non-null host address bits in "192.168.0.0/8", perhaps you should use "192.0.0.0/8" instead ==> /var/log/mail.err <== Nov 17 17:25:51 linux postfix/smtpd[22076]: fatal: non-null host address bits in "192.168.0.0/8", perhaps you should use "192.0.0.0/8" instead ==> /var/log/mail.log <== Nov 17 17:25:51 linux postfix/smtpd[22076]: fatal: non-null host address bits in "192.168.0.0/8", perhaps you should use "192.0.0.0/8" instead ==> /var/log/mail.warn <== Nov 17 17:25:51 linux postfix/smtpd[22076]: fatal: non-null host address bits in "192.168.0.0/8", perhaps you should use "192.0.0.0/8" instead ==> /var/log/mail.info <== Nov 17 17:25:52 linux postfix/master[22053]: warning: process /usr/lib/postfix/smtpd pid 22076 exit status 1 Nov 17 17:25:52 linux postfix/master[22053]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling Und dieses throttling macht's seeehr langsam, keine Ahnung warum jetzt der smtpd abschmiert? Irgend'ne Idee dazu? Andre -- DSL-Preisknaller: DSL Komplettpakete von GMX schon für 16,99 Euro mtl.!* Hier klicken: http://portal.gmx.net/de/go/dsl02 From a.bischof at gmx.net Tue Nov 17 17:49:40 2009 From: a.bischof at gmx.net (Andre Bischof) Date: Tue, 17 Nov 2009 17:49:40 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <20091117143002.139970@gmx.net> References: <4B029B03.5090904@gmx.net> <20091117143002.139970@gmx.net> Message-ID: <4B02D424.7060706@gmx.net> Hallo, ich hab jetzt in der main.cf noch mynetworks auf 192.0.0.0/8 geändert (war 192.168.0.0/8, was im mail.log als falsch angezeigt wurde), jetzt läuft scheinbar auch der smtpd ohne abzuschmieren, jedenfalls hat er alle per fetchmail eingehenden Mails von mehreren Stunden anstandslos bearbeitet. Allerdings zeigt mir das log jetzt: ==> /var/log/mail.warn <== Nov 17 17:37:49 linux postfix/smtp[22328]: warning: connect to private/scache: No such file or directory Nov 17 17:37:49 linux postfix/smtp[22331]: warning: connect to private/scache: No such file or directory Hat jemand dazu 'nen Tipp? Andre -- Personal weblog and more: http://bischof.homelinux.net From Helga.Mayer at uni-hohenheim.de Tue Nov 17 18:36:20 2009 From: Helga.Mayer at uni-hohenheim.de (Mayer) Date: Tue, 17 Nov 2009 18:36:20 +0100 Subject: [Postfixbuch-users] Spam von Freemailern wie z.B., Hotmail.com Message-ID: <4B02DF14.7020809@uni-hohenheim.de> Roland Schmid schrieb: > z.B. in local.cf > > header HEADER_CHECKS_SPAM_ORIGIN X-Originating-IP =~ /.*\[(41\.2 > > 07\.|115\.59\.|41\.189\.|41\.191\.|41\.241\.|41\.202\.|89\.186\.)/ > > score HEADER_CHECKS_SPAM_ORIGIN 6 > > describe HEADER_CHECKS_SPAM_ORIGIN Spam aus Spamnetzen ueber > > freemailer > > die IP (im Deinem Bsp. 41.207.115.59) ziehe ich mir aus > X-Originating-IP: [92.83.249.225] ? Ja. Die Yahoo Variante ist: header HEADER_CHECKS_SPAM_ORIGIN Received =~ /.*\[(41\.207\.|115\.59\.|41\.189\.|41\.191\.|41\.241\.|41\.202\.|89\.186\.).*by yahoo/ > Das Spiel mit den Nummern kann ich (noch) nicht ganz nachvollziehen. Das sind die Subnetze, aus denen unsere Benutzer haeufig Erbschaften und grosse Gewinne angeboten bekommen. Historisch gewachsen. Die Rohdaten bekomme ich ueber den Button 'Spammeldung' in Horde-Webmail und aus der 2.ten IP Spalte im Amavis Log: Nov 17 17:31:12 smtp1 amavis[26578]: (26578-05) Passed SPAMMY, ORIGINATING LOCAL [203.209.250.182] [41.210.9.56] Viele Gruesse Helga Mayer From Jammer at gmx.de Tue Nov 17 20:18:52 2009 From: Jammer at gmx.de (Jan Scholten) Date: Tue, 17 Nov 2009 20:18:52 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <4B02D424.7060706@gmx.net> References: <4B029B03.5090904@gmx.net> <20091117143002.139970@gmx.net> <4B02D424.7060706@gmx.net> Message-ID: <1643954684.20091117201852@gmx.de> > ich hab jetzt in der main.cf noch mynetworks auf 192.0.0.0/8 geändert > (war 192.168.0.0/8, was im mail.log als falsch angezeigt wurde), jetzt > läuft scheinbar auch der smtpd ohne abzuschmieren, jedenfalls hat er > alle per fetchmail eingehenden Mails von mehreren Stunden anstandslos > bearbeitet. Willst Du wirklich ein Class A Netz von 192.0.0.0 freischalten? RFC Adressen sind NUR 192.168.0.0/16, d.h. jeder Mailserver der aus einem 192.X.Y.Z kommt wird behandelt als wäre es deiner.. z.B. die Rechner von der Uni in Wien: http://dnstools.com/?count=1&arin=on&portNum=80&target=192.102.1.3&submit=Go%21 Oder die der Uni in Sussex (GB) http://dnstools.com/?count=1&arin=on&portNum=80&target=192.12.1.3&submit=Go%21 ganz toll: auch das amerkianische Verteidigungsministerium: http://dnstools.com/?count=1&arin=on&portNum=80&target=192.253.1.3&submit=Go%21 .. .. Sinnvoller wäre es wohl 192.168.0.0/24 zu nehmen (oder halt was deine lokalen Netze wirklich sind..) > Allerdings zeigt mir das log jetzt: ==>> /var/log/mail.warn <== > Nov 17 17:37:49 linux postfix/smtp[22328]: warning: connect to > private/scache: No such file or directory > Nov 17 17:37:49 linux postfix/smtp[22331]: warning: connect to > private/scache: No such file or directory > Hat jemand dazu 'nen Tipp? Dazu nicht.. Wäre es nicht sinnvoller postfix komplett zu löschen (aptitude purge postfix) und nochmal von Null anfangen? Deine ominösen Probleme hatte ich bislang in keiner Postfix Installation gehabt.. aber an einem unbekannten Zustand (in dem ist es ja nach dem halben löschen anscheined) rumzudoktern erscheint mir nicht sooo prickelnd. Jan -- I may disagree with what you say, but i will defend to the death your right to encrypt it Mit freundlichen Grüßen Jan Scholten mailto:Jammer at gmx.de From a.bischof at gmx.net Tue Nov 17 21:05:33 2009 From: a.bischof at gmx.net (Andre Bischof) Date: Tue, 17 Nov 2009 21:05:33 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <1643954684.20091117201852@gmx.de> References: <4B029B03.5090904@gmx.net> <20091117143002.139970@gmx.net> <4B02D424.7060706@gmx.net> <1643954684.20091117201852@gmx.de> Message-ID: <4B03020D.2040003@gmx.net> Jan Scholten schrieb: >> ich hab jetzt in der main.cf noch mynetworks auf 192.0.0.0/8 geändert >> (war 192.168.0.0/8, was im mail.log als falsch angezeigt wurde), jetzt >> läuft scheinbar auch der smtpd ohne abzuschmieren, jedenfalls hat er >> alle per fetchmail eingehenden Mails von mehreren Stunden anstandslos >> bearbeitet. > Willst Du wirklich ein Class A Netz von 192.0.0.0 freischalten? ... > Sinnvoller wäre es wohl 192.168.0.0/24 zu nehmen (oder halt was deine lokalen Netze wirklich sind..) Nö, alles innerhalb von 192.168.x.x würde mir reichen, ist das dann 192.168.0.0/16? Ich hab nur das eingetragen was mir postfix im log vorschlug. >> Allerdings zeigt mir das log jetzt: > > ==>> /var/log/mail.warn <== >> Nov 17 17:37:49 linux postfix/smtp[22328]: warning: connect to >> private/scache: No such file or directory >> Nov 17 17:37:49 linux postfix/smtp[22331]: warning: connect to >> private/scache: No such file or directory > >> Hat jemand dazu 'nen Tipp? > Dazu nicht.. > Wäre es nicht sinnvoller postfix komplett zu löschen (aptitude purge postfix) und nochmal von Null > anfangen? > > Deine ominösen Probleme hatte ich bislang in keiner Postfix Installation gehabt.. aber an einem > unbekannten Zustand (in dem ist es ja nach dem halben löschen anscheined) rumzudoktern erscheint mir > nicht sooo prickelnd. Hm, eigentlich hatte ich ja genau das. postfix aus Versehen gelöscht bzw. gepurged, jedenfalls war das Verzeichnis /etc/postfix nicht mehr da. Bei der Neuinstallation habe ich wie gesagt "ohne Konfiguration (damit Sie eine bestehende Konfiguration verwenden können)" (aus dem Gedächtnis, nur sinngemäß) ausgewählt, die anderen bezogen sich glaube ich auf die Art der Anbindung von postfix ans Netz. Da ich ja meine Konfiguration zurückspielen wollte, schien mir das passend. Von Null anfangen will ich eigentlich nicht, postfix läuft hier seit mehreren Jahren wirklich großartig (tolles Stück Software!), ab und zu mal was Aufwand beim Anpassen bei major release updates. Wenn ich mich da jetzt wieder eindenken muss, fange ich wieder nahe Null an. Ich könnte mir vorstellen, dass ich eine neuere Version installiert habe als vorher drauf war, das letzte System-Update war einige Tage her (~10?). Vielleicht erklären sich dadurch Probleme wie nicht mehr passende init-Skripte? Viele Grüße Andre -- Personal weblog and more: http://bischof.homelinux.net From p.heinlein at heinlein-support.de Tue Nov 17 21:37:04 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 21:37:04 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <4B02D424.7060706@gmx.net> References: <4B029B03.5090904@gmx.net> <20091117143002.139970@gmx.net> <4B02D424.7060706@gmx.net> Message-ID: <200911172137.04429.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Andre Bischof: > Nov 17 17:37:49 linux postfix/smtp[22328]: warning: connect to > private/scache: No such file or directory > Nov 17 17:37:49 linux postfix/smtp[22331]: warning: connect to > private/scache: No such file or directory > > Hat jemand dazu 'nen Tipp? In der master.cf ist der Dienst scache nicht definiert, der durch ein Versionsupgrade nun nötig geworden ist. Abhilfe: postfix upgrade-configuration ausführen (sieh Postfixbuch Seite 150). Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Nov 17 21:39:03 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 21:39:03 +0100 Subject: [Postfixbuch-users] Neuinstallation klappt nicht In-Reply-To: <4B029B03.5090904@gmx.net> References: <4B029B03.5090904@gmx.net> Message-ID: <200911172139.03234.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Andre Bischof: > postsuper: fatal: scan_dir_push: open directory hold: No such file or > directory > > und immer was von "integrety check failed". "postfix check" ausführen (siehe Seite 150). Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Nov 17 21:40:58 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 21:40:58 +0100 Subject: [Postfixbuch-users] Weitergeleitete Mail von Exchange an externe Adressen zeigen ein <> From im mail.log In-Reply-To: <165493.52193.qm@web24006.mail.ird.yahoo.com> References: <165493.52193.qm@web24006.mail.ird.yahoo.com> Message-ID: <200911172140.58949.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Raimar Grosse: > wenn ich diese externen Mailadressen als Weiterleitung einrichte, sehe > ich auf dem Postfix Server in den Logs, dass diese Mails als Absender > nur <> haben. Das macht natürlich Probleme beim Provider. Im Exchange Unterscheide Envelope und Header! > Message Tracking habe ich sehen können, dass dort der Absender korrekt > erkannt wird, lediglich der Return-Path wird von der Adresse des > Absenders auf <> geändert. Laut MS Doku ist ein <> Wert für den Return > Path durchaus i.O. (warum habe ich noch nicht herausbekommen). Man will damit Probleme durch double-bounces vermeiden. > Jetzt ist meine Frage, ob Postfix darufhin auch das From auf <> ändert > und wenn ja, wie ich das lösen kann. Oder liegt das Problem nur bei > Exchange. Wenn Du es mal testest wirst Du sehen, daß Postfix das From: im Header nicht ändert. Warum sollte er das auch tun? Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Nov 17 21:43:52 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 21:43:52 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B025AC0.3080304@ib-gerhards.de> References: <4B01029A.3000100@x-provi.de> <200911170836.52083.p.heinlein@heinlein-support.de> <4B025AC0.3080304@ib-gerhards.de> Message-ID: <200911172143.53270.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Norbert Gerhards: > Ich habe mich halt gefragt, ob es 'sicherer' wäre, > statt des kompl. C-class-Netzes hier nur die auf > diesem einen Server laufenden IP-Adressen in der > Form > 193.96.xxx.61/32 193.96.xxx.62/32 193.96.xxx.63/32 > und die loopback-Adr. generell mit > 127.0.0.1/32 > anzugeben? Naja, kommt halt drauf an ob es hosts im lokalen Netz gibt, die darüber versenden, oder eben nicht. > Welchen zusätzlichen Trouble handele ich mir damit > gegebenenfalls ein? Naja, wenn Hosts aus dem Subnetz versenden können sollen handelst Du die die Probleme ein, daß diese nicht mehr versenden können (it's not a feature, it's a bug). Wenn es keine Hosts im Subnetz gibt, die darüber versenden können sollen, so handelst Du Dir keine Trouble ein, weil es ist ja alles okay (it's not a bug, it's a feature). Man beachte den Parameter "mynetworks_style" (Seite 83 oben). Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Nov 17 21:47:38 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 21:47:38 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B0261A7.3000006@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B024868.1060702@ib-gerhards.de> <4B0261A7.3000006@fuerstenberg.ws> Message-ID: <200911172147.39241.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Kai Fürstenberg: > Ich würde mal sagen, dass es grundsätzlich gefährlich bis tödlich ist, > wenn jemand mittels einer gespooften Adresse in deinen Rechner Oh, aah, uuuh, oooh. Magic, magic, magic. Das gute Mythos der "einfach mal so" gespooften IP-Adressen ist wieder da. > Außerdem wäre es mit Sicherheit vorteilhaft zu prüfen, ob die > IP-Adresse, mit der eine Verbindung zu deinem Rechner aufgebaut wird, > auch zu der Netzwerkkarte passt, zu der verbunden wird. Theoretisch ist IP-Spoofing möglich. Praktisch kann man es vergessen sich jetzt ins Hemd zu machen daß jemand einen One-Way-Spoof ohne Rückkanal macht und dann es auch noch schafft darüber blind eine bidirektionale TCP-Sitzung laufen zu lassen. Und das ganze für -- Täterätätätätät! -- eine versandte E-Mail. Hurra! Mir würden vorher viele Hundert weit größere Probleme einfallen. Aber, ja, ganz denktheortisch kann es auch sowas wie IP-Spoofing geben. Mein Fazit: Vergeßt es. Das ist Stammtischmythospalaver. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Nov 17 21:51:25 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 21:51:25 +0100 Subject: [Postfixbuch-users] Spamversender In-Reply-To: <4B026553.6080003@fuerstenberg.ws> References: <4B01029A.3000100@x-provi.de> <4B025AC0.3080304@ib-gerhards.de> <4B026553.6080003@fuerstenberg.ws> Message-ID: <200911172151.26198.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Kai Fürstenberg: > Letzteres auf jeden Fall (meine Meinung, s.a. meinen anderen Beitrag). > Bezüglich des Class-C-Netzes stelle ich eine Gegenfrage: Wie sicher > kannst du sein, dass die IP-Adresse auch zum richtigen Host gehört? Relevanter ist eher die Frage ob man sicher sein kann, daß eine MAC-Adresse zu einer IP-Adresse gehört. DAS ist eine praxisrelevante Frage, wird jedoch so gut wie nie beachtet. > Eigentlich gar nicht, außer es handelt sich um ein lokales Netz. Bzw: > Würdest du nicht stutzig werden, wenn plötzlich eine Verbindung von > einer IP aus deinem Netz aufgebaut wird, die du derzeit gar nicht > vergeben hast? Würdest du dieser vertrauen? Wer im lokalen Netz sitzt und sich eine freie IP suchen kann, der hat das nicht mehr nötig sondern kann in 99% der mir bekannten ungesicherten Netze stattdessen lieber auf Ebene der MAC-Adressen eingreifen und hat dann sowas wie eine IP-Adresse gar nicht mehr nötig. > Das Problem heißt nicht "mynetworks", sondern "permit_mynetworks". Wenn ich im lokalen Netzwerk sitze brauche ich keinen Mailserver mehr. Dann kann ich auch unter der IP des Mailservers (!) selbst Mails versenden (!) ohne daß die Mails über den Mailserver laufen. Wer in einem normalen LAN sitzt kann beliebig MiM sein weil Mac-Adressen id.R. nicht reglemtiert werden. Leute, vergeßt das. Hier wird aus 'ner Mücke ein Elefant gemacht. Das ist praktisch irrelevant. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Nov 17 22:08:42 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Nov 2009 22:08:42 +0100 Subject: [Postfixbuch-users] DKIM signieren mit AMAVISD-NEW In-Reply-To: <4B025CBD.1050204@esigma-technology.com> References: <4B025CBD.1050204@esigma-technology.com> Message-ID: <200911172208.43220.p.heinlein@heinlein-support.de> Am Dienstag, 17. November 2009 schrieb Max Bidlingmaier: > Allerdings wird hier von conten_filter ausgegangen, in meiner > Konfiguration mit proxy_filter sorgt diese Konfiguration dann für diese > Meldung: > warning: access table regexp:/etc/postfix/tag_as_originating.re: with > smtpd_proxy_filter specified, action FILTER is unavailable Das ist für Dich alles nicht relevant. Sofern Du ausgehende E-Mails sowieso durch Amavis leitest (ja, man will ausgehende Mails nach Spam und Viren filtern wie hier schon mehrfach diskutiert => siehe Archiv!) mußt Du das ganze lediglich in Amavis aktivieren. Das hat weder was mit content/proxy_filter zu tun, noch braucht man dafür eine FILTER-Aktion. Amavis muß halt signieren -- das ist alles. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From toha0002 at stud.fh-kl.de Tue Nov 17 23:27:17 2009 From: toha0002 at stud.fh-kl.de (Torben) Date: Tue, 17 Nov 2009 23:27:17 +0100 Subject: [Postfixbuch-users] Versenden von extern geht nicht (immer) ... In-Reply-To: <4B0269CE.5090001@bgc-jena.mpg.de> References: <4B0269CE.5090001@bgc-jena.mpg.de> Message-ID: Hallo Peer, ich hatte vorhin kurioser Weise das selbe Problem wie dein Chef ... auch mit AppleMail (2.1.3) auf Tiger. In meiner mail.log stand genau der selbe Eintrag: Nov 17 23:13:05 hxxxxxxx postfix/smtpd[28136]: SSL_accept error from ***.pool.mediaWays.net[xxx.xxx.xxx.xxx]: -1 Der Grund war folgender: Ich hatte versucht, eine Mail zu schicken, deren Inhalt etwas ueber 10MB gross war. Auf meinem Server waren aber max. 10MB erlaubt. Nun meinte AppleMail, das er die Mail nicht los wird und ich solle es doch ueber einen anderen Account versuchen. Ich wollte aber, dass er ueber diese bestimmte Adresse schickt. Also 'message_size_limit' hochgeschraubt, postfix neu gestartet und wieder versucht, die Mail loszuwerden. Nun hat AppleMail aber -- aus welchem Grund auch immer -- den Nutzernamen vom zweiten Account zur Domain vom ersten Account gepackt (nur bei der Passwortabfrage, nicht in den Einstellungen). Beim ersten Mal ist mir das nicht aufgefallen, also schoen PW eingetippt ... aber ging natuerlich nicht. Danach ist mir die Nachricht im Log aufgefallen. AppleMail neu gestartet, Mail verschickt ... ging -> im Log alles OK. Bitte frag mich jetzt nicht, warum das so ist ... aber an Postfix scheint es nicht zu liegen ... aerger mich grad selber darueber. >:-] Gruss, Torben On 17.11.2009, at 10:15, Dr.Peer-Joachim Koch wrote: > Hallo, > > ich habe gerade eine Mail von meinem Chef bekommen, > der mit seinem MAC mal wieder Probleme hat mails abzuliefern. > > Verwendet wird Mac-Mail. Unser Server nimmt über TLS oder SSL > nach Anmeldung Mails von extern an. > > Wenn wir hier in Deutschland das ganze testen (via DSL) geht > (natürlich) alles. Im Log sehe ich nur folgendes (s.Anhang). > > Hat jemand eine Idee, a) woran es leigen könnte und b) wie man > es weiter eingrenzen kann ? > > Wie gesgt mit einem MAC mit MACMAIL über DSL *geht* es, d.h. der > Fehler tritt zumindest nicht immer auf. Debug kann (will) ich nicht > so gerne für längere Zeit einschalten, da der Rechner auch als > Mailgate > arbeitet. Das wird dann schnell sehr groß. > > Hat jemand eine Idee ? > > > Vielen Dank, > Peer > > Nov 17 09:36:18 bahama postfix/smtpd[32398]: connect from unknown > [150.146.21.58] > Nov 17 09:36:18 bahama postfix/smtpd[32398]: lost connection after > CONNECT from unknown[150.146.21.58] > Nov 17 09:36:18 bahama postfix/smtpd[32398]: disconnect from unknown > [150.146.21.58] > Nov 17 09:36:18 bahama postfix/smtpd[32428]: connect from unknown > [150.146.21.58] > Nov 17 09:37:26 bahama postfix/smtpd[32428]: SSL_accept error from > unknown[150.146.21.58]: -1 > Nov 17 09:37:26 bahama postfix/smtpd[32428]: lost connection after > CONNECT from unknown[150.146.21.58] > Nov 17 09:37:26 bahama postfix/smtpd[32428]: disconnect from unknown > [150.146.21.58] > Nov 17 09:39:13 bahama postfix/smtpd[32189]: connect from unknown > [150.146.21.58] > Nov 17 09:39:13 bahama postfix/smtpd[32189]: lost connection after > CONNECT from unknown[150.146.21.58] > > -- > Mit freundlichem Gruß > Peer-Joachim Koch > _________________________________________________________ > Max-Planck-Institut fuer Biogeochemie > Dr. Peer-Joachim Koch > Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 > D-07745 Jena Telefax: ++49 3641 57-7705-- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From listen at papernet.de Wed Nov 18 12:29:27 2009 From: listen at papernet.de (Matthias Ebner) Date: Wed, 18 Nov 2009 12:29:27 +0100 Subject: [Postfixbuch-users] DKIM signieren mit AMAVISD-NEW In-Reply-To: <200911172208.43220.p.heinlein@heinlein-support.de> Message-ID: <001601ca6842$63b2e880$0601a8c0@emnpc2> Hallo, Ich hänge mich hier mal kurz drann: Wie läuft das eigentlich, wenn man amavis als post-queue-filter laufen lässt, für eingehende Post DKIM-Verfifikation einrichtet und die Überprüfung dann fehlschlägt? Vermutlich eine saublöde Frage, aber ich stehe da ehrlich gesagt gerade etwas auf dem Schlauch. Kann man das evtl. auch so einrichten, das im Subject dann ein entsprechender Hinweis eingefügt wird, falls die Verifikation nicht erfolgreich war (ähnlich wie "$subject_tag_maps_by_ccat{+CC_VIRUS}")? Dank euch. LG Matthias From leo.unglaub at gmail.com Wed Nov 18 14:07:45 2009 From: leo.unglaub at gmail.com (Leo Unglaub) Date: Wed, 18 Nov 2009 14:07:45 +0100 Subject: [Postfixbuch-users] RFC Pflichtadressen und header_checks Message-ID: Hallo Postfix-Freunde, ich habe gerade eben wieder Sicherheitstests auf meinen Servern durchgeführt und bin dabei über folgende Situation gestolpert. Ich habe in den smtpd_recipient_restrictions als erstes folgenden Eintrag drin stehen: smtpd_recipient_restrictions = > check_recipient_access hash:/etc/postfix/config/rfc_whitelist, > Dort drin erlaube ich postmaster@ und abuse@ egal ob die auf einer Blackliste stehen oder irgend einen falschen fqdn senden. Die kommen immer zu mir durch sowie es sein muss. Zusätzlich setze ich auf dem Server zur SPAM-Bekämpfung die header_checks ein. > header_checks = pcre:/etc/postfix/config/header_check > Dort drin habe ich ein paar Regex-Filterregeln. Nun ist es aber so, dass ein E-Mail an abuse@ oder postmaster@ ebenfalls geblockt wird sobald die header_checks anschlagen, weil ich die header_checks ja nicht in den smtpd_recipient_restrictions definiere. Habe ich mit dieser Situation ein rechtliches oder RFC-Problem? Wie löst ihr diese Situation? Vielen Dank und viele Grüße Leo -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From listacc at gmx.de Wed Nov 18 16:28:38 2009 From: listacc at gmx.de (listacc at gmx.de) Date: Wed, 18 Nov 2009 16:28:38 +0100 Subject: [Postfixbuch-users] [OT] OpenSSL Flags Message-ID: <20091118152838.61230@gmx.net> Hallo, meine Frage hat nur sehr beschränkt mit Mail zu tun, vielleicht mag mir ja trotzdem mal jemand kurz auf die Sprünge helfen. SuSE hat heute die Patches für den openSSL-Bug CVE-2009-3555 herausgebracht. Die Wirkung des Patches kann man wohl zur Laufzeit wieder aufheben, indem man ein SSL-Flag setzt. Unzählige Seiten im Netz zitieren hier Ben Laurie, idR. wortwörtlich: > Renegotiation can be re-enabled by setting > SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION in s3->flags at > run-time. This is really not recommended unless you know what > you're doing. > [Ben Laurie] Nun, aber wie/wo setzt man denn so ein Flag? Ich habe weder unter /proc noch /sys irgendwas gefunden, und auch im Netz gab es keine Hinweise. Außerdem würde mich interessieren, wie ihr Renegotiation jetzt auf euren Mailservern handhabt. Unser IMAP verwendet TLS, und ich habe ein wenig Sorgen, daß es zu abgebrochenen Verbindungen kommt. Gibt es schon positive/negative Erfahrungen? Schon mal Danke & viele Grüße, Andreas -- DSL-Preisknaller: DSL Komplettpakete von GMX schon für 16,99 Euro mtl.!* Hier klicken: http://portal.gmx.net/de/go/dsl02 From p.heinlein at heinlein-support.de Wed Nov 18 20:27:53 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 18 Nov 2009 20:27:53 +0100 Subject: [Postfixbuch-users] RFC Pflichtadressen und header_checks In-Reply-To: References: Message-ID: <200911182027.53638.p.heinlein@heinlein-support.de> Am Mittwoch, 18. November 2009 schrieb Leo Unglaub: > Dort drin habe ich ein paar Regex-Filterregeln. Nun ist es aber so, > dass ein E-Mail an abuse@ oder postmaster@ ebenfalls geblockt wird > sobald die header_checks anschlagen, weil ich die header_checks ja > nicht in den smtpd_recipient_restrictions definiere. ...was ja auch nicht geht. > Habe ich mit dieser Situation ein rechtliches oder RFC-Problem? Wie > löst ihr diese Situation? Ich akzeptiere es. Es ist so, wie es ist. Und mehr geht halt bei vertretbarem Aufwand nicht. Irgendwie muß man Wunsch und Realität halt auch zusammenbringen. Aber ich sehe da auch kein großes Problem. Anders als bei Regeln die auf den Client abzielen würden die header_checks ja auf den spezifischen Inhalt gehen. Die chance, daß da eine "Hey Kollegen, ich habe ein Problem mit Euch"-Mail erfaßt wird, ist äußerst gering und wenn das der Fall ist auch stets einfach zu umgehen. Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix-list at novuage.de Wed Nov 18 21:04:42 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 18 Nov 2009 21:04:42 +0100 Subject: [Postfixbuch-users] RFC Pflichtadressen und header_checks In-Reply-To: References: Message-ID: <4B04535A.1000603@novuage.de> Hallo, Leo Unglaub schrieb: > ich habe gerade eben wieder Sicherheitstests auf meinen Servern > durchgeführt und bin dabei über folgende Situation gestolpert. Ich habe > in den smtpd_recipient_restrictions als erstes folgenden Eintrag drin > stehen: > > smtpd_recipient_restrictions = > check_recipient_access hash:/etc/postfix/config/rfc_whitelist, > > > Dort drin erlaube ich postmaster@ und abuse@ egal ob die auf einer > Blackliste stehen oder irgend einen falschen fqdn senden. Die kommen > immer zu mir durch sowie es sein muss. Und wie viel Spam kommt da an? Ich habe einen Kunden der hat alleine durch die Ausnahme in dem policyd-weight und greylisting Unmengen an Spam auf der postmaster@ Adresse. Wie sieht es hier bei Dir aus, nur mal aus Interesse. -- Gruß Sascha From leo.unglaub at gmail.com Wed Nov 18 22:11:18 2009 From: leo.unglaub at gmail.com (Leo Unglaub) Date: Wed, 18 Nov 2009 22:11:18 +0100 Subject: [Postfixbuch-users] RFC Pflichtadressen und header_checks In-Reply-To: <4B04535A.1000603@novuage.de> References: <4B04535A.1000603@novuage.de> Message-ID: Hallo ! > Und wie viel Spam kommt da an? Ich habe einen Kunden der hat alleine durch > die Ausnahme in dem policyd-weight und greylisting Unmengen an Spam auf der > postmaster@ Adresse. Es ist nicht viel. 10 bis 15 im Monat. Es ist aber auch irgend wie unklug von Spammern an diese Adressen zu schicken, da die wissen müssten, dass die nur der Admin bekommt. @Peer: Vielen Dank für deine antwort. Wenn ihr das auch "einfach hinnehmt" dann werde ich das beruhigt auch tun. Ich wollte mich nur bei den Profis absichern. ;) Viele Grüße Leo -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From mailing-lists at thomasschwenski.de Wed Nov 18 23:07:18 2009 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Wed, 18 Nov 2009 23:07:18 +0100 Subject: [Postfixbuch-users] RFC Pflichtadressen und header_checks In-Reply-To: References: Message-ID: <4B047016.7040509@thomasschwenski.de> Hallo Leo, Leo Unglaub schrieb: > Habe ich mit dieser Situation ein rechtliches oder RFC-Problem? Wie löst ihr > diese Situation? Nur mal so am Rande (und in Ergänzung, der bereits geäußerten Standpunkte): Ein rechtliches Problem HAST Du nicht und kannst Du gar nicht haben, denn diese Adressen sind gesetzlich nicht vorgeschrieben. Die Role-Accounts sind einfach "best practise" und unterscheiden Mailserver-Admins von denen, die wissen was sie tun. Tzja und wer die nicht hat, der landet eventuell mal auf der einen oder anderen Blacklist und _könnte_ ein rechtliches Problem bekommen, weil ihn eben die Benachrichtigung, dass sein Server Spamquelle ist oder dazu genutzt wird die Rechte eines anderen zu verletzen, nie erreicht hat und so eine schnelle einvernehmliche Lösung nie zustande kommen konnte. In diesem Zusammenhang gleich mal eine Frage in die Runde: Was haltet Ihr von (entsprechend abgesicherten) Benachrichtigungsformularen, auf die in den REJECT-Texten hingewiesen wird (als Ergänzung zu den Role-Accounts) und die eine gewissen Vertrauensstellung im Setup einnehmen? Thomas From pkoch at bgc-jena.mpg.de Thu Nov 19 08:49:48 2009 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Thu, 19 Nov 2009 08:49:48 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance Message-ID: <4B04F89C.5040703@bgc-jena.mpg.de> Hallo, ich habe mal eine Frage die nur am Rande etwas mit der Mailingliste zu tun hat. Könnte aber auch andere interessieren (hoffe ich) ;) Also ohne jetzt zu lang auszuholen: Wir haben immer mal wieder Verzögerungen im Netzwerkzugriff. Nachdem ich physikalische Probleme ausschließen kann (switche, ports, kabel,...), habe ich angefangen mir diverse Server anzusehen. Dabei mußte ich feststellen, dass unser LDAP-Master mit ein paar Änderungen in der sysctl.conf (Netzwerk)erheblich flotter geworden ist (Load halbiert, Antwortzeiten deutliche kürzer, etc. pp. Ich habe schon öfter mal nach generellen "tuning" guide gesucht, aber wenig Brauchbares gefunden. Das beste waren noch immer Artikel von IBM über irgendwelche Benchmarks und die Einstellungen die sie am Kernel bzw. Netzwerk oder FC vorgenommen haben. Mir ist klar, dass man sich sein ganzes Leben nur mit Tuning befassen kann und nicht fertig wird, aber vielleicht hat ja der ein oder andere entweder Verweise auf aktuelle WEB sides, oder Lit. die sich umfassender damit auseinander setzen. Für HPUX gab es mal ein brauchbares Buch, das sehr viele Aspekte abgedeckt hat. Aber für Linux ? -- Mit freundlichem Gruß Peer-Joachim Koch _________________________________________________________ Max-Planck-Institut fuer Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : pkoch.vcf Dateityp : text/x-vcard Dateigröße : 304 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5879 bytes Beschreibung: S/MIME Cryptographic Signature URL : From stefan.bauer at cubewerk.de Thu Nov 19 09:28:27 2009 From: stefan.bauer at cubewerk.de (Stefan Bauer) Date: Thu, 19 Nov 2009 09:28:27 +0100 Subject: [Postfixbuch-users] Postfix virtual_alias_domains Zustellung nur bei einzelnen Usern erzwingen Message-ID: <4B0501AB.4010803@cubewerk.de> Hallo Leute, ich stehe hier gerade vor dem Problem, dass ich lokal die Domain entenhausen-test.de habe. Da die Migration meiner Benutzer schrittweise erfolgen soll, möchte ich, dass einige der Benutzer (benutzer at entenhausen-test.de) vorrübergehend noch ihre Mails vom externen Pop3-Server des Providers abholen. Hierzu muss ich für den internen Mailverkehr erzwingen, dass Benutzer, welche noch nicht am Mailserver angelegt sind, an 1und1 zugestellt werden. Derzeit habe ich virtual_alias_maps wie folgt: benutzer1 at entenhausen-test.de benutzer1 benutzer2 at entenhausen-test.de benutzer2 benutzer3 at entenhausen-test.de benutzer3 Wie erzwinge ich nun eine Ausnahme in der Art: benutzer4 at entenhausen-test.de keine-lokale-Zustellung sondern an MX von entenhausen-test.de ?! Danke im Voraus Stefan -- Stefan Bauer ----------------------------------------- PGP: E80A 50D5 2D46 341C A887 F05D 5C81 5858 DCEF 8C34 -------- plzk.de - Linux - because it works ---------- From p.heinlein at heinlein-support.de Thu Nov 19 11:15:57 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 19 Nov 2009 11:15:57 +0100 Subject: [Postfixbuch-users] Postfix virtual_alias_domains Zustellung nur bei einzelnen Usern erzwingen In-Reply-To: <4B0501AB.4010803@cubewerk.de> References: <4B0501AB.4010803@cubewerk.de> Message-ID: <200911191115.57529.p.heinlein@heinlein-support.de> Am Donnerstag, 19. November 2009 schrieb Stefan Bauer: > Wie erzwinge ich nun eine Ausnahme in der Art: > > benutzer4 at entenhausen-test.de keine-lokale-Zustellung sondern an MX > von entenhausen-test.de ?! Du schreibst das in die tzransport-Map: benutzer4 at entenhausen-test.de smtp:entenhausen-test.de Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From ml at irmawi.de Thu Nov 19 11:22:41 2009 From: ml at irmawi.de (Markus Winkler) Date: Thu, 19 Nov 2009 11:22:41 +0100 Subject: [Postfixbuch-users] Postfix virtual_alias_domains Zustellung nur bei einzelnen Usern erzwingen In-Reply-To: <4B0501AB.4010803@cubewerk.de> References: <4B0501AB.4010803@cubewerk.de> Message-ID: <4B051C71.20207@irmawi.de> On 19.11.2009 09:28 Stefan Bauer wrote: > > Wie erzwinge ich nun eine Ausnahme in der Art: > > benutzer4 at entenhausen-test.de keine-lokale-Zustellung sondern an MX > von entenhausen-test.de ?! man transport Gruß Markus From ml at irmawi.de Thu Nov 19 11:23:51 2009 From: ml at irmawi.de (Markus Winkler) Date: Thu, 19 Nov 2009 11:23:51 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance In-Reply-To: <4B04F89C.5040703@bgc-jena.mpg.de> References: <4B04F89C.5040703@bgc-jena.mpg.de> Message-ID: <4B051CB7.7080203@irmawi.de> On 19.11.2009 08:49 Dr.Peer-Joachim Koch wrote: > > Könnte aber auch andere interessieren (hoffe ich) ;) > > feststellen, dass unser LDAP-Master mit ein paar Änderungen in > der sysctl.conf (Netzwerk)erheblich flotter geworden ist (Load halbiert, > Antwortzeiten deutliche kürzer, etc. pp. Welche konkret hast Du da wie geändert? Danke und Gruß Markus From carsten.delellis at delellis.net Thu Nov 19 12:09:32 2009 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Thu, 19 Nov 2009 12:09:32 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten Message-ID: Hallo alle zusammen Ich bin auf der Suche nach einem script, welches mir den policyd-weight automatisch beim Systemstart startet. Ich habe bisher versucht auf Grundlage des postgrey scriptes in /etc/init.d/ ein entsprechendes script für policyd-weight zu erstellen aber leider funktioniert das so nicht. Auch der Versuch über cron hat es bisher nicht gebracht. Würde mich sehr freuen, wenn jemand da einen Tipp für mich hätte. Das ganze läuft im übrigen unter OpenSUSE 11.1 Mit freundlichem Gruß Carsten Laun-De Lellis Dipl.-Ing. Elektrotechnik Certified Information Systems Auditor (CISA) Hauptstrasse 13 D-67705 Trippstadt Phone: +49 (6306) 992140 Mobile: +49 (151) 27530865 email: carsten.delellis at delellis.net -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From gregor at a-mazing.de Thu Nov 19 13:37:28 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Thu, 19 Nov 2009 13:37:28 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten In-Reply-To: References: Message-ID: <200911191337.28863@office.a-mazing.net> Hallo Carsten, Am Donnerstag, 19. November 2009 schrieb Carsten Laun-De Lellis: > Ich bin auf der Suche nach einem script, welches mir den policyd-weight > automatisch beim Systemstart startet. Ich habe bisher versucht auf > Grundlage des postgrey scriptes in /etc/init.d/ ein entsprechendes script > für policyd-weight zu erstellen aber leider funktioniert das so nicht. > Auch der Versuch über cron hat es bisher nicht gebracht. > > Das ganze läuft im übrigen unter OpenSUSE 11.1 gibt es kein fertiges Paket für OpenSUSE 11.1, daß du verwenden kannst? Auch wenn du eine andere Version von policyd-weight vewendest solltest du dur da doch zumindest das Startskript abschauen können... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From ae at ae-online.de Thu Nov 19 13:43:00 2009 From: ae at ae-online.de (Andreas Ernst) Date: Thu, 19 Nov 2009 13:43:00 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten In-Reply-To: References: Message-ID: <4B053D54.2050506@ae-online.de> Carsten Laun-De Lellis schrieb: > Hallo alle zusammen > > > > Ich bin auf der Suche nach einem script, welches mir den policyd-weight > automatisch beim Systemstart startet. Ich habe bisher versucht auf > Grundlage des postgrey scriptes in /etc/init.d/ ein entsprechendes > script für policyd-weight zu erstellen aber leider funktioniert das so > nicht. Auch der Versuch über cron hat es bisher nicht gebracht. > > > > Würde mich sehr freuen, wenn jemand da einen Tipp für mich hätte. > > > > Das ganze läuft im übrigen unter OpenSUSE 11.1 mail:/home/andreas # rpm -qa | grep policyd-weight policyd-weight-0.1.14b17-9.3 mail:/home/andreas # rcpolicyd-weight status Checking for service policyd-weight-daemon: running mail:/home/andreas # chkconfig policyd-weight policyd-weight on mail:/home/andreas # chkconfig policyd-weight on ^^^^^^^^ dann sollte sollte der beim Booten starten. -- Andreas Ernst - IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de www.ae-online.de www.tachyon-online.de From kai_postfix at fuerstenberg.ws Thu Nov 19 14:02:31 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 19 Nov 2009 14:02:31 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten In-Reply-To: References: Message-ID: <4B0541E7.3080506@fuerstenberg.ws> Carsten Laun-De Lellis schrieb am 19.11.2009 12:09: > Ich bin auf der Suche nach einem script, welches mir den policyd-weight > automatisch beim Systemstart startet. Ich habe bisher versucht auf > Grundlage des postgrey scriptes in /etc/init.d/ ein entsprechendes > script für policyd-weight zu erstellen aber leider funktioniert das so > nicht. Auch der Versuch über cron hat es bisher nicht gebracht. > > Würde mich sehr freuen, wenn jemand da einen Tipp für mich hätte. > > Das ganze läuft im übrigen unter OpenSUSE 11.1 Was genau funktioniert nicht? Und wie sieht das Skript bis jetzt aus? Prinzipiell bräuchtest du nur einen Symlink von deinem rcX.d-Verzeichnis zu policyd-weight setzen. Ist aber halt nicht ganz so elegant. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Thu Nov 19 14:05:35 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 19 Nov 2009 14:05:35 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten In-Reply-To: References: Message-ID: <200911191405.35815.p.heinlein@heinlein-support.de> Am Donnerstag, 19. November 2009 schrieb Carsten Laun-De Lellis: > Das ganze läuft im übrigen unter OpenSUSE 11.1 Ich habe u.a. für policyd-weight fertige RPM-Pakete. Einfach als Quelle einbinden und über YaST installieren und gut ist. http://download.opensuse.org/repositories/home:/pheinlein/ Gruß Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From pkoch at bgc-jena.mpg.de Thu Nov 19 15:49:09 2009 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Thu, 19 Nov 2009 15:49:09 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance In-Reply-To: <4B051CB7.7080203@irmawi.de> References: <4B04F89C.5040703@bgc-jena.mpg.de> <4B051CB7.7080203@irmawi.de> Message-ID: <4B055AE5.4000305@bgc-jena.mpg.de> Die folgenden Dinge geändert: txqueuelen: 100 -> 8192 (1000 reicht meisten aus) # net.ipv4.tcp_window_scaling = 0 net.ipv4.tcp_sack = 0 net.ipv4.tcp_rmem = 10485760 10485760 10485760 net.ipv4.tcp_wmem = 10485760 10485760 10485760 net.ipv4.tcp_mem = 10485760 10485760 10485760 # net.core.rmem_max = 10485760 net.core.rmem_default = 10485760 net.core.wmem_max = 10485760 net.core.wmem_default = 10485760 net.core.optmem_max = 10485760 net.core.netdev_max_backlog = 2500 Ciao, Peer Markus Winkler wrote: > On 19.11.2009 08:49 Dr.Peer-Joachim Koch wrote: >> Könnte aber auch andere interessieren (hoffe ich) ;) >> >> feststellen, dass unser LDAP-Master mit ein paar Änderungen in >> der sysctl.conf (Netzwerk)erheblich flotter geworden ist (Load halbiert, >> Antwortzeiten deutliche kürzer, etc. pp. > > Welche konkret hast Du da wie geändert? > > Danke und Gruß > Markus > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Mit freundlichem Gruß Peer-Joachim Koch _________________________________________________________ Max-Planck-Institut fuer Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : pkoch.vcf Dateityp : text/x-vcard Dateigröße : 291 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5879 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Thu Nov 19 16:32:08 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Thu, 19 Nov 2009 16:32:08 +0100 Subject: [Postfixbuch-users] rbl und rwl Message-ID: <200911191632.09052.t.schneider@tms-itdienst.at> Hallo allerseits, wie ich eine Blacklist abfrage ist mir klar, allerdings eine whitelist nicht. Da kann ich ja kein reject_rbl_client verwenden. Habe diesbzgl. nichts gefunden. Grüße Timm Schneider ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! From ml at irmawi.de Thu Nov 19 16:50:56 2009 From: ml at irmawi.de (Markus Winkler) Date: Thu, 19 Nov 2009 16:50:56 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance In-Reply-To: <4B055AE5.4000305@bgc-jena.mpg.de> References: <4B04F89C.5040703@bgc-jena.mpg.de> <4B051CB7.7080203@irmawi.de> <4B055AE5.4000305@bgc-jena.mpg.de> Message-ID: <4B056960.4050506@irmawi.de> On 19.11.2009 15:49 Dr.Peer-Joachim Koch wrote: > Die folgenden Dinge geändert: Danke! Gruß Markus From daniel at dlutt.de Thu Nov 19 18:41:56 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Thu, 19 Nov 2009 18:41:56 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911191632.09052.t.schneider@tms-itdienst.at> References: <200911191632.09052.t.schneider@tms-itdienst.at> Message-ID: <202985543.20091119184156@dlutt.de> Timm M.Schneider schrieb: > Hallo allerseits, > wie ich eine Blacklist abfrage ist mir klar, allerdings eine whitelist nicht. > Da kann ich ja kein reject_rbl_client verwenden. > Habe diesbzgl. nichts gefunden. rsync und check_client_access oder Policy Server wie postfwd. http://www.dnswl.org/tech#postfix http://www.postfwd.org Bei postfwd hast du noch den Vorteil,dass du für verschiedene Rückgabewerte diverse Aktionen ausführen kannst, also beispielsweise 127.0.0.2 reject 127.0.0.3 dunno usw. Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From pv_mailings at amaltea.ath.cx Thu Nov 19 22:42:02 2009 From: pv_mailings at amaltea.ath.cx (PV) Date: Thu, 19 Nov 2009 22:42:02 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten In-Reply-To: <200911191405.35815.p.heinlein@heinlein-support.de> References: <200911191405.35815.p.heinlein@heinlein-support.de> Message-ID: <4B05BBAA.1090000@amaltea.ath.cx> Peer Heinlein schrieb: > Ich habe u.a. für policyd-weight fertige RPM-Pakete. Einfach als Quelle > einbinden und über YaST installieren und gut ist. > > http://download.opensuse.org/repositories/home:/pheinlein/ Prima! Danke fürs "Paket schnüren". Habe es probehalber einfach mal eingebunden und installiert. Was mir aufgefallen ist, und ich mir nicht erklären kann, ist, das mein Server bei aktiviertem polw dauerhaft eine UDP Verbindung zum DNS Server meines Providers aufbaut. server:~ # netstat -antup | grep 85.214.7.22 udp 0 0 85.214.6x.xxx:59025 85.214.7.22:53 VERBUNDEN 13503/policyd-weigh Allerdings konnte ich keinen Paketaustausch ersniffen. (2x30 sek tcpdump getestet...) Bei meinem manuell installiertem policyd-weight (selbe Version, anderer Server) ist keine solche Verbindung zu sehen. Weißt Du warum? Viele Grüße Paul > > Gruß > > Peer > > > > > From postfix-list at novuage.de Thu Nov 19 23:03:10 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 19 Nov 2009 23:03:10 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance In-Reply-To: <4B055AE5.4000305@bgc-jena.mpg.de> References: <4B04F89C.5040703@bgc-jena.mpg.de> <4B051CB7.7080203@irmawi.de> <4B055AE5.4000305@bgc-jena.mpg.de> Message-ID: <4B05C09E.3010503@novuage.de> Dr.Peer-Joachim Koch schrieb: > Die folgenden Dinge geändert: > > txqueuelen: 100 -> 8192 (1000 reicht meisten aus) > > # > net.ipv4.tcp_window_scaling = 0 > net.ipv4.tcp_sack = 0 > net.ipv4.tcp_rmem = 10485760 10485760 10485760 > net.ipv4.tcp_wmem = 10485760 10485760 10485760 > net.ipv4.tcp_mem = 10485760 10485760 10485760 > # > net.core.rmem_max = 10485760 > net.core.rmem_default = 10485760 > net.core.wmem_max = 10485760 > net.core.wmem_default = 10485760 > net.core.optmem_max = 10485760 > net.core.netdev_max_backlog = 2500 DAZU denn eine Doku oder so. Kurzes Googlen ergab viel, aber nur quasi, mach das das das und das... nicht warum oder was es theoretisch an Risiken gibt. Wo darf ich mich darüber gut informieren. Sonst such ich noch mal Ziellos Google ab :-) -- Gruß Sascha From t.schneider at tms-itdienst.at Fri Nov 20 11:33:55 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 11:33:55 +0100 Subject: [Postfixbuch-users] rbl und rwl Message-ID: <200911201133.56041.t.schneider@tms-itdienst.at> Hallo, > check_client_access das geht doch nur mit Files und nicht mit einer rwl, oder? So wie es scheint kann das Postfix nicht, das hätte ich nicht gedacht, das so ein starker MS das nicht kann. Sendmail, Exim können das schon. Die Provider hier in AT untereinander verwenden eine whitelist. die WL liefert ein 127.0.0.2 zurück. Grüße Timm Schneider ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Donnerstag, 19. November 2009 18:41:56 schrieb Daniel Luttermann: From traced at xpear.de Fri Nov 20 12:12:36 2009 From: traced at xpear.de (Basti) Date: Fri, 20 Nov 2009 12:12:36 +0100 Subject: [Postfixbuch-users] Deutsche Spamassassin Regeln Message-ID: <4B0679A4.1010603@xpear.de> Hi Jungs, kennt Ihr eine aktuelle Quelle die solche Regeln anbietet? Oder bastelt Ihr hier immer selbst? Danke & viele Grüße Basti From daniel at dlutt.de Fri Nov 20 12:46:13 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 12:46:13 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201133.56041.t.schneider@tms-itdienst.at> References: <200911201133.56041.t.schneider@tms-itdienst.at> Message-ID: <193421353.20091120124613@dlutt.de> Timm M.Schneider schrieb: > Hallo, >> check_client_access > das geht doch nur mit Files und nicht mit einer rwl, oder? ja, nur mit Files - daher muss die Datei lokal heruntergeladen werden, um die IP-Adressen whitelisten zu können. > So wie es scheint kann das Postfix nicht, das hätte ich nicht gedacht, das so > ein starker MS das nicht kann. Sendmail, Exim können das schon. > Die Provider hier in AT untereinander verwenden eine whitelist. > die WL liefert ein 127.0.0.2 zurück. Postfix kann ohne Policy Server "nur" abweisen,aber nicht whitelisten. Mit postfwd beispielsweise lassen sich verschiedene Whitelists einbinden,so dass dies dann über "Umwege" möglich ist. Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Fri Nov 20 12:55:51 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 12:55:51 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <193421353.20091120124613@dlutt.de> References: <200911201133.56041.t.schneider@tms-itdienst.at> <193421353.20091120124613@dlutt.de> Message-ID: <200911201255.51477.t.schneider@tms-itdienst.at> ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 12:46:13 schrieb Daniel Luttermann: > > ja, nur mit Files - daher muss die Datei lokal heruntergeladen werden, > um die IP-Adressen whitelisten zu können. das geht ja nicht, da es sich um eine dns-zone handelt und diese schon mein eigener dns per zonentransfer sich geholt hat. > > > Postfix kann ohne Policy Server "nur" abweisen,aber nicht whitelisten. Diese Einschränkung hätte ich nicht für möglich gehalten. > > Mit postfwd beispielsweise lassen sich verschiedene Whitelists > einbinden,so dass dies dann über "Umwege" möglich ist. Gibt es dazu eine Anleitung wie das geht? > > Grüße, > Daniel > Thx Timm From daniel at dlutt.de Fri Nov 20 13:23:56 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 13:23:56 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201255.51477.t.schneider@tms-itdienst.at> References: <200911201133.56041.t.schneider@tms-itdienst.at> <193421353.20091120124613@dlutt.de> <200911201255.51477.t.schneider@tms-itdienst.at> Message-ID: <98184068.20091120132356@dlutt.de> Timm M.Schneider schrieb: > Meine Mails werden mit Kaspersky AntiVirus überprüft! > Am Freitag, 20. November 2009 12:46:13 schrieb Daniel Luttermann: >> >> ja, nur mit Files - daher muss die Datei lokal heruntergeladen werden, >> um die IP-Adressen whitelisten zu können. > das geht ja nicht, da es sich um eine dns-zone handelt und diese schon mein > eigener dns per zonentransfer sich geholt hat. OK,mit einem lokalen Zonefile geht das dann so nicht. Bei Verwendung von check_client_access müsste man dann zwingend rsync zum herunterladen der DNSWL Dateien verwenden,um diese mit Postfix nutzen können. Der Aufbau dieser Dateien sieht dann so aus: IP_Adresse/32 permit_auth_destination .... Diese Datei lässt sich dann über check_client_access integrieren.Bei einem lokalen Bind/rbldns Zonefile etc. müsste man wiederum einen Policy Server verwenden. >> Postfix kann ohne Policy Server "nur" abweisen,aber nicht whitelisten. > Diese Einschränkung hätte ich nicht für möglich gehalten. >> Mit postfwd beispielsweise lassen sich verschiedene Whitelists >> einbinden,so dass dies dann über "Umwege" möglich ist. > Gibt es dazu eine Anleitung wie das geht? Hier gibt es ein paar Beispiele: http://hege.li/howto/spam/etc/postfwd/postfwd.conf Persönlich nutze ich sowas: &&DNSWLS { \ rbl=list.dnswl.org/^127/43200; \ rbl=hostkarma.junkemailfilter.com/^127\.0\.0\.1$/43200; \ }; id=OK_WHITELIST; \ HIT_dnswls>=1; \ action=OK Wenn die IP also in mindestens einer dieser beiden Whitelists gelistet ist,wird die Mail sofort angenommen. Bei junkmailfilter ist der Rückgabewert 127.0.0.1 für die Whitelist,127.0.0.2 für die Blacklist. Mit postfwd lässt sich dies aber recht gut definieren... Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Fri Nov 20 14:25:22 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 14:25:22 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <98184068.20091120132356@dlutt.de> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201255.51477.t.schneider@tms-itdienst.at> <98184068.20091120132356@dlutt.de> Message-ID: <200911201425.23025.t.schneider@tms-itdienst.at> ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 13:23:56 schrieb Daniel Luttermann: > Hier gibt es ein paar Beispiele: > > http://hege.li/howto/spam/etc/postfwd/postfwd.conf > > Persönlich nutze ich sowas: > > &&DNSWLS { \ > rbl=list.dnswl.org/^127/43200; \ > rbl=hostkarma.junkemailfilter.com/^127\.0\.0\.1$/43200; \ > }; > > id=OK_WHITELIST; \ > HIT_dnswls>=1; \ > action=OK > > Wenn die IP also in mindestens einer dieser beiden Whitelists gelistet > ist,wird die Mail sofort angenommen. Bei junkmailfilter ist der > Rückgabewert 127.0.0.1 für die Whitelist,127.0.0.2 für die Blacklist. > Mit postfwd lässt sich dies aber recht gut definieren... Was bedeutet die 43200? Kann ich mit postfwd nur die whitelist checken und die anderen Dinge wie gehabt im Postfix? Also postfwd nur zusätzlich. Von dieser Liste(Back&White) kommt von beiden 127.0.0.2 zurück, das macht aber nichts, da ich die Blacklist eh schon unter den normalen Regeln ganz weit oben stehen habe, also demnach müsste die Einbindung der whitelist nachher kommen. Thx Timm > > Grüße, > Daniel > From daniel at dlutt.de Fri Nov 20 14:51:20 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 14:51:20 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201425.23025.t.schneider@tms-itdienst.at> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201255.51477.t.schneider@tms-itdienst.at> <98184068.20091120132356@dlutt.de> <200911201425.23025.t.schneider@tms-itdienst.at> Message-ID: <1402817717.20091120145120@dlutt.de> Timm M.Schneider schrieb: > Meine Mails werden mit Kaspersky AntiVirus überprüft! > Am Freitag, 20. November 2009 13:23:56 schrieb Daniel Luttermann: >> Hier gibt es ein paar Beispiele: >> >> http://hege.li/howto/spam/etc/postfwd/postfwd.conf >> >> Persönlich nutze ich sowas: >> >> &&DNSWLS { \ >> rbl=list.dnswl.org/^127/43200; \ >> rbl=hostkarma.junkemailfilter.com/^127\.0\.0\.1$/43200; \ >> }; >> >> id=OK_WHITELIST; \ >> HIT_dnswls>=1; \ >> action=OK >> >> Wenn die IP also in mindestens einer dieser beiden Whitelists gelistet >> ist,wird die Mail sofort angenommen. Bei junkmailfilter ist der >> Rückgabewert 127.0.0.1 für die Whitelist,127.0.0.2 für die Blacklist. >> Mit postfwd lässt sich dies aber recht gut definieren... > Was bedeutet die 43200? das ist die Angabe für "maxcache",also die Zeit,wie lange der Rückgabewert/IP zwischengespeichert wird. > Kann ich mit postfwd nur die whitelist checken und die anderen Dinge wie > gehabt im Postfix? Ja,das ist ohne Probleme möglich. Persönlich lasse ich postfwd alles prüfen,da die Ergebisse etc. zwischengespeichert werden und auch eine kleine Statistik geführt wird (wird im Logfile in regelmässigen Abständen geloggt),wie häufig welche Regeln angewendet wurden. > Also postfwd nur zusätzlich. > Von dieser Liste(Back&White) kommt von beiden 127.0.0.2 zurück, das macht aber > nichts, da ich die Blacklist eh schon unter den normalen Regeln ganz weit oben > stehen habe, also demnach müsste die Einbindung der whitelist nachher kommen. Ja,das gibt keine Probleme. Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Fri Nov 20 15:05:40 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 15:05:40 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <1402817717.20091120145120@dlutt.de> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201425.23025.t.schneider@tms-itdienst.at> <1402817717.20091120145120@dlutt.de> Message-ID: <200911201505.40395.t.schneider@tms-itdienst.at> Hallo Daniel, wie binde ich den postfwd in postfix ein? Verwende 2.5.5 Thx Timm ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! From t.schneider at tms-itdienst.at Fri Nov 20 15:25:44 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 15:25:44 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <1402817717.20091120145120@dlutt.de> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201425.23025.t.schneider@tms-itdienst.at> <1402817717.20091120145120@dlutt.de> Message-ID: <200911201525.44867.t.schneider@tms-itdienst.at> Hi, wie ich das einbinde habe ich inzwischen so in etwa herausgefunden, aber wie installiere ich den postfwd, das scheint ja nur ein perlscript zu sein, oder? Thx Timm ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 14:51:20 schrieb Daniel Luttermann: > Timm M.Schneider schrieb: > > Meine Mails werden mit Kaspersky AntiVirus überprüft! > > > > Am Freitag, 20. November 2009 13:23:56 schrieb Daniel Luttermann: > >> Hier gibt es ein paar Beispiele: > >> > >> http://hege.li/howto/spam/etc/postfwd/postfwd.conf > >> From postfix-list at novuage.de Fri Nov 20 16:11:01 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 20 Nov 2009 16:11:01 +0100 Subject: [Postfixbuch-users] Deutsche Spamassassin Regeln In-Reply-To: <4B0679A4.1010603@xpear.de> References: <4B0679A4.1010603@xpear.de> Message-ID: <4B06B185.2000100@novuage.de> Basti schrieb: > kennt Ihr eine aktuelle Quelle die solche Regeln anbietet? > Oder bastelt Ihr hier immer selbst? SpamAssassin hat doch regel drin... sa-update -- Gruß Sascha From daniel at dlutt.de Fri Nov 20 16:30:54 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 16:30:54 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201525.44867.t.schneider@tms-itdienst.at> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201425.23025.t.schneider@tms-itdienst.at> <1402817717.20091120145120@dlutt.de> <200911201525.44867.t.schneider@tms-itdienst.at> Message-ID: <1476734987.20091120163054@dlutt.de> Timm M.Schneider schrieb: > Hi, > wie ich das einbinde habe ich inzwischen so in etwa herausgefunden, aber wie > installiere ich den postfwd, das scheint ja nur ein perlscript zu sein, oder? ja,das ist nur ein Perl Skript. In dem Verzeichnis /bin des Quellpakets befindet sich ein einfaches Init-Skript,mit welchem postfwd gestartet werden kann. Es sollte noch ein dedizierter Benutzer angelegt werden und in dem Init-Skript hinterlegt werden - Debian legt beispielsweise einen User "postfwd" und die Gruppe "postfwd" an... Quellpaket: http://www.postfwd.org/postfwd-1.16.tar.gz Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Fri Nov 20 16:32:18 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 16:32:18 +0100 Subject: [Postfixbuch-users] rbl und rwl Message-ID: <200911201632.18946.t.schneider@tms-itdienst.at> Hi Daniel, hab das mal soweit installiert und so konfiguriert. Was muß ich noch in Postfix eintragen, in der master.cf muß da auch etwas rein? Auf welchem Port hört der postfwd? Es scheint auf 10040, der wird aber schon verwendet, wo kann ich das umstellen? Grüße Timm ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 13:23:56 schrieb Daniel Luttermann: > &&DNSWLS { \ > rbl=list.dnswl.org/^127/43200; \ > rbl=hostkarma.junkemailfilter.com/^127\.0\.0\.1$/43200; \ > }; > > id=OK_WHITELIST; \ > HIT_dnswls>=1; \ > action=OK > From daniel at dlutt.de Fri Nov 20 16:41:47 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 16:41:47 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201632.18946.t.schneider@tms-itdienst.at> References: <200911201632.18946.t.schneider@tms-itdienst.at> Message-ID: <693962621.20091120164147@dlutt.de> Hallo Timm, > Hi Daniel, > hab das mal soweit installiert und so konfiguriert. > Was muß ich noch in Postfix eintragen, in der master.cf muß da auch etwas > rein? nein,es muss nur die Zeile check_policy_service inet:127.0.0.1:10040 in die main.cf eingetragen werden. > Auf welchem Port hört der postfwd? > Es scheint auf 10040, der wird aber schon verwendet, wo kann ich das > umstellen? In dem Init-Skript kannst du den Port für postfwd angeben (pfwport) oder über die Kommandozeile mit der Option "-p". Kommt aber ggf. darauf an,wie du postfwd derzeit startest. Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Fri Nov 20 16:45:08 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 16:45:08 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <1476734987.20091120163054@dlutt.de> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201525.44867.t.schneider@tms-itdienst.at> <1476734987.20091120163054@dlutt.de> Message-ID: <200911201645.08155.t.schneider@tms-itdienst.at> Hi Daniel, ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 16:30:54 schrieb Daniel Luttermann: > Timm M.Schneider schrieb: > > Hi, > > > > > > wie ich das einbinde habe ich inzwischen so in etwa herausgefunden, aber > > wie installiere ich den postfwd, das scheint ja nur ein perlscript zu > > sein, oder? > > ja,das ist nur ein Perl Skript. In dem Verzeichnis /bin des > Quellpakets befindet sich ein einfaches Init-Skript Ja dort steht auch der Port, den habe ich jetzt auf 10041 gestellt In dem Script steht auch user und group = nobody, passt das? > ,mit welchem > postfwd gestartet werden kann. Es sollte noch ein dedizierter Benutzer > angelegt werden und in dem Init-Skript hinterlegt werden - Debian legt > beispielsweise einen User "postfwd" und die Gruppe "postfwd" an... > > Quellpaket: > http://www.postfwd.org/postfwd-1.16.tar.gz > > Grüße, > Daniel > From daniel at dlutt.de Fri Nov 20 16:49:05 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 16:49:05 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201645.08155.t.schneider@tms-itdienst.at> References: <200911201133.56041.t.schneider@tms-itdienst.at> <200911201525.44867.t.schneider@tms-itdienst.at> <1476734987.20091120163054@dlutt.de> <200911201645.08155.t.schneider@tms-itdienst.at> Message-ID: <148860250.20091120164905@dlutt.de> Hi Timm, > Ja dort steht auch der Port, den habe ich jetzt auf 10041 gestellt OK. > In dem Script steht auch user und group = nobody, passt das? ja, sollte auch gehen.... Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Fri Nov 20 17:03:39 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 17:03:39 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <693962621.20091120164147@dlutt.de> References: <200911201632.18946.t.schneider@tms-itdienst.at> <693962621.20091120164147@dlutt.de> Message-ID: <200911201703.40269.t.schneider@tms-itdienst.at> Hallo Daniel, ed läuft jetzt alles, super endlich. Hab 2 Mail zur mir gesendet, eine über einen Mailserver der gewhightlistet ist und einmal über einen der geblacklistet ist. Die Meldung mit dem STATS bedeutet das die whitlistabfrage geklappt hat? Nov 20 16:54:08 lsrv01 postfwd: [STATS] Counters: 3000 seconds uptime since Fr, 20 Nov 2009 16:04:08 CET Nov 20 16:54:08 lsrv01 postfwd: [STATS] Requests: 0 overall, 0 last interval, 0.00% cache hits, 0.00% rate hits Nov 20 16:54:08 lsrv01 postfwd: [STATS] Averages: 0.00 overall, 0.00 last interval, 0.00 top Nov 20 16:54:08 lsrv01 postfwd: [STATS] Contents: -1 rules, 0 cached requests, 0 cached dns results, 0 rate limits Nov 20 16:54:38 lsrv01 postfix/smtpd[24200]: connect from extern4.nemox.net[83.137.41.12] Nov 20 16:54:38 lsrv01 postfix/smtpd[24200]: NOQUEUE: reject: RCPT from extern4.nemox.net[83.137.41.12]: 554 5.7.1 Service unavailable; Client host [83.137.41.12] blocked using blacklist.rbl.ispa.at; from= to= proto=ESMTP helo= Nov 20 16:54:39 lsrv01 postfix/smtpd[24200]: disconnect from extern4.nemox.net[83.137.41.12] Grüße Timm ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 16:41:47 schrieb Daniel Luttermann: > From t.schneider at tms-itdienst.at Fri Nov 20 17:12:42 2009 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Fri, 20 Nov 2009 17:12:42 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <693962621.20091120164147@dlutt.de> References: <200911201632.18946.t.schneider@tms-itdienst.at> <693962621.20091120164147@dlutt.de> Message-ID: <200911201712.43072.t.schneider@tms-itdienst.at> Hi Daniel, bin mir noch nicht 100%ig sicher. Im querylog vom NS kommt nichts, nur die blacklist. ## ## Definitions ## # Whitelists &&DNSWLS { \ rbl=whitelist.rbl.ispa.at/^127\.0\.0\.2$/3600 ; \ ........ }; ## ## Ruleset ## # Whitelists # DNSWL checks - lookup id=OK_WHITELIST; \ HIT_dnswls>=1; \ action=OK Stimmt das so? Der DNS liefert 127.0.0.2 zurück. Thx Timm ------------------------------------- TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck T: +43(0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49(0)89/ 721010-77792 M: +43(0)664/ 479 79 25 F: +43(0)720/ 501 078-57 Meine Mails werden mit Kaspersky AntiVirus überprüft! Am Freitag, 20. November 2009 16:41:47 schrieb Daniel Luttermann: > From daniel at dlutt.de Fri Nov 20 17:21:01 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 20 Nov 2009 17:21:01 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201712.43072.t.schneider@tms-itdienst.at> References: <200911201632.18946.t.schneider@tms-itdienst.at> <693962621.20091120164147@dlutt.de> <200911201712.43072.t.schneider@tms-itdienst.at> Message-ID: <1315178511.20091120172101@dlutt.de> Hi Timm, > Hi Daniel, > bin mir noch nicht 100%ig sicher. > Im querylog vom NS kommt nichts, nur die blacklist. > ## > ## Definitions > ## > # Whitelists > &&DNSWLS { \ > rbl=whitelist.rbl.ispa.at/^127\.0\.0\.2$/3600 ; \ > ........ > }; > ## > ## Ruleset > ## > # Whitelists > # DNSWL checks - lookup > id=OK_WHITELIST; \ > HIT_dnswls>=1; \ > action=OK > Stimmt das so? > Der DNS liefert 127.0.0.2 zurück. ja, vom Syntax her korrekt,allerdings muss noch dies hinzugefügt werden: id=EVAL_WHITELISTS; \ &&DNSWLS; rblcount=all; \ action=set(HIT_dnswls=$$rblcount,DNSWLS_text=$$dnsbltext) Hiermit wird erst "gezählt",ob eine IP gelistet ist... Das Regelwerk sieht dann in etwa so aus: &&DNSWLS { \ rbl=whitelist.rbl.ispa.at/^127\.0\.0\.2$/3600; \ rbl=list.dnswl.org/^127/43200; \ rbl=hostkarma.junkemailfilter.com/^127\.0\.0\.1$/43200; \ }; id=EVAL_WHITELISTS; \ &&DNSWLS; rblcount=all; \ action=set(HIT_dnswls=$$rblcount,DNSWLS_text=$$dnsbltext) id=OK_WHITELIST; \ HIT_dnswls>=1; \ action=OK Im Logfile solltest du dan nauch solche Einträge sehen: Beispiel Mailingliste (relevante Einträge): Nov 20 17:04:16 tux postfix/smtpd[1259]: connect from ilpostino.jpberlin.de Nov 20 17:04:16 tux postfwd: [RULES]rule=1,id=OK_WHITELIST,client=... hits=EVAL_WHITELISTS;OK_WHITELIST, action=OK Bei den Statistiken: Nov 20 17:04:14 tux postfwd: [STATS] Rule ID: OK_WHITELIST matched: 407 times Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From debian at net-service-24.de Fri Nov 20 21:04:32 2009 From: debian at net-service-24.de (Roland Schmid) Date: Fri, 20 Nov 2009 21:04:32 +0100 Subject: [Postfixbuch-users] SSL_accept:error in SSLv3 read certificate verify A Message-ID: <1258747472.12136.7.camel@workstation> Hallo, ich habe im /var/log/mail.log stehen: Nov 20 20:36:26 webserver2 postfix/smtpd[14440]: SSL_accept:error in SSLv3 read certificate verify A was bedeutet dieser eintrag im log ? Hat es damit zu tun, dass er das client zertifikat nicht findet ? Gruss Roland From alois.kratochwill at wdns.at Sun Nov 22 13:01:05 2009 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Sun, 22 Nov 2009 13:01:05 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <202985543.20091119184156@dlutt.de> Message-ID: <20091122120231.CD157227406C@lobos.wdns.at> >Timm M.Schneider schrieb: >> Hallo allerseits, >>wie ich eine Blacklist abfrage ist mir klar, allerdings eine whitelist >>nicht. >> Da kann ich ja kein reject_rbl_client verwenden. >> Habe diesbzgl. nichts gefunden. >rsync und check_client_access oder Policy Server wie postfwd. >http://www.dnswl.org/tech#postfix >http://www.postfwd.org >Bei postfwd hast du noch den Vorteil,dass du für verschiedene >Rückgabewerte diverse Aktionen ausführen kannst, also beispielsweise >127.0.0.2 reject >127.0.0.3 dunno >usw. >Grüße, >Daniel Kurze Beschreibung gibt's auch hier: http://www.heinlein-support.de/upload/mk4/2-03_postfwd-Das-flexible-Policyd- Framework.pdf Meine Postfixe arbeiten zZt. mit postfix-policyd und reject_rbl_client. Nun, da ich auf postfwd gestoßen bin, stelle ich mir die Frage, ob ein Umstieg von oben genannter Konstellation auf postfwd nicht sinnvoller wäre? Mit freundlichen Grüßen Alois Kratochwill From postfix-list at novuage.de Sun Nov 22 13:29:33 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 22 Nov 2009 13:29:33 +0100 Subject: [Postfixbuch-users] policyd-weight Message-ID: <4B092EAD.2080904@novuage.de> Hallo, ich habe immer mal das Problem das ich gerne Clients von diversen Checks ausschließen möchte. Ich habe aber verschiedene Checks in meiner Konfiguration. Ich habe mir mehrere Klassen gebaut. smtpd_restriction_classes = class_int class_dnsbl class_grey class_fwd class_dnsbl_grey class_fwd_dnsbl class_fwd_grey class_fwd_dnsbl_grey class_std_restriction class_int = permit # policyd-weight class_dnsbl = check_policy_service inet:127.0.0.1:12525 # postgrey class_grey = check_policy_service inet:127.0.0.1:60000 # postfwd class_fwd = check_policy_service inet:127.0.0.1:10040 class_dnsbl_grey = class_dnsbl, class_grey class_fwd_dnsbl = class_fwd, class_dnsbl class_fwd_grey = class_fwd, class_grey class_fwd_dnsbl_grey = class_fwd, class_dnsbl, class_grey class_std_restriction = class_fwd_dnsbl_grey Und diese dann über "check_recipient_access" in die "smtpd_recipient_restrictions" eingebaut. So kann ich für jede Domain einen Standard definieren, aber durch manuelles Eintragen einzelner Adressen auch andere Checks ausnehmen. check_recipient_access btree:/etc/postfix/recipient_restriction domain.tld class_fwd_dnsbl_grey ziel at domain.tld class_dnsbl So wird für alle Adressen der postfwd, policyd-weight und postgrey verwenden, aber für die Adresse "ziel at domain.tld" wird nur der policyd-weight verwendet. In anderen Anleitungen auch vor kurzem hier von Peer geschrieben kann man einzelne Checks pro Client ausnehmen wenn man quasi obiges nicht mir "check_recipient_access" sonder mit "check_client_access" macht. Bisher war ich nie wirklich in der Lage eine Ausnahme setzen zu wollen, und greylisting kann ich pro Empfänger abschalten oder eben die Whitelisten verwenden die ja von postgrey selbst abgefragt werden. Nun habe ich die Idee dies whitlist Dateien von postgrey auch in policyd-weight einzubauen. Denn hier gibt es keine Möglichkeiten whitelists einzustellen die dann direkt von policyd-weight selbst befragt werden. Mein Perl ist nun nicht das beste und bevor ich hier Hand anlege wollte ich fragen ob jemand einen andere Idee hat. Ansonten würde ich gern eine Datei bauen wollen: policyd-weight_whitelist_clients policyd-weight_whitelist_clients.local policyd-weight_whitelist_recipients policyd-weight_whitelist_recipients.local Analog zu denen von postgrey und die Funktionen aus postgrey in policyd-weigth einbauen. Das sollte ja theoretisch nicht so ein großen Problem sein, die Whiteliststelle für recipients existiert ja quasi schon für abuse/postmaster und müsste nur erweitert werden, für Clients könnte man die Punkte "-20" setzen wenn der Eintrag in der Liste steht. Aber auch hier sollte eine Ausstiegsbedingung und Logmeldung kein riesen Problem sein. Über Feedback wäre ich dankbar. -- Gruß Sascha From daniel at dlutt.de Sun Nov 22 18:07:51 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Sun, 22 Nov 2009 18:07:51 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <20091122120231.CD157227406C@lobos.wdns.at> References: <202985543.20091119184156@dlutt.de> <20091122120231.CD157227406C@lobos.wdns.at> Message-ID: <1487275039.20091122180751@dlutt.de> Alois Kratochwill schrieb: >>Timm M.Schneider schrieb: >>> Hallo allerseits, >>>wie ich eine Blacklist abfrage ist mir klar, allerdings eine whitelist >>>nicht. >>> Da kann ich ja kein reject_rbl_client verwenden. >>> Habe diesbzgl. nichts gefunden. >>rsync und check_client_access oder Policy Server wie postfwd. >>http://www.dnswl.org/tech#postfix >>http://www.postfwd.org >>Bei postfwd hast du noch den Vorteil,dass du für verschiedene >>Rückgabewerte diverse Aktionen ausführen kannst, also beispielsweise >>127.0.0.2 reject >>127.0.0.3 dunno >>usw. >>Grüße, >>Daniel > Kurze Beschreibung gibt's auch hier: > http://www.heinlein-support.de/upload/mk4/2-03_postfwd-Das-flexible-Policyd- > Framework.pdf > Meine Postfixe arbeiten zZt. mit postfix-policyd und reject_rbl_client. > Nun, da ich auf postfwd gestoßen bin, stelle ich mir die Frage, ob ein > Umstieg von oben genannter Konstellation auf postfwd nicht sinnvoller wäre? Beide verfolgen einen anderen Ansatz,wobei sich postfwd flexibler einsetzen lässt,da du relativ einfach neue Regeln mit verschiedenen Aktionen implementieren kannst. policyd-weight funktioniert nach der Installation bereits "Out-of-the-Box", bei postfwd sollte man noch einiges anpassen,um gute Ergebnisse zu erzielen. Einen sinnvollen Grund zu einer Umstellung könnte ich dir nicht nennen,da beide Policy-Server zuverlässig arbeiten - persönlich setze ich wegen der Flexibilität postfwd ein. Auch verwende ich reject_rbl_client in Postfix nicht mehr,da ich dies komplett an postfwd übergeben habe,um ggf. noch weitere Kriterien (HELO,weitere RBL's...) prüfen zu können. Sinnvoll ist auch der DNS-Cache,den beide Policy-Server zur Verfügung stellen. Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From tigapb at arcor.de Sun Nov 22 23:03:36 2009 From: tigapb at arcor.de (tigapb at arcor.de) Date: Sun, 22 Nov 2009 23:03:36 +0100 (CET) Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29?= Message-ID: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> Sehr geehrte Postfix-Community, ich habe folgendes Problem: Ich habe einen vServer auf dem ich nach dem HowTo von Christoph Pilka (http://debian.asconix.com/postfix-dovecot-mailserver-debian-lenny-howto) Postfix und Dovecot eingerichtet habe. Es hat auch alles wunderbar funktioniert. Dann musste ich feststellen das eines Tages mein vServer offline war und ich ihn neu starten musste. Seit dem Zeitpunkt funktioniert Postfix nicht mehr. D.h. ich kann keine Mails mehr von und an außerhalb des Servers schicken. Die einzige Meldung die ich im Log finde ist: ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; from= to= proto=SMTP helo= Ich habe bereits Postfix und Dovecot einmal komplett aus dem System genommen (mit apt-get --purge remove) und neu draufgezogen. Danach wieder nach obigem HowTo eingerichtet. Auch jetzt ist die Meldung im Log immer noch die gleiche. Die RDNS verweist auf den Hostname (FQDN) und sollte nicht das Problem sein, auch halte ich eine falsche Konfiguration des sendenden Clients für unwahrscheinlich, da ich die Mail von gmx aus geschickt habe und nicht von einem 'x-Beliebigem'. postconf -n: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all mailbox_size_limit = 0 mydestination = localhost, $mydomain mydomain = Simone41.servcity.org myhostname = Simone41.servcity.org mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = $mydomain readme_directory = no recipient_delimiter = + relayhost = smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated reject_invalid_hostname reject_unknown_client reject_rbl_client sbl-xbl.spamhaus.org smtpd_recipient_limit = 250 smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $mydomain smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sender_restrictions = permit_mynetworks reject_unknown_address reject_unknown_sender_domain smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/tigepacert.pem smtpd_tls_key_file = /etc/ssl/private/tigepakey.pem smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes tls_random_source = dev:/dev/urandom virtual_alias_maps = hash:/etc/postfix/virtual_alias virtual_gid_maps = static:5000 virtual_mailbox_base = /var/mail/vhosts virtual_mailbox_domains = /etc/postfix/virtual_domains virtual_mailbox_maps = hash:/etc/postfix/vmailbox virtual_minimum_uid = 100 virtual_transport = dovecot virtual_uid_maps = static:5000 die einzige Änderung an der master.cf ist der aus dem HowTo: dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} die dovecot.conf poste ich jetzt mal nicht. Der Inhalt entspricht halt der Ausgangskonfiguration plus den Änderungen aus dem HowTo. Ich habe mich bereits an Christoph Pilka gewannt, der allerdings auch nicht mehr weiter weis. Ich hoffe einer von Ihnen kann mir bei diesem Problem behilflich sein. Mit freundlichen Grüßen Tim Gemmeke From driessen at fblan.de Sun Nov 22 23:24:37 2009 From: driessen at fblan.de (Uwe Driessen) Date: Sun, 22 Nov 2009 23:24:37 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> References: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> Message-ID: <000b01ca6bc2$93d7eeb0$0565a8c0@uwe> On Behalf Of tigapb at arcor.de > Sehr geehrte Postfix-Community, > > ich habe folgendes Problem: > Ich habe einen vServer auf dem ich nach dem HowTo von Christoph Pilka > (http://debian.asconix.com/postfix-dovecot-mailserver-debian-lenny-howto) Postfix und > Dovecot eingerichtet habe. Es hat auch alles wunderbar funktioniert. > Dann musste ich feststellen das eines Tages mein vServer offline war und ich ihn neu > starten musste. Seit dem Zeitpunkt funktioniert Postfix nicht mehr. D.h. ich kann keine > Mails mehr von und an außerhalb des Servers schicken. Die einzige Meldung die ich im Log > finde ist: > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: 450 4.7.1 > Client host rejected: cannot find your hostname, [213.165.64.20]; from= > to= proto=SMTP helo= > Ich habe bereits Postfix und Dovecot einmal komplett aus dem System genommen (mit apt- > get --purge remove) und neu draufgezogen. Danach wieder nach obigem HowTo eingerichtet. > Auch jetzt ist die Meldung im Log immer noch die gleiche. > Die RDNS verweist auf den Hostname (FQDN) und sollte nicht das Problem sein, auch halte > ich eine falsche Konfiguration des sendenden Clients für unwahrscheinlich, da ich die > Mail von gmx aus geschickt habe und nicht von einem 'x-Beliebigem'. Das ist ein DNS Problem Kontrolliere alle Einstellungen bzgl. des DNS in deinem System Stimmt der Eintrag in resolv.conf? Ist der DNS Server erreichbar Läuft Postfix im chroot? Master.cf kontrollieren Hat Postfix zugriff auf den DNS? Melde dich als Postfix am System an und mache eine Host abfrage. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From steve at cronjob.eu Sun Nov 22 23:22:05 2009 From: steve at cronjob.eu (Steve Teuber) Date: Sun, 22 Nov 2009 23:22:05 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> References: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> Message-ID: <4B09B98D.3020106@cronjob.eu> tigapb at arcor.de schrieb: > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; from= to= proto=SMTP helo= > Hallo Tim, was steht denn in deiner /etc/resolv.conf? From postfix-list at novuage.de Sun Nov 22 23:27:59 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 22 Nov 2009 23:27:59 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> References: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> Message-ID: <4B09BAEF.7040409@novuage.de> tigapb at arcor.de schrieb: > ich habe folgendes Problem: > Ich habe einen vServer auf dem ich nach dem HowTo von Christoph Pilka (http://debian.asconix.com/postfix-dovecot-mailserver-debian-lenny-howto) Postfix und Dovecot eingerichtet habe. Es hat auch alles wunderbar funktioniert. > Dann musste ich feststellen das eines Tages mein vServer offline war und ich ihn neu starten musste. Seit dem Zeitpunkt funktioniert Postfix nicht mehr. D.h. ich kann keine Mails mehr von und an außerhalb des Servers schicken. Die einzige Meldung die ich im Log finde ist: > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; from= to= proto=SMTP helo= > Ich habe bereits Postfix und Dovecot einmal komplett aus dem System genommen (mit apt-get --purge remove) und neu draufgezogen. Danach wieder nach obigem HowTo eingerichtet. Auch jetzt ist die Meldung im Log immer noch die gleiche. > Die RDNS verweist auf den Hostname (FQDN) und sollte nicht das Problem sein, auch halte ich eine falsche Konfiguration des sendenden Clients für unwahrscheinlich, da ich die Mail von gmx aus geschickt habe und nicht von einem 'x-Beliebigem'. Also laut der Meldung das die IP-Adresse von GMX nicht aufgelöst werden kann, würde ich sagen ist auch eventuell die Namensauflösung selbst, zumindest über Postfix nicht ganz in Ordnung. funktioniert auf der Konsole denn ein auflösen? [server]:~# host 213.165.64.20 20.64.165.213.in-addr.arpa domain name pointer mail.gmx.net. [server]:~# Laut der Konfiuration "reject_unknown_address" sollte das bedeutet das es abgelehnt wird wenn die Adresse nicht aufgelöst werden kann. Ich kann obiges sache "reject_unknown_address" übrigens nicht auf "postfix.org" finden. Nur hier "http://www.postfix.org/spam.html" was ja im Hintergrund schon sagt das die Seite alt ist. Fakt ist das ohne DNS viele der Checks nicht so recht passen/funktionieren werden. -- Gruß Sascha From postfix-list at novuage.de Sun Nov 22 23:28:48 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 22 Nov 2009 23:28:48 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B09B98D.3020106@cronjob.eu> References: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> <4B09B98D.3020106@cronjob.eu> Message-ID: <4B09BB20.5060704@novuage.de> Steve Teuber schrieb: > tigapb at arcor.de schrieb: >> ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from >> unknown[213.165.64.20]: 450 4.7.1 Client host rejected: cannot find >> your hostname, [213.165.64.20]; from= >> to= proto=SMTP helo= >> > Hallo Tim, > > was steht denn in deiner /etc/resolv.conf? oder "/var/spool/postfix/etc/resolv.conf" -- Gruß Sascha From n.gerhards at ib-gerhards.de Mon Nov 23 05:01:44 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Mon, 23 Nov 2009 05:01:44 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> References: <15944698.1258927416661.JavaMail.ngmail@webmail14.arcor-online.net> Message-ID: <4B0A0928.3050102@ib-gerhards.de> Hallo, ich finde es 'ungewöhnlich', dass Du myhostname und mydomain gleich benennst. Müsste es nicht heißen: mydomain = servcity.org myhostname = mail.servcity.org Was steht denn in /etc/mailname ? Und in mynetworks müsstest Du m. E. Deine Aussen-IP noch eintragen: mynetworks = 123.456.789.123/32 127.0.0.0/8 usw. Wie ist denn Dein DNS aufgesetzt? Schicke doch mal Deine Zonendateien. Viele Grüße Norbert tigapb at arcor.de schrieb: > Sehr geehrte Postfix-Community, > > ich habe folgendes Problem: > Ich habe einen vServer auf dem ich nach dem HowTo von Christoph Pilka (http://debian.asconix.com/postfix-dovecot-mailserver-debian-lenny-howto) Postfix und Dovecot eingerichtet habe. Es hat auch alles wunderbar funktioniert. > Dann musste ich feststellen das eines Tages mein vServer offline war und ich ihn neu starten musste. Seit dem Zeitpunkt funktioniert Postfix nicht mehr. D.h. ich kann keine Mails mehr von und an außerhalb des Servers schicken. Die einzige Meldung die ich im Log finde ist: > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; from= to= proto=SMTP helo= > Ich habe bereits Postfix und Dovecot einmal komplett aus dem System genommen (mit apt-get --purge remove) und neu draufgezogen. Danach wieder nach obigem HowTo eingerichtet. Auch jetzt ist die Meldung im Log immer noch die gleiche. > Die RDNS verweist auf den Hostname (FQDN) und sollte nicht das Problem sein, auch halte ich eine falsche Konfiguration des sendenden Clients für unwahrscheinlich, da ich die Mail von gmx aus geschickt habe und nicht von einem 'x-Beliebigem'. > > postconf -n: > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > inet_interfaces = all > mailbox_size_limit = 0 > mydestination = localhost, $mydomain > mydomain = Simone41.servcity.org > myhostname = Simone41.servcity.org > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = $mydomain > readme_directory = no > recipient_delimiter = + > relayhost = > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP > smtpd_client_restrictions = > permit_mynetworks > permit_sasl_authenticated > reject_invalid_hostname > reject_unknown_client > reject_rbl_client sbl-xbl.spamhaus.org > smtpd_recipient_limit = 250 > smtpd_recipient_restrictions = > permit_mynetworks > permit_sasl_authenticated > reject_unauth_destination > smtpd_sasl_auth_enable = yes > smtpd_sasl_local_domain = $mydomain > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous > smtpd_sasl_type = dovecot > smtpd_sender_restrictions = > permit_mynetworks > reject_unknown_address > reject_unknown_sender_domain > smtpd_tls_auth_only = no > smtpd_tls_cert_file = /etc/ssl/certs/tigepacert.pem > smtpd_tls_key_file = /etc/ssl/private/tigepakey.pem > smtpd_tls_received_header = yes > smtpd_tls_security_level = may > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > tls_random_source = dev:/dev/urandom > virtual_alias_maps = hash:/etc/postfix/virtual_alias > virtual_gid_maps = static:5000 > virtual_mailbox_base = /var/mail/vhosts > virtual_mailbox_domains = /etc/postfix/virtual_domains > virtual_mailbox_maps = hash:/etc/postfix/vmailbox > virtual_minimum_uid = 100 > virtual_transport = dovecot > virtual_uid_maps = static:5000 > > die einzige Änderung an der master.cf ist der aus dem HowTo: > dovecot unix - n n - - pipe > flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} > > die dovecot.conf poste ich jetzt mal nicht. Der Inhalt entspricht halt der Ausgangskonfiguration plus den Änderungen aus dem HowTo. > > Ich habe mich bereits an Christoph Pilka gewannt, der allerdings auch nicht mehr weiter weis. > Ich hoffe einer von Ihnen kann mir bei diesem Problem behilflich sein. > > Mit freundlichen Grüßen > Tim Gemmeke > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From kai_postfix at fuerstenberg.ws Mon Nov 23 14:26:15 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 23 Nov 2009 14:26:15 +0100 Subject: [Postfixbuch-users] policyd-weight In-Reply-To: <4B092EAD.2080904@novuage.de> References: <4B092EAD.2080904@novuage.de> Message-ID: <4B0A8D77.5060907@fuerstenberg.ws> Hallo Sascha, Sascha Peters schrieb am 22.11.2009 13:29: > Bisher war ich nie wirklich in der Lage eine Ausnahme setzen zu wollen, > und greylisting kann ich pro Empfänger abschalten oder eben die > Whitelisten verwenden die ja von postgrey selbst abgefragt werden. Nun > habe ich die Idee dies whitlist Dateien von postgrey auch in > policyd-weight einzubauen. Denn hier gibt es keine Möglichkeiten > whitelists einzustellen die dann direkt von policyd-weight selbst > befragt werden. Alles was du brauchst sind restriction classes. Diese dürften zwar hinterher evtl. mehrfach verschachtelt sein, aber dennoch funktioniert das: smtpd_recipient_restriction = [..] check_whitelist [..] check_whitelist = check_sender_access cidr:/etc/postfix/check_whitelist.cf check_whitelist.cf: 1.2.3.4 DUNNO 0.0.0.0/0 class_dnsbl 1.2.3.4 wird von den Checks ausgenommen, während alle anderen durch den Policyd_weight geschickt werden. Beim Greylisting und postfwd geht das genauso. Theoretisch kannst du auch die gleiche Liste verwenden, oder entsprechend in der aufgerufenen Klasse die Tests durchführen oder nochmal separieren oder wie auch immer. Es gibt etliche Möglichkeiten. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From r.felber at ek-muc.de Mon Nov 23 16:53:59 2009 From: r.felber at ek-muc.de (Robert Felber) Date: Mon, 23 Nov 2009 16:53:59 +0100 Subject: [Postfixbuch-users] Script um policyd-weight automatisch zu starten In-Reply-To: <4B05BBAA.1090000@amaltea.ath.cx> References: <200911191405.35815.p.heinlein@heinlein-support.de> <4B05BBAA.1090000@amaltea.ath.cx> Message-ID: <20091123155359.GA42579@robtone.ek-muc.de> On Thu, Nov 19, 2009 at 10:42:02PM +0100, PV wrote: > Peer Heinlein schrieb: > > Ich habe u.a. für policyd-weight fertige RPM-Pakete. Einfach als Quelle > > einbinden und über YaST installieren und gut ist. > > > > http://download.opensuse.org/repositories/home:/pheinlein/ > Prima! Danke fürs "Paket schnüren". Habe es probehalber einfach mal > eingebunden und installiert. > > Was mir aufgefallen ist, und ich mir nicht erklären kann, ist, das mein > Server bei aktiviertem polw dauerhaft eine UDP Verbindung zum DNS Server > meines Providers aufbaut. UDP ist Connectionles. Ja, er holt sich ein Net::DNS::Resolver handle, damit erstellt er den Socket. > server:~ # netstat -antup | grep 85.214.7.22 > udp 0 0 85.214.6x.xxx:59025 85.214.7.22:53 > VERBUNDEN 13503/policyd-weigh > > Allerdings konnte ich keinen Paketaustausch ersniffen. (2x30 sek tcpdump > getestet...) > > Bei meinem manuell installiertem policyd-weight (selbe Version, anderer > Server) ist keine solche Verbindung zu sehen. > Weißt Du warum? Anderes Net::DNS Verhalten? 'policyd-weight -v' auf beiden Maschinen bringt evtl Erleuchtung. Ansonsten eigentlich nicht: dh: er sollte vorhanden sein. -- Robert Felber (PGP: 896CF30B) Munich, Germany From postfix-list at novuage.de Mon Nov 23 22:15:12 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 23 Nov 2009 22:15:12 +0100 Subject: [Postfixbuch-users] policyd-weight In-Reply-To: <4B0A8D77.5060907@fuerstenberg.ws> References: <4B092EAD.2080904@novuage.de> <4B0A8D77.5060907@fuerstenberg.ws> Message-ID: <4B0AFB60.30504@novuage.de> Kai Fürstenberg schrieb: > Hallo Sascha, > > Sascha Peters schrieb am 22.11.2009 13:29: >> Bisher war ich nie wirklich in der Lage eine Ausnahme setzen zu >> wollen, und greylisting kann ich pro Empfänger abschalten oder eben >> die Whitelisten verwenden die ja von postgrey selbst abgefragt werden. >> Nun habe ich die Idee dies whitlist Dateien von postgrey auch in >> policyd-weight einzubauen. Denn hier gibt es keine Möglichkeiten >> whitelists einzustellen die dann direkt von policyd-weight selbst >> befragt werden. > > Alles was du brauchst sind restriction classes. Diese dürften zwar > hinterher evtl. mehrfach verschachtelt sein, aber dennoch funktioniert das: > > smtpd_recipient_restriction = > [..] > check_whitelist > [..] > check_whitelist = check_sender_access cidr:/etc/postfix/check_whitelist.cf > > check_whitelist.cf: > 1.2.3.4 DUNNO > 0.0.0.0/0 class_dnsbl > > 1.2.3.4 wird von den Checks ausgenommen, während alle anderen durch den > Policyd_weight geschickt werden. Beim Greylisting und postfwd geht das > genauso. Theoretisch kannst du auch die gleiche Liste verwenden, oder > entsprechend in der aufgerufenen Klasse die Tests durchführen oder > nochmal separieren oder wie auch immer. Es gibt etliche Möglichkeiten. Aber wenn mehrere check Anweisungen in einer Ebene vorhanden sind und ich wie geschrieben anhand der Empfänger noch mal eine Klasse zurück geben, dann ist die Ausnahme wieder Hinfällig. Daher kann das so doch nicht klappen. Diese Ausnahmen greifen Nur wenn ich die Empfänger nicht unterschiedlich einstellen will. Ich versuch das mal in Dein Beispiel zu integrieren. smtpd_recipient_restriction = [..] check_whitelist [..] check_recipient_access btree:/etc/potfix/recipient_address Dann würde an der oben von Dir definierten Stelle die Client IP-Adresse mit DUNNO übersprungen, aber dann bei check_recipient_access mittels Empfängeradresse wieder eine Klasse zurückgegeben die die jeweiligen Checks durchführt. Oder habe ich nicht verstanden was Du meinst? -- Gruß Sascha From postfix-list at novuage.de Mon Nov 23 23:49:39 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 23 Nov 2009 23:49:39 +0100 Subject: [Postfixbuch-users] policyd-weight In-Reply-To: <4B0AFB60.30504@novuage.de> References: <4B092EAD.2080904@novuage.de> <4B0A8D77.5060907@fuerstenberg.ws> <4B0AFB60.30504@novuage.de> Message-ID: <4B0B1183.9090808@novuage.de> Sascha Peters schrieb: > Kai Fürstenberg schrieb: >> Hallo Sascha, >> >> Sascha Peters schrieb am 22.11.2009 13:29: >>> Bisher war ich nie wirklich in der Lage eine Ausnahme setzen zu >>> wollen, und greylisting kann ich pro Empfänger abschalten oder eben >>> die Whitelisten verwenden die ja von postgrey selbst abgefragt >>> werden. Nun habe ich die Idee dies whitlist Dateien von postgrey auch >>> in policyd-weight einzubauen. Denn hier gibt es keine Möglichkeiten >>> whitelists einzustellen die dann direkt von policyd-weight selbst >>> befragt werden. >> >> Alles was du brauchst sind restriction classes. Diese dürften zwar >> hinterher evtl. mehrfach verschachtelt sein, aber dennoch funktioniert >> das: >> >> smtpd_recipient_restriction = >> [..] >> check_whitelist >> [..] >> check_whitelist = check_sender_access >> cidr:/etc/postfix/check_whitelist.cf >> >> check_whitelist.cf: >> 1.2.3.4 DUNNO >> 0.0.0.0/0 class_dnsbl >> >> 1.2.3.4 wird von den Checks ausgenommen, während alle anderen durch >> den Policyd_weight geschickt werden. Beim Greylisting und postfwd geht >> das genauso. Theoretisch kannst du auch die gleiche Liste verwenden, >> oder entsprechend in der aufgerufenen Klasse die Tests durchführen >> oder nochmal separieren oder wie auch immer. Es gibt etliche >> Möglichkeiten. > > Aber wenn mehrere check Anweisungen in einer Ebene vorhanden sind und > ich wie geschrieben anhand der Empfänger noch mal eine Klasse zurück > geben, dann ist die Ausnahme wieder Hinfällig. Daher kann das so doch > nicht klappen. > > Diese Ausnahmen greifen Nur wenn ich die Empfänger nicht unterschiedlich > einstellen will. Ich versuch das mal in Dein Beispiel zu integrieren. > > smtpd_recipient_restriction = > [..] > check_whitelist > [..] > check_recipient_access btree:/etc/potfix/recipient_address > > > Dann würde an der oben von Dir definierten Stelle die Client IP-Adresse > mit DUNNO übersprungen, aber dann bei check_recipient_access mittels > Empfängeradresse wieder eine Klasse zurückgegeben die die jeweiligen > Checks durchführt. > > Oder habe ich nicht verstanden was Du meinst? Ich habe es falsch verstanden, habe es nun hinbekommen. Muss zwar nun ein bisschen umbauen, und habe dadurch sogar ein paar Klassen weniger... aber das ist ja nicht schlimm :-) Danke für die Hilfe. -- Gruß Sascha From r.felber at ek-muc.de Mon Nov 23 23:54:36 2009 From: r.felber at ek-muc.de (Robert Felber) Date: Mon, 23 Nov 2009 23:54:36 +0100 Subject: [Postfixbuch-users] policyd-weight In-Reply-To: <4B0AFB60.30504@novuage.de> References: <4B092EAD.2080904@novuage.de> <4B0A8D77.5060907@fuerstenberg.ws> <4B0AFB60.30504@novuage.de> Message-ID: <20091123225436.GA7575@robtone.ek-muc.de> On Mon, Nov 23, 2009 at 10:15:12PM +0100, Sascha Peters wrote: > Aber wenn mehrere check Anweisungen in einer Ebene vorhanden sind und > ich wie geschrieben anhand der Empfänger noch mal eine Klasse zurück > geben, dann ist die Ausnahme wieder Hinfällig. Daher kann das so doch > nicht klappen. > > Diese Ausnahmen greifen Nur wenn ich die Empfänger nicht unterschiedlich > einstellen will. Ich versuch das mal in Dein Beispiel zu integrieren. > > smtpd_recipient_restriction = > [..] > check_whitelist > [..] > check_recipient_access btree:/etc/potfix/recipient_address > > > Dann würde an der oben von Dir definierten Stelle die Client IP-Adresse > mit DUNNO übersprungen, aber dann bei check_recipient_access mittels > Empfängeradresse wieder eine Klasse zurückgegeben die die jeweiligen > Checks durchführt. > > Oder habe ich nicht verstanden was Du meinst? Ich verstehe dein Szenario, bzw dein Problem nicht ganz. Wann willst du was whitelisten, welche bedingungen muessen erfuellt sein? smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination ... check_policyd_weight_recipients check_policyd_weight_recipients = check_recipient_access db:recipients check_policyd_weight_client_whitelist = check_client_access db:whitelist check_policyd_weight = check_policy_service inet:... recipients @domain.tld check_policyd_weight_client_whitelist 0.0.0.0/0 DUNNO whitelist 1.2.3.4 DUNNO yahoo.com DUNNO 0.0.0.0/0 check_policyd_weight -- Robert Felber (PGP: 896CF30B) Munich, Germany From postfix-list at novuage.de Tue Nov 24 00:17:34 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 24 Nov 2009 00:17:34 +0100 Subject: [Postfixbuch-users] policyd-weight In-Reply-To: <20091123225436.GA7575@robtone.ek-muc.de> References: <4B092EAD.2080904@novuage.de> <4B0A8D77.5060907@fuerstenberg.ws> <4B0AFB60.30504@novuage.de> <20091123225436.GA7575@robtone.ek-muc.de> Message-ID: <4B0B180E.8020904@novuage.de> Robert Felber schrieb: > Ich verstehe dein Szenario, bzw dein Problem nicht ganz. Wann > willst du was whitelisten, welche bedingungen muessen erfuellt sein? Bisher ist es so das ich in einer Abfrage nach der Zieladresse eine Klasse zurückgebe die eine Liste von Checks beinhaltet. Also "policyd und greylisting" oder nur je eines von beiden. Wenn ich davor eine Abfrage nach der Client IP-Adresse mache um einen dieser Checks nicht machen zu müssen, also einen Server whiteliste für eine Prüfung, dann nutzt mir ein DUNNO nicht viel, da einen Schritt weiter anhand der Ziel Adresse wieder der Check durchgeführt wird. Logisch ist nur eine Verschachtelung etwas was hier hilft. Es war mir nur gedanklich nicht klar das es geht, bzw. wie es geht. Wie es aussieht geht es aber auf viele Wege. Mindestens einen hab ich hinbekommen, welcher Übersichtlicher ist und weitere Tests muss ich aber auf die Woche vertragen... > smtpd_recipient_restrictions = > permit_mynetworks > permit_sasl_authenticated > reject_unauth_destination > ... > check_policyd_weight_recipients > > > check_policyd_weight_recipients = > check_recipient_access db:recipients > > check_policyd_weight_client_whitelist = > check_client_access db:whitelist > > check_policyd_weight = > check_policy_service inet:... schau ich mir an. Sieht übersichtlicher aus wie meine Bisherige Lösung. Weiß aber noch nicht ob es genau das ist was ich meinte... stelle aber dann mal die Woche vor was ich umgesetzt habe. Danke schon mal. > recipients > @domain.tld check_policyd_weight_client_whitelist > 0.0.0.0/0 DUNNO beides in einer Tabelle, das geht doch nicht, oder? -- Gruß Sascha From r.felber at ek-muc.de Tue Nov 24 00:35:44 2009 From: r.felber at ek-muc.de (Robert Felber) Date: Tue, 24 Nov 2009 00:35:44 +0100 Subject: [Postfixbuch-users] policyd-weight In-Reply-To: <4B0B180E.8020904@novuage.de> References: <4B092EAD.2080904@novuage.de> <4B0A8D77.5060907@fuerstenberg.ws> <4B0AFB60.30504@novuage.de> <20091123225436.GA7575@robtone.ek-muc.de> <4B0B180E.8020904@novuage.de> Message-ID: <20091123233544.GA26632@robtone.ek-muc.de> On Tue, Nov 24, 2009 at 12:17:34AM +0100, Sascha Peters wrote: > > recipients > > @domain.tld check_policyd_weight_client_whitelist > > 0.0.0.0/0 DUNNO > > beides in einer Tabelle, das geht doch nicht, oder? War in der falschen access map. 0.0.0.0/ DUNNO kann weggelassen werden -- Robert Felber (PGP: 896CF30B) Munich, Germany From alois.kratochwill at wdns.at Tue Nov 24 10:17:14 2009 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Tue, 24 Nov 2009 10:17:14 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <1487275039.20091122180751@dlutt.de> Message-ID: <20091124091833.4CB0F227406C@lobos.wdns.at> Alois Kratochwill schrieb: >> Kurze Beschreibung gibt's auch hier: >> http://www.heinlein-support.de/upload/mk4/2-03_postfwd-Das-flexible-> > > >> Policyd-Framework.pdf >> Meine Postfixe arbeiten zZt. mit postfix-policyd und reject_rbl_client. >> Nun, da ich auf postfwd gestoßen bin, stelle ich mir die Frage, ob ein >> Umstieg von oben genannter Konstellation auf postfwd nicht sinnvoller >> wäre? Hallo Daniel, > Beide verfolgen einen anderen Ansatz,wobei sich postfwd flexibler > einsetzen lässt,da du relativ einfach neue Regeln mit verschiedenen > Aktionen implementieren kannst. > policyd-weight funktioniert nach der Installation bereits > "Out-of-the-Box", bei postfwd sollte man noch einiges anpassen,um gute > Ergebnisse zu erzielen. > Einen sinnvollen Grund zu einer Umstellung könnte ich dir nicht > nennen,da beide Policy-Server zuverlässig arbeiten - persönlich setze > ich wegen der Flexibilität postfwd ein. Ich habe postfix-policyd im Einsatz, nicht policyd-weight! postfix-policyd kann nicht mit RBL umgehen, deshalb ist reject_rbl_client im Einsatz. Mein Gedankenansatz lag im DNS-Cache: Einsparung von Traffic und vor allem Zeit[!]. > Auch verwende ich reject_rbl_client in Postfix nicht mehr,da ich dies > komplett an postfwd übergeben habe,um ggf. noch weitere Kriterien > (HELO,weitere RBL's...) prüfen zu können. Sinnvoll ist auch der > DNS-Cache,den beide Policy-Server zur Verfügung stellen. LG Alois From daniel at dlutt.de Tue Nov 24 10:46:40 2009 From: daniel at dlutt.de (Daniel Luttermann) Date: Tue, 24 Nov 2009 10:46:40 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <20091124091833.4CB0F227406C@lobos.wdns.at> References: <1487275039.20091122180751@dlutt.de> <20091124091833.4CB0F227406C@lobos.wdns.at> Message-ID: <1579403870.20091124104640@dlutt.de> Alois Kratochwill schrieb: > Hallo Daniel, >> Beide verfolgen einen anderen Ansatz,wobei sich postfwd flexibler >> einsetzen lässt,da du relativ einfach neue Regeln mit verschiedenen >> Aktionen implementieren kannst. >> policyd-weight funktioniert nach der Installation bereits >> "Out-of-the-Box", bei postfwd sollte man noch einiges anpassen,um gute >> Ergebnisse zu erzielen. >> Einen sinnvollen Grund zu einer Umstellung könnte ich dir nicht >> nennen,da beide Policy-Server zuverlässig arbeiten - persönlich setze >> ich wegen der Flexibilität postfwd ein. > Ich habe postfix-policyd im Einsatz, nicht policyd-weight! 'tschuldigung,habe ich irgendwie durcheinander gebracht. > postfix-policyd kann nicht mit RBL umgehen, deshalb ist reject_rbl_client im > Einsatz. Mein Gedankenansatz lag im DNS-Cache: Einsparung von Traffic und > vor allem Zeit[!]. Nun könnte ich dir einige Gründe für den Einsatz von postfwd nennen... RBL's lassen sich ohne Probleme einbinden,auch lässt sich das Cache-Verhalten etwas beeinflussen (TTL,cleanup...). Nützlich sind auch die Statistiken von postfwd,mit welchen man schnell sehen kann, wie oft welche Regeln treffend waren, wie hoch die Cache-Hit Rate ist etc. (wird im Mail-Log protokolliert). Man könnte mit postfwd (und auch policyd) ein effektives Regelwerk aufbauen (selektives Greylisting in Abhängigkeit von RBL-Hits, Hostname etc.) - Möglichkeiten gibt's da einige. >> Auch verwende ich reject_rbl_client in Postfix nicht mehr,da ich dies >> komplett an postfwd übergeben habe,um ggf. noch weitere Kriterien >> (HELO,weitere RBL's...) prüfen zu können. Sinnvoll ist auch der >> DNS-Cache,den beide Policy-Server zur Verfügung stellen. Grüße, Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 488 bytes Beschreibung: nicht verfügbar URL : From tigapb at arcor.de Tue Nov 24 13:15:47 2009 From: tigapb at arcor.de (tigapb at arcor.de) Date: Tue, 24 Nov 2009 13:15:47 +0100 (CET) Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29_gel=F6st?= In-Reply-To: References: Message-ID: <28764718.1259064947758.JavaMail.ngmail@webmail18.arcor-online.net> Hallo ihr alle, ich danke euch für eure Mühen. Es war der nameserver in der resolv.conf. Mein Provider hat den alten einfach offline genommen und keine Rundmail geschickt, wie der neue lautet. Das Problem ist jetzt damit gelöst. Vielen Dank für eure Hilfe Tim Gemmeke > Message: 1 > Date: Sun, 22 Nov 2009 23:22:05 +0100 > From: Steve Teuber > Subject: Re: [Postfixbuch-users] (kein Betreff) > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <4B09B98D.3020106 at cronjob.eu> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > tigapb at arcor.de schrieb: > > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: > 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; > from= to= proto=SMTP helo= > > > Hallo Tim, > > was steht denn in deiner /etc/resolv.conf? > > > ------------------------------ > > Message: 2 > Date: Sun, 22 Nov 2009 23:27:59 +0100 > From: Sascha Peters > Subject: Re: [Postfixbuch-users] (kein Betreff) > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <4B09BAEF.7040409 at novuage.de> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > tigapb at arcor.de schrieb: > > ich habe folgendes Problem: > > Ich habe einen vServer auf dem ich nach dem HowTo von Christoph Pilka > (http://debian.asconix.com/postfix-dovecot-mailserver-debian-lenny-howto) > Postfix und Dovecot eingerichtet habe. Es hat auch alles wunderbar > funktioniert. > > Dann musste ich feststellen das eines Tages mein vServer offline war und > ich ihn neu starten musste. Seit dem Zeitpunkt funktioniert Postfix nicht > mehr. D.h. ich kann keine Mails mehr von und an außerhalb des Servers > schicken. Die einzige Meldung die ich im Log finde ist: > > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: > 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; > from= to= proto=SMTP helo= > > Ich habe bereits Postfix und Dovecot einmal komplett aus dem System > genommen (mit apt-get --purge remove) und neu draufgezogen. Danach wieder > nach obigem HowTo eingerichtet. Auch jetzt ist die Meldung im Log immer noch > die gleiche. > > Die RDNS verweist auf den Hostname (FQDN) und sollte nicht das Problem > sein, auch halte ich eine falsche Konfiguration des sendenden Clients für > unwahrscheinlich, da ich die Mail von gmx aus geschickt habe und nicht von > einem 'x-Beliebigem'. > > Also laut der Meldung das die IP-Adresse von GMX nicht aufgelöst werden > kann, würde ich sagen ist auch eventuell die Namensauflösung selbst, > zumindest über Postfix nicht ganz in Ordnung. > > funktioniert auf der Konsole denn ein auflösen? > > [server]:~# host 213.165.64.20 > 20.64.165.213.in-addr.arpa domain name pointer mail.gmx.net. > [server]:~# > > > Laut der Konfiuration "reject_unknown_address" sollte das bedeutet das > es abgelehnt wird wenn die Adresse nicht aufgelöst werden kann. Ich kann > obiges sache "reject_unknown_address" übrigens nicht auf "postfix.org" > finden. > > Nur hier "http://www.postfix.org/spam.html" was ja im Hintergrund schon > sagt das die Seite alt ist. Fakt ist das ohne DNS viele der Checks nicht > so recht passen/funktionieren werden. > > > > -- > > Gruß > Sascha > > > ------------------------------ > > Message: 3 > Date: Sun, 22 Nov 2009 23:28:48 +0100 > From: Sascha Peters > Subject: Re: [Postfixbuch-users] (kein Betreff) > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <4B09BB20.5060704 at novuage.de> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > Steve Teuber schrieb: > > tigapb at arcor.de schrieb: > >> ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from > >> unknown[213.165.64.20]: 450 4.7.1 Client host rejected: cannot find > >> your hostname, [213.165.64.20]; from= > >> to= proto=SMTP helo= > >> > > Hallo Tim, > > > > was steht denn in deiner /etc/resolv.conf? > > oder "/var/spool/postfix/etc/resolv.conf" > > -- > > Gruß > Sascha > > > ------------------------------ > > Message: 4 > Date: Mon, 23 Nov 2009 05:01:44 +0100 > From: Norbert Gerhards > Subject: Re: [Postfixbuch-users] (kein Betreff) > To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer > Heinlein." > Message-ID: <4B0A0928.3050102 at ib-gerhards.de> > Content-Type: text/plain; charset=ISO-8859-1; format=flowed > > Hallo, > > ich finde es 'ungewöhnlich', dass Du myhostname und > mydomain gleich benennst. Müsste es nicht heißen: > > mydomain = servcity.org > myhostname = mail.servcity.org > > Was steht denn in /etc/mailname ? > > Und in mynetworks müsstest Du m. E. Deine Aussen-IP > noch eintragen: > mynetworks = 123.456.789.123/32 127.0.0.0/8 usw. > > Wie ist denn Dein DNS aufgesetzt? Schicke doch mal Deine > Zonendateien. > > Viele Grüße > > Norbert > > tigapb at arcor.de schrieb: > > Sehr geehrte Postfix-Community, > > > > ich habe folgendes Problem: > > Ich habe einen vServer auf dem ich nach dem HowTo von Christoph Pilka > (http://debian.asconix.com/postfix-dovecot-mailserver-debian-lenny-howto) > Postfix und Dovecot eingerichtet habe. Es hat auch alles wunderbar > funktioniert. > > Dann musste ich feststellen das eines Tages mein vServer offline war und > ich ihn neu starten musste. Seit dem Zeitpunkt funktioniert Postfix nicht > mehr. D.h. ich kann keine Mails mehr von und an außerhalb des Servers > schicken. Die einzige Meldung die ich im Log finde ist: > > ... postfix/smtpd[...]: NOQUEUE: reject: RCPT from unknown[213.165.64.20]: > 450 4.7.1 Client host rejected: cannot find your hostname, [213.165.64.20]; > from= to= proto=SMTP helo= > > Ich habe bereits Postfix und Dovecot einmal komplett aus dem System > genommen (mit apt-get --purge remove) und neu draufgezogen. Danach wieder > nach obigem HowTo eingerichtet. Auch jetzt ist die Meldung im Log immer noch > die gleiche. > > Die RDNS verweist auf den Hostname (FQDN) und sollte nicht das Problem > sein, auch halte ich eine falsche Konfiguration des sendenden Clients für > unwahrscheinlich, da ich die Mail von gmx aus geschickt habe und nicht von > einem 'x-Beliebigem'. > > > > postconf -n: > > alias_database = hash:/etc/aliases > > alias_maps = hash:/etc/aliases > > append_dot_mydomain = no > > biff = no > > broken_sasl_auth_clients = yes > > config_directory = /etc/postfix > > inet_interfaces = all > > mailbox_size_limit = 0 > > mydestination = localhost, $mydomain > > mydomain = Simone41.servcity.org > > myhostname = Simone41.servcity.org > > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > > myorigin = $mydomain > > readme_directory = no > > recipient_delimiter = + > > relayhost = > > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > > smtpd_banner = $myhostname ESMTP > > smtpd_client_restrictions = > > permit_mynetworks > > permit_sasl_authenticated > > reject_invalid_hostname > > reject_unknown_client > > reject_rbl_client sbl-xbl.spamhaus.org > > smtpd_recipient_limit = 250 > > smtpd_recipient_restrictions = > > permit_mynetworks > > permit_sasl_authenticated > > reject_unauth_destination > > smtpd_sasl_auth_enable = yes > > smtpd_sasl_local_domain = $mydomain > > smtpd_sasl_path = private/auth > > smtpd_sasl_security_options = noanonymous > > smtpd_sasl_type = dovecot > > smtpd_sender_restrictions = > > permit_mynetworks > > reject_unknown_address > > reject_unknown_sender_domain > > smtpd_tls_auth_only = no > > smtpd_tls_cert_file = /etc/ssl/certs/tigepacert.pem > > smtpd_tls_key_file = /etc/ssl/private/tigepakey.pem > > smtpd_tls_received_header = yes > > smtpd_tls_security_level = may > > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > > smtpd_use_tls = yes > > tls_random_source = dev:/dev/urandom > > virtual_alias_maps = hash:/etc/postfix/virtual_alias > > virtual_gid_maps = static:5000 > > virtual_mailbox_base = /var/mail/vhosts > > virtual_mailbox_domains = /etc/postfix/virtual_domains > > virtual_mailbox_maps = hash:/etc/postfix/vmailbox > > virtual_minimum_uid = 100 > > virtual_transport = dovecot > > virtual_uid_maps = static:5000 > > > > die einzige Änderung an der master.cf ist der aus dem HowTo: > > dovecot unix - n n - - pipe > > flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} > -d ${recipient} > > > > die dovecot.conf poste ich jetzt mal nicht. Der Inhalt entspricht halt der > Ausgangskonfiguration plus den Änderungen aus dem HowTo. > > > > Ich habe mich bereits an Christoph Pilka gewannt, der allerdings auch > nicht mehr weiter weis. > > Ich hoffe einer von Ihnen kann mir bei diesem Problem behilflich sein. > > > > Mit freundlichen Grüßen > > Tim Gemmeke > > -- > > _______________________________________________ > > Postfixbuch-users -- http://www.postfixbuch.de > > Heinlein Professional Linux Support GmbH > > > > Postfixbuch-users at listen.jpberlin.de > > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > > > ------------------------------ > > _______________________________________________ > Postfixbuch-users mailing list > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > > Ende Postfixbuch-users Nachrichtensammlung, Band 132, Eintrag 38 > **************************************************************** > From postfix at codingpirates.org Tue Nov 24 15:03:59 2009 From: postfix at codingpirates.org (Torsten) Date: Tue, 24 Nov 2009 15:03:59 +0100 Subject: [Postfixbuch-users] Exchange extract ohne interne Adressen Message-ID: <4B0BE7CF.8000603@codingpirates.org> Hallo zusammen, ich bin hier gerade auf ein Problem gestoßen, das ich bisher in keiner Doku gefunden habe. Alle E-Mailadressen werden mittels Perl Script (http://www-personal.umich.edu/~malth/gaptuning/postfix/) aus einem Exchangesystem ausgelesen und als Datei dem Mailserver zu Verfügung gestellt. Das Perl Script habe ich über postfix.org gefunden und meine Daten an den Exchange 2007 angepasst. Allerdings werden hierbei alle Adressen ausgelesen, auch die Adressen, die nur für interne Zwecke genutzt werden. Das ganze ist deshalb ärgerlich, weil dadurch ein weiteres Script laufen muss, das diese internen Adressen ausfiltert. Bedeutet mehr Bereiche für Fehler und mehr Arbeit, weil diese Dateien auch gepflegt werden müssen. Hat irgend jemand hier eine Lösung, die nur Adressen ausliest, die auch als extern gekennzeichnet sind? Gruß Torsten From p.heinlein at heinlein-support.de Tue Nov 24 15:41:36 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 24 Nov 2009 15:41:36 +0100 Subject: [Postfixbuch-users] Exchange extract ohne interne Adressen In-Reply-To: <4B0BE7CF.8000603@codingpirates.org> References: <4B0BE7CF.8000603@codingpirates.org> Message-ID: <200911241541.36721.p.heinlein@heinlein-support.de> Am Dienstag 24 November 2009 schrieb Torsten: > alle Adressen ausgelesen, auch die Adressen, die nur für interne > Zwecke genutzt werden. Das ganze ist deshalb ärgerlich, weil dadurch Eine Frage des LDAP-Filterst. Du findest ihn im Script. > Hat irgend jemand hier eine Lösung, die nur Adressen ausliest, die > auch als extern gekennzeichnet sind? LDAP-Filter anpassen. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From ffiene at veka.com Tue Nov 24 16:42:36 2009 From: ffiene at veka.com (Frank Fiene) Date: Tue, 24 Nov 2009 16:42:36 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint Message-ID: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> Hallo Leute, Peer, ich habe mir gerade das Best-Practices-Video von der Mailserver-Konferenz angetan, wie immer sehr unterhaltsam, aber das kennen wir ja schon! Als einen der letzten Sätze erwähnte Peer, das man ja eigentlich einen MX 30 mit einer nicht aktiven IP-Adresse announcen könnte. War das nur ein Spaß oder funktioniert das wirklich? Und wieviel SPAM fängt so etwas ein? 10%? Die Taktik der Spammer ist ja häufig, dass sie alle Mails an den MX mit der niedrigsten Priorität schicken. Wenn der dann nicht antwortet, interessiert das den Spammer ja eigentlich nicht und die richtig konfigurierten Mailserver nehmen halt einen der beiden MX 10. Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From postfixusers at home.tom-krieger.de Tue Nov 24 17:09:37 2009 From: postfixusers at home.tom-krieger.de (Thomas Krieger) Date: Tue, 24 Nov 2009 17:09:37 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> Message-ID: <200911241709.56223.postfixusers@home.tom-krieger.de> Hallo, > > ich habe mir gerade das Best-Practices-Video von der Mailserver-Konferenz > angetan, wie immer sehr unterhaltsam, aber das kennen wir ja schon! > > Als einen der letzten Sätze erwähnte Peer, das man ja eigentlich einen MX > 30 mit einer nicht aktiven IP-Adresse announcen könnte. > > War das nur ein Spaß oder funktioniert das wirklich? > Und wieviel SPAM fängt so etwas ein? 10%? Funktioniert, ich habe das mit einer virtuellen IP auf einem Server und einem TCP Reset für jede Verbindung gemacht. Wieviel Spam das genau weg fängt weiß ich nicht. Es wurde aber nach Aufbau merklich weniger, was auf den eigentlichen MXen als Spam abgelehnt wurde. > Die Taktik der Spammer ist ja häufig, dass sie alle Mails an den MX mit der > niedrigsten Priorität schicken. Wenn der dann nicht antwortet, > interessiert das den Spammer ja eigentlich nicht und die richtig > konfigurierten Mailserver nehmen halt einen der beiden MX 10. Eben. Servus Thomas -- "Everybody is talking about the weather but nobody does anything about it." -- Mark Twain From p.heinlein at heinlein-support.de Tue Nov 24 17:10:44 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 24 Nov 2009 17:10:44 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> Message-ID: <200911241710.44820.p.heinlein@heinlein-support.de> Am Dienstag 24 November 2009 schrieb Frank Fiene: > War das nur ein Spaß oder funktioniert das wirklich? > Und wieviel SPAM fängt so etwas ein? 10%? Stimmt, da fällt mir ein: Das wollte ich ja schon immer mal ganz konkret messen. Muß ich mir mal vornehmen. Genaue Zahlen habe ich da derzeit leider auch nicht. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From sebastian at debianfan.de Tue Nov 24 17:18:09 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 24 Nov 2009 17:18:09 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <200911241709.56223.postfixusers@home.tom-krieger.de> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241709.56223.postfixusers@home.tom-krieger.de> Message-ID: <4B0C0741.3080108@debianfan.de> Thomas Krieger schrieb: > > Funktioniert, ich habe das mit einer virtuellen IP auf einem Server und einem > TCP Reset für jede Verbindung gemacht. Wieviel Spam das genau weg fängt weiß > ich nicht. Es wurde aber nach Aufbau merklich weniger, was auf den > eigentlichen MXen als Spam abgelehnt wurde. > Wie verhindere ich, dass "richtige" Mailserver den falschen MX verwenden? From sebastian at debianfan.de Tue Nov 24 17:18:51 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 24 Nov 2009 17:18:51 +0100 Subject: [Postfixbuch-users] Project Honeypot Message-ID: <4B0C076B.7020200@debianfan.de> Hallo, benutzt jemand von Euch diese Blacklist? gruß Sebastian From p.heinlein at heinlein-support.de Tue Nov 24 18:02:38 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 24 Nov 2009 18:02:38 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <4B0C0741.3080108@debianfan.de> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241709.56223.postfixusers@home.tom-krieger.de> <4B0C0741.3080108@debianfan.de> Message-ID: <200911241802.39147.p.heinlein@heinlein-support.de> Am Dienstag 24 November 2009 schrieb sebastian at debianfan.de: > Wie verhindere ich, dass "richtige" Mailserver den falschen MX > verwenden? -- Wieso? Was soll passieren? Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Tue Nov 24 18:31:32 2009 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 24 Nov 2009 18:31:32 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> Message-ID: <20091124183132.3e7760a6@gamma.bitcorner.intern> Frank Fiene schrieb am Tue, 24 Nov 2009 16:42:36 +0100: > Hallo Leute, Peer, > > ich habe mir gerade das Best-Practices-Video von der Mailserver-Konferenz angetan, wie immer sehr unterhaltsam, aber das kennen wir ja schon! Ist das Video öffentlich zugänglich? Wo kann ich das anschauen? > Viele Grüße! > Frank Grüße Andreas From postfixusers at home.tom-krieger.de Tue Nov 24 18:41:39 2009 From: postfixusers at home.tom-krieger.de (Thomas Krieger) Date: Tue, 24 Nov 2009 18:41:39 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <4B0C0741.3080108@debianfan.de> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241709.56223.postfixusers@home.tom-krieger.de> <4B0C0741.3080108@debianfan.de> Message-ID: <200911241841.40871.postfixusers@home.tom-krieger.de> Am Di November 24 2009 schrieb sebastian at debianfan.de: > Thomas Krieger schrieb: > > Funktioniert, ich habe das mit einer virtuellen IP auf einem Server und > > einem TCP Reset für jede Verbindung gemacht. Wieviel Spam das genau weg > > fängt weiß ich nicht. Es wurde aber nach Aufbau merklich weniger, was auf > > den eigentlichen MXen als Spam abgelehnt wurde. > > Wie verhindere ich, dass "richtige" Mailserver den falschen MX verwenden? Richtige Mailserver gehen die MXen nach ihrer Priorität durch. Der TCP reset verzögert die Zustellung daher nur minimal, weil ein richtiger Mailserver feststellt, dass der MX nicht da ist und automatisch sofort zum nächsten MX in der Liste geht. Servus Thomas -- The heart has its reasons which reason knows nothing of. -- Blaise Pascal From peter at datentraeger.li Wed Nov 25 18:43:26 2009 From: peter at datentraeger.li (Peter Beck) Date: Wed, 25 Nov 2009 18:43:26 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <20091124183132.3e7760a6@gamma.bitcorner.intern> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <20091124183132.3e7760a6@gamma.bitcorner.intern> Message-ID: <1259171006.4200.0.camel@peanut.pvb.li> On Tue, 2009-11-24 at 18:31 +0100, Andreas Meyer wrote: > Frank Fiene schrieb am Tue, 24 Nov 2009 16:42:36 +0100: > > Ist das Video öffentlich zugänglich? Wo kann ich das anschauen? ...die kannst Du hier finden: http://www.heinlein-support.de/web/akademie/mailserver-konferenz-2009/mk09-dokufilm/ Gruss Peter From postfix-list at novuage.de Tue Nov 24 21:29:11 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 24 Nov 2009 21:29:11 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <20091124091833.4CB0F227406C@lobos.wdns.at> References: <20091124091833.4CB0F227406C@lobos.wdns.at> Message-ID: <4B0C4217.2080705@novuage.de> Hallo, Alois Kratochwill schrieb: >> Einen sinnvollen Grund zu einer Umstellung könnte ich dir nicht >> nennen,da beide Policy-Server zuverlässig arbeiten - persönlich setze >> ich wegen der Flexibilität postfwd ein. > > Ich habe postfix-policyd im Einsatz, nicht policyd-weight! > > postfix-policyd kann nicht mit RBL umgehen, deshalb ist reject_rbl_client im > Einsatz. Mein Gedankenansatz lag im DNS-Cache: Einsparung von Traffic und > vor allem Zeit[!]. DNS-Cache? Das ist doch mit einem bind oder powerdns ebenso möglich mit jeder Anwendung. Zwar fragt er dann den DNS, der ist aber lokal und hat das Ergebnis wie es soll gespeichert. Oder nicht? Gruß Sascha From postfix-list at novuage.de Tue Nov 24 21:42:17 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 24 Nov 2009 21:42:17 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <1579403870.20091124104640@dlutt.de> References: <1487275039.20091122180751@dlutt.de> <20091124091833.4CB0F227406C@lobos.wdns.at> <1579403870.20091124104640@dlutt.de> Message-ID: <4B0C4529.2090602@novuage.de> Daniel Luttermann schrieb: > Nun könnte ich dir einige Gründe für den Einsatz von postfwd nennen... > > RBL's lassen sich ohne Probleme einbinden,auch lässt sich das > Cache-Verhalten etwas beeinflussen (TTL,cleanup...). > > Nützlich sind auch die Statistiken von postfwd,mit welchen man schnell > sehen kann, wie oft welche Regeln treffend waren, wie hoch die > Cache-Hit Rate ist etc. (wird im Mail-Log protokolliert). > > Man könnte mit postfwd (und auch policyd) ein effektives Regelwerk > aufbauen (selektives Greylisting in Abhängigkeit von RBL-Hits, > Hostname etc.) - Möglichkeiten gibt's da einige. Reden wir hier über postfwd2 oder postfwd. Ich überlege auch gerade den Einsatz. Aber auf den Seiten auf "Get it" steht nur die 1.16 was mich zu der Überlegung bringt das es noch beta sein könnte. Oder kann ich diesen Gefahrlos auf Debian Lenny installieren? -- Gruß Sascha From postfix-list at novuage.de Tue Nov 24 21:53:02 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 24 Nov 2009 21:53:02 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29_gel=F6st?= In-Reply-To: <28764718.1259064947758.JavaMail.ngmail@webmail18.arcor-online.net> References: <28764718.1259064947758.JavaMail.ngmail@webmail18.arcor-online.net> Message-ID: <4B0C47AE.8070500@novuage.de> tigapb at arcor.de schrieb: > ich danke euch für eure Mühen. Es war der nameserver in > der resolv.conf. Mein Provider hat den alten einfach > offline genommen und keine Rundmail geschickt, > wie der neue lautet. Auch nicht schlecht. Daher hab ich meistens auf den Servern eigene DNS Server laufen. Und bei bedarf oder vielen Servern eine für mehrere Server :-) Wenn der Fehlerteufel zuschlägt... dann richtig. -- Gruß Sascha From postfix-list at novuage.de Tue Nov 24 21:57:35 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 24 Nov 2009 21:57:35 +0100 Subject: [Postfixbuch-users] Exchange extract ohne interne Adressen In-Reply-To: <4B0BE7CF.8000603@codingpirates.org> References: <4B0BE7CF.8000603@codingpirates.org> Message-ID: <4B0C48BF.7050008@novuage.de> Torsten schrieb: > Alle E-Mailadressen werden mittels Perl Script > (http://www-personal.umich.edu/~malth/gaptuning/postfix/) aus einem > Exchangesystem ausgelesen und als Datei dem Mailserver zu Verfügung > gestellt. Das Perl Script habe ich über postfix.org gefunden und meine > Daten an den Exchange 2007 angepasst. Allerdings werden hierbei alle > Adressen ausgelesen, auch die Adressen, die nur für interne Zwecke > genutzt werden. Das ganze ist deshalb ärgerlich, weil dadurch ein > weiteres Script laufen muss, das diese internen Adressen ausfiltert. > Bedeutet mehr Bereiche für Fehler und mehr Arbeit, weil diese Dateien > auch gepflegt werden müssen. Kenne keinen mehr der das so verwenden. Zumal ich auch den bedarf für Adressen die nur intern gebraucht werden sollen nicht so recht sehe. Was nicht heißt das es den nicht gibt. Erzähl mal ;) > Hat irgend jemand hier eine Lösung, die nur Adressen ausliest, die auch > als extern gekennzeichnet sind? Sind das so viele wechselnde Adressen? In dem einen Perl-Skript eine Blacklist einzubauen die Dann gepflegt wird ist doch kein Problem, oder? Ich würde sonst sogar hingehen und direkt eine Blacklist dieser Adressen in postfix als Tabelle anzulegen und die anderen Adressen per verify lernen lassen. SO brauchst Du nur die Liste der nicht erlaubten, somit internen Adressen direkt in postfix pflegen. -- Gruß Sascha From postfix-list at novuage.de Tue Nov 24 21:58:56 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 24 Nov 2009 21:58:56 +0100 Subject: [Postfixbuch-users] Project Honeypot In-Reply-To: <4B0C076B.7020200@debianfan.de> References: <4B0C076B.7020200@debianfan.de> Message-ID: <4B0C4910.2060008@novuage.de> sebastian at debianfan.de schrieb: > benutzt jemand von Euch diese Blacklist? ich sehe hier keine... welche denn? -- Gruß Sascha From sebastian at debianfan.de Tue Nov 24 22:20:25 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 24 Nov 2009 22:20:25 +0100 Subject: [Postfixbuch-users] Project Honeypot In-Reply-To: <4B0C4910.2060008@novuage.de> References: <4B0C076B.7020200@debianfan.de> <4B0C4910.2060008@novuage.de> Message-ID: <4B0C4E19.8000902@debianfan.de> Sascha Peters schrieb: > sebastian at debianfan.de schrieb: >> benutzt jemand von Euch diese Blacklist? > > ich sehe hier keine... welche denn? > du musst dich registrieren um die nutzen zu können - ich dachte vielleicht hat jemand Spamassassin Regeln dafür geschrieben..... From ffiene at veka.com Wed Nov 25 08:02:07 2009 From: ffiene at veka.com (Frank Fiene) Date: Wed, 25 Nov 2009 08:02:07 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <200911241710.44820.p.heinlein@heinlein-support.de> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241710.44820.p.heinlein@heinlein-support.de> Message-ID: <75C67039-7A9B-4AF9-B689-36B91BAED9C8@veka.com> Am 24.11.2009 um 17:10 schrieb Peer Heinlein: > Am Dienstag 24 November 2009 schrieb Frank Fiene: > >> War das nur ein Spaß oder funktioniert das wirklich? >> Und wieviel SPAM fängt so etwas ein? 10%? > > Stimmt, da fällt mir ein: Das wollte ich ja schon immer mal ganz konkret > messen. Muß ich mir mal vornehmen. > > Genaue Zahlen habe ich da derzeit leider auch nicht. OK, dann mal etwas genauer zur Konfiguration. Es gibt drei Möglichkeiten: 1) MX 20 auf nicht aktive IP (natürlich im eigenen Netz ;-) ) 2) MX 20 auf aktive IP und TCP Reset 3) MX 20 auf aktive IP und Pakete wegwerfen Was bringt am meisten? Bei 1) könnten die Spammer ja merken, dass der Rechner gar nicht da ist, ich würde sagen 3) ärgert den SPAM-Bot am meisten, da geht er gleich zum nächsten Ziel nachdem er etwas gewartet hat. 2) und 3) kann man mit einem eigenen System machen oder auf dem Paketfilter. Das könnte man eigentlich mal alles durchmessen, stört ja den Produktivbetrieb nicht, verschiebt nur den SPAM auf andere Ziele. Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From timo.schoeler at riscworks.net Wed Nov 25 08:06:37 2009 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 25 Nov 2009 08:06:37 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <75C67039-7A9B-4AF9-B689-36B91BAED9C8@veka.com> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241710.44820.p.heinlein@heinlein-support.de> <75C67039-7A9B-4AF9-B689-36B91BAED9C8@veka.com> Message-ID: <4B0CD77D.30501@riscworks.net> thus Frank Fiene spake: > Am 24.11.2009 um 17:10 schrieb Peer Heinlein: > >> Am Dienstag 24 November 2009 schrieb Frank Fiene: >> >>> War das nur ein Spaß oder funktioniert das wirklich? Und wieviel >>> SPAM fängt so etwas ein? 10%? >> Stimmt, da fällt mir ein: Das wollte ich ja schon immer mal ganz >> konkret messen. Muß ich mir mal vornehmen. >> >> Genaue Zahlen habe ich da derzeit leider auch nicht. > > > > OK, dann mal etwas genauer zur Konfiguration. > > Es gibt drei Möglichkeiten: > > 1) MX 20 auf nicht aktive IP (natürlich im eigenen Netz ;-) ) 2) MX > 20 auf aktive IP und TCP Reset 3) MX 20 auf aktive IP und Pakete > wegwerfen > > Was bringt am meisten? > > Bei 1) könnten die Spammer ja merken, dass der Rechner gar nicht da > ist, ich würde sagen 3) ärgert den SPAM-Bot am meisten, da geht er > gleich zum nächsten Ziel nachdem er etwas gewartet hat. > > 2) und 3) kann man mit einem eigenen System machen oder auf dem > Paketfilter. > > Das könnte man eigentlich mal alles durchmessen, stört ja den > Produktivbetrieb nicht, verschiebt nur den SPAM auf andere Ziele. Mit OpenBSDs spamd [0] kann man sowohl den Nutzen als auch die Statistiken erreichen. ;) MsG, Timo > Viele Grüße! Frank [0] -- http://www.openbsd.org/spamd/ From p.heinlein at heinlein-support.de Wed Nov 25 09:36:44 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 25 Nov 2009 09:36:44 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <200911241841.40871.postfixusers@home.tom-krieger.de> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <4B0C0741.3080108@debianfan.de> <200911241841.40871.postfixusers@home.tom-krieger.de> Message-ID: <200911250936.44387.p.heinlein@heinlein-support.de> Am Dienstag 24 November 2009 schrieb Thomas Krieger: > Richtige Mailserver gehen die MXen nach ihrer Priorität durch. Der > TCP reset verzögert die Zustellung daher nur minimal, weil ein > richtiger Mailserver feststellt, dass der MX nicht da ist und > automatisch sofort zum nächsten MX in der Liste geht. ...weil der richtige Mailserver vorher bereits die Mail an den MX 10 ausgeliefert hat und darum nie in die Verlegenheit kommt den nicht-existenten 30er zu probieren. :-) Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From ffiene at veka.com Wed Nov 25 09:43:07 2009 From: ffiene at veka.com (Frank Fiene) Date: Wed, 25 Nov 2009 09:43:07 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <4B0CD77D.30501@riscworks.net> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <200911241710.44820.p.heinlein@heinlein-support.de> <75C67039-7A9B-4AF9-B689-36B91BAED9C8@veka.com> <4B0CD77D.30501@riscworks.net> Message-ID: Am 25.11.2009 um 08:06 schrieb Timo Schoeler: > thus Frank Fiene spake: >> Am 24.11.2009 um 17:10 schrieb Peer Heinlein: >>> Am Dienstag 24 November 2009 schrieb Frank Fiene: >>>> War das nur ein Spaß oder funktioniert das wirklich? Und wieviel >>>> SPAM fängt so etwas ein? 10%? >>> Stimmt, da fällt mir ein: Das wollte ich ja schon immer mal ganz >>> konkret messen. Muß ich mir mal vornehmen. >>> Genaue Zahlen habe ich da derzeit leider auch nicht. >> OK, dann mal etwas genauer zur Konfiguration. >> Es gibt drei Möglichkeiten: >> 1) MX 20 auf nicht aktive IP (natürlich im eigenen Netz ;-) ) 2) MX >> 20 auf aktive IP und TCP Reset 3) MX 20 auf aktive IP und Pakete >> wegwerfen >> Was bringt am meisten? >> Bei 1) könnten die Spammer ja merken, dass der Rechner gar nicht da >> ist, ich würde sagen 3) ärgert den SPAM-Bot am meisten, da geht er >> gleich zum nächsten Ziel nachdem er etwas gewartet hat. >> 2) und 3) kann man mit einem eigenen System machen oder auf dem >> Paketfilter. >> Das könnte man eigentlich mal alles durchmessen, stört ja den >> Produktivbetrieb nicht, verschiebt nur den SPAM auf andere Ziele. > > Mit OpenBSDs spamd [0] kann man sowohl den Nutzen als auch die > Statistiken erreichen. ;) Ja, mailgraph kann das auch, das ist nicht das Thema. Ich werde das mal versuchen, wir haben allerdings nur ca. 40 msgs/min (davon 35 rejected wg Greylisting, SPAM und Viren kommen damit kaum bis zum amavis) auf jedem der beiden mx-10er. In einer größeren Umgebung kann man das sicher besser messen! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From p.heinlein at heinlein-support.de Wed Nov 25 09:44:47 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 25 Nov 2009 09:44:47 +0100 Subject: [Postfixbuch-users] Vortragsaufzeichnungen online / Letzter Aufruf zur SLAC :-) Message-ID: <200911250944.47956.p.heinlein@heinlein-support.de> Von der im vergangenen Juni ausgerichteten 4. Mailserver-Konferenz hat der Veranstalter Heinlein Support GmbH nun zahlreiche Videoaufzeichnungen der Konferenzvorträge in voller Länge online gestellt. Unter den Aufzeichnungen sind auch die Vorträge der Star-Referenten Timo Sirrainen (IMAP), Wietse Venema (Postfix) oder Mark Martinec (Amavis). Desweiteren finden sich fachlich anspruchsvolle Vorträge zu DKIM, dem Projekt NiX-Spam, Exim-Mailclustern, KOLAB oder zur Mailserver Best-Practice. Eine kurzweilige fünfminütige Dokumentation faßt die Konferenz und die Stimmung der rund 100 Teilnehmer zusammen. http://www.heinlein-support.de/web/akademie/mailserver-konferenz-2009/mk09-dokufilm/ Auf der Anfang Dezember stattfinden 4. Secure Linux Administration Conference (SLAC) wird es dieses Jahr vermutlich keine Videoaufzeichnungen geben; wer die Vorträge nicht verpassen möchte kann sich laut Veranstalter Heinlein Support noch kurzfristig anmelden um persönlich dabei zu sein. Wer die SLAC verpaßt muß dieses mal zwei Jahre auf die nächste Konferenz warten: Aus organisatorischen Gründen ist die nächste SLAC ebenso wie die nächste Mailserver-Konferenz derzeit erst wieder im Jahr 2011 angesetzt. http://www.heinlein-support.de/slac Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From n.gerhards at ib-gerhards.de Wed Nov 25 12:45:24 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Wed, 25 Nov 2009 12:45:24 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen Message-ID: <4B0D18D4.5040606@ib-gerhards.de> Hallo, die Situation: ein nagelneuer Server für einen Kunden mit eigener IP soll für rund 200 User aufgesetzt werden. Web- und Mailserver, in der DMZ, sonst nichts. Ich würde (bisher) verwenden: Debian, Postfix, Cyrus SASL, Courier IMAP, Squirrelmail Seht ihr das genau so oder anders? Könnte ich mit Dovecot den SASL- und IMAP-Teil in einem erschlagen? Würdet Ihr in dieser Größenordnung schon MySQL- oder LDAP-Datenbanken einsetzen? Ist Horde IMP wirklich besser als Squirrelmail? Ein vage angesprochenes Groupware-Tool (evtl zukünftig...) zum Abgleich von Terminen, Kontakten, vielleicht WiKi... läßt mich hier vorsorglich die letzte Frage anschließen: Was würdet Ihr da empfehlen? eGroupware? (andere habe ich mir noch nicht angesehen). Ich bin für Ratschläge dankbar, ;-) Norbert From werner at aloah-from-hell.de Wed Nov 25 12:53:48 2009 From: werner at aloah-from-hell.de (Werner D.) Date: Wed, 25 Nov 2009 12:53:48 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D18D4.5040606@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> Message-ID: <4B0D1ACC.4020600@aloah-from-hell.de> Hi Norbert, > Ich würde (bisher) verwenden: > Debian, Postfix, Cyrus SASL, Courier IMAP, Squirrelmail An der Stelle würde ich das Konstrukt Cyrus SASL und Courier IMAP auf jeden Fall durch Dovecot ersetzen. Meine Wahl bei deinem Konstrukt wäre daher: Debian, MySQL, Postfix, Dovecot, Dovecot-deliver als LDA, Roundcube > Würdet Ihr in dieser Größenordnung schon MySQL- oder > LDAP-Datenbanken einsetzen? Geschmackssache - ich würde MySQL verwenden :-) Ciao, Werner From ffiene at veka.com Wed Nov 25 12:59:17 2009 From: ffiene at veka.com (Frank Fiene) Date: Wed, 25 Nov 2009 12:59:17 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D1ACC.4020600@aloah-from-hell.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> Message-ID: <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> Am 25.11.2009 um 12:53 schrieb Werner D.: > Hi Norbert, > >> Ich würde (bisher) verwenden: >> Debian, Postfix, Cyrus SASL, Courier IMAP, Squirrelmail > > An der Stelle würde ich das Konstrukt Cyrus SASL und Courier > IMAP auf jeden Fall durch Dovecot ersetzen. Meine Wahl bei > deinem Konstrukt wäre daher: > > Debian, MySQL, Postfix, Dovecot, Dovecot-deliver als LDA, > Roundcube Ähhmm, benötigt man nicht SASL für SMTP mit TLS? > >> Würdet Ihr in dieser Größenordnung schon MySQL- oder >> LDAP-Datenbanken einsetzen? > > Geschmackssache - ich würde MySQL verwenden :-) > > Ciao, > Werner > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From jochen at schalanda.de Wed Nov 25 13:23:02 2009 From: jochen at schalanda.de (Jochen Schalanda) Date: Wed, 25 Nov 2009 13:23:02 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> Message-ID: <20091125123602.1B1E3302FC@mx1.heinlein-support.de> Frank Fiene wrote: > Ähhmm, benötigt man nicht SASL für SMTP mit TLS? Nein. TLS hat mit SASL recht wenig zu tun. Du kannst aber eine SASL- Implementierung zur Authentifizierung von Benutzern verwenden - das wäre dann SMTP-Auth. Glücklicherweise bringt Dovecot IMAP eine brauchbare und im Gegensatz zu Cyrus SASL hervorragend dokumentierte SASL-Implementierung mit. HTH, Jochen From Ralf.Hildebrandt at charite.de Wed Nov 25 13:39:33 2009 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 25 Nov 2009 13:39:33 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D18D4.5040606@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> Message-ID: <20091125123933.GE3403@charite.de> * Norbert Gerhards : > Hallo, > > die Situation: > ein nagelneuer Server für einen Kunden mit eigener IP > soll für rund 200 User aufgesetzt werden. > Web- und Mailserver, in der DMZ, sonst nichts. > > Ich würde (bisher) verwenden: > Debian, Postfix, Cyrus SASL, Courier IMAP, Squirrelmail > > Seht ihr das genau so oder anders? > > Könnte ich mit Dovecot den SASL- und IMAP-Teil in einem > erschlagen? Ja, und performanter > Ist Horde IMP wirklich besser als Squirrelmail? Keine Ahnung, ich nutze nur SM und die User mögen es -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Wed Nov 25 13:51:34 2009 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 25 Nov 2009 13:51:34 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> Message-ID: <200911251351.34422.p.heinlein@heinlein-support.de> Am Mittwoch 25 November 2009 schrieb Frank Fiene: > >> Ich würde (bisher) verwenden: > >> Debian, Postfix, Cyrus SASL, Courier IMAP, Squirrelmail Niemand will heute noch Courier-IMAP. > > An der Stelle würde ich das Konstrukt Cyrus SASL und Courier > > IMAP auf jeden Fall durch Dovecot ersetzen. Ja, da gibt es nichts zu überlegen. Wirklich nicht. > > Debian, MySQL, Postfix, Dovecot, Dovecot-deliver als LDA, > > Roundcube > > Ähhmm, benötigt man nicht SASL für SMTP mit TLS? Nein, braucht man nicht, weil SASL für Passwortauehtntifizierungen da ist und TLS nichts mit Passwörtern zu tun hat. Du meinst wohl, man braucht SASL für SMTP-Auth: Richtig. Aber Dovecot bringt ja eine (hervorragende) SASL-Implementierung mit die einfach mal vom Fleck weg funktioniert und (im Gegensatz zu Cyrus-SASL) auch Spaß macht. > >> Würdet Ihr in dieser Größenordnung schon MySQL- oder > >> LDAP-Datenbanken einsetzen? > > > > Geschmackssache - ich würde MySQL verwenden :-) Weder noch. Man nehme /etc/dovecot/userdb und erfreue sich des Lebens. Abgesehen davon daß ich in einem Projekt auch 120.000 Accounts in der userdb mache, das hat also alles nichts mit einer Größenordnung zu tun. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From m at micz.de Wed Nov 25 14:12:45 2009 From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=) Date: Wed, 25 Nov 2009 14:12:45 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <200911251351.34422.p.heinlein@heinlein-support.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> Message-ID: <4B0D2D4D.4030707@micz.de> Peer Heinlein schrieb: > > Weder noch. Man nehme /etc/dovecot/userdb und erfreue sich des Lebens. > > Abgesehen davon daß ich in einem Projekt auch 120.000 Accounts in der > userdb mache, das hat also alles nichts mit einer Größenordnung zu tun. Was heisst denn in diesem Fall userdb? Ist das ein einfaches Textfile? Ich würde auch gerne mal Dovecot austesten, leider habe ich noch keine umfassende Lektüre dazu gefunden. Hast du da einen Tip für mich? Gruß Maik From ffiene at veka.com Wed Nov 25 14:32:13 2009 From: ffiene at veka.com (Frank Fiene) Date: Wed, 25 Nov 2009 14:32:13 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <200911251351.34422.p.heinlein@heinlein-support.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> Message-ID: <83212113-0EC6-416F-92F2-D4375366C3BA@veka.com> Am 25.11.2009 um 13:51 schrieb Peer Heinlein: >> Ähhmm, benötigt man nicht SASL für SMTP mit TLS? > > Nein, braucht man nicht, weil SASL für Passwortauehtntifizierungen da > ist und TLS nichts mit Passwörtern zu tun hat. > > Du meinst wohl, man braucht SASL für SMTP-Auth: Richtig. Aber Dovecot > bringt ja eine (hervorragende) SASL-Implementierung mit die einfach mal > vom Fleck weg funktioniert und (im Gegensatz zu Cyrus-SASL) auch Spaß > macht. Ja, ich dachte wohl, das gehört zusammen, weil Authentifizierung über öffentliche Netze macht ja schließlich nur Sinn mit Verschlüsselung. Na dann werde ich mal direkt dovecot-auth ausprobieren müssen, oder? ;-) From n.gerhards at ib-gerhards.de Wed Nov 25 14:45:39 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Wed, 25 Nov 2009 14:45:39 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <200911251351.34422.p.heinlein@heinlein-support.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> Message-ID: <4B0D3503.3010202@ib-gerhards.de> div. Postfixbuch-User schrieben: > Niemand will heute noch Courier-IMAP. > >>> An der Stelle würde ich das Konstrukt Cyrus SASL und Courier >>> IMAP auf jeden Fall durch Dovecot ersetzen. > > Ja, da gibt es nichts zu überlegen. Wirklich nicht. > Wow! Wohl selten hat es hier eine derart einhellige Experten- Meinung gegeben. Danke dafür schon mal! Klare Antwort: Ich werde Dovecot statt (Cyrus SASL und Courier IMAP) nehmen. >>> Debian, MySQL, Postfix, Dovecot, Dovecot-deliver als LDA, >>> Roundcube Also dovecot-deliver statt postfix-local oder maildrop? Und nach Roundcube musste ich erst mal googlen. Das scheint aber noch sehr neu zu sein? Gibt es hierzu mehr praktische Erfahrungen auf dieser Liste? Oder sicherheitshalber schön bei SM bleiben? > Du meinst wohl, man braucht SASL für SMTP-Auth: Richtig. Aber Dovecot > bringt ja eine (hervorragende) SASL-Implementierung mit die einfach mal > vom Fleck weg funktioniert und (im Gegensatz zu Cyrus-SASL) auch Spaß > macht. > Ja, Spaß hat das Cyrus-Konstrukt und vor allem die Doku noch nie gemacht. Aber funktioniert hat es immer bei mir. Da bin ich ja auf die Dovecot-SASL-Implementierung gespannt. >>>> Würdet Ihr in dieser Größenordnung schon MySQL- oder >>>> LDAP-Datenbanken einsetzen? >>> Geschmackssache - ich würde MySQL verwenden :-) > > Weder noch. Man nehme /etc/dovecot/userdb und erfreue sich des Lebens. > Die 200 User hier sollen sogar als lokale User angelegt werden, wenn auch mehrheitlich ohne login-shell. Was bedingt denn die Verwendung von userdb? Klartext-Passwörter plus MD5-hash in einer eigenen DB, oder kann ich die /etc/passwd und shadow benutzen (natürlich dann unter TLS)? Und nun noch die alte Diskussion aufgerührt: Noch laufen die 200 User unter Solaris mit uw-imap usw. Soll ich den Paradigmenwechsel auch dazu nutzen, die Mailverzeichnisse von mbox- auf maildir-Format umzustellen? Dies würde ja einen zusätzlichen Schritt mittels mb2md bedeuten, mit allen möglichen Misshelligkeiten bzgl. .mailboxlist, Trenner . statt / usw. Oder muss ich sowieso die alten Mailverzeichnisse für die Übernahme in Dovecot 'transformieren'? Letzte Bitte: Da Dovecot für mich echtes Neuland ist - könnt ihr mir bitte links nennen, in denen ich Installations-HowTos für debian Lenny finde? Danke im Voraus und viele Grüße ;-) Norbert From gerald at stepman.com Wed Nov 25 15:16:49 2009 From: gerald at stepman.com (Gerald Erdmann) Date: Wed, 25 Nov 2009 15:16:49 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D3503.3010202@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> Message-ID: Hi! Am 25.11.2009 um 14:45 schrieb Norbert Gerhards: > Und nach Roundcube musste ich erst mal googlen. Das scheint aber noch > sehr neu zu sein? http://roundcube.net Ist nicht wirklich neu, aber noch in Entwicklung. Allerdings läuft es sehr stabil, jedoch sind noch nicht alle Features verfügbar, die die Entwickler gerne hätten. Deshalb Version 0.3.1. :-) > Gibt es hierzu mehr praktische Erfahrungen auf dieser Liste? Nutze ich auf meinem Server. Sehr schickes Interface mit modernen Technologien (z. B. können Mails per Drag & Drop verschoben werden). Ich kann es empfehlen! Gruß Gerald -- Gerald Erdmann gerald at stepman.com STEPMAN SOLUTIONS +49 30 39731400 -401 (Fax) Berlin - Germany - Earth -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3366 bytes Beschreibung: nicht verfügbar URL : From ffiene at veka.com Wed Nov 25 15:25:03 2009 From: ffiene at veka.com (Frank Fiene) Date: Wed, 25 Nov 2009 15:25:03 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D3503.3010202@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> Message-ID: <91C71145-A4B4-4E9C-929A-6E8985D6EA3D@veka.com> Am 25.11.2009 um 14:45 schrieb Norbert Gerhards: > > Letzte Bitte: > Da Dovecot für mich echtes Neuland ist - könnt ihr mir bitte > links nennen, in denen ich Installations-HowTos für debian Lenny > finde? Hmmm, hier für Ubuntu: http://doc.ubuntu.com/ubuntu/serverguide/C/email-services.html Da findest du alles was mit Mailing zu tun hat. Unter Debian könnten es geringfügig anders aussehen. -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From gregor at a-mazing.de Wed Nov 25 15:49:18 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 25 Nov 2009 15:49:18 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <83212113-0EC6-416F-92F2-D4375366C3BA@veka.com> References: <4B0D18D4.5040606@ib-gerhards.de> <200911251351.34422.p.heinlein@heinlein-support.de> <83212113-0EC6-416F-92F2-D4375366C3BA@veka.com> Message-ID: <200911251549.18512@office.a-mazing.net> Hallo Frank, Am Mittwoch, 25. November 2009 schrieb Frank Fiene: > Am 25.11.2009 um 13:51 schrieb Peer Heinlein: > > Nein, braucht man nicht, weil SASL für Passwortauehtntifizierungen da > > ist und TLS nichts mit Passwörtern zu tun hat. > > Ja, ich dachte wohl, das gehört zusammen, weil Authentifizierung über > öffentliche Netze macht ja schließlich nur Sinn mit Verschlüsselung. du verwechselst gerade die Verschlüsselung der gesamten Übetrtragung (TLS) mit einer, je nach gewählter Methode, verschlüsselten Übertragung des Passwortes bei der Authentifizierung (SASL). Das sind zwei komplet getrennte Baustellen. Man sollte nur darauf achten, daß Methoden, bei denen das Passwort im Klartext übertragen wird (Plain, Login), nur mit TLS erlaubt sind. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From jonny.oschaetzky at wittcom.de Wed Nov 25 15:56:05 2009 From: jonny.oschaetzky at wittcom.de (=?ISO-8859-1?Q?Jonny_Osch=E4tzky?=) Date: Wed, 25 Nov 2009 15:56:05 +0100 Subject: [Postfixbuch-users] Project Honeypot In-Reply-To: <4B0C4910.2060008@novuage.de> References: <4B0C076B.7020200@debianfan.de> <4B0C4910.2060008@novuage.de> Message-ID: <4B0D4585.1060708@wittcom.de> > ich sehe hier keine... welche denn? Es geht sicherlich um diesen Dienst: http://www.projecthoneypot.org/ From w.flamme at web.de Wed Nov 25 16:13:37 2009 From: w.flamme at web.de (Werner Flamme) Date: Wed, 25 Nov 2009 16:13:37 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D3503.3010202@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> Message-ID: <4B0D49A1.7070604@web.de> Norbert Gerhards schrieb: > >>>> Debian, MySQL, Postfix, Dovecot, Dovecot-deliver als LDA, >>>> Roundcube > > Also dovecot-deliver statt postfix-local oder maildrop? Ob man Roundcube oder Squirrelmail oder Horde oder sonstwas nehmen will, ist letzten Endes Geschmackssache. Der grundsätzliche Funktionsumfang st bei allen gleich, unterschiedlich sind die Oberflächen - in Aussehen und Handhabung. Das ist so wie bei Linux mit KDE und Gnome... ;-) Horde ist m.E. fürchterlich umfangreich bei der Konfiguration, und wenn man mehr als ein Modul einsetzt, sollte man auf Kreuzabhängigkeiten bei den Parametern achten, sonst konfiguriert man an der einen Ecke etwas rein, was man an der anderen gerade rausgenommen hat... > Letzte Bitte: Da Dovecot für mich echtes Neuland ist - könnt ihr mir > bitte links nennen, in denen ich Installations-HowTos für debian > Lenny finde? Vielleicht , , aber auch bietet eine schöne Übersicht - oder allgemeiner :-) HTH Werner From n.gerhards at ib-gerhards.de Wed Nov 25 17:14:50 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Wed, 25 Nov 2009 17:14:50 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D49A1.7070604@web.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> <4B0D49A1.7070604@web.de> Message-ID: <4B0D57FA.7050901@ib-gerhards.de> Werner Flamme schrieb: > Ob man Roundcube oder Squirrelmail oder Horde oder sonstwas nehmen will, > ist letzten Endes Geschmackssache. Der grundsätzliche Funktionsumfang st > bei allen gleich, unterschiedlich sind die Oberflächen - in Aussehen und > Handhabung. Das ist so wie bei Linux mit KDE und Gnome... ;-) > > Horde ist m.E. fürchterlich umfangreich bei der Konfiguration, und wenn > man mehr als ein Modul einsetzt, sollte man auf Kreuzabhängigkeiten bei > den Parametern achten, sonst konfiguriert man an der einen Ecke etwas > rein, was man an der anderen gerade rausgenommen hat... > Ich schätze mal, dass ich dann wohl bei Squirrel bleibe: das kenne ich, da weiß ich wie es funktioniert und kann mit den Beschränkungen umgehen. Roundcube sieht von den Screenshots her gefälliger aus, aber das probiere ich dann doch lieber zunächst mal auf einem internen Testserver. >> Letzte Bitte: Da Dovecot für mich echtes Neuland ist - könnt ihr mir >> bitte links nennen, in denen ich Installations-HowTos für debian >> Lenny finde? > > Vielleicht , > , > aber auch bietet eine schöne Übersicht - > oder allgemeiner > > :-) > > HTH > Werner Danke für den reichlichen Lesestoff! :-) Ich möchte aber eine Frage wiederholen: wenn der Kunde in einem halben Jahr ankommt und doch ein Colaboration-Tool einsetzen will, wozu ratet Ihr dann? eGroupWare? ...? Und das Wichtigste: funktionieren diese Tools über IMAP-Server oder _muss_ ich dafür - am besten dann von Anfang an - eine DB wie MySQL einsetzen? Damit käme dann wieder der anfängliche Vorschlag von Werner D. zum Tragen. ;-) Viele Grüße Norbert From sebastian at debianfan.de Wed Nov 25 18:27:02 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 25 Nov 2009 18:27:02 +0100 Subject: [Postfixbuch-users] Project Honeypot In-Reply-To: <4B0D4585.1060708@wittcom.de> References: <4B0C076B.7020200@debianfan.de> <4B0C4910.2060008@novuage.de> <4B0D4585.1060708@wittcom.de> Message-ID: <4B0D68E6.6090703@debianfan.de> Jonny Oschätzky schrieb: >> ich sehe hier keine... welche denn? >> > > Es geht sicherlich um diesen Dienst: > http://www.projecthoneypot.org/ > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > exakt From postfix-list at novuage.de Wed Nov 25 22:06:57 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:06:57 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <200911250936.44387.p.heinlein@heinlein-support.de> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> <4B0C0741.3080108@debianfan.de> <200911241841.40871.postfixusers@home.tom-krieger.de> <200911250936.44387.p.heinlein@heinlein-support.de> Message-ID: <4B0D9C71.5030703@novuage.de> Peer Heinlein schrieb: > Am Dienstag 24 November 2009 schrieb Thomas Krieger: > >> Richtige Mailserver gehen die MXen nach ihrer Priorität durch. Der >> TCP reset verzögert die Zustellung daher nur minimal, weil ein >> richtiger Mailserver feststellt, dass der MX nicht da ist und >> automatisch sofort zum nächsten MX in der Liste geht. > > ...weil der richtige Mailserver vorher bereits die Mail an den MX 10 > ausgeliefert hat und darum nie in die Verlegenheit kommt den > nicht-existenten 30er zu probieren. :-) Und wenn zwei 10er oder der 10er und der 20er nicht erreichbar oder überlastet ist, dann wird der 30er gefragt. Beim nächsten versuch wird aber wieder vorne angefangen beim 10er. Ist das korrekt so? Ist das PFLICHT, laut Standard? Muss ja, sonst würde das keinen Sinn machen, oder? Dann bau ich glaub ich auch einfach mal einen ein ;-) -- Gruß Sascha From postfix-list at novuage.de Wed Nov 25 22:19:31 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:19:31 +0100 Subject: [Postfixbuch-users] Project Honeypot In-Reply-To: <4B0D68E6.6090703@debianfan.de> References: <4B0C076B.7020200@debianfan.de> <4B0C4910.2060008@novuage.de> <4B0D4585.1060708@wittcom.de> <4B0D68E6.6090703@debianfan.de> Message-ID: <4B0D9F63.1000406@novuage.de> sebastian at debianfan.de schrieb: > Jonny Oschätzky schrieb: >>> ich sehe hier keine... welche denn? >> Es geht sicherlich um diesen Dienst: >> http://www.projecthoneypot.org/ > exakt sehe ich das erste mal... also, nein, verwende ich nicht. -- Gruß Sascha From postfix-list at novuage.de Wed Nov 25 22:20:54 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:20:54 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage Message-ID: <4B0D9FB6.3030303@novuage.de> Hallo Leute, ich bekomme die letzten 2-3 Tage vermehrt Spam. Auch Spam der durch meine Systeme durch kommt :( policyd-weight, postgrey, amavisd-new Kann das jemand bestätigen... hat hier jemand gegengewirkt und wenn ja wie. Kann mir zeitlich gesehen die Mails noch nicht im Detail ansehen. -- Gruß Sascha From postfix-list at novuage.de Wed Nov 25 22:25:14 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:25:14 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <20091125123602.1B1E3302FC@mx1.heinlein-support.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <20091125123602.1B1E3302FC@mx1.heinlein-support.de> Message-ID: <4B0DA0BA.1090904@novuage.de> Jochen Schalanda schrieb: > Frank Fiene wrote: >> Ähhmm, benötigt man nicht SASL für SMTP mit TLS? > > Nein. TLS hat mit SASL recht wenig zu tun. Du kannst aber eine SASL- > Implementierung zur Authentifizierung von Benutzern verwenden - das wäre > dann SMTP-Auth. Glücklicherweise bringt Dovecot IMAP eine brauchbare und im > Gegensatz zu Cyrus SASL hervorragend dokumentierte SASL-Implementierung mit. Ich bin selber gerade mit der Umstellung auf Dovecot beschäftigt. Für SASL habe ich das aber schon mehrere Monate eingebaut. Nutze aktuell also eine etwas erweiterte Courier-IMAP "userdb" für SMTP-Auth mit Dovecot-SASL. Ist wirklich einfacher und viel schöner als mit Cyrus-SASL. :-) -- Gruß Sascha From postfix-list at novuage.de Wed Nov 25 22:27:34 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:27:34 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D2D4D.4030707@micz.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D2D4D.4030707@micz.de> Message-ID: <4B0DA146.1060404@novuage.de> Maik Röhrig schrieb: > Peer Heinlein schrieb: >> >> Weder noch. Man nehme /etc/dovecot/userdb und erfreue sich des Lebens. >> >> Abgesehen davon daß ich in einem Projekt auch 120.000 Accounts in der >> userdb mache, das hat also alles nichts mit einer Größenordnung zu tun. > > Was heisst denn in diesem Fall userdb? Ist das ein einfaches Textfile? > Ich würde auch gerne mal Dovecot austesten, leider habe ich noch keine > umfassende Lektüre dazu gefunden. Hast du da einen Tip für mich? Also ich habe mir im Wiki vieles durchgelesen. Das ist sehr gut. Ansonsten wie für fast alles das Archiv der Liste hier ;-) http://wiki.dovecot.org -- Gruß Sascha From postfix-list at novuage.de Wed Nov 25 22:34:20 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:34:20 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D3503.3010202@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> Message-ID: <4B0DA2DC.2000106@novuage.de> Norbert Gerhards schrieb: >> Du meinst wohl, man braucht SASL für SMTP-Auth: Richtig. Aber Dovecot >> bringt ja eine (hervorragende) SASL-Implementierung mit die einfach >> mal vom Fleck weg funktioniert und (im Gegensatz zu Cyrus-SASL) auch >> Spaß macht. > > Ja, Spaß hat das Cyrus-Konstrukt und vor allem die Doku noch > nie gemacht. Aber funktioniert hat es immer bei mir. > Da bin ich ja auf die Dovecot-SASL-Implementierung gespannt. Dann würde ich einfach mal einen Tipp abgeben wie es laufen wird: Du bist mit der Konfiguration in 5 Minuten fertig und kannst es gar nicht glauben. Dann suchst Du 15 Minuten im Internet oder der Doku ob Du wirklich nichts falsch gemacht hast, weil Du Dir einfach nicht vorstellen kannst das es das schon war. ;-) > Und nun noch die alte Diskussion aufgerührt: > Noch laufen die 200 User unter Solaris mit uw-imap usw. > Soll ich den Paradigmenwechsel auch dazu nutzen, die Mailverzeichnisse > von mbox- auf maildir-Format umzustellen? > Dies würde ja einen zusätzlichen Schritt mittels mb2md bedeuten, mit > allen möglichen Misshelligkeiten bzgl. .mailboxlist, Trenner . statt / > usw. > Oder muss ich sowieso die alten Mailverzeichnisse für die Übernahme > in Dovecot 'transformieren'? > > Letzte Bitte: > Da Dovecot für mich echtes Neuland ist - könnt ihr mir bitte > links nennen, in denen ich Installations-HowTos für debian Lenny > finde? Ich habe gerade Courier-IMAP mit Debian Lenny im einsatz, allerdings schon als Maildir von Courier. Ich habe mich dazu entschlossen die 1.2.8 oder was bis zum meiner Vollendung gerade aktuell ist zu nehmen und selbst zu kompilieren. Wegen dem Umzug der Maildir Verzeichnisse und der Konvertierung will ich aber noch diverse Tests machen. Sonst würde ich sagen wäre ich schon fertig. mb2md kenn ich leider nicht, ansonsten würde ich eventuell über IMAPSync die Portierung machen. -- Gruß Sascha From gregor at a-mazing.de Wed Nov 25 22:41:17 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 25 Nov 2009 22:41:17 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <4B0D9FB6.3030303@novuage.de> References: <4B0D9FB6.3030303@novuage.de> Message-ID: <200911252241.17421@office.a-mazing.net> Hallo Sascha, Am Mittwoch, 25. November 2009 schrieb Sascha Peters: > ich bekomme die letzten 2-3 Tage vermehrt Spam. Auch Spam der durch > meine Systeme durch kommt :( > > policyd-weight, postgrey, amavisd-new > > Kann das jemand bestätigen... hat hier jemand gegengewirkt und wenn ja > wie. Kann mir zeitlich gesehen die Mails noch nicht im Detail ansehen. ich habe genau den gegenteiligen Effekt: Seit gestern abend ist die Zahl der abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des normalen Wertes abgesackt, ohne das ich bei den angenommenen Mails eine Veränderung sehen kann... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From postfix at jpkessler.info Wed Nov 25 22:40:45 2009 From: postfix at jpkessler.info (Jan P. Kessler) Date: Wed, 25 Nov 2009 22:40:45 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <4B0C4529.2090602@novuage.de> References: <1487275039.20091122180751@dlutt.de> <20091124091833.4CB0F227406C@lobos.wdns.at> <1579403870.20091124104640@dlutt.de> <4B0C4529.2090602@novuage.de> Message-ID: <4B0DA45D.2060308@jpkessler.info> Sascha Peters schrieb: > Daniel Luttermann schrieb: >> Nun könnte ich dir einige Gründe für den Einsatz von postfwd nennen... >> >> RBL's lassen sich ohne Probleme einbinden,auch lässt sich das >> Cache-Verhalten etwas beeinflussen (TTL,cleanup...). >> >> Nützlich sind auch die Statistiken von postfwd,mit welchen man schnell >> sehen kann, wie oft welche Regeln treffend waren, wie hoch die >> Cache-Hit Rate ist etc. (wird im Mail-Log protokolliert). >> >> Man könnte mit postfwd (und auch policyd) ein effektives Regelwerk >> aufbauen (selektives Greylisting in Abhängigkeit von RBL-Hits, >> Hostname etc.) - Möglichkeiten gibt's da einige. > > Reden wir hier über postfwd2 oder postfwd. Ich überlege auch gerade > den Einsatz. Aber auf den Seiten auf "Get it" steht nur die 1.16 was > mich zu der Überlegung bringt das es noch beta sein könnte. > > Oder kann ich diesen Gefahrlos auf Debian Lenny installieren? N'Abend, postfwd ist auf diversen Linuxen, Solaris 9/10 und FreebBSD im Einsatz. Ich persönlich setze postfwd und postfwd2 auf verschiedenen produktiven Solaris Systemen mit etwa 1,5 Mio (peaks bis etwa 15-20/sec) Verbindungen am Tag ein. Im Labor habe ich postfwd2 auf einer SUN Niagara und einem Regelwerk von ~10 pcre und cidr Regeln bei etwa 300/sec ohne probleme getestet - das ist aber natürlich sehr synthetisch. Der Unterschied zwischen beiden Versionen: postfwd1: - nur 1 Prozess (Multiplexer) - benötigt daher sehr wenig Speicher (~9-10mb nach Start, hier im Betrieb mit Cache etwa 35-40mb) - skaliert nicht mit der anzahl der cpus/cores/threads postfwd2: - Viele Prozesse (Preforking Server) - nutzt multi cpu/core/...-systeme voll aus - selbst der absturz eines kindprozesses würde postfwd (und somit postfix nicht) beeinträchtigen, da diese einfach neu gestartet werden. es ist sogar eine watchdog funktion integriert. das ist natürlich total hypothetisch, da so etwas bei postfwd selbstverständlich niemals vorkommt ;) - benötigt mehr speicher - rate limits sind noch nicht vollständig (derzeit nur per child) implementiert. Die Regelwerke sind zwischen beiden Versionen austauschbar (identische Codebasis). Einen einfachen Einstieg gibts unter http://www.postfwd.org/quick.html, Details unter http://www.postfwd.org/doc.html und etwas mehr zur Architektur in der bereits genannten Präsentation. Cheers, Jan From postfix at jpkessler.info Wed Nov 25 22:43:31 2009 From: postfix at jpkessler.info (Jan P. Kessler) Date: Wed, 25 Nov 2009 22:43:31 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <200911201703.40269.t.schneider@tms-itdienst.at> References: <200911201632.18946.t.schneider@tms-itdienst.at> <693962621.20091120164147@dlutt.de> <200911201703.40269.t.schneider@tms-itdienst.at> Message-ID: <4B0DA503.4080105@jpkessler.info> Timm M.Schneider schrieb: > Nov 20 16:54:08 lsrv01 postfwd: [STATS] Contents: -1 rules, 0 cached requests, > 0 cached dns results, 0 rate limits > -1 Rules? Das sieht aus, als hättest Du postfwd kein Regelwerk übergeben (-f /your/config). Da müsste aber bei Start des Programms eine entsprechende Warnung im Log auftauchen ("no rules found - i feel useless"). From postfix-list at novuage.de Wed Nov 25 22:51:25 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 22:51:25 +0100 Subject: [Postfixbuch-users] rbl und rwl In-Reply-To: <4B0DA45D.2060308@jpkessler.info> References: <1487275039.20091122180751@dlutt.de> <20091124091833.4CB0F227406C@lobos.wdns.at> <1579403870.20091124104640@dlutt.de> <4B0C4529.2090602@novuage.de> <4B0DA45D.2060308@jpkessler.info> Message-ID: <4B0DA6DD.6050205@novuage.de> Jan P. Kessler schrieb: > Sascha Peters schrieb: >> Reden wir hier über postfwd2 oder postfwd. Ich überlege auch gerade >> den Einsatz. Aber auf den Seiten auf "Get it" steht nur die 1.16 was >> mich zu der Überlegung bringt das es noch beta sein könnte. >> >> Oder kann ich diesen Gefahrlos auf Debian Lenny installieren? > > N'Abend, N'Abend, > postfwd ist auf diversen Linuxen, Solaris 9/10 und FreebBSD im Einsatz. > Ich persönlich setze postfwd und postfwd2 auf verschiedenen produktiven > Solaris Systemen mit etwa 1,5 Mio (peaks bis etwa 15-20/sec) > Verbindungen am Tag ein. Im Labor habe ich postfwd2 auf einer SUN > Niagara und einem Regelwerk von ~10 pcre und cidr Regeln bei etwa > 300/sec ohne probleme getestet - das ist aber natürlich sehr synthetisch. Ok, danke für die ausführliche Antwort. > Der Unterschied zwischen beiden Versionen: > > postfwd1: > - nur 1 Prozess (Multiplexer) > - benötigt daher sehr wenig Speicher (~9-10mb nach Start, hier im > Betrieb mit Cache etwa 35-40mb) > - skaliert nicht mit der anzahl der cpus/cores/threads > > postfwd2: > - Viele Prozesse (Preforking Server) > - nutzt multi cpu/core/...-systeme voll aus > - selbst der absturz eines kindprozesses würde postfwd (und somit > postfix nicht) beeinträchtigen, da diese einfach neu gestartet werden. > es ist sogar eine watchdog funktion integriert. das ist natürlich total > hypothetisch, da so etwas bei postfwd selbstverständlich niemals > vorkommt ;) > - benötigt mehr speicher > - rate limits sind noch nicht vollständig (derzeit nur per child) > implementiert. Dann würde ich schon beide mit ansehen und je nach Bedarf und System die eine oder andere Variante verwenden. Sind dann vermutlich nur unterschiedliche Initskripte wegen unterschiedlichen Paramtern. Aber das ist ja kein Hindernis. > Die Regelwerke sind zwischen beiden Versionen austauschbar (identische > Codebasis). Das ist sehr schön, war aber bekannt. > Einen einfachen Einstieg gibts unter http://www.postfwd.org/quick.html, > Details unter http://www.postfwd.org/doc.html und etwas mehr zur > Architektur in der bereits genannten Präsentation. Hab ich mir angesehen. War ja nur die Frage ob es stabil ist. Und ich denke obiges kann ich als "selbstverständlich" werten ;-) -- Gruß Sascha From jk at jkart.de Wed Nov 25 23:00:05 2009 From: jk at jkart.de (Jim Knuth) Date: Wed, 25 Nov 2009 23:00:05 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <200911252241.17421@office.a-mazing.net> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> Message-ID: <4B0DA8E5.2030804@jkart.de> am 25.11.2009 22:41 Uhr schrieb Gregor Hermens : > Hallo Sascha, > > Am Mittwoch, 25. November 2009 schrieb Sascha Peters: >> ich bekomme die letzten 2-3 Tage vermehrt Spam. Auch Spam der durch >> meine Systeme durch kommt :( >> >> policyd-weight, postgrey, amavisd-new >> >> Kann das jemand bestätigen... hat hier jemand gegengewirkt und wenn ja >> wie. Kann mir zeitlich gesehen die Mails noch nicht im Detail ansehen. > > ich habe genau den gegenteiligen Effekt: Seit gestern abend ist die Zahl der > abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des normalen Wertes > abgesackt, ohne das ich bei den angenommenen Mails eine Veränderung sehen > kann... > > Gruß, > Gregor das kann ich auch bestätigen -- mit freundlichem Gruss - with kind regard Jim Knuth From postfix-list at novuage.de Wed Nov 25 23:14:29 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Nov 2009 23:14:29 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <4B0DA8E5.2030804@jkart.de> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> <4B0DA8E5.2030804@jkart.de> Message-ID: <4B0DAC45.9000004@novuage.de> Jim Knuth schrieb: > am 25.11.2009 22:41 Uhr schrieb Gregor Hermens : > > >> Hallo Sascha, >> >> Am Mittwoch, 25. November 2009 schrieb Sascha Peters: >>> ich bekomme die letzten 2-3 Tage vermehrt Spam. Auch Spam der durch >>> meine Systeme durch kommt :( >>> >>> policyd-weight, postgrey, amavisd-new >>> >>> Kann das jemand bestätigen... hat hier jemand gegengewirkt und wenn ja >>> wie. Kann mir zeitlich gesehen die Mails noch nicht im Detail ansehen. >> >> ich habe genau den gegenteiligen Effekt: Seit gestern abend ist die >> Zahl der abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des >> normalen Wertes abgesackt, ohne das ich bei den angenommenen Mails >> eine Veränderung sehen kann... >> >> Gruß, >> Gregor > > das kann ich auch bestätigen Dann vielleicht noch mal genauer. In meinem Privaten Postfach sind aktuell vom 23.11. 10:00 Uhr bis 24.11. 22:00 Uhr Spams gekommen. Ein erster Blick zeigt Backscatter von Hotmail und sonst "normaler" Spam. Ein Kollege von mir hat (ich glaub auch am 24.) 5 Stück über Peers Mailcluster bekommen. Komplette Rejectstatistiken kann ich nun nicht auffahren. Es war nur schon deutlich, zwischen fast keine bis 5-10 an einem Tag, sowohl über meinen als auch über Peers Server. Aber danke schon mal für das Feedback. -- Gruß Sascha From ml at fam-windelen.de Wed Nov 25 23:09:40 2009 From: ml at fam-windelen.de (Michael Windelen) Date: Wed, 25 Nov 2009 23:09:40 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <200911252241.17421@office.a-mazing.net> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> Message-ID: <4B0DAB24.90908@fam-windelen.de> Gregor Hermens schrieb am 25.11.2009 22:41: > Hallo Sascha, > > Am Mittwoch, 25. November 2009 schrieb Sascha Peters: >> ich bekomme die letzten 2-3 Tage vermehrt Spam. Auch Spam der durch >> meine Systeme durch kommt :( >> >> policyd-weight, postgrey, amavisd-new >> >> Kann das jemand bestätigen... hat hier jemand gegengewirkt und wenn ja >> wie. Kann mir zeitlich gesehen die Mails noch nicht im Detail ansehen. > > ich habe genau den gegenteiligen Effekt: Seit gestern abend ist die Zahl der > abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des normalen Wertes > abgesackt, ohne das ich bei den angenommenen Mails eine Veränderung sehen > kann... > Hallo, das kann ich nur bestätigen, seit heute Nacht ist der SPAM-Anteil deutlich gesunken. Grüße Michael From sebastian at debianfan.de Wed Nov 25 23:22:12 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 25 Nov 2009 23:22:12 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <4B0DAC45.9000004@novuage.de> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> <4B0DA8E5.2030804@jkart.de> <4B0DAC45.9000004@novuage.de> Message-ID: <4B0DAE14.4090705@debianfan.de> Sascha Peters schrieb: >> > > Dann vielleicht noch mal genauer. In meinem Privaten Postfach sind > aktuell vom 23.11. 10:00 Uhr bis 24.11. 22:00 Uhr Spams gekommen. Ein > erster Blick zeigt Backscatter von Hotmail und sonst "normaler" Spam. > > Ein Kollege von mir hat (ich glaub auch am 24.) 5 Stück über Peers > Mailcluster bekommen. Komplette Rejectstatistiken kann ich nun nicht > auffahren. Es war nur schon deutlich, zwischen fast keine bis 5-10 an > einem Tag, sowohl über meinen als auch über Peers Server. > > Aber danke schon mal für das Feedback. > > ich bemerke das Gegenteil - ich bekomme kaum noch direkten Spam (d.h. an ich at meineadresse.de) - stattdessen versuchen irgendwelche Idioten Mails über meine Server zu relayen - aber ohne Passwort ist das ja nun aussichtslos... From wolfgang.zeikat at desy.de Thu Nov 26 00:25:29 2009 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Thu, 26 Nov 2009 00:25:29 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <4B0DA8E5.2030804@jkart.de> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> <4B0DA8E5.2030804@jkart.de> Message-ID: <4B0DBCE9.7020908@desy.de> Jim Knuth wrote: >> ich habe genau den gegenteiligen Effekt: Seit gestern abend ist die >> Zahl der abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des >> normalen Wertes abgesackt, ohne das ich bei den angenommenen Mails >> eine Veränderung sehen kann... >> >> Gruß, >> Gregor > > das kann ich auch bestätigen > Vielleicht hängt das mit http://www.heise.de/newsticker/meldung/BKA-geht-mit-Grossrazzia-gegen-Botnetz-Betreiber-vor-Update-868515.html zusammen? Gruß, wolfgang From hans.moser at ofd-sth.niedersachsen.de Thu Nov 26 10:25:36 2009 From: hans.moser at ofd-sth.niedersachsen.de (Marc Patermann) Date: Thu, 26 Nov 2009 10:25:36 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D57FA.7050901@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> <4B0D49A1.7070604@web.de> <4B0D57FA.7050901@ib-gerhards.de> Message-ID: <4B0E4990.50701@ofd-sth.niedersachsen.de> Hallo! Norbert Gerhards schrieb: > Ich möchte aber eine Frage wiederholen: wenn der Kunde in einem halben > Jahr ankommt und doch ein Colaboration-Tool einsetzen will, wozu ratet > Ihr dann? > eGroupWare? > ...? Das ist eine wichtige Frage, die du dir schon heute beantworten solltest, wenn sowas absehbar ist! :) > Und das Wichtigste: funktionieren diese Tools über IMAP-Server oder > _muss_ ich dafür - am besten dann von Anfang an - eine DB wie MySQL > einsetzen? > Damit käme dann wieder der anfängliche Vorschlag von Werner D. zum > Tragen. ;-) Es ist leider so, dass nur wenige Groupware-Lösungen einfach auch beliebige IMAP-Serverumgebungen aufgesetzt werden können und dann noch das bieten, was man will. Wenn IMAP nicht das Problem ist, dann ist es wahrscheinlich die Userverwaltung, die man ändern muss, etc. Daher würde ich vorschlagen, du guckst dir JETZT an, welche Lösung es werden könnte und - wenn du es dann nicht sowieso gleich installierst - definiere aus deren Vorgaben die Ausgangslösung. Scalix oder Zarafa haben z.B. den IMAP-Server schon eingebaut. (Wenn ich mich jetzt nicht täusche.) Open-Xchange läuft z.B. mit Cyrus IMAPd oder Dovecot stellt aber relativ hohe Ansprüche an die Userverwaltung. [Alles nur aus dem Gedächtnis.] Einen WebClient als Squirrelmail-Ersatz haben eh alle an Bord. http://www.linux-magazin.de/Online-Artikel/Uebersicht-Groupware-Server-Teil-1 Marc From alexander.muth at lgb-rlp.de Thu Nov 26 11:24:21 2009 From: alexander.muth at lgb-rlp.de (Alexander Muth) Date: Thu, 26 Nov 2009 11:24:21 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0D57FA.7050901@ib-gerhards.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> <4B0D49A1.7070604@web.de> <4B0D57FA.7050901@ib-gerhards.de> Message-ID: <4B0E5755.4030507@lgb-rlp.de> Norbert Gerhards schrieb: > > > Ich möchte aber eine Frage wiederholen: wenn der Kunde in einem halben > Jahr ankommt und doch ein Colaboration-Tool einsetzen will, wozu ratet > Ihr dann? > eGroupWare? > ...? > > Und das Wichtigste: funktionieren diese Tools über IMAP-Server oder > _muss_ ich dafür - am besten dann von Anfang an - eine DB wie MySQL > einsetzen? > Damit käme dann wieder der anfängliche Vorschlag von Werner D. zum > Tragen. ;-) > Wir benutzen egroupware mit einem Cyrus Imap Server für ca. 200 Nutzer. Nutzerverwaltung (Authentifizierung) über LDAP (Active Directory). egroupware braucht natürlich eine eigene Datenbank, bei uns ist das mysql. Das funktioniert seit Jahren problemlos. Alexander From pkoch at bgc-jena.mpg.de Thu Nov 26 15:04:51 2009 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Thu, 26 Nov 2009 15:04:51 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance In-Reply-To: <4B05C09E.3010503@novuage.de> References: <4B04F89C.5040703@bgc-jena.mpg.de> <4B051CB7.7080203@irmawi.de> <4B055AE5.4000305@bgc-jena.mpg.de> <4B05C09E.3010503@novuage.de> Message-ID: <4B0E8B03.4030905@bgc-jena.mpg.de> Habe ich nicht ganz verstanden !?? Möchtest Du eine Erklärung für die Parameter und was sie bewirken ? Sorry, eine "Fir**" hat uns einen Router-HA Lsg gestrickt. Seitdem bin ich hier etwas am rotieren, um überhaupt noch Internet zu haben. Ciao, Peer Sascha Peters wrote: > Dr.Peer-Joachim Koch schrieb: >> Die folgenden Dinge geändert: >> >> txqueuelen: 100 -> 8192 (1000 reicht meisten aus) >> >> # >> net.ipv4.tcp_window_scaling = 0 >> net.ipv4.tcp_sack = 0 >> net.ipv4.tcp_rmem = 10485760 10485760 10485760 >> net.ipv4.tcp_wmem = 10485760 10485760 10485760 >> net.ipv4.tcp_mem = 10485760 10485760 10485760 >> # >> net.core.rmem_max = 10485760 >> net.core.rmem_default = 10485760 >> net.core.wmem_max = 10485760 >> net.core.wmem_default = 10485760 >> net.core.optmem_max = 10485760 >> net.core.netdev_max_backlog = 2500 > > DAZU denn eine Doku oder so. Kurzes Googlen ergab viel, aber nur quasi, > mach das das das und das... nicht warum oder was es theoretisch an > Risiken gibt. Wo darf ich mich darüber gut informieren. Sonst such ich > noch mal Ziellos Google ab :-) > > -- Mit freundlichem Gruß Peer-Joachim Koch _________________________________________________________ Max-Planck-Institut fuer Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : pkoch.vcf Dateityp : text/x-vcard Dateigröße : 291 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5879 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postfix-list at novuage.de Thu Nov 26 18:20:03 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 26 Nov 2009 18:20:03 +0100 Subject: [Postfixbuch-users] Offtopic - Netzwerk bzw. Performance In-Reply-To: <4B0E8B03.4030905@bgc-jena.mpg.de> References: <4B04F89C.5040703@bgc-jena.mpg.de> <4B051CB7.7080203@irmawi.de> <4B055AE5.4000305@bgc-jena.mpg.de> <4B05C09E.3010503@novuage.de> <4B0E8B03.4030905@bgc-jena.mpg.de> Message-ID: <4B0EB8C3.3000909@novuage.de> Dr.Peer-Joachim Koch schrieb: > Habe ich nicht ganz verstanden !?? > > Möchtest Du eine Erklärung für die Parameter und was sie bewirken ? Ja, oder eben wo ich eine gute Doku dazu finde. Also zum Thema Tuning mit diesem Ansatz. > Sorry, eine "Fir**" hat uns einen Router-HA Lsg gestrickt. Seitdem > bin ich hier etwas am rotieren, um überhaupt noch Internet zu haben. auch nicht schlecht :-) -- Gruß Sascha From sebastian at debianfan.de Thu Nov 26 22:40:36 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 26 Nov 2009 22:40:36 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29?= In-Reply-To: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> Message-ID: <4B0EF5D4.7080505@debianfan.de> Hallo zusammen, ich hab das dumme Gefühl, dass das Testsystem ein Backscatter ist - zumindest macht er was, was er nicht sollte. #sendmail -bp -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 4DA0E4E401 1211 Thu Nov 26 21:18:05 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org C45E44E3F2 1211 Thu Nov 26 15:18:05 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org A2BC14E3F1 1211 Thu Nov 26 12:18:05 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org 963F14E370 1211 Thu Nov 26 00:18:05 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org 85A5A4E3F9 1211 Thu Nov 26 18:18:04 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org 876384E390 1211 Thu Nov 26 06:18:05 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org 3E15A4E372 1211 Thu Nov 26 03:18:05 amavis at meinhostname.org (connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org 0E7FA4E3EB 1211 Thu Nov 26 09:18:05 amavis at meinhostname.org (delivery temporarily suspended: connect to meinhostname.org[123.456.789.000]: Connection timed out) amavis at meinhostname.org 5A9024E371 4576 Thu Nov 26 04:03:05 MAILER-DAEMON (connect to wana-168-244-12-196.wanamaroc.com[196.12.244.168]: Connection timed out) mooreqisyde28 at wana-168-244-12-196.wanamaroc.com 6A8714E393 1267 Thu Nov 26 06:25:05 root at meinhostname.org (delivery temporarily suspended: connect to meinhostname.org[123.456.789.000]: Connection timed out) root at meinhostname.org -- 17 Kbytes in 10 Requests. bringt haufenweise Mails an Spamadressen - die er ablehnen will - aber nicht zustellen kann weil ja hinter den Domains keine Mailserver stehen. bitte nicht wundern über die auskommentierten smtpd_recipient_restrictions - ich will den Spam empfangen um Spamassassin und den Virenscanner unter realer Last zu prüfen - aber könnte es daran liegen ? anbei die main.cf: root schrieb: > # See /usr/share/postfix/main.cf.dist for a commented, more complete version > > > # Debian specific: Specifying a file name will cause the first > # line of that file to be used as the name. The Debian default > # is /etc/mailname. > #myorigin = /etc/mailname > > smtpd_banner = $myhostname > biff = no > > # appending .domain is the MUA's job. > append_dot_mydomain = no > > # Uncomment the next line to generate "delayed mail" warnings > #delay_warning_time = 4h > > readme_directory = /usr/share/doc/postfix > > # TLS parameters > smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key > smtpd_use_tls=yes > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > > # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for > # information on enabling SSL in the smtp client. > > myhostname = meinhostname.org > alias_maps = hash:/etc/aliases > alias_database = hash:/etc/aliases > myorigin = $myhostname > mydestination = irgendeinedomain.de, localhost > relayhost = > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > mailbox_size_limit = 0 > recipient_delimiter = + > inet_interfaces = all > html_directory = /usr/share/doc/postfix/html > > mailbox_command = procmail -a "$EXTENSION" > > virtual_maps = hash:/etc/postfix/virtual > > home_mailbox = Maildir/ > > # content_filter = smtp-3a^132m23123412341 2134 2134avis:[127.0.0.1]:10024 > > > > # smtpd_recipient_restrictions = > # permit_mynetworks, > # reject_unauth_destination, > # reject_unknown_client, > # reject_non_fqdn_hostname, > # reject_unknown_sender_domain, > # reject_unknown_recipient_domain, > # reject_unauth_pipelining, > # reject_invalid_hostname, > # reject_unknown_client_hostname, > # check_policy_service inet:127.0.0.1:60000, > # check_policy_service inet:127.0.0.1:12525, > > > > > # header_checks = pcre:/etc/postfix/header_checks > > > smtpd_client_connection_rate_limit = 10 > smtpd_client_connection_count_limit = 10 > From jk at jkart.de Thu Nov 26 22:47:01 2009 From: jk at jkart.de (Jim Knuth) Date: Thu, 26 Nov 2009 22:47:01 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B0EF5D4.7080505@debianfan.de> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de> Message-ID: <4B0EF755.5070803@jkart.de> am 26.11.2009 22:40 Uhr schrieb sebastian at debianfan.de : > Hallo zusammen, > > ich hab das dumme Gefühl, dass das Testsystem ein Backscatter ist - > zumindest macht er was, was er nicht sollte. > > #sendmail -bp > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > 4DA0E4E401 1211 Thu Nov 26 21:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > C45E44E3F2 1211 Thu Nov 26 15:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > A2BC14E3F1 1211 Thu Nov 26 12:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 963F14E370 1211 Thu Nov 26 00:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 85A5A4E3F9 1211 Thu Nov 26 18:18:04 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 876384E390 1211 Thu Nov 26 06:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 3E15A4E372 1211 Thu Nov 26 03:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 0E7FA4E3EB 1211 Thu Nov 26 09:18:05 amavis at meinhostname.org > (delivery temporarily suspended: connect to > meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 5A9024E371 4576 Thu Nov 26 04:03:05 MAILER-DAEMON > (connect to wana-168-244-12-196.wanamaroc.com[196.12.244.168]: > Connection timed out) > > mooreqisyde28 at wana-168-244-12-196.wanamaroc.com > > 6A8714E393 1267 Thu Nov 26 06:25:05 root at meinhostname.org > (delivery temporarily suspended: connect to > meinhostname.org[123.456.789.000]: Connection timed out) > root at meinhostname.org > > -- 17 Kbytes in 10 Requests. > > > > > bringt haufenweise Mails an Spamadressen - die er ablehnen will - aber > nicht zustellen kann weil ja hinter den Domains keine Mailserver stehen. > > bitte nicht wundern über die auskommentierten > smtpd_recipient_restrictions - ich will den Spam empfangen um > Spamassassin und den Virenscanner unter realer Last zu prüfen - aber > könnte es daran liegen ? > > anbei die main.cf: @Sebastian - du bist doch nicht erst seit gestern hier ... ;) keine main.cf sondern postconf -n -- mit freundlichem Gruss - with kind regard Jim Knuth From postfix-list at novuage.de Thu Nov 26 22:47:17 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Thu, 26 Nov 2009 22:47:17 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B0EF5D4.7080505@debianfan.de> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de> Message-ID: <4B0EF765.50309@novuage.de> Hallo sebastian at debianfan.de schrieb: > Hallo zusammen, > > ich hab das dumme Gefühl, dass das Testsystem ein Backscatter ist - > zumindest macht er was, was er nicht sollte. > > #sendmail -bp > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > 4DA0E4E401 1211 Thu Nov 26 21:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > C45E44E3F2 1211 Thu Nov 26 15:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > A2BC14E3F1 1211 Thu Nov 26 12:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 963F14E370 1211 Thu Nov 26 00:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 85A5A4E3F9 1211 Thu Nov 26 18:18:04 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 876384E390 1211 Thu Nov 26 06:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 3E15A4E372 1211 Thu Nov 26 03:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 0E7FA4E3EB 1211 Thu Nov 26 09:18:05 amavis at meinhostname.org > (delivery temporarily suspended: connect to > meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 5A9024E371 4576 Thu Nov 26 04:03:05 MAILER-DAEMON > (connect to wana-168-244-12-196.wanamaroc.com[196.12.244.168]: > Connection timed out) > > mooreqisyde28 at wana-168-244-12-196.wanamaroc.com > > 6A8714E393 1267 Thu Nov 26 06:25:05 root at meinhostname.org > (delivery temporarily suspended: connect to > meinhostname.org[123.456.789.000]: Connection timed out) > root at meinhostname.org > > -- 17 Kbytes in 10 Requests. Wie wäre es denn mal mit einem Logfile zu einer Queue-ID. Beispiel "3E15A4E372" und "5A9024E371". Wie sieht der Inhalt der Mails aus. postcat -q "3E15A4E372" postcat -q "5A9024E371" > bringt haufenweise Mails an Spamadressen - die er ablehnen will - aber > nicht zustellen kann weil ja hinter den Domains keine Mailserver stehen. > > bitte nicht wundern über die auskommentierten > smtpd_recipient_restrictions - ich will den Spam empfangen um > Spamassassin und den Virenscanner unter realer Last zu prüfen - aber > könnte es daran liegen ? Wenn man weiß was drinsteht, warum die Bounce generiert wurde (da steht ja eventuell der Fehler drin, dann weiß man auch mehr. Das hier "5A9024E371" könnte eine Bounce/Backscatter sein wo der Absender eben nicht empfangsbereit ist oder gar nicht vorhanden, da kannste also auch den Inhalt und die Fehlermeldung lesen. Was Du sonst aber im Log genauso kannst. -- Gruß Sascha From sebastian at debianfan.de Thu Nov 26 22:48:35 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 26 Nov 2009 22:48:35 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B0EF5D4.7080505@debianfan.de> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de> Message-ID: <4B0EF7B3.8050003@debianfan.de> Ach ja - Guten Abend, ich hab natürlich zu früh auf senden gedrückt. hat einer von Euch einen Gedanken woran das liegen könnte ? Ich nutze postfix, courier-imap, amavis,clamav, spamassassin auf debian lenny. gruß Sebastian sebastian at debianfan.de schrieb: > Hallo zusammen, > > ich hab das dumme Gefühl, dass das Testsystem ein Backscatter ist - > zumindest macht er was, was er nicht sollte. > > #sendmail -bp > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > 4DA0E4E401 1211 Thu Nov 26 21:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > C45E44E3F2 1211 Thu Nov 26 15:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > A2BC14E3F1 1211 Thu Nov 26 12:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 963F14E370 1211 Thu Nov 26 00:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 85A5A4E3F9 1211 Thu Nov 26 18:18:04 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 876384E390 1211 Thu Nov 26 06:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 3E15A4E372 1211 Thu Nov 26 03:18:05 amavis at meinhostname.org > (connect to meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 0E7FA4E3EB 1211 Thu Nov 26 09:18:05 amavis at meinhostname.org > (delivery temporarily suspended: connect to > meinhostname.org[123.456.789.000]: Connection timed out) > amavis at meinhostname.org > > 5A9024E371 4576 Thu Nov 26 04:03:05 MAILER-DAEMON > (connect to wana-168-244-12-196.wanamaroc.com[196.12.244.168]: > Connection timed out) > > mooreqisyde28 at wana-168-244-12-196.wanamaroc.com > > 6A8714E393 1267 Thu Nov 26 06:25:05 root at meinhostname.org > (delivery temporarily suspended: connect to > meinhostname.org[123.456.789.000]: Connection timed out) > root at meinhostname.org > > -- 17 Kbytes in 10 Requests. > > > > > bringt haufenweise Mails an Spamadressen - die er ablehnen will - aber > nicht zustellen kann weil ja hinter den Domains keine Mailserver stehen. > > bitte nicht wundern über die auskommentierten > smtpd_recipient_restrictions - ich will den Spam empfangen um > Spamassassin und den Virenscanner unter realer Last zu prüfen - aber > könnte es daran liegen ? > > anbei die main.cf: > > > > root schrieb: >> # See /usr/share/postfix/main.cf.dist for a commented, more complete >> version >> >> >> # Debian specific: Specifying a file name will cause the first >> # line of that file to be used as the name. The Debian default >> # is /etc/mailname. >> #myorigin = /etc/mailname >> >> smtpd_banner = $myhostname >> biff = no >> >> # appending .domain is the MUA's job. >> append_dot_mydomain = no >> >> # Uncomment the next line to generate "delayed mail" warnings >> #delay_warning_time = 4h >> >> readme_directory = /usr/share/doc/postfix >> >> # TLS parameters >> smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem >> smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key >> smtpd_use_tls=yes >> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache >> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache >> >> # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for >> # information on enabling SSL in the smtp client. >> >> myhostname = meinhostname.org >> alias_maps = hash:/etc/aliases >> alias_database = hash:/etc/aliases >> myorigin = $myhostname >> mydestination = irgendeinedomain.de, localhost >> relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 >> mailbox_size_limit = 0 >> recipient_delimiter = + >> inet_interfaces = all >> html_directory = /usr/share/doc/postfix/html >> >> mailbox_command = procmail -a "$EXTENSION" >> >> virtual_maps = hash:/etc/postfix/virtual >> >> home_mailbox = Maildir/ >> >> # content_filter = smtp-3a^132m23123412341 2134 >> 2134avis:[127.0.0.1]:10024 >> >> >> >> # smtpd_recipient_restrictions = >> # permit_mynetworks, >> # reject_unauth_destination, >> # reject_unknown_client, >> # reject_non_fqdn_hostname, >> # reject_unknown_sender_domain, >> # reject_unknown_recipient_domain, >> # reject_unauth_pipelining, >> # reject_invalid_hostname, >> # reject_unknown_client_hostname, >> # check_policy_service inet:127.0.0.1:60000, >> # check_policy_service inet:127.0.0.1:12525, >> >> >> >> >> # header_checks = pcre:/etc/postfix/header_checks >> >> >> smtpd_client_connection_rate_limit = 10 >> smtpd_client_connection_count_limit = 10 >> > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From sebastian at debianfan.de Thu Nov 26 22:50:15 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 26 Nov 2009 22:50:15 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B0EF755.5070803@jkart.de> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de> <4B0EF755.5070803@jkart.de> Message-ID: <4B0EF817.1010403@debianfan.de> Jim Knuth schrieb: > > @Sebastian - du bist doch nicht erst seit gestern hier ... ;) > keine main.cf sondern postconf -n > Ooooch - ja :-( ich brauche Urlaub :-( debian:/# postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix home_mailbox = Maildir/ html_directory = /usr/share/doc/postfix/html inet_interfaces = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 mydestination = meinetestdomain.org, localhost myhostname = meinhostname mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = $myhostname readme_directory = /usr/share/doc/postfix recipient_delimiter = + relayhost = smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname smtpd_client_connection_count_limit = 10 smtpd_client_connection_rate_limit = 10 smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes From driessen at fblan.de Thu Nov 26 22:56:37 2009 From: driessen at fblan.de (Uwe Driessen) Date: Thu, 26 Nov 2009 22:56:37 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B0EF817.1010403@debianfan.de> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de><4B0EF755.5070803@jkart.de> <4B0EF817.1010403@debianfan.de> Message-ID: <004101ca6ee3$53e923e0$0565a8c0@uwe> sebastian at debianfan.de > Jim Knuth schrieb: > > > > @Sebastian - du bist doch nicht erst seit gestern hier ... ;) > > keine main.cf sondern postconf -n > > > > Ooooch - ja :-( ich brauche Urlaub :-( > > debian:/# postconf -n > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > config_directory = /etc/postfix > home_mailbox = Maildir/ > html_directory = /usr/share/doc/postfix/html > inet_interfaces = all > mailbox_command = procmail -a "$EXTENSION" > mailbox_size_limit = 0 > mydestination = meinetestdomain.org, localhost > myhostname = meinhostname > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = $myhostname > readme_directory = /usr/share/doc/postfix > recipient_delimiter = + > relayhost = > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname > smtpd_client_connection_count_limit = 10 > smtpd_client_connection_rate_limit = 10 > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes Ich sehe keine smtpd_recipient_restrictions Postfix tut genau was du ihm gesagt hast "nimm alles an und stell zu" Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From sebastian at debianfan.de Thu Nov 26 23:13:18 2009 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 26 Nov 2009 23:13:18 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <004101ca6ee3$53e923e0$0565a8c0@uwe> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de><4B0EF755.5070803@jkart.de> <4B0EF817.1010403@debianfan.de> <004101ca6ee3$53e923e0$0565a8c0@uwe> Message-ID: <4B0EFD7E.5040902@debianfan.de> Uwe Driessen schrieb: > > > Ich sehe keine smtpd_recipient_restrictions > > Postfix tut genau was du ihm gesagt hast "nimm alles an und stell zu" > > ok - das war die Antwort - ich probiers From gregor at a-mazing.de Fri Nov 27 09:06:56 2009 From: gregor at a-mazing.de (Gregor Hermens) Date: Fri, 27 Nov 2009 09:06:56 +0100 Subject: [Postfixbuch-users] Spam die letzten Tage In-Reply-To: <200911252241.17421@office.a-mazing.net> References: <4B0D9FB6.3030303@novuage.de> <200911252241.17421@office.a-mazing.net> Message-ID: <200911270906.56558@office.a-mazing.net> Moin, Am Mittwoch, 25. November 2009 schrieb Gregor Hermens: > Seit gestern abend ist die Zahl > der abgelehnten Mails ohne ersichtlichen Grund auf ca 40% des normalen > Wertes abgesackt, ohne das ich bei den angenommenen Mails eine Veränderung > sehen kann... gestern ca 19:50h ist der Wert wieder auf "Normal" hochgeschnellt. Sieht also so aus, als wäre einfach nur ein Botnetz 2 Tage außer Betrieb gewesen... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From kai_postfix at fuerstenberg.ws Fri Nov 27 09:31:43 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 27 Nov 2009 09:31:43 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <004101ca6ee3$53e923e0$0565a8c0@uwe> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de><4B0EF755.5070803@jkart.de> <4B0EF817.1010403@debianfan.de> <004101ca6ee3$53e923e0$0565a8c0@uwe> Message-ID: <4B0F8E6F.5050800@fuerstenberg.ws> Uwe Driessen schrieb am 26.11.2009 22:56: > Ich sehe keine smtpd_recipient_restrictions > > Postfix tut genau was du ihm gesagt hast "nimm alles an und stell zu" Nein: smtpd_reject_unlisted_recipient (default: yes) smtpd_recipient_restrictions (default: permit_mynetworks, reject_unauth_destination) Der nimmt noch lange nicht alles an. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From kai_postfix at fuerstenberg.ws Fri Nov 27 12:20:51 2009 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 27 Nov 2009 12:20:51 +0100 Subject: [Postfixbuch-users] Backscatter? was: (kein Betreff) In-Reply-To: <4B0EF817.1010403@debianfan.de> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de> <4B0EF755.5070803@jkart.de> <4B0EF817.1010403@debianfan.de> Message-ID: <4B0FB613.6000101@fuerstenberg.ws> Hallo Sebastian, sebastian at debianfan.de schrieb am 26.11.2009 22:50: > mydestination = meinetestdomain.org, localhost > myhostname = meinhostname Sind die "echten" Werte jetzt ultrageheim, dass du die nicht rausrücken willst oder sind das die korrekten Werte? Die echten Werte geheimzuhalten ist ja erst mal nichts schlimmes, du kannst aber meistens gar nicht so genau arbeiten und die Werte 100% genau anpassen, dass auch was plausibles dabei rauskommt. Gleiches gilt für die Mail-Queue oder für Logs. Schicke bitte korrekte Logs mit der korrekten Konfig, dann müssen wir uns nicht mit unterschiedlichen Werten in unterschiedlichen Postings rumschlagen, das macht das ganze erheblich einfacher. Du hast eingangs davon gesprochen, Spamassassin unter Last zu testen. Die Einbindung erfolgt aber wohl über die master.cf. Dann bitte auch hiervon die relevanten Teile mitschicken (also alles, aber ohne Kommentarzeilen). -- Gruß Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From postfix-list at novuage.de Fri Nov 27 17:43:51 2009 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 27 Nov 2009 17:43:51 +0100 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <4B0F8E6F.5050800@fuerstenberg.ws> References: <20091126150854.D73504E386@94-23-166-29.kimsufi.com> <4B0EF5D4.7080505@debianfan.de><4B0EF755.5070803@jkart.de> <4B0EF817.1010403@debianfan.de> <004101ca6ee3$53e923e0$0565a8c0@uwe> <4B0F8E6F.5050800@fuerstenberg.ws> Message-ID: <4B1001C7.20101@novuage.de> Kai Fürstenberg schrieb: > Uwe Driessen schrieb am 26.11.2009 22:56: >> Ich sehe keine smtpd_recipient_restrictions >> >> Postfix tut genau was du ihm gesagt hast "nimm alles an und stell zu" > > Nein: > smtpd_reject_unlisted_recipient (default: yes) > smtpd_recipient_restrictions (default: permit_mynetworks, > reject_unauth_destination) > > Der nimmt noch lange nicht alles an. Hab da auch was im Kopf aus dem Buch. Aber Logfiles würden schon helfen. -- Gruß Sascha From joachim-sturm at web.de Sun Nov 29 13:58:47 2009 From: joachim-sturm at web.de (Joachim Sturm) Date: Sun, 29 Nov 2009 13:58:47 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <200911251351.34422.p.heinlein@heinlein-support.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> Message-ID: <000001ca70f3$b0dda500$1298ef00$@de> Gibt es für die "Postfix", "Dovecot", "/etc/dovecot/userdb" Konfiguration eine WebGui zum Anlegen von Usern und Domänen bei virtuellen Domänen? (ähnlich WebCyradm) Dankeschön Achim From mareb at comparat.de Sun Nov 29 19:02:50 2009 From: mareb at comparat.de (Manfred Rebentisch) Date: Sun, 29 Nov 2009 19:02:50 +0100 Subject: [Postfixbuch-users] Cyrus 2.2 und Over Quota Problem: Quota deaktivieren? Message-ID: <200911291902.50189.mareb@comparat.de> Hallo ich betreue ein Netzwerk mit SUSE Linux Enterprise Server 10 (i586), auf dem Cyrus IMAPD (version: v2.2.12 2005/02/14 16:43:51) die Mitarbeiter betreut. Ein Benutzer hat über 3.5 GB in seinen Mailordnern verteilt und bekommt nun ständig Over-Quota Meldungen. Mails werden zwar gesendet, aber nicht im sent-Ordner gespeichert. Ich habe hier in der Liste einen alten Thread aus 2007 gefunden, in dem das gleiche Problem geschildert wird. Deshalb gehe ich davon aus, dass Cyrus in der vorliegenden Version ein 32-Bit-Problem hat. Nun meine Frage: kann ich konfigurieren, dass Cyrus überhaupt keine Quota-Prüfung mehr vornimmt? Das ist hier eh Unsinn (interner Mailserver). Ich habe nun mit cyradm sq user.mailbox none aufgerufen. "remove quota" antwortete cyradm. Habe ich es damit richtig erledigt? Oder bleibt die Größe der Mailbox für diese Cyrus-Version ein Problem? Danke für eine Antwort Manfred From postfixbuch at cboltz.de Sun Nov 29 22:27:05 2009 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sun, 29 Nov 2009 22:27:05 +0100 Subject: [Postfixbuch-users] Null-Listing ernst gemeint In-Reply-To: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> References: <0DB84244-4AB6-40B6-8242-44CD8936D70B@veka.com> Message-ID: <200911292227.05338@tux.boltz.de.vu> Hallo Frank, hallo Leute, Am Dienstag, 24. November 2009 schrieb Frank Fiene: > Als einen der letzten Sätze erwähnte Peer, das man ja eigentlich > einen MX 30 mit einer nicht aktiven IP-Adresse announcen könnte. > > War das nur ein Spaß oder funktioniert das wirklich? > Und wieviel SPAM fängt so etwas ein? 10%? Ich habe ein ähnliches Setup im Einsatz - einen "Faulpelz MX" [1], der die ganze Zeit mit einem temporären Fehler alle Mails abweist. (Wäre ja noch schöner, wenn der Faulpelz auch noch Mails annehmen müsste... ;-) Der Faulpelz macht rund 1/3 meiner Rejects. Das entlastet vor allem das Greylisting - nur ein paar hundert Mails täglich landen im Greylisting, während ein paar tausend vom Faulpelz abgewiesen werden. Gut die Hälfte meiner Rejects sind übrigens durch Blacklisten (iX/Manitu und Spamhaus), der Rest durch user unknown & Co. Interessanterweise habe ich seit Ende Oktober nur noch 20 Rejects/Minute (insgesamt, nicht nur vom Faulpelz), während es vorher immer 50-60 waren. Das reduziert natürlich auch die Reject-Zahlen des Faulpelzes, aber er macht immer noch das 7- bis 10-fache an Rejects im Vergleich zum Greylisting und rund 1/3 der Rejects insgesamt. Gruß Christian Boltz [1] http://blog.cboltz.de/archives/45-Faulpelz-MX.html -- Wer Linux an Windows misst, misst Mist. [David Haller in suse-linux] From n.gerhards at ib-gerhards.de Mon Nov 30 03:57:16 2009 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Mon, 30 Nov 2009 03:57:16 +0100 Subject: [Postfixbuch-users] sehr allgemeine Fragen In-Reply-To: <4B0E4990.50701@ofd-sth.niedersachsen.de> References: <4B0D18D4.5040606@ib-gerhards.de> <4B0D1ACC.4020600@aloah-from-hell.de> <2C6D8D5E-B65A-4570-A09C-8657EB75DC00@veka.com> <200911251351.34422.p.heinlein@heinlein-support.de> <4B0D3503.3010202@ib-gerhards.de> <4B0D49A1.7070604@web.de> <4B0D57FA.7050901@ib-gerhards.de> <4B0E4990.50701@ofd-sth.niedersachsen.de> Message-ID: <4B13348C.4050404@ib-gerhards.de> Marc Patermann schrieb: >> Ich möchte aber eine Frage wiederholen: wenn der Kunde in einem halben >> Jahr ankommt und doch ein Colaboration-Tool einsetzen will, wozu ratet >> Ihr dann? >> eGroupWare? >> ...? > Das ist eine wichtige Frage, die du dir schon heute beantworten > solltest, wenn sowas absehbar ist! :) > >> Und das Wichtigste: funktionieren diese Tools über IMAP-Server oder >> _muss_ ich dafür - am besten dann von Anfang an - eine DB wie MySQL >> einsetzen? >> Damit käme dann wieder der anfängliche Vorschlag von Werner D. zum >> Tragen. ;-) > Es ist leider so, dass nur wenige Groupware-Lösungen einfach auch > beliebige IMAP-Serverumgebungen aufgesetzt werden können und dann noch > das bieten, was man will. Wenn IMAP nicht das Problem ist, dann ist es > wahrscheinlich die Userverwaltung, die man ändern muss, etc. > > Daher würde ich vorschlagen, du guckst dir JETZT an, welche Lösung es > werden könnte und - wenn du es dann nicht sowieso gleich installierst - > definiere aus deren Vorgaben die Ausgangslösung. > Scalix oder Zarafa haben z.B. den IMAP-Server schon eingebaut. (Wenn ich > mich jetzt nicht täusche.) Open-Xchange läuft z.B. mit Cyrus IMAPd oder > Dovecot stellt aber relativ hohe Ansprüche an die Userverwaltung. [Alles > nur aus dem Gedächtnis.] > Einen WebClient als Squirrelmail-Ersatz haben eh alle an Bord. > http://www.linux-magazin.de/Online-Artikel/Uebersicht-Groupware-Server-Teil-1 > Die Ratschläge von Alexander und Marc sind natürlich richtig. Umbauen ist immer viel aufwändiger als gleich alles richtig einstielen. ;-) Wenn es zu der Groupware-Erweiterung kommt, wird es nach ausführlicher Recherche wohl tatsächlich eGroupware werden. Da die User sämtlich lokale User (nicht virtuelle) User sind, und die User-Authorisierung nicht über LDAP oder MySQL laufen soll: 1. Geht das dann überhaupt mit eGroupware oder 'vergibt' man dadurch irgendwelche Vorteile z. B. beim Dateihandling? 2. Hat irgendjemand hier schon die Kombination Postfix, Dovecot IMAP und SASL, eGroupware im Einsatz und kann Erfahrungen mitteilen? Viele Grüße Norbert From lists at puersten.de Mon Nov 30 16:16:20 2009 From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=) Date: Mon, 30 Nov 2009 16:16:20 +0100 Subject: [Postfixbuch-users] SASL authentication failure Message-ID: <4B13E1C4.9080908@puersten.de> Hallo Zusammen, und mal wieder ein Problem... Diesmal habe ich das Problem das seit der Neueinrichtung zweier Server einige Kunden sporadisch keine Mails versenden können. Clientseitig äußert sich das Problem wohl so das der Kunde vom Client, was im übrigen immer eine Version von Outlook ist, zur neuen Eingabe seiner Passwörter gebeten wird. Hat er dieses getan, auch mehrfach, funktioniert es aber immer noch nicht. Eventuell hängt es vielleicht auch irgendwie mit der Umstellung auf pre-queue zusammen, da wir vorher postqueue genutzt haben. Oder durch das mit der Neuinstallation verbundene Upgrade der Software entsteht dieser Fehler jetzt. Auf den alten Servern war dieser Fehler auf jeden Fall nicht. Hier noch ein paar Daten: SASL Einstellungen main.cf: smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd.conf: pwcheck_method: auxprop auxprop_plugin: sql log_level: 7 mech_list: plain login CRAM-MD5 DIGEST-MD5 sql_engine: mysql sql_hostnames: localhost sql_user: [user] sql_passwd: [pass] sql_database: [database] sql_select: [SELECT sql] Logfile Auszug: Nov 30 15:53:17 mailout2 postfix/smtpd[903]: warning: unknown[85.220.144.25]: SASL DIGEST-MD5 authentication failed: authentication failure Nov 30 16:02:12 mailout2 postfix/smtpd[62469]: warning: SASL authentication failure: realm changed: authentication aborted >> das sind die beiden damit in Verbindung stehenden Einträge Da das Problem immer nur sporadisch auftritt ist natürlich schlecht zu testen, allerdings sind die oben beschriebenen Logfile Einträge immer vorhanden, mal mehr mal weniger. Ich hoffe einer von Euch hat Tipps wie ich das Problem lösen kann, ich hab schon das halbe Internet durchsucht und irgendwie nix wirklich vernünftiges gefunden. Viele Grüße Oliver From werner at aloah-from-hell.de Mon Nov 30 16:39:08 2009 From: werner at aloah-from-hell.de (Werner Detter) Date: Mon, 30 Nov 2009 16:39:08 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B13E1C4.9080908@puersten.de> References: <4B13E1C4.9080908@puersten.de> Message-ID: <4B13E71C.1020502@aloah-from-hell.de> Hi Oliver, > Nov 30 15:53:17 mailout2 postfix/smtpd[903]: warning: > unknown[85.220.144.25]: SASL DIGEST-MD5 authentication failed: > authentication failure Outlook kann kein DIGEST-MD5/CRAM-MD5, daher musst du Outlook dazu bringen sich via PLAIN/LOGIN und TLS zu auth'n Ciao, Werner From p at state-of-mind.de Mon Nov 30 16:39:09 2009 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 30 Nov 2009 16:39:09 +0100 Subject: [Postfixbuch-users] SASL authentication failure In-Reply-To: <4B13E1C4.9080908@puersten.de> References: <4B13E1C4.9080908@puersten.de> Message-ID: <20091130153909.GE10164@state-of-mind.de> * Oliver Pürsten : > Hallo Zusammen, > > und mal wieder ein Problem... > > Diesmal habe ich das Problem das seit der Neueinrichtung zweier > Server einige Kunden sporadisch keine Mails versenden können. > > Clientseitig äußert sich das Problem wohl so das der Kunde vom > Client, was im übrigen immer eine Version von Outlook ist, zur neuen > Eingabe seiner Passwörter gebeten wird. Hat er dieses getan, auch > mehrfach, funktioniert es aber immer noch nicht. > > Eventuell hängt es vielleicht auch irgendwie mit der Umstellung auf > pre-queue zusammen, da wir vorher postqueue genutzt haben. Oder > durch das mit der Neuinstallation verbundene Upgrade der Software > entsteht dieser Fehler jetzt. Auf den alten Servern war dieser > Fehler auf jeden Fall nicht. > > Hier noch ein paar Daten: > > SASL Einstellungen main.cf: > smtpd_sasl_auth_enable = yes > smtpd_sasl_security_options = noanonymous > broken_sasl_auth_clients = yes > > smtpd.conf: > pwcheck_method: auxprop > auxprop_plugin: sql > log_level: 7 > mech_list: plain login CRAM-MD5 DIGEST-MD5 > sql_engine: mysql > sql_hostnames: localhost > sql_user: [user] > sql_passwd: [pass] > sql_database: [database] > sql_select: [SELECT sql] Bitte schick die config nochmal als output von saslfinger. Kann gut sein, dass Du eine Typo hast und Dein Abtippen, das nicht sichtbar macht. p at rick > > > Logfile Auszug: > > Nov 30 15:53:17 mailout2 postfix/smtpd[903]: warning: > unknown[85.220.144.25]: SASL DIGEST-MD5 authentication failed: > authentication failure > > Nov 30 16:02:12 mailout2 postfix/smtpd[62469]: warning: SASL > authentication failure: realm changed: authentication aborted > > >> das sind die beiden damit in Verbindung stehenden Einträge > > Da das Problem immer nur sporadisch auftritt ist natürlich schlecht > zu testen, allerdings sind die oben beschriebenen Logfile Einträge > immer vorhanden, mal mehr mal weniger. > > Ich hoffe einer von Euch hat Tipps wie ich das Problem lösen kann, > ich hab schon das halbe Internet durchsucht und irgendwie nix > wirklich vernünftiges gefunden. > > Viele Grüße > Oliver > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From anmeyer at anup.de Mon Nov 30 17:15:45 2009 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 30 Nov 2009 17:15:45 +0100 Subject: [Postfixbuch-users] Cyrus 2.2 und Over Quota Problem: Quota deaktivieren? In-Reply-To: <200911291902.50189.mareb@comparat.de> References: <200911291902.50189.mareb@comparat.de> Message-ID: <20091130171545.736c254d@gamma.bitcorner.intern> Manfred Rebentisch schrieb am Sun, 29 Nov 2009 19:02:50 +0100: > Ich habe hier in der Liste einen alten Thread aus 2007 gefunden, in dem das > gleiche Problem geschildert wird. Deshalb gehe ich davon aus, dass Cyrus in > der vorliegenden Version ein 32-Bit-Problem hat. Ich kann mir nicht vorstellen, dass das ein 32-bit-Problem sein soll. Eher ein filesystemlimit von 4GB? > Nun meine Frage: kann ich konfigurieren, dass Cyrus überhaupt keine > Quota-Prüfung mehr vornimmt? Das ist hier eh Unsinn (interner Mailserver). > > Ich habe nun mit cyradm > > sq user.mailbox none > > aufgerufen. "remove quota" antwortete cyradm. Habe ich es damit richtig > erledigt? Oder bleibt die Größe der Mailbox für diese Cyrus-Version ein > Problem? Hast du es denn damit erledigt? Was sagt lq user.mailbox ? Grüße Andreas