From jk at jkart.de Sun Aug 1 11:15:24 2010 From: jk at jkart.de (Jim Knuth) Date: Sun, 01 Aug 2010 11:15:24 +0200 Subject: [Postfixbuch-users] Submission Port benutzen Message-ID: <4C553B2C.6000307@jkart.de> Moin, folgender Sachverhalt. Kunde schickt, wie auch immer, Mails in die Welt, über Port 25. Telekom macht, weil angeblich Spam kommt, Port 25 für *diesen* Absender dicht. Jetzt möchte (NUR) dieser Kunde über den Submission Port senden. Geht das explizit *NUR* für diesen Kunden und macht das überhaupt Sinn? Bzw. kann obige Geschichte eigentlich SO stimmen? P.S. Ich kann an den Server nicht ran, basiert nur auf einem Telefonat mit dem entsprechenden Kunden. Danke schon mal. -- mit freundlichem Gruss with kind regard Jim Knuth --------------------------------------- Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From max at grobecker-wtal.de Sun Aug 1 12:22:50 2010 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Sun, 01 Aug 2010 12:22:50 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C553B2C.6000307@jkart.de> References: <4C553B2C.6000307@jkart.de> Message-ID: <4C554AFA.7040708@grobecker-wtal.de> Hallo, einige Provider sperren nach Spam-Beschwerden gerne mal dem Kunden den Port 25 - die Telekom wird da vermutlich keine Ausnahme sein. Den Submission-Port werden sie aufgelassen haben, denn der verlangt explizit nach einer Authentifizierung und kann daher nicht zum Einliefern von Spam an fremde Mailserver missbraucht werden - also zumindest nicht, wenn man nicht über Anmeldedaten für diesem Server verfügt. Wenn die DTAG den SMTP-Port sperrt, kann zumindest von infizierten Rechnern aus kein Spam mehr an andere Server eingeliefert werden. Das wäre dann nämlich auch etwas, was man prüfen und beheben sollte... Wenn nämlich die infizierten Rechner nicht nur Spam verschicken sondern auch FTP-Server attackieren, sperrt die DTAG irgendwann den ganzen Account. Die Telekom kann für einen einzelnen Kunden einzelne Ports sperren. Sehr wahrscheinlich werden die Firewall-Regeln einfach im RADIUS-Server für diesen einen Einwahl-Account hinterlegt und auch nur für diesen angewendet - das funktioniert schon. Falls der Submission-Port auf dem Server nicht offen ist, funktioniert eventuell eine SSL-Gesicherte SMTP-Verbindung, die nutzt ebenfalls einen anderen Port. Aber wenn selbst der Submission-Port nicht offen ist, fürchte ich ja fast, dass auch per SSL nichts geht. Viele Grüße aus dem Tal Max Am 01.08.2010 11:15, schrieb Jim Knuth: > Moin, > > folgender Sachverhalt. > > Kunde schickt, wie auch immer, Mails in die Welt, > über Port 25. > Telekom macht, weil angeblich Spam kommt, Port 25 > für *diesen* Absender dicht. > Jetzt möchte (NUR) dieser Kunde über den Submission > Port senden. > Geht das explizit *NUR* für diesen Kunden und > macht das überhaupt Sinn? > Bzw. kann obige Geschichte eigentlich SO stimmen? > > P.S. Ich kann an den Server nicht ran, basiert nur > auf einem Telefonat mit dem entsprechenden Kunden. > > Danke schon mal. > > > -- Max Grobecker max at grobecker-wtal.de Sollten Sie eine .asc-Datei im Anhang finden, so können Sie diese getrost ignorieren. Es handelt sich dabei um eine digitale PGP-Signatur, die Absender und Inhalt verifiziert. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 259 bytes Beschreibung: OpenPGP digital signature URL : From jk at jkart.de Sun Aug 1 12:42:18 2010 From: jk at jkart.de (Jim Knuth) Date: Sun, 01 Aug 2010 12:42:18 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C554AFA.7040708@grobecker-wtal.de> References: <4C553B2C.6000307@jkart.de> <4C554AFA.7040708@grobecker-wtal.de> Message-ID: <4C554F8A.6010503@jkart.de> schrieb Maximilian Grobecker: > Hallo, > > einige Provider sperren nach Spam-Beschwerden gerne mal dem Kunden den > Port 25 - die Telekom wird da vermutlich keine Ausnahme sein. > > Den Submission-Port werden sie aufgelassen haben, denn der verlangt > explizit nach einer Authentifizierung und kann daher nicht zum > Einliefern von Spam an fremde Mailserver missbraucht werden - also > zumindest nicht, wenn man nicht über Anmeldedaten für diesem Server verfügt. > > Wenn die DTAG den SMTP-Port sperrt, kann zumindest von infizierten > Rechnern aus kein Spam mehr an andere Server eingeliefert werden. Das > wäre dann nämlich auch etwas, was man prüfen und beheben sollte... > Wenn nämlich die infizierten Rechner nicht nur Spam verschicken sondern > auch FTP-Server attackieren, sperrt die DTAG irgendwann den ganzen Account. > > > Die Telekom kann für einen einzelnen Kunden einzelne Ports sperren. Sehr > wahrscheinlich werden die Firewall-Regeln einfach im RADIUS-Server für > diesen einen Einwahl-Account hinterlegt und auch nur für diesen > angewendet - das funktioniert schon. > > Falls der Submission-Port auf dem Server nicht offen ist, funktioniert > eventuell eine SSL-Gesicherte SMTP-Verbindung, die nutzt ebenfalls einen > anderen Port. Aber wenn selbst der Submission-Port nicht offen ist, > fürchte ich ja fast, dass auch per SSL nichts geht. > > > Viele Grüße aus dem Tal > Max > > > Am 01.08.2010 11:15, schrieb Jim Knuth: >> Moin, >> >> folgender Sachverhalt. >> >> Kunde schickt, wie auch immer, Mails in die Welt, >> über Port 25. >> Telekom macht, weil angeblich Spam kommt, Port 25 >> für *diesen* Absender dicht. >> Jetzt möchte (NUR) dieser Kunde über den Submission >> Port senden. >> Geht das explizit *NUR* für diesen Kunden und >> macht das überhaupt Sinn? >> Bzw. kann obige Geschichte eigentlich SO stimmen? >> >> P.S. Ich kann an den Server nicht ran, basiert nur >> auf einem Telefonat mit dem entsprechenden Kunden. >> >> Danke schon mal. Danke, aber das beantwortet ja nicht meine Frage. ;) -- mit freundlichem Gruss with kind regard Jim Knuth --------------------------------------- Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From max at grobecker-wtal.de Sun Aug 1 12:42:49 2010 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Sun, 01 Aug 2010 12:42:49 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailserver_drehen_MX-Priorit?= =?iso-8859-1?q?=E4t_um=3F!?= In-Reply-To: <4C532835.7030208@novuage.de> References: <4C53260F.9090209@grobecker-wtal.de> <4C532835.7030208@novuage.de> Message-ID: <4C554FA9.5040409@grobecker-wtal.de> Hallo Sascha, Am 30.07.2010 21:29, schrieb Sascha Peters: > Daher müssen auch beide Server gleich gesichert werden. Sonst bringt es > nichts :) Sie sind ja _fast_ gleich gesichert. Der Backup-Server hat keinen Virenscanner, das kann der Hauptserver auch beim Einliefern tun ;-) > Hier vertreten dann viele die Meinung warum 2 MX Server wenn einer > "kleiner" ist. Das bringt eigentlich nicht viel. Entweder er kann die > Last ab und kann dann auch gleich mit der selben Wertigkeit eingebunden > werden (2x MX-10) wobei dann nicht mehr gesagt werden kann die Hoster > versuchen es auf dem 2. ;-) Noja, der ist inzwischen auch schon 3-4 Jahre alt und war damals als Übergangslösung gebucht worden. Es gab da ein paar Probleme mit der Anbindung des InHouse-Mailservers und ich hatte dann angeregt, dass nun ein guter Zeitpunkt für ein Backup-System wäre. Und als Backupsystem wurde der günstigste vServer gebucht, den der Herr finden konnte... Der hat auch seinerzeit vollkommen ausgereicht! > Was meinst Du damit, die Mails müssen durch, wer das auch immer macht. > Warum das aber "sooo lange" dauert, weiß ich nicht. Die Server sollten > doch schon vernünftig angebunden sein. Ist er auch. Ich habe jedoch den Postfix praktisch zur Schnecke "tunen" müssen, damit der Server bei der Menge an E-Mails nicht sofort zusammenbricht, wenn er mal im Ernstfall wirklich gefordert ist. Wenn es hart auf hart kam, hat der teilweise nur noch sehr zäh auf der Konsole reagiert, weil er sich fast zu Tode geswapped hat. Naja, wir haben jetzt bei Hetzner den kleinsten dedizierten Server genommen, den wir finden konnten. Der ist immer noch 600% schneller, als der jetzige vServer. > Interessante Frage, aber daher würde ich hier erst mal die Frage stellen > ob das auch andere bestätigen können. Ich muss sagen ich achte da nun > nicht groß drauf, aber mein 2. MX hat auch nicht viel zu tun :) Ich will jetzt nicht ausschließen, dass es manchmal wirklich Routingprobleme zwischen dem Colocator und Strato gibt. Aber die Antwortmails gehen immer sofort von uns nach Strato glatt durch und das wäre ja dann ein komischer Zufall, wenn das immer nur so 3-4 Minuten andauernde Störungen wären ;-) Viele Grüße aus dem Tal Max -- Max Grobecker max at grobecker-wtal.de Sollten Sie eine .asc-Datei im Anhang finden, so können Sie diese getrost ignorieren. Es handelt sich dabei um eine digitale PGP-Signatur, die Absender und Inhalt verifiziert. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 259 bytes Beschreibung: OpenPGP digital signature URL : From max at grobecker-wtal.de Sun Aug 1 12:53:02 2010 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Sun, 01 Aug 2010 12:53:02 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C554F8A.6010503@jkart.de> References: <4C553B2C.6000307@jkart.de> <4C554AFA.7040708@grobecker-wtal.de> <4C554F8A.6010503@jkart.de> Message-ID: <4C55520E.3020406@grobecker-wtal.de> Hallo, Am 01.08.2010 12:42, schrieb Jim Knuth: > > > Danke, aber das beantwortet ja nicht meine Frage. ;) > Zumindest teilweise wird deine Frage beantwortet ;-) JA, es kann so stimmen und JA, der Submission-Port macht Sinn. Oder habe ich dich da etwas falsch verstanden? Wenn der Kunde über den Submission-Port senden will, dann kann er das auch - sofern der Server das unterstützt. Er als Client muss ja lediglich den Port in seiner Software ändern, sonst nichts. Wenn der Server es nicht unterstützt, müsste er dafür entsprechend konfiguriert werden. Und der Kunde kann dann auch als Alternative den SSL-Port versuchen, wenn seine Software SSL-Verbindungen herstellen kann. Viele Grüße aus dem Tal Max -- Max Grobecker max at grobecker-wtal.de Sollten Sie eine .asc-Datei im Anhang finden, so können Sie diese getrost ignorieren. Es handelt sich dabei um eine digitale PGP-Signatur, die Absender und Inhalt verifiziert. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 259 bytes Beschreibung: OpenPGP digital signature URL : From jk at jkart.de Sun Aug 1 12:57:12 2010 From: jk at jkart.de (Jim Knuth) Date: Sun, 01 Aug 2010 12:57:12 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C55520E.3020406@grobecker-wtal.de> References: <4C553B2C.6000307@jkart.de> <4C554AFA.7040708@grobecker-wtal.de> <4C554F8A.6010503@jkart.de> <4C55520E.3020406@grobecker-wtal.de> Message-ID: <4C555308.7070102@jkart.de> schrieb Maximilian Grobecker: > Hallo, > > > Am 01.08.2010 12:42, schrieb Jim Knuth: >> >> >> Danke, aber das beantwortet ja nicht meine Frage. ;) >> > > > Zumindest teilweise wird deine Frage beantwortet ;-) > JA, es kann so stimmen und JA, der Submission-Port macht Sinn. > Oder habe ich dich da etwas falsch verstanden? > > Wenn der Kunde über den Submission-Port senden will, dann kann er das > auch - sofern der Server das unterstützt. Er als Client muss ja > lediglich den Port in seiner Software ändern, sonst nichts. > Wenn der Server es nicht unterstützt, müsste er dafür entsprechend > konfiguriert werden. Und der Kunde kann dann auch als Alternative den > SSL-Port versuchen, wenn seine Software SSL-Verbindungen herstellen kann. > > > Viele Grüße aus dem Tal > Max d.h. praktisch, dass *nur* der Submission Port in der master.cf zu öffnen ist und gut? Und dann eben beim Mailclient aktivieren? -- mit freundlichem Gruss with kind regard Jim Knuth --------------------------------------- Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From p.heinlein at heinlein-support.de Sun Aug 1 13:03:25 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 1 Aug 2010 13:03:25 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C553B2C.6000307@jkart.de> References: <4C553B2C.6000307@jkart.de> Message-ID: <201008011303.25578.p.heinlein@heinlein-support.de> Am Sonntag 01 August 2010 11:15:24 schrieb Jim Knuth: > Geht das explizit *NUR* für diesen Kunden und > macht das überhaupt Sinn? Es macht Sinn den Submission-Port allgemein für alle Nutzer offen zu haben. Submission ist nichts anderes als Port 25 und der zwangsweisen Voraqussetzung, daß authentifiziert werden muß. Insofern macht es KEINEN Sinn diesen Port nur auf einen bestimmten Nutzer beschränken zu wollen. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix-list at novuage.de Sun Aug 1 15:14:32 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 01 Aug 2010 15:14:32 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailserver_drehen_MX-Priorit?= =?iso-8859-1?q?=E4t_um=3F!?= In-Reply-To: <4C554FA9.5040409@grobecker-wtal.de> References: <4C53260F.9090209@grobecker-wtal.de> <4C532835.7030208@novuage.de> <4C554FA9.5040409@grobecker-wtal.de> Message-ID: <4C557338.9050706@novuage.de> Hallo Maximilian, Am 01.08.2010 12:42, schrieb Maximilian Grobecker: > Am 30.07.2010 21:29, schrieb Sascha Peters: >> Daher müssen auch beide Server gleich gesichert werden. Sonst bringt es >> nichts :) > > Sie sind ja _fast_ gleich gesichert. Der Backup-Server hat keinen > Virenscanner, das kann der Hauptserver auch beim Einliefern tun ;-) Wenn dann kein Bounce generiert wird, sondern die Mail in die Tonne geht, schöner wäre aber bei einem Virus die E-Mail auch nicht anzunehmen. Und das kann dann nur jeder für sich selbst entscheiden. >> Was meinst Du damit, die Mails müssen durch, wer das auch immer macht. >> Warum das aber "sooo lange" dauert, weiß ich nicht. Die Server sollten >> doch schon vernünftig angebunden sein. > > Ist er auch. Ich habe jedoch den Postfix praktisch zur Schnecke "tunen" > müssen, damit der Server bei der Menge an E-Mails nicht sofort > zusammenbricht, wenn er mal im Ernstfall wirklich gefordert ist. > Wenn es hart auf hart kam, hat der teilweise nur noch sehr zäh auf der > Konsole reagiert, weil er sich fast zu Tode geswapped hat. Das hat ja nichts mit der Anbindung und Verarbeitung einzelne Mails, sondern mit der Gleichzeitgen Verarbeitung von Mails zu tun. Trotzdem sollten E-Mails dann ruck zuck ausgeliefert werden. Auch wenn Sie größer sind. Wie hast Du das denn Konfiguriert? > Naja, wir haben jetzt bei Hetzner den kleinsten dedizierten Server > genommen, den wir finden konnten. Der ist immer noch 600% schneller, als > der jetzige vServer. Oh ja, das "kleine" was man da bekommt, das ist echt der Wahnsinn :) >> Interessante Frage, aber daher würde ich hier erst mal die Frage stellen >> ob das auch andere bestätigen können. Ich muss sagen ich achte da nun >> nicht groß drauf, aber mein 2. MX hat auch nicht viel zu tun :) > > Ich will jetzt nicht ausschließen, dass es manchmal wirklich > Routingprobleme zwischen dem Colocator und Strato gibt. Aber die > Antwortmails gehen immer sofort von uns nach Strato glatt durch und das > wäre ja dann ein komischer Zufall, wenn das immer nur so 3-4 Minuten > andauernde Störungen wären ;-) komisch komisch, muss mal schauen ob ich jemanden finde der bei Strato ist :) -- Gruß Sascha From postfix-list at novuage.de Sun Aug 1 15:42:57 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 01 Aug 2010 15:42:57 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C553B2C.6000307@jkart.de> References: <4C553B2C.6000307@jkart.de> Message-ID: <4C5579E1.4070704@novuage.de> Am 01.08.2010 11:15, schrieb Jim Knuth: > Kunde schickt, wie auch immer, Mails in die Welt, > über Port 25. > Telekom macht, weil angeblich Spam kommt, Port 25 > für *diesen* Absender dicht. Ja, das haben wir auch nun schön öftesr von Kunden mitbekommen. Vor einiger Zeit wurde nur per E-Mail informiert. Doch scheinbar reagieren die Kunden nicht schnell und gut genug. Ich finde das ehrlich gesagt auch gut so. Wie sperren, sobald alle Server die gebraucht werden (und das sollten alle sein) den Submission Unterstützen den Port 25 immer global. Durch eine Loggingregel sollte man sehen können welcher der Verseuchte ist :) > Geht das explizit *NUR* für diesen Kunden und > macht das überhaupt Sinn? Es geht, macht aber keinen Sinn das zu beschränken. Einfach global für alle zulassen und der Kunde muss den Port in seiner Firewall freischalten und in seinem SMTP Client ändern. > Bzw. kann obige Geschichte eigentlich SO stimmen? Ja, kann nicht nur, ist sogar wahrscheinlich. -- Gruß Sascha From dead-mailbox at web.de Mon Aug 2 12:27:29 2010 From: dead-mailbox at web.de (dead-mailbox at web.de) Date: Mon, 2 Aug 2010 12:27:29 +0200 (CEST) Subject: [Postfixbuch-users] ClamAV: VIRUS (Suspect.PDF.ObfuscatedJS-1) Message-ID: <1247653543.1156810.1280744849863.JavaMail.fmail@mwmweb070> Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From dominik at storck.net Mon Aug 2 13:02:23 2010 From: dominik at storck.net (Dominik Storck) Date: Mon, 02 Aug 2010 13:02:23 +0200 Subject: [Postfixbuch-users] Mail-Verteilerliste und "unknown mail transport error" Message-ID: <4C56A5BF.7090707@storck.net> Hallo, habe hier ein Problem mit Mail-Verteilerlisten. Diese sind realisiert über einen entsprechende Eintrag in der aliases in der Art gruppe-x: :include:/etc/gruppe-x.list sowie jeweils einer zugehörigen Datei gruppe-x.list mit jeweils einer Zeile mit der Mail-Adresse pro (lokalem) Empfänger. Das funktionierte nun lange gut und völlig problemlos. Inzwischen ist die Zahl der Empfänger für manche Listen gewachsen und erreicht bis zu 200 Einträge. Nun bricht nach ca. 185 Empfängern (die genaue Zahl schwankt, warum weiß ich nicht), der Versand mit einem "unknown mail transport error" ab. Die Nachricht bleibt ergo in der Queue und der Versand wiederholt sich, bricht wieder ab und so fort. Mein Verdacht, es könnte ein Limit von 200 gleichzeitig "aktiven" Mails geben, hat mich dazu geführt, mit Parametern wie local_destination_concurrency_limit default_destination_concurrency_limit default_destination_recipient_limit smtp_recipient_limit zu experimentieren - allerdings ohne Erfolg und Effekt auf das oben beschriebene Phänomen. local -v führt zu umfangreichen Logs, hat aber auch keine Erleuchtung gebracht. Für Ideen wäre ich dankbar. Dominik From Ralf.Hildebrandt at charite.de Mon Aug 2 13:31:57 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 2 Aug 2010 13:31:57 +0200 Subject: [Postfixbuch-users] Mail-Verteilerliste und "unknown mail transport error" In-Reply-To: <4C56A5BF.7090707@storck.net> References: <4C56A5BF.7090707@storck.net> Message-ID: <20100802113156.GI20168@charite.de> * Dominik Storck : > Hallo, > > habe hier ein Problem mit Mail-Verteilerlisten. > > Diese sind realisiert über einen entsprechende Eintrag in der aliases > in der Art > > gruppe-x: :include:/etc/gruppe-x.list > > sowie jeweils einer zugehörigen Datei gruppe-x.list mit jeweils einer > Zeile mit der Mail-Adresse pro (lokalem) Empfänger. > > Das funktionierte nun lange gut und völlig problemlos. > > Inzwischen ist die Zahl der Empfänger für manche Listen gewachsen und > erreicht bis zu 200 Einträge. > > Nun bricht nach ca. 185 Empfängern (die genaue Zahl schwankt, warum > weiß ich nicht), der Versand mit einem "unknown mail transport error" > ab. Die Nachricht bleibt ergo in der Queue und der Versand wiederholt > sich, bricht wieder ab und so fort. Der Logeintrag fehlt -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From tobster at brain-force.ch Mon Aug 2 14:17:34 2010 From: tobster at brain-force.ch (Tobias) Date: Mon, 02 Aug 2010 14:17:34 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Ist_sowas_m=C3=B6glich=3F?= Message-ID: <91cf091944dad885498012a0ea2a19b4@192.168.100.102> Hallo zusammen ich wollte fragen ob folgendes Vorhaben mit Postfix möglich ist. Ich habe zu Hause von meinem Provider 2 IPs und zwei Router. Der Postfix sendet per default via Gateway der ersten externen IP. Jetzt kommt es immer wieder mal vor, dass ich Mails nicht als direct-mx verschicken kann weil die erste IP auf einer Liste gelistet ist (meist auf Listen für dynamische Adressen). In diesem Fall kommt natürlich sofort eine Fehlermeldung seitens Postfix, dass der Mailserver auf der Gegenseite den Empfang verweigert hat. Kann man Postfix dazu bringen in solchen Fehlerfällen erst noch eine Zustellung via 2. Gateway zu versuchen, ehe eine Fehlermeldung an den Absender geht? Ehrlich gesagt habe ich keinen Plan wie man das umsetzen könnte. Wäre sehr dankbar für Links ins Manual zum Thema Danke vielmals für alle Tipps und Gruss tobi -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfix-list at novuage.de Mon Aug 2 14:41:44 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 02 Aug 2010 14:41:44 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Ist_sowas_m=C3=B6glich=3F?= In-Reply-To: <91cf091944dad885498012a0ea2a19b4@192.168.100.102> References: <91cf091944dad885498012a0ea2a19b4@192.168.100.102> Message-ID: <4C56BD08.5020003@novuage.de> Hallo, Am 02.08.2010 14:17, schrieb Tobias: > ich wollte fragen ob folgendes Vorhaben mit Postfix möglich ist. Ich > habe zu Hause von meinem Provider 2 IPs und zwei Router. Der Postfix > sendet per default via Gateway der ersten externen IP. Jetzt kommt es > immer wieder mal vor, dass ich Mails nicht als direct-mx verschicken > kann weil die erste IP auf einer Liste gelistet ist (meist auf Listen > für dynamische Adressen). In diesem Fall kommt natürlich sofort eine > Fehlermeldung seitens Postfix, dass der Mailserver auf der Gegenseite > den Empfang verweigert hat. Die 2. Leitung ist doch dann aber auch eine "Dynamische" Adresse bzw. aus dem Provider Dial-Up bereich, oder? Ich würde also vermuten das dies keine Lösung ist. > Kann man Postfix dazu bringen in solchen Fehlerfällen erst noch eine > Zustellung via 2. Gateway zu versuchen, ehe eine Fehlermeldung an den > Absender geht? Ehrlich gesagt habe ich keinen Plan wie man das umsetzen > könnte. Wäre sehr dankbar für Links ins Manual zum Thema Schau Dir mal "smtp_fallback_relay" an. http://www.postfix.org/postconf.5.html#smtp_fallback_relay Ich habe keine Ahnung ob das auch bei einem 5xx Fehler klappt, aber vielleicht schaust Du es Dir einfach mal an. Müsstest dann einfach 2 Instanzen von Postfix fahren, je eine die Über die entsprechende Leitung geht, und die jeweils andere dann als Fallback einrichten. So im groben. Sollte ich (hab das nie benutzt) falsch verstanden haben, so fällt mir hier bestimmt jemand ins Wort ;-) -- Gruß Sascha From dominik at storck.net Mon Aug 2 15:20:13 2010 From: dominik at storck.net (Dominik Storck) Date: Mon, 02 Aug 2010 15:20:13 +0200 Subject: [Postfixbuch-users] Mail-Verteilerliste und "unknown mail transport error" In-Reply-To: <20100802113156.GI20168@charite.de> References: <4C56A5BF.7090707@storck.net> <20100802113156.GI20168@charite.de> Message-ID: <4C56C60D.4020103@storck.net> Pardon, Du hast so recht mit dem Logeintrag. WIrd hier nachgeholt: So sieht das aus, wenn ich eine Testmail loslasse (in der letzten Zeile der unknown mail transport error, es folgen keine weiteren Logeinträge zu der Mail): ================================================================== Aug 2 14:50:49 postfix postfix/pickup[27603]: 720441D34008: uid=0 from= Aug 2 14:50:49 postfix postfix/cleanup[28372]: 720441D34008: message-id=<20100802125049.720441D34008 at postfix.meinedomain.com> Aug 2 14:50:49 postfix postfix/qmgr[904]: 720441D34008: from=, size=577, nrcpt=1 (queue active) Aug 2 14:50:49 postfix postfix/local[29097]: 720441D34008: to=, orig_to=, relay=local, delay=0.34, delays=0.23/0/0/0.11, dsn=2.0.0, status=sent (delivered to maildir) ... [211 bis auf Mailadresse und wachsendes delay identische Zeilen entfernt] ... Aug 2 14:52:06 postfix postfix/local[29097]: 720441D34008: to=, orig_to=, relay=local, delay=77, delays=0.23/0/0/77, dsn=2.0.0, status=sent (delivered to command: /usr/bin/vacation -j wie) Aug 2 14:52:06 postfix postfix/local[29097]: 720441D34008: to=, orig_to=, relay=local, delay=77, delays=0.23/0/0/77, dsn=2.0.0, status=sent (delivered to maildir) Aug 2 14:52:06 postfix postfix/local[29097]: 720441D34008: to=, orig_to=, relay=local, delay=77, delays=0.23/0/0/77, dsn=2.0.0, status=sent (delivered to maildir) Aug 2 14:52:08 postfix postfix/error[32270]: 720441D34008: to=, relay=none, delay=79, delays=0.23/79/0/0.67, dsn=4.3.0, status=deferred (unknown mail transport error) ================================================================== Habe dabei eben noch beobachten können, daß unmittelbar im Nachgang auf den Abbruch noch weitere "normale" Mails auch den Status deferred bekamen, nach wenigen Minuten dann aber anstandlos ausgeliefert wurden. Kann es sein, daß doch noch irgendein Limit, womöglich bei (geschätzt) 200 Mails pro Minute oder so erreicht wird? Welcher Parameter wäre das, um das aufzuheben? Der Delay in obigem Test erreicht max. 77 Sekunden, bevor abgebrochen wird, in der Zeit werden etwa 215 Mails aus der Liste generiert, parallel ist das natürlich ein Life-System, auf dem noch weiterer Mail-Traffic durchläuft. Am 02.08.2010 13:31, schrieb Ralf Hildebrandt: > * Dominik Storck: >> Hallo, >> >> habe hier ein Problem mit Mail-Verteilerlisten. >> >> Diese sind realisiert über einen entsprechende Eintrag in der aliases >> in der Art >> >> gruppe-x: :include:/etc/gruppe-x.list >> >> sowie jeweils einer zugehörigen Datei gruppe-x.list mit jeweils einer >> Zeile mit der Mail-Adresse pro (lokalem) Empfänger. >> >> Das funktionierte nun lange gut und völlig problemlos. >> >> Inzwischen ist die Zahl der Empfänger für manche Listen gewachsen und >> erreicht bis zu 200 Einträge. >> >> Nun bricht nach ca. 185 Empfängern (die genaue Zahl schwankt, warum >> weiß ich nicht), der Versand mit einem "unknown mail transport error" >> ab. Die Nachricht bleibt ergo in der Queue und der Versand wiederholt >> sich, bricht wieder ab und so fort. > > Der Logeintrag fehlt > From postfixbuch-users at drobic.de Mon Aug 2 15:18:23 2010 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Mon, 02 Aug 2010 15:18:23 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C553B2C.6000307@jkart.de> References: <4C553B2C.6000307@jkart.de> Message-ID: <4C56C59F.3080503@drobic.de> On 01.08.2010 11:15, Jim Knuth wrote: > Moin, > > folgender Sachverhalt. > > Kunde schickt, wie auch immer, Mails in die Welt, > über Port 25. > Telekom macht, weil angeblich Spam kommt, Port 25 > für *diesen* Absender dicht. Habe ich das richtig verstanden? - Kunde hat Mailserver bei sich stehen - Kunde will direkt versenden an beliebige Server in der Welt - Telecom sperrt Kunden Port 25 wegen xxx Dann hat Kunde ein Problem, dass du nicht lösen kannst. > Jetzt möchte (NUR) dieser Kunde über den Submission > Port senden. Diese Aussage macht überhaupt keinen Sinn. Was meinst du nun?!? - Möchte der Kunde die Mails AN den Submission-Port des Empfängers schicken? - Möchte der Kunde, dass die Mails von extern AN den Submissionports seines Servers eingeliefert werden? Beides ist nicht möglich, wenn die Mails direkt empfangen werden. Mails laufen generell nur über Port 25 bei SMTP. Nur, wenn dein Server als Relay verwendet wird, dann kann er den Port 587 (Submission) deines Servers bei sich konfigurieren. Alle anderen Fälle kannst du vergessen. > Geht das explizit *NUR* für diesen Kunden und > macht das überhaupt Sinn? > Bzw. kann obige Geschichte eigentlich SO stimmen? > > P.S. Ich kann an den Server nicht ran, basiert nur > auf einem Telefonat mit dem entsprechenden Kunden. Ein sauberes Formulieren der Situation würde wirklich helfen. From postfix-list at novuage.de Mon Aug 2 15:32:49 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 02 Aug 2010 15:32:49 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C56C59F.3080503@drobic.de> References: <4C553B2C.6000307@jkart.de> <4C56C59F.3080503@drobic.de> Message-ID: <4C56C901.1090206@novuage.de> Am 02.08.2010 15:18, schrieb Sandy Drobic: > On 01.08.2010 11:15, Jim Knuth wrote: >> Kunde schickt, wie auch immer, Mails in die Welt, >> über Port 25. >> Telekom macht, weil angeblich Spam kommt, Port 25 >> für *diesen* Absender dicht. > > Habe ich das richtig verstanden? > - Kunde hat Mailserver bei sich stehen > - Kunde will direkt versenden an beliebige Server in der Welt > - Telecom sperrt Kunden Port 25 wegen xxx > > Dann hat Kunde ein Problem, dass du nicht lösen kannst. Ich denke eher, Kunde hat Mailserver, Kunde sendet per Relay über Provider, Spam auf einem Client sendet direkt an X IP-Adressen, Telekom sperrt Kunden Port 25 wegen Spamversandt. Wenn man nun das Relay über 587 anspricht ist alles in Ordnung. Die Spamschleuder sollte man aber suchen gehen ;-) -- Gruß Sascha From listacc at gmx.de Mon Aug 2 15:41:46 2010 From: listacc at gmx.de (listacc at gmx.de) Date: Mon, 02 Aug 2010 15:41:46 +0200 Subject: [Postfixbuch-users] Selektives sender_bcc_maps Message-ID: <20100802134146.169340@gmx.net> Ein freundliches Hallo in die Runde! Ich hab hier einen Mailaccount, bei dem jede Mail, die von diesem versendet wird, in Blindkopie auch an diesen Account selbst geschickt werden soll. Das war ganz einfach einzurichten über sender_bcc_maps. Nun ist die Anforderung aber erweitert worden: wird von diesem Account aus eine Mail an den Account selbst verschickt, soll kein Duplikat erzeugt werden. Durch sender_bcc_maps haben die Leute Mails, die sie an sich selbst verschicken, nun ja doppelt im Posteingang, was ein wenig stört. Ich hab allerdings noch keine Idee, wie ich das umsetzen kann. Vielleicht könnt ihr mir ja einen Tip geben? Viele Grüße! Andreas -- GRATIS für alle GMX-Mitglieder: Die maxdome Movie-FLAT! Jetzt freischalten unter http://portal.gmx.net/de/go/maxdome01 From dominik at storck.net Mon Aug 2 15:42:09 2010 From: dominik at storck.net (Dominik Storck) Date: Mon, 02 Aug 2010 15:42:09 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C56C901.1090206@novuage.de> References: <4C553B2C.6000307@jkart.de> <4C56C59F.3080503@drobic.de> <4C56C901.1090206@novuage.de> Message-ID: <4C56CB31.60101@storck.net> Am 02.08.2010 15:32, schrieb Sascha Peters: > Am 02.08.2010 15:18, schrieb Sandy Drobic: >> On 01.08.2010 11:15, Jim Knuth wrote: >>> Kunde schickt, wie auch immer, Mails in die Welt, >>> über Port 25. >>> Telekom macht, weil angeblich Spam kommt, Port 25 >>> für *diesen* Absender dicht. >> >> Habe ich das richtig verstanden? >> - Kunde hat Mailserver bei sich stehen >> - Kunde will direkt versenden an beliebige Server in der Welt >> - Telecom sperrt Kunden Port 25 wegen xxx >> >> Dann hat Kunde ein Problem, dass du nicht lösen kannst. > > Ich denke eher, Kunde hat Mailserver, Kunde sendet per Relay über > Provider, Spam auf einem Client sendet direkt an X IP-Adressen, Telekom > sperrt Kunden Port 25 wegen Spamversandt. > > Wenn man nun das Relay über 587 anspricht ist alles in Ordnung. Die > Spamschleuder sollte man aber suchen gehen ;-) > Soweit prima. Außerdem Firewall/Router so konfigurieren, daß SMTP nach außen nur der Mailserver darf... Das verhindert zwar nicht die Infektion von Clients, dafür aber weiteres Übel. Außerdem kann man so meist auch leicht die IP des betroffenen Rechners aus den Firewall-Logs lesen. Prinzipiell finde ich das vorgehen der Telekom absolut korrekt. Sollten alle Provider weltweit so machen, das würde das Spam-Problem wirklich drastisch einschränken. Außerdem ist nur so den lieben Kunden beizubringen, daß da noch Hausaufgaben zu machen sind ;-) Gruß Dominik From jk at jkart.de Mon Aug 2 16:20:51 2010 From: jk at jkart.de (Jim Knuth) Date: Mon, 02 Aug 2010 16:20:51 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C56C901.1090206@novuage.de> References: <4C553B2C.6000307@jkart.de> <4C56C59F.3080503@drobic.de> <4C56C901.1090206@novuage.de> Message-ID: <4C56D443.6060804@jkart.de> schrieb Sascha Peters: > Am 02.08.2010 15:18, schrieb Sandy Drobic: >> On 01.08.2010 11:15, Jim Knuth wrote: >>> Kunde schickt, wie auch immer, Mails in die Welt, >>> über Port 25. >>> Telekom macht, weil angeblich Spam kommt, Port 25 >>> für *diesen* Absender dicht. >> >> Habe ich das richtig verstanden? >> - Kunde hat Mailserver bei sich stehen >> - Kunde will direkt versenden an beliebige Server in der Welt >> - Telecom sperrt Kunden Port 25 wegen xxx >> >> Dann hat Kunde ein Problem, dass du nicht lösen kannst. > > Ich denke eher, Kunde hat Mailserver, Kunde sendet per Relay über > Provider, Spam auf einem Client sendet direkt an X IP-Adressen, Telekom > sperrt Kunden Port 25 wegen Spamversandt. ja, genau so ist es > > Wenn man nun das Relay über 587 anspricht ist alles in Ordnung. Die > Spamschleuder sollte man aber suchen gehen ;-) auch klar, schon passiert. War ein verseuchter Windows Rechner. > > -- mit freundlichem Gruss with kind regard Jim Knuth --------------------------------------- Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From lists at methfessel-computers.de Mon Aug 2 16:49:47 2010 From: lists at methfessel-computers.de (Oliver Methfessel [MC]) Date: Mon, 02 Aug 2010 16:49:47 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Ist_sowas_m=C3=B6glich=3F?= In-Reply-To: <91cf091944dad885498012a0ea2a19b4@192.168.100.102> References: <91cf091944dad885498012a0ea2a19b4@192.168.100.102> Message-ID: <4C56DB0B.8050000@methfessel-computers.de> Hallo Tobias, Am 02.08.2010 14:17, schrieb Tobias: > ich wollte fragen ob folgendes Vorhaben mit Postfix möglich ist. Ich > habe zu Hause von meinem Provider 2 IPs und zwei Router. Der Postfix > sendet per default via Gateway der ersten externen IP. Jetzt kommt es > immer wieder mal vor, dass ich Mails nicht als direct-mx verschicken > kann weil die erste IP auf einer Liste gelistet ist (meist auf Listen > für dynamische Adressen). In diesem Fall kommt natürlich sofort eine > Fehlermeldung seitens Postfix, dass der Mailserver auf der Gegenseite > den Empfang verweigert hat. Ich würde für eine sauber Konfiguration und eine sicherere eMailzustellung einen externen Mailserver mit statischer IP-Adresse als Relayhost konfigurieren. Dies ist AFAIK deutlich sinnvoller und für den Benutzer einfacher. Gruß Oliver -- Mit freundlichen Grüßen Oliver Methfessel Methfessel Computers Hauptsitz: Zieglerstr. 25a, 65191 Wiesbaden Kundenbüro: Kloppenheimer Weg 11, 65191 Wiesbaden Geschäftsführender Inhaber: Oliver Methfessel http://www.methfessel-computers.de From atann at alphasrv.net Mon Aug 2 18:28:21 2010 From: atann at alphasrv.net (Andre Tann) Date: Mon, 2 Aug 2010 18:28:21 +0200 Subject: [Postfixbuch-users] ClamAV: VIRUS (Suspect.PDF.ObfuscatedJS-1) In-Reply-To: <1247653543.1156810.1280744849863.JavaMail.fmail@mwmweb070> References: <1247653543.1156810.1280744849863.JavaMail.fmail@mwmweb070> Message-ID: <201008021828.21468@inter.netz> Servus Martin, dead-mailbox at web.de, Montag 02 August 2010: > Ursache für den geschilderten Sachverhalt dürfte vermutlich folgender > Parameter in der clamd.conf verantwortlich sein: > > # This option enables scanning within PDF files. > # Default: yes > #ScanPDF yes In der Tat - wenn ich diesen Parameter auf no setze, dann ist das Problem weg. Das ist bis jetzt die beste Möglichkeit, die ich habe, denn bis gerade eben habe ich das Problem dadurch gelöst, daß ich Viren nur getaggt, aber ansonsten durchgewunken habe. Nicht sehr schön. Ich frag mich nur, warum dieses Problem plötzlich so gehäuft auftritt, und das nur bei mir und nur auf einem Server, und auf anderen Maschinen nicht. Komisch, ist aber so. Danke und viele Grüße! Andre -- Andre Tann From postfix-list at novuage.de Mon Aug 2 18:39:32 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 02 Aug 2010 18:39:32 +0200 Subject: [Postfixbuch-users] Submission Port benutzen In-Reply-To: <4C56CB31.60101@storck.net> References: <4C553B2C.6000307@jkart.de> <4C56C59F.3080503@drobic.de> <4C56C901.1090206@novuage.de> <4C56CB31.60101@storck.net> Message-ID: <4C56F4C4.2050107@novuage.de> Hallo, Am 02.08.2010 15:42, schrieb Dominik Storck: > Soweit prima. Außerdem Firewall/Router so konfigurieren, daß SMTP nach > außen nur der Mailserver darf... Das verhindert zwar nicht die Infektion > von Clients, dafür aber weiteres Übel. Außerdem kann man so meist auch > leicht die IP des betroffenen Rechners aus den Firewall-Logs lesen. Eigentlich sollte eh alles verboten sein außer was erlaubt ist. Dabei ist Port 25 für alle Rechner. Bei Privatleuten mach ich aber in den Routern eine Regel für 25, so das das dicht ist und stelle die Rechner auf den Submission Ports. > Prinzipiell finde ich das vorgehen der Telekom absolut korrekt. Sollten > alle Provider weltweit so machen, das würde das Spam-Problem wirklich > drastisch einschränken. Außerdem ist nur so den lieben Kunden > beizubringen, daß da noch Hausaufgaben zu machen sind ;-) Ich sehe das auch so, in der Regel kann man Port 25 so oder so direkt sperren. Dann ist die Frage welcher Weg die Spammer dann wählen. -- Gruß Sascha From Tanja.Neskovic at gmx.de Tue Aug 3 10:04:02 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 10:04:02 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29?= Message-ID: <20100803080402.154990@gmx.net> Hallo, ich habe einen Postfix-Mailserver unter Debian/Lenny aufgesetzt, der zum Versand smtp.strato.de als Smtp-Relay nutzen soll. Lokaler Versand und Auslieferung klappen auf dem Server. Der Versand über den Strato-Server enden immer wieder mit "550 5.1.1 : Recipient address rejected: smtp.strato.de" "550 Angeforderte Aktion nicht ausgeführt: Mailbox unerreichbar (z.B.: Mailbox nicht gefunden, kein Zugang" Verstehe ich jetzt nicht ganz, denn meinen Account gibt es ja bei GMX, dass der nicht bei Strato liegt, weiß ich auch. Aber Strato soll doch nur durchleiten. postconf -n: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix content_filter = smtp:[localhost]:10024 debug_peer_level = 2 default_transport = error inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mailbox_transport = cyrus mydestination = server.stinson-training.local localhost.stinson-training.local localhost myhostname = server.stinson-training.local mynetworks = 127.0.0.0/8, 192.168.2.0/24 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relay_transport = error relayhost = smtp.strato.de smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl/smtp_auth smtp_sasl_security_options = noanonymous smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps Meine master.cf: smtp inet n - - - - smtpd localhost:10025 inet n - - - - smtpd -o content_filter= -o smtpd_proxy_filter= -o mynetworks=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp -o smtp_fallback_relay= showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user} Die Authentifizierung für Strato habe ich unter /etc/postfix/sasl/smtp_auth /etc/postfix/sasl/smtp_auth.db liegen, wobei sasl_auth so aufgebaut ist smtp.strato.de benutzer at example.com:password Natürlich mit den echten Inhalten ;-) Dennoch bekomme ich beim Versand über Postfix-Server diese Fehlermeldung oben. Hat das noch mit der Authentizierung beim Strato-Server zu tun oder habe ich in meiner Konfiguration etwas falsch gemacht? Für euere Anregungen bin ich dankbar! Grüße Tanja -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From Tanja.Neskovic at gmx.de Tue Aug 3 10:04:55 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 10:04:55 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected Message-ID: <20100803080455.154970@gmx.net> Hallo, ich habe einen Postfix-Mailserver unter Debian/Lenny aufgesetzt, der zum Versand smtp.strato.de als Smtp-Relay nutzen soll. Lokaler Versand und Auslieferung klappen auf dem Server. Der Versand über den Strato-Server enden immer wieder mit "550 5.1.1 : Recipient address rejected: smtp.strato.de" "550 Angeforderte Aktion nicht ausgeführt: Mailbox unerreichbar (z.B.: Mailbox nicht gefunden, kein Zugang" Verstehe ich jetzt nicht ganz, denn meinen Account gibt es ja bei GMX, dass der nicht bei Strato liegt, weiß ich auch. Aber Strato soll doch nur durchleiten. postconf -n: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix content_filter = smtp:[localhost]:10024 debug_peer_level = 2 default_transport = error inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mailbox_transport = cyrus mydestination = server.stinson-training.local localhost.stinson-training.local localhost myhostname = server.stinson-training.local mynetworks = 127.0.0.0/8, 192.168.2.0/24 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relay_transport = error relayhost = smtp.strato.de smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl/smtp_auth smtp_sasl_security_options = noanonymous smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps Meine master.cf: smtp inet n - - - - smtpd localhost:10025 inet n - - - - smtpd -o content_filter= -o smtpd_proxy_filter= -o mynetworks=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp -o smtp_fallback_relay= showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user} Die Authentifizierung für Strato habe ich unter /etc/postfix/sasl/smtp_auth /etc/postfix/sasl/smtp_auth.db liegen, wobei sasl_auth so aufgebaut ist smtp.strato.de benutzer at example.com:password Natürlich mit den echten Inhalten ;-) Dennoch bekomme ich beim Versand über Postfix-Server diese Fehlermeldung oben. Hat das noch mit der Authentizierung beim Strato-Server zu tun oder habe ich in meiner Konfiguration etwas falsch gemacht? Für euere Anregungen bin ich dankbar! Grüße Tanja -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail -- GMX DSL: Internet-, Telefon- und Handy-Flat ab 19,99 EUR/mtl. Bis zu 150 EUR Startguthaben inklusive! http://portal.gmx.net/de/go/dsl From driessen at fblan.de Tue Aug 3 10:25:52 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 3 Aug 2010 10:25:52 +0200 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <20100803080402.154990@gmx.net> References: <20100803080402.154990@gmx.net> Message-ID: <000301cb32e5$7ca57970$0565a8c0@uwe> On Behalf Of Tanja Neskovic > Hallo, > > ich habe einen Postfix-Mailserver unter Debian/Lenny aufgesetzt, der zum Versand > smtp.strato.de als Smtp-Relay nutzen soll. Ich glaube nicht das Strato sich ein offenes Relay erlaubt! > > Lokaler Versand und Auslieferung klappen auf dem Server. Der Versand über den Strato- > Server enden immer wieder mit > "550 5.1.1 : Recipient address rejected: smtp.strato.de" Zeige mal bitte den gesamten Vorgang. Tja wenn Empfänger = gmx.de dann bitte auch an GMX einliefern Wenn Absender auch gmx.de dann muß auch die Mail über GMX Account versendet werden > > "550 Angeforderte Aktion nicht ausgeführt: Mailbox unerreichbar > (z.B.: Mailbox nicht gefunden, kein Zugang" > Verstehe ich jetzt nicht ganz, denn meinen Account gibt es ja bei GMX, dass der nicht > bei Strato liegt, weiß ich auch. Aber Strato soll doch nur durchleiten. Geht nur wenn Absender von einer Domain bei Strato gehostet an GMX.de account geht. Es könnte auch sein das Strato überprüft ob der Absender zu dem User, der sich angemeldet hat, gehört.(das mache ich im Übrigen auch so aufgrund vieler Probleme die entstehen wenn bounces generiert werden müssen) > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From Tanja.Neskovic at gmx.de Tue Aug 3 10:49:29 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 10:49:29 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <000301cb32e5$7ca57970$0565a8c0@uwe> References: <20100803080402.154990@gmx.net> <000301cb32e5$7ca57970$0565a8c0@uwe> Message-ID: <20100803084929.62400@gmx.net> Okay, > Ich glaube nicht das Strato sich ein offenes Relay erlaubt! > ich habe aus mehreren Foren lesen können, dass smtp.strato.de mit dem smtp_auth-Inhalten, wie ich sie gezeigt habe klappen soll. Auf http://www.patshaping.de/hilfen_ta/pop3_smtp.htm sehe ich gerade: "Strato Posteingangsserver: POP3: pop3.strato.de, IMAP: imap.strato.de Postausgangsserver: smtp.strato.de Benutzername: MailAccount at IhreDomain.xyz Besonderheiten: Verwendet SMTP-Authentifizierung oder "POP3 vor SMTP"." > Zeige mal bitte den gesamten Vorgang. > > Tja wenn Empfänger = gmx.de dann bitte auch an GMX einliefern > > Wenn Absender auch gmx.de dann muß auch die Mail über GMX Account > versendet werden Ich habe mal jetzt meinen GMX-Account in die main.cf und die sasl_auth eingetragen. Da klappt es genauso wenig: telnet localhost 25 Trying ::1... Connected to localhost. Escape character is '^]'. 220 server.stinson-training.local ESMTP Postfix (Debian/GNU) HELO server.stinson-training.local 250 server.stinson-training.local MAIL FROM: root 250 2.1.0 Ok RCPT TO: tanja.neskovic at gmx.de 550 5.1.1 : Recipient address rejected: mail.gmx.net MAIL FROM: root Ich glaube deshalb, dass ich irgend einen Parameter falsch gesetzt habe > > > > > > "550 Angeforderte Aktion nicht ausgeführt: Mailbox unerreichbar > > (z.B.: Mailbox nicht gefunden, kein Zugang" > > Verstehe ich jetzt nicht ganz, denn meinen Account gibt es ja bei GMX, > dass der nicht > > bei Strato liegt, weiß ich auch. Aber Strato soll doch nur durchleiten. > > Geht nur wenn Absender von einer Domain bei Strato gehostet an GMX.de > account geht. Ist auch der Fall, ich kann bloss hier nicht echte Adressen publizieren. Der Strato-Account existiert. Bei der GMX-Adresse ist mir das egal. > Es könnte auch sein das Strato überprüft ob der Absender zu dem User, > der sich angemeldet > hat, gehört.(das mache ich im Übrigen auch so aufgrund vieler Probleme > die entstehen wenn > bounces generiert werden müssen) Einzig überlege ich gerade, ob das mit dem POP-Before-SMTP zusammenhängt. Fetchmail fragt allerdings alle 60 Sekunden ab. Und dann hätte ich bei GMX nicht das gleiche Problem. Viele Grüße Tanja -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From driessen at fblan.de Tue Aug 3 11:49:06 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 3 Aug 2010 11:49:06 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <20100803084929.62400@gmx.net> References: <20100803080402.154990@gmx.net><000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> Message-ID: <000401cb32f1$1dfb59b0$0565a8c0@uwe> On Behalf Of Tanja Neskovic > Okay, > > Ich glaube nicht das Strato sich ein offenes Relay erlaubt! > > > ich habe aus mehreren Foren lesen können, dass smtp.strato.de mit dem smtp_auth- > Inhalten, wie ich sie gezeigt habe klappen soll. > > Auf http://www.patshaping.de/hilfen_ta/pop3_smtp.htm sehe ich gerade: > "Strato > Posteingangsserver: POP3: pop3.strato.de, IMAP: imap.strato.de > Postausgangsserver: smtp.strato.de > Benutzername: MailAccount at IhreDomain.xyz > Besonderheiten: Verwendet SMTP-Authentifizierung oder "POP3 vor SMTP"." ^^^^^^ Wobei letzteres nicht mehr benutzt werden sollte > > > > Zeige mal bitte den gesamten Vorgang. > > > > Tja wenn Empfänger = gmx.de dann bitte auch an GMX einliefern > > > > Wenn Absender auch gmx.de dann muß auch die Mail über GMX Account > > versendet werden > > Ich habe mal jetzt meinen GMX-Account in die main.cf und die sasl_auth eingetragen. Da > klappt es genauso wenig: > > telnet localhost 25 > Trying ::1... > Connected to localhost. > Escape character is '^]'. > 220 server.stinson-training.local ESMTP Postfix (Debian/GNU) > HELO server.stinson-training.local > 250 server.stinson-training.local > MAIL FROM: root > 250 2.1.0 Ok > RCPT TO: tanja.neskovic at gmx.de > 550 5.1.1 : Recipient address rejected: mail.gmx.net > MAIL FROM: root ^^^^^^^^^^^^^^^^^^^^^^^^ Wie lautet dein ABSENDER?? WAS STEHT im Logfile von Postfix?? > > Ich glaube deshalb, dass ich irgend einen Parameter falsch gesetzt habe ........ Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From sven_vogler at landkreismol.de Tue Aug 3 12:04:29 2010 From: sven_vogler at landkreismol.de (Sven Vogler) Date: Tue, 03 Aug 2010 12:04:29 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter Message-ID: <4C57E9AD.8080108@landkreismol.de> Hallo Liste, ich bin dabei nach Peers Buch ein Mailgateway mit Postfix, amavisd_new, spamassassin und clamav aufzubauen. Dank der sehr guten Beschreibungen (Wirklich vielen Dank Peer!) habe ich alles so schick hinbekommen, daß ich recht zufrieden bin. Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet, da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt (von Real-time-Filterung kann auch keine Rede sein)). Dazu möchte ich einige gewohnte "Features" abbilden, die wir an diesem System nutzen. Mein Problem begann bei der Einbindung der Header- und Bodychecks.... Da generierte Amavis dann Backscatter, die nicht gewollt sind. Jetzt habe ich in der amavis.conf noch "rumgespielt" und es werden keine Backscatter versandt, aber es sieht nicht wirklich schön im Logfile aus .... (Ach so, das ganz läuft z.Z. nat. in einer Testumgebung) Ich bin sicher, dass das besser geht, habe aber dazu in Netz nichts gefunden. Über Tipps und Hinweise zur Konfiguration oder Links zum Nachlesen würde ich mich freuen, vielen Dank im voraus. Fehlen noch Informationen? Anhang: ########### Logfileausschnitt ################ Aug 3 10:52:40 mgw postfix/smtpd[20675]: NOQUEUE: client=unknown[194.95.188.6] Aug 3 10:52:41 mgw postfix/smtpd[20695]: connect from localhost[127.0.0.1] Aug 3 10:52:41 mgw postfix/smtpd[20695]: 0377392090: client=localhost[127.0.0.1] Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0377392090: message-id=<4C57D8D8.3010203 at landkreismal.de> Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0377392090: reject: body 123 from localhost[127.0.0.1]; from= to= proto=ESMTP helo=: 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw amavis[3001]: (03001-01) Negative SMTP response to data-dot (): 550 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw amavis[3001]: (03001-01) (!)FWD via SMTP: -> ,BODY=7BIT 550 5.7.1 Failed, id=03001-01, from MTA([127.0.0.1]:10025): 550 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw postfix/smtpd[20695]: 0FBC792090: client=localhost[127.0.0.1] Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0FBC792090: message-id= Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0FBC792090: reject: body Subject: 123 from localhost[127.0.0.1]; from=<> to= proto=ESMTP helo=: 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw amavis[3001]: (03001-01) Negative SMTP response to data-dot (): 550 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw amavis[3001]: (03001-01) (!)SEND via SMTP: <> -> ,ENVID=AM..20100803T085241Z at mgw.landkreismol.de 550 5.7.1 Failed, id=03001-01, from MTA([127.0.0.1]:10025): 550 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw amavis[3001]: (03001-01) (!)NOTICE: UNABLE TO SEND DSN to : 550 5.7.1 Failed, id=03001-01, from MTA([127.0.0.1]:10025): 550 5.7.1 Das wollen wir nich! Aug 3 10:52:41 mgw amavis[3001]: (03001-01) Blocked MTA-BLOCKED, [194.95.188.6] [194.95.188.6] -> , Message-ID: <4C57D8D8.3010203 at landkreismal.de>, mail_id: eWvT7v8+3+YC, Hits: 2.637, size: 806, 483 ms Aug 3 10:52:41 mgw postfix/smtpd[20675]: disconnect from unknown[194.95.188.6] ########## postconf -n ####################### address_verify_map = btree:/var/spool/postfix/data/verify address_verify_negative_expire_time = 3d address_verify_negative_refresh_time = 3h address_verify_positive_expire_time = 31d address_verify_positive_refresh_time = 7d address_verify_sender = address_cecker alias_maps = hash:/etc/aliases biff = no body_checks = regexp:/etc/postfix/body_checks canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix content_filter = daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix debug_peer_level = 2 defer_transports = delay_warning_time = 1h disable_dns_lookups = no disable_mime_output_conversion = no header_checks = regexp:/etc/postfix/header_checks html_directory = /usr/share/doc/packages/postfix-doc/html in_flow_delay = 1s inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = $mydomain masquerade_exceptions = root message_size_limit = 0 message_strip_characters = \0 mydestination = $myhostname, localhost, localhost.$mydomain myhostname = mgw.landkreismol.de mynetworks = 10.232.160.0/22, 127.0.0.0/8 mynetworks_style = subnet myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES relay_domains = $mydestination, hash:/etc/postfix/relay relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix-doc/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_helo_name = mail.landkreismol.de smtp_sasl_auth_enable = no smtp_use_tls = no smtpd_client_restrictions = smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = check_client_access cidr:/etc/postfix/access-client, check_sender_access hash:/etc/postfix/access-sender, check_recipient_access hash:/etc/postfix/access-recipient, reject_unverified_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, check_policy_service inet:127.0.0.1:12525, # policyd-weight check_policy_service inet:127.0.0.1:10023, # postgrey reject_unauth_destination, permit smtpd_sasl_auth_enable = no smtpd_sender_restrictions = smtpd_use_tls = no soft_bounce = no strict_8bitmime = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 550 virtual_alias_domains = hash:/etc/postfix/virtual virtual_alias_maps = hash:/etc/postfix/virtual ######### amavis.conf ############# -- Mit freundlichen Grüssen Sven Vogler -------------- nächster Teil -------------- use strict; $max_servers = 7; # num of pre-forked children (2..30 is common), -m $daemon_user = 'vscan'; # (no default; customary: vscan or amavis), -u $daemon_group = 'vscan'; # (no default; customary: vscan or amavis), -g $mydomain = 'landkreismol.de'; # a convenient default for other settings $MYHOME = '/var/spool/amavis'; $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR, used by SA, etc. $QUARANTINEDIR = undef; $log_level = 0; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_facility = 'mail'; # Syslog facility as a string # e.g.: mail, daemon, user, local0, ... local7 $syslog_priority = 'debug'; # Syslog base (minimal) priority as a string, # choose from: emerg, alert, crit, err, warning, notice, info, debug $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $nanny_details_level = 2; # nanny verbosity: 1: traditional, 2: detailed $enable_dkim_verification = 1; # enable DKIM signatures verification $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key dkim_key("landkreismol.de", "abc", "/var/spool/amavis/landkreismol.de.pem"); @local_domains_maps = ( [".$mydomain"] ); # list of all local domains @mynetworks = qw( 127.0.0.0/8 10.232.0.0/16 ); @inet_acl = qw(127.0.0.1); $unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter # option(s) -p overrides $inet_socket_port and $unix_socketname $inet_socket_port = 10024; # listen on this local TCP port(s) $policy_bank{'MYNETS'} = { # mail originating from @mynetworks originating => 1, # is true in MYNETS by default, but let's make it explicit os_fingerprint_method => undef, # don't query p0f for internal clients }; $policy_bank{'ORIGINATING'} = { # mail supposedly originating from our users originating => 1, # declare that mail was submitted by our smtp client allow_disclaimers => 1, # enables disclaimer insertion if available # notify administrator of locally originating malware virus_admin_maps => ["virusalert\@$mydomain"], spam_admin_maps => ["virusalert\@$mydomain"], # warnbadhsender => 1, forward_method => 'smtp:[127.0.0.1]:10027', smtpd_discard_ehlo_keywords => ['8BITMIME'], bypass_banned_checks_maps => [1], # allow sending any file names and types terminate_dsn_on_notify_success => 0, # don't remove NOTIFY=SUCCESS option }; $interface_policy{'SOCK'} = 'AM.PDP-SOCK'; # only applies with $unix_socketname $policy_bank{'AM.PDP-SOCK'} = { protocol => 'AM.PDP', auth_required_release => 0, # do not require secret_id for amavisd-release }; $sa_tag_level_deflt = 2.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 6.2; # add 'spam detected' headers at that level $sa_kill_level_deflt = 6.9; # triggers spam evasive actions (e.g. blocks mail) $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_crediblefrom_dsn_cutoff_level = 18; # likewise, but for a likely valid From $penpals_bonus_score = 8; # (no effect without a @storage_sql_dsn database) $penpals_threshold_high = $sa_kill_level_deflt; # don't waste time on hi spam $bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $virus_admin = "test1\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_banned_maps = ('banned'); @addr_extension_spam_maps = ('spam'); @addr_extension_bad_header_maps = ('badh'); $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM*** '; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $defang_by_ccat{+CC_BADH.",3"} = 1; # NUL or CR character in header $defang_by_ccat{+CC_BADH.",5"} = 1; # header line longer than 998 characters $defang_by_ccat{+CC_BADH.",6"} = 1; # header field syntax error $myhostname = 'mgw.landkreismol.de'; # must be a fully-qualified domain name! $notify_method = 'smtp:[127.0.0.1]:10025'; $forward_method = 'smtp:[127.0.0.1]:10025'; # set to undef with milter! $final_virus_destiny = D_REJECT; $final_spam_destiny = D_REJECT; $final_banned_destiny = D_REJECT; $banned_quarantine_to = "root\@$mydomain"; $virus_quarantine_to = undef; $spam_quarantine_to = undef; $bad_header_quarantine_to = undef; @keep_decoded_original_maps = (new_RE( qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, )); $banned_filename_re = new_RE( qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(pif|scr)$'i, # banned extensions - rudimentary qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, # block certain double extensions in filenames qr'\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic qr'.\.(doc)$'i, ); @score_sender_maps = ({ # a by-recipient hash lookup table, # results from all matching recipient tables are summed ## site-wide opinions about senders (the '.' matches any recipient) '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), { # a hash-type lookup table (associative array) 'nobody at cert.org' => -3.0, 'cert-advisory at us-cert.gov' => -3.0, 'owner-alert at iss.net' => -3.0, 'slashdot at slashdot.org' => -3.0, 'securityfocus.com' => -3.0, 'ntbugtraq at listserv.ntbugtraq.com' => -3.0, 'security-alerts at linuxsecurity.com' => -3.0, 'mailman-announce-admin at python.org' => -3.0, 'amavis-user-admin at lists.sourceforge.net'=> -3.0, 'amavis-user-bounces at lists.sourceforge.net' => -3.0, 'spamassassin.apache.org' => -3.0, 'notification-return at lists.sophos.com' => -3.0, 'owner-postfix-users at postfix.org' => -3.0, 'owner-postfix-announce at postfix.org' => -3.0, 'owner-sendmail-announce at lists.sendmail.org' => -3.0, 'sendmail-announce-request at lists.sendmail.org' => -3.0, 'donotreply at sendmail.org' => -3.0, 'ca+envelope at sendmail.org' => -3.0, 'noreply at freshmeat.net' => -3.0, 'owner-technews at postel.acm.org' => -3.0, 'ietf-123-owner at loki.ietf.org' => -3.0, 'cvs-commits-list-admin at gnome.org' => -3.0, 'rt-users-admin at lists.fsck.com' => -3.0, 'clp-request at comp.nus.edu.sg' => -3.0, 'surveys-errors at lists.nua.ie' => -3.0, 'emailnews at genomeweb.com' => -5.0, 'yahoo-dev-null at yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews at linuxnetworx.com' => -3.0, lc('lvs-users-admin at LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews at CNNIMAIL12.CNN.COM') => -5.0, # soft-blacklisting (positive score) 'sender at example.net' => 3.0, '.example.net' => 1.0, }, ], # end of site-wide tables }); @decoders = ( ['mail', \&do_mime_decode], ['asc', \&do_ascii], ['uue', \&do_ascii], ['hqx', \&do_ascii], ['ync', \&do_ascii], ['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ], ['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ], ['gz', \&do_uncompress, 'gzip -d'], ['gz', \&do_gunzip], ['bz2', \&do_uncompress, 'bzip2 -d'], ['lzo', \&do_uncompress, 'lzop -d'], ['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ], ['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['deb', \&do_ar, 'ar'], ['zip', \&do_unzip], ['7z', \&do_7zip, ['7zr','7za','7z'] ], ['rar', \&do_unrar, ['rar','unrar'] ], ['arj', \&do_unarj, ['arj','unarj'] ], ['arc', \&do_arc, ['nomarch','arc'] ], ['zoo', \&do_zoo, ['zoo','unzoo'] ], ['lha', \&do_lha, 'lha'], ['cab', \&do_cabextract, 'cabextract'], ['tnef', \&do_tnef_ext, 'tnef'], ['tnef', \&do_tnef], ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ], ); @av_scanners = ( ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/lib/clamav/clamd-socket"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ], ['Mail::ClamAV', \&ask_clamav, "*", [0], [1], qr/^INFECTED: (.+)/m ], ### http://www.kaspersky.com/ (kav4mailservers) ['KasperskyLab AVP - aveclient', ['/usr/local/kav/bin/aveclient','/usr/local/share/kav/bin/aveclient', '/opt/kav/5.5/kav4mailservers/bin/aveclient','aveclient'], '-p /var/run/aveserver -s {}/*', [0,3,6,8], qr/\b(INFECTED|SUSPICION|SUSPICIOUS)\b/, qr/(?:INFECTED|WARNING|SUSPICION|SUSPICIOUS) (.+)/m, ], # NOTE: one may prefer [0],[2,3,4,5], depending on how suspicious, # currupted or protected archives are to be handled ### http://www.kaspersky.com/ ['KasperskyLab AntiViral Toolkit Pro (AVP)', ['avp'], '-* -P -B -Y -O- {}', [0,3,6,8], [2,4], # any use for -A -K ? qr/infected: (.+)/m, sub {chdir('/opt/AVP') or die "Can't chdir to AVP: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ### The kavdaemon and AVPDaemonClient have been removed from Kasperky ### products and replaced by aveserver and aveclient ['KasperskyLab AVPDaemonClient', [ '/opt/AVP/kavdaemon', 'kavdaemon', '/opt/AVP/AvpDaemonClient', 'AvpDaemonClient', '/opt/AVP/AvpTeamDream', 'AvpTeamDream', '/opt/AVP/avpdc', 'avpdc' ], "-f=$TEMPBASE {}", [0,8], [3,4,5,6], qr/infected: ([^\r\n]+)/m ], # change the startup-script in /etc/init.d/kavd to: # DPARMS="-* -Y -dl -f=/var/amavis /var/amavis" # (or perhaps: DPARMS="-I0 -Y -* /var/amavis" ) # adjusting /var/amavis above to match your $TEMPBASE. # The '-f=/var/amavis' is needed if not running it as root, so it # can find, read, and write its pid file, etc., see 'man kavdaemon'. # defUnix.prf: there must be an entry "*/var/amavis" (or whatever # directory $TEMPBASE specifies) in the 'Names=' section. # cd /opt/AVP/DaemonClients; configure; cd Sample; make # cp AvpDaemonClient /opt/AVP/ # su - vscan -c "${PREFIX}/kavdaemon ${DPARMS}" ### http://www.centralcommand.com/ ['CentralCommand Vexira (new) vascan', ['vascan','/usr/lib/Vexira/vascan'], "-a s --timeout=60 --temp=$TEMPBASE -y $QUARANTINEDIR ". "--log=/var/log/vascan.log {}", [0,3], [1,2,5], qr/(?x)^\s* (?:virus|iworm|macro|mutant|sequence|trojan)\ found:\ ( [^\]\s']+ )\ \.\.\.\ /m ], # Adjust the path of the binary and the virus database as needed. # 'vascan' does not allow to have the temp directory to be the same as # the quarantine directory, and the quarantine option can not be disabled. # If $QUARANTINEDIR is not used, then another directory must be specified # to appease 'vascan'. Move status 3 to the second list if password # protected files are to be considered infected. ### http://www.avira.com/ ### Avira AntiVir (formerly H+BEDV) or (old) CentralCommand Vexira Antivirus ['Avira AntiVir', ['antivir','vexira'], '--allfiles -noboot -nombr -rs -s -z {}', [0], qr/ALERT:|VIRUS:/, qr/(?x)^\s* (?: ALERT: \s* (?: \[ | [^']* ' ) | (?i) VIRUS:\ .*?\ virus\ '?) ( [^\]\s']+ )/m ], # NOTE: if you only have a demo version, remove -z and add 214, as in: # '--allfiles -noboot -nombr -rs -s {}', [0,214], qr/ALERT:|VIRUS:/, ### http://www.commandsoftware.com/ ['Command AntiVirus for Linux', 'csav', '-all -archive -packed {}', [50], [51,52,53], qr/Infection: (.+)/m ], ### http://www.symantec.com/ ['Symantec CarrierScan via Symantec CommandLineScanner', 'cscmdline', '-a scan -i 1 -v -s 127.0.0.1:7777 {}', qr/^Files Infected:\s+0$/, qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/m ], ### http://www.symantec.com/ ['Symantec AntiVirus Scan Engine', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', [0], qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/m ], # NOTE: check options and patterns to see which entry better applies ### http://www.f-secure.com/products/anti-virus/ version 5.52 ['F-Secure Antivirus for Linux servers', ['/opt/f-secure/fsav/bin/fsav', 'fsav'], '--virus-action1=report --archive=yes --auto=yes '. '--dumb=yes --list=no --mime=yes {}', [0], [3,4,6,8], qr/(?:infection|Infected|Suspected|Riskware): (.+)/m ], # NOTE: internal archive handling may be switched off by '--archive=no' # to prevent fsav from exiting with status 9 on broken archives ['CAI InoculateIT', 'inocucmd', # retired product '-sec -nex {}', [0], [100], qr/was infected by virus (.+)/m ], # see: http://www.flatmtn.com/computer/Linux-Antivirus_CAI.html ### http://www3.ca.com/Solutions/Product.asp?ID=156 (ex InoculateIT) ['CAI eTrust Antivirus', 'etrust-wrapper', '-arc -nex -spm h {}', [0], [101], qr/is infected by virus: (.+)/m ], # NOTE: requires suid wrapper around inocmd32; consider flag: -mod reviewer # see http://marc.theaimsgroup.com/?l=amavis-user&m=109229779912783 ### http://mks.com.pl/english.html ['MkS_Vir for Linux (beta)', ['mks32','mks'], '-s {}/*', [0], [1,2], qr/--[ \t]*(.+)/m ], ### http://mks.com.pl/english.html ['MkS_Vir daemon', 'mksscan', '-s -q {}', [0], [1..7], qr/^... (\S+)/m ], ### http://www.eset.com/, version v2.7 (old) ['ESET NOD32 Linux Mail Server - command line interface', ['/usr/bin/nod32cli', '/opt/eset/nod32/bin/nod32cli', 'nod32cli'], '--subdir {}', [0,3], [1,2], qr/virus="([^"]+)"/m ], ### http://www.eset.com/, version 2.71.12 ['ESET Software ESETS Command Line Interface', ['/usr/bin/esets_cli', 'esets_cli'], '--subdir {}', [0], [1,2,3], qr/virus="([^"]+)"/m ], ## http://www.nod32.com/, NOD32LFS version 2.5 and above ['ESET NOD32 for Linux File servers', ['/opt/eset/nod32/sbin/nod32','nod32'], '--files -z --mail --sfx --rtp --adware --unsafe --pattern --heur '. '-w -a --action=1 -b {}', [0], [1,10], qr/^object=.*, virus="(.*?)",/m ], ### http://www.norman.com/products_nvc.shtml ['Norman Virus Control v5 / Linux', 'nvcc', '-c -l:0 -s -u -temp:$TEMPBASE {}', [0,10,11], [1,2,14], qr/(?i).* virus in .* -> \'(.+)\'/m ], ### http://www.pandasoftware.com/ ['Panda CommandLineSecure 9 for Linux', ['/opt/pavcl/usr/bin/pavcl','pavcl'], '-auto -aex -heu -cmp -nbr -nor -nos -eng -nob {}', qr/Number of files infected[ .]*: 0+(?!\d)/, qr/Number of files infected[ .]*: 0*[1-9]/, qr/Found virus :\s*(\S+)/m ], # NOTE: for efficiency, start the Panda in resident mode with 'pavcl -tsr' # before starting amavisd - the bases are then loaded only once at startup. # To reload bases in a signature update script: # /opt/pavcl/usr/bin/pavcl -tsr -ulr; /opt/pavcl/usr/bin/pavcl -tsr # Please review other options of pavcl, for example: # -nomalw, -nojoke, -nodial, -nohackt, -nospyw, -nocookies ### http://www.nai.com/ ['NAI McAfee AntiVirus (uvscan)', 'uvscan', '--secure -rv --mime --summary --noboot - {}', [0], [13], qr/(?x) Found (?: \ the\ (.+)\ (?:virus|trojan) | \ (?:virus|trojan)\ or\ variant\ ([^ ]+) | :\ (.+)\ NOT\ a\ virus)/m, # sub {$ENV{LD_PRELOAD}='/lib/libc.so.6'}, # sub {delete $ENV{LD_PRELOAD}}, ], # NOTE1: with RH9: force the dynamic linker to look at /lib/libc.so.6 before # anything else by setting environment variable LD_PRELOAD=/lib/libc.so.6 # and then clear it when finished to avoid confusing anything else. # NOTE2: to treat encrypted files as viruses replace the [13] with: # qr/^\s{5,}(Found|is password-protected|.*(virus|trojan))/ ### http://www.virusbuster.hu/en/ ['VirusBuster', ['vbuster', 'vbengcl'], "{} -ss -i '*' -log=$MYHOME/vbuster.log", [0], [1], qr/: '(.*)' - Virus/m ], # VirusBuster Ltd. does not support the daemon version for the workstation # engine (vbuster-eng-1.12-linux-i386-libc6.tgz) any longer. The names of # binaries, some parameters AND return codes have changed (from 3 to 1). # See also the new Vexira entry 'vascan' which is possibly related. ### http://www.cyber.com/ ['CyberSoft VFind', 'vfind', '--vexit {}/*', [0], [23], qr/##==>>>> VIRUS ID: CVDL (.+)/m, # sub {$ENV{VSTK_HOME}='/usr/lib/vstk'}, ], ### http://www.avast.com/ ['avast! Antivirus', ['/usr/bin/avastcmd','avastcmd'], '-a -i -n -t=A {}', [0], [1], qr/\binfected by:\s+([^ \t\n\[\]]+)/m ], ### http://www.ikarus-software.com/ ['Ikarus AntiVirus for Linux', 'ikarus', '{}', [0], [40], qr/Signature (.+) found/m ], ### http://www.bitdefender.com/ ['BitDefender', 'bdscan', # new version '--action=ignore --no-list {}', qr/^Infected files *:0+(?!\d)/, qr/^(?:Infected files|Identified viruses|Suspect files) *:0*[1-9]/, qr/(?:suspected|infected): (.*)(?:\033|$)/m ], ### http://www.bitdefender.com/ ['BitDefender', 'bdc', # old version '--arc --mail {}', qr/^Infected files *:0+(?!\d)/, qr/^(?:Infected files|Identified viruses|Suspect files) *:0*[1-9]/, qr/(?:suspected|infected): (.*)(?:\033|$)/m ], # consider also: --all --nowarn --alev=15 --flev=15. The --all argument may # not apply to your version of bdc, check documentation and see 'bdc --help' ### ArcaVir for Linux and Unix http://www.arcabit.pl/ ['ArcaVir for Linux', ['arcacmd','arcacmd.static'], '-v 1 -summary 0 -s {}', [0], [1,2], qr/(?:VIR|WIR):[ \t]*(.+)/m ], ); @av_scanners_backup = ( ### http://www.clamav.net/ - backs up clamd or Mail::ClamAV ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ], ### http://www.f-prot.com/ - backs up F-Prot Daemon, V6 ['F-PROT Antivirus for UNIX', ['fpscan'], '--report --mount --adware {}', # consider: --applications -s 4 -u 3 -z 10 [0,8,64], [1,2,3, 4+1,4+2,4+3, 8+1,8+2,8+3, 12+1,12+2,12+3], qr/^\[Found\s+[^\]]*\]\s+<([^ \t(>]*)/m ], ### http://www.f-prot.com/ - backs up F-Prot Daemon (old) ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], # or: [0], [3,6,8], qr/(?:Infection:|security risk named) (.+)|\s+contains\s+(.+)$/m ], ### http://www.trendmicro.com/ - backs up Trophie ['Trend Micro FileScanner', ['/etc/iscan/vscan','vscan'], '-za -a {}', [0], qr/Found virus/, qr/Found virus (.+) in/m ], ### http://www.sald.com/, http://drweb.imshop.de/ - backs up DrWebD ['drweb - DrWeb Antivirus', # security LHA hole in Dr.Web 4.33 and earlier ['/usr/local/drweb/drweb', '/opt/drweb/drweb', 'drweb'], '-path={} -al -go -ot -cn -upn -ok-', [0,32], [1,9,33], qr' infected (?:with|by)(?: virus)? (.*)$'m ], ### http://www.kaspersky.com/ ['Kaspersky Antivirus v5.5', ['/opt/kaspersky/kav4fs/bin/kav4fs-kavscanner', '/opt/kav/5.5/kav4unix/bin/kavscanner', '/opt/kav/5.5/kav4mailservers/bin/kavscanner', 'kavscanner'], '-i0 -xn -xp -mn -R -ePASBME {}/*', [0,10,15], [5,20,21,25], qr/(?:INFECTED|WARNING|SUSPICION|SUSPICIOUS) (.*)/m, ], ); 1; # insure a defined return value From postfixbuch-users at drobic.de Tue Aug 3 12:38:39 2010 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Tue, 03 Aug 2010 12:38:39 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <20100803084929.62400@gmx.net> References: <20100803080402.154990@gmx.net> <000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> Message-ID: <4C57F1AF.2040408@drobic.de> On 03.08.2010 10:49, Tanja Neskovic wrote: > Okay, >> Ich glaube nicht das Strato sich ein offenes Relay erlaubt! >> > ich habe aus mehreren Foren lesen können, dass smtp.strato.de mit dem smtp_auth-Inhalten, wie ich sie gezeigt habe klappen soll. > > Auf http://www.patshaping.de/hilfen_ta/pop3_smtp.htm sehe ich gerade: > "Strato > Posteingangsserver: POP3: pop3.strato.de, IMAP: imap.strato.de > Postausgangsserver: smtp.strato.de > Benutzername: MailAccount at IhreDomain.xyz > Besonderheiten: Verwendet SMTP-Authentifizierung oder "POP3 vor SMTP"." > > >> Zeige mal bitte den gesamten Vorgang. >> >> Tja wenn Empfänger = gmx.de dann bitte auch an GMX einliefern >> >> Wenn Absender auch gmx.de dann muß auch die Mail über GMX Account >> versendet werden > > Ich habe mal jetzt meinen GMX-Account in die main.cf und die sasl_auth eingetragen. Da klappt es genauso wenig: > > telnet localhost 25 > Trying ::1... > Connected to localhost. > Escape character is '^]'. > 220 server.stinson-training.local ESMTP Postfix (Debian/GNU) > HELO server.stinson-training.local Hier ist bereits dein Fehler. Mit HELO kannst du keine Authentifizierung vornehmen. Dies geht nur mit dem erweiterten EHLO. Der HELO-Name ist ebenfalls nur für lokale Zwecke geeignet, da er nicht im offiziellen DNS existiert. > 250 server.stinson-training.local > MAIL FROM: root > 250 2.1.0 Ok > RCPT TO: tanja.neskovic at gmx.de > 550 5.1.1 : Recipient address rejected: mail.gmx.net > MAIL FROM: root > > Ich glaube deshalb, dass ich irgend einen Parameter falsch gesetzt habe Kein SMTP Auth, deshalb auch kein Relay. telnet smtp.strato.de 25 Trying 81.169.145.133... Connected to smtp.strato.de. Escape character is '^]'. 220 post.strato.de [jimi mo60] ESMTP RZmta 23.4 ready; Tue, 3 Aug 2010 12:34:30 +0200 (MEST) ehlo japantest.homelinux.com 250-post.strato.de [jimi mo60] greets 83.236.201.154 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-PIPELINING 250-DELIVERBY 250-SIZE 104857600 250-AUTH PLAIN LOGIN CRAM-MD5 250-STARTTLS 250 HELP Jetzt könnte man mit AUTH sich authentifizieren, wenn man den entsprechenden Authcode sich mit einem Script baut. Beispiel für PLAIN: #!/usr/bin/perl use strict; use MIME::Base64; if ( $#ARGV != 1 ) { die "Usage: encode_sasl_plain.pl \n"; } print encode_base64("$ARGV[0]\0$ARGV[0]\0$ARGV[1]"); exit 0; ./encode_sasl_plain.pl username password dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= Dann halt mit AUTH dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= Authentifizieren und DANACH dann mit MAIL FROM und RCPT TO die Mail verschicken. From Tanja.Neskovic at gmx.de Tue Aug 3 13:05:14 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 13:05:14 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <000401cb32f1$1dfb59b0$0565a8c0@uwe> References: <20100803080402.154990@gmx.net><000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> <000401cb32f1$1dfb59b0$0565a8c0@uwe> Message-ID: <20100803110514.220030@gmx.net> > > Auf http://www.patshaping.de/hilfen_ta/pop3_smtp.htm sehe ich gerade: > > "Strato > > Posteingangsserver: POP3: pop3.strato.de, IMAP: imap.strato.de > > Postausgangsserver: smtp.strato.de > > Benutzername: MailAccount at IhreDomain.xyz > > Besonderheiten: Verwendet SMTP-Authentifizierung oder "POP3 vor > SMTP"." > ^^^^^^ > > Wobei letzteres nicht mehr benutzt werden sollte Ich gehe eh davon aus, dass mit den 60s-Intevall von Fetchmail dem Genüge geleistet wird. > > MAIL FROM: root > ^^^^^^^^^^^^^^^^^^^^^^^^ > > Wie lautet dein ABSENDER?? > WAS STEHT im Logfile von Postfix?? > Ein erneuter Telnet: server:/etc/postfix# telnet localhost 25 Trying ::1... Connected to localhost. Escape character is '^]'. 220 server.stinson-training.local ESMTP Postfix (Debian/GNU) HELO server.stinson-training.local 250 server.stinson-training.local MAIL FROM: stinson at stinsontraining.com 250 2.1.0 Ok RCPT TO: tanja.neskovic at gmx.de 550 5.1.1 : Recipient address rejected: smtp.strato.de und dazu der Log-Auszug: Aug 3 12:57:35 server postfix/smtpd[4135]: connect from localhost[127.0.0.1] Aug 3 12:57:35 server postfix/smtpd[4135]: disconnect from localhost[127.0.0.1] Aug 3 12:57:44 server postfix/smtpd[3870]: NOQUEUE: reject: RCPT from unknown[::1]: 550 5.1.1 : Recipient address rejected: smtp.strato.de; from= to= proto=SMTP helo= -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From postfixbuch-users at gmj.cjb.net Tue Aug 3 13:26:03 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 03 Aug 2010 13:26:03 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <4C57F1AF.2040408@drobic.de> References: <20100803080402.154990@gmx.net> <000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> <4C57F1AF.2040408@drobic.de> Message-ID: <4C57FCCB.1060404@gmj.cjb.net> Am 03.08.10 12:38, schrieb Sandy Drobic: > telnet smtp.strato.de 25 > Trying 81.169.145.133... > Connected to smtp.strato.de. > Escape character is '^]'. > 220 post.strato.de [jimi mo60] ESMTP RZmta 23.4 ready; Tue, 3 Aug 2010 > 12:34:30 +0200 (MEST) > ehlo japantest.homelinux.com > 250-post.strato.de [jimi mo60] greets 83.236.201.154 > 250-ENHANCEDSTATUSCODES > 250-8BITMIME > 250-PIPELINING > 250-DELIVERBY > 250-SIZE 104857600 > 250-AUTH PLAIN LOGIN CRAM-MD5 > 250-STARTTLS > 250 HELP > > Jetzt könnte man mit AUTH sich authentifizieren, wenn man den entsprechenden > Authcode sich mit einem Script baut. Boa. Krasse Sache: die erlauben SMTP-AUTH Klartext-Mechanismen _ohne_ Verschlüsselten Kanal. Wie fahrlässig ist das denn? Ich weiß schon, warum ich bei denen nicht Kunde sein will. Gruß, Mathias From Tanja.Neskovic at gmx.de Tue Aug 3 13:29:57 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 13:29:57 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <4C57F1AF.2040408@drobic.de> References: <20100803080402.154990@gmx.net> <000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> <4C57F1AF.2040408@drobic.de> Message-ID: <20100803112957.219990@gmx.net> Wieso ist das jetzt der Fehler? > Hier ist bereits dein Fehler. Mit HELO kannst du keine Authentifizierung > vornehmen. Dies geht nur mit dem erweiterten EHLO. > Der HELO-Name ist ebenfalls nur für lokale Zwecke geeignet, da er nicht > im > offiziellen DNS existiert. Ich versende von dem Postfix-Server ohne SMTP-AUTH und nicht direkt von dem Strato-Server mit SMPT-AUTH. Ich logge mich ja nicht bei strato.de per Telnet ein. Klar da müßte ich mit EHLO und SMPT AUTH arbeiten. Jedenfalls vielen für Dein nettes Perlscript: > > Beispiel für PLAIN: > > #!/usr/bin/perl > use strict; > use MIME::Base64; > if ( $#ARGV != 1 ) { > die "Usage: encode_sasl_plain.pl \n"; > } > print encode_base64("$ARGV[0]\0$ARGV[0]\0$ARGV[1]"); > exit 0; > > > ./encode_sasl_plain.pl username password > dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= > > Dann halt mit AUTH dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= > > Authentifizieren und DANACH dann mit MAIL FROM und RCPT TO die Mail > verschicken. Lokal kann ich ja verschicken, auch ohne SMTP AUTH, nur Strato.de und gmx.net als SMPT-Relayserver liefern mir dieses Reject. Viele Grüße Tanja -- GMX DSL: Internet-, Telefon- und Handy-Flat ab 19,99 EUR/mtl. Bis zu 150 EUR Startguthaben inklusive! http://portal.gmx.net/de/go/dsl From postfixbuch-users at drobic.de Tue Aug 3 13:48:56 2010 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Tue, 03 Aug 2010 13:48:56 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <20100803112957.219990@gmx.net> References: <20100803080402.154990@gmx.net> <000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> <4C57F1AF.2040408@drobic.de> <20100803112957.219990@gmx.net> Message-ID: <4C580228.1000807@drobic.de> On 03.08.2010 13:29, Tanja Neskovic wrote: > Wieso ist das jetzt der Fehler? >> Hier ist bereits dein Fehler. Mit HELO kannst du keine Authentifizierung >> vornehmen. Dies geht nur mit dem erweiterten EHLO. >> Der HELO-Name ist ebenfalls nur für lokale Zwecke geeignet, da er nicht >> im >> offiziellen DNS existiert. > Ich versende von dem Postfix-Server ohne SMTP-AUTH und nicht direkt von dem Strato-Server mit SMPT-AUTH. > Ich logge mich ja nicht bei strato.de per Telnet ein. Klar da müßte ich mit EHLO und SMPT AUTH arbeiten. Ha? Wenn du weisst, warum du Mist baust, warum testest du das dann?!? > Jedenfalls vielen für Dein nettes Perlscript: >> >> Beispiel für PLAIN: >> >> #!/usr/bin/perl >> use strict; >> use MIME::Base64; >> if ( $#ARGV != 1 ) { >> die "Usage: encode_sasl_plain.pl \n"; >> } >> print encode_base64("$ARGV[0]\0$ARGV[0]\0$ARGV[1]"); >> exit 0; >> >> >> ./encode_sasl_plain.pl username password >> dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= >> >> Dann halt mit AUTH dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ= >> >> Authentifizieren und DANACH dann mit MAIL FROM und RCPT TO die Mail >> verschicken. > > Lokal kann ich ja verschicken, auch ohne SMTP AUTH, nur Strato.de und gmx.net als SMPT-Relayserver liefern mir dieses Reject. Und wir versuchen verzweifelt, dir zu erklären, dass dies völlig korrekt ist. Dein Postfix MUSS sich bei Strato authentifizieren, um den smtp.strato.de als Relay nutzen zu können. Ende der Diskussion. Dein Postfix authentifiziert sich jedoch NICHT bei Strato, also lehnt Strato die Mail ab. From p.heinlein at heinlein-support.de Tue Aug 3 13:51:07 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 3 Aug 2010 13:51:07 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <4C57FCCB.1060404@gmj.cjb.net> References: <20100803080402.154990@gmx.net> <4C57F1AF.2040408@drobic.de> <4C57FCCB.1060404@gmj.cjb.net> Message-ID: <201008031351.07502.p.heinlein@heinlein-support.de> Am Dienstag 03 August 2010 13:26:03 schrieb Mathias Jeschke: > Boa. Krasse Sache: die erlauben SMTP-AUTH Klartext-Mechanismen > _ohne_ Verschlüsselten Kanal. > > Wie fahrlässig ist das denn? Naja, mal langsam mit der Aufregung. Solange die Leute sich nach wie vor darüber echauffieren, wenn der ISP das Passwort im Klartext speichert (denn das braucht er, wenn er Nicht- Klartextverfahren anbieten will) und solange eine CISCO Pix das unterbinden von SSL als Sicherheit verkauft, solange darf man sich nicht zu unrecht über die aufregen, die aus der Not heraus halt Klartext-Auth auf Klartext-Verbindung erlauben. > Ich weiß schon, warum ich bei denen nicht Kunde sein will. Tja, wie man's macht ist es verkehrt. Ob Du SSL drüberlegst oder nicht ist ja vorrangig Deine Sache. Bieten sie kein Klartext-Auth an, dann schimpft die andere Hälfte der Userschaft. Wie immer sind sie im jeden Fall der Doofe. Prima! Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From driessen at fblan.de Tue Aug 3 13:50:31 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 3 Aug 2010 13:50:31 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <20100803112957.219990@gmx.net> References: <20100803080402.154990@gmx.net><000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net><4C57F1AF.2040408@drobic.de> <20100803112957.219990@gmx.net> Message-ID: <001101cb3302$1365f030$0565a8c0@uwe> > -----Original Message----- > From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] On Behalf Of Tanja Neskovic > Sent: Tuesday, August 03, 2010 1:30 PM > To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Subject: Re: [Postfixbuch-users] SMPT-Versand rejected > > Wieso ist das jetzt der Fehler? > > Hier ist bereits dein Fehler. Mit HELO kannst du keine Authentifizierung > > vornehmen. Dies geht nur mit dem erweiterten EHLO. > > Der HELO-Name ist ebenfalls nur für lokale Zwecke geeignet, da er nicht > > im > > offiziellen DNS existiert. > Ich versende von dem Postfix-Server ohne SMTP-AUTH und nicht direkt von dem Strato- > Server mit SMPT-AUTH. > Ich logge mich ja nicht bei strato.de per Telnet ein. Klar da müßte ich mit EHLO und > SMPT AUTH arbeiten. Ohne das du dich anmeldest kannst du nur Mails AN den Strato Server schicken welche auch in Ihrem Empfänger Ihn als MX Eintrag haben. Auch Strato wird in der Zwischenzeit prüfen ob der der da sendet ein "offizieller" Mailserver mit fester Ip und sauberen PTR und A-Record daher kommt oder aus einem Dialin ist. 1.teres kann jeder Server der die Punkte unter 2 erfüllt. Für alle ANDEREN gilt : Mails an ANDERE Zielserver wie Strato kannst du nur mit Anmeldung am Strato an den anderen Server relayen. Der Absender muß/sollte ebenfalls zu Strato gehören sonst gibt es sehr wahrscheinlich den Nächsten auf die Zwölf. > Lokal kann ich ja verschicken, auch ohne SMTP AUTH, nur Strato.de und gmx.net als SMPT- > Relayserver liefern mir dieses Reject. > Das ist genau so gewollt und würde diese Server ganz schnell auf RBL's usw. hieven wenns anders wäre. Was du Lokal in deinem eigenen Netz Machst und zulässt ist nicht relevant. Strato und GMX wollen das sich Ihre Kunden anmelden ansonsten geht nix. Telnet Test sind in diesem Fall ebenfalls nicht aussagekräftig. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From driessen at fblan.de Tue Aug 3 13:55:42 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 3 Aug 2010 13:55:42 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <4C580228.1000807@drobic.de> References: <20100803080402.154990@gmx.net> <000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net> <4C57F1AF.2040408@drobic.de><20100803112957.219990@gmx.net> <4C580228.1000807@drobic.de> Message-ID: <001201cb3302$cd09e500$0565a8c0@uwe> On Behalf Of Sandy Drobic > > Lokal kann ich ja verschicken, auch ohne SMTP AUTH, nur Strato.de und gmx.net als > SMPT-Relayserver liefern mir dieses Reject. > > Und wir versuchen verzweifelt, dir zu erklären, dass dies völlig korrekt ist. Äm Sandy bist du dir da sicher?? > Dein Postfix MUSS sich bei Strato authentifizieren, um den smtp.strato.de als > Relay nutzen zu können. Ende der Diskussion. > > Dein Postfix authentifiziert sich jedoch NICHT bei Strato, also lehnt Strato > die Mail ab. > Also Sandy das kann doch Strato nicht so einfach machen*gg Einfach die Arbeit verweigern und Sicherheit einschalten. Wo kommen wir denn da hin wenn das jeder so macht? Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From Tanja.Neskovic at gmx.de Tue Aug 3 14:04:52 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 14:04:52 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <001101cb3302$1365f030$0565a8c0@uwe> References: <20100803080402.154990@gmx.net><000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net><4C57F1AF.2040408@drobic.de> <20100803112957.219990@gmx.net> <001101cb3302$1365f030$0565a8c0@uwe> Message-ID: <20100803120452.63610@gmx.net> Und ich versuche verzweifelt zu zeigen, dass ich das bereits wusste, bevor ich mich hier gemeldet hatte: > Und wir versuchen verzweifelt, dir zu erklären, dass dies völlig korrekt > ist. Dein Postfix MUSS sich bei Strato authentifizieren, um den > smtp.strato.de als Relay nutzen zu können. Ende der Diskussion. > > Dein Postfix authentifiziert sich jedoch NICHT bei Strato, also lehnt > Strato die Mail ab. Siehe mal, was ich in der ersten Mail hineingepackt habe: smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl/smtp_auth und smtp_auth: smtp.strato.de benutzer at example.com:password Ich dachte, damit authenfiziert sich mein Postfix-Server bereits beim Strato-Server. Also wenn du jetzt meinst ich würde nicht kapieren, dann zeige mir bitte worin in diesen beiden Zeilen der Fehler ist oder was noch zusätzlich fehlt. Ich hätte die beiden Variablen wohl nicht in der main.cf, wenn ich davon nichts wüsste. -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From postfixbuch-users at gmj.cjb.net Tue Aug 3 14:16:06 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 03 Aug 2010 14:16:06 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <201008031351.07502.p.heinlein@heinlein-support.de> References: <20100803080402.154990@gmx.net> <4C57F1AF.2040408@drobic.de> <4C57FCCB.1060404@gmj.cjb.net> <201008031351.07502.p.heinlein@heinlein-support.de> Message-ID: <4C580886.4080401@gmj.cjb.net> Am 03.08.10 13:51, schrieb Peer Heinlein: >> Wie fahrlässig ist das denn? > > Naja, mal langsam mit der Aufregung. > > Solange die Leute sich nach wie vor darüber echauffieren, > wenn der ISP das Passwort im Klartext speichert ... ... und woher weiß ich das als Kunde? Weil der Provider - so wie in diesem Fall - Digest-Verfahren anbietet? (Ergo muss Strato das Passwort ja eh im Klartext haben.) > (denn das braucht er, wenn er Nicht-Klartextverfahren anbieten will) > und solange eine CISCO Pix das unterbinden von SSL > als Sicherheit verkauft, ... Kann mich nicht erinnern, für den Erwerb von CISCOs Pix geworben zu haben. Wenn das bei den Dingern der Fall ist, sind die fehlerhaft und sollten ausgetauscht werden. > ... solange darf man sich nicht zu unrecht über die aufregen, > die aus der Not heraus halt Klartext-Auth auf > Klartext-Verbindung erlauben. Ist doch dann aber eine Management-Entscheidung bei Strato. ("Wir wollen SSL unterbinden, weil zu ressourcenhungrig." -> "Wir bieten AUTH PLAIN und LOGIN auch unverschlüsselt an.") >> Ich weiß schon, warum ich bei denen nicht Kunde sein will. > > Tja, wie man's macht ist es verkehrt. Ob Du SSL drüberlegst oder nicht > ist ja vorrangig Deine Sache. Ist die Frage, ob das alle Clients, Smartphones, ... auch immer so umsetzen, wenn auch Klartext geht? > Bieten sie kein Klartext-Auth an, dann schimpft die andere Hälfte der > Userschaft. Die Autofahrer würden sicher auch mit Autos ohne HU durch die Gegend fahren, weil's bequemer und kostengünstiger ist. Es ist halt eine Frage der Haftung und hier wird beim Umgang mit Zugangsdaten viel zu lax umgegangen, was dann wieder zu SPAM-Problemen und Identitätsklau führt, was _WIR_ dann wieder an der "Backe" haben. Prima. > Wie immer sind sie im jeden Fall der Doofe. Prima! Wer sind denn "sie" in diesem Fall? Die ISPs, die Mailadmins? Ja ich verstehe schon, dass es für den Mailserverbetreiber ein Problem sein kann, dass bestimmte Verfahren verlangt werden, die die Kunden (aus Unkenntnis) gerne einsetzten möchten und falls diese nicht angeboten werden der Kunde zu solchen "Experten" wie Strato geht. Evtl. reicht aber auch etwas Aufklärungsarbeit beim Kunden und das Ausmalen von Schreckensszenarien, was beim Einsatz von Klartextprotokollen passieren kann. Aber hier kannst Du uns als ISP-Betreiber sicher mehr erzählen. Gruß, Mathias From Tanja.Neskovic at gmx.de Tue Aug 3 14:20:44 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 14:20:44 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <001101cb3302$1365f030$0565a8c0@uwe> References: <20100803080402.154990@gmx.net><000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net><4C57F1AF.2040408@drobic.de> <20100803112957.219990@gmx.net> <001101cb3302$1365f030$0565a8c0@uwe> Message-ID: <20100803122044.220020@gmx.net> Sorry, aber wie deutlich muss ich mich hier ausdrücken? Ich habe eine Domäne und einen Account bei Strato, so dass ich berechtigt bin über deren Server zu senden. Ich werde nur hier keine sensiblen Daten reinpacken. Ich suche den Fehler und keine Lehrveranstaltung. Ich dachte hier kann und will man mich bei meiner Fehlersuche unterstützen. Aber offenbar will man mich eher belehren. > > Strato und GMX wollen das sich Ihre Kunden anmelden ansonsten geht nix. > Telnet Test sind in diesem Fall ebenfalls nicht aussagekräftig. -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From postfixbuch-users at gmj.cjb.net Tue Aug 3 14:22:51 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 03 Aug 2010 14:22:51 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <20100803120452.63610@gmx.net> References: <20100803080402.154990@gmx.net><000301cb32e5$7ca57970$0565a8c0@uwe> <20100803084929.62400@gmx.net><4C57F1AF.2040408@drobic.de> <20100803112957.219990@gmx.net> <001101cb3302$1365f030$0565a8c0@uwe> <20100803120452.63610@gmx.net> Message-ID: <4C580A1B.3070203@gmj.cjb.net> Am 03.08.10 14:04, schrieb Tanja Neskovic: [...] > Ich dachte, damit authenfiziert sich mein Postfix-Server > bereits beim Strato-Server. Hast du das denn mal mit tcpdump/wireshark geprüft, ob dem wirklich so ist? > Also wenn du jetzt meinst ich würde nicht kapieren, > dann zeige mir bitte worin in diesen beiden Zeilen > der Fehler ist oder was noch zusätzlich fehlt. TLS auch für den SMTP-Client wäre sicher auch nicht schlecht. ("smtp_use_tls = yes") Gruß, Mathias From hajo.locke at gmx.de Tue Aug 3 15:12:14 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Tue, 3 Aug 2010 15:12:14 +0200 Subject: [Postfixbuch-users] amavisd-new - spamd - recipient_restriction Message-ID: <59BCA16B426741E8ABE873A2FAB35F7F@nmm.local> Hallo, bin dabei mich mit amavisd-new zu beschäftigen. Genutzt habe ich diese Anleitung hier: http://postfix.state-of-mind.de/patrick.koetter/amavisd-new/ Läuft, aber ich hab 2 Fragen dazu. Ich will amavisd-new nicht global laufen lassen per content_filter in der main.cf sondern variabel per check_recipient_access pro domain/empfänger ermöglichen. example.com FILTER amavisfeed:[127.0.0.1]:10024 Im Grunde funktioniert dies auch, allerdings habe ich bei jedem Maileingang dann im Log ein: Aug 3 13:46:30 servername postfix/smtpd[4378]: NOQUEUE: filter: RCPT from sender[ip.ip.ip.ip]: : Recipient address triggers FILTER amavisfeed:[127.0.0.1]:10024; from=sender.sender at sender to= proto=ESMTP helo= Die Mail wird aber nicht komplett rejected sondern durchläuft danach trotzdem normal postfix -> amavis -> postfix bis hin ins postfach. Ist das normal? Kommt mir komisch vor. Die 2. Sache ist das ich den Eindruck habe das Spamassassin nicht benutzt wird. clamav hab ich eingebunden und funktioniert nachweislich, für Spamassassin finde ich aber nichts konkretes was ich aktivieren müsste. Ist eine etwas ältere Version 2.3.3 an der ich teste. Spamassassin ist 3.2.5 und spamd läuft ebenfalls. Jemand einen Tipp was ich übersehen habe? Config ist hier mehr oder weniger standard wie sie aus der distribution kommt bis auf paar sachen die das tutorial erwähnt. Später hab ich dann sicherlich noch mehr fragen ;) Danke, Hajo From p.heinlein at heinlein-support.de Tue Aug 3 15:24:14 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 3 Aug 2010 15:24:14 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <20100803080455.154970@gmx.net> References: <20100803080455.154970@gmx.net> Message-ID: <201008031524.15010.p.heinlein@heinlein-support.de> Am Dienstag 03 August 2010 10:04:55 schrieb Tanja Neskovic: Hallo Tanja, hier ist Dein Fehler: > default_transport = error Deine Logs zeigen, daß ja Dein lokaler (!) Postfix schon die Mails ablehnt. Das ganze hat ja mit STrato & Co nie etwas zu tun, mit denen wird ja nie geredet. Und daß Dein (!) Postfix das ablehnt liegt halt daran, daß das hier per Default so einkonfiguriert wird. Jede Mail gibt'n Error und genau das ist bei Dir ja auch passiert. Mit SMTP-Auth hat das gar nichts zu tun, soweit kommst Du ja nie. :-) Viele Howtos und Logfiles zeigen, daß man alle möglichen Transportmethoden auf error setzen soll -- in Deiner Config ist auch relay_transport auf error gesetzt. Ich halte das für hochgradigen Unsinn, denn entweder nutze ich relay_transport (dann brauche ich es) oder ich nutze es nicht (dann muß ich es auch nicht auf error setzen. Dieses ganze "error"-definiere ist in meinen Augen irgendein Krams, bei dem sich irgendwelche Config-Erfinder gerkünstelt haben und glaubten, sie würden jetzt irgendwas toll und sicher machen -- im Endeffekt produziert's nichts als Fehlerquellen, wie man hier sieht. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Tanja.Neskovic at gmx.de Tue Aug 3 15:49:21 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Tue, 03 Aug 2010 15:49:21 +0200 Subject: [Postfixbuch-users] SMPT-Versand rejected In-Reply-To: <201008031524.15010.p.heinlein@heinlein-support.de> References: <20100803080455.154970@gmx.net> <201008031524.15010.p.heinlein@heinlein-support.de> Message-ID: <20100803134921.164090@gmx.net> Hallo Peer, vielen Dank! > > Hallo Tanja, > > hier ist Dein Fehler: > > > default_transport = error > > Deine Logs zeigen, daß ja Dein lokaler (!) Postfix schon die Mails > ablehnt. Das ganze hat ja mit STrato & Co nie etwas zu tun, mit denen > wird ja nie geredet. > > Und daß Dein (!) Postfix das ablehnt liegt halt daran, daß das hier per > Default so einkonfiguriert wird. Jede Mail gibt'n Error und genau das > ist bei Dir ja auch passiert. > Das ist echt Bullshit, da habe ich voll geschlafen. Ich habe das gleich mal rausgenommen und gecheckt: Wie du sagst, jetzt sendet er über Strato. Vielen Dank un dGrüße Tanja -- GMX DSL: Internet-, Telefon- und Handy-Flat ab 19,99 EUR/mtl. Bis zu 150 EUR Startguthaben inklusive! http://portal.gmx.net/de/go/dsl From pw at wk-serv.de Wed Aug 4 00:50:01 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Wed, 04 Aug 2010 00:50:01 +0200 Subject: [Postfixbuch-users] Verstaendnisproblem virtual_alias_maps Message-ID: <4C589D19.5020808@wk-serv.de> Hallo @all, ich experimentiere gerade ein bisschen mit Weiterleitungen herum und habe ein Verständisproblem mit der virtual_alias_maps. Ich habe eine real existierende Mailbox mail at jasbafliesen.de mail at jasbafliesen.de jasbafliesen.de/mail/ Nun möchte ich einen Catchall für die Domain haben und die E-Mails sollen sowohl in die Mailbox eingeliefert als auch zu einer externen Adresse weitergeleitet werden. (Bitte keine Ratschläge, ich selbst würde nie einen Catchall nutzen.) Das bekomme ich allerdings nicht hin. Entweder bekomme ich die E-Mail gar nicht oder sie wird zweimal an die externe Adresse zugestellt. So bekomme ich die E-Mail doppelt an die GMX-Adresse: @jasbafliesen.de mail at jasbafliesen.de, number100 at gmx.de oder @jasbafliesen.de mail at jasbafliesen.de @jasbafliesen.de number100 at gmx.de So bekomme ich sie (natürlich nicht) in die Mailbox: mail at jasbafliesen.de number100 at gmx.de und so bekomme ich Sie nicht bei GMX, weil der Catchall wegen der spezifizierten Adresse nicht greift: @jasbafliesen.de number100 at gmx.de mail at jasbafliesen.de mail at jasbafliesen.de Warum kommt die E-Mail bei GMX im ersten Beispiel zweimal an? Wie wäre die richtige Konfiguration für meinen Wunsch? Die Konfiguration wird aus einer Datenbank eingelesen. Gruß Patrick From p.heinlein at heinlein-support.de Wed Aug 4 01:19:51 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 4 Aug 2010 01:19:51 +0200 Subject: [Postfixbuch-users] Verstaendnisproblem virtual_alias_maps In-Reply-To: <4C589D19.5020808@wk-serv.de> References: <4C589D19.5020808@wk-serv.de> Message-ID: <201008040119.51660.p.heinlein@heinlein-support.de> Am Mittwoch 04 August 2010 00:50:01 schrieb Patrick Westenberg: > ich experimentiere gerade ein bisschen mit Weiterleitungen herum und > habe ein Verständisproblem mit der virtual_alias_maps. Nein, die hast Du vermutlich schon richtig verstanden. > Das bekomme ich allerdings nicht hin. Entweder bekomme ich die E-Mail > gar nicht oder sie wird zweimal an die externe Adresse zugestellt. Leider hast Du kein postconf -n und keine master.cf mitgeschickt. Insofern rate ich mal mühsam: Vermutlich hast Du einen Viren-/Spamfilter als content_filter eingebunden und darum geht die Mail zweimal durch Postfix und darum wird auch zweimal die virtual_alias_maps abgefragt. Abhilfe: receive_override_options=no_address_rewrite in der master.cf setzen. > Wie wäre die richtige Konfiguration für meinen Wunsch? Tjaha. Hättest Du Deine Config mitgeschickt, dann hätte man Dir das jetzt auch fertig präsentieren können. Gutes Nächtle, Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From driessen at fblan.de Wed Aug 4 01:25:59 2010 From: driessen at fblan.de (Uwe Driessen) Date: Wed, 4 Aug 2010 01:25:59 +0200 Subject: [Postfixbuch-users] Verstaendnisproblem virtual_alias_maps In-Reply-To: <4C589D19.5020808@wk-serv.de> References: <4C589D19.5020808@wk-serv.de> Message-ID: <001c01cb3363$3b34b540$0565a8c0@uwe> On Behalf Of Patrick Westenberg > Nun möchte ich einen Catchall für die Domain haben und die E-Mails > sollen sowohl in die Mailbox eingeliefert als auch zu einer externen > Adresse weitergeleitet werden. (Bitte keine Ratschläge, ich selbst > würde nie einen Catchall nutzen.) > > Das bekomme ich allerdings nicht hin. Entweder bekomme ich die E-Mail > gar nicht oder sie wird zweimal an die externe Adresse zugestellt. > > So bekomme ich die E-Mail doppelt an die GMX-Adresse: > @jasbafliesen.de mail at jasbafliesen.de, number100 at gmx.de > oder > @jasbafliesen.de mail at jasbafliesen.de > @jasbafliesen.de number100 at gmx.de @jasbafliesen.de mail at jasbafliesen.de mail at jasbafliesen.de mail at jasbafliesen.de, number100 at gmx.de poste mal postconf -n und master.cf ohne kommentare obiges Beispiel rennt bei mir und stellt jeweils nur einmal zu Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From cite at incertum.net Wed Aug 4 08:14:53 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 4 Aug 2010 08:14:53 +0200 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <20100803080402.154990@gmx.net> References: <20100803080402.154990@gmx.net> Message-ID: <20100804061453.GC25965@mail.incertum.net> Hallo Tanja, * Tanja Neskovic : > relay_transport = error > relayhost = smtp.strato.de ich muß ehrlich zugeben, hier nicht 100%ig sicher zu sein, aber ich dachte stets, daß man $relayhost mittels $relay_transport überschreibt. Letzterer steht bei Dir auf "error". Die Standard-Einstellung für "smtpd_recipient_restrictions" enthält ein "reject_unauth_destination", wenn hier für die Zieladresse ein Routing zum "error"-Transport gefunden wird, wird die Adresse abgelehnt - und genau das scheint bei Dir der Fall zu sein, es klingt zumindest so, als würde Postfix hier "error:smtp.strato.de" heranziehen. Kommentiere das doch mal aus, lade Postfix neu und porbiere es nochmals. Gruß Stefan From Tanja.Neskovic at gmx.de Wed Aug 4 09:17:17 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Wed, 04 Aug 2010 09:17:17 +0200 Subject: [Postfixbuch-users] (kein Betreff) In-Reply-To: <20100804061453.GC25965@mail.incertum.net> References: <20100803080402.154990@gmx.net> <20100804061453.GC25965@mail.incertum.net> Message-ID: <20100804071717.169330@gmx.net> Hallo Stefan, vielen Dank für Deinen Hinweis. Ich hatte das gestern nach Peer's Hinweis auch gesehen, weil es direkt unter dem eigentlichen Fehler stand, und hatte es gleich mit rausgenommen. > > relay_transport = error > > relayhost = smtp.strato.de Wie gesagt, da habe ich irgendwas ganz gedankenlos übernommen. Aber der Server sendet inzwischen wie gewünscht über smtp.strato.de. Viele Grüße Tanja -- GMX DSL: Internet-, Telefon- und Handy-Flat ab 19,99 EUR/mtl. Bis zu 150 EUR Startguthaben inklusive! http://portal.gmx.net/de/go/dsl From sbielenberg at ulysea.com Wed Aug 4 09:07:50 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 4 Aug 2010 07:07:50 +0000 (UTC) Subject: [Postfixbuch-users] Relay-Server benutzen Message-ID: Hallo, ich habe 2 Server. Einer läuft als normaler Mail-Server und funktioniert gut. Nun habe ich noch einen zweiten Server mit verschiedenen Web-Applikationen (die auch mal Mails verschicken müssen), der nicht als offizieller Mail-Server funktionieren soll, also keine Mail annehmen muss, aber doch Mails abschicken soll. Aber so wie das aussieht, funktioniert es nicht ganz so wie ich es wollte. Ich habe im der main.cf im Mail-Server diesen Web-Server unter "mynetworks" und im main.cf des Web-Servers den Mail-Server als "relayhost" eingetragen. Ich kann nun zwar Mails verschicken, allerdings werden sie vom Mail-Server nur angenommen, wenn sie an lokale Benutzerkonten gehen, aber leider werden sie mit "Relay denied" abgelehnt, wenn sie an externe Mail-Adressen gehen sollen. Was muss ich noch machen/ändern, damit der Mail-Server auch Mails annimmt, die nicht an ihn direkt gehen, sondern nach außen weitergeleitet werden müssen? Schon mal besten Dank für Eure Hilfe. Grüße, Stefan From fk at florian-kaiser.net Wed Aug 4 09:31:17 2010 From: fk at florian-kaiser.net (Florian Kaiser) Date: Wed, 4 Aug 2010 09:31:17 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: Message-ID: Poste doch deine main.cf mal - ich denke das Problem liegt darin, dass Du bei den smtpd_recipient_restrictions o.ä. das permit_mynetworks zu spät greifen lässt oder gar nicht drin hast. Alternativ ist evtl. ein Tippfehler in der IP des Web-Servers unter mynetworks? Grüße Florian -----Original Message----- From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Stefan Bielenberg Sent: Wednesday, August 04, 2010 9:08 AM To: postfixbuch-users at listi.jpberlin.de Subject: [Postfixbuch-users] Relay-Server benutzen Hallo, ich habe 2 Server. Einer läuft als normaler Mail-Server und funktioniert gut. Nun habe ich noch einen zweiten Server mit verschiedenen Web-Applikationen (die auch mal Mails verschicken müssen), der nicht als offizieller Mail-Server funktionieren soll, also keine Mail annehmen muss, aber doch Mails abschicken soll. Aber so wie das aussieht, funktioniert es nicht ganz so wie ich es wollte. Ich habe im der main.cf im Mail-Server diesen Web-Server unter "mynetworks" und im main.cf des Web-Servers den Mail-Server als "relayhost" eingetragen. Ich kann nun zwar Mails verschicken, allerdings werden sie vom Mail-Server nur angenommen, wenn sie an lokale Benutzerkonten gehen, aber leider werden sie mit "Relay denied" abgelehnt, wenn sie an externe Mail-Adressen gehen sollen. Was muss ich noch machen/ändern, damit der Mail-Server auch Mails annimmt, die nicht an ihn direkt gehen, sondern nach außen weitergeleitet werden müssen? Schon mal besten Dank für Eure Hilfe. Grüße, Stefan -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From gregor at a-mazing.de Wed Aug 4 09:40:24 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 4 Aug 2010 09:40:24 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: Message-ID: <201008040940.24776@office.a-mazing.net> Hallo Stefan, Am Mittwoch, 4. August 2010 schrieb Stefan Bielenberg: > Ich habe im der main.cf im Mail-Server diesen Web-Server unter "mynetworks" > und im main.cf des Web-Servers den Mail-Server als "relayhost" > eingetragen. > > Ich kann nun zwar Mails verschicken, allerdings werden sie vom Mail-Server > nur angenommen, wenn sie an lokale Benutzerkonten gehen, aber leider > werden sie mit "Relay denied" abgelehnt, wenn sie an externe Mail-Adressen > gehen sollen. > > Was muss ich noch machen/ändern, damit der Mail-Server auch Mails annimmt, > die nicht an ihn direkt gehen, sondern nach außen weitergeleitet werden > müssen? uns die Ausgabe von postconf -n des mailservers schicken. Schuß ins Blaue: permit_mynetworks vergessen? Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From sbielenberg at ulysea.com Wed Aug 4 09:53:03 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 09:53:03 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: Message-ID: Hallo Florian, in den "smtpd_recipient_restrictions" steht "permit_mynetworks" an erster Stelle. Allerdings habe ich in den "mynetworks" einen Hostnamen statt einer IP angeben müssen, denn der Webserver ist im Gegensatz zum Mailserver nur per DynDNS zu erreichen. Könnte das der Fehler sein? Allerdings habe ich auch noch einen weiteren Webserver, der genau die gleich Conf. hat wie der, der nicht funktioniert und der auch per Hostname in der mynetworks steht, aber bei dem geht die Relay-Benutzung. Der hat allerdings kein DynDNS. Vielleicht liegts wirklich nur daran? Was müsste man den machen, um einen Rechner mit DynDNS zum Laufen zu bekommen? Gruss, Stefan 04/08/2010 9:31, Florian Kaiser: > Poste doch deine main.cf mal - ich denke das Problem liegt darin, dass Du > bei den smtpd_recipient_restrictions o.ä. das permit_mynetworks zu spät > greifen lässt oder gar nicht drin hast. Alternativ ist evtl. ein Tippfehler > in der IP des Web-Servers unter mynetworks? > > Grüße > Florian > > -----Original Message----- > From: postfixbuch-users-bounces at listen.jpberlin.de > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Stefan > Bielenberg > Sent: Wednesday, August 04, 2010 9:08 AM > To: postfixbuch-users at listi.jpberlin.de > Subject: [Postfixbuch-users] Relay-Server benutzen > > Hallo, > > ich habe 2 Server. Einer läuft als normaler Mail-Server und funktioniert > gut. > Nun habe ich noch einen zweiten Server mit verschiedenen Web-Applikationen > (die auch mal Mails verschicken müssen), der nicht als offizieller > Mail-Server funktionieren soll, also keine Mail annehmen muss, aber doch > Mails abschicken soll. Aber so wie das aussieht, funktioniert es nicht ganz > so wie ich es wollte. > > Ich habe im der main.cf im Mail-Server diesen Web-Server unter "mynetworks" > und im main.cf des Web-Servers den Mail-Server als "relayhost" eingetragen. > > Ich kann nun zwar Mails verschicken, allerdings werden sie vom Mail-Server > nur angenommen, wenn sie an lokale Benutzerkonten gehen, aber leider werden > sie mit "Relay denied" abgelehnt, wenn sie an externe Mail-Adressen gehen > sollen. > > Was muss ich noch machen/ändern, damit der Mail-Server auch Mails annimmt, > die nicht an ihn direkt gehen, sondern nach außen weitergeleitet werden > müssen? > > Schon mal besten Dank für Eure Hilfe. > > Grüße, > Stefan From sbielenberg at ulysea.com Wed Aug 4 10:11:57 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 10:11:57 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: <201008040940.24776@office.a-mazing.net> References: <201008040940.24776@office.a-mazing.net> Message-ID: Hier die postconf -n des Relay/Mail-Servers: alias_database = hash:/etc/postfix/aliases alias_maps = hash:/etc/postfix/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix content_filter = smtp-amavis:[127.0.0.1]:10024 daemon_directory = /usr/libexec/postfix debug_peer_level = 2 inet_interfaces = all mail_owner = postfix mailbox_size_limit = 104857600 mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 20971520 mydestination = $mydomain $myhostname localhost localhost.$mydomain mydomain = meinserver.de myhostname = mail.meinserver.de mynetworks = 127.0.0.0/8 anderer.meinserver.de server.dyndns.org myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix notify_classes = resource, software, policy queue_directory = /var/spool/postfix queue_minfree = 524288000 sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop smtp_always_send_ehlo = yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/certificates/cacert.pem smtp_tls_cert_file = /etc/certificates/SMTPcert.pem smtp_tls_key_file = /etc/certificates/SMTPpriv_key.pem smtp_tls_note_starttls_offer = yes smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_mynetworks permit_tls_clientcerts permit_sasl_authenticated reject_unauth_destination reject_unlisted_recipient reject_non_fqdn_ recipient reject_unknown_recipient_domain check_sender_access hash:/etc/postfix/sender_access_list reject_non_fqdn_sender reject_unknown_sender_domain reject_unlisted _sender check_helo_access hash:/etc/postfix/helo_access_list reject_non_fqdn_hostname reject_invalid_hostname reject_multi_recipient_bounce reject_unauth_pipelining check_policy_service inet:127.0.0.1:12525 smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_tls_security_options = $smtpd_sasl_security_options smtpd_sender_restrictions = smtpd_tls_CAfile = /etc/certificates/cacert.pem smtpd_tls_CApath = /etc/certificates/cacerts smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/certificates/SMTPcert.pem smtpd_tls_key_file = /etc/certificates/SMTPpriv_key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_database = sdbm:/etc/postfix/smtpd_scache smtpd_use_tls = yes soft_bounce = no transport_maps = hash:/etc/postfix/transport unknown_address_reject_code = 554 unknown_hostname_reject_code = 554 unknown_local_recipient_reject_code = 550 unverified_sender_reject_code = 554 virtual_alias_domains = /etc/postfix/local_domains virtual_alias_maps = hash:/etc/postfix/virtual ...und hier die vom webserver: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix debug_peer_level = 2 html_directory = no inet_interfaces = all mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man mydestination = $mydomain $myhostname localhost localhost.$mydomain mydomain = server.dyndns.org myhostname = server.dyndns.org mynetworks = 127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix queue_directory = /var/spool/postfix relayhost = [mail.meinserver.de] sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop smtpd_banner = $myhostname ESMTP $mail_name unknown_local_recipient_reject_code = 550 Gruss, Stefan El 04/08/2010 9:40, Gregor Hermens escribió: > Hallo Stefan, > > Am Mittwoch, 4. August 2010 schrieb Stefan Bielenberg: >> Ich habe im der main.cf im Mail-Server diesen Web-Server unter "mynetworks" >> und im main.cf des Web-Servers den Mail-Server als "relayhost" >> eingetragen. >> >> Ich kann nun zwar Mails verschicken, allerdings werden sie vom Mail-Server >> nur angenommen, wenn sie an lokale Benutzerkonten gehen, aber leider >> werden sie mit "Relay denied" abgelehnt, wenn sie an externe Mail-Adressen >> gehen sollen. >> >> Was muss ich noch machen/ändern, damit der Mail-Server auch Mails annimmt, >> die nicht an ihn direkt gehen, sondern nach außen weitergeleitet werden >> müssen? > > uns die Ausgabe von postconf -n des mailservers schicken. Schuß ins Blaue: > permit_mynetworks vergessen? > > Gruß, > Gregor From atann at alphasrv.net Wed Aug 4 10:23:46 2010 From: atann at alphasrv.net (Andre Tann) Date: Wed, 4 Aug 2010 10:23:46 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: Message-ID: <201008041023.46933@inter.netz> Stefan Bielenberg, Mittwoch 04 August 2010: > in den "smtpd_recipient_restrictions" steht "permit_mynetworks" an > erster Stelle. Allerdings habe ich in den "mynetworks" einen Hostnamen > statt einer IP angeben müssen, denn der Webserver ist im Gegensatz zum > Mailserver nur per DynDNS zu erreichen. Könnte das der Fehler sein? > Allerdings habe ich auch noch einen weiteren Webserver, der genau die > gleich Conf. hat wie der, der nicht funktioniert und der auch per > Hostname in der mynetworks steht, aber bei dem geht die Relay-Benutzung. > Der hat allerdings kein DynDNS. Vielleicht liegts wirklich nur daran? Daran liegts ohne Zweifel. Denn der Mailserver sieht vom DynDNS-Eintrag nichts, denn er macht ja einen Reverse-Lookup. Und da kommt dann der Eintrag Deines Providers zurück. Um das zu umgehen könntest Du das gesamte Netz des Providers freischalten und hoffen, daß da nichts passiert. Geschickt ist diese Lösung allerdings auch nicht. Besser wäre, wenn sich Dein Webserver beim Mailserver authentifiziert. Bei mir kommt recht früh [...] permit_mynetworks permit_sasl_authenticated [...] Damit hättest Du es dann erschlagen. -- Andre Tann From sbielenberg at ulysea.com Wed Aug 4 10:29:22 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 10:29:22 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: <201008041023.46933@inter.netz> References: <201008041023.46933@inter.netz> Message-ID: Klar, simmt, mit SMTP-Auth, daran hatte ich noch gar nicht gedacht! Wenn's keine andere Lösung gibt... Danke, Stefan 04/08/2010 10:23, Andre Tann: > Stefan Bielenberg, Mittwoch 04 August 2010: > >> in den "smtpd_recipient_restrictions" steht "permit_mynetworks" an >> erster Stelle. Allerdings habe ich in den "mynetworks" einen Hostnamen >> statt einer IP angeben müssen, denn der Webserver ist im Gegensatz zum >> Mailserver nur per DynDNS zu erreichen. Könnte das der Fehler sein? >> Allerdings habe ich auch noch einen weiteren Webserver, der genau die >> gleich Conf. hat wie der, der nicht funktioniert und der auch per >> Hostname in der mynetworks steht, aber bei dem geht die Relay-Benutzung. >> Der hat allerdings kein DynDNS. Vielleicht liegts wirklich nur daran? > > Daran liegts ohne Zweifel. Denn der Mailserver sieht vom DynDNS-Eintrag > nichts, denn er macht ja einen Reverse-Lookup. Und da kommt dann der > Eintrag Deines Providers zurück. > > Um das zu umgehen könntest Du das gesamte Netz des Providers > freischalten und hoffen, daß da nichts passiert. Geschickt ist diese > Lösung allerdings auch nicht. > > Besser wäre, wenn sich Dein Webserver beim Mailserver authentifiziert. > Bei mir kommt recht früh > > [...] > permit_mynetworks > permit_sasl_authenticated > [...] > > Damit hättest Du es dann erschlagen. > From gregor at a-mazing.de Wed Aug 4 10:34:18 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 4 Aug 2010 10:34:18 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: Message-ID: <201008041034.18344@office.a-mazing.net> Hallo Stefan, Am Mittwoch, 4. August 2010 schrieb Stefan Bielenberg: > Hallo Florian, > > in den "smtpd_recipient_restrictions" steht "permit_mynetworks" an > erster Stelle. Allerdings habe ich in den "mynetworks" einen Hostnamen > statt einer IP angeben müssen, denn der Webserver ist im Gegensatz zum > Mailserver nur per DynDNS zu erreichen. Könnte das der Fehler sein? > Allerdings habe ich auch noch einen weiteren Webserver, der genau die > gleich Conf. hat wie der, der nicht funktioniert und der auch per > Hostname in der mynetworks steht, aber bei dem geht die Relay-Benutzung. > Der hat allerdings kein DynDNS. Vielleicht liegts wirklich nur daran? > Was müsste man den machen, um einen Rechner mit DynDNS zum Laufen zu > bekommen? du solltest diesem Rechner beibringen, sich beim Mailserver zu authentifizieren: http://www.postfix.org/SASL_README.html#client_sasl Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From pw at wk-serv.de Wed Aug 4 10:53:25 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Wed, 04 Aug 2010 10:53:25 +0200 Subject: [Postfixbuch-users] Verstaendnisproblem virtual_alias_maps In-Reply-To: <201008040119.51660.p.heinlein@heinlein-support.de> References: <4C589D19.5020808@wk-serv.de> <201008040119.51660.p.heinlein@heinlein-support.de> Message-ID: <4C592A85.3020401@wk-serv.de> Peer Heinlein schrieb: > Leider hast Du kein postconf -n und keine master.cf mitgeschickt. Ich dachte es liegt an meiner virtual_alias_maps und hatte deshalb nicht an die Konfiguration gedacht. > Insofern rate ich mal mühsam: Vermutlich hast Du einen Viren-/Spamfilter > als content_filter eingebunden und darum geht die Mail zweimal durch > Postfix und darum wird auch zweimal die virtual_alias_maps abgefragt. Müsste ich die E-Mail dann nicht auch zweimal in die Mailbox bekommen? alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix content_filter = lmtp-amavis:[127.0.0.1]:10024 default_privs = vmail home_mailbox = Maildir/ inet_interfaces = all local_transport = dovecot mailbox_command = /usr/lib/dovecot/deliver mailbox_size_limit = 0 mydestination = challenger.wk-serv.net, localhost myhostname = challenger.wk-serv.net mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + smtpd_banner = $myhostname ESMTP $mail_name $mail_version (Debian/GNU) smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unverified_recipient, reject_non_fqdn_sender, reject_unauth_destination, reject_invalid_helo_hostname, reject_unknown_sender_domain reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, check_policy_service inet:127.0.0.1:12525 smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot virtual_alias_maps = pgsql:/etc/postfix/virtual_mailbox_forwardings virtual_gid_maps = static:5000 virtual_mailbox_base = /var/mail virtual_mailbox_domains = pgsql:/etc/postfix/virtual_mailbox_domains virtual_mailbox_maps = pgsql:/etc/postfix/virtual_mailbox_maps virtual_minimum_uid = 5000 virtual_transport = dovecot virtual_uid_maps = static:5000 smtp inet n - - - - smtpd pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp -o smtp_fallback_relay= showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 lmtp-amavis unix - - n - 2 lmtp -o lmtp_data_done_timeout=1200 From sbielenberg at ulysea.com Wed Aug 4 11:24:53 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 11:24:53 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: <201008041034.18344@office.a-mazing.net> References: <201008041034.18344@office.a-mazing.net> Message-ID: Danke Leute! Manchmal stehe ich echt aufm Schlauch... :-) Stefan 04/08/2010 10:34, Gregor Hermens: > Hallo Stefan, > > du solltest diesem Rechner beibringen, sich beim Mailserver zu > authentifizieren: > > http://www.postfix.org/SASL_README.html#client_sasl > > Gruß, > Gregor From mailingliste-postfixbuch+spamtrap at pothe.de Wed Aug 4 12:02:41 2010 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Wed, 4 Aug 2010 12:02:41 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: <201008041023.46933@inter.netz> Message-ID: <0a7feb47b8794307a605d76e08699aa6.squirrel@www.pothe.de> On Wed, August 4, 2010 10:29, Stefan Bielenberg wrote: > Klar, simmt, mit SMTP-Auth, daran hatte ich noch gar nicht gedacht! > Wenn's keine andere Lösung gibt... Doch, gibt es: Statische IP-Adresse und die dann freischalten. Wenn nicht vom Provider, dann halt über einen IPv6-Tunnel. Oder einen VPN-Tunnel basteln mit internen IP-Adressen. Oder. Oder. CU Andreas From sbielenberg at ulysea.com Wed Aug 4 12:20:47 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 12:20:47 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: <201008041034.18344@office.a-mazing.net> References: <201008041034.18344@office.a-mazing.net> Message-ID: Hallo nochmal, hab alles so gemacht wie in der Docu und nun bekomme ich leider folgenden Fehler: warning: SASL authentication failure: No worthy mechs found Was habe ich vergessen? Muss SASL auf dem Client (DynDNS-Webserver) gestartet sein? Eigentlich doch nicht, oder?! SASL-User und Password auf dem Mailserver/relay habe ich per saslpasswd2 angelegt. Danke, Stefan El 04/08/2010 10:34, Gregor Hermens escribió: > Hallo Stefan, > > du solltest diesem Rechner beibringen, sich beim Mailserver zu > authentifizieren: > > http://www.postfix.org/SASL_README.html#client_sasl > > Gruß, > Gregor From sbielenberg at ulysea.com Wed Aug 4 13:04:10 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 13:04:10 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: <201008041034.18344@office.a-mazing.net> Message-ID: Nach ein paar Änderungen bringt er nun folgenden Fehler: warning: SASL authentication failure: Password verification failed warning: unknown[xxx.xxx.xxx.xxx]: SASL PLAIN authentication failed Hmmm, wo muss ich denn nun schrauben? Am SASL des mailservers oder an dem des Webserver? Bin jetzt total verwirrt... Stefan 04/08/2010 12:20, Stefan Bielenberg: > Hallo nochmal, > > hab alles so gemacht wie in der Docu und nun bekomme ich leider > folgenden Fehler: > > warning: SASL authentication failure: No worthy mechs found > > Was habe ich vergessen? Muss SASL auf dem Client (DynDNS-Webserver) > gestartet sein? Eigentlich doch nicht, oder?! SASL-User und Password auf > dem Mailserver/relay habe ich per saslpasswd2 angelegt. > > Danke, > Stefan From ad+lists at uni-x.org Wed Aug 4 18:32:45 2010 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 04 Aug 2010 18:32:45 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: <201008041034.18344@office.a-mazing.net> Message-ID: <4C59962D.5020209@uni-x.org> Am 04.08.2010 13:04, schrieb Stefan Bielenberg: > Nach ein paar Änderungen bringt er nun folgenden Fehler: "er" ist Dein Relay Host? > warning: SASL authentication failure: Password verification failed > warning: unknown[xxx.xxx.xxx.xxx]: SASL PLAIN authentication failed > > Hmmm, wo muss ich denn nun schrauben? Am SASL des mailservers oder an > dem des Webserver? Bin jetzt total verwirrt... ... und niemand von uns hat eine funktionstüchtige Glaskugel. Wie wäre es mal mit "postconf -n" und saslfinger Output vom Relay? > Stefan Alexander From sbielenberg at ulysea.com Wed Aug 4 18:55:19 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 18:55:19 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: <4C59962D.5020209@uni-x.org> References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> Message-ID: Ich habs schon. Wusste nur nicht, dass der eingebaut Postfix-SMTP-Client nur PLAIN und LOGIN mag, hatte aber Name und Password nur in der sasldb2 angegeben, daher hat er auch nichts gefunden beim authentifizieren... Jetzt gehts. Nochmals danke für die Schläge mit den Zaunpfahl in die richtige Richtung ;-) Gruss, Stefan Am 04.08.2010 18:32, schrieb Alexander Dalloz: > Am 04.08.2010 13:04, schrieb Stefan Bielenberg: > >> Nach ein paar Änderungen bringt er nun folgenden Fehler: > > "er" ist Dein Relay Host? > >> warning: SASL authentication failure: Password verification failed >> warning: unknown[xxx.xxx.xxx.xxx]: SASL PLAIN authentication failed >> >> Hmmm, wo muss ich denn nun schrauben? Am SASL des mailservers oder an >> dem des Webserver? Bin jetzt total verwirrt... > > ... und niemand von uns hat eine funktionstüchtige Glaskugel. > > Wie wäre es mal mit "postconf -n" und saslfinger Output vom Relay? > >> Stefan > > Alexander > -- From ad+lists at uni-x.org Wed Aug 4 19:13:46 2010 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 04 Aug 2010 19:13:46 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> Message-ID: <4C599FCA.7020005@uni-x.org> Am 04.08.2010 18:55, schrieb Stefan Bielenberg: Bitte kein TOFU! > Ich habs schon. Wusste nur nicht, dass der eingebaut Postfix-SMTP-Client > nur PLAIN und LOGIN mag, hatte aber Name und Password nur in der sasldb2 > angegeben, daher hat er auch nichts gefunden beim authentifizieren... Welcher Floh hat Dir gehustet, mit smtp_sasl gingen nur plaintext mechanisms? Es geht, was der $smtp_sasl_type unterstützt. und die Logik, warum sasldb2 basierte credentials plaintext nicht unterstützen würde, verstehe ich nicht wirklich. Ich vermute, Du meinst, Du hattest eine sasldb2 bei Dir auf dem Webserver gefüttert, in der irrigen Annahme, jene würde für clientseitige Authentifizierung herangezogen. Etwas dubios. > Jetzt gehts. Na immerhin. > Nochmals danke für die Schläge mit den Zaunpfahl in die richtige > Richtung ;-) > > Gruss, > Stefan Gruß Alexander From sbielenberg at ulysea.com Wed Aug 4 20:05:05 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Wed, 04 Aug 2010 20:05:05 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: <4C599FCA.7020005@uni-x.org> References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> Message-ID: Am 04.08.2010 19:13, schrieb Alexander Dalloz: > Welcher Floh hat Dir gehustet, mit smtp_sasl gingen nur plaintext > mechanisms? Es geht, was der $smtp_sasl_type unterstützt. Also hier im "Postfix SASL Howto" steht: Important Do not specify any other mechanisms in mech_list than PLAIN or LOGIN when using saslauthd! It can only handle these two mechanisms, and authentication will fail if clients are allowed to choose other mechanisms. Important Plaintext mechanisms (PLAIN, LOGIN) send credentials unencrypted. This information should be protected by an additional security layer such as a TLS-encrypted SMTP session (see: TLS_README). Naja, so richtig habe ich es auch nicht verstanden. Vielleicht liegt es ja daran, dass bei mir "saslauthd -a shadow" läuft und gar nicht die sasldb benutzt? Hier meine /usr/lib/sasl2/smtpd.conf: pwcheck_method: saslauthd mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5 log_level: 3 d.h. also ohne: #pwcheck_method: auxprop #auxprop_plugin: sasldb Oder habe ich da schon wieder was nicht richtig mitbekommen? Gruss, Stefan From ad+lists at uni-x.org Wed Aug 4 21:20:49 2010 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 04 Aug 2010 21:20:49 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen In-Reply-To: References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> Message-ID: <4C59BD91.1090008@uni-x.org> Am 04.08.2010 20:05, schrieb Stefan Bielenberg: > Am 04.08.2010 19:13, schrieb Alexander Dalloz: >> Welcher Floh hat Dir gehustet, mit smtp_sasl gingen nur plaintext >> mechanisms? Es geht, was der $smtp_sasl_type unterstützt. > > Also hier im "Postfix SASL Howto" steht: > > Important > > Do not specify any other mechanisms in mech_list than PLAIN or LOGIN > when using saslauthd! It can only handle these two mechanisms, and > authentication will fail if clients are allowed to choose other mechanisms. > > Important > > Plaintext mechanisms (PLAIN, LOGIN) send credentials unencrypted. > This information should be protected by an additional security layer > such as a TLS-encrypted SMTP session (see: TLS_README). Dies ist aber schon eine gänzlich andere Aussage! Es bezieht sich auf die Einrichtung von SMTP AUTH auf Serverseite mit dem saslauthd von cyrus-sasl. > Naja, so richtig habe ich es auch nicht verstanden. Vielleicht liegt es > ja daran, dass bei mir "saslauthd -a shadow" läuft und gar nicht die > sasldb benutzt? Hier meine /usr/lib/sasl2/smtpd.conf: > > pwcheck_method: saslauthd > mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5 > log_level: 3 > > d.h. also ohne: > > #pwcheck_method: auxprop > #auxprop_plugin: sasldb > > Oder habe ich da schon wieder was nicht richtig mitbekommen? > > Gruss, > Stefan Hallo Stefan, ich versuche mal mein Glück, das ein bischen zu ordnen. Leider drückst Du Dich entweder sehr unglücklich aus, oder Du rührst einfach alles durch den Mixer und am Ende kommt da nichts Gutes bei raus. Dabei beziehe ich mich explizit auf Dein "Wusste nur nicht, dass der eingebaut Postfix-SMTP-Client nur PLAIN und LOGIN mag, hatte aber Name und Password nur in der sasldb2 angegeben, daher hat er auch nichts gefunden beim authentifizieren..." Also, in Deinem spezifischen Setup hast Du gleich beide Seiten, Postfix als Server, der AUTH nutzt (smtpd_sasl_*), um Deinem Webserver das Relaying zu erlauben, und eben den Webserver mit seinem Postfix, der dort SASL aus Clientsicht (smtp_sasl_*) einsetzt. Nun gut, Du richtest also auf dem Mailrelay SMTP AUTH unter Verwendung von cyrus-sasl ein. Da hast Du die Wahl zwischen saslauthd oder auxprop als Methode. Wie das von Dir zitierte Dokument richtig sagt, kannst Du mit saslauthd kein CRAM-MD5 oder DIGEST-MD5 machen. Frage also: Warum trägst Du beides dennoch unbeirrt in Deiner mech_list Anweisung ein? Ich meine mich zu erinnern, dass der saslauthd unter Debian so kompiliert ist, dass er eine sasldb als Backend nutzen kann - was in meinen Augen aber Unfug ist. Prüfen kann man das mit saslauthd -v Willst Du shared secret Mechanismen einsetzen, dann musst Du statt des saslauthd die cyrus-sasl Standardmethode auxprop einsetzen. Die simpelste und default Pluginvariante von auxprop ist der Einsatz von sasldb, der bei Einsatz von SASLv2 auf eine sasldb2 zugreift (cyrus-sasl Version 1 setzt bestimmt niemand mehr ein). Richtig ist also, dass bei Nutzung von "saslauthd -a shadow" keine sasldb2 abgefragt wird, sondern der saslauthd die von Clientseite übergebenen Credentials mit den shadow Systeminformationen abgleicht. Wohlgemerkt, ich rede die ganze Zeit von der Konfiguration von SASL AUTH auf der Seite, wo Dein Postfix als Authentifizierungsserver arbeitet. In der main.cf sind dazu die smtpd_sasl_* Parameter von Bedeutung. Auf Clientseite (bei Dir der Webserver mit Postfix) muss die Authentifizierung gegen den Server natürlich passend eingerichtet werden. Da Dein Server keine Authentifizerung per CRAM-MD5 unterstützt (auch wenn Du dies in der smtpd.conf eingetragen hast), hat es keinen Sinn, dies vom Client her zu versuchen. Also bleiben nur LOGIN und PLAIN. Auf Seiten des Clients musst Du dafür aber weder die smtpd.conf konfigurieren, noch einen saslauthd laufen lassen, noch eine sasldb2 füttern. Du widmest Dich ganz den smtp_sasl_* Optionen in der main.cf, insbesondere smtp_sasl_password_maps. Kommen nun LOGIN und PLAIN als plaintext Mechanismen zum Einsatz, ist es - wie von Dir zitiert - unbedingt angeraten, die Verbindung zwischen Client und Server per TLS/SSL abzusichern, da sonst Username und Passwort als base64 codierte Werte mitgesnifft werden können. Die beiden Seiten von SMTP AUTH in Postfix konfiguriert hat Patrick auf http://postfix.state-of-mind.de/patrick.koetter/easterhegg2004/ Ersetzt keine vollständige Dokumentation, aber ist sehr komprimiert das Wesentliche. Ich gebe zu, speziell cyrus-sasl ist hinsichtlich Dokumentation und Implementierung nicht unbedingt eines der Vorzeigeprojekte von OSS. Daher wundert es kaum, dass viele, die bereits Dovecot für IMAP4/POP3 einsetzen, auch gleich dessen SASL Implementierung für AUTH auf der Postfix Serverseite verwenden. Gruß Alexander From pw at wk-serv.de Wed Aug 4 22:08:17 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Wed, 04 Aug 2010 22:08:17 +0200 Subject: [Postfixbuch-users] Verstaendnisproblem virtual_alias_maps In-Reply-To: <201008040119.51660.p.heinlein@heinlein-support.de> References: <4C589D19.5020808@wk-serv.de> <201008040119.51660.p.heinlein@heinlein-support.de> Message-ID: <4C59C8B1.5080607@wk-serv.de> Peer Heinlein schrieb: > Abhilfe: receive_override_options=no_address_rewrite in der master.cf > setzen. no_address_rewrite kennt mein Postfix nicht aber no_address_mappings hat mir geholfen. Gruß Patrick From p.heinlein at heinlein-support.de Wed Aug 4 22:16:05 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 4 Aug 2010 22:16:05 +0200 Subject: [Postfixbuch-users] Verstaendnisproblem virtual_alias_maps In-Reply-To: <4C59C8B1.5080607@wk-serv.de> References: <4C589D19.5020808@wk-serv.de> <201008040119.51660.p.heinlein@heinlein-support.de> <4C59C8B1.5080607@wk-serv.de> Message-ID: <201008042216.05119.p.heinlein@heinlein-support.de> Am Mittwoch 04 August 2010 22:08:17 schrieb Patrick Westenberg: > Peer Heinlein schrieb: > > Abhilfe: receive_override_options=no_address_rewrite in der > > master.cf setzen. > > no_address_rewrite kennt mein Postfix nicht aber no_address_mappings > hat mir geholfen. Jajajaja, das schreibe ich jedes mal falsch. Sorry. Ich habe ja die Hoffnung, daß sich Postfix hier mal netterweise an mich gewöhnt, aber vermutlich muß ich da wohl doch mal auf Postfix zugehen und mich umstellen. :-) Peer Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From sbielenberg at ulysea.com Thu Aug 5 08:18:01 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Thu, 05 Aug 2010 08:18:01 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <4C59BD91.1090008@uni-x.org> References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> Message-ID: Hallo Alexander, besten Dank für die ausführlich Aufklarung. Ich bin da wohl ein bisschen durcheinander gekommen, aber nun ist es klar. Also werde ich aus der smtpd.conf die nicht unterstützten Methoden herausnehmen und dann TLS auf dem Webserver einrichten. Ich glaube, dann habe ich es. Noch eine letzte Frage (ein bisschen OT): für TLS auf der Clientseite muss ich ja auch Zertifikate einrichten, wie ich gesehen habe. Wieso muss man das z.B. beim Thunderbird nicht machen? Oder macht der das intern? Wo sind dann aber diese Zertifikate und hat man darauf auch beim Thunderbird Zugriff? Danke und Grüsse, Stefan 04/08/2010 21:20, Alexander Dalloz: > > Hallo Stefan, > > ich versuche mal mein Glück, das ein bischen zu ordnen. Leider drückst > Du Dich entweder sehr unglücklich aus, oder Du rührst einfach alles > durch den Mixer und am Ende kommt da nichts Gutes bei raus. Dabei > beziehe ich mich explizit auf Dein > > "Wusste nur nicht, dass der eingebaut Postfix-SMTP-Client nur PLAIN und > LOGIN mag, hatte aber Name und Password nur in der sasldb2 angegeben, > daher hat er auch nichts gefunden beim authentifizieren..." > > Also, in Deinem spezifischen Setup hast Du gleich beide Seiten, Postfix > als Server, der AUTH nutzt (smtpd_sasl_*), um Deinem Webserver das > Relaying zu erlauben, und eben den Webserver mit seinem Postfix, der > dort SASL aus Clientsicht (smtp_sasl_*) einsetzt. > > Nun gut, Du richtest also auf dem Mailrelay SMTP AUTH unter Verwendung > von cyrus-sasl ein. Da hast Du die Wahl zwischen saslauthd oder auxprop > als Methode. Wie das von Dir zitierte Dokument richtig sagt, kannst Du > mit saslauthd kein CRAM-MD5 oder DIGEST-MD5 machen. Frage also: Warum > trägst Du beides dennoch unbeirrt in Deiner mech_list Anweisung ein? > > Ich meine mich zu erinnern, dass der saslauthd unter Debian so > kompiliert ist, dass er eine sasldb als Backend nutzen kann - was in > meinen Augen aber Unfug ist. Prüfen kann man das mit > > saslauthd -v > > Willst Du shared secret Mechanismen einsetzen, dann musst Du statt des > saslauthd die cyrus-sasl Standardmethode auxprop einsetzen. Die > simpelste und default Pluginvariante von auxprop ist der Einsatz von > sasldb, der bei Einsatz von SASLv2 auf eine sasldb2 zugreift (cyrus-sasl > Version 1 setzt bestimmt niemand mehr ein). > > Richtig ist also, dass bei Nutzung von "saslauthd -a shadow" keine > sasldb2 abgefragt wird, sondern der saslauthd die von Clientseite > übergebenen Credentials mit den shadow Systeminformationen abgleicht. > > Wohlgemerkt, ich rede die ganze Zeit von der Konfiguration von SASL AUTH > auf der Seite, wo Dein Postfix als Authentifizierungsserver arbeitet. In > der main.cf sind dazu die smtpd_sasl_* Parameter von Bedeutung. > > Auf Clientseite (bei Dir der Webserver mit Postfix) muss die > Authentifizierung gegen den Server natürlich passend eingerichtet > werden. Da Dein Server keine Authentifizerung per CRAM-MD5 unterstützt > (auch wenn Du dies in der smtpd.conf eingetragen hast), hat es keinen > Sinn, dies vom Client her zu versuchen. Also bleiben nur LOGIN und > PLAIN. Auf Seiten des Clients musst Du dafür aber weder die smtpd.conf > konfigurieren, noch einen saslauthd laufen lassen, noch eine sasldb2 > füttern. Du widmest Dich ganz den smtp_sasl_* Optionen in der main.cf, > insbesondere smtp_sasl_password_maps. Kommen nun LOGIN und PLAIN als > plaintext Mechanismen zum Einsatz, ist es - wie von Dir zitiert - > unbedingt angeraten, die Verbindung zwischen Client und Server per > TLS/SSL abzusichern, da sonst Username und Passwort als base64 codierte > Werte mitgesnifft werden können. > > Die beiden Seiten von SMTP AUTH in Postfix konfiguriert hat Patrick auf > > http://postfix.state-of-mind.de/patrick.koetter/easterhegg2004/ > > Ersetzt keine vollständige Dokumentation, aber ist sehr komprimiert das > Wesentliche. Ich gebe zu, speziell cyrus-sasl ist hinsichtlich > Dokumentation und Implementierung nicht unbedingt eines der > Vorzeigeprojekte von OSS. Daher wundert es kaum, dass viele, die bereits > Dovecot für IMAP4/POP3 einsetzen, auch gleich dessen SASL > Implementierung für AUTH auf der Postfix Serverseite verwenden. > > Gruß > > Alexander > -- From p.heinlein at heinlein-support.de Thu Aug 5 08:57:36 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 5 Aug 2010 08:57:36 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: References: <4C59BD91.1090008@uni-x.org> Message-ID: <201008050857.36682.p.heinlein@heinlein-support.de> Am Donnerstag 05 August 2010 08:18:01 schrieb Stefan Bielenberg: > Noch eine letzte Frage (ein bisschen OT): für TLS auf der Clientseite > muss ich ja auch Zertifikate einrichten, wie ich gesehen habe. Wieso Nein. Auf der Serverseite mußt Du Zertifikate einrichten. Der Client braucht keine. > muss man das z.B. beim Thunderbird nicht machen? Weil das eben der Client ist, der keine braucht :-) Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From sbielenberg at ulysea.com Thu Aug 5 09:28:50 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Thu, 05 Aug 2010 09:28:50 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <201008050857.36682.p.heinlein@heinlein-support.de> References: <4C59BD91.1090008@uni-x.org> <201008050857.36682.p.heinlein@heinlein-support.de> Message-ID: 05/08/2010 8:57, Peer Heinlein: > Nein. Auf der Serverseite mußt Du Zertifikate einrichten. Der Client > braucht keine. Was muss ich denn nun machen, damit der Postfix SMTP sich mit seinem SMTPD/Relay-Server per TLS verbindet? Denn ich will ja nicht, dass die Authentifizierung (PLAIN, LOGIN) mitgelesen werden kann. Der Relay-Server kann schon TLS, aber irgendwie will der Postfix-Client-SMTP nicht... Gruss, Stefan From pw at wk-serv.de Thu Aug 5 09:47:43 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 05 Aug 2010 09:47:43 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: References: <4C59BD91.1090008@uni-x.org> <201008050857.36682.p.heinlein@heinlein-support.de> Message-ID: On Thu, 05 Aug 2010 09:28:50 +0200, Stefan Bielenberg wrote: > Was muss ich denn nun machen, damit der Postfix SMTP sich mit seinem > SMTPD/Relay-Server per TLS verbindet? Denn ich will ja nicht, dass die > Authentifizierung (PLAIN, LOGIN) mitgelesen werden kann. Von der Authentifizierung an deinem Postfix bekommt das Relay doch gar nichts mit. Gruß Patrick From sbielenberg at ulysea.com Thu Aug 5 09:54:03 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Thu, 05 Aug 2010 09:54:03 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: References: <4C59BD91.1090008@uni-x.org> <201008050857.36682.p.heinlein@heinlein-support.de> Message-ID: Ich spreche von der Authent. des Webserver-Postfix-SMTP (mit smtp_auth) am Mail/Relay-Postfix-SMTPD. Diese Kommunikation muss doch per TLS/SSL abgesichert werten, oder?! Wie überrede ich meinen Webserver-Postfix-SMTP dazu? Gruss, Stefan 05/08/2010 9:47, Patrick Westenberg: >> Was muss ich denn nun machen, damit der Postfix SMTP sich mit seinem >> SMTPD/Relay-Server per TLS verbindet? Denn ich will ja nicht, dass die >> Authentifizierung (PLAIN, LOGIN) mitgelesen werden kann. > > Von der Authentifizierung an deinem Postfix bekommt das Relay doch gar > nichts mit. From pw at wk-serv.de Thu Aug 5 09:56:21 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 05 Aug 2010 09:56:21 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verstaendnisproblem_virtual=5Falias?= =?utf-8?q?=5Fmaps?= In-Reply-To: <201008042216.05119.p.heinlein@heinlein-support.de> References: <4C589D19.5020808@wk-serv.de> <201008040119.51660.p.heinlein@heinlein-support.de> <4C59C8B1.5080607@wk-serv.de> <201008042216.05119.p.heinlein@heinlein-support.de> Message-ID: <08e14b3011a61c35979bac39ce65d68d@localhost> On Wed, 4 Aug 2010 22:16:05 +0200, Peer Heinlein wrote: >> no_address_rewrite kennt mein Postfix nicht aber no_address_mappings >> hat mir geholfen. > > Jajajaja, das schreibe ich jedes mal falsch. > > Sorry. receive_override_options hat mich zumindest auf die richtige Spur gebracht. > Ich habe ja die Hoffnung, daß sich Postfix hier mal netterweise an mich > gewöhnt, aber vermutlich muß ich da wohl doch mal auf Postfix zugehen > und mich umstellen. :-) no_address_mappings in Zusammenhang mit virtual_alias_maps finde ich in der Namensgebung treffender als _rewrite. Danke und Grüße From ad+lists at uni-x.org Thu Aug 5 10:37:39 2010 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Thu, 5 Aug 2010 10:37:39 +0200 (CEST) Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> Message-ID: <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> > Hallo Alexander, Hallo Stefan, > besten Dank für die ausführlich Aufklarung. Ich bin da wohl ein bisschen > durcheinander gekommen, aber nun ist es klar. Also werde ich aus der > smtpd.conf die nicht unterstützten Methoden herausnehmen und dann TLS > auf dem Webserver einrichten. Ich glaube, dann habe ich es. Prima. > Noch eine letzte Frage (ein bisschen OT): für TLS auf der Clientseite > muss ich ja auch Zertifikate einrichten, wie ich gesehen habe. Wieso > muss man das z.B. beim Thunderbird nicht machen? Oder macht der das > intern? Wo sind dann aber diese Zertifikate und hat man darauf auch beim > Thunderbird Zugriff? Off-topic finde ich die Frage nicht, wir diskutieren hier ja über Postfix. Wie von anderen schon beantwortet bnötigst Du auf Clientseite kein Zertifikat und Schlüssel. Jedenfalls nicht in der simplen "mach-ein-TLS-handshake-und-gut-ist" Variante. Willst du jedoch auf Serverseite nur verifizierbare TLS Verbindungen zulassen oder gar auf Basis von Zertifikaten relayen, dann benötigst Du auf Clientseite eine mit Zertifikat und Schlüssel ausgestattete Konfiguration. Siehe hierzu auch http://www.postfix.org/postconf.5.html#smtp_tls_cert_file "Do not configure client certificates unless you *must* present client TLS certificates to one or more servers. Client certificates are not usually needed, and can cause problems in configurations that work well without them." > Danke und Grüsse, > Stefan Gruß Alexander From sbielenberg at ulysea.com Thu Aug 5 11:35:40 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Thu, 05 Aug 2010 11:35:40 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: References: <4C59BD91.1090008@uni-x.org> <201008050857.36682.p.heinlein@heinlein-support.de> Message-ID: Ahhh, jetzt gehts auch mit TLS. Hat also doch was gefehlt: smtp_tls_security_level = encrypt Jetzt bin ich zufrieden! Danke, Stefan 05/08/2010 9:54, Stefan Bielenberg: > Ich spreche von der Authent. des Webserver-Postfix-SMTP (mit smtp_auth) > am Mail/Relay-Postfix-SMTPD. Diese Kommunikation muss doch per TLS/SSL > abgesichert werten, oder?! Wie überrede ich meinen > Webserver-Postfix-SMTP dazu? > > Gruss, > Stefan From sbielenberg at ulysea.com Thu Aug 5 11:45:28 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Thu, 05 Aug 2010 11:45:28 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> Message-ID: 05/08/2010 10:37, Alexander Dalloz: Hallo Alexander, > Wie von anderen schon beantwortet bnötigst Du auf Clientseite kein > Zertifikat und Schlüssel. Jedenfalls nicht in der simplen > "mach-ein-TLS-handshake-und-gut-ist" Variante. Willst du jedoch auf > Serverseite nur verifizierbare TLS Verbindungen zulassen oder gar auf > Basis von Zertifikaten relayen, dann benötigst Du auf Clientseite eine mit > Zertifikat und Schlüssel ausgestattete Konfiguration. > > Siehe hierzu auch > > http://www.postfix.org/postconf.5.html#smtp_tls_cert_file > > "Do not configure client certificates unless you *must* present client TLS > certificates to one or more servers. Client certificates are not usually > needed, and can cause problems in configurations that work well without > them." Hab ich das richtig verstanden, mit Client-TLS-Zertifikaten kann ich also auch eine Art von Authent. durchführen? Könnte ich dann auf SASL verzichten und den SMTPD nur nach dem richtigen Zertifikat des Clients fragen lassen? Wie wäre dafür dann die Option in den "smtpd_recipient_restrictions"? Und die Reihenfolge ist so richtig? smtpd_recipient_restrictions = permit_mynetworks permit_tls_clientcerts permit_sasl_authenticated Das würde ja noch mal interessant sein... Vielleicht sogar die beste Lösung, oder spricht was dagegen und eher für SASL-Auth? Gruss, Stefan From spamvoll at googlemail.com Thu Aug 5 12:03:05 2010 From: spamvoll at googlemail.com (spamvoll at googlemail.com) Date: Thu, 5 Aug 2010 12:03:05 +0200 Subject: [Postfixbuch-users] spam@ und ham@ emailadresse Message-ID: Hallo.. hat einer ein Skript was er mir schicken würde oder ein Link zu einem Howto wie man solche Emailadressen baut die dann an den sa-learn übergeben werden ? Ich habe im Netz nur ein Skript von 2004 gefunden was das erledigt aber nicht für postfix ist. Oder einen kleinen Hinweis wie man eine einzelne Emailadresse an ein bashscript übergibt, weil mein smtp prüft gegen einen ldap und leitet nach allen checks weiter an einen zweiten imap server. Grüße Hans From sven_vogler at landkreismol.de Thu Aug 5 12:04:29 2010 From: sven_vogler at landkreismol.de (Sven Vogler) Date: Thu, 05 Aug 2010 12:04:29 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C57E9AD.8080108@landkreismol.de> References: <4C57E9AD.8080108@landkreismol.de> Message-ID: <4C5A8CAD.5000109@landkreismol.de> Am 03.08.2010 12:04, schrieb Sven Vogler: (Ausnahmsweise mal TOFU) Was nun? War meine Anfrage zu uninteressant? Falsche Liste? Zu un/höflich? Oder gibts dafür wirklich keine bessere Lösung? > Hallo Liste, > > ich bin dabei nach Peers Buch ein Mailgateway mit Postfix, amavisd_new, > spamassassin und clamav aufzubauen. Dank der sehr guten Beschreibungen > (Wirklich vielen Dank Peer!) habe ich alles so schick hinbekommen, daß > ich recht zufrieden bin. > Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen > (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet, > da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt > (von Real-time-Filterung kann auch keine Rede sein)). Dazu möchte ich > einige gewohnte "Features" abbilden, die wir an diesem System nutzen. > Mein Problem begann bei der Einbindung der Header- und Bodychecks.... Da > generierte Amavis dann Backscatter, die nicht gewollt sind. Jetzt habe > ich in der amavis.conf noch "rumgespielt" und es werden keine > Backscatter versandt, aber es sieht nicht wirklich schön im Logfile aus > .... (Ach so, das ganz läuft z.Z. nat. in einer Testumgebung) > Ich bin sicher, dass das besser geht, habe aber dazu in Netz nichts > gefunden. Über Tipps und Hinweise zur Konfiguration oder Links zum > Nachlesen würde ich mich freuen, vielen Dank im voraus. > > Fehlen noch Informationen? > > Anhang: > ########### Logfileausschnitt ################ > > > > Aug 3 10:52:40 mgw postfix/smtpd[20675]: NOQUEUE: > client=unknown[194.95.188.6] > > Aug 3 10:52:41 mgw postfix/smtpd[20695]: connect from > localhost[127.0.0.1] > > Aug 3 10:52:41 mgw postfix/smtpd[20695]: 0377392090: > client=localhost[127.0.0.1] > > Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0377392090: > message-id=<4C57D8D8.3010203 at landkreismal.de> > > Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0377392090: reject: body 123 > from localhost[127.0.0.1]; from= > to= proto=ESMTP helo=: 5.7.1 Das wollen > wir nich! > > > Aug 3 10:52:41 mgw amavis[3001]: (03001-01) Negative SMTP response to > data-dot (): 550 5.7.1 Das wollen wir nich! > > Aug 3 10:52:41 mgw amavis[3001]: (03001-01) (!)FWD via SMTP: > -> ,BODY=7BIT 550 5.7.1 > Failed, id=03001-01, from MTA([127.0.0.1]:10025): 550 5.7.1 Das wollen > wir nich! > > > Aug 3 10:52:41 mgw postfix/smtpd[20695]: 0FBC792090: > client=localhost[127.0.0.1] > > Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0FBC792090: > message-id= > > Aug 3 10:52:41 mgw postfix/cleanup[20687]: 0FBC792090: reject: body > Subject: 123 from localhost[127.0.0.1]; from=<> to= > proto=ESMTP helo=: 5.7.1 Das wollen wir nich! > > > > Aug 3 10:52:41 mgw amavis[3001]: (03001-01) Negative SMTP response to > data-dot (): 550 5.7.1 Das wollen wir nich! > > Aug 3 10:52:41 mgw amavis[3001]: (03001-01) (!)SEND via SMTP: <> -> > ,ENVID=AM..20100803T085241Z at mgw.landkreismol.de 550 > 5.7.1 Failed, id=03001-01, from MTA([127.0.0.1]:10025): 550 5.7.1 Das > wollen wir nich! > > > Aug 3 10:52:41 mgw amavis[3001]: (03001-01) (!)NOTICE: UNABLE TO SEND > DSN to : 550 5.7.1 Failed, id=03001-01, from > MTA([127.0.0.1]:10025): 550 5.7.1 Das wollen wir nich! > Aug 3 10:52:41 mgw amavis[3001]: (03001-01) Blocked MTA-BLOCKED, > [194.95.188.6] [194.95.188.6] -> > , Message-ID: <4C57D8D8.3010203 at landkreismal.de>, > mail_id: eWvT7v8+3+YC, Hits: 2.637, size: 806, 483 ms > Aug 3 10:52:41 mgw postfix/smtpd[20675]: disconnect from > unknown[194.95.188.6] > > ########## postconf -n ####################### > > address_verify_map = btree:/var/spool/postfix/data/verify > address_verify_negative_expire_time = 3d > address_verify_negative_refresh_time = 3h > address_verify_positive_expire_time = 31d > address_verify_positive_refresh_time = 7d > address_verify_sender = address_cecker > alias_maps = hash:/etc/aliases > biff = no > body_checks = regexp:/etc/postfix/body_checks > canonical_maps = hash:/etc/postfix/canonical > command_directory = /usr/sbin > config_directory = /etc/postfix > content_filter = > daemon_directory = /usr/lib/postfix > data_directory = /var/lib/postfix > debug_peer_level = 2 > defer_transports = > delay_warning_time = 1h > disable_dns_lookups = no > disable_mime_output_conversion = no > header_checks = regexp:/etc/postfix/header_checks > html_directory = /usr/share/doc/packages/postfix-doc/html > in_flow_delay = 1s > inet_interfaces = all > inet_protocols = all > mail_owner = postfix > mail_spool_directory = /var/mail > mailbox_command = > mailbox_size_limit = 0 > mailbox_transport = > mailq_path = /usr/bin/mailq > manpage_directory = /usr/share/man > masquerade_classes = envelope_sender, header_sender, header_recipient > masquerade_domains = $mydomain > masquerade_exceptions = root > message_size_limit = 0 > message_strip_characters = \0 > mydestination = $myhostname, localhost, localhost.$mydomain > myhostname = mgw.landkreismol.de > mynetworks = 10.232.160.0/22, 127.0.0.0/8 > mynetworks_style = subnet > myorigin = $mydomain > newaliases_path = /usr/bin/newaliases > queue_directory = /var/spool/postfix > readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES > relay_domains = $mydestination, hash:/etc/postfix/relay > relayhost = > relocated_maps = hash:/etc/postfix/relocated > sample_directory = /usr/share/doc/packages/postfix-doc/samples > sender_canonical_maps = hash:/etc/postfix/sender_canonical > sendmail_path = /usr/sbin/sendmail > setgid_group = maildrop > smtp_helo_name = mail.landkreismol.de > smtp_sasl_auth_enable = no > smtp_use_tls = no > smtpd_client_restrictions = > smtpd_helo_required = no > smtpd_helo_restrictions = > smtpd_recipient_restrictions = > check_client_access cidr:/etc/postfix/access-client, > check_sender_access hash:/etc/postfix/access-sender, > check_recipient_access hash:/etc/postfix/access-recipient, > reject_unverified_recipient, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > permit_mynetworks, > check_policy_service inet:127.0.0.1:12525, # policyd-weight > check_policy_service inet:127.0.0.1:10023, # postgrey > reject_unauth_destination, > permit > smtpd_sasl_auth_enable = no > smtpd_sender_restrictions = > smtpd_use_tls = no > soft_bounce = no > strict_8bitmime = no > strict_rfc821_envelopes = no > transport_maps = hash:/etc/postfix/transport > unknown_local_recipient_reject_code = 550 > unverified_recipient_reject_code = 550 > virtual_alias_domains = hash:/etc/postfix/virtual > virtual_alias_maps = hash:/etc/postfix/virtual > > ######### amavis.conf ############# > > > > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Mit freundlichen Grüssen Sven Vogler ---------------------------------------------------------------- Landkreis Märkisch-Oderland Systemadministration Puschkinplatz 12 sven_vogler at landkreismol.de 15306 Seelow fon: 03346 850 509 Fachdienst TUIV fax: 03346 546 From ad+lists at uni-x.org Thu Aug 5 12:42:07 2010 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Thu, 5 Aug 2010 12:42:07 +0200 (CEST) Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> Message-ID: <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> > Hab ich das richtig verstanden, mit Client-TLS-Zertifikaten kann ich > also auch eine Art von Authent. durchführen? Könnte ich dann auf SASL > verzichten und den SMTPD nur nach dem richtigen Zertifikat des Clients > fragen lassen? Wie wäre dafür dann die Option in den > "smtpd_recipient_restrictions"? Und die Reihenfolge ist so richtig? > > smtpd_recipient_restrictions = permit_mynetworks > permit_tls_clientcerts > permit_sasl_authenticated > > Das würde ja noch mal interessant sein... > Vielleicht sogar die beste Lösung, oder spricht was dagegen und eher für > SASL-Auth? > > Gruss, > Stefan Ja, Du kannst anstelle SASL basiertem AUTH auf Basis eines dem Server bekannten Clientzertifikates das Relaying erlauben. Auf SASL könntest Du dann verzichten. Richtig, in smtp_recipient_restrictions permit_tls_clientcerts setzen. Die angeratene Position hängt von der kompletten Liste an eingesetzten Restriktionen ab. Wenn Du auf SASL AUTH komplett verzichten kannst / willst, dann setze permit_tls_clientcerts and die Stelle von permit_sasl_authenticated. Eine PKI zu verwalten ist denke ich aufwendiger als Passwörter zu vergeben. Geht es nur um Dein 2 Server Szenario, ist der Aufwand überschaubar. Du musst dann war keine CRL führen, aber Zertifikate laufen ab. SASL ist "normal", zertifikatsbasiertes Relaying mag "sexy" sein. Ich kann nicht beurteilen, welche Kriterien für Dich von Bedeutung sind. Gruß Alexander From Ralf.Hildebrandt at charite.de Thu Aug 5 12:38:57 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 5 Aug 2010 12:38:57 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C5A8CAD.5000109@landkreismol.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> Message-ID: <20100805103856.GR9766@charite.de> * Sven Vogler : > Am 03.08.2010 12:04, schrieb Sven Vogler: > > (Ausnahmsweise mal TOFU) > Was nun? War meine Anfrage zu uninteressant? Falsche Liste? Zu > un/höflich? Oder gibts dafür wirklich keine bessere Lösung? Also soweit ivh weiss können neuere Versionen von amavis BESSER mit so einem reject durch *_checks umgehen. Peer hatte da einen Bugreport bei amavisd-new eingekippt deswegen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From driessen at fblan.de Thu Aug 5 13:14:15 2010 From: driessen at fblan.de (Uwe Driessen) Date: Thu, 5 Aug 2010 13:14:15 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C5A8CAD.5000109@landkreismol.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> Message-ID: <000601cb348f$57330440$0565a8c0@uwe> On Behalf Of Sven Vogler > > Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen > > (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet, > > da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt > > (von Real-time-Filterung kann auch keine Rede sein)). Dazu möchte ich > > einige gewohnte "Features" abbilden, die wir an diesem System nutzen. > > Mein Problem begann bei der Einbindung der Header- und Bodychecks.... Da > > generierte Amavis dann Backscatter, die nicht gewollt sind. Jetzt habe > > ich in der amavis.conf noch "rumgespielt" und es werden keine > > Backscatter versandt, aber es sieht nicht wirklich schön im Logfile aus > > .... (Ach so, das ganz läuft z.Z. nat. in einer Testumgebung) > > Ich bin sicher, dass das besser geht, habe aber dazu in Netz nichts > > gefunden. Über Tipps und Hinweise zur Konfiguration oder Links zum > > Nachlesen würde ich mich freuen, vielen Dank im voraus. Wenn angenommen dann geht nur noch der Bounce. Man sollte sich auch tunlichst von /dev/null bei ungewünschter Mail fernhalten (kann den Tatbestand der Unterdrückung von Nachrichten oder so ähnlich erfüllen). Einzige Ausnahme Viren usw. Also vorher soweit den Absender prüfen das ein Bounce auch den Richtigen erreicht. Wie wäre es denn mit Prequeue Filterung? Filtern bevor 250 an den Gegenüber rausgeht und sofortige Ablehnung innerhalb der Verbindung? Das hat Peer mit Sicherheit auch in seinem Buch beschrieben. Und zu welchem Zweck den ganzen mist erst annehmen wenn ich vorhersagen kann das ich diesen eh nicht möchte. Im Logfile steht einfach alles wichtige drin wann wer was gemacht hat. Wofür wird denn ein "schönes" Logfile benötigt? Über syslog-ng kannst du auch bestimmte logs in andere Files loggen lassen. Dann wird das Mail.log evtl. übersichtlicher aber bei Probs schwerer rauszufinden was alles gelaufen ist. > > smtpd_recipient_restrictions = > > check_client_access cidr:/etc/postfix/access-client, > > check_sender_access hash:/etc/postfix/access-sender, > > check_recipient_access hash:/etc/postfix/access-recipient, > > reject_unverified_recipient, > > reject_unknown_sender_domain, > > reject_unknown_recipient_domain, > > permit_mynetworks, > > check_policy_service inet:127.0.0.1:12525, # policyd-weight > > check_policy_service inet:127.0.0.1:10023, # postgrey > > reject_unauth_destination, > > permit Relativ wenig Prüfungen wer da versucht an wen zu senden. Das letzte permit kann man sparen denn wer die letzte Prüfung überstanden hat wird auch angenommen. Wie sieht die Master.cf aus? Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From p at state-of-mind.de Thu Aug 5 13:20:03 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Thu, 5 Aug 2010 13:20:03 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> References: <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> Message-ID: <20100805112003.GD1772@state-of-mind.de> * Alexander Dalloz : > > > Hab ich das richtig verstanden, mit Client-TLS-Zertifikaten kann ich > > also auch eine Art von Authent. durchführen? Könnte ich dann auf SASL > > verzichten und den SMTPD nur nach dem richtigen Zertifikat des Clients > > fragen lassen? Wie wäre dafür dann die Option in den > > "smtpd_recipient_restrictions"? Und die Reihenfolge ist so richtig? > > > > smtpd_recipient_restrictions = permit_mynetworks > > permit_tls_clientcerts > > permit_sasl_authenticated > > > > Das würde ja noch mal interessant sein... > > Vielleicht sogar die beste Lösung, oder spricht was dagegen und eher für > > SASL-Auth? > > > > Gruss, > > Stefan > > Ja, Du kannst anstelle SASL basiertem AUTH auf Basis eines dem Server > bekannten Clientzertifikates das Relaying erlauben. Auf SASL könntest Du > dann verzichten. > > Richtig, in smtp_recipient_restrictions permit_tls_clientcerts setzen. Die Oder "check_ccert_access driver:/path/to/table". Das wäre etwas postfixischer... > angeratene Position hängt von der kompletten Liste an eingesetzten > Restriktionen ab. Wenn Du auf SASL AUTH komplett verzichten kannst / > willst, dann setze permit_tls_clientcerts and die Stelle von > permit_sasl_authenticated. > > Eine PKI zu verwalten ist denke ich aufwendiger als Passwörter zu > vergeben. Geht es nur um Dein 2 Server Szenario, ist der Aufwand Mit TinyCA2 ist das auch schnell gemacht. > überschaubar. Du musst dann war keine CRL führen, aber Zertifikate laufen > ab. Dafür gibt es auch tools. Die Lesen die certs aus und sagen Dir wann Du sie aktualisieren musst. Vorteil von TLS AUTH: Du hast Authentifizierung und sichere Datenübermittlung in Einem. -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From jk at jkart.de Thu Aug 5 13:30:02 2010 From: jk at jkart.de (Jim Knuth) Date: Thu, 05 Aug 2010 13:30:02 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <20100805112003.GD1772@state-of-mind.de> References: <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> <20100805112003.GD1772@state-of-mind.de> Message-ID: <4C5AA0BA.4050204@jkart.de> schrieb Patrick Ben Koetter: > > Dafür gibt es auch tools. Die Lesen die certs aus und sagen Dir wann Du sie > aktualisieren musst. echt? Wo denn, wie denn? Hast nen Link bitte? -- mit freundlichem Gruss with kind regard Jim Knuth --------------------------------------- Bitte keine HTML E-Mails senden und keine Microsoft Anhaenge. Danke. From spamvoll at googlemail.com Thu Aug 5 13:35:07 2010 From: spamvoll at googlemail.com (spamvoll at googlemail.com) Date: Thu, 5 Aug 2010 13:35:07 +0200 Subject: [Postfixbuch-users] postfix email templates Message-ID: Hallo.. in den postfix mails die verschickt werden wenn was nicht zugestellt werden kann usw steht bei mir immer drin. Kann man das mit einem config-Parameter ändern oder muß ich per Hand alle Templates anpassen ? MfG Hans From sbielenberg at ulysea.com Thu Aug 5 13:37:55 2010 From: sbielenberg at ulysea.com (Stefan Bielenberg) Date: Thu, 05 Aug 2010 13:37:55 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> References: <201008041034.18344@office.a-mazing.net> <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> Message-ID: El 05/08/2010 12:42, Alexander Dalloz escribió: > Ja, Du kannst anstelle SASL basiertem AUTH auf Basis eines dem Server > bekannten Clientzertifikates das Relaying erlauben. Auf SASL könntest Du > dann verzichten. > > SASL ist "normal", zertifikatsbasiertes Relaying mag "sexy" sein. Ich kann > nicht beurteilen, welche Kriterien für Dich von Bedeutung sind. Hört sich ja cool an. ;-) Erst einmal läufts mit SASL-Auth, aber ich werd mal den Aufwand abchecken und mich dann entscheiden ob ich das noch mache. Wieder was dazugelernt! Danke, Stefan From timo.schoeler at riscworks.net Thu Aug 5 13:33:45 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Thu, 05 Aug 2010 13:33:45 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <4C5AA0BA.4050204@jkart.de> References: <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> <20100805112003.GD1772@state-of-mind.de> <4C5AA0BA.4050204@jkart.de> Message-ID: <4C5AA199.5090408@riscworks.net> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 thus Jim Knuth spake: > schrieb Patrick Ben Koetter: > >> >> Dafür gibt es auch tools. Die Lesen die certs aus und sagen Dir wann >> Du sie >> aktualisieren musst. > > echt? Wo denn, wie denn? Hast nen Link bitte? Google mal nach check_ssl_cert -- ist in diesem Falle ein Nagios-Modul; oft sind das Scripts (also keine Compilate), aus denen sich die eine oder andere nette Idee entnehmen läßt. HTH & Grüße aus Berlin, Timo -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFMWqGZfg746kcGBOwRAub7AJ0QdqCCHuBbEOAJcSu2Jz4JVPtVaACfSAnc +Ki9xHFyJBhQmX2KQ1jGRfg= =lmjW -----END PGP SIGNATURE----- From p at state-of-mind.de Thu Aug 5 13:58:25 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Thu, 5 Aug 2010 13:58:25 +0200 Subject: [Postfixbuch-users] postfix email templates In-Reply-To: References: Message-ID: <20100805115825.GE1772@state-of-mind.de> * spamvoll at googlemail.com : > Hallo.. > > in den postfix mails die verschickt werden wenn was nicht zugestellt > werden kann usw steht bei mir immer > > drin. Kann man das mit einem config-Parameter ändern oder muß ich per > Hand alle Templates anpassen ? http://postfix.state-of-mind.de/bounce-templates/index.html p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From spamvoll at googlemail.com Thu Aug 5 14:57:14 2010 From: spamvoll at googlemail.com (spamvoll at googlemail.com) Date: Thu, 5 Aug 2010 14:57:14 +0200 Subject: [Postfixbuch-users] postfix email templates In-Reply-To: <20100805115825.GE1772@state-of-mind.de> References: <20100805115825.GE1772@state-of-mind.de> Message-ID: danke.. ich trottel.. die templates gelten ja auch für externe.. daher darf man das garnicht ersetzen.. weil die müßen sich ja an ihren lokalen admin wenden und nicht an den postmaster auf meinem server Am 5. August 2010 13:58 schrieb Patrick Ben Koetter

: > * spamvoll at googlemail.com : >> Hallo.. >> >> in den postfix mails die verschickt werden wenn was nicht zugestellt >> werden kann usw steht bei mir immer >> >> drin. Kann man das mit einem config-Parameter ändern oder muß ich per >> Hand alle Templates anpassen ? > > http://postfix.state-of-mind.de/bounce-templates/index.html > > p at rick > > -- > state of mind > Digitale Kommunikation > > http://www.state-of-mind.de > > Franziskanerstraße 15      Telefon +49 89 3090 4664 > 81669 München              Telefax +49 89 3090 4666 > > Amtsgericht München        Partnerschaftsregister PR 563 > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From Tanja.Neskovic at gmx.de Thu Aug 5 16:18:48 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Thu, 05 Aug 2010 16:18:48 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mehrere_Eintr=E4ge_in_=22relay?= =?iso-8859-1?q?host=22?= Message-ID: <20100805141848.157640@gmx.net> Hallo, zu meinem Postfix-Server, der smtp.strato.de als Relayserver nutzt, hätte ich da noch eine Frage. Die Person, die den Server betreibt, hat bei Strato eine Domain, deswegen sollte Strato auf der Hauptrelay-Server sein. Jetzt hat sie jedoch auch noch eine alte T-Online-Mailadresse. Läßt sich in dem Parameter relayhost = smtp.strato.de, smtpmail.t-online.de zusätzlich setzen und analog in smth_auth ein T-Online-Account? So dass, Mails mit der Adresse benutzer at t-online.de im Sender über smtpmail.t-online.de versendet werden und alles Andere über smtp.strato.de. Ist das prinzipiell möglich? Viele Grüße Tanja -- GRATIS für alle GMX-Mitglieder: Die maxdome Movie-FLAT! Jetzt freischalten unter http://portal.gmx.net/de/go/maxdome01 From werner at aloah-from-hell.de Thu Aug 5 16:25:04 2010 From: werner at aloah-from-hell.de (Werner) Date: Thu, 05 Aug 2010 16:25:04 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mehrere_Eintr=E4ge_in_=22relay?= =?iso-8859-1?q?host=22?= In-Reply-To: <20100805141848.157640@gmx.net> References: <20100805141848.157640@gmx.net> Message-ID: <4C5AC9C0.8000802@aloah-from-hell.de> Am 05.08.10 16:18, schrieb Tanja Neskovic: > Hallo, > > zu meinem Postfix-Server, der smtp.strato.de als Relayserver nutzt, hätte ich da noch eine Frage. > > Die Person, die den Server betreibt, hat bei Strato eine Domain, deswegen sollte Strato auf der Hauptrelay-Server sein. Jetzt hat sie jedoch auch noch eine alte T-Online-Mailadresse. > > Läßt sich in dem Parameter relayhost = smtp.strato.de, smtpmail.t-online.de zusätzlich setzen und analog in smth_auth ein T-Online-Account? So dass, Mails mit der Adresse benutzer at t-online.de im Sender über smtpmail.t-online.de versendet werden und alles Andere über smtp.strato.de. > > Ist das prinzipiell möglich? > > Viele Grüße > > Tanja > > Abhängig vom Absender kannst du einen Relayhost benutzen: /etc/postfix/main.cf: sender_dependent_relayhost_maps = hash:/etc/postfix/sender_relayhost smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/smtp_relayhost_auth smtp_sasl_security_options = noanonymous smtp_sender_dependent_authentication = yes /etc/postfix/sender_relayhost user1 at domain1.de [mail.domain1.de] user2 at domain2.de [mail.domain2.de] /etc/postfix/smtp_relayhost_auth: user1 at domain1.de user1 at domain1.de:password1 user2 at domain2.de user2 at domain2.de:password2 Ciao, Werner Detter From lists at dguhl.org Thu Aug 5 16:31:59 2010 From: lists at dguhl.org (Dennis Guhl) Date: Thu, 5 Aug 2010 14:31:59 +0000 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mehrere_Eintr=E4ge_in_=22relay?= =?iso-8859-1?q?host=22?= In-Reply-To: <20100805141848.157640@gmx.net> References: <20100805141848.157640@gmx.net> Message-ID: <20100805143159.GX31658@mail.leere.eu> On Thu, Aug 05, 2010 at 04:18:48PM +0200, Tanja Neskovic wrote: > Hallo, > > zu meinem Postfix-Server, der smtp.strato.de als Relayserver nutzt, hätte ich da noch eine Frage. > > Die Person, die den Server betreibt, hat bei Strato eine Domain, deswegen sollte Strato auf der Hauptrelay-Server sein. Jetzt hat sie jedoch auch noch eine alte T-Online-Mailadresse. > > Läßt sich in dem Parameter relayhost = smtp.strato.de, smtpmail.t-online.de zusätzlich setzen und analog in smth_auth ein T-Online-Account? So dass, Mails mit der Adresse benutzer at t-online.de im Sender über smtpmail.t-online.de versendet werden und alles Andere über smtp.strato.de. > > Ist das prinzipiell möglich? Ja, siehe hier: http://www.postfix.org/postconf.5.html#sender_dependent_relayhost_maps > Viele Grüße > > Tanja Dennis From Tanja.Neskovic at gmx.de Thu Aug 5 16:33:19 2010 From: Tanja.Neskovic at gmx.de (Tanja Neskovic) Date: Thu, 05 Aug 2010 16:33:19 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mehrere_Eintr=E4ge_in_=22relay?= =?iso-8859-1?q?host=22?= In-Reply-To: <4C5AC9C0.8000802@aloah-from-hell.de> References: <20100805141848.157640@gmx.net> <4C5AC9C0.8000802@aloah-from-hell.de> Message-ID: <20100805143319.162370@gmx.net> Vielen Dank für die Antwort! > > Abhängig vom Absender kannst du einen Relayhost benutzen: > > /etc/postfix/main.cf: > sender_dependent_relayhost_maps = hash:/etc/postfix/sender_relayhost > smtp_sasl_auth_enable = yes > smtp_sasl_password_maps = hash:/etc/postfix/smtp_relayhost_auth > smtp_sasl_security_options = noanonymous > smtp_sender_dependent_authentication = yes > > /etc/postfix/sender_relayhost > user1 at domain1.de [mail.domain1.de] > user2 at domain2.de [mail.domain2.de] > > /etc/postfix/smtp_relayhost_auth: > user1 at domain1.de user1 at domain1.de:password1 > user2 at domain2.de user2 at domain2.de:password2 > > Ciao, > > Werner Detter -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From hajo.locke at gmx.de Thu Aug 5 16:42:37 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Thu, 5 Aug 2010 16:42:37 +0200 Subject: [Postfixbuch-users] amavis - bounce statt reject Message-ID: <1F06AACEE7434E6A9ADD0B0C2DBD688E@nmm.local> Hallo, bin mit meinem amavis-problem weitergekommen, läuft alles. (http://postfix.state-of-mind.de/patrick.koetter/amavisd-new/) Eine Sache hab ich noch nicht ganz verstanden. Ich teste momentan mit eicar-testvirus rum. Für Viren hab ich als Reaktion ein D_REJECT eingestellt. Das was Postfix tut ist aber seinerseits kein reject sondern eine echte Bouncemessage die ich eigentlich nicht will. Kann ich das in einen realen Reject verwandeln? Da wäre es ja fast besser ich würde annehmen und in Quarantäne verschwinden lassen, aber ich befürchte dies lockt auch Spammer an wenn festgestellt wird das ich das Zeug annehme. Wie sollte man verfahren? Danke, Hajo From sven_vogler at landkreismol.de Thu Aug 5 16:51:06 2010 From: sven_vogler at landkreismol.de (Sven Vogler) Date: Thu, 05 Aug 2010 16:51:06 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <000601cb348f$57330440$0565a8c0@uwe> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> <000601cb348f$57330440$0565a8c0@uwe> Message-ID: <4C5ACFDA.10900@landkreismol.de> Am 05.08.2010 13:14, schrieb Uwe Driessen: > > > On Behalf Of Sven Vogler >>> Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen >>> (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet, >>> da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt >>> (von Real-time-Filterung kann auch keine Rede sein)). Dazu möchte ich >>> einige gewohnte "Features" abbilden, die wir an diesem System nutzen. >>> Mein Problem begann bei der Einbindung der Header- und Bodychecks.... Da >>> generierte Amavis dann Backscatter, die nicht gewollt sind. Jetzt habe >>> ich in der amavis.conf noch "rumgespielt" und es werden keine >>> Backscatter versandt, aber es sieht nicht wirklich schön im Logfile aus >>> .... (Ach so, das ganz läuft z.Z. nat. in einer Testumgebung) >>> Ich bin sicher, dass das besser geht, habe aber dazu in Netz nichts >>> gefunden. Über Tipps und Hinweise zur Konfiguration oder Links zum >>> Nachlesen würde ich mich freuen, vielen Dank im voraus. > > Wenn angenommen dann geht nur noch der Bounce. Man sollte sich auch tunlichst von > /dev/null bei ungewünschter Mail fernhalten (kann den Tatbestand der Unterdrückung von > Nachrichten oder so ähnlich erfüllen). Einzige Ausnahme Viren usw. Hallo Uwe, ja, daß ist mir klar. Und daher sorge ich mich auch und habe eigentlich gedacht, durch die Nutzung des smtpd_proxy_filters könnte ich die ganze Problematik geschickt umgehen. > > Also vorher soweit den Absender prüfen das ein Bounce auch den Richtigen erreicht. > > Wie wäre es denn mit Prequeue Filterung? Filtern bevor 250 an den Gegenüber rausgeht und > sofortige Ablehnung innerhalb der Verbindung? Das hat Peer mit Sicherheit auch in seinem > Buch beschrieben. > > Und zu welchem Zweck den ganzen mist erst annehmen wenn ich vorhersagen kann das ich > diesen eh nicht möchte. > Im Logfile steht einfach alles wichtige drin wann wer was gemacht hat. Wofür wird denn ein > "schönes" Logfile benötigt? Ich meinte, genau wäre der smtp_proxy_filter da - oder? > > Über syslog-ng kannst du auch bestimmte logs in andere Files loggen lassen. Dann wird das > Mail.log evtl. übersichtlicher aber bei Probs schwerer rauszufinden was alles gelaufen > ist. > >>> smtpd_recipient_restrictions = >>> check_client_access cidr:/etc/postfix/access-client, >>> check_sender_access hash:/etc/postfix/access-sender, >>> check_recipient_access hash:/etc/postfix/access-recipient, >>> reject_unverified_recipient, >>> reject_unknown_sender_domain, >>> reject_unknown_recipient_domain, >>> permit_mynetworks, >>> check_policy_service inet:127.0.0.1:12525, # policyd-weight >>> check_policy_service inet:127.0.0.1:10023, # postgrey >>> reject_unauth_destination, >>> permit > > Relativ wenig Prüfungen wer da versucht an wen zu senden. > Das letzte permit kann man sparen denn wer die letzte Prüfung überstanden hat wird auch > angenommen. Ok, permit geht raus (Das war mir auch klar, aber ich meinte es sollte "der Ordnung halber" drin sein :-)). Ich werde auch die Reihenfolge (erst postgrey, dann policy-weight) umdrehen, um weniger Anfragen an die BL (z.B. spamhaus) zu stellen). > Wie sieht die Master.cf aus? so: smtp inet n - n - - smtpd -o smtpd_proxy_filter=localhost:10024 -o content_filter= localhost:10025 inet n - n - 60 smtpd -o content_filter -o smtpd_proxy_filter= pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - n - - smtp relay unix - - n - - smtp -o fallback_relay= showq unix n - n - - showq error unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient procmail unix - n n - - pipe flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient} retry unix - - n - - error proxywrite unix - - n - 1 proxymap > > Mit freundlichen Grüßen > > Drießen > -- Mit freundlichen Grüssen Sven Vogler From kai_postfix at fuerstenberg.ws Thu Aug 5 16:57:36 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 05 Aug 2010 16:57:36 +0200 Subject: [Postfixbuch-users] amavis - bounce statt reject In-Reply-To: <1F06AACEE7434E6A9ADD0B0C2DBD688E@nmm.local> References: <1F06AACEE7434E6A9ADD0B0C2DBD688E@nmm.local> Message-ID: <4C5AD160.1090909@fuerstenberg.ws> Hallo Hajo, Hajo Locke schrieb am 05.08.2010 16:42: > bin mit meinem amavis-problem weitergekommen, läuft alles. > (http://postfix.state-of-mind.de/patrick.koetter/amavisd-new/) > Eine Sache hab ich noch nicht ganz verstanden. Ich teste momentan mit > eicar-testvirus rum. > Für Viren hab ich als Reaktion ein D_REJECT eingestellt. Das was Postfix > tut ist aber seinerseits kein reject sondern eine echte Bouncemessage die > ich eigentlich nicht will. > Kann ich das in einen realen Reject verwandeln? Da wäre es ja fast besser > ich würde annehmen und in Quarantäne verschwinden lassen, aber ich befürchte > dies lockt auch Spammer an wenn festgestellt wird das ich das Zeug annehme. > Wie sollte man verfahren? wenn du, wie bei Patrick auf der Seite, "content_filter" verwendest, ist das auch logisch, da die Mail erst angenommen und dann erst gescannt wird. Wenn die Mail dann angeleht wird, muss dein Postfix natürlich einen Bounce generieren, das ist richtig und auch so vorgesehen, aber eben nicht immer erwünscht. Du musst den Amavis als Proxy ansprechen (smtpd_proxy_filter), dann funktioniert das auch mit dem D_REJECT. Falls du aber schon smtpd_proxy_filter verwendest, brauchen wir deine Config, also postconf -n und master.cf ohne Kommentare. -- Gruß Kai PM an kai at fuerstenberg punkt ws From sven_vogler at landkreismol.de Thu Aug 5 16:43:46 2010 From: sven_vogler at landkreismol.de (Sven Vogler) Date: Thu, 05 Aug 2010 16:43:46 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <20100805103856.GR9766@charite.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> <20100805103856.GR9766@charite.de> Message-ID: <4C5ACE22.2010207@landkreismol.de> Am 05.08.2010 12:38, schrieb Ralf Hildebrandt: > * Sven Vogler : >> Am 03.08.2010 12:04, schrieb Sven Vogler: >> >> (Ausnahmsweise mal TOFU) >> Was nun? War meine Anfrage zu uninteressant? Falsche Liste? Zu >> un/höflich? Oder gibts dafür wirklich keine bessere Lösung? > > Also soweit ivh weiss können neuere Versionen von amavis BESSER mit so > einem reject durch *_checks umgehen. Peer hatte da einen Bugreport bei > amavisd-new eingekippt deswegen. > Hallo Ralf, es scheint in der Tat kein ganz so brandneues amavis zu sein. Ich habe das System zwar mit einer relativ aktuellen opensuse 11.2 (und allen Patches) am laufen, aber rpm -qi gibt mir eine 2.6.2-3.4 als Versionsnummer raus und die Website zeigt: amavisd-new-2.6.4.tar.gz (also known as amavisd-new-20090625) (md5 sum) amavisd-new-2.6.3.tar.gz (also known as amavisd-new-20090422) (md5 sum) amavisd-new-2.6.2.tar.gz (also known as amavisd-new-20081215) (md5 sum) Das Teil ist also aus dem Dezember 2008. Da werde ich mir mal Gedanken machen, wie ich das aktueller kriege. Ich würde ja eine RPM-Variante bevorzugen, aber woher nehmen. Na mal morgen schauen, was das Internet sonst noch bietet oder ob ich die Quellen nutzen kann. Vielen Dank für den Tip. -- Mit freundlichen Grüssen Sven Vogler ---------------------------------------------------------------- Landkreis Märkisch-Oderland Systemadministration Puschkinplatz 12 sven_vogler at landkreismol.de 15306 Seelow fon: 03346 850 509 Fachdienst TUIV fax: 03346 546 From Ralf.Hildebrandt at charite.de Thu Aug 5 17:06:16 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 5 Aug 2010 17:06:16 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C5ACE22.2010207@landkreismol.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> <20100805103856.GR9766@charite.de> <4C5ACE22.2010207@landkreismol.de> Message-ID: <20100805150616.GP9766@charite.de> * Sven Vogler : > amavisd-new-2.6.4.tar.gz (also known as amavisd-new-20090625) (md5 sum) > amavisd-new-2.6.3.tar.gz (also known as amavisd-new-20090422) (md5 sum) > amavisd-new-2.6.2.tar.gz (also known as amavisd-new-20081215) (md5 sum) > > Das Teil ist also aus dem Dezember 2008. Da werde ich mir mal Gedanken > machen, wie ich das aktueller kriege. Ich würde ja eine RPM-Variante > bevorzugen, aber woher nehmen. Na mal morgen schauen, was das Internet > sonst noch bietet oder ob ich die Quellen nutzen kann. Ist ja nur ein Perl script -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Thu Aug 5 17:13:53 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 5 Aug 2010 17:13:53 +0200 Subject: [Postfixbuch-users] amavis - bounce statt reject In-Reply-To: <1F06AACEE7434E6A9ADD0B0C2DBD688E@nmm.local> References: <1F06AACEE7434E6A9ADD0B0C2DBD688E@nmm.local> Message-ID: <201008051713.53603.p.heinlein@heinlein-support.de> Am Donnerstag 05 August 2010 16:42:37 schrieb Hajo Locke: Hi, > bin mit meinem amavis-problem weitergekommen, läuft alles. > (http://postfix.state-of-mind.de/patrick.koetter/amavisd-new/) > Eine Sache hab ich noch nicht ganz verstanden. Ich teste momentan mit > eicar-testvirus rum. > Für Viren hab ich als Reaktion ein D_REJECT eingestellt. Das was > Postfix tut ist aber seinerseits kein reject sondern eine echte > Bouncemessage die ich eigentlich nicht will. Richtig, aus diesem Grunde beschreibe ich die Einbindung im Buch ja auch ganz anders und teile den Weg dieses Howtos nicht. > Kann ich das in einen realen Reject verwandeln? Da wäre es ja fast Nicht mit content_filter. Dann müßtest Du wie im Buch gezeigt smtpd_proxy_filter verwenden, wobei man das leider in diesem Fall auch nicht einfach so tauschen kann, weil Patrick da eine Menge auf den content_filter abgestimmt hat, was beim proxy-Filter dann genau falsch wäre. > besser ich würde annehmen und in Quarantäne verschwinden lassen, > aber ich befürchte dies lockt auch Spammer an wenn festgestellt wird > das ich das Zeug annehme. Wie sollte man verfahren? Naja, was soll ich dazu anderes sagen als: Den Weg aus dem Buch nehmen? Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From christian at bricart.de Thu Aug 5 21:29:04 2010 From: christian at bricart.de (Christian Bricart) Date: Thu, 05 Aug 2010 21:29:04 +0200 Subject: [Postfixbuch-users] Relay-Server benutzen (OT) In-Reply-To: <4C5AA0BA.4050204@jkart.de> References: <4C59962D.5020209@uni-x.org> <4C599FCA.7020005@uni-x.org> <4C59BD91.1090008@uni-x.org> <2459.217.244.14.211.1280997459.squirrel@nimrod.dscd.de> <2479.217.244.14.211.1281004927.squirrel@nimrod.dscd.de> <20100805112003.GD1772@state-of-mind.de> <4C5AA0BA.4050204@jkart.de> Message-ID: <4C5B1100.3020405@bricart.de> Am 05.08.2010 13:30, schrieb Jim Knuth: > schrieb Patrick Ben Koetter: > >> >> Dafür gibt es auch tools. Die Lesen die certs aus und sagen Dir wann >> Du sie >> aktualisieren musst. > > echt? Wo denn, wie denn? Hast nen Link bitte? Also ich bekomme von Thawte und/oder Verisign immer ne Mail, dass eins meiner Zertifikate in Monatsfrist abläuft ;-) SCNR Christian P.S. Sowas ist aber auch mit openssl und ein wenig skrpting schnell selber gemacht: $> echo $((($(date -d "$(openssl x509 -enddate -noout < /pfad/zum/cert.crt | cut -d '=' -f 2)" +%s)-$(date +%s)))) da haste deine noch verbleibenden Sekunden, die das Cert gültig ist.. From w.flamme at web.de Sat Aug 7 10:57:18 2010 From: w.flamme at web.de (Werner Flamme) Date: Sat, 07 Aug 2010 10:57:18 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C5ACE22.2010207@landkreismol.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> <20100805103856.GR9766@charite.de> <4C5ACE22.2010207@landkreismol.de> Message-ID: <4C5D1FEE.9030506@web.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 05.08.2010 16:43, schrieb Sven Vogler: > Am 05.08.2010 12:38, schrieb Ralf Hildebrandt: >> * Sven Vogler : >>> Am 03.08.2010 12:04, schrieb Sven Vogler: >>> >>> (Ausnahmsweise mal TOFU) >>> Was nun? War meine Anfrage zu uninteressant? Falsche Liste? Zu >>> un/höflich? Oder gibts dafür wirklich keine bessere Lösung? >> >> Also soweit ivh weiss können neuere Versionen von amavis BESSER mit so >> einem reject durch *_checks umgehen. Peer hatte da einen Bugreport bei >> amavisd-new eingekippt deswegen. >> > Hallo Ralf, > > es scheint in der Tat kein ganz so brandneues amavis zu sein. Ich habe > das System zwar mit einer relativ aktuellen opensuse 11.2 (und allen > Patches) am laufen, aber rpm -qi gibt mir eine 2.6.2-3.4 als > Versionsnummer raus und die Website zeigt: > > amavisd-new-2.6.4.tar.gz (also known as amavisd-new-20090625) (md5 sum) > amavisd-new-2.6.3.tar.gz (also known as amavisd-new-20090422) (md5 sum) > amavisd-new-2.6.2.tar.gz (also known as amavisd-new-20081215) (md5 sum) > > Das Teil ist also aus dem Dezember 2008. Da werde ich mir mal Gedanken > machen, wie ich das aktueller kriege. Ich würde ja eine RPM-Variante > bevorzugen, aber woher nehmen. Na mal morgen schauen, was das Internet > sonst noch bietet oder ob ich die Quellen nutzen kann. > > Vielen Dank für den Tip. > Etwas neueres gibt es z. B. über :-) HTH Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEbBAEBAgAGBQJMXR/sAAoJEOfJ7bNoiiCN8g4H+Jakam8pV/A+58MWgD5c5ebm kuoPQ6rT3mMDHLaV9SslW3QmQwNKrYz4Uxqdcx65O7vL3s78fT4/gtqkjiYySmcm /bndNgCdYZEmYk5KlQYnXOJjcEtz2T4I+NiWfMvYDfXDLOi5j9Fa6L1qC1xZFg9Z qzsgbyy0ExZcwJlTRoEgYCpoa7P4ytHvdvu854EjHz55VRpD1yM5AHLXlSpB4ctZ kx6dMMwlX47Dsyj4UnxY16YRLCPK75FluVuI9pEC+l3fYoTQeVj7wx6CFtCeTvmn eJCW+Eu6cbikrCXt5aY2dJZoeSamR8KoFRlvs9EZypPjBTl/4lrRXo+bXOT2aw== =DKN2 -----END PGP SIGNATURE----- From pw at wk-serv.de Sat Aug 7 12:08:30 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Sat, 07 Aug 2010 12:08:30 +0200 Subject: [Postfixbuch-users] Unterschiedliche Spam-Tags: X-Spam-Status und X-Amavis-Spam-Status (OT) Message-ID: <4C5D309E.2060709@wk-serv.de> Hallo mal wieder, das Thema ist etwas OT aber vielleicht kann mir trotzdem jemand helfen. Ich habe Postfix mit amavisd-new und Spamassassin im Einsatz. Amavis liest die Policies pro User aus der Datenbank und soweit funktioniert auch alles wunderbar. Allerdings habe ich festgestellt, dass ich manchmal den einen (X-Spam-Status), manchmal den anderen (X-Amavis-Spam-Status) Spam-Tag im Header habe und in ganz seltenen Fällen auch beide zusammen: X-Spam-Flag: NO X-Spam-Score: 1.161 X-Spam-Level: * X-Spam-Status: No, score=1.161 tagged_above=0 required=3 tests=[MIME_QP_LONG_LINE=0.001, RCVD_IN_BL_SPAMCOP_NET=1.246, RCVD_IN_DNSWL_LOW=-0.7, RCVD_IN_SORBS_WEB=0.614] autolearn=ham X-Amavis-Spam-Status: No, score=-4.421 tagged_above=-10000 required=5.3 tests=[BAYES_00=-2, LDO_WHITELIST=-5, RCVD_IN_BL_SPAMCOP_NET=1.96, RCVD_IN_SORBS_WEB=0.619] autolearn=no Eine Policy mit 5.3 Punkten habe ich in der Datenbank nicht angelegt und ich weis nicht wo Amavis das her hat. In der Amaviskonfiguration kann ich nichts finden. Meine 20-debian_defaults kann man sich hier ansehen: http://pastebin.com/FdHYcnRd local.cf: use_bayes 1 bayes_auto_learn 1 bayes_auto_learn_threshold_spam 10.0 bayes_auto_learn_threshold_nonspam 2.0 bayes_min_spam_num 15 bayes_min_ham_num 15 bayes_store_module Mail::SpamAssassin::BayesStore::PgSQL bayes_sql_dsn DBI:Pg:dbname=ksc;host=172.17.0.23 bayes_sql_username mailcluster bayes_sql_password ******** Hat jemand einen Tip für mich? Gruß Patrick From gregor at a-mazing.de Sat Aug 7 12:56:49 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Sat, 7 Aug 2010 12:56:49 +0200 Subject: [Postfixbuch-users] Unterschiedliche Spam-Tags: X-Spam-Status und X-Amavis-Spam-Status (OT) In-Reply-To: <4C5D309E.2060709@wk-serv.de> References: <4C5D309E.2060709@wk-serv.de> Message-ID: <201008071256.49870@office.a-mazing.net> Hallo Patrick, Am Samstag, 7. August 2010 schrieb Patrick Westenberg: > Allerdings habe ich festgestellt, dass ich manchmal den einen > (X-Spam-Status), manchmal den anderen (X-Amavis-Spam-Status) Spam-Tag > im Header habe und in ganz seltenen Fällen auch beide zusammen: > > X-Spam-Status: No, score=1.161 tagged_above=0 required=3 > tests=[MIME_QP_LONG_LINE=0.001, RCVD_IN_BL_SPAMCOP_NET=1.246, > RCVD_IN_DNSWL_LOW=-0.7, RCVD_IN_SORBS_WEB=0.614] autolearn=ham > > X-Amavis-Spam-Status: No, score=-4.421 tagged_above=-10000 required=5.3 > tests=[BAYES_00=-2, LDO_WHITELIST=-5, RCVD_IN_BL_SPAMCOP_NET=1.96, > RCVD_IN_SORBS_WEB=0.619] autolearn=no > > Eine Policy mit 5.3 Punkten habe ich in der Datenbank nicht angelegt und > ich weis nicht wo Amavis das her hat. In der Amaviskonfiguration > kann ich nichts finden. vermutlich ist diese Mail auf dem Weg zu deinem Mailserver bereits einmal von einem Amavis gescanned worden, bei dem der Header-Name geändert wurde? Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From sebastian.heil at rus.uni-stuttgart.de Sat Aug 7 16:52:12 2010 From: sebastian.heil at rus.uni-stuttgart.de (Sebastian Heil) Date: Sat, 07 Aug 2010 16:52:12 +0200 Subject: [Postfixbuch-users] spam@ und ham@ emailadresse In-Reply-To: References: Message-ID: <4C5D731C.4050901@rus.uni-stuttgart.de> Hallo Hans, On 05.08.2010 12:03, spamvoll at googlemail.com wrote: > hat einer ein Skript was er mir schicken würde oder ein Link zu einem > Howto wie man solche Emailadressen baut die dann an den sa-learn > übergeben werden ? es gibt das Skript sa-wrapper.pl von Alexandre Jousset. Hier eine Anleitung: http://gtmp.org/publications/sa-postfix-en Eine Erweiterung vom sa-wrapper wurde von Stefan Jakobs unter dem Namen sal-wrapper veröffentlicht: http://www.localside.net/sal-wrapper/index.html Auch auf der Seite gibt es ein Konfigurationsbeispiel für Postfix. Du musst dazu jeweils die E-Mail als Anhang an diese Skripte senden. Achte auch darauf, dass du die E-Mailadressen nicht außerhalb deines Benutzerbereich freigibst, sonst könnten diese von Spammern befüllt werden. Gruß Sebastian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 262 bytes Beschreibung: OpenPGP digital signature URL : From p.heinlein at heinlein-support.de Sat Aug 7 23:49:46 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 7 Aug 2010 23:49:46 +0200 Subject: [Postfixbuch-users] spam@ und ham@ emailadresse In-Reply-To: References: Message-ID: <201008072349.46680.p.heinlein@heinlein-support.de> Am Donnerstag 05 August 2010 12:03:05 schrieb spamvoll at googlemail.com: Moin > hat einer ein Skript was er mir schicken würde oder ein Link zu einem > Howto wie man solche Emailadressen baut die dann an den sa-learn > übergeben werden ? Amavis lernt diese E-Mails doch sowieso. Und zwar weit besserer und sicherer als das, was Du vorhast. Du brauchst das nicht. Und Spam alleine lernen ist eh nicht gut, insofern willst Du das auch aus diesem Grunde nicht. Vergiß es. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From spamvoll at googlemail.com Sun Aug 8 00:16:01 2010 From: spamvoll at googlemail.com (spamvoll at googlemail.com) Date: Sun, 8 Aug 2010 00:16:01 +0200 Subject: [Postfixbuch-users] spam@ und ham@ emailadresse In-Reply-To: <201008072349.46680.p.heinlein@heinlein-support.de> References: <201008072349.46680.p.heinlein@heinlein-support.de> Message-ID: Hallo Peer.. richtig, amavis / spamassassin lernt.. aber ich hab auf Adressen wie webmaster@ und info@ usw. ne ganze menge spam der nur ne score von 4.x - 5.x bekommt.. und spamassassin greift ja erst ab 6.2 daher dachte ich es ist von vorteil wenn dem spamassassin die so zukommen lasse. also einfach abwarten, sofern er zumindest ne score vergibt wird das mit der zeit besser ? Hans Am 7. August 2010 23:49 schrieb Peer Heinlein : > Am Donnerstag 05 August 2010 12:03:05 schrieb spamvoll at googlemail.com: > > Moin > >> hat einer ein Skript was er mir schicken würde oder ein Link zu einem >> Howto wie man solche Emailadressen baut die dann an den sa-learn >> übergeben werden ? > > Amavis lernt diese E-Mails doch sowieso. Und zwar weit besserer und > sicherer als das, was Du vorhast. Du brauchst das nicht. > > Und Spam alleine lernen ist eh nicht gut, insofern willst Du das auch > aus diesem Grunde nicht. > > Vergiß es. > > > Peer > > -- > > Heinlein Professional Linux Support GmbH > Linux: Akademie - Support - Hosting > > http://www.heinlein-support.de > Tel: 030 / 40 50 51 - 0 > Fax: 030 / 40 50 51 - 19 > > Zwangsangaben lt. §35a GmbHG: > HRB 93818 B / Amtsgericht Berlin-Charlottenburg, > Geschäftsführer: Peer Heinlein  -- Sitz: Berlin > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From traced at xpear.de Sun Aug 8 10:25:19 2010 From: traced at xpear.de (Basti) Date: Sun, 08 Aug 2010 10:25:19 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain Message-ID: <4C5E69EF.3060207@xpear.de> Hallo Jungs, habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists per Empfängerdomain umsetzen könnte? Danke & viele Grüße Basti From news at amaltea.de Sun Aug 8 11:26:31 2010 From: news at amaltea.de (PV) Date: Sun, 08 Aug 2010 11:26:31 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <4C5E69EF.3060207@xpear.de> References: <4C5E69EF.3060207@xpear.de> Message-ID: <4C5E7847.2090401@amaltea.de> Am 08.08.2010 10:25, schrieb Basti: > Hallo Jungs, Antwort von den "Mädels" nicht erwünscht? > habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists per > Empfängerdomain umsetzen könnte? check_recipient_access in smtpd_X_restrictions entsprechend konfigurieren. Viele Grüße Paul From traced at xpear.de Sun Aug 8 11:27:41 2010 From: traced at xpear.de (Basti) Date: Sun, 08 Aug 2010 11:27:41 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <4C5E7847.2090401@amaltea.de> References: <4C5E69EF.3060207@xpear.de> <4C5E7847.2090401@amaltea.de> Message-ID: <4C5E788D.8030203@xpear.de> Am 08.08.2010 11:26, schrieb PV: > Am 08.08.2010 10:25, schrieb Basti: >> Hallo Jungs, > Antwort von den "Mädels" nicht erwünscht? > >> habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists per >> Empfängerdomain umsetzen könnte? > check_recipient_access in smtpd_X_restrictions entsprechend konfigurieren. > > Viele Grüße > Paul > -- Sorry, wie konnte ich Helga nur vergessen *schäm* :-) Danke für den Tip, werd doch gleich mal das Buch bemühen! viele Grüße Basti From p.heinlein at heinlein-support.de Sun Aug 8 22:24:38 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 8 Aug 2010 22:24:38 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <4C5E69EF.3060207@xpear.de> References: <4C5E69EF.3060207@xpear.de> Message-ID: <201008082224.38730.p.heinlein@heinlein-support.de> Am Sonntag, 8. August 2010 10:25:19 schrieb Basti: Moin, > habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists > per Empfängerdomain umsetzen könnte? Wenn es per Empfängerdomain unterschiedlich sein soll, dann gibt es drei Möglichkeiten: a) restriction_classes (skaliert schlecht) b) Amavis (finde ich klasse) c) Einen passenden Policyd-Dämon (nutze ich nicht, denn ich habe ja Amavis) Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Sun Aug 8 22:28:58 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 8 Aug 2010 22:28:58 +0200 Subject: [Postfixbuch-users] spam@ und ham@ emailadresse In-Reply-To: References: <201008072349.46680.p.heinlein@heinlein-support.de> Message-ID: <201008082228.58262.p.heinlein@heinlein-support.de> Am Sonntag, 8. August 2010 00:16:01 schrieb spamvoll at googlemail.com: Moin > aber ich hab auf Adressen wie webmaster@ und info@ usw. ne ganze > menge spam der nur ne score von 4.x - 5.x bekommt.. Tja, vermutlich auch aus guten Gründen. > und spamassassin greift ja erst ab 6.2 Nein, autolearn greift ab 10 Punkten -- und dann auch erst, wenn mindestens drei Punkte aus dem Content und mindestens drei aus der Technik kommen. Und das ist auch gut so. > daher dachte ich es ist von vorteil wenn dem spamassassin die so > zukommen lasse. also einfach abwarten, sofern er zumindest ne score > vergibt wird das mit der zeit besser ? Ich prohpezeie: Du wirst es Dir kaputttrainieren und die false positives Rate erhöhen. Kurzfassung: Du wirst Dir content antrainieren, der echten E-Mails zu ähnlich ist und damit steigt Deine false positives-Rate. Du wirst Masse statt Klasse lernen. Für eine ausführliche Begründung habe ich gerade ehrlich gesagt keine Zeit / keinen Nerv, aber das wurde hier auch schon x-mal ausdiskutiert auf der Liste. Ich halte von dem ganzen Trainings-Gehype nichts sondern halte es für absolut kontraproduktiv. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From sven_vogler at landkreismol.de Mon Aug 9 13:25:20 2010 From: sven_vogler at landkreismol.de (Sven Vogler) Date: Mon, 09 Aug 2010 13:25:20 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C5D1FEE.9030506@web.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> <20100805103856.GR9766@charite.de> <4C5ACE22.2010207@landkreismol.de> <4C5D1FEE.9030506@web.de> Message-ID: <4C5FE5A0.30303@landkreismol.de> Am 07.08.2010 10:57, schrieb Werner Flamme: >>> Also soweit ivh weiss können neuere Versionen von amavis BESSER mit so >>> einem reject durch *_checks umgehen. Peer hatte da einen Bugreport bei >>> amavisd-new eingekippt deswegen. >>> >> es scheint in der Tat kein ganz so brandneues amavis zu sein. Ich habe >> das System zwar mit einer relativ aktuellen opensuse 11.2 (und allen >> Patches) am laufen, aber rpm -qi gibt mir eine 2.6.2-3.4 als >> Versionsnummer raus und die Website zeigt: >> >> amavisd-new-2.6.4.tar.gz (also known as amavisd-new-20090625) (md5 sum) >> amavisd-new-2.6.3.tar.gz (also known as amavisd-new-20090422) (md5 sum) >> amavisd-new-2.6.2.tar.gz (also known as amavisd-new-20081215) (md5 sum) >> >> Das Teil ist also aus dem Dezember 2008. Da werde ich mir mal Gedanken >> machen, wie ich das aktueller kriege. Ich würde ja eine RPM-Variante >> bevorzugen, aber woher nehmen. Na mal morgen schauen, was das Internet >> sonst noch bietet oder ob ich die Quellen nutzen kann. >> > Etwas neueres gibt es z. B. über > :-) > Hallo Werner, das ist ja super! Das Perl-script läuft jetzt zwar auch, aber ich würde für die Administration wirklich lieber bei rpm-Paketen bleiben. Also vielen Dank für diesen Link! Offen bleibt die Frage, warum ich das nicht selbst gefunden habe. Bist Du durch <$Lieblingssuchmaschine> auf diese Perle gestoßen und ich habe nicht gut genug gesucht oder hast Du andere Quellen gehabt? (Ich frage nur, damit ich demnächst nicht wieder _so_ einfache Fragen stellen muß.) -- Mit freundlichen Grüssen Sven Vogler From spamvoll at googlemail.com Mon Aug 9 15:14:03 2010 From: spamvoll at googlemail.com (spamvoll at googlemail.com) Date: Mon, 9 Aug 2010 15:14:03 +0200 Subject: [Postfixbuch-users] spam@ und ham@ emailadresse In-Reply-To: <201008082228.58262.p.heinlein@heinlein-support.de> References: <201008072349.46680.p.heinlein@heinlein-support.de> <201008082228.58262.p.heinlein@heinlein-support.de> Message-ID: ok danke.. ich vertrau da mal auf deine Erfahrung :) Am 8. August 2010 22:28 schrieb Peer Heinlein : > Am Sonntag, 8. August 2010 00:16:01 schrieb spamvoll at googlemail.com: > > Moin > >> aber ich hab auf Adressen wie webmaster@ und info@ usw. ne ganze >>  menge spam der nur ne score von 4.x - 5.x bekommt.. > > Tja, vermutlich auch aus guten Gründen. > >> und spamassassin greift ja erst ab 6.2 > > Nein, autolearn greift ab 10 Punkten -- und dann auch erst, wenn > mindestens drei Punkte aus dem Content und mindestens drei aus der > Technik kommen. Und das ist auch gut so. > >> daher dachte ich es ist von vorteil wenn dem spamassassin die so >>  zukommen lasse. also einfach abwarten, sofern er zumindest ne score >>  vergibt wird das mit der zeit besser ? > > Ich prohpezeie: Du wirst es Dir kaputttrainieren und die false positives > Rate erhöhen. > > Kurzfassung: Du wirst Dir content antrainieren, der echten E-Mails zu > ähnlich ist und damit steigt Deine false positives-Rate. Du wirst Masse > statt Klasse lernen. > > Für eine ausführliche Begründung habe ich gerade ehrlich gesagt keine > Zeit / keinen Nerv, aber das wurde hier auch schon x-mal ausdiskutiert > auf der Liste. Ich halte von dem ganzen Trainings-Gehype nichts sondern > halte es für absolut kontraproduktiv. > > Peer > > > > -- > Heinlein Professional Linux Support GmbH > Linux: Akademie - Support - Hosting > > http://www.heinlein-support.de > Tel: 030 / 40 50 51 - 0 > Fax: 030 / 40 50 51 - 19 > > Zwangsangaben lt. §35a GmbHG: > HRB 93818 B / Amtsgericht Berlin-Charlottenburg, > Geschäftsführer: Peer Heinlein  -- Sitz: Berlin > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From w.flamme at web.de Mon Aug 9 20:33:15 2010 From: w.flamme at web.de (Werner Flamme) Date: Mon, 09 Aug 2010 20:33:15 +0200 Subject: [Postfixbuch-users] Mailgateway und Backscatter In-Reply-To: <4C5FE5A0.30303@landkreismol.de> References: <4C57E9AD.8080108@landkreismol.de> <4C5A8CAD.5000109@landkreismol.de> <20100805103856.GR9766@charite.de> <4C5ACE22.2010207@landkreismol.de> <4C5D1FEE.9030506@web.de> <4C5FE5A0.30303@landkreismol.de> Message-ID: <4C6049EB.9050100@web.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 09.08.2010 13:25, schrieb Sven Vogler: > Am 07.08.2010 10:57, schrieb Werner Flamme: >>> >> Etwas neueres gibt es z. B. über >> :-) >> > Hallo Werner, > > das ist ja super! > Das Perl-script läuft jetzt zwar auch, aber ich würde für die > Administration wirklich lieber bei rpm-Paketen bleiben. Also vielen Dank > für diesen Link! > Offen bleibt die Frage, warum ich das nicht selbst gefunden habe. Bist > Du durch <$Lieblingssuchmaschine> auf diese Perle gestoßen und ich habe > nicht gut genug gesucht oder hast Du andere Quellen gehabt? (Ich frage > nur, damit ich demnächst nicht wieder _so_ einfache Fragen stellen muß.) Ich habe - damals noch unter openSUSE 11.2 - mit "webpin postfix" nach den verschiedenen Versionen gesucht. In home:pheinlein war die aktuellste... Und ich dachte "Wahrlich, den Namen kennst Du, das muss gut sein!" und so geschah es und ich band das Repo ein :-) (in openSUSE 11.3 ist webpin leider kaputt). Gruß Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.15 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJMYEnqAAoJEOfJ7bNoiiCNsa8IAJsFKi4n3tpk3iUxJdIhykdJ 70FprBAAhZXuwiDso75v6bwu9vPR1YTtO0s4ti134tztPzNNPNIhZugJlbXEig3T 1cquZN2azbpfAXiaXLDPzAg/T8ESu7vSShBgu2MmvyEmFELWIZylHu1vO/5P8JX7 vQhT470K7j2PslJg/buETI36h3o8z49LMuhRJZe0xW7EOooT/iWJzDmHv7OzBCwO ELLdgkSZ6a8Wokp7zh2dbDFGqjhEg6Pd3rXdVFXOTwDxulS7nBe5Hcf2wgOON5Qh 4guQlK+gQAmzDIUhVdqlIZDptEX4SsGqNKq7GMs41Zk7Cmmj6LvyVp9RPJFwSms= =iBwc -----END PGP SIGNATURE----- From traced at xpear.de Mon Aug 9 21:47:50 2010 From: traced at xpear.de (Basti) Date: Mon, 09 Aug 2010 21:47:50 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <201008082224.38730.p.heinlein@heinlein-support.de> References: <4C5E69EF.3060207@xpear.de> <201008082224.38730.p.heinlein@heinlein-support.de> Message-ID: <4C605B66.3010403@xpear.de> Am 08.08.2010 22:24, schrieb Peer Heinlein: > Am Sonntag, 8. August 2010 10:25:19 schrieb Basti: > > Moin, > >> habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists >> per Empfängerdomain umsetzen könnte? > > Wenn es per Empfängerdomain unterschiedlich sein soll, dann gibt es drei > Möglichkeiten: > > a) restriction_classes (skaliert schlecht) > b) Amavis (finde ich klasse) > c) Einen passenden Policyd-Dämon (nutze ich nicht, denn ich habe ja > Amavis) > > Peer > > Hallo Peer, vielen Dank für die Mail. Ich denke es wird bei mir leider auf restriction_classes rauslaufen, da das Ganze schon vor Amavis passieren muss. Amavis läuft auch auf den Kisten (pre-queue und so *g). Es geht mir hier z.B. drum, dass manche Empfänger Mails von Mailservern kriegen, die einfach z.B. einen vermatschten ehlo/helo schicken, oder sonstwie vermurkst nicht an policyd-weight vorbeikommen. Wenn ich hier eine Domain whiteliste, möchte ich natürlich nicht dass das für alle Empfängerdomains gilt. Auch hatte ich immer das Problem, wenn ich die Whitelist relativ weit oben (wie in Deinem Buch beschrieben) setze, dass dann am Ende z.B. Adress-Verify nicht mehr greift, sondern einfach alle Mails durchgehen, und im dümmsten Fall bouncen. Sieht mmt. so aus: smtpd_recipient_restrictions = # Eigene Nutzer/Server erlauben permit_sasl_authenticated, permit_mynetworks, # Relaying verbieten wenn nicht für Domain zuständig reject_unauth_destination, # Postmaster, abuse und andere Role-Accounts whitelisten check_recipient_access hash:/etc/postfix/access_recipient-rfc, # White- und Blacklisting check_client_access hash:/etc/postfix/access_client, check_client_access cidr:/etc/postfix/access_3cats, check_helo_access hash:/etc/postfix/access_helo, check_sender_access hash:/etc/postfix/access_sender, check_recipient_access hash:/etc/postfix/access_recipient, # Keine unsauberen Mails annehmen reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_unlisted_recipient, reject_invalid_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, # policyd-weight check_policy_service inet:127.0.0.1:12525, # prüfung ob absender dynamisch aussieht, selektives greylisting check_client_access regexp:/etc/postfix/check_client_fqdn, # dynamische Prüfung ob Empfängeradresse existent reject_unverified_recipient, # der Rest darf durch ;) permit Grüsse, Basti From driessen at fblan.de Tue Aug 10 07:16:10 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 10 Aug 2010 07:16:10 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <4C605B66.3010403@xpear.de> References: <4C5E69EF.3060207@xpear.de><201008082224.38730.p.heinlein@heinlein-support.de> <4C605B66.3010403@xpear.de> Message-ID: <001c01cb384b$25755420$0565a8c0@uwe> On Behalf Of Basti > > > Sieht mmt. so aus: > > smtpd_recipient_restrictions = > # Eigene Nutzer/Server erlauben Auch die eigenen User sollten keine Mails an ungültige Empänger oder Domains senden dürfen > # Keine unsauberen Mails annehmen > reject_non_fqdn_sender, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > reject_unlisted_recipient, ------------------- unten dann natürlich raus > permit_sasl_authenticated, > permit_mynetworks, > # Relaying verbieten wenn nicht für Domain zuständig > reject_unauth_destination, > # Postmaster, abuse und andere Role-Accounts whitelisten > check_recipient_access hash:/etc/postfix/access_recipient-rfc, > # White- und Blacklisting > check_client_access hash:/etc/postfix/access_client, > check_client_access cidr:/etc/postfix/access_3cats, > check_helo_access hash:/etc/postfix/access_helo, > check_sender_access hash:/etc/postfix/access_sender, > check_recipient_access hash:/etc/postfix/access_recipient, ---------------- > # Keine unsauberen Mails annehmen > reject_non_fqdn_sender, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > reject_unauth_pipelining, > reject_unlisted_recipient, > reject_invalid_hostname, > reject_invalid_helo_hostname, > reject_non_fqdn_helo_hostname, -------------- > # policyd-weight > check_policy_service inet:127.0.0.1:12525, > # prüfung ob absender dynamisch aussieht, selektives greylisting > check_client_access regexp:/etc/postfix/check_client_fqdn, > # dynamische Prüfung ob Empfängeradresse existent > reject_unverified_recipient, > # der Rest darf durch ;) > permit > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From traced at xpear.de Tue Aug 10 12:49:28 2010 From: traced at xpear.de (Bastian) Date: Tue, 10 Aug 2010 12:49:28 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <001c01cb384b$25755420$0565a8c0@uwe> References: <4C5E69EF.3060207@xpear.de><201008082224.38730.p.heinlein@heinlein-support.de> <4C605B66.3010403@xpear.de> <001c01cb384b$25755420$0565a8c0@uwe> Message-ID: <234df8fb1453595b8a3785467547701f@localhost> On Tue, 10 Aug 2010 07:16:10 +0200, "Uwe Driessen" wrote: > > Auch die eigenen User sollten keine Mails an ungültige Empänger oder > Domains senden dürfen > > > Hi Uwe, danke, das habe ich übersehen... zum Glück gibts auf der Maschine keine von Usern gesendeten ausgehenden Mails, das sind nur eingehende Mailrelays. Grüsse From driessen at fblan.de Tue Aug 10 13:02:13 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 10 Aug 2010 13:02:13 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <234df8fb1453595b8a3785467547701f@localhost> References: <4C5E69EF.3060207@xpear.de><201008082224.38730.p.heinlein@heinlein-support.de><4C605B66.3010403@xpear.de> <001c01cb384b$25755420$0565a8c0@uwe> <234df8fb1453595b8a3785467547701f@localhost> Message-ID: <002601cb387b$7ce8de40$0565a8c0@uwe> On Behalf Of Bastian > > On Tue, 10 Aug 2010 07:16:10 +0200, "Uwe Driessen" > wrote: > > > > > Auch die eigenen User sollten keine Mails an ungültige Empänger oder > > Domains senden dürfen > > > > > > > > Hi Uwe, > danke, das habe ich übersehen... zum Glück gibts auf der Maschine keine > von Usern gesendeten ausgehenden Mails, das sind nur eingehende Mailrelays. > Dann brauchst du sicherlich auch permit_sasl_authenticated nicht. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From UliSattler at gmx.de Tue Aug 10 14:47:56 2010 From: UliSattler at gmx.de (Uli Sattler) Date: Tue, 10 Aug 2010 14:47:56 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29?= Message-ID: <20100810124756.57830@gmx.net> Hallo, eigentlich ist das jetzt kein richtiges Postfix-Thema, da sich aber Spamassassin/AmavisNew in Postfix integrieren lässt, hoffe ich, dass der Eine oder Andere mir den richtigen Tip geben kann: Ich habe ein Postfix mit AmavisNew auf Debian Lenny laufen. Die Mails werden auch aussortiert, das sehe ich an den Einträgen im Qurantäne-Verzeichnis (bei mir /var/lib/virusmails/). Ich würde jetzt gerne die Mails insbesondere mit einem SPAM-Report in allen Mailheadern belegen, auch die die durchgelassen werden. Meine /etc/amavis/conf.d/50-user: use strict; $X_HEADER_TAG = "X-Virus-Scanned"; $X_HEADER_LINE = "$myproduct_name at $mydomain"; $sa_spam_modifies_subj = 1; $sa_spam_subject_tag = '***SPAM***'; $sa_tag_level_deflt = -9999; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 4.0; # add 'spam detected' headers at that level $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $spam_quarantine_method = 'local:Week%P/spam/%m.gz'; $notify_virus_sender_templ = read_text('/etc/amavis/en_US/template-virus-admin.txt'); $notify_virus_admin_templ = read_text('/etc/amavis/en_US/template-virus-recipient.txt'); $notify_virus_recips_templ = read_text('/etc/amavis/en_US/template-virus-sender.txt'); 1; # ensure a defined return mail:/etc/amavis/conf.d# grep -v ^# 50-user use strict; $X_HEADER_TAG = "X-Virus-Scanned"; $X_HEADER_LINE = "$myproduct_name at $mydomain"; $sa_spam_modifies_subj = 1; $sa_spam_subject_tag = '***SPAM***'; $sa_tag_level_deflt = -9999; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 4.0; # add 'spam detected' headers at that level $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $spam_quarantine_method = 'local:Week%P/spam/%m.gz'; $notify_virus_sender_templ = read_text('/etc/amavis/en_US/template-virus-admin.txt'); $notify_virus_admin_templ = read_text('/etc/amavis/en_US/template-virus-recipient.txt'); $notify_virus_recips_templ = read_text('/etc/amavis/en_US/template-virus-sender.txt'); 1; # ensure a defined return Die beiden @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); und @bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); in 15-content_filter_mode sind ebenfalls gesetzt. Wo trage ich ein, dass jede Mail mit einem SPAM-Report, dem Spam-Flag "YES" und der Eintrag im Subjekt mit "***SPAM***" gesetzt wird? Grüße Uli -- GMX DSL SOMMER-SPECIAL: Surf & Phone Flat 16.000 für nur 19,99 ¿/mtl.!* http://portal.gmx.net/de/go/dsl From kai_postfix at fuerstenberg.ws Tue Aug 10 16:05:46 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 10 Aug 2010 16:05:46 +0200 Subject: [Postfixbuch-users] Amavis-Tagging In-Reply-To: <20100810124756.57830@gmx.net> References: <20100810124756.57830@gmx.net> Message-ID: <4C615CBA.6070909@fuerstenberg.ws> Hallo Uli, Uli Sattler schrieb am 10.08.2010 14:47: > eigentlich ist das jetzt kein richtiges Postfix-Thema, da sich aber > Spamassassin/AmavisNew in Postfix integrieren lässt, hoffe ich, dass > der Eine oder Andere mir den richtigen Tip geben kann: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein". Da drin ist Amavis Thema, also ganz und gar nicht OT :-) > Ich habe ein Postfix mit AmavisNew auf Debian Lenny laufen. Die Mails > werden auch aussortiert, das sehe ich an den Einträgen im > Qurantäne-Verzeichnis (bei mir /var/lib/virusmails/). Ich würde jetzt > gerne die Mails insbesondere mit einem SPAM-Report in allen > Mailheadern belegen, auch die die durchgelassen werden. Das hier sind die dazu wichtigen Einträge: > $sa_spam_modifies_subj = 1; .. dass überhaupt das Subject verändert werden darf > $sa_spam_subject_tag = '***SPAM***'; .. was ins Subject reinkommt Damit's was schöner wird, vielleicht noch ein Leerzeichen an den String anhängen, Amavis macht das nämlich nicht von selbst. Ergebnis wäre sonst etwas wie "***SPAM***90% OFF Pfizer" oder so. Da sieht ein "***SPAM*** 90% OFF Pfizer" doch gleich viel schöner aus ;-) > $sa_tag_level_deflt = -9999; # add spam info headers if at, or above that level.. .. ab diesem Spam-Level werden Mail-Header ergänzt. -9999 geht, 'undef' ist vielleicht eleganter. > $sa_tag2_level_deflt = 4.0; # add 'spam detected' headers at that level .. ab hier wird das Subject verändert. > $sa_kill_level_deflt = 6.31; # triggers spam evasive actions .. ab hier wird geblockt, gelöscht, in die Quarantäne verschoben, was auch immer in $final_spam_destiny eingestellt ist. > Wo trage ich ein, dass jede Mail mit einem SPAM-Report, dem Spam-Flag > "YES" und der Eintrag im Subjekt mit "***SPAM***" gesetzt wird? Insofern hast du eigentlich schon alles. Wo ist das Problem? -- Gruß Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From UliSattler at gmx.de Tue Aug 10 16:18:07 2010 From: UliSattler at gmx.de (Uli Sattler) Date: Tue, 10 Aug 2010 16:18:07 +0200 Subject: [Postfixbuch-users] Amavis-Tagging In-Reply-To: <4C615CBA.6070909@fuerstenberg.ws> References: <20100810124756.57830@gmx.net> <4C615CBA.6070909@fuerstenberg.ws> Message-ID: <20100810141807.211730@gmx.net> Hallo Kai, vielen Dank,aber > > Insofern hast du eigentlich schon alles. Wo ist das Problem? > ich hätte gerne in jeder Mail dieses Tagging inklusive Report drinstehen. Also auch bei Mails, die unterhalb "$sa_kill_level_deflt = 6.31" liegen. Ich möchte meinen Mailserver ja auch so einstellen, dass die durchschlüpfenden Spams zeigen, welchen Score sie haben. Bis jetzt sehe ich ihm Header dieser Mails nur "X-Virus-Scanned: amavisd-new at " Grüße Uli -- GRATIS für alle GMX-Mitglieder: Die maxdome Movie-FLAT! Jetzt freischalten unter http://portal.gmx.net/de/go/maxdome01 From UliSattler at gmx.de Tue Aug 10 16:24:52 2010 From: UliSattler at gmx.de (Uli Sattler) Date: Tue, 10 Aug 2010 16:24:52 +0200 Subject: [Postfixbuch-users] Amavis-Tagging In-Reply-To: <4C615CBA.6070909@fuerstenberg.ws> References: <20100810124756.57830@gmx.net> <4C615CBA.6070909@fuerstenberg.ws> Message-ID: <20100810142452.34860@gmx.net> Okay, das Thema "Amavis-Tagging" wäre mit folgenden Eintrag in die 50-user gelöst: "@local_domains_maps = qw( '.example.com' '.example.de' '.example.net');" Vielen Dank für euere Unterstützung Uli -- Neu: GMX De-Mail - Einfach wie E-Mail, sicher wie ein Brief! Jetzt De-Mail-Adresse reservieren: http://portal.gmx.net/de/go/demail From christian at bricart.de Tue Aug 10 16:29:25 2010 From: christian at bricart.de (Christian Bricart) Date: Tue, 10 Aug 2010 16:29:25 +0200 Subject: [Postfixbuch-users] Amavis-Tagging In-Reply-To: <4C615CBA.6070909@fuerstenberg.ws> References: <20100810124756.57830@gmx.net> <4C615CBA.6070909@fuerstenberg.ws> Message-ID: <86f5a8d715d150d0565538538146dfd1.squirrel@aachalon.de> Kai Fürstenberg wrote: > Hallo Uli, > > Uli Sattler schrieb am 10.08.2010 14:47: >> eigentlich ist das jetzt kein richtiges Postfix-Thema, da sich aber >> Spamassassin/AmavisNew in Postfix integrieren lässt, hoffe ich, dass >> der Eine oder Andere mir den richtigen Tip geben kann: > > "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein". Da > drin ist Amavis Thema, also ganz und gar nicht OT :-) > >> Ich habe ein Postfix mit AmavisNew auf Debian Lenny laufen. Die Mails >> werden auch aussortiert, das sehe ich an den Einträgen im >> Qurantäne-Verzeichnis (bei mir /var/lib/virusmails/). Ich würde jetzt >> gerne die Mails insbesondere mit einem SPAM-Report in allen >> Mailheadern belegen, auch die die durchgelassen werden. > > Das hier sind die dazu wichtigen Einträge: > > > $sa_spam_modifies_subj = 1; > .. dass überhaupt das Subject verändert werden darf > >> $sa_spam_subject_tag = '***SPAM***'; > .. was ins Subject reinkommt > Damit's was schöner wird, vielleicht noch ein Leerzeichen an den String > anhängen, Amavis macht das nämlich nicht von selbst. Ergebnis wäre sonst > etwas wie "***SPAM***90% OFF Pfizer" oder so. Da sieht ein "***SPAM*** > 90% OFF Pfizer" doch gleich viel schöner aus ;-) > >> $sa_tag_level_deflt = -9999; # add spam info headers if at, or above >> that level.. .. ab diesem Spam-Level werden Mail-Header ergänzt. > -9999 geht, 'undef' ist vielleicht eleganter. > >> $sa_tag2_level_deflt = 4.0; # add 'spam detected' headers at that level > .. ab hier wird das Subject verändert. > >> $sa_kill_level_deflt = 6.31; # triggers spam evasive actions > .. ab hier wird geblockt, gelöscht, in die Quarantäne verschoben, was > auch immer in $final_spam_destiny eingestellt ist. > >> Wo trage ich ein, dass jede Mail mit einem SPAM-Report, dem Spam-Flag >> "YES" und der Eintrag im Subjekt mit "***SPAM***" gesetzt wird? > > Insofern hast du eigentlich schon alles. Wo ist das Problem? ich glaube, sein Problem liegt noch daran, dass er: @local_domains_acl = ( .... ); nicht angepasst hat und das weitere Standard-Verhalten von AMaViS ist, die von ihm gewünschten Informationen ausschliesslich in Mails reinzuschreiben, welche "lokal" sind ;-) Christian From kai_postfix at fuerstenberg.ws Tue Aug 10 16:47:32 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 10 Aug 2010 16:47:32 +0200 Subject: [Postfixbuch-users] Amavis-Tagging In-Reply-To: <86f5a8d715d150d0565538538146dfd1.squirrel@aachalon.de> References: <20100810124756.57830@gmx.net> <4C615CBA.6070909@fuerstenberg.ws> <86f5a8d715d150d0565538538146dfd1.squirrel@aachalon.de> Message-ID: <4C616684.3020307@fuerstenberg.ws> Christian Bricart schrieb am 10.08.2010 16:29: > ich glaube, sein Problem liegt noch daran, dass er: > > @local_domains_acl = ( .... ); > > nicht angepasst hat und das weitere Standard-Verhalten von AMaViS ist, die > von ihm gewünschten Informationen ausschliesslich in Mails > reinzuschreiben, welche "lokal" sind ;-) Stimmt. Hier sei aber dann noch(mal?) fürs Archiv angemerkt, dass ein @local_domains_maps = ("."); alle Domains als lokal betrachtet; so ne Art Wildcard. Ob's sinnvoll ist, muss jeder selbst entscheiden. -- Gruß Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From pw at wk-serv.de Tue Aug 10 17:33:46 2010 From: pw at wk-serv.de (Patrick Westenberg) Date: Tue, 10 Aug 2010 17:33:46 +0200 Subject: [Postfixbuch-users] Amavis-Tagging In-Reply-To: <20100810141807.211730@gmx.net> References: <20100810124756.57830@gmx.net> <4C615CBA.6070909@fuerstenberg.ws> <20100810141807.211730@gmx.net> Message-ID: <4C61715A.4090606@wk-serv.de> Uli Sattler schrieb: > ich hätte gerne in jeder Mail dieses Tagging inklusive Report drinstehen. Also auch bei Mails, die unterhalb "$sa_kill_level_deflt = 6.31" liegen. Amavis kennt mehrere Level, u.a. spam_tag_level und spam_tag2_level. Der erste Wert gibt ab, ab wann die Tags eingefügt werden und wenn du den auf undef setzt werden die Tags immer eingefügt. From leo at leo-unglaub.net Thu Aug 12 10:56:20 2010 From: leo at leo-unglaub.net (leo at leo-unglaub.net) Date: Thu, 12 Aug 2010 10:56:20 +0200 Subject: [Postfixbuch-users] Spam von MS-Servern Message-ID: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net> Hallo Postfix Freunde, ich habe aktuell mit einem kleinen SPAM Problem zu kämpfen. Ich setze beim Kampf gegen Spam auf Greylising, Spam Assassin und policyd-weight. Das funktioniert auch eigentlich ganz okay, aber in letzter Zeit bekomme ich immer mehr Spam von den Hotmail-Servern und anderen großen Firmen. Das Problem dabei ist, dass diese sowohl Greylisting überleben, als auch super werte von policyd-weight bekommen. Lediglich Spam Assassin meckert ein paar Dinge an, aber kommt meistens auch nicht über 3.4 Punkte. Das komische dadran ist, dass es sich sooooooo eindeutig um Spam handelt dass es auffälliger nicht mehr geht. Angefangen bei dem "Dear Friend, i found some gold in Afrika" über den "medicamente online" Müll. Ich habe mich eigentlich sehr genau dadran gehalten und Spam Assassin nicht trainiert sondern nur sehr genau konfiguriert. (nach dem Postfix Buch und einen eigenen Spam Assassin Buch) Daher gehe ich davon aus, dass Spam Assassin sehr gut läuft, aber trotzdem bekomme ich 4 bis 6 Mails pro Tag die einfach durchschlüpfen. Nun meine Frage an euch: Habt ihr dieses Problem auch und was habt ihr / kann man dagegen tun? Sollte ich SA doch trainieren? Denn wenn ich das mache und es nicht den Usern überlasse kann ich ein falsches Training ausschliesen. Aber irgend wie sagt mir diese Lösung nicht zu, da ich SA nicht mit genügend HAM trainieren könnte um die Trainingsdaten in der Waage halten zu können. Viele Grüße Leo From p.heinlein at heinlein-support.de Thu Aug 12 11:32:07 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 12 Aug 2010 11:32:07 +0200 Subject: [Postfixbuch-users] Spam von MS-Servern In-Reply-To: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net> References: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net> Message-ID: <201008121132.07669.p.heinlein@heinlein-support.de> Am Donnerstag 12 August 2010 schrieb leo at leo-unglaub.net: Moin, > Das komische dadran ist, dass es sich sooooooo eindeutig um Spam > handelt dass es auffälliger nicht mehr geht. Angefangen bei dem "Dear > Friend, i found some gold in Afrika" über den "medicamente online" Dann ist das ein Fall für die header_checks. Warum 8 mal SpamAssassin trainieren um ihm diese Phrase beizubringen, wenn ein einfaches Cut & Paste nach body_checks definitiv ausreicht? Ich stelle hier irgendwie derzeit nichts besonderes fest. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From leo at leo-unglaub.net Thu Aug 12 11:40:32 2010 From: leo at leo-unglaub.net (leo at leo-unglaub.net) Date: Thu, 12 Aug 2010 11:40:32 +0200 Subject: [Postfixbuch-users] Spam von MS-Servern In-Reply-To: <201008121132.07669.p.heinlein@heinlein-support.de> References: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net> <201008121132.07669.p.heinlein@heinlein-support.de> Message-ID: Hallo ! wrote: > Dann ist das ein Fall für die header_checks. > > Warum 8 mal SpamAssassin trainieren um ihm diese Phrase beizubringen, > wenn ein einfaches Cut & Paste nach body_checks definitiv ausreicht? Ich habe diese Checks bereits im Einsatz (sogar mit der schnelleren und von dir empfohlenen Version) aber ich habe mich immer etwas davor gescheut diese Datei mit allem möglichen anzufüllen. Ich war immer der Meinung das dies zu sehr auf die Performence geht. Ich habe da aktuell ca. 350 gut sortierte und überlegte Phrasen drin. Du meinst es sei kein Problem diese noch weiter anzufüllen? Ich werde es mal probieren und eventuell das ganze in eine RAM Disk packen. Ich hoffe das geht dann Speed mäsig einigermaßen. > Mit freundlichen Grüßen > > Peer Heinlein Ich danke dir für deine Hilfe Viele Grüße Leo From driessen at fblan.de Thu Aug 12 12:04:27 2010 From: driessen at fblan.de (Uwe Driessen) Date: Thu, 12 Aug 2010 12:04:27 +0200 Subject: [Postfixbuch-users] Spam von MS-Servern In-Reply-To: References: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net><201008121132.07669.p.heinlein@heinlein-support.de> Message-ID: <005b01cb3a05$bfa721c0$0565a8c0@uwe> On Behalf Of leo at leo-unglaub.net > Hallo ! > > wrote: > > Dann ist das ein Fall für die header_checks. > > > > Warum 8 mal SpamAssassin trainieren um ihm diese Phrase beizubringen, > > wenn ein einfaches Cut & Paste nach body_checks definitiv ausreicht? > Ich habe diese Checks bereits im Einsatz (sogar mit der schnelleren und > von dir empfohlenen Version) aber ich habe mich immer etwas davor gescheut > diese Datei mit allem möglichen anzufüllen. Ich war immer der Meinung das > dies zu sehr auf die Performence geht. Ich habe da aktuell ca. 350 gut > sortierte und überlegte Phrasen drin. Du meinst es sei kein Problem diese > noch weiter anzufüllen? > > Ich werde es mal probieren und eventuell das ganze in eine RAM Disk > packen. Ich hoffe das geht dann Speed mäsig einigermaßen. > Bei 350 regeln / Zeilen wird das evtl. ein paar Millisekunden ausmachen der der check benötigt. In der Regel sollte das absolut verschmerzbar sein mit Header-Check. Soviel steht ja nicht im Header drin und mit "if /^Received:/i" usw. kann man es ja steuern welche Zeile wie verglichen wird. Die Bodychecks sind da schon aufwändiger da jede Zeile des Body's mit jeder Zeile in der check-datei verglichen werden muß. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From timo.schoeler at riscworks.net Thu Aug 12 12:11:29 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Thu, 12 Aug 2010 12:11:29 +0200 Subject: [Postfixbuch-users] Spam von MS-Servern In-Reply-To: <005b01cb3a05$bfa721c0$0565a8c0@uwe> References: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net><201008121132.07669.p.heinlein@heinlein-support.de> <005b01cb3a05$bfa721c0$0565a8c0@uwe> Message-ID: <4C63C8D1.8080906@riscworks.net> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 thus Uwe Driessen spake: > > On Behalf Of leo at leo-unglaub.net >> Hallo ! >> >> wrote: >>> Dann ist das ein Fall für die header_checks. >>> >>> Warum 8 mal SpamAssassin trainieren um ihm diese Phrase beizubringen, >>> wenn ein einfaches Cut & Paste nach body_checks definitiv ausreicht? >> Ich habe diese Checks bereits im Einsatz (sogar mit der schnelleren und >> von dir empfohlenen Version) aber ich habe mich immer etwas davor gescheut >> diese Datei mit allem möglichen anzufüllen. Ich war immer der Meinung das >> dies zu sehr auf die Performence geht. Ich habe da aktuell ca. 350 gut >> sortierte und überlegte Phrasen drin. Du meinst es sei kein Problem diese >> noch weiter anzufüllen? >> >> Ich werde es mal probieren und eventuell das ganze in eine RAM Disk >> packen. Ich hoffe das geht dann Speed mäsig einigermaßen. >> > > Bei 350 regeln / Zeilen wird das evtl. ein paar Millisekunden ausmachen der der check > benötigt. > In der Regel sollte das absolut verschmerzbar sein mit Header-Check. > Soviel steht ja nicht im Header drin und mit "if /^Received:/i" usw. kann man es ja > steuern welche Zeile wie verglichen wird. > > > Die Bodychecks sind da schon aufwändiger da jede Zeile des Body's mit jeder Zeile in der > check-datei verglichen werden muß. Wobei selbst das ziemlich sehr günstig sein wird im Falle des Verwerfens (oder was man dann sonst mit der Mail machen möchte) eben jener eMail im Vergleich dazu, sie SA in die Finger zu geben. In etwa so, als wenn man mit den Händen den Kasten Bier aus dem Supermarkt die 20 Meter nach Hause schleppt statt mit einem Flugzeugträger festzumachen, umd das gleiche zu erledigen. ;) > Mit freundlichen Grüßen > > Drießen Timo -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFMY8jRfg746kcGBOwRAiFxAKCfjpO6ZCosdjBy5OnfVre13RRKwACeLEDp 5Mp8dOm7KG4wKh3P4cGCqvk= =CbEW -----END PGP SIGNATURE----- From driessen at fblan.de Thu Aug 12 12:25:29 2010 From: driessen at fblan.de (Uwe Driessen) Date: Thu, 12 Aug 2010 12:25:29 +0200 Subject: [Postfixbuch-users] Spam von MS-Servern In-Reply-To: <4C63C8D1.8080906@riscworks.net> References: <4fb2e3b0330907f6a5ab826459b0b327@mail.lu-hosting.net><201008121132.07669.p.heinlein@heinlein-support.de> <005b01cb3a05$bfa721c0$0565a8c0@uwe> <4C63C8D1.8080906@riscworks.net> Message-ID: <005c01cb3a08$b0e81420$0565a8c0@uwe> On Behalf Of Timo Schoeler > > thus Uwe Driessen spake: > > > > On Behalf Of leo at leo-unglaub.net > >> Hallo ! > >> > >> wrote: > >>> Dann ist das ein Fall für die header_checks. > >>> > >>> Warum 8 mal SpamAssassin trainieren um ihm diese Phrase beizubringen, > >>> wenn ein einfaches Cut & Paste nach body_checks definitiv ausreicht? > >> Ich habe diese Checks bereits im Einsatz (sogar mit der schnelleren und > >> von dir empfohlenen Version) aber ich habe mich immer etwas davor gescheut > >> diese Datei mit allem möglichen anzufüllen. Ich war immer der Meinung das > >> dies zu sehr auf die Performence geht. Ich habe da aktuell ca. 350 gut > >> sortierte und überlegte Phrasen drin. Du meinst es sei kein Problem diese > >> noch weiter anzufüllen? > >> > >> Ich werde es mal probieren und eventuell das ganze in eine RAM Disk > >> packen. Ich hoffe das geht dann Speed mäsig einigermaßen. > >> > > > > Bei 350 regeln / Zeilen wird das evtl. ein paar Millisekunden ausmachen der der check > > benötigt. > > In der Regel sollte das absolut verschmerzbar sein mit Header-Check. > > Soviel steht ja nicht im Header drin und mit "if /^Received:/i" usw. kann man es ja > > steuern welche Zeile wie verglichen wird. > > > > > > Die Bodychecks sind da schon aufwändiger da jede Zeile des Body's mit jeder Zeile in > der > > check-datei verglichen werden muß. > > Wobei selbst das ziemlich sehr günstig sein wird im Falle des Verwerfens > (oder was man dann sonst mit der Mail machen möchte) eben jener eMail im > Vergleich dazu, sie SA in die Finger zu geben. In etwa so, als wenn man > mit den Händen den Kasten Bier aus dem Supermarkt die 20 Meter nach > Hause schleppt statt mit einem Flugzeugträger festzumachen, umd das > gleiche zu erledigen. ;) > Das geht aber nur wenn du auch die Wasserstraße vom Supermarkt nach hause baust*gg aber so mancher Supermarkt liefert den Suppenwürfel auch mit dem 20 Tonner aus Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From t.schneider at tms-itdienst.at Thu Aug 12 13:31:20 2010 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Thu, 12 Aug 2010 13:31:20 +0200 Subject: [Postfixbuch-users] INVALID HEADER Message-ID: <201008121331.28536.t.schneider@tms-itdienst.at> Hallo allerseits, ein bekannter bekommt immer wieder so eine Mail. _____________________________________________ Von: Systemadministrator Gesendet: Donnerstag, 12. August 2010 12:47 An: Thomas Teuschler Betreff: Unzustellbar: Undeliverable mail, invalid header Ihre Nachricht hat einige oder alle Empfänger nicht erreicht. Betreff: Neue Nachricht von: 00496997920 Gesendet am: 12.08.2010 12:46 Folgende Empfänger konnten nicht erreicht werden: Thomas Teuschler am 12.08.2010 12:46 Die Nachricht enthält einen nichtunterstützten Inhaltstyp. < firewall.knv1.local #5.6.0 smtp; 554-5.6.0 Reject, id=29507-07 - BAD_HEADER: MIME error: 554 5.6.0 error: part did not end with expected boundary> Was die Mail übermittelt ist mir klar, nur wo kann so eine Prüfung im Mailsystem stattfinden, header_checks und body_checks sind deaktiviert? Postfix 2.5.5 Ich hänge mal gleich die Ausgabe von postconf -n an. [root at firewall ~]# postconf -n address_verify_map = btree:/var/cache/mail_sender_address_verify alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no best_mx_transport = local biff = no broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix default_destination_concurrency_limit = 10 disable_vrfy_command = yes local_destination_concurrency_limit = 2 local_recipient_maps = mail_owner = postfix mailbox_size_limit = 9437284 message_size_limit = 9437184 mydestination = localhost, $myhostname myhostname = firewall.knv1.local mynetworks = 127.0.0.0/8 myorigin = $myhostname queue_directory = /var/persistence/spool/postfix queue_minfree = 15000000 recipient_delimiter = + relay_domains = $myinternaldomains smtp_tls_CAfile = /etc/ssl/cacert.pem smtp_tls_cert_file = /etc/ssl/certs/emailCert.pem smtp_tls_key_file = /etc/ssl/private/emailKey.pem smtp_tls_note_starttls_offer = yes smtp_use_tls = yes smtpd_error_sleep_time = 10 smtpd_hard_error_limit = 10 smtpd_helo_required = yes smtpd_recipient_limit = 200 smtpd_recipient_restrictions = regexp:/etc/postfix/bayes_training_access permit_mynetworks permit_sasl_authenticated reject_unauth_pipelining reject_unauth_destination reject_unknown_recipient_domain check_client_access hash:/etc/postfix/client_access check_sender_access hash:/etc/postfix/sender_access check_recipient_access hash:/etc/postfix/recipient_access reject_unknown_client_hostname reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client bl.spamcop.net reject_rbl_client sbl.spamhaus.org reject_rbl_client dsn.rfc-ignorant.org reject_rbl_client cbl.abuseat.or smtpd_restriction_classes = bayes_submission smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_soft_error_limit = 5 smtpd_tls_CAfile = $smtp_tls_CAfile smtpd_tls_auth_only = yes smtpd_tls_cert_file = $smtp_tls_cert_file smtpd_tls_key_file = $smtp_tls_key_file smtpd_tls_received_header = yes smtpd_use_tls = yes strict_rfc821_envelopes = yes transport_maps = hash:/etc/postfix/transport unverified_recipient_reject_code = 450 unverified_sender_reject_code = 450 Grüße Timm Schneider __________________________________________________ TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck(VB) T: +43 (0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49 (0)89/ 721010-77792 F: +43 (0)720/ 501 078-57 Meine Mails werden mit Kaspersky Anti-Virus geprüft! -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From Ralf.Hildebrandt at charite.de Thu Aug 12 13:41:55 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 12 Aug 2010 13:41:55 +0200 Subject: [Postfixbuch-users] INVALID HEADER In-Reply-To: <201008121331.28536.t.schneider@tms-itdienst.at> References: <201008121331.28536.t.schneider@tms-itdienst.at> Message-ID: <20100812114154.GX2947@charite.de> * Timm M.Schneider : > Hallo allerseits, > > > ein bekannter bekommt immer wieder so eine Mail. > > _____________________________________________ > Von: Systemadministrator > Gesendet: Donnerstag, 12. August 2010 12:47 > An: Thomas Teuschler > Betreff: Unzustellbar: Undeliverable mail, invalid header > > Ihre Nachricht hat einige oder alle Empfänger nicht erreicht. > > Betreff: Neue Nachricht von: 00496997920 > Gesendet am: 12.08.2010 12:46 > > Folgende Empfänger konnten nicht erreicht werden: > > Thomas Teuschler am 12.08.2010 12:46 > Die Nachricht enthält einen nichtunterstützten Inhaltstyp. > < firewall.knv1.local #5.6.0 smtp; 554-5.6.0 Reject, id=29507-07 - > BAD_HEADER: MIME error: 554 5.6.0 error: part did not end with expected > boundary> > > > Was die Mail übermittelt ist mir klar, nur wo kann so eine Prüfung im > Mailsystem stattfinden, header_checks und body_checks sind deaktiviert? Amavis. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From t.schneider at tms-itdienst.at Thu Aug 12 13:53:43 2010 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Thu, 12 Aug 2010 13:53:43 +0200 Subject: [Postfixbuch-users] INVALID HEADER In-Reply-To: <20100812114154.GX2947@charite.de> References: <201008121331.28536.t.schneider@tms-itdienst.at> <20100812114154.GX2947@charite.de> Message-ID: <201008121353.49252.t.schneider@tms-itdienst.at> Hallo Ralf, danke für die schnelle Info. Grüße Timm Schneider __________________________________________________ TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck(VB) T: +43 (0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49 (0)89/ 721010-77792 F: +43 (0)720/ 501 078-57 Meine Mails werden mit Kaspersky Anti-Virus geprüft! -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From tobias.luithardt at r1net.de Fri Aug 13 12:39:57 2010 From: tobias.luithardt at r1net.de (Tobias Luithardt) Date: Fri, 13 Aug 2010 12:39:57 +0200 Subject: [Postfixbuch-users] tls_policy wird durch transport nicht beachtet In-Reply-To: <6B7DD38DB9718C49BBE84012961054AD0284EA0190@R1-WIN2008-TOOL.r1-net.local> References: <6B7DD38DB9718C49BBE84012961054AD0284EA0190@R1-WIN2008-TOOL.r1-net.local> Message-ID: <6B7DD38DB9718C49BBE84012961054AD0284EA0192@R1-WIN2008-TOOL.r1-net.local> Hallo zusammen, durch einen Test bin ich auf folgendes gestossen. Wenn man in einer tls_policy zum Beispiel folgendes einträgt example.com secure ciphers=high und zusätzlich einen transport hat: example.com :[10.1.1.1] dann wird die tls_policy ausser Kraft gesetzt und man müsste eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und nicht für die Domain): [10.1.1.1] secure ciphers=high Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die Augen öffnen, warum dies so sein muss/soll/darf.... Postfix 2.7.0 Vielen Dank im voraus für Eure Hilfe Tobi From lists at dguhl.org Fri Aug 13 14:06:06 2010 From: lists at dguhl.org (Dennis Guhl) Date: Fri, 13 Aug 2010 12:06:06 +0000 Subject: [Postfixbuch-users] tls_policy wird durch transport nicht beachtet In-Reply-To: <6B7DD38DB9718C49BBE84012961054AD0284EA0192@R1-WIN2008-TOOL.r1-net.local> References: <6B7DD38DB9718C49BBE84012961054AD0284EA0190@R1-WIN2008-TOOL.r1-net.local> <6B7DD38DB9718C49BBE84012961054AD0284EA0192@R1-WIN2008-TOOL.r1-net.local> Message-ID: <20100813120605.GZ31658@mail.leere.eu> On Fri, Aug 13, 2010 at 12:39:57PM +0200, Tobias Luithardt wrote: > Hallo zusammen, > > durch einen Test bin ich auf folgendes gestossen. > > Wenn man in einer tls_policy zum Beispiel folgendes einträgt > example.com secure ciphers=high > und zusätzlich einen transport hat: > example.com :[10.1.1.1] > > dann wird die tls_policy ausser Kraft gesetzt und man müsste > eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und nicht für die Domain): > [10.1.1.1] secure ciphers=high > > > Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die > Augen öffnen, warum dies so sein muss/soll/darf.... Weil nach dem nächsten Hop gesucht wird: http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps > Postfix 2.7.0 > > Vielen Dank im voraus für Eure Hilfe > Tobi From tobias.luithardt at r1net.de Fri Aug 13 14:46:28 2010 From: tobias.luithardt at r1net.de (Tobias Luithardt) Date: Fri, 13 Aug 2010 14:46:28 +0200 Subject: [Postfixbuch-users] tls_policy wird durch transport nicht beachtet In-Reply-To: <20100813120605.GZ31658@mail.leere.eu> References: <6B7DD38DB9718C49BBE84012961054AD0284EA0190@R1-WIN2008-TOOL.r1-net.local> <6B7DD38DB9718C49BBE84012961054AD0284EA0192@R1-WIN2008-TOOL.r1-net.local>, <20100813120605.GZ31658@mail.leere.eu> Message-ID: <6B7DD38DB9718C49BBE84012961054AD0284EA0196@R1-WIN2008-TOOL.r1-net.local> >> Hallo zusammen, >> >> durch einen Test bin ich auf folgendes gestossen. >> >> Wenn man in einer tls_policy zum Beispiel folgendes einträgt >> example.com secure ciphers=high >> und zusätzlich einen transport hat: >> example.com :[10.1.1.1] >> >> dann wird die tls_policy ausser Kraft gesetzt und man müsste >> eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und nicht für die Domain): >> [10.1.1.1] secure ciphers=high >> >> >> Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die >> Augen öffnen, warum dies so sein muss/soll/darf.... >Weil nach dem nächsten Hop gesucht wird: >http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps Ja, und der ist in meinem Beispiel 10.1.1.1 durch ein transport festgelegt. Warum unterscheidet der Postfix zwischen einem manuellen Transport und des selbstgefunden Hosts ueber MX-Aufloesung? Dies verstehe ich leider an Hand des Links noch nicht ganz. Mir scheint es dort eher um die Vertrauenswürdigkeit der MX Auflösung zu gehen. Bei secure wird diese verneint. >> Postfix 2.7.0 >> >> Vielen Dank im voraus für Eure Hilfe >> Tobi -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From christian at bricart.de Fri Aug 13 14:59:07 2010 From: christian at bricart.de (Christian Bricart) Date: Fri, 13 Aug 2010 14:59:07 +0200 Subject: [Postfixbuch-users] tls_policy wird durch transport nicht beachtet In-Reply-To: <6B7DD38DB9718C49BBE84012961054AD0284EA0196@R1-WIN2008-TOOL.r1-net.local> References: <6B7DD38DB9718C49BBE84012961054AD0284EA0190@R1-WIN2008-TOOL.r1-net.local> <6B7DD38DB9718C49BBE84012961054AD0284EA0192@R1-WIN2008-TOOL.r1-net.local>, <20100813120605.GZ31658@mail.leere.eu> <6B7DD38DB9718C49BBE84012961054AD0284EA0196@R1-WIN2008-TOOL.r1-net.local> Message-ID: <434bf21b38302a7c7d013ae48dc9cdce.squirrel@aachalon.de> Tobias Luithardt wrote: >>> Hallo zusammen, >>> >>> durch einen Test bin ich auf folgendes gestossen. >>> >>> Wenn man in einer tls_policy zum Beispiel folgendes einträgt >>> example.com secure ciphers=high >>> und zusätzlich einen transport hat: >>> example.com :[10.1.1.1] >>> >>> dann wird die tls_policy ausser Kraft gesetzt und man müsste >>> eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und >>> nicht für die Domain): >>> [10.1.1.1] secure ciphers=high >>> >>> >>> Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die >>> Augen öffnen, warum dies so sein muss/soll/darf.... > >>Weil nach dem nächsten Hop gesucht wird: >>http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps > > Ja, und der ist in meinem Beispiel 10.1.1.1 durch ein transport > festgelegt. > Warum unterscheidet der Postfix zwischen einem manuellen Transport und des > selbstgefunden Hosts > ueber MX-Aufloesung? > Dies verstehe ich leider an Hand des Links noch nicht ganz. > Mir scheint es dort eher um die Vertrauenswürdigkeit der MX Auflösung zu > gehen. Bei secure wird diese verneint. öh - wird das denn *überhaupt* gehen..? Weil dann müsste sich ja die 10.1.1.1 mit einem Zertifikat ausgestellt auf exakt genau CommonName=10.1.1.1 melden, und weil der Postfix ja eigentlich mit "example.com" sprechen wollte direkt aus Sicherheitsgründen weggeschmissen, oder? Christian From lists at dguhl.org Fri Aug 13 15:12:18 2010 From: lists at dguhl.org (Dennis Guhl) Date: Fri, 13 Aug 2010 13:12:18 +0000 Subject: [Postfixbuch-users] tls_policy wird durch transport nicht beachtet In-Reply-To: <6B7DD38DB9718C49BBE84012961054AD0284EA0196@R1-WIN2008-TOOL.r1-net.local> References: <6B7DD38DB9718C49BBE84012961054AD0284EA0190@R1-WIN2008-TOOL.r1-net.local> <6B7DD38DB9718C49BBE84012961054AD0284EA0192@R1-WIN2008-TOOL.r1-net.local> <20100813120605.GZ31658@mail.leere.eu> <6B7DD38DB9718C49BBE84012961054AD0284EA0196@R1-WIN2008-TOOL.r1-net.local> Message-ID: <20100813131218.GA31658@mail.leere.eu> On Fri, Aug 13, 2010 at 02:46:28PM +0200, Tobias Luithardt wrote: > >> Hallo zusammen, > >> > >> durch einen Test bin ich auf folgendes gestossen. > >> > >> Wenn man in einer tls_policy zum Beispiel folgendes einträgt > >> example.com secure ciphers=high > >> und zusätzlich einen transport hat: > >> example.com :[10.1.1.1] > >> > >> dann wird die tls_policy ausser Kraft gesetzt und man müsste > >> eigentlich nur eine tls_policy fuer das Transport-Ziel angeben(und nicht für die Domain): > >> [10.1.1.1] secure ciphers=high > >> > >> > >> Könnt Ihr dieses Verhalten bestätigen und wenn ja mir evtl. die > >> Augen öffnen, warum dies so sein muss/soll/darf.... > > >Weil nach dem nächsten Hop gesucht wird: > >http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps > > Ja, und der ist in meinem Beispiel 10.1.1.1 durch ein transport festgelegt. Und damit ist ihm die Einstellung für den Domainnamen egal, die wird durch die Konfiguration für den transport überstimmt. Ebenso wie der globale smtp_tls_mandatory_chipers mit dem Argument chipers=high überschrieben wird. > Warum unterscheidet der Postfix zwischen einem manuellen Transport und des selbstgefunden Hosts > ueber MX-Aufloesung? > Dies verstehe ich leider an Hand des Links noch nicht ganz. > Mir scheint es dort eher um die Vertrauenswürdigkeit der MX Auflösung zu gehen. Bei secure wird diese verneint. Die Antwort von einem nicht autoritativen Nameserver hat immer eine begrenzte Vertrauenswürdigkeit -- nicht dass die Antwort eines autoritativen Nameservers nicht auch verfälscht sein könnte, aber den fragt man eher selten direkt ab. > >> Postfix 2.7.0 > >> > >> Vielen Dank im voraus für Eure Hilfe > >> Tobi From postfixmail at dncom.de Fri Aug 13 17:42:03 2010 From: postfixmail at dncom.de (=?iso-8859-1?Q?Philipp_N=F6bauer?=) Date: Fri, 13 Aug 2010 17:42:03 +0200 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliesen Message-ID: <35E139F885A1DC4A94516EBA3CEC57D2043386@riebeserv1.riebe.local> Hallo Mailingliste Wir würden gerne einen sasl Benutzer erlauben beliebige evelope sender zu verwenden. Der Hintergrund liegt daran das Emailadressen mit @t-online.de nur abgerufen werden können wenn man t-online als Zugangsprovider hat. Vom root Server ist das also nicht möglich. Also soll fetchmail die Mail abrufen und Postfix diese an den root Server zustellen und sich dabei per sasl Authentifizieren, da sonst das Problem mit reject_rbl_client zen.spamhaus.org nicht vorbei kommt. Mit freundlichen Grüßen Philipp Nöbauer -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From lists at dguhl.org Fri Aug 13 17:56:26 2010 From: lists at dguhl.org (Dennis Guhl) Date: Fri, 13 Aug 2010 15:56:26 +0000 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliesen In-Reply-To: <35E139F885A1DC4A94516EBA3CEC57D2043386@riebeserv1.riebe.local> References: <35E139F885A1DC4A94516EBA3CEC57D2043386@riebeserv1.riebe.local> Message-ID: <20100813155626.GB31658@mail.leere.eu> On Fri, Aug 13, 2010 at 05:42:03PM +0200, Philipp Nöbauer wrote: > Hallo Mailingliste > > Wir würden gerne einen sasl Benutzer erlauben beliebige evelope sender zu verwenden. Dann trage ihn in eine Whitelist ein, die *vor* reject_authenticated_sender_login_mismatch greift: smtpd_recipient_restrictions = ... , check_sender_access btree:/etc/postfix/access_sender, reject_authenticated_sender_login_mismatch, ... > Der Hintergrund liegt daran das Emailadressen mit @t-online.de nur abgerufen werden können wenn man t-online als Zugangsprovider hat. > > Vom root Server ist das also nicht möglich. > > Also soll fetchmail die Mail abrufen und Postfix diese an den root Server zustellen und sich dabei per sasl Authentifizieren, da sonst das Problem mit reject_rbl_client zen.spamhaus.org nicht vorbei kommt. > > Mit freundlichen Grüßen > > Philipp Nöbauer From Bell230 at gmx.de Fri Aug 13 19:27:10 2010 From: Bell230 at gmx.de (Markus Hohlmeier) Date: Fri, 13 Aug 2010 19:27:10 +0200 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliesen In-Reply-To: <20100813155626.GB31658@mail.leere.eu> References: <35E139F885A1DC4A94516EBA3CEC57D2043386@riebeserv1.riebe.local> <20100813155626.GB31658@mail.leere.eu> Message-ID: <20100813172710.204960@gmx.net> > On Fri, Aug 13, 2010 at 05:42:03PM +0200, Philipp Nöbauer wrote: > > Hallo Mailingliste > > > > Wir würden gerne einen sasl Benutzer erlauben beliebige evelope sender > > zu verwenden. > > Dann trage ihn in eine Whitelist ein, die *vor* > reject_authenticated_sender_login_mismatch greift: > > smtpd_recipient_restrictions = ... , > check_sender_access btree:/etc/postfix/access_sender, > reject_authenticated_sender_login_mismatch, > ... > > > Der Hintergrund liegt daran das Emailadressen mit @t-online.de nur > > abgerufen werden können wenn man t-online als Zugangsprovider hat. Stimmt nicht ganz: Wenn man von SEINEM T-Online Zugang kommt sind es diese beiden Addressen: pop.t-online.de (OHNE SASL-Auth, MIT ist glaub auch möglich, interessiert den Server nur mal gar nicht) mailto.t-online.de Von extern sind es jedoch diese hier: popmail.t-online.de (MIT SASL-Auth) smtpmail.t-online.de OT: Dadurch kommen so nette Geschichten zustande, dass man -bei falscher Adresswahl- auf einmal die E-Mails seines Freundes empfängt, bei dem man gerade zu Gast ist ;-).(Man bekommt einfach die Mails des T-Online Zugangs wo man gerade ist, vollkommen egal mit was man sich bei pop.t-online.de anmeldet ....... ) Mit freundlichen Grüßen Markus -- GRATIS für alle GMX-Mitglieder: Die maxdome Movie-FLAT! Jetzt freischalten unter http://portal.gmx.net/de/go/maxdome01 From helga.mayer at uni-hohenheim.de Fri Aug 13 19:36:24 2010 From: helga.mayer at uni-hohenheim.de (Helga Mayer) Date: Fri, 13 Aug 2010 19:36:24 +0200 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliessen In-Reply-To: References: Message-ID: <4C658298.8050109@uni-hohenheim.de> On 08/13/2010 05:57 PM, postfixbuch-users-request at listen.jpberlin.de wrote: sorry, ich habe die Liste als Digest abonniert. Aber das Subject habe ich editiert. > Message: 7 > Date: Fri, 13 Aug 2010 15:56:26 +0000 > From: Dennis Guhl > Subject: Re: [Postfixbuch-users] Benutzer vom > reject_authenticated_sender_login_mismatch ausschliesen > To: postfixbuch-users at listen.jpberlin.de > Message-ID:<20100813155626.GB31658 at mail.leere.eu> > Content-Type: text/plain; charset=iso-8859-1 > > On Fri, Aug 13, 2010 at 05:42:03PM +0200, Philipp Nöbauer wrote: >> Hallo Mailingliste >> >> Wir würden gerne einen sasl Benutzer erlauben beliebige evelope sender zu verwenden. > > Dann trage ihn in eine Whitelist ein, die *vor* > reject_authenticated_sender_login_mismatch greift: > > smtpd_recipient_restrictions = ... , > check_sender_access btree:/etc/postfix/access_sender, > reject_authenticated_sender_login_mismatch, > ... warum eine pauschale Whitelist ? Adressfaelscher hallo ! Den zugelassenen Benutzer kann man doch auf seine fremde Domain mappen. /etc/postfix/smtpd_alias_login: fremder_sender at fremde.domain unser_benutzer /etc/postfix/main.cf: smtpd_sender_login_maps = hash:/etc/postfix/smtpd_senderaccount_login, hash:/etc/postfix/smtpd_alias_login oder sonst ein Format je nach Gusto, sei's mysql oder btree, ist egal, betrifft ja nicht Massen. Der soll halt nur senden koennen, wenn er sich bei uns anmeldet. Viele Gruesse Helga > >> Der Hintergrund liegt daran das Emailadressen mit @t-online.de nur abgerufen werden können wenn man t-online als Zugangsprovider hat. >> >> Vom root Server ist das also nicht möglich. >> >> Also soll fetchmail die Mail abrufen und Postfix diese an den root Server zustellen und sich dabei per sasl Authentifizieren, da sonst das Problem mit reject_rbl_client zen.spamhaus.org nicht vorbei kommt. >> >> Mit freundlichen Grüßen >> >> Philipp Nöbauer > > > ------------------------------ > > _______________________________________________ > Postfixbuch-users mailing list > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > > Ende Postfixbuch-users Nachrichtensammlung, Band 141, Eintrag 30 > **************************************************************** From lists at dguhl.org Fri Aug 13 21:22:54 2010 From: lists at dguhl.org (Dennis Guhl) Date: Fri, 13 Aug 2010 19:22:54 +0000 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliessen In-Reply-To: <4C658298.8050109@uni-hohenheim.de> References: <4C658298.8050109@uni-hohenheim.de> Message-ID: <20100813192254.GC31658@mail.leere.eu> On Fri, Aug 13, 2010 at 07:36:24PM +0200, Helga Mayer wrote: > On 08/13/2010 05:57 PM, postfixbuch-users-request at listen.jpberlin.de wrote: > sorry, ich habe die Liste als Digest abonniert. > Aber das Subject habe ich editiert. > >Message: 7 > >Date: Fri, 13 Aug 2010 15:56:26 +0000 > >From: Dennis Guhl > >Subject: Re: [Postfixbuch-users] Benutzer vom > > reject_authenticated_sender_login_mismatch ausschliesen > >To: postfixbuch-users at listen.jpberlin.de > >Message-ID:<20100813155626.GB31658 at mail.leere.eu> > >Content-Type: text/plain; charset=iso-8859-1 > > > >On Fri, Aug 13, 2010 at 05:42:03PM +0200, Philipp Nöbauer wrote: > >>Hallo Mailingliste > >> > >>Wir würden gerne einen sasl Benutzer erlauben beliebige evelope sender zu verwenden. > > > >Dann trage ihn in eine Whitelist ein, die *vor* > >reject_authenticated_sender_login_mismatch greift: > > > >smtpd_recipient_restrictions = ... , > > check_sender_access btree:/etc/postfix/access_sender, > > reject_authenticated_sender_login_mismatch, > > ... > warum eine pauschale Whitelist ? Adressfaelscher hallo ! > Den zugelassenen Benutzer kann man doch auf seine fremde Domain mappen. Das ist kein pauschales Whitelisting! In /etc/postfix/access_sender trägst Du nur die Adressen ein die Du durchwinken möchtest: mane at example.com OK alternativ kann man entsprechend auch mit REJECT eine Adresse ablehnen. [..] Dennis From postfixmail at dncom.de Fri Aug 13 23:54:58 2010 From: postfixmail at dncom.de (=?iso-8859-1?Q?Philipp_N=F6bauer?=) Date: Fri, 13 Aug 2010 23:54:58 +0200 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliessen In-Reply-To: <20100813192254.GC31658@mail.leere.eu> References: <4C658298.8050109@uni-hohenheim.de> <20100813192254.GC31658@mail.leere.eu> Message-ID: <35E139F885A1DC4A94516EBA3CEC57D2043387@riebeserv1.riebe.local> Ist es nicht so das der Evelope Sender bei Fetchmail der Ursprüngliche Sender der Email ist so das dieser von Mail zu Mail unterschiedlich ist. Ich möchte mein Konto bei t-online per fetchmail abrufen und an localhost per smtp ausliefern, der lokale Postfix soll dann per smtp die Emails an den Postfix am rootserver ausliefern und dieser dann ins Postfach einliefern. Hierfür muss der rootserver für einen saslbenutzer sämtliche evelopesender zulassen. Oder habe ich da einen Denkfehler. Mit freundlichen Grüßen Philipp Nöbauer -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Dennis Guhl Bereitgestellt: Freitag, 13. August 2010 21:23 Bereitgestellt in: Postfix Mailingliste Unterhaltung: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliessen Betreff: Re: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliessen On Fri, Aug 13, 2010 at 07:36:24PM +0200, Helga Mayer wrote: > On 08/13/2010 05:57 PM, postfixbuch-users-request at listen.jpberlin.de wrote: > sorry, ich habe die Liste als Digest abonniert. > Aber das Subject habe ich editiert. > >Message: 7 > >Date: Fri, 13 Aug 2010 15:56:26 +0000 > >From: Dennis Guhl > >Subject: Re: [Postfixbuch-users] Benutzer vom > > reject_authenticated_sender_login_mismatch ausschliesen > >To: postfixbuch-users at listen.jpberlin.de > >Message-ID:<20100813155626.GB31658 at mail.leere.eu> > >Content-Type: text/plain; charset=iso-8859-1 > > > >On Fri, Aug 13, 2010 at 05:42:03PM +0200, Philipp Nöbauer wrote: > >>Hallo Mailingliste > >> > >>Wir würden gerne einen sasl Benutzer erlauben beliebige evelope sender zu verwenden. > > > >Dann trage ihn in eine Whitelist ein, die *vor* > >reject_authenticated_sender_login_mismatch greift: > > > >smtpd_recipient_restrictions = ... , > > check_sender_access btree:/etc/postfix/access_sender, > > reject_authenticated_sender_login_mismatch, > > ... > warum eine pauschale Whitelist ? Adressfaelscher hallo ! > Den zugelassenen Benutzer kann man doch auf seine fremde Domain mappen. Das ist kein pauschales Whitelisting! In /etc/postfix/access_sender trägst Du nur die Adressen ein die Du durchwinken möchtest: mane at example.com OK alternativ kann man entsprechend auch mit REJECT eine Adresse ablehnen. [..] Dennis -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From Hullen at t-online.de Sun Aug 15 13:22:00 2010 From: Hullen at t-online.de (Helmut Hullen) Date: 15 Aug 2010 13:22:00 +0200 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliesen In-Reply-To: <35E139F885A1DC4A94516EBA3CEC57D2043386@riebeserv1.riebe.local> Message-ID: Hallo, Philipp, Du meintest am 13.08.10: > Hallo Mailingliste [...] (expanded from ): host mail.communich.eu[/var/lib/imap/socket/lmtp] said: 550-Mailbox unknown. Either there is no mailbox associated with this 550-name or you do not have authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO command) Viele Gruesse! Helmut From alois.kratochwill at wdns.at Sun Aug 15 16:38:05 2010 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Sun, 15 Aug 2010 16:38:05 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?_Double-Bounce_Verst=E4ndnisfr?= =?iso-8859-1?q?age?= In-Reply-To: <20100813192254.GC31658@mail.leere.eu> Message-ID: <20100815144012.60E49227406D@lobos.wdns.at> Hallo ans Team! Ich stehe hier mächtig auf einer Postfix-Leitung (2.3)! Im mail.log sind mir Einträge aufgefallen, die ich mir nicht erklären kann. Im folgenden Auszug wird im ersten Beispiel ein 450 gesendet (postfix-policyd -> smtpd_proxy_filter), anschließend der abgesetzt. Ca. 7 Minuten später wird die die Nachricht erneut eingeliefert. Mit Erfolg. Warum die Double-Bounce Meldung? 1. --- Aug 10 14:33:39 mail01 postfix/smtpd[22713]: connect from c3.aboliton.at[193.200.113.22] Aug 10 14:33:40 mail01 postfix/smtpd[22713]: NOQUEUE: reject: RCPT from c3.aboliton.at[193.200.113.22]: 450 4.7.1 : Recipient address rejected: Policy Rejection- Please try later.; from= to= proto=ESMTP helo= Aug 10 14:33:40 mail01 postfix/cleanup[22794]: 3CA2C227406D: message-id=<20100810123340.3CA2C227406D at mail01.wdns.at> Aug 10 14:33:40 mail01 postfix/smtpd[22713]: disconnect from c3.aboliton.at[193.200.113.22] Aug 10 14:33:40 mail01 postfix/qmgr[15634]: 3CA2C227406D: from=, size=275, nrcpt=1 (queue active) Aug 10 14:33:40 mail01 postfix/pipe[22795]: 3CA2C227406D: to=, relay=dovecot, delay=0.05, delays=0.04/0.01/0/0, dsn=2.0.0, status=deliverable (delivers to command: /usr/lib/dovecot/deliver) Aug 10 14:33:40 mail01 postfix/qmgr[15634]: 3CA2C227406D: removed Aug 10 14:40:19 mail01 postfix/smtpd[22854]: connect from c3.aboliton.at[193.200.113.22] Aug 10 14:40:19 mail01 postfix/smtpd[22854]: NOQUEUE: client=c3.aboliton.at[193.200.113.22] Aug 10 14:40:20 mail01 postfix/smtpd[22862]: connect from localhost.localdomain[127.0.0.1] Aug 10 14:40:20 mail01 postfix/smtpd[22862]: 8DDA0227406D: client=c3.aboliton.at[193.200.113.22] Aug 10 14:40:20 mail01 postfix/cleanup[22863]: 8DDA0227406D: message-id=<20100810143735F5B73CB99F$45E9B339D4 at BUNDY> Aug 10 14:40:20 mail01 postfix/qmgr[15634]: 8DDA0227406D: from=, size=123000, nrcpt=1 (queue active) Aug 10 14:40:20 mail01 postfix/smtpd[22862]: disconnect from localhost.localdomain[127.0.0.1] Aug 10 14:40:20 mail01 amavis[20501]: (20501-07) Passed CLEAN, LOCAL [193.200.113.22] [85.126.115.73] -> , Message-ID: <20100810143735F5B73CB99F$45E9B339D4 at BUNDY>, mail_id: VtanaIFvShZY, Hits: 0.001, size: 122357, queued_as: 8DDA0227406D, 922 ms Aug 10 14:40:20 mail01 postfix/smtpd[22854]: disconnect from c3.aboliton.at[193.200.113.22] Aug 10 14:40:20 mail01 postfix/pipe[22866]: 8DDA0227406D: to=, relay=dovecot, delay=0.18, delays=0.07/0.01/0/0.11, dsn=2.0.0, status=sent (delivered via dovecot service) Aug 10 14:40:20 mail01 postfix/qmgr[15634]: 8DDA0227406D: removed --- Zweites Beispiel ohne einen 450er: 2. --- Aug 10 16:10:10 mail01 postfix/smtpd[23808]: connect from mail17-58.srv2.de[193.169.180.58] Aug 10 16:10:11 mail01 postfix/smtpd[23808]: NOQUEUE: client=mail17-58.srv2.de[193.169.180.58] Aug 10 16:10:11 mail01 postfix/cleanup[23866]: 27A2D227406D: message-id=<20100810141011.27A2D227406D at mail01.wdns.at> Aug 10 16:10:11 mail01 postfix/qmgr[15634]: 27A2D227406D: from=, size=275, nrcpt=1 (queue active) Aug 10 16:10:11 mail01 postfix/pipe[23867]: 27A2D227406D: to=, relay=dovecot, delay=0.08, delays=0.07/0.01/0/0, dsn=2.0.0, status=deliverable (delivers to command: /usr/lib/dovecot/deliver) Aug 10 16:10:11 mail01 postfix/qmgr[15634]: 27A2D227406D: removed Aug 10 16:10:14 mail01 postfix/smtpd[23870]: connect from localhost.localdomain[127.0.0.1] Aug 10 16:10:14 mail01 postfix/smtpd[23870]: 5B61F227406D: client=mail17-58.srv2.de[193.169.180.58] Aug 10 16:10:14 mail01 postfix/cleanup[23866]: 5B61F227406D: message-id= Aug 10 16:10:14 mail01 postfix/qmgr[15634]: 5B61F227406D: from=, size=97057, nrcpt=1 (queue active) Aug 10 16:10:14 mail01 postfix/smtpd[23870]: disconnect from localhost.localdomain[127.0.0.1] Aug 10 16:10:14 mail01 amavis[20501]: (20501-13) Passed CLEAN, LOCAL [193.169.180.58] [193.169.180.58] -> , Message-ID: , mail_id: xjO-69Rkvpoy, Hits: 0, size: 96389, queued_as: 5B61F227406D, 3309 ms Aug 10 16:10:14 mail01 postfix/pipe[23867]: 5B61F227406D: to=, relay=dovecot, delay=0.19, delays=0.07/0/0/0.12, dsn=2.0.0, status=sent (delivered via dovecot service) Aug 10 16:10:14 mail01 postfix/qmgr[15634]: 5B61F227406D: removed --- Dieser Effekt tritt anscheinend nur bei Mails von Verteilerlisten auf. Hat jemand einen Rat für mich? Danke Alois postconf -n: --- alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 1d bounce_template_file = /etc/postfix/bounce.cf broken_sasl_auth_clients = yes config_directory = /etc/postfix delay_warning_time = 0h disable_vrfy_command = yes header_checks = pcre:/etc/postfix/header_checks.pcre inet_interfaces = all mail_name = WDNS-eMail-Service mail_version = 2.5 mailbox_command = /usr/lib/dovecot/deliver mailbox_size_limit = 104857600 maximal_backoff_time = 4000s maximal_queue_lifetime = 1d message_size_limit = 34865152 minimal_backoff_time = 300s mydestination = $myhostname, localhost, localhost.localdomain, localhost.$mydomain mydomain = wdns.at myhostname = mail01.wdns.at mynetworks = 127.0.0.0/8 mynetworks_style = subnet myorigin = mail01.wdns.at queue_run_delay = 300s readme_directory = no receive_override_options = no_address_mappings recipient_bcc_maps = proxy:mysql:/etc/postfix/mysql_recipient_bcc_maps_domain.cf,proxy:mysql:/etc/pos tfix/mysql_recipient_bcc_maps_user.cf recipient_delimiter = + relay_domains = proxy:mysql:/etc/postfix/mysql_relay_domains.cf relay_recipient_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf relayhost = sender_bcc_maps = proxy:mysql:/etc/postfix/mysql_sender_bcc_maps_domain.cf,proxy:mysql:/etc/postfi x/mysql_sender_bcc_maps_user.cf smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_data_restrictions = reject_unauth_pipelining smtpd_enforce_tls = no smtpd_helo_required = yes smtpd_proxy_filter = 127.0.0.1:10024 smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_invalid_helo_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unlisted_recipient, reject_sender_login_mismatch, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, check_helo_access pcre:/etc/postfix/helo_access.pcre, reject_unauth_pipelining, check_policy_service inet:127.0.0.1:10031, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, reject_unverified_recipient, permit smtpd_reject_unlisted_recipient = yes smtpd_reject_unlisted_sender = yes smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem smtpd_tls_key_file = /etc/ssl/private/postfix.pem smtpd_tls_loglevel = 0 smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes soft_bounce = no tls_random_source = dev:/dev/urandom transport_maps = proxy:mysql:/etc/postfix/mysql_transport_maps_user.cf, proxy:mysql:/etc/postfix/mysql_transport_maps_domain.cf unknown_address_reject_code = 550 unknown_client_reject_code = 550 unknown_hostname_reject_code = 550 unknown_local_recipient_reject_code = 550 unknown_relay_recipient_reject_code = 550 unknown_virtual_alias_reject_code = 550 unknown_virtual_mailbox_reject_code = 550 unverified_recipient_reject_code = 577 unverified_sender_reject_code = 577 virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf, proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_domains.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = dovecot virtual_uid_maps = static:5000 From bluewind at server-speed.net Sun Aug 15 16:57:27 2010 From: bluewind at server-speed.net (Florian Pritz) Date: Sun, 15 Aug 2010 16:57:27 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Double-Bounce_Verst=C3=A4ndnisfrage?= In-Reply-To: <20100815144012.60E49227406D@lobos.wdns.at> References: <20100815144012.60E49227406D@lobos.wdns.at> Message-ID: <4C680057.9010705@server-speed.net> On 15.08.2010 16:38, Alois Kratochwill wrote: > Im mail.log sind mir Einträge aufgefallen, die ich mir nicht > erklären kann. Im folgenden Auszug wird im ersten Beispiel ein 450 gesendet > (postfix-policyd -> smtpd_proxy_filter), anschließend der > abgesetzt. Ca. 7 Minuten später wird die die Nachricht erneut eingeliefert. Mit > Erfolg. Warum die Double-Bounce Meldung? > Aug 10 14:33:40 mail01 postfix/qmgr[15634]: 3CA2C227406D: > from=, size=275, nrcpt=1 (queue active) > Aug 10 14:33:40 mail01 postfix/pipe[22795]: 3CA2C227406D: > to=, relay=dovecot, delay=0.05, delays=0.04/0.01/0/0, > dsn=2.0.0, status=deliverable (delivers to command: /usr/lib/dovecot/deliver) > Aug 10 16:10:11 mail01 postfix/qmgr[15634]: 27A2D227406D: > from=, size=275, nrcpt=1 (queue active) > Aug 10 16:10:11 mail01 postfix/pipe[23867]: 27A2D227406D: > to=, relay=dovecot, delay=0.08, delays=0.07/0.01/0/0, > dsn=2.0.0, status=deliverable (delivers to command: /usr/lib/dovecot/deliver) > smtpd_recipient_restrictions = reject_non_fqdn_sender, > reject_non_fqdn_recipient, reject_invalid_helo_hostname, > reject_unknown_sender_domain, reject_unknown_recipient_domain, > reject_unlisted_recipient, reject_sender_login_mismatch, > permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, > check_helo_access pcre:/etc/postfix/helo_access.pcre, > reject_unauth_pipelining, check_policy_service inet:127.0.0.1:10031, > reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, > reject_unverified_recipient, permit Wenn ich das richtig sehe ist das nur dein "reject_unverified_recipient", also keine Sorge. (Hast du das vielleicht drinnen ohne die manpage gelesen zu haben?) PS: Bitte neue Threads anfangen und nicht in anderen posten wenn es nicht zum Thema passt. -- Florian Pritz -- {flo,bluewind}@server-speed.net -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: OpenPGP digital signature URL : From traced at xpear.de Sun Aug 15 19:27:34 2010 From: traced at xpear.de (Basti) Date: Sun, 15 Aug 2010 19:27:34 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <201008082224.38730.p.heinlein@heinlein-support.de> References: <4C5E69EF.3060207@xpear.de> <201008082224.38730.p.heinlein@heinlein-support.de> Message-ID: <4C682386.3000404@xpear.de> Am 08.08.2010 22:24, schrieb Peer Heinlein: > Am Sonntag, 8. August 2010 10:25:19 schrieb Basti: > > Moin, > >> habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists >> per Empfängerdomain umsetzen könnte? > > Wenn es per Empfängerdomain unterschiedlich sein soll, dann gibt es drei > Möglichkeiten: > > a) restriction_classes (skaliert schlecht) > b) Amavis (finde ich klasse) > c) Einen passenden Policyd-Dämon (nutze ich nicht, denn ich habe ja > Amavis) > > Peer > > Hallo Liste, jetzt muss ich das Thema leider nochmal aufgreifen, da die Idee mit den restriction_classes zwar toll klang, wie Peer aber schon geschrieben hat wirklich keine gute Idee ist, wenn man die B/W-Lists von hundert Empfängerdomains handeln will... Amavis fällt leider auch raus, da ich ja die Prüfungen _vor_ Amavis damit umgehen will. Jetzt bleibt eigentlich nur noch ein Policy-Dämon, der die B/W-Lists individuell pro Empfängerdomain handhaben kann... Ist euch so einer bekannt, den man evtl. auch empfehlen kann? Oder wäre hier selbst schreiben angesagt? Danke & viele Grüße Basti From alois.kratochwill at wdns.at Sun Aug 15 19:57:50 2010 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Sun, 15 Aug 2010 19:57:50 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Double-Bounce_Verst=C3=A4ndnisfrage?= In-Reply-To: <4C680057.9010705@server-speed.net> References: <20100815144012.60E49227406D@lobos.wdns.at> <4C680057.9010705@server-speed.net> Message-ID: <406f2ae25cec34d56e213d08cf19ece4@wdns.at> Hallo Florian, danke für die rasche Antwort... wrote: > On 15.08.2010 16:38, Alois Kratochwill wrote: >> Im mail.log sind mir Einträge aufgefallen, die ich mir >> nicht >> erklären kann. Im folgenden Auszug wird im ersten Beispiel ein 450 >> gesendet >> (postfix-policyd -> smtpd_proxy_filter), anschließend der >> >> abgesetzt. Ca. 7 Minuten später wird die die Nachricht erneut >> eingeliefert. Mit >> Erfolg. Warum die Double-Bounce Meldung? > >> Aug 10 14:33:40 mail01 postfix/qmgr[15634]: 3CA2C227406D: >> from=, size=275, nrcpt=1 (queue active) >> Aug 10 14:33:40 mail01 postfix/pipe[22795]: 3CA2C227406D: >> to=, relay=dovecot, delay=0.05, delays=0.04/0.01/0/0, >> dsn=2.0.0, status=deliverable (delivers to command: >> /usr/lib/dovecot/deliver) > >> Aug 10 16:10:11 mail01 postfix/qmgr[15634]: 27A2D227406D: >> from=, size=275, nrcpt=1 (queue active) >> Aug 10 16:10:11 mail01 postfix/pipe[23867]: 27A2D227406D: >> to=, relay=dovecot, delay=0.08, >> delays=0.07/0.01/0/0, >> dsn=2.0.0, status=deliverable (delivers to command: >> /usr/lib/dovecot/deliver) > >> smtpd_recipient_restrictions = reject_non_fqdn_sender, >> reject_non_fqdn_recipient, reject_invalid_helo_hostname, >> reject_unknown_sender_domain, reject_unknown_recipient_domain, >> reject_unlisted_recipient, reject_sender_login_mismatch, >> permit_sasl_authenticated, permit_mynetworks, >> reject_unauth_destination, >> check_helo_access pcre:/etc/postfix/helo_access.pcre, >> reject_unauth_pipelining, check_policy_service >> inet:127.0.0.1:10031, >> reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client >> zen.spamhaus.org, >> reject_unverified_recipient, permit > > Wenn ich das richtig sehe ist das nur dein > "reject_unverified_recipient", also keine Sorge. (Hast du das vielleicht > drinnen ohne die manpage gelesen zu haben?) Hatte ich sicher schon irgendwann einmal durch, trotzdem nachgeholt. Jetzt drängen sich mir zwei weitere Fragen auf: Der Bounce (reject_unverified_recipient) scheint nicht wirklich performant zu sein. Da zuvor schon ein "reject_unlisted_recipient" durchgeführt wird, ist ein "reject_unverified_recipient" überhaupt noch sinnvoll|notwendig|ratsam? Und warum wird die Restriction nur auf interne Empfänger von externer Verteilerlisten angewandt und nicht auf interne Empfänger <- -> externe Sender | interne Empfänger <- -> interne Sender (interne Empfänger = virtuelle Postfix user). LG Alois Kratochwill > PS: Bitte neue Threads anfangen und nicht in anderen posten wenn es > nicht zum Thema passt. > > -- > Florian Pritz -- {flo,bluewind}@server-speed.net From postfixbuch-users at drobic.de Sun Aug 15 20:39:48 2010 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Sun, 15 Aug 2010 20:39:48 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <4C682386.3000404@xpear.de> References: <4C5E69EF.3060207@xpear.de> <201008082224.38730.p.heinlein@heinlein-support.de> <4C682386.3000404@xpear.de> Message-ID: <4C683474.3020705@drobic.de> On 2010.08.15 19:27, Basti wrote: > > Hallo Liste, > jetzt muss ich das Thema leider nochmal aufgreifen, da die Idee mit den > restriction_classes zwar toll klang, wie Peer aber schon geschrieben hat > wirklich keine gute Idee ist, wenn man die B/W-Lists von hundert > Empfängerdomains handeln will... > > Amavis fällt leider auch raus, da ich ja die Prüfungen _vor_ Amavis damit > umgehen will. > > Jetzt bleibt eigentlich nur noch ein Policy-Dämon, der die B/W-Lists > individuell pro Empfängerdomain handhaben kann... > Ist euch so einer bekannt, den man evtl. auch empfehlen kann? Oder wäre hier > selbst schreiben angesagt? http://postfwd.org/ -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de From traced at xpear.de Sun Aug 15 23:25:49 2010 From: traced at xpear.de (Basti) Date: Sun, 15 Aug 2010 23:25:49 +0200 Subject: [Postfixbuch-users] Postfix - Black/Whitelist per Domain In-Reply-To: <4C683474.3020705@drobic.de> References: <4C5E69EF.3060207@xpear.de> <201008082224.38730.p.heinlein@heinlein-support.de> <4C682386.3000404@xpear.de> <4C683474.3020705@drobic.de> Message-ID: <4C685B5D.40102@xpear.de> Am 15.08.2010 20:39, schrieb Sandy Drobic: > On 2010.08.15 19:27, Basti wrote: > >> >> Hallo Liste, >> jetzt muss ich das Thema leider nochmal aufgreifen, da die Idee mit den >> restriction_classes zwar toll klang, wie Peer aber schon geschrieben hat >> wirklich keine gute Idee ist, wenn man die B/W-Lists von hundert >> Empfängerdomains handeln will... >> >> Amavis fällt leider auch raus, da ich ja die Prüfungen _vor_ Amavis damit >> umgehen will. >> >> Jetzt bleibt eigentlich nur noch ein Policy-Dämon, der die B/W-Lists >> individuell pro Empfängerdomain handhaben kann... >> Ist euch so einer bekannt, den man evtl. auch empfehlen kann? Oder wäre hier >> selbst schreiben angesagt? > > http://postfwd.org/ > Hallo Sandy, Danke für den Hinweis, das hatte ich auch schon gesehen, nur leider nichts gefunden wie ich das mit unserer "Kundenverwaltung" und der MySQL DB in Einklang bringen kann. Habe die Zeit aber genutzt und selbst einen Policy-Daemon geschrieben in python, bis jetzt nur mit spawn, aber für den Anfang macht er genau was ich möchte :-) Sollte hier einer Interesse am Code haben kann er mich gerne anschreiben (is aber bis jetzt quick&dirty). Vielen Dank & schönen Abend noch Basti From t.schneider at tms-itdienst.at Mon Aug 16 09:38:49 2010 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Mon, 16 Aug 2010 09:38:49 +0200 Subject: [Postfixbuch-users] DNSBL l2.apews.org Message-ID: <201008160938.55273.t.schneider@tms-itdienst.at> Hallo, habe einen Kunden der bekommt immer Meldungen das er noch auf einer BL steht. > *** DNSBL WARNING *** > Service: > Host: linux-mrtg > Date/Time: Sat Aug 14 03:00:05 CEST 2010 Additional Info: > DNSBL-Alarm: 80.122.36.142 is listed on l2.apews.org Meine Frage ist, ob diese Meldung quasi ignoriert werden kann, denn von der Liste kommt er trotz mehrmaliger Korrespondenz nicht runter. Wird diese Liste von irgendjemand von Euch eingesetzt? Ich denke das diese Liste kaum verwendet wird. Grüße und Danke Timm __________________________________________________ TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck(VB) T: +43 (0)720/ 501 078 (Per ENUM kostenlos erreichbar) +49 (0)89/ 721010-77792 F: +43 (0)720/ 501 078-57 Meine Mails werden mit Kaspersky Anti-Virus geprüft! -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From postfixbuch-users at drobic.de Mon Aug 16 11:00:36 2010 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Mon, 16 Aug 2010 11:00:36 +0200 Subject: [Postfixbuch-users] DNSBL l2.apews.org In-Reply-To: <201008160938.55273.t.schneider@tms-itdienst.at> References: <201008160938.55273.t.schneider@tms-itdienst.at> Message-ID: <4C68FE34.3040407@drobic.de> On 16.08.2010 09:38, Timm M.Schneider wrote: > Hallo, > > > habe einen Kunden der bekommt immer Meldungen das er noch auf einer BL steht. > >> *** DNSBL WARNING *** >> Service: >> Host: linux-mrtg >> Date/Time: Sat Aug 14 03:00:05 CEST 2010 Additional Info: >> DNSBL-Alarm: 80.122.36.142 is listed on l2.apews.org > > > Meine Frage ist, ob diese Meldung quasi ignoriert werden kann, denn von der > Liste kommt er trotz mehrmaliger Korrespondenz nicht runter. > Wird diese Liste von irgendjemand von Euch eingesetzt? > Ich denke das diese Liste kaum verwendet wird. Vom Einsatz dieser Liste in Produktivumgebungen würde ich dringend abraten. Die Verwalter dieser Liste sind allen Berichten nach ziemlich willkürliche und selbstherrliche Netzsherrife. From lists at dguhl.org Mon Aug 16 16:16:41 2010 From: lists at dguhl.org (Dennis Guhl) Date: Mon, 16 Aug 2010 14:16:41 +0000 Subject: [Postfixbuch-users] Benutzer vom reject_authenticated_sender_login_mismatch ausschliessen In-Reply-To: <35E139F885A1DC4A94516EBA3CEC57D2043387@riebeserv1.riebe.local> References: <4C658298.8050109@uni-hohenheim.de> <20100813192254.GC31658@mail.leere.eu> <35E139F885A1DC4A94516EBA3CEC57D2043387@riebeserv1.riebe.local> Message-ID: <20100816141641.GD31658@mail.leere.eu> On Fri, Aug 13, 2010 at 11:54:58PM +0200, Philipp Nöbauer wrote: Bitte unterlasse das Topposting. > Ist es nicht so das der Evelope Sender bei Fetchmail der Ursprüngliche Sender der Email ist so das dieser von Mail zu Mail unterschiedlich ist. Da bin ich mir nicht sicher. Aber das solltest Du im Zweifel auch einstellen können: man 1 fetchmail[rc]. Alternativ -- wenn Du auf der gleichen Maschine wie der Postfix bist -- nimm den lokalen Zustelldienst direkt ins Postfach. Und wenn alle Stricke reißen, kannst Du auch immer noch eine seperate Behandlung über einen anderen Port (z.B. 587, Submission) erreichen. > Ich möchte mein Konto bei t-online per fetchmail abrufen und an localhost per smtp ausliefern, der lokale Postfix soll dann per smtp die Emails an den Postfix am rootserver ausliefern und dieser dann ins Postfach einliefern. Ich würde in diesem Szenario fetchmail die Mails abrufen lassen und selber per SMTP auf Port 587 Deines Rootservers einliefern lassen. Andere Frage, wäre es nicht sogar machbar (und dann sinnvoller, IMHO) das ganze prinzipiell auf dem Rootserver laufen zu lassen? Ich habe zwar noch nie T-Online benutzt, aber Du müsstest doch auch von Deinem Rootserver aus auf das Postfach zugreifen können um die Mails abzuholen. > Hierfür muss der rootserver für einen saslbenutzer sämtliche evelopesender zulassen. > > Oder habe ich da einen Denkfehler. Wenn Du das wie oben beschrieben machen willst und den reject_sender_mismatch drinlassen willst, nicht wirklich. > Mit freundlichen Grüßen > > Philipp Nöbauer Dennis [..] From lists at puersten.de Mon Aug 16 16:41:55 2010 From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=) Date: Mon, 16 Aug 2010 16:41:55 +0200 Subject: [Postfixbuch-users] amavisd-new banned files warnung deaktiveren Message-ID: <4C694E33.2050609@puersten.de> Hallo, mal wieder eine Frage in die Runde. Ich würde gerne unserem Amavis abgewöhnen das bei Anhängen, welche er als "banned files" betrachtet die Email und den Anhang in eine neue Mail packt und dann dort den Header reinschreibt incl. folgender Warnmeldung: WARNING: banning rules detected suspect part(s),do not open unless you know what you are doing Von Euch einer eine Idee wie ich das konfiguriere? Danke! Gruß, Oliver -- Gruß, Oliver From kai_postfix at fuerstenberg.ws Mon Aug 16 17:14:34 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 16 Aug 2010 17:14:34 +0200 Subject: [Postfixbuch-users] amavisd-new banned files warnung deaktiveren In-Reply-To: <4C694E33.2050609@puersten.de> References: <4C694E33.2050609@puersten.de> Message-ID: <4C6955DA.9010809@fuerstenberg.ws> Hi, Oliver Pürsten schrieb am 16.08.2010 16:41: > Hallo, > > mal wieder eine Frage in die Runde. > > Ich würde gerne unserem Amavis abgewöhnen das bei Anhängen, welche er > als "banned files" betrachtet die Email und den Anhang in eine neue Mail > packt und dann dort den Header reinschreibt incl. folgender Warnmeldung: > > WARNING: banning rules detected suspect part(s),do not open unless you > know what you are doing > > Von Euch einer eine Idee wie ich das konfiguriere? Schau mal in deiner amavisd.conf nach $banned_filename_re. -- Gruß Kai PM an kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Mon Aug 16 17:24:03 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Aug 2010 17:24:03 +0200 Subject: [Postfixbuch-users] amavisd-new banned files warnung deaktiveren In-Reply-To: <4C694E33.2050609@puersten.de> References: <4C694E33.2050609@puersten.de> Message-ID: <201008161724.03486.p.heinlein@heinlein-support.de> Am Montag 16 August 2010 schrieb Oliver Pürsten: > Ich würde gerne unserem Amavis abgewöhnen das bei Anhängen, welche er > als "banned files" betrachtet die Email und den Anhang in eine neue > Mail packt und dann dort den Header reinschreibt incl. folgender > Warnmeldung: Ich bin mir nicht ganz sicher: $defang_banned = 1; # default is false: don't modify mail body # MIME defanging wraps the entire original mail in a MIME container of type # 'Content-type: multipart/mixed', where the first part is a text/plain with # a short explanation, and the second part is a complete original mail, Mich wundert nur, daß Du schreibst, es wäre eine komplett neue Mail?! Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From christian at roessner-net.com Mon Aug 16 20:01:02 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Mon, 16 Aug 2010 20:01:02 +0200 Subject: [Postfixbuch-users] OT: Dovecot 2.0 Message-ID: <2C748FFA-A30C-492A-98BB-0E0FD5C4DDEC@roessner-net.com> Hallo, ich habe vor ein paar Tagen begonnen Debian Pakete von Stefan Bosch unter Ubuntu Lucid zu bauen. Letzte Version ist im Moment rc6 von gestern Abend, welche aber wahrscheinlich identisch mit der heute veröffentlichten 2.0er ist. Ich habe dazu ein Repository für i386/amd64 erstellt. Wer Interesse daran hat, kann hier mal schauen: http://www.roessner-network-solutions.com/?p=553#more-553 Beide Architekturen sind bereits getestet und ich kann im Moment keine Fehler finden. Viel Spaß, Liebe Grüße Christian --- Roessner-Network-Solutions Bachelor of Science Informatik Nahrungsberg 81, 35390 Gießen F: +49 641 5879091, M: +49 641 93118939 USt-IdNr.: DE225643613 http://www.roessner-network-solutions.com -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From sebastian at debianfan.de Tue Aug 17 01:26:23 2010 From: sebastian at debianfan.de (Sebastian Deiszner) Date: Tue, 17 Aug 2010 01:26:23 +0200 Subject: [Postfixbuch-users] Mails verschwinden im Orkus :-( Message-ID: <1c0420dc-6395-4eb3-a9ac-dd5f66c15e30@email.android.com> Hallo zusammen, seit gestern abend funktioniert die Mailzustellung nicht mehr richtig. Ich bekomme die Mails rein und dann "verschwinden" sie irgendwo - wo weiss ich nicht :-( Die letzten Zeilen aus dem Maillog sind: Aug 17 04:09:33 debian postfix/qmgr[3168]: 1F1CD17D98: from=, size=1892, nrcpt=1 (queue active) Aug 17 04:09:33 debian postfix/qmgr[3168]: 1F1CD17D98: removed ABER: scheinbar wird procmail gar nicht mehr aufgerufen - denn die proc.log welche normalerweise geschrieben werden sollte, wird nicht mehr erstellt. Vorschläge? gruß Sebastian -- Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet. From andreas.schulze at datev.de Tue Aug 17 07:57:02 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 17 Aug 2010 07:57:02 +0200 Subject: [Postfixbuch-users] DNSBL l2.apews.org In-Reply-To: <4C68FE34.3040407@drobic.de> References: <201008160938.55273.t.schneider@tms-itdienst.at> <4C68FE34.3040407@drobic.de> Message-ID: <20100817055702.GB469@spider.services.datevnet.de> Am 16.08.2010 11:00 schrieb Sandy Drobic: > Vom Einsatz dieser Liste in Produktivumgebungen würde ich dringend abraten. > Die Verwalter dieser Liste sind allen Berichten nach ziemlich willkürliche und > selbstherrliche Netzsherrife. +1 -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From ad+lists at uni-x.org Tue Aug 17 09:20:58 2010 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Tue, 17 Aug 2010 09:20:58 +0200 Subject: [Postfixbuch-users] Mails verschwinden im Orkus :-( In-Reply-To: <1c0420dc-6395-4eb3-a9ac-dd5f66c15e30@email.android.com> References: <1c0420dc-6395-4eb3-a9ac-dd5f66c15e30@email.android.com> Message-ID: <4C6A385A.4070108@uni-x.org> Am 17.08.2010 01:26, schrieb Sebastian Deiszner: > Hallo zusammen, > > seit gestern abend funktioniert die Mailzustellung nicht mehr richtig. > Vorschläge? Vollständige Informationen liefern? > gruß > > Sebastian Gruß Alexander From Ralf.Hildebrandt at charite.de Tue Aug 17 10:21:35 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Aug 2010 10:21:35 +0200 Subject: [Postfixbuch-users] Mails verschwinden im Orkus :-( In-Reply-To: <1c0420dc-6395-4eb3-a9ac-dd5f66c15e30@email.android.com> References: <1c0420dc-6395-4eb3-a9ac-dd5f66c15e30@email.android.com> Message-ID: <20100817082135.GA5539@charite.de> * Sebastian Deiszner : > > > Hallo zusammen, > > seit gestern abend funktioniert die Mailzustellung nicht mehr richtig. > > Ich bekomme die Mails rein und dann "verschwinden" sie irgendwo - wo weiss > ich nicht :-( > > Die letzten Zeilen aus dem Maillog sind: > > Aug 17 04:09:33 debian postfix/qmgr[3168]: 1F1CD17D98: > from=, size=1892, nrcpt=1 (queue active) > > Aug 17 04:09:33 debian postfix/qmgr[3168]: 1F1CD17D98: removed Und der rest für 1F1CD17D98? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From sebastian at debianfan.de Tue Aug 17 11:28:39 2010 From: sebastian at debianfan.de (sebastian) Date: Tue, 17 Aug 2010 11:28:39 +0200 Subject: [Postfixbuch-users] Mails verschwinden irgendwo im Orkus meines Systems :-( Message-ID: <4C6A5647.9020100@debianfan.de> Hallo zusammen, seit gestern mittag funktioniert die Mailzustellung nicht mehr richtig. Ich bekomme die Mails rein und dann "verschwinden" sie irgendwo - wo weiss ich nicht :-( Testweise wird eine Mail von einer externendomain an meinedomain geschickt. Senden funktioniert problemlos - es klemmt irgendwo bei procmail - scheinbar :-/ Rechteprobleme liegen scheinbar auch nicht vor :-( # ls -la insgesamt 52 drwxr-xr-x 6 sebastian sebastian 4096 17. Aug 05:44 . drwxr-xr-x 8 root root 4096 17. Aug 02:42 .. drwx------ 2 sebastian sebastian 4096 12. Aug 22:59 .aptitude -rw------- 1 sebastian sebastian 314 17. Aug 14:18 .bash_history -rw-r--r-- 1 sebastian sebastian 220 1. Jul 23:11 .bash_logout -rw-r--r-- 1 sebastian sebastian 3116 1. Jul 23:11 .bashrc drwxr-xr-x 2 sebastian sebastian 4096 12. Aug 22:59 .debtags -rw-r--r-- 1 sebastian sebastian 23 8. Jul 20:15 .forward drwx------ 10 sebastian sebastian 4096 17. Aug 10:05 Maildir drwxr-xr-x 2 sebastian sebastian 4096 17. Aug 10:12 .mc -rw------- 1 sebastian sebastian 1555 17. Aug 06:48 proc.log -rw-r--r-- 1 sebastian sebastian 116 15. Jul 10:37 .procmailrc -rw-r--r-- 1 sebastian sebastian 675 1. Jul 23:11 .profile Die letzten Zeilen aus dem Maillog sind: Aug 17 14:18:00 debian postfix/smtpd[4769]: connect from wp136.webpack.hosteurope.de[80.237.132.143] Aug 17 14:18:03 debian postfix/policyd-weight[2807]: weighted check: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_FROM_IP=-2 (check from: .externedomain. - helo: .wp136.webpack.hosteurope. - helo-domain: .hosteurope.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; ; rate: -8.5 Aug 17 14:18:03 debian postfix/policyd-weight[2807]: decided action=PREPEND X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_FROM_IP=-2 (check from: .externedomain. - helo: .wp136.webpack.hosteurope. - helo-domain: .hosteurope.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -8.5; ; delay: 3s Aug 17 14:18:04 debian postfix/policyd-weight[2807]: decided action=DUNNO multirecipient-mail - already accepted by previous query; ; delay: 0s Aug 17 14:18:04 debian postfix/smtpd[4769]: 2A39417D91: client=wp136.webpack.hosteurope.de[80.237.132.143] Aug 17 14:18:04 debian postfix/cleanup[4773]: 2A39417D91: message-id=<4C6A534C.3080205 at externedomain.ch> Aug 17 14:18:04 debian postfix/qmgr[4325]: 2A39417D91: from=, size=1216, nrcpt=1 (queue active) Aug 17 14:18:04 debian postfix/smtpd[4769]: disconnect from wp136.webpack.hosteurope.de[80.237.132.143] Aug 17 14:18:10 debian postfix/pickup[4660]: 214DF17D98: uid=65534 from= Aug 17 14:18:10 debian postfix/cleanup[4773]: 214DF17D98: message-id=<4C6A534C.3080205 at externedomain.ch> Aug 17 14:18:10 debian postfix/pipe[4774]: 2A39417D91: to=, orig_to=, relay=spamassassin, delay=9.5, delays=3.5/0.03/0/5.9, dsn=2.0.0, status=sent (delivered via spamassassin service) Aug 17 14:18:10 debian postfix/qmgr[4325]: 2A39417D91: removed Aug 17 14:18:10 debian postfix/qmgr[4325]: 214DF17D98: from=, size=1546, nrcpt=1 (queue active) Aug 17 14:18:10 debian postfix/local[4790]: 214DF17D98: to=, relay=local, delay=0.13, delays=0.07/0.03/0/0.02, dsn=2.0.0, status=sent (delivered to command: /usr/bin/procmail -t) Aug 17 14:18:10 debian postfix/qmgr[4325]: 214DF17D98: removed ABER: scheinbar wird procmail gar nicht mehr aufgerufen - denn die proc.log welche normalerweise geschrieben werden sollte, wird nicht mehr erstellt. In der /var/mail sind auch keine Einträge - ausser den Dateien mit 0-Größe. Vorschläge ? gruß Sebastian -- Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet. From Ralf.Hildebrandt at charite.de Tue Aug 17 11:51:01 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Aug 2010 11:51:01 +0200 Subject: [Postfixbuch-users] Mails verschwinden irgendwo im Orkus meines Systems :-( In-Reply-To: <4C6A5647.9020100@debianfan.de> References: <4C6A5647.9020100@debianfan.de> Message-ID: <20100817095101.GG5539@charite.de> * sebastian : > Senden funktioniert problemlos - es klemmt irgendwo bei procmail - > scheinbar :-/ Korrekt. > Aug 17 14:18:10 debian postfix/local[4790]: 214DF17D98: > to=, relay=local, delay=0.13, > delays=0.07/0.03/0/0.02, dsn=2.0.0, status=sent (delivered to > command: /usr/bin/procmail -t) Also hat procmail die irgendwo hingefeuert. > ABER: scheinbar wird procmail gar nicht mehr aufgerufen - denn die > proc.log welche normalerweise geschrieben werden sollte, wird nicht mehr > erstellt. Erstellt? KANN denn der User files in dem Verzeichnis anlegen? > In der /var/mail sind auch keine Einträge - ausser den Dateien mit 0-Größe. > > > Vorschläge ? Procmail abstellen? Erstmal so zum Testen -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From sebastian at debianfan.de Tue Aug 17 12:29:40 2010 From: sebastian at debianfan.de (sebastian) Date: Tue, 17 Aug 2010 12:29:40 +0200 Subject: [Postfixbuch-users] Mails verschwinden irgendwo im Orkus meines Systems :-( In-Reply-To: <20100817095101.GG5539@charite.de> References: <4C6A5647.9020100@debianfan.de> <20100817095101.GG5539@charite.de> Message-ID: <4C6A6494.2000209@debianfan.de> Am 17.08.2010 11:51, schrieb Ralf Hildebrandt: > * sebastian: > > >> Senden funktioniert problemlos - es klemmt irgendwo bei procmail - >> scheinbar :-/ >> > Korrekt. > > >> Aug 17 14:18:10 debian postfix/local[4790]: 214DF17D98: >> to=, relay=local, delay=0.13, >> delays=0.07/0.03/0/0.02, dsn=2.0.0, status=sent (delivered to >> command: /usr/bin/procmail -t) >> > Also hat procmail die irgendwo hingefeuert. > > >> ABER: scheinbar wird procmail gar nicht mehr aufgerufen - denn die >> proc.log welche normalerweise geschrieben werden sollte, wird nicht mehr >> erstellt. >> > Erstellt? KANN denn der User files in dem Verzeichnis anlegen? > > >> In der /var/mail sind auch keine Einträge - ausser den Dateien mit 0-Größe. >> >> >> Vorschläge ? >> > Procmail abstellen? > Erstmal so zum Testen > > ja - der User kann Files in /home/userdir/... anlegen ich hab die .procmailrc und die .forward entfernt - keine Änderung :-( hier die main.cf: smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. append_dot_mydomain = no virtual_maps = hash:/etc/postfix/virtual home_mailbox = Maildir/ myhostname = meinedomain.de alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = meinedomain.de, localhost.localdomain, localhost relayhost = mynetworks = 127.0.0.0/8 mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all smtpd_sasl_authenticated_header = no smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain, reject_unknown_recipient_domain, check_policy_service inet:127.0.0.1:12525, reject_unauth_destination, reject_non_fqdn_sender, reject_unauth_pipelining, reject_unlisted_recipient, check_recipient_access hash:/etc/postfix/access, reject_non_fqdn_recipient, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_reverse_client_hostname, reject_unknown_client_hostname, reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client dnsbl.ahbl.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client combined.rbl.msrbl.net, smtpd_sasl_local_domain = $myhostname message_size_limit = 50240000 body_checks = regexp:/etc/postfix/body_checks header_checks = regexp:/etc/postfix/header_checks mime_checks= pcre:/etc/postfix/mime_check From sebastian at debianfan.de Tue Aug 17 12:35:12 2010 From: sebastian at debianfan.de (sebastian) Date: Tue, 17 Aug 2010 12:35:12 +0200 Subject: [Postfixbuch-users] Mails verschwinden irgendwo im Orkus meines Systems :-( In-Reply-To: <4C6A6494.2000209@debianfan.de> References: <4C6A5647.9020100@debianfan.de> <20100817095101.GG5539@charite.de> <4C6A6494.2000209@debianfan.de> Message-ID: <4C6A65E0.3040604@debianfan.de> Ich muss mich hiermit bei allen, die Hirnschmalz investiert haben - entschuldigen. Ich hatte vor xx Tagen mal eine Diskussion zum Thema "wie filtere ich Spammails raus, wenn ich Spamassassin direkt in den master.cf eingebunden habe". Damals funktionierte das ganze nicht - vermutlich habe ich beim testen Fehler gemacht. Ich hatte aber die Einstellung in der /etc/procmailrc noch drin - deswegen hat er auch procmail aufgerufen - aber er arbeitet scheinbar erst die /etc/procmailrc ab und dann die .procmailrc in den Userverzeichnissen. Aber zumindest weiss ich jetzt, wie ich Spammails ausfiltern kann - ist ja auch was ;-) From Ralf.Hildebrandt at charite.de Tue Aug 17 12:51:02 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Aug 2010 12:51:02 +0200 Subject: [Postfixbuch-users] Mails verschwinden irgendwo im Orkus meines Systems :-( In-Reply-To: <4C6A6494.2000209@debianfan.de> References: <4C6A5647.9020100@debianfan.de> <20100817095101.GG5539@charite.de> <4C6A6494.2000209@debianfan.de> Message-ID: <20100817105102.GH5539@charite.de> * sebastian : > ich hab die .procmailrc und die .forward entfernt - keine Änderung :-( Kein wunder: > mailbox_command = procmail -a "$EXTENSION" -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From lists at puersten.de Tue Aug 17 16:04:04 2010 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Tue, 17 Aug 2010 16:04:04 +0200 Subject: [Postfixbuch-users] amavisd-new banned files warnung deaktiveren In-Reply-To: <201008161724.03486.p.heinlein@heinlein-support.de> References: <4C694E33.2050609@puersten.de> <201008161724.03486.p.heinlein@heinlein-support.de> Message-ID: <4C6A96D4.3050102@puersten.de> Am 16.08.2010 17:24, schrieb Peer Heinlein: > Am Montag 16 August 2010 schrieb Oliver Pürsten: > > >> Ich würde gerne unserem Amavis abgewöhnen das bei Anhängen, welche er >> als "banned files" betrachtet die Email und den Anhang in eine neue >> Mail packt und dann dort den Header reinschreibt incl. folgender >> Warnmeldung: > > Ich bin mir nicht ganz sicher: > > $defang_banned = 1; # default is false: don't modify mail body > > # MIME defanging wraps the entire original mail in a MIME container of > type > # 'Content-type: multipart/mixed', where the first part is a text/plain > with > # a short explanation, and the second part is a complete original mail, > > > Mich wundert nur, daß Du schreibst, es wäre eine komplett neue Mail?! > > > > Mit freundlichen Grüßen > > Peer Heinlein > > Scheint es gewesen zu sein. Keine Ahnung wieso das so war, in der Mail war dann die Warung + Header drin und dann die eigentliche Mail als eml Datei + der orginal Anhang im Anhang. -- Gruß, Oliver From Ralf.Hildebrandt at charite.de Tue Aug 17 16:08:52 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Aug 2010 16:08:52 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? Message-ID: <20100817140852.GC5539@charite.de> Ich habe eine Frage zu Kroatisch (hr): in unserem Squid gibt es "hr" als Fehlermeldungssprache nicht. Ich frage mich ob ich einfach "sr" (was für Serbisch steht, nicht Surinam) nutzen kann oder ich dann gleich wildgewordene Kroaten auf der Matte haben die meine Unverschämtheit strafen wollen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Tue Aug 17 16:31:48 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Aug 2010 16:31:48 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <20100817140852.GC5539@charite.de> References: <20100817140852.GC5539@charite.de> Message-ID: <201008171631.48683.p.heinlein@heinlein-support.de> Am Dienstag, 17. August 2010 16:08:52 schrieb Ralf Hildebrandt: > in unserem Squid gibt es "hr" als Fehlermeldungssprache nicht. Ich > frage mich ob ich einfach "sr" (was für Serbisch steht, nicht > Surinam) nutzen kann oder ich dann gleich wildgewordene Kroaten auf > der Matte haben die meine Unverschämtheit strafen wollen. > Es werden sich doch wohl in der Charite genug Patienten passender Nationalitäten für eine kleine Umfrage dazu finden lassen?! Einfach mal auf die Intensiv rüber gehen. Die freuen sich über Abwechslung. Solange ich nicht morgen von Schießereien auf dem Krankenhausflur lesen muß... Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From klaus at tachtler.net Tue Aug 17 16:12:02 2010 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 17 Aug 2010 16:12:02 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc Message-ID: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> Hallo Liste, ich habe in meiner main.cf als erste restriction ... smtpd_recipient_restrictions = # Postmaster, abuse and other RFC or important ROLE-Accounts - Whitelisting check_recipient_access btree:/etc/postfix/check_recipient_access_rfc, ... Der Inhalt von /etc/postfix/check_recipient_access_rfc war: postmaster@ OK abuse@ OK webmaster@ OK Ich dachte das für alle Domains, für die sich MEIN Postfix zuständig fühlt, e-Mails für die drei genannten Empfänger akzeptiert, jedoch scheint es so zu sein, als würde ich damit zu einem "OPEN RELAY" werden, zumindest für diese drei Adressen? Danke! Grüße Klaus. -- ------------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------------ From Ralf.Hildebrandt at charite.de Tue Aug 17 16:40:58 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Aug 2010 16:40:58 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc In-Reply-To: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> References: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> Message-ID: <20100817144058.GW5539@charite.de> * Klaus Tachtler : > Hallo Liste, > > ich habe in meiner main.cf als erste restriction > > ... > smtpd_recipient_restrictions = > # Postmaster, abuse and other RFC or important ROLE-Accounts - Whitelisting > check_recipient_access btree:/etc/postfix/check_recipient_access_rfc, > ... > > Der Inhalt von /etc/postfix/check_recipient_access_rfc war: > > postmaster@ OK > abuse@ OK > webmaster@ OK > > Ich dachte das für alle Domains, für die sich MEIN Postfix zuständig > fühlt, e-Mails für die drei genannten Empfänger akzeptiert, jedoch > scheint es so zu sein, als würde ich damit zu einem "OPEN RELAY" > werden, zumindest für diese drei Adressen? Ja. Das musst du hinter ein reject_unauth_destination machen und vor anderer REJECTS -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From kai_postfix at fuerstenberg.ws Tue Aug 17 16:42:59 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Aug 2010 16:42:59 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc In-Reply-To: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> References: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> Message-ID: <4C6A9FF3.2020005@fuerstenberg.ws> Klaus Tachtler schrieb am 17.08.2010 16:12: > Hallo Liste, > > ich habe in meiner main.cf als erste restriction > > ... > smtpd_recipient_restrictions = > # Postmaster, abuse and other RFC or important ROLE-Accounts - Whitelisting > check_recipient_access btree:/etc/postfix/check_recipient_access_rfc, > ... > > Der Inhalt von /etc/postfix/check_recipient_access_rfc war: > > postmaster@ OK > abuse@ OK > webmaster@ OK > > Ich dachte das für alle Domains, für die sich MEIN Postfix zuständig > fühlt, e-Mails für die drei genannten Empfänger akzeptiert, jedoch > scheint es so zu sein, als würde ich damit zu einem "OPEN RELAY" > werden, zumindest für diese drei Adressen? Genau so siehts aus. Setz das direkt hinter reject_unauth_destination. -- Gruß Kai PM an kai at fuerstenberg punkt ws From klaus at tachtler.net Tue Aug 17 16:45:48 2010 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 17 Aug 2010 16:45:48 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc In-Reply-To: <20100817144058.GW5539@charite.de> References: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> <20100817144058.GW5539@charite.de> Message-ID: <20100817164548.19403hrf9pi60gao@buero.tachtler.net> >> Hallo Liste, >> >> ich habe in meiner main.cf als erste restriction >> >> ... >> smtpd_recipient_restrictions = >> # Postmaster, abuse and other RFC or important ROLE-Accounts - Whitelisting >> check_recipient_access >> btree:/etc/postfix/check_recipient_access_rfc, >> ... >> >> Der Inhalt von /etc/postfix/check_recipient_access_rfc war: >> >> postmaster@ OK >> abuse@ OK >> webmaster@ OK >> >> Ich dachte das für alle Domains, für die sich MEIN Postfix zuständig >> fühlt, e-Mails für die drei genannten Empfänger akzeptiert, jedoch >> scheint es so zu sein, als würde ich damit zu einem "OPEN RELAY" >> werden, zumindest für diese drei Adressen? > > Ja. > Das musst du hinter ein reject_unauth_destination machen und vor > anderer REJECTS > > -- > Ralf Hildebrandt Wäre auch folgendes richtig ... smtpd_recipient_restrictions = # Postmaster, abuse and other RFC or important ROLE-Accounts - Whitelisting check_recipient_access btree:/etc/postfix/check_recipient_access_rfc, weitere restrictions... ... beibehalten und die /etc/postfix/check_recipient_access_rfc wie folgt postmaster@ permit_auth_destination abuse@ permit_auth_destination webmaster@ permit_auth_destination Danke! Grüße Klaus. -- ------------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------------ From p.heinlein at heinlein-support.de Tue Aug 17 17:02:01 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Aug 2010 17:02:01 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc In-Reply-To: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> References: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> Message-ID: <201008171702.02046.p.heinlein@heinlein-support.de> Am Dienstag, 17. August 2010 16:12:02 schrieb Klaus Tachtler: > Der Inhalt von /etc/postfix/check_recipient_access_rfc war: > > postmaster@ OK > abuse@ OK > webmaster@ OK > > Ich dachte das für alle Domains, für die sich MEIN Postfix zuständig > fühlt, e-Mails für die drei genannten Empfänger akzeptiert, jedoch > scheint es so zu sein, als würde ich damit zu einem "OPEN RELAY" > werden, zumindest für diese drei Adressen? Ja, unter bestimmten Fällen kann das der Fall sein, was ich früher als Problem ehrlich gesagt so nicht gesehen und damit auch falsch unterrichtet habe, bzw. so auch nicht gut im Buch steht. Man sollte hier einfach in diesen Fällen von "permit_auth_destination" gebrauch machen. Alles so verbaut lassen, wie es ist, aber in der Datei: postmaster@ permit_auth_destination abuse@ permit_auth_destination webmaster@ permit_auth_destination und schon ist alles gut und genau so, wie es sein soll. Das empfiehlt sich übrigens auch in check_client_access-Maps oder ggf. bei sender-access-maps. Immer dann, wenn man Externe Leute vom eigenen Spamschutz whitelisten möchte, so sollte man das über permit_auth_destination statt über OK machen. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Aug 17 17:03:06 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Aug 2010 17:03:06 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc In-Reply-To: <20100817164548.19403hrf9pi60gao@buero.tachtler.net> References: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> <20100817144058.GW5539@charite.de> <20100817164548.19403hrf9pi60gao@buero.tachtler.net> Message-ID: <201008171703.06863.p.heinlein@heinlein-support.de> Am Dienstag, 17. August 2010 16:45:48 schrieb Klaus Tachtler: > Wäre auch folgendes richtig > beibehalten und die /etc/postfix/check_recipient_access_rfc wie folgt > > postmaster@ permit_auth_destination > abuse@ permit_auth_destination > webmaster@ permit_auth_destination Ach Mensch, so macht das keinen Spaß. :-) Die jungen Wilden machen mich noch arbeitslos... Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Tue Aug 17 17:04:06 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Aug 2010 17:04:06 +0200 Subject: [Postfixbuch-users] Frage zu smtpd_recipient_restrictions / check_recipient_access_rfc In-Reply-To: <20100817144058.GW5539@charite.de> References: <20100817161202.21162mdzdwkj602s@buero.tachtler.net> <20100817144058.GW5539@charite.de> Message-ID: <201008171704.06600.p.heinlein@heinlein-support.de> Am Dienstag, 17. August 2010 16:40:58 schrieb Ralf Hildebrandt: > Das musst du hinter ein reject_unauth_destination machen und vor > anderer REJECTS Nein, weil es hier um ein Roleaccount-Whitelisting vor Greylisting, Policyd-Weight und RBLs geht und dieses muß in Setups mit permit_max_backup zwangsweise vor den reject_unauth_destination stehen. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From alois.kratochwill at wdns.at Tue Aug 17 17:54:35 2010 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Tue, 17 Aug 2010 17:54:35 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <20100817140852.GC5539@charite.de> Message-ID: <20100817155632.23250227406D@lobos.wdns.at> > Ich habe eine Frage zu Kroatisch (hr): > in unserem Squid gibt es "hr" als Fehlermeldungssprache nicht. Ich frage > mich ob ich einfach "sr" (was für Serbisch steht, nicht Surinam) nutzen > kann oder ich dann gleich wildgewordene Kroaten auf der Matte haben die > meine Unverschämtheit strafen wollen. ;-(( würde ich nicht raten! Besser "en" als "sr"! Schöne Grüße aus dem Süden Österreichs, Alois From ffiene at veka.com Wed Aug 18 07:44:23 2010 From: ffiene at veka.com (Frank Fiene) Date: Wed, 18 Aug 2010 07:44:23 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <20100817140852.GC5539@charite.de> References: <20100817140852.GC5539@charite.de> Message-ID: <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> Mein kroatischer Kollege hat gesagt, für ihn wäre das OK! Für kurze Texte merkt man wahrscheinlich nicht mal den Unterschied. Der hat allerdings einen deutschen Pass! ;-) Viele Grüße! Frank Am 17.08.2010 um 16:08 schrieb Ralf Hildebrandt: > Ich habe eine Frage zu Kroatisch (hr): > > in unserem Squid gibt es "hr" als Fehlermeldungssprache nicht. Ich frage > mich ob ich einfach "sr" (was für Serbisch steht, nicht Surinam) nutzen > kann oder ich dann gleich wildgewordene Kroaten auf der Matte haben die > meine Unverschämtheit strafen wollen. > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | http://www.charite.de > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From Ralf.Hildebrandt at charite.de Wed Aug 18 08:32:11 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 18 Aug 2010 08:32:11 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> References: <20100817140852.GC5539@charite.de> <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> Message-ID: <20100818063211.GA19584@charite.de> * Frank Fiene : > Mein kroatischer Kollege hat gesagt, für ihn wäre das OK! > Für kurze Texte merkt man wahrscheinlich nicht mal den Unterschied. Ja, das dachte ich auch, nachdem ich den Artikel über die verschiedenen Sprachen gelesen habe > Der hat allerdings einen deutschen Pass! ;-) :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p at state-of-mind.de Wed Aug 18 08:52:33 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Wed, 18 Aug 2010 08:52:33 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <20100818063211.GA19584@charite.de> References: <20100817140852.GC5539@charite.de> <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> <20100818063211.GA19584@charite.de> Message-ID: <20100818065232.GB2501@state-of-mind.de> * Ralf Hildebrandt : > * Frank Fiene : > > Mein kroatischer Kollege hat gesagt, für ihn wäre das OK! > > Für kurze Texte merkt man wahrscheinlich nicht mal den Unterschied. > > Ja, das dachte ich auch, nachdem ich den Artikel über die > verschiedenen Sprachen gelesen habe > > > Der hat allerdings einen deutschen Pass! ;-) > > :) Frag halt mal Mark. Der sollte das beurteilen können, oder? p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From mailingliste-postfixbuch+spamtrap at pothe.de Wed Aug 18 09:15:02 2010 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Wed, 18 Aug 2010 09:15:02 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> References: <20100817140852.GC5539@charite.de> <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> Message-ID: <80cc1dcfa72235a2d9b8775641c2bbb2.squirrel@www.pothe.de> On Wed, August 18, 2010 07:44, Frank Fiene wrote: > Mein kroatischer Kollege hat gesagt, für ihn wäre das OK! > Für kurze Texte merkt man wahrscheinlich nicht mal den Unterschied. Nunja, den merkt man eigentlich auch als jemand, der weder kroatisch noch serbisch kann. Gesprochen sind sich die beiden Sprachen ja zum verwechseln ähnlich (mögen Muttersprachler anders sehen), aber geschrieben sieht das anders aus. Kroatisch wird mit lateinischem, serbisch dagegen mit kyrillischem Alfabet notiert. From Ralf.Hildebrandt at charite.de Wed Aug 18 09:27:41 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 18 Aug 2010 09:27:41 +0200 Subject: [Postfixbuch-users] [OT] Spricht hier jemand Kroatisch? In-Reply-To: <80cc1dcfa72235a2d9b8775641c2bbb2.squirrel@www.pothe.de> References: <20100817140852.GC5539@charite.de> <63031B3D-C9FF-47C6-BE54-B27B2B022735@veka.com> <80cc1dcfa72235a2d9b8775641c2bbb2.squirrel@www.pothe.de> Message-ID: <20100818072740.GH19584@charite.de> * Andreas Pothe : > On Wed, August 18, 2010 07:44, Frank Fiene wrote: > > Mein kroatischer Kollege hat gesagt, für ihn wäre das OK! > > Für kurze Texte merkt man wahrscheinlich nicht mal den Unterschied. > > Nunja, den merkt man eigentlich auch als jemand, der weder kroatisch noch > serbisch kann. Gesprochen sind sich die beiden Sprachen ja zum verwechseln > ähnlich (mögen Muttersprachler anders sehen), aber geschrieben sieht das > anders aus. Kroatisch wird mit lateinischem, serbisch dagegen mit > kyrillischem Alfabet notiert. Es gibt Serbisch auch in lateinischen Buchstaben -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From cite at incertum.net Fri Aug 20 09:09:24 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Fri, 20 Aug 2010 09:09:24 +0200 Subject: [Postfixbuch-users] OT: Dovecot 2.0 In-Reply-To: <2C748FFA-A30C-492A-98BB-0E0FD5C4DDEC@roessner-net.com> References: <2C748FFA-A30C-492A-98BB-0E0FD5C4DDEC@roessner-net.com> Message-ID: <20100820070923.GD31323@mail.incertum.net> Hallo Christian, * Christian Rößner : > Ich habe dazu ein Repository für i386/amd64 erstellt. Wer Interesse daran hat, kann hier mal schauen: > > http://www.roessner-network-solutions.com/?p=553#more-553 nur so aus Interesse: Warum hast Du den (die? das?) Epoch auf "2" erhöht? Wenn die offiziellen Pakete da nicht mitziehen, gibt's doch nur eine Upgrade-Mongose[1]... Stefan [1] http://www.mongose.eu/ From leo at leo-unglaub.net Fri Aug 20 10:04:55 2010 From: leo at leo-unglaub.net (leo at leo-unglaub.net) Date: Fri, 20 Aug 2010 10:04:55 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Postfix_ignoriert_header=5Fchecks?= Message-ID: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net> Hallo Leute, ich habe aktuell das Problem das mein Server mit Spam Mails vollgemüllt wird. Seit ca. 3 Stunden greifen meine header_checks nicht mehr. Es wurde jedoch nichts am Server oder der konfiguration geändert. Auch das Log weißt keine Fehler auf. Die Mails werden einfach alle durchgeleitet. In der main.cf habe ich die header_checks richtig configuriert: > mail:/etc/postfix/maps# postconf header_checks > header_checks = pcre:/etc/postfix/maps/header_check Die Datei selbst ist auch dort und postfix hat auch die entsprechenden Rechte für die Datei: > -rw-r--r-- 1 root root 8.1K Aug 20 09:53 header_check pcre ist auch am Server verfügbar. > mail:/etc/postfix/maps# postconf -m | grep pcre > pcre Eine Beispielregel wäre folgende aus der Zeit der Schweinegrippe welche mir damals tausende Mails geblockt hat. > /^Subject:.*Swine/ REJECT Spam ID E-023: forbidden words in subject: *Swine Jedoch wird das E-Mail ganz normal zugestellt. Weiß jemand von euch warum? Hat sich da was in Postfix geändert ohne das ich das mitbekommen habe? Ich habe folgende Versionen von Postfix installiert: > mail:/etc/postfix/maps# dpkg -l postfix* | grep ii > ii postfix 2.5.5-1.1 High-performance mail transport agent > ii postfix-mysql 2.5.5-1.1 MySQL map support for Postfix > ii postfix-pcre 2.5.5-1.1 PCRE map support for Postfix Weiß jemand von euch rat? Vielen Dank schon jetzt und viele Grüße Leo PS: Da das log eine ganz normale E-Mail zustellung aufzeigt habe ich es mal nicht mit angehängt, kann ich auf Wunsch aber machen. From Ralf.Hildebrandt at charite.de Fri Aug 20 10:07:30 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 20 Aug 2010 10:07:30 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net> Message-ID: <20100820080730.GJ14098@charite.de> * leo at leo-unglaub.net : > Hallo Leute, > ich habe aktuell das Problem das mein Server mit Spam Mails vollgemüllt > wird. Seit ca. 3 Stunden greifen meine header_checks nicht mehr. Es wurde > jedoch nichts am Server oder der konfiguration geändert. Auch das Log weißt > keine Fehler auf. Die Mails werden einfach alle durchgeleitet. > > In der main.cf habe ich die header_checks richtig configuriert: > > mail:/etc/postfix/maps# postconf header_checks > > header_checks = pcre:/etc/postfix/maps/header_check > > Die Datei selbst ist auch dort und postfix hat auch die entsprechenden > Rechte für die Datei: > > -rw-r--r-- 1 root root 8.1K Aug 20 09:53 header_check > > pcre ist auch am Server verfügbar. > > mail:/etc/postfix/maps# postconf -m | grep pcre > > pcre > > Eine Beispielregel wäre folgende aus der Zeit der Schweinegrippe welche > mir damals tausende Mails geblockt hat. > > /^Subject:.*Swine/ REJECT Spam ID E-023: forbidden words in subject: > *Swine > > Jedoch wird das E-Mail ganz normal zugestellt. Weiß jemand von euch warum? Keine Ahnung, machst sicher was falsch :) EInfacher Test: In /etc/postfix/maps/header_check eintragen: /./ WARN "postfix reload" und mal gucken was passiert. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From christian at roessner-net.com Fri Aug 20 10:14:21 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Fri, 20 Aug 2010 10:14:21 +0200 Subject: [Postfixbuch-users] OT: Dovecot 2.0 In-Reply-To: <20100820070923.GD31323@mail.incertum.net> References: <2C748FFA-A30C-492A-98BB-0E0FD5C4DDEC@roessner-net.com> <20100820070923.GD31323@mail.incertum.net> Message-ID: <3A0E2C36-CDE3-49F7-B604-E3071D2BCEF8@roessner-net.com> Hallo, ich habe wirklich nur die vorhandenen *.dsc, *.changes... genutzt und das unter Ubuntu laufen lassen. Das Epoch auf 2 zu setzen, war also Stephans Idee. Ich habe ihm übrigens geschrieben und er hat im Prinzip nichts dagegen, dass es bei mir auf der Seite liegt. Er selbst bietet aber auch direkt ein Repo an: http://download.opensuse.org/repositories/home:/sbosch:/dovecot-2.0/xUbuntu_10.04/ Das hat er nur leider irgendwie nicht gut veröffentlicht, was er auch selbst schon gemerkt hat :-) Ihr könnt also quasi "offizielle" Pakete von Dovecot 2 über dieses Repo ziehen, wobei ich nicht weiß, ab das Sieve-Zeug darin stable oder dev ist. Grüße Christian P.S.: Ich habe in diesem Zusammenhang jetzt direkt die Ubuntu Maintainer angefragt, wie sie das in zukünftigen Releases handeln. Falls das Epoch auf 1 bleibt, baue ich die Pakete neu. Kann ich mir aber nicht vorstellen ;-) Am 20.08.2010 um 09:09 schrieb Stefan Förster: > Hallo Christian, > > * Christian Rößner : >> Ich habe dazu ein Repository für i386/amd64 erstellt. Wer Interesse daran hat, kann hier mal schauen: >> >> http://www.roessner-network-solutions.com/?p=553#more-553 > > nur so aus Interesse: Warum hast Du den (die? das?) Epoch auf "2" > erhöht? Wenn die offiziellen Pakete da nicht mitziehen, gibt's doch > nur eine Upgrade-Mongose[1]... > > Stefan > > [1] http://www.mongose.eu/ > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From christian at roessner-net.com Fri Aug 20 10:18:40 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Fri, 20 Aug 2010 10:18:40 +0200 Subject: [Postfixbuch-users] OT: Dovecot 2.0 In-Reply-To: <3A0E2C36-CDE3-49F7-B604-E3071D2BCEF8@roessner-net.com> References: <2C748FFA-A30C-492A-98BB-0E0FD5C4DDEC@roessner-net.com> <20100820070923.GD31323@mail.incertum.net> <3A0E2C36-CDE3-49F7-B604-E3071D2BCEF8@roessner-net.com> Message-ID: <89664801-6EB4-4D0D-91B9-8A7B4EA8E722@roessner-net.com> Nachtrag: Sowohl meine Pakete als auch die von Stephan sind mit Pingeonhole sieve gepatcht. Mein Repo ändert sich nicht täglich, das u.g. mit jedem Mercurial Update. Der "Sieve"-Teil ist quasi dev, der Dovecotkram stable. Ich persönlich finde das nicht tragisch, aber das muss jeder selbst entscheiden. Am 20.08.2010 um 10:14 schrieb Christian Rößner: > Hallo, > > ich habe wirklich nur die vorhandenen *.dsc, *.changes... genutzt und das unter Ubuntu laufen lassen. Das Epoch auf 2 zu setzen, war also Stephans Idee. Ich habe ihm übrigens geschrieben und er hat im Prinzip nichts dagegen, dass es bei mir auf der Seite liegt. Er selbst bietet aber auch direkt ein Repo an: > > http://download.opensuse.org/repositories/home:/sbosch:/dovecot-2.0/xUbuntu_10.04/ > > Das hat er nur leider irgendwie nicht gut veröffentlicht, was er auch selbst schon gemerkt hat :-) > > Ihr könnt also quasi "offizielle" Pakete von Dovecot 2 über dieses Repo ziehen, wobei ich nicht weiß, ab das Sieve-Zeug darin stable oder dev ist. > > Grüße > Christian > > P.S.: Ich habe in diesem Zusammenhang jetzt direkt die Ubuntu Maintainer angefragt, wie sie das in zukünftigen Releases handeln. Falls das Epoch auf 1 bleibt, baue ich die Pakete neu. Kann ich mir aber nicht vorstellen ;-) > > Am 20.08.2010 um 09:09 schrieb Stefan Förster: > >> Hallo Christian, >> >> * Christian Rößner : >>> Ich habe dazu ein Repository für i386/amd64 erstellt. Wer Interesse daran hat, kann hier mal schauen: >>> >>> http://www.roessner-network-solutions.com/?p=553#more-553 >> >> nur so aus Interesse: Warum hast Du den (die? das?) Epoch auf "2" >> erhöht? Wenn die offiziellen Pakete da nicht mitziehen, gibt's doch >> nur eine Upgrade-Mongose[1]... >> >> Stefan >> >> [1] http://www.mongose.eu/ >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From leo at leo-unglaub.net Fri Aug 20 10:31:37 2010 From: leo at leo-unglaub.net (leo at leo-unglaub.net) Date: Fri, 20 Aug 2010 10:31:37 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Postfix_ignoriert_header=5Fchecks?= In-Reply-To: <20100820080730.GJ14098@charite.de> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net> <20100820080730.GJ14098@charite.de> Message-ID: <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> Hallo ! >> Jedoch wird das E-Mail ganz normal zugestellt. Weiß jemand von euch >> warum? > > Keine Ahnung, machst sicher was falsch :) ja, an so was habe ich auch schon gedacht :) > EInfacher Test: > > In /etc/postfix/maps/header_check eintragen: > > /./ WARN Das habe ich gemacht, allerdings ebenfalls ohne irgend eine Auswirkung. Hier der Log-Auszug. leo.unglaub at gmail.com bin ich und die unglaub at e-c-o.at Adresse ist der Empfänger. > Aug 20 10:14:11 mail postfix/smtpd[10610]: connect from mail-qw0-f49.google.com[209.85.216.49] > Aug 20 10:14:11 mail postfix/policyd-weight[24182]: decided action=PREPEND X-policyd-weight: using cached result; rate:hard: -8.4; ; delay: 0s > Aug 20 10:14:11 mail postgrey[3644]: action=pass, reason=client whitelist, client_name=mail-qw0-f49.google.com, client_address=209.85.216.49, sender=leo.u nglaub at gmail.com, recipient=unglaub at e-c-o.at > Aug 20 10:14:12 mail postfix/cleanup[10616]: ED82E18011: message-id=<20100820081411.ED82E18011 at mail.e-c-o.at> > Aug 20 10:14:12 mail postfix/qmgr[10609]: ED82E18011: from=, size=260, nrcpt=1 (queue active) > Aug 20 10:14:12 mail postfix/pipe[10618]: ED82E18011: to=, relay=dovecot, delay=0.07, delays=0.05/0.01/0/0.01, dsn=2.0.0, status=deliver able (delivers to command: /usr/lib/dovecot/deliver) > Aug 20 10:14:12 mail postfix/qmgr[10609]: ED82E18011: removed > Aug 20 10:14:14 mail postfix/smtpd[10610]: NOQUEUE: client=mail-qw0-f49.google.com[209.85.216.49] > Aug 20 10:14:16 mail postfix/smtpd[10621]: connect from localhost[127.0.0.1] > Aug 20 10:14:16 mail postfix/smtpd[10621]: 43CA718011: client=mail-qw0-f49.google.com[209.85.216.49] > Aug 20 10:14:16 mail postfix/cleanup[10616]: 43CA718011: message-id= > Aug 20 10:14:16 mail postfix/smtpd[10621]: disconnect from localhost[127.0.0.1] > Aug 20 10:14:16 mail amavis[10171]: (10171-04) Passed CLEAN, [209.85.216.49] [209.85.216.49] -> , Message-ID: , mail_id: ukETIsd21otl, Hits: -0.1, size: 1654, queued_as: 43CA718011, 1323 ms > Aug 20 10:14:16 mail postfix/qmgr[10609]: 43CA718011: from=, size=2347, nrcpt=2 (queue active) > Aug 20 10:14:16 mail postfix/pipe[10618]: 43CA718011: to=, relay=dovecot, delay=0.08, delays=0.02/0/0/0.06, dsn=2.0.0, status=sent (deli vered via dovecot service) > Aug 20 10:14:16 mail postfix/pipe[10622]: 43CA718011: to=<@auto-reply.e-c-o.at>, relay=vacation, delay=0.3, delays=0.02/0.01/0/0.27, dsn=2.0.0, status=sen t (delivered via vacation service) > Aug 20 10:14:16 mail postfix/qmgr[10609]: 43CA718011: removed Ich finde das ganze sehr komisch. Ich habe alles gechekct was mir einfällt. Platten voll, Swap, Festplatten, die struktur der .deb Pakete. So langsam fällt mir dazu auch nichts mehr ein. Viele Grüße Leo From driessen at fblan.de Fri Aug 20 10:36:52 2010 From: driessen at fblan.de (Uwe Driessen) Date: Fri, 20 Aug 2010 10:36:52 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net><20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> Message-ID: <000c01cb4042$d7735470$0565a8c0@uwe> On Behalf Of leo at leo-unglaub.net > > Ich finde das ganze sehr komisch. Ich habe alles gechekct was mir > einfällt. Platten voll, Swap, Festplatten, die struktur der .deb Pakete. So > langsam fällt mir dazu auch nichts mehr ein. > Viele Grüße > Leo > -- Postconf -n Und Master.cf ohne Kommentare ? Evtl. ist ja nur ein Schreibfehler drin oder ein Sonder-Zeichen das nicht reingehört. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From leo at leo-unglaub.net Fri Aug 20 11:04:01 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Fri, 20 Aug 2010 11:04:01 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <000c01cb4042$d7735470$0565a8c0@uwe> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net><20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> <000c01cb4042$d7735470$0565a8c0@uwe> Message-ID: <4C6E4501.8000007@leo-unglaub.net> Hallo ! Ich muss mich zuerst für das schrecklich gequotete log-file entschuldigen, aber roundcube hat mir da einne Strich durch die Rechnung gemacht. Nun habe ich meinen thunderbird wieder, da geht das besser ;) > Postconf -n > > Und Master.cf ohne Kommentare ? > > Evtl. ist ja nur ein Schreibfehler drin oder ein Sonder-Zeichen das nicht reingehört Ich habe mich zwar bemüht so was zu vermeiden, aber 4 Augen sehen mehr als 2. Hier zuerst die main.cf > alias_database = btree:/etc/aliases > alias_maps = btree:/etc/aliases > append_dot_mydomain = no > biff = no > broken_sasl_auth_clients = yes > canonical_maps = btree:/etc/postfix/maps/sender_canonical_maps > config_directory = /etc/postfix > default_database_type = btree > delay_warning_time = 4h > header_checks = pcre:/etc/postfix/maps/header_check > html_directory = /usr/share/doc/postfix/html > inet_interfaces = all > local_recipient_maps = btree:/etc/postfix/maps/local_recipient_maps > mailbox_command = /usr/lib/dovecot/deliver > mailbox_size_limit = 0 > mailbox_transport = dovecot > message_size_limit = 30000000 > mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost > myhostname = mail.e-c-o.at > mynetworks = 192.168.1.230 85.25.151.126 192.168.1.200 192.168.1.236 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = /etc/mailname > readme_directory = /usr/share/doc/postfix > recipient_bcc_maps = btree:/etc/postfix/maps/recipient_bcc_maps > recipient_delimiter = + > relayhost = [smtp.inode.at] > sender_bcc_maps = btree:/etc/postfix/maps/sender_bcc_maps > sender_canonical_maps = btree:/etc/postfix/maps/sender_canonical_maps > smtp_sasl_auth_enable = no > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/checks/whitelist_rfc_recipient, check_client_access btree:/etc/postfix/checks/check_client_access, check_helo_access btree:/etc/postfix/checks/check_helo_access, check_sender_access btree:/etc/postfix/checks/check_sender_access, check_recipient_access btree:/etc/postfix/checks/check_recipient_access, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:60000, reject_unverified_recipient, permit_mx_backup, reject_unauth_destination, permit > smtpd_sasl_auth_enable = yes > smtpd_sasl_authenticated_header = yes > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous > smtpd_sasl_type = dovecot > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > soft_bounce = no > strict_rfc821_envelopes = yes > transport_maps = btree:/etc/postfix/maps/transport_maps > virtual_alias_domains = btree:/etc/postfix/maps/virtual_alias_domains > virtual_alias_maps = btree:/etc/postfix/maps/virtual_alias_maps > virtual_transport = dovecot und hier die master.cf > smtp inet n - - - 10 smtpd > -o smtpd_proxy_filter=localhost:10024 > -o smtpd_client_connection_count_limit=10 > pickup fifo n - - 60 1 pickup > cleanup unix n - - - 0 cleanup > qmgr fifo n - n 300 1 qmgr > tlsmgr unix - - - 1000? 1 tlsmgr > rewrite unix - - - - - trivial-rewrite > bounce unix - - - - 0 bounce > defer unix - - - - 0 bounce > trace unix - - - - 0 bounce > verify unix - - - - 1 verify > flush unix n - - 1000? 0 flush > proxymap unix - - n - - proxymap > proxywrite unix - - n - 1 proxymap > smtp unix - - - - - smtp > showq unix n - - - - showq > error unix - - - - - error > retry unix - - - - - error > discard unix - - - - - discard > local unix - n n - - local > virtual unix - n n - - virtual > lmtp unix - - n - - lmtp > anvil unix - - - - 1 anvil > scache unix - - - - 1 scache > > # Out of office mails > vacation unix - n n - - pipe > flags=Rhu user=vacation argv=/var/spool/vacation/vacation.pl > > > # Dovecot LDA > dovecot unix - n n - - pipe > flags=DRhu user=dovecot-data:dovecot-data > argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} > > > # AMAVIS Transportweg > smtp-amavis unix - - n - 10 lmtp > -o lmtp_data_done_timeout=1200 > -o lmtp_send_xforward_command=yes > -o disable_dns_lookups=yes > -o max_use=50 > > > # Pruefung und Rueckgabe von AMAVIS an Postfix > 127.0.0.1:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o > receive_override_options=no_unknown_recipient_checks,no_header_body_checks Ich hoffe das hilft und ihr habt irgend eine Idee. Vielen Dank und viele Grüße Leo From Ralf.Hildebrandt at charite.de Fri Aug 20 11:05:38 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 20 Aug 2010 11:05:38 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net> <20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> Message-ID: <20100820090538.GB31306@charite.de> * leo at leo-unglaub.net : > Hallo ! > >> Jedoch wird das E-Mail ganz normal zugestellt. Weiß jemand von euch > >> warum? > > > > Keine Ahnung, machst sicher was falsch :) > ja, an so was habe ich auch schon gedacht :) > > > > EInfacher Test: > > > > In /etc/postfix/maps/header_check eintragen: > > > > /./ WARN > Das habe ich gemacht, allerdings ebenfalls ohne irgend eine Auswirkung. > Hier der Log-Auszug. leo.unglaub at gmail.com bin ich und die unglaub at e-c-o.at > Adresse ist der Empfänger. Zeig mal master.cf Entweder hats Du dich bei der header_checks datei vertippt /falscher Pfad) ODER du hast receive_override_options an! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From leo at leo-unglaub.net Fri Aug 20 11:11:04 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Fri, 20 Aug 2010 11:11:04 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <20100820090538.GB31306@charite.de> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net> <20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net> <20100820090538.GB31306@charite.de> Message-ID: <4C6E46A8.1040502@leo-unglaub.net> Hallo ! Am 20.08.2010 11:05, schrieb Ralf Hildebrandt: > Zeig mal master.cf > > Entweder hats Du dich bei der header_checks datei vertippt /falscher > Pfad) ODER du hast receive_override_options an! Ging vor 2 Sekunden raus ;) Viele Grüße Leo From christian at roessner-net.com Fri Aug 20 12:05:34 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Fri, 20 Aug 2010 12:05:34 +0200 Subject: [Postfixbuch-users] OT: Dovecot 2.0 In-Reply-To: <89664801-6EB4-4D0D-91B9-8A7B4EA8E722@roessner-net.com> References: <2C748FFA-A30C-492A-98BB-0E0FD5C4DDEC@roessner-net.com> <20100820070923.GD31323@mail.incertum.net> <3A0E2C36-CDE3-49F7-B604-E3071D2BCEF8@roessner-net.com> <89664801-6EB4-4D0D-91B9-8A7B4EA8E722@roessner-net.com> Message-ID: <691F2066-9E50-4CA9-A9F2-394A2D3826BE@roessner-net.com> Nachtrag 2: Der Epoch (oder das die lol) wird 1 bleiben. Ich wurde gefragt, ob ich den Maintainern von Ubuntu da behilflich sein könnte. Ich werde also die Pakete für das nächste Release bauen. Dann evtl. im PPA von Launchpad ohne ~rns Zeug. Mal sehen, wie das so läuft. Ferner habe ich Stephan kontaktiert und ihn um Assistenz gebeten, ein "stable" Patch-Set für pigeonhole einzubauen. Stay tuned :-) Christian Am 20.08.2010 um 10:18 schrieb Christian Rößner: > Nachtrag: > > Sowohl meine Pakete als auch die von Stephan sind mit Pingeonhole sieve gepatcht. Mein Repo ändert sich nicht täglich, das u.g. mit jedem Mercurial Update. Der "Sieve"-Teil ist quasi dev, der Dovecotkram stable. Ich persönlich finde das nicht tragisch, aber das muss jeder selbst entscheiden. > Am 20.08.2010 um 10:14 schrieb Christian Rößner: > >> Hallo, >> >> ich habe wirklich nur die vorhandenen *.dsc, *.changes... genutzt und das unter Ubuntu laufen lassen. Das Epoch auf 2 zu setzen, war also Stephans Idee. Ich habe ihm übrigens geschrieben und er hat im Prinzip nichts dagegen, dass es bei mir auf der Seite liegt. Er selbst bietet aber auch direkt ein Repo an: >> >> http://download.opensuse.org/repositories/home:/sbosch:/dovecot-2.0/xUbuntu_10.04/ >> >> Das hat er nur leider irgendwie nicht gut veröffentlicht, was er auch selbst schon gemerkt hat :-) >> >> Ihr könnt also quasi "offizielle" Pakete von Dovecot 2 über dieses Repo ziehen, wobei ich nicht weiß, ab das Sieve-Zeug darin stable oder dev ist. >> >> Grüße >> Christian >> >> P.S.: Ich habe in diesem Zusammenhang jetzt direkt die Ubuntu Maintainer angefragt, wie sie das in zukünftigen Releases handeln. Falls das Epoch auf 1 bleibt, baue ich die Pakete neu. Kann ich mir aber nicht vorstellen ;-) >> >> Am 20.08.2010 um 09:09 schrieb Stefan Förster: >> >>> Hallo Christian, >>> >>> * Christian Rößner : >>>> Ich habe dazu ein Repository für i386/amd64 erstellt. Wer Interesse daran hat, kann hier mal schauen: >>>> >>>> http://www.roessner-network-solutions.com/?p=553#more-553 >>> >>> nur so aus Interesse: Warum hast Du den (die? das?) Epoch auf "2" >>> erhöht? Wenn die offiziellen Pakete da nicht mitziehen, gibt's doch >>> nur eine Upgrade-Mongose[1]... >>> >>> Stefan >>> >>> [1] http://www.mongose.eu/ >>> -- >>> _______________________________________________ >>> Postfixbuch-users -- http://www.postfixbuch.de >>> Heinlein Professional Linux Support GmbH >>> >>> Postfixbuch-users at listen.jpberlin.de >>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users >> >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From driessen at fblan.de Fri Aug 20 12:15:58 2010 From: driessen at fblan.de (Uwe Driessen) Date: Fri, 20 Aug 2010 12:15:58 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <4C6E4501.8000007@leo-unglaub.net> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net><20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net><000c01cb4042$d7735470$0565a8c0@uwe> <4C6E4501.8000007@leo-unglaub.net> Message-ID: <001901cb4050$af1150a0$0565a8c0@uwe> Leo Unglaub > Hallo ! > Ich muss mich zuerst für das schrecklich gequotete log-file > entschuldigen, aber roundcube hat mir da einne Strich durch die Rechnung > gemacht. Nun habe ich meinen thunderbird wieder, da geht das besser ;) > > und hier die master.cf > > smtp inet n - - - 10 smtpd > > -o smtpd_proxy_filter=localhost:10024 Direkt nach der Einlieferung an AMavis > > -o smtpd_client_connection_count_limit=10 > > pickup fifo n - - 60 1 pickup > > # Pruefung und Rueckgabe von AMAVIS an Postfix > > 127.0.0.1:10025 inet n - n - - smtpd > > -o content_filter= > > -o smtpd_proxy_filter= > > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > > -o smtpd_client_restrictions= > > -o smtpd_helo_restrictions= > > -o smtpd_sender_restrictions= > > -o smtpd_recipient_restrictions=permit_mynetworks,reject > > -o smtpd_data_restrictions= > > -o mynetworks=127.0.0.0/8 > > -o > > receive_override_options=no_unknown_recipient_checks,no_header_body_checks Jap hier zurück von AMavis keine Header_body Ich habe die unter cleanup wegen Proxyfilter eingetragen cleanup unix n - - - 0 cleanup -o header_checks=pcre:/etc/postfix/checks/header_smtp,pcre:/etc/postfix/checks/header_checks, pcre:/etc/postfix/checks/header_checks.fblan -o body_checks=pcre:/etc/postfix/checks/body_checks,pcre:/etc/postfix/checks/body-deny Ich weis allerdings nicht mehr warum gerade unter dem cleanup und nicht unter smtp > Ich hoffe das hilft und ihr habt irgend eine Idee. > Vielen Dank und viele Grüße > Leo > -- Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From leo at leo-unglaub.net Fri Aug 20 13:13:20 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Fri, 20 Aug 2010 13:13:20 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <001901cb4050$af1150a0$0565a8c0@uwe> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net><20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net><000c01cb4042$d7735470$0565a8c0@uwe> <4C6E4501.8000007@leo-unglaub.net> <001901cb4050$af1150a0$0565a8c0@uwe> Message-ID: <4C6E6350.9070307@leo-unglaub.net> Hallo Am 20.08.2010 12:15, schrieb Uwe Driessen: > Ich habe die unter cleanup wegen Proxyfilter eingetragen > > cleanup unix n - - - 0 cleanup > -o > header_checks=pcre:/etc/postfix/checks/header_smtp,pcre:/etc/postfix/checks/header_checks, > pcre:/etc/postfix/checks/header_checks.fblan > -o body_checks=pcre:/etc/postfix/checks/body_checks,pcre:/etc/postfix/checks/body-deny > > Ich weis allerdings nicht mehr warum gerade unter dem cleanup und nicht unter smtp Ich habe meine master.cf nun so abgeändert und den eintrag in der main.cf auskommentiert. Nichts, rein gar nichts. > smtp inet n - - - 10 smtpd > -o smtpd_proxy_filter=localhost:10024 > -o smtpd_client_connection_count_limit=10 > pickup fifo n - - 60 1 pickup > cleanup unix n - - - 0 cleanup > -o header_checks=pcre:/etc/postfix/maps/header_check > qmgr fifo n - n 300 1 qmgr > tlsmgr unix - - - 1000? 1 tlsmgr > rewrite unix - - - - - trivial-rewrite > bounce unix - - - - 0 bounce > defer unix - - - - 0 bounce > trace unix - - - - 0 bounce > verify unix - - - - 1 verify > flush unix n - - 1000? 0 flush > proxymap unix - - n - - proxymap > proxywrite unix - - n - 1 proxymap > smtp unix - - - - - smtp > showq unix n - - - - showq > error unix - - - - - error > retry unix - - - - - error > discard unix - - - - - discard > local unix - n n - - local > virtual unix - n n - - virtual > lmtp unix - - n - - lmtp > anvil unix - - - - 1 anvil > scache unix - - - - 1 scache > > > # ==================================================================== > # Interfaces to non-Postfix software. Be sure to examine the manual > # pages of the non-Postfix software to find out what options it wants. > # ==================================================================== > > # Out of office mails > vacation unix - n n - - pipe > flags=Rhu user=vacation argv=/var/spool/vacation/vacation.pl > > > # Dovecot LDA > dovecot unix - n n - - pipe > flags=DRhu user=dovecot-data:dovecot-data argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient} > > > # AMAVIS Transportweg > smtp-amavis unix - - n - 10 lmtp > -o lmtp_data_done_timeout=1200 > -o lmtp_send_xforward_command=yes > -o disable_dns_lookups=yes > -o max_use=50 > > > # Pruefung und Rueckgabe von AMAVIS an Postfix > 127.0.0.1:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks Irgend wie ist das echt komisch. Selbst der Windows-Standard-Trick "reboot" hat nichts gebracht. From driessen at fblan.de Fri Aug 20 13:23:38 2010 From: driessen at fblan.de (Uwe Driessen) Date: Fri, 20 Aug 2010 13:23:38 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <4C6E6350.9070307@leo-unglaub.net> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net><20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net><000c01cb4042$d7735470$0565a8c0@uwe> <4C6E4501.8000007@leo-unglaub.net><001901cb4050$af1150a0$0565a8c0@uwe> <4C6E6350.9070307@leo-unglaub.net> Message-ID: <002601cb405a$23421a00$0565a8c0@uwe> On Behalf Of Leo Unglaub > > # Pruefung und Rueckgabe von AMAVIS an Postfix > > 127.0.0.1:10025 inet n - n - - smtpd > > -o content_filter= > > -o smtpd_proxy_filter= > > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > > -o smtpd_client_restrictions= > > -o smtpd_helo_restrictions= > > -o smtpd_sender_restrictions= > > -o smtpd_recipient_restrictions=permit_mynetworks,reject > > -o smtpd_data_restrictions= > > -o mynetworks=127.0.0.0/8 Nimm die Zeile auch mal aus dem Amavis rücktransport raus > > -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks Denn du willst ja das die Body und Headerchecks durchgeführt werden > Irgend wie ist das echt komisch. Selbst der Windows-Standard-Trick > "reboot" hat nichts gebracht. Ich weis auch wieder warum unter cleanup Ich habe unterschiedliche checks für pickup, smtp und submission laufen. Sollte also ausreichen die obige Zeile zu entfernen da du eh prequeu filter machst und die Header und Body erst danach kommen. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From leo at leo-unglaub.net Fri Aug 20 13:34:57 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Fri, 20 Aug 2010 13:34:57 +0200 Subject: [Postfixbuch-users] Postfix ignoriert header_checks In-Reply-To: <002601cb405a$23421a00$0565a8c0@uwe> References: <71b5cbdbb429e4fb375ea55aef7f6b4a@mail.lu-hosting.net><20100820080730.GJ14098@charite.de> <2fe4a2b39500f840be7adf77fda370d4@mail.lu-hosting.net><000c01cb4042$d7735470$0565a8c0@uwe> <4C6E4501.8000007@leo-unglaub.net><001901cb4050$af1150a0$0565a8c0@uwe> <4C6E6350.9070307@leo-unglaub.net> <002601cb405a$23421a00$0565a8c0@uwe> Message-ID: <4C6E6861.6030709@leo-unglaub.net> Hallo ! Am 20.08.2010 13:23, schrieb Uwe Driessen: > Sollte also ausreichen die obige Zeile zu entfernen da du eh prequeu filter machst und die > Header und Body erst danach kommen. Mist, die Reihenfolge hatte ich total vergessen. Das erklärt einiges. Sorry für dieses Wirrwar, aber nun funktioniert es. Danke dir Uwe viele Grüße Leo From mailinglisten at it-blog.net Fri Aug 20 14:54:45 2010 From: mailinglisten at it-blog.net (Pascal) Date: Fri, 20 Aug 2010 14:54:45 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?Weitergeleitete_Mails_nicht_l?= =?iso-8859-15?q?okal=2C_sondern_=FCber_MX_zustellen?= Message-ID: <4C6E7B15.2060400@it-blog.net> Hallo zusammen! Ich bin momentan dabei, ein sehr komplexes Mailsystem aufzubauen. Dabei gibt es nun folgendes Problem: Mittels "virtual_alias_maps" werden Weiterleitungen erzeugt. Wird nun eine Mail verarbeitet, für die eine Weiterleitung an eine Adresse auf dem selben Mailserver existiert, so wird die Mail direkt lokal zugestellt. Vom Prinzip her ist das natürlich nicht falsch. In meinem Fall führt es allerdings dazu, dass die Absender-Blacklist des Weiterleitungsziels nicht mehr berücksichtigt wird. Daher ist meine Überlegung nun, ob Postfix eine Möglichkeit bietet, die weitergeleitete Mail an den zuständigen MX zuzustellen. Somit würde die Mail trotzdem den normalen Weg gehen. Hat jemand eine Idee, ob und ggf. wie dies möglich ist? MfG Pascal -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch at cboltz.de Fri Aug 20 20:21:13 2010 From: postfixbuch at cboltz.de (Christian Boltz) Date: Fri, 20 Aug 2010 20:21:13 +0200 Subject: [Postfixbuch-users] Hotmail-Rejects SC-001 Message-ID: <201008202021.13447@tux.boltz.de.vu> Hallo zusammen, ein von mir betreuter Server scheint bei Hotmail unbeliebt zu sein - seit (meines Wissens) ein paar Tagen bekomme ich beim Versuch, eine Mail zu verwenden, nur einen "550 SC-001 Mail recected" von Hotmail. Vom betroffenen Server aus: # telnet mx1.hotmail.com 25 Trying 65.55.37.72... Connected to mx1.hotmail.com. Escape character is '^]'. 220 col0-mc1-f27.Col0.hotmail.com Sending unsolicited commercial or bulk e-mail to Microsoft's computer network is prohibited. Other restrictions are found at http://privacy.msn.com/Anti-spam/. Violations will result in use of equipment located in California and other states. Fri, 20 Aug 2010 11:09:43 -0700 helo example.com 250 col0-mc1-f27.Col0.hotmail.com (3.11.0.113) Hello [78.46.**.**] mail from: 550 SC-001 Mail rejected by Windows Live Hotmail for policy reasons. Reasons for rejection may be related to content with spam-like characteristics or IP/domain reputation problems. If you are not an email/network admin please contact your E-mail/Internet Service Provider for help. Email/network admins, please visit http://postmaster.live.com for email delivery information and support Connection closed by foreign host. (example.com und 78.46.**.** sind natürlich nur Platzhalter ;-) Hat jemand eine Ahnung, was dieser Fehlercode von Hotmail im Klartext bedeutet (sprich: warum ist der Server auf deren Blacklist?) - postmaster.live.com ist diesbezüglich nicht wirklich hilfreich. Eine Google-Suche nach der Fehlermeldung hat auch nur ein paar Leidensgenossen, aber keine Antworten gebracht. Was postmaster.live.com ebenfalls nicht beantwortet: Wie komme ich von der Hotmail-Blacklist wieder runter? Gruß Christian Boltz -- Schau mal ins Listenarchiv und versuch mal, Bernds Antworten zu zählen - und dann schreib das noch mal. Jetzt hast du wirklich dem Falschen ans Bein gepinkelt! [Jan Trippler in suse-linux] From Ralf.Hildebrandt at charite.de Fri Aug 20 20:41:34 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 20 Aug 2010 20:41:34 +0200 Subject: [Postfixbuch-users] Hotmail-Rejects SC-001 In-Reply-To: <201008202021.13447@tux.boltz.de.vu> References: <201008202021.13447@tux.boltz.de.vu> Message-ID: <20100820184134.GA30134@charite.de> * Christian Boltz : > Hat jemand eine Ahnung, was dieser Fehlercode von Hotmail im Klartext > bedeutet (sprich: warum ist der Server auf deren Blacklist?) - > postmaster.live.com ist diesbezüglich nicht wirklich hilfreich. Höh? Bist du schon in deren Feeback Loop? Dann kannst Du genau sehen was das Problem ist (für jede IP wird angezeigt, was die monieren) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfixbuch at cboltz.de Sat Aug 21 01:09:34 2010 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sat, 21 Aug 2010 01:09:34 +0200 Subject: [Postfixbuch-users] Hotmail-Rejects SC-001 In-Reply-To: <20100820184134.GA30134@charite.de> References: <201008202021.13447@tux.boltz.de.vu> <20100820184134.GA30134@charite.de> Message-ID: <201008210109.35080@tux.boltz.de.vu> Hallo Ralf, hallo Leute, Am Freitag, 20. August 2010 schrieb Ralf Hildebrandt: > * Christian Boltz : > > Hat jemand eine Ahnung, was dieser Fehlercode von Hotmail im > > Klartext bedeutet (sprich: warum ist der Server auf deren > > Blacklist?) - postmaster.live.com ist diesbezüglich nicht wirklich > > hilfreich. > > Höh? Bist du schon in deren Feeback Loop? Dann kannst Du genau sehen > was das Problem ist (für jede IP wird angezeigt, was die monieren) Da war ich bisher nicht [1] und habe mich gerade angemeldet. Zumindest momentan werden aber keine Probleme angezeigt, obwohl die IP immer noch geblockt ist. Ich habe mir mal das extrem längliche Formular angetan, mit dem man von der Blacklist runterkommen soll. Mal sehen, ob es hilft... Gruß Christian Boltz [1] Was ich von Feedback Loops halte, ist eine andere Sache, wäre hier aber wohl OT. -- Confixx hat der Teufel erfunden, und weils so schmerzhaft ist, gleich danach Plesk. [Jim Knuth in postfixbuch-users] From cite at incertum.net Sat Aug 21 10:45:46 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Sat, 21 Aug 2010 10:45:46 +0200 Subject: [Postfixbuch-users] Hotmail-Rejects SC-001 In-Reply-To: <201008210109.35080@tux.boltz.de.vu> References: <201008202021.13447@tux.boltz.de.vu> <20100820184134.GA30134@charite.de> <201008210109.35080@tux.boltz.de.vu> Message-ID: <20100821084546.GF31323@mail.incertum.net> Hallo Christian, * Christian Boltz : > [1] Was ich von Feedback Loops halte, ist eine andere Sache, wäre hier > aber wohl OT. Du könntest den Teilthread ja mit "[OT]" im Betreff kennzeichnen. Mich würde Deine Meinung dazu schon interessieren. Ich persönlich halte FBLs für begrenzt brauchbar: Bei großen Mailinglisten kann man die Reports nehmen und dem MLM vorwerfen - quasi ein automatisches Unsubscribe. Das war's dann aber IMHO auch schon wieder mit deren Nutzen... Stefan From Ralf.Hildebrandt at charite.de Sat Aug 21 22:26:56 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 21 Aug 2010 22:26:56 +0200 Subject: [Postfixbuch-users] Hotmail-Rejects SC-001 In-Reply-To: <20100821084546.GF31323@mail.incertum.net> References: <201008202021.13447@tux.boltz.de.vu> <20100820184134.GA30134@charite.de> <201008210109.35080@tux.boltz.de.vu> <20100821084546.GF31323@mail.incertum.net> Message-ID: <20100821202656.GA1920@charite.de> * Stefan Förster : > Hallo Christian, > > * Christian Boltz : > > [1] Was ich von Feedback Loops halte, ist eine andere Sache, wäre hier > > aber wohl OT. > > Du könntest den Teilthread ja mit "[OT]" im Betreff kennzeichnen. Mich > würde Deine Meinung dazu schon interessieren. > > Ich persönlich halte FBLs für begrenzt brauchbar: Bei großen > Mailinglisten kann man die Reports nehmen und dem MLM vorwerfen - > quasi ein automatisches Unsubscribe. Das war's dann aber IMHO auch > schon wieder mit deren Nutzen... Ja, immerhin ist man die Deppen los die zu blöd zum Lesen sind. Das ist doch was! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From rainer.frey at inxmail.de Mon Aug 23 10:13:25 2010 From: rainer.frey at inxmail.de (Rainer Frey) Date: Mon, 23 Aug 2010 10:13:25 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin Message-ID: <201008231013.25838.rainer.frey@inxmail.de> Hallo Peer, hallo Liste, hab grade den Artikel zu Dovecot 2 im Linux-Magazin gelesen, und mir kommen da zwei Fragen zur Integration mit Postfix. Zum einen schlägst du ja vor, Relay-Domains und Transport-Maps in eine Datei zu legen: relay_domains=hash:/etc/postfix/relay_domains transport_maps=hash:/etc/postfix/transports,hash:/etc/postfix/relay_domains Wenn man keine unterschiedlichen Relay-Ziele hat, gibt es da einen Unterschied/Vorteil ggü. einfach relay_transport zu setzen(, den ich grade übersehe)? Die zweite Frage: du erwähnst ja kurz, virtuelle IMAP-User in Dovecot mit passwd-file abzubilden. Wie würdest du in dem Fall die Recipient-Validierung in Postfix machen? Per LMTP und reject_unverified_recipient? Oder wie definierst du da relay_recipient_maps? (Recipient-Verifizierung mit einem Pipe-Transport geht ja nicht, oder?) Selbst bei Backends die Postfix direkt lesen kann (wie SQL oder LDAP): eher Recipient-Verifizierung, oder eher relay_recipient_maps definieren? Wenn ich auch Peer direkt nach seinen Gedanken hinter dem Artikel frage, interessiert mich jede andere Meinung zu den Fragen natürlich auch :) Gruß aus (dem schon wieder verregneten) Freiburg Rainer From p.heinlein at heinlein-support.de Mon Aug 23 11:54:48 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 23 Aug 2010 11:54:48 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231013.25838.rainer.frey@inxmail.de> References: <201008231013.25838.rainer.frey@inxmail.de> Message-ID: <201008231154.48728.p.heinlein@heinlein-support.de> Am Montag 23 August 2010 schrieb Rainer Frey: Moin, > Zum einen schlägst du ja vor, Relay-Domains und Transport-Maps in > eine Datei zu legen: > relay_domains=hash:/etc/postfix/relay_domains > transport_maps=hash:/etc/postfix/transports,hash:/etc/postfix/relay_d >omains Yipp, empfehle ich immer. Egal ob Exchange, Cyrus, Dovecot oder sonstwas. > Wenn man keine unterschiedlichen Relay-Ziele hat, gibt es da einen > Unterschied/Vorteil ggü. einfach relay_transport zu setzen(, den ich > grade übersehe)? Verstehe ich nicht. Es geht ja nicht um den Transport, es geht ja auch um das Ziel. Postfix muß ja wissen WOHIN er damit soll. Und Zone-Views im DNS willst Du nicht. > Die zweite Frage: du erwähnst ja kurz, virtuelle IMAP-User in Dovecot > mit passwd-file abzubilden. Wie würdest du in dem Fall die > Recipient-Validierung in Postfix machen? Per LMTP und > reject_unverified_recipient? Oder wie definierst du da > relay_recipient_maps? Ja, das ist ja gerade das geile am LMTP. Bislang mußte man das passwd-File durch ein Einzeiler-Shell-Script in eine relay_recipient_maps für Postfix umrechnen und einen cron-Job haben. Mit LMTP nutzt man nun einfach reject_unverified_recipient und der Job ist erledigt. Egal ob das nun Dovecot oder Exchange ist (oder eben beides). > (Recipient-Verifizierung mit einem Pipe-Transport geht ja nicht, > oder?) Nee, darum freue ich mich ja so über LMTP. > Selbst bei Backends die Postfix direkt lesen kann (wie SQL oder > LDAP): eher Recipient-Verifizierung, oder eher relay_recipient_maps > definieren? Ich bin ein Freund von *Einheitlichkeit.* Und ich will nich das Rad jedes mal neu erfinden. Wenn ich vor einem Exchange einfach dynamisch verifiziere, warum nicht dann auch vor dem Dovecot? Ich würde es dynamisch machen. Weniger Abhängigkeiten, weniger Zugriffsrechteprobleme, weniger pipapo. Dovecot 2.0 läuft übrigens in unserer IMAP-Appliance bereits seit den Release-Kandidaten äußerst prima. Macht Spaß. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixbuch-users at gmj.cjb.net Mon Aug 23 12:05:23 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 23 Aug 2010 12:05:23 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231154.48728.p.heinlein@heinlein-support.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> Message-ID: <4C7247E3.4010607@gmj.cjb.net> Am 23.08.10 11:54, schrieb Peer Heinlein: [...] > Mit LMTP nutzt man nun einfach reject_unverified_recipient und der Job > ist erledigt. Egal ob das nun Dovecot oder Exchange ist (oder eben > beides). Handelt man sich damit nicht Probleme mit "veralteten" Cache- Einträgen ein? (Spammer fragt nach user at domain.tld, die nicht existiert -> "negativer Eintrag" landet im Cache, user at domain.tld wird angelegt, Mail an diesen wird aber innerhalb der Cache-Gültigkeit abgelehnt.) Gruß, Mathias From rainer.frey at inxmail.de Mon Aug 23 12:09:15 2010 From: rainer.frey at inxmail.de (Rainer Frey) Date: Mon, 23 Aug 2010 12:09:15 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231154.48728.p.heinlein@heinlein-support.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> Message-ID: <201008231209.16075.rainer.frey@inxmail.de> On Monday 23 August 2010 11:54:48 Peer Heinlein wrote: > Am Montag 23 August 2010 schrieb Rainer Frey: > > Moin, Moin, und danke für die schnelle Rückmeldung. > > > Zum einen schlägst du ja vor, Relay-Domains und Transport-Maps in > > eine Datei zu legen: > > relay_domains=hash:/etc/postfix/relay_domains > > transport_maps=hash:/etc/postfix/transports,hash:/etc/postfix/relay_d > > > >omains > > Yipp, empfehle ich immer. Egal ob Exchange, Cyrus, Dovecot oder > sonstwas. Ist clever, funktioniert, erschliesst sich aber nicht jedem auf den ersten Blick. > > > Wenn man keine unterschiedlichen Relay-Ziele hat, gibt es da einen > > Unterschied/Vorteil ggü. einfach relay_transport zu setzen(, den ich > > grade übersehe)? > > Verstehe ich nicht. Es geht ja nicht um den Transport, es geht ja auch > um das Ziel. Postfix muß ja wissen WOHIN er damit soll. Ich dachte an (für simples setup): relay_domains= oder hash:/etc/postfix/relay_domains relay_transport=dovecot: bzw relay_transport=lmtp:unix/lmt/socket/path Finde ich einfacher sofort zu verstehen. Würde das zu unterschiedlichem Verhalten führen? > Ich bin ein Freund von *Einheitlichkeit.* Und ich will nich das Rad > jedes mal neu erfinden. Wenn ich vor einem Exchange einfach dynamisch > verifiziere, warum nicht dann auch vor dem Dovecot? > > Ich würde es dynamisch machen. Weniger Abhängigkeiten, weniger > Zugriffsrechteprobleme, weniger pipapo. Praxisrelevante Nachteile bez. Performance oder Robustheit siehst du nicht? Anstatt z.B. Postfix => SQL wäre es ja Postifx=>LMTP-Dovecot=>SQL > Dovecot 2.0 läuft übrigens in unserer IMAP-Appliance bereits seit den > Release-Kandidaten äußerst prima. Macht Spaß. Cool. Unser nächster neu eingerichteter MX wird vermutlich auch damit laufen. > Mit freundlichen Grüßen > > Peer Heinlein Gruß Rainer From p.heinlein at heinlein-support.de Mon Aug 23 12:38:11 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 23 Aug 2010 12:38:11 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_u=2E_Dovecot_=282=29_-?= =?iso-8859-1?q?_Artikel_im=09Linuxmagazin?= In-Reply-To: <4C7247E3.4010607@gmj.cjb.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> <4C7247E3.4010607@gmj.cjb.net> Message-ID: <201008231238.11392.p.heinlein@heinlein-support.de> Am Montag 23 August 2010 schrieb Mathias Jeschke: > (Spammer fragt nach user at domain.tld, die nicht existiert -> > "negativer Eintrag" landet im Cache, user at domain.tld wird > angelegt, Mail an diesen wird aber innerhalb der Cache-Gültigkeit > abgelehnt.) Wenn ein Spammer soviele Internas über meine Firma weiß, daß er weiß, wen ich gestern eingestellt und für wen ich in den nächsten drei Studen einen Account einrichten werde... ... dann hätte ich mächtig Angst. Abgesehen davon: Der noch nicht angestellte Anwender hätte dann eine Runde Spam nicht bekommen. Oh. Das tut mir jetzt aber für ihn leid. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Mon Aug 23 12:44:43 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 23 Aug 2010 12:44:43 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231209.16075.rainer.frey@inxmail.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> <201008231209.16075.rainer.frey@inxmail.de> Message-ID: <201008231244.43382.p.heinlein@heinlein-support.de> Am Montag 23 August 2010 schrieb Rainer Frey: Moin, > > > relay_domains=hash:/etc/postfix/relay_domains > > > transport_maps=hash:/etc/postfix/transports,hash:/etc/postfix/rel > > >ay_d > > > > > >omains > > > > Yipp, empfehle ich immer. Egal ob Exchange, Cyrus, Dovecot oder > > sonstwas. Etwas besser ist dann übrigens: transport_maps = blafaselwie bislang auch, $relay_domains also einfach auf $relay_domains verweisen, statt die Pfade nochmal direkt reinzuschreiben. > Ich dachte an (für simples setup): > relay_domains= oder > hash:/etc/postfix/relay_domains relay_transport=dovecot: bzw > relay_transport=lmtp:unix/lmt/socket/path Ja, kann man machen. Aber Du mußt doch sowieso domain.de anything in die relay_domains schreiben. Nimm statt "anything" das Wort "dovecot:". Sind genauso viele Buchstaben. > Finde ich einfacher sofort zu verstehen. Würde das zu > unterschiedlichem Verhalten führen? Nee, aber was ich mit "echten" Routing-Einträgen machen kann ist, daß meine Frontrelay die Dovecot-Maschine *gleich* auf LMTP ansprechen und der lokale Postfix auf dem IMAP-Server als Zwischenstation entfällt (der ist dann nur noch Sending-Only für Bounces oder Sieve-Replys). Warum extra einen Hop haben? Und auf den Front-Relays mußt DU sonst ja auch den SMTP-Transportweg als Route einstellen. Also Flugs "lmtp:" statt "smtp:" geschrieben und alles ist supidupi. Außerdem behalte ICH durch meine explizite Angabe auch weiterhin die Möglichkeit, Relay-Domains ggf. auch mal NICHT direkt in den Dovecot zu routen. Die können ja auch mal auf das ticket-System, eine Testumgebung, den Exchgange oder sonstwohin gehen. Das geht bei Dir auch, ist aber schwieriger/komplexer/unübersichtlicher. Und, nochmal: Du sparts noch nicht mal Buchstabden beim Tippen. Wofür also der ganze Aufwand? Genaugenommen nimmst du mehr EInstellungen vor, als ich... > Praxisrelevante Nachteile bez. Performance oder Robustheit siehst du > nicht? Anstatt z.B. Postfix => SQL wäre es ja > Postifx=>LMTP-Dovecot=>SQL Nein. Die Performance ist *vorteilhafter* weil Postfix seine Anfragen ja nun aus dem lokalen Cache holt anstatt für jede Mail einen Query auf dei Datenbank loszulassen. Gerade in hochbelasteten Setups ist das doch *sehr* gut! Das ist ein Vorteil, kein Nachteil! Zumal auch Dovecot das ja intern nochmal cached und der braucht das durch Logins etc. ja sowieso. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixbuch-users at gmj.cjb.net Mon Aug 23 12:59:26 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 23 Aug 2010 12:59:26 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231238.11392.p.heinlein@heinlein-support.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> <4C7247E3.4010607@gmj.cjb.net> <201008231238.11392.p.heinlein@heinlein-support.de> Message-ID: <4C72548E.3010005@gmj.cjb.net> Am 23.08.10 12:38, schrieb Peer Heinlein: >> (Spammer fragt nach user at domain.tld, die nicht existiert -> >> "negativer Eintrag" landet im Cache, user at domain.tld wird >> angelegt, Mail an diesen wird aber innerhalb der Cache-Gültigkeit >> abgelehnt.) > > Wenn ein Spammer soviele Internas über meine Firma weiß, daß er weiß, > wen ich gestern eingestellt und für wen ich in den nächsten drei Studen > einen Account einrichten werde... Das war nur ein Beispiel! Bei internen Mailservern kann das ja auch bei regulären Mails passieren. (z.B. kurzfrister Ausfall des LDAP-Servers o.ä.) Zumal Mailserver ja auch manchmal direkt am "Internet hängen" sollen - habe ich zumindest mal davon gehört dass es sowas geben soll. ;-) > ... dann hätte ich mächtig Angst. Es soll auch "Accountnamen" geben, die in Wörterbüchern vorkommen und Caches speichern hin und wieder auch länger als "3 Stunden". Deshalb auch meine Frage, ob dieser Cache evtl. Probleme macht - leider bist Du darauf nicht eingegangen. > Abgesehen davon: Der noch nicht angestellte Anwender hätte dann eine > Runde Spam nicht bekommen. Oh. Das tut mir jetzt aber für ihn leid. Das verstehe ich jetzt nicht. Gruß, Mathias From andreas.schulze at datev.de Mon Aug 23 13:55:28 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 23 Aug 2010 13:55:28 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <4C72548E.3010005@gmj.cjb.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> <4C7247E3.4010607@gmj.cjb.net> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> Message-ID: <20100823115528.GB6440@spider.services.datevnet.de> > Am 23.08.10 12:38, schrieb Peer Heinlein: > >>> (Spammer fragt nach user at domain.tld, die nicht existiert -> >>> "negativer Eintrag" landet im Cache, user at domain.tld wird >>> angelegt, Mail an diesen wird aber innerhalb der Cache-Gültigkeit >>> abgelehnt.) s/Spammer/ungeduldiger_user/ Ich hatte mit den Standardwerten des Adressverify auch schon "Kontakt" Jedoch immer nur dann, die ein Test-Mail losschicken, bevor der Admin des Backend-Mailers den User eingerichtet hatte. Denen erscheint dann 3 Stunden warten unverständlich. Ich habe daher bei mir address_verify_negative_refresh_time runtergedreht. Andreas -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From postfixbuch-users at gmj.cjb.net Mon Aug 23 14:09:02 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 23 Aug 2010 14:09:02 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <20100823115528.GB6440@spider.services.datevnet.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> <4C7247E3.4010607@gmj.cjb.net> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> <20100823115528.GB6440@spider.services.datevnet.de> Message-ID: <4C7264DE.50807@gmj.cjb.net> Am 23.08.10 13:55, schrieb Andreas Schulze: > Ich hatte mit den Standardwerten des Adressverify auch schon "Kontakt" > Jedoch immer nur dann, die ein Test-Mail losschicken, bevor der Admin des Backend-Mailers > den User eingerichtet hatte. Denen erscheint dann 3 Stunden warten unverständlich. > > Ich habe daher bei mir address_verify_negative_refresh_time runtergedreht. Danke. Sprich man sollte zwischen Performance und Stabilität genau abwägen, ob man Peers vorgeschlagenes Setup bei der Adress- Verifikation 1:1 so umsetzt, oder?! Gruß, Mathias From andreas.schulze at datev.de Mon Aug 23 15:05:27 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 23 Aug 2010 15:05:27 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <4C7264DE.50807@gmj.cjb.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231154.48728.p.heinlein@heinlein-support.de> <4C7247E3.4010607@gmj.cjb.net> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> <20100823115528.GB6440@spider.services.datevnet.de> <4C7264DE.50807@gmj.cjb.net> Message-ID: <20100823130527.GA12417@spider.services.datevnet.de> Am 23.08.2010 14:09 schrieb Mathias Jeschke: > Am 23.08.10 13:55, schrieb Andreas Schulze: > > Danke. Sprich man sollte zwischen Performance und Stabilität genau > abwägen, ob man Peers vorgeschlagenes Setup bei der Adress- > Verifikation 1:1 so umsetzt, oder?! ich kenne das "vorgeschlagene Setup" jetzt nicht, aber bei mir ging's einfach um "Anrufreduktion". Aus der Sicht wird immer jemand etwas vorschlagen können. Ob's für Dich passt, must letztlich immer Du entscheiden. -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From p.heinlein at heinlein-support.de Mon Aug 23 15:06:32 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 23 Aug 2010 15:06:32 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <4C72548E.3010005@gmj.cjb.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> Message-ID: <201008231506.32775.p.heinlein@heinlein-support.de> Am Montag 23 August 2010 schrieb Mathias Jeschke: Moin, > Das war nur ein Beispiel! > Bei internen Mailservern kann das ja auch bei regulären Mails > passieren. (z.B. kurzfrister Ausfall des LDAP-Servers o.ä.) Aber gerade *DAS* ist doch ein absolut schwergewichtiges Argument *FÜR* die dynamische Empfängervalidierung. Denn damit bist Du dann auch beim Ausfall noch arbeitsfähig. Und zum Thema neu eingerichtete Accounts: Wie Du einen Account einrichten willst während Dein LDAP-Server ausgefallen ist, erschließt sich mir nicht so ganz. Also entweder isser nun da, oder er isses nicht. > Zumal Mailserver ja auch manchmal direkt am "Internet hängen" sollen > - habe ich zumindest mal davon gehört dass es sowas geben soll. ;-) Auch gerade das ist ein Argument FÜR dynamische Validierung. Denn ich muß dieser direkt im hängenden Maschine eben genau KEINEN Zugriff auf LDAP/AD ermöglichen. Eben!!! > > ... dann hätte ich mächtig Angst. > > Es soll auch "Accountnamen" geben, die in Wörterbüchern vorkommen und > Caches speichern hin und wieder auch länger als "3 Stunden". Nein, der address_verify_cache speichert nicht länger als drei Stunden. > Deshalb auch meine Frage, ob dieser Cache evtl. Probleme macht - > leider bist Du darauf nicht eingegangen. Doch, ich gehe gerade seit rund 30 Textzeilen darauf ein, daß das Ding von A bis Z Vorteile hat und ich da keine wirklichen Nachteile sehe, die man nicht absichtlich praxisfern reinkonstruiert. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixbuch-users at gmj.cjb.net Mon Aug 23 15:54:07 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 23 Aug 2010 15:54:07 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231506.32775.p.heinlein@heinlein-support.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> <201008231506.32775.p.heinlein@heinlein-support.de> Message-ID: <4C727D7F.8070401@gmj.cjb.net> Am 23.08.10 15:06, schrieb Peer Heinlein: > Aber gerade *DAS* ist doch ein absolut schwergewichtiges Argument *FÜR* > die dynamische Empfängervalidierung. Denn damit bist Du dann auch beim > Ausfall noch arbeitsfähig. Hmm. > Und zum Thema neu eingerichtete Accounts: Wie Du einen Account > einrichten willst während Dein LDAP-Server ausgefallen ist, erschließt > sich mir nicht so ganz. Also entweder isser nun da, oder er isses > nicht. Ich ging eher von folgendem Szenario aus: MDA bzw. UserDB ist nicht erreichbar (intern), Recipient ist nicht im Cache des (externen) MTA und eine Mail kommt an -> 450 und (negativer) Eintrag im Cache. MDA wieder erreichbar, sendender MTA versucht erneut, (externer) MTA fragt Cache statt MDA -> wieder 450. Dass die Cache-Zeit "nur" 3 Stunden beträgt, wusste ich bis zur Mail von Andreas nicht. (Dein Wink mit dem Zaunpfahl war für mich etwas zu abstrakt ;-) Das einzige was aus meiner Sicht noch kritisch ist: "address_verify_positive_refresh_time (default: 7d) The time after which a successful address verification probe needs to be refreshed. The address verification status is not updated when the probe fails (optimistic caching)." Wenn ich das richtig verstehe, behält Postfix einen schon mal "gesehenen" Recipient bis "address_verify_positive_expire_time" (default: 31d) im Cache, auch wenn Account/Mailbox abgeschaltet wurde, oder? > Doch, ich gehe gerade seit rund 30 Textzeilen darauf ein, daß das Ding > von A bis Z Vorteile hat und ich da keine wirklichen Nachteile sehe, > die man nicht absichtlich praxisfern reinkonstruiert. Hab's jetzt dekodieren können - s.o. Fazit: ein LDAP/MySQL-Slave bringt auf dem (externen) MTA für die Ausfallsicherheit wenig, sofern sich die einliefernden MTA an die RFCs halten und bei 4xx nicht sofort "aufgeben". Danke und Gruß, Mathias From p.heinlein at heinlein-support.de Mon Aug 23 16:24:00 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 23 Aug 2010 16:24:00 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_u=2E_Dovecot_=282=29_-?= =?iso-8859-1?q?_Artikel_im=09Linuxmagazin?= In-Reply-To: <4C727D7F.8070401@gmj.cjb.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231506.32775.p.heinlein@heinlein-support.de> <4C727D7F.8070401@gmj.cjb.net> Message-ID: <201008231624.00652.p.heinlein@heinlein-support.de> Am Montag 23 August 2010 schrieb Mathias Jeschke: Hallo, > MDA bzw. UserDB ist nicht erreichbar (intern), > Recipient ist nicht im Cache des (externen) MTA und > eine Mail kommt an -> 450 und (negativer) Eintrag im Cache. Nicht im Cache heißt: Der Nutzer hat die letzten 31 Tage lang keine einzige E-Mail bekommen. Klingt nicht nach einem VIP***-Nutzer, der seine eine E-Mail pro Quartal nicht ggf. auch mal 3 Stunden später kriegen darf. > "address_verify_positive_refresh_time (default: 7d) > The time after which a successful address verification probe needs > to be refreshed. The address verification status is not updated > when the probe fails (optimistic caching)." > > Wenn ich das richtig verstehe, behält Postfix einen schon mal > "gesehenen" Recipient bis "address_verify_positive_expire_time" > (default: 31d) im Cache, auch wenn Account/Mailbox abgeschaltet > wurde, oder? Nein. Nach 7 Tagen würde er "mal nebenbei" verifizieren und wenn der dann plötzlich doch einen 550 liefert, dann fliegt er eben vorzeitig aus dem Cache raus. Und wenn der einen 250 liefert, dann wird der Timestamp im Cache für das positive Ergebnis aktualisiert. Ergebnis: Wer alle zwei Wochen 'ne Mail kriegt expired nie. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From mailinglisten at it-blog.net Mon Aug 23 19:37:41 2010 From: mailinglisten at it-blog.net (Pascal Uhlmann) Date: Mon, 23 Aug 2010 19:37:41 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Umsetzung_der_TK=DCV-Vorgaben_?= =?iso-8859-1?q?in_einem_Mailsystem?= Message-ID: Hallo zusammen! Beim Aufbau eine sehr umfangreichen Mailsystems, stellt sich für mich nun die Frage, wie ich bei diesem am besten die Vorgaben der TKÜV umsetze. Daher würde mich einmal interessieren, wie andere dies gelöst haben und welche Erfahrungen damit bisher gemacht wurden. Ich würde mich freuen, wenn möglichst viele Erfahrungen und Varianten der Umsetzung zur Sprache kämen. Mit freundlichen Grüßen Pascal Uhlmann =================================== Internet: www.it-blog.net -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From timo.schoeler at riscworks.net Mon Aug 23 19:43:23 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Mon, 23 Aug 2010 19:43:23 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Umsetzung_der_TK=DCV-Vorgaben_?= =?iso-8859-1?q?in_einem_Mailsystem?= In-Reply-To: References: Message-ID: <4C72B33B.9080200@riscworks.net> On 08/23/2010 07:37 PM, Pascal Uhlmann wrote: > Hallo zusammen! > Beim Aufbau eine sehr umfangreichen Mailsystems, stellt sich für mich > nun die Frage, wie ich bei diesem am besten die Vorgaben der TKÜV > umsetze. Daher würde mich einmal interessieren, wie andere dies gelöst > haben und welche Erfahrungen damit bisher gemacht wurden. Ich würde mich > freuen, wenn möglichst viele Erfahrungen und Varianten der Umsetzung zur > Sprache kämen. > Mit freundlichen Grüßen > Pascal Uhlmann *popcornhol* SCNR Cheers, Timo :) From p.heinlein at heinlein-support.de Mon Aug 23 20:12:16 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 23 Aug 2010 20:12:16 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?Umsetzung_der_TK=DCV-Vorgaben?= =?iso-8859-15?q?_in_einem_Mailsystem?= In-Reply-To: References: Message-ID: <201008232012.16351.p.heinlein@heinlein-support.de> Am Montag 23 August 2010 19:37:41 schrieb Pascal Uhlmann: Hi! > Beim Aufbau eine sehr umfangreichen Mailsystems, stellt sich für mich > nun die Frage, wie ich bei diesem am besten die Vorgaben der TKÜV > umsetze. Daher würde mich einmal interessieren, wie andere dies > gelöst haben und welche Erfahrungen damit bisher gemacht wurden. Ich > würde mich freuen, wenn möglichst viele Erfahrungen und Varianten > der Umsetzung zur Sprache kämen. IMHO kommt man da -- ebenso wie bei der Archivierung -- kaum an darauf spezialisierten kommerziellen Anbietern vorbei. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From cite at incertum.net Mon Aug 23 21:38:33 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 23 Aug 2010 21:38:33 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231506.32775.p.heinlein@heinlein-support.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> <201008231506.32775.p.heinlein@heinlein-support.de> Message-ID: <20100823193833.GB5379@mail.incertum.net> * Peer Heinlein : > Am Montag 23 August 2010 schrieb Mathias Jeschke: > > Deshalb auch meine Frage, ob dieser Cache evtl. Probleme macht - > > leider bist Du darauf nicht eingegangen. > > Doch, ich gehe gerade seit rund 30 Textzeilen darauf ein, daß das Ding > von A bis Z Vorteile hat und ich da keine wirklichen Nachteile sehe, > die man nicht absichtlich praxisfern reinkonstruiert. Wir hatten auf der Liste hier schon den Fall, daß ein vorgelagertes Mailgateway, das dynamisch gegen ein anderes Postfix (nicht dovecot) verifiziert hat, aufgrund des unglücklichen Zusammenspiels von SMTP connection caching sowie $smtpd_error_sleep_time nicht mehr in der Lage war, neu eingehende Verbindungen zu legitimen Zieladressen zu verifizieren, wenn eine dictionary attack gegen besagtes Mailgateway losgelassen wurde. Dynamische Adressverifikation ist ein sehr eleganter Mechanismus, aber es gibt immer Situationen, in denen man eine statische Lookup-Map oder die Anbindung an einen Verzeichnis- oder Datenbankdienst vorziehen sollte. Gruß Stefan From n.gerhards at ib-gerhards.de Tue Aug 24 09:20:56 2010 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 24 Aug 2010 09:20:56 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <20100823193833.GB5379@mail.incertum.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> <201008231506.32775.p.heinlein@heinlein-support.de> <20100823193833.GB5379@mail.incertum.net> Message-ID: <4C7372D8.7040803@ib-gerhards.de> Ahemm, ich würde gerne den Artikel lesen, über den ihr euch hier die Köpfe heiß redet. Würdet ihr mir bitte sagen, wo ich den finde? ;-) Norbert Am 23.08.2010 21:38, schrieb Stefan Förster: > * Peer Heinlein: >> Am Montag 23 August 2010 schrieb Mathias Jeschke: >>> Deshalb auch meine Frage, ob dieser Cache evtl. Probleme macht - >>> leider bist Du darauf nicht eingegangen. >> >> Doch, ich gehe gerade seit rund 30 Textzeilen darauf ein, daß das Ding >> von A bis Z Vorteile hat und ich da keine wirklichen Nachteile sehe, >> die man nicht absichtlich praxisfern reinkonstruiert. > > Wir hatten auf der Liste hier schon den Fall, daß ein vorgelagertes > Mailgateway, das dynamisch gegen ein anderes Postfix (nicht dovecot) > verifiziert hat, aufgrund des unglücklichen Zusammenspiels von SMTP > connection caching sowie $smtpd_error_sleep_time nicht mehr in der > Lage war, neu eingehende Verbindungen zu legitimen Zieladressen zu > verifizieren, wenn eine dictionary attack gegen besagtes Mailgateway > losgelassen wurde. > > Dynamische Adressverifikation ist ein sehr eleganter Mechanismus, aber > es gibt immer Situationen, in denen man eine statische Lookup-Map oder > die Anbindung an einen Verzeichnis- oder Datenbankdienst vorziehen > sollte. > > > Gruß > Stefan > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From postfixbuch-users at gmj.cjb.net Tue Aug 24 09:42:39 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 24 Aug 2010 09:42:39 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <4C7372D8.7040803@ib-gerhards.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231238.11392.p.heinlein@heinlein-support.de> <4C72548E.3010005@gmj.cjb.net> <201008231506.32775.p.heinlein@heinlein-support.de> <20100823193833.GB5379@mail.incertum.net> <4C7372D8.7040803@ib-gerhards.de> Message-ID: <4C7377EF.2060805@gmj.cjb.net> Norbert Gerhards schrieb: > Ahemm, ich würde gerne den Artikel lesen, über den > ihr euch hier die Köpfe heiß redet. > > Würdet ihr mir bitte sagen, wo ich den finde? z.B. hier: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2010/09/Senkrechtstarter (oder am Zeitungskiosk - falls es das bei Euch noch gibt) Gruß, Mathias From postfixbuch-users at gmj.cjb.net Tue Aug 24 12:37:12 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 24 Aug 2010 12:37:12 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <201008231624.00652.p.heinlein@heinlein-support.de> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231506.32775.p.heinlein@heinlein-support.de> <4C727D7F.8070401@gmj.cjb.net> <201008231624.00652.p.heinlein@heinlein-support.de> Message-ID: <4C73A0D8.9060200@gmj.cjb.net> Peer Heinlein schrieb: >> Wenn ich das richtig verstehe, behält Postfix einen schon mal >> "gesehenen" Recipient bis "address_verify_positive_expire_time" >> (default: 31d) im Cache, auch wenn Account/Mailbox abgeschaltet >> wurde, oder? > > Nein. Nach 7 Tagen würde er "mal nebenbei" verifizieren und wenn der > dann plötzlich doch einen 550 liefert, dann fliegt er eben vorzeitig > aus dem Cache raus. Und wenn der einen 250 liefert, dann wird der > Timestamp im Cache für das positive Ergebnis aktualisiert. Ergebnis: > Wer alle zwei Wochen 'ne Mail kriegt expired nie. Sorry, dass ich mich etwas schwierig anstelle - aber warum zwei Wochen? Ich würde nach dieser Beschreibung (und dem Default für address_verify_positive_expire_time) eher vermuten: alle 30 Tage. Gruß, Mathias From p.heinlein at heinlein-support.de Tue Aug 24 13:16:19 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 24 Aug 2010 13:16:19 +0200 Subject: [Postfixbuch-users] Postfix u. Dovecot (2) - Artikel im Linuxmagazin In-Reply-To: <4C73A0D8.9060200@gmj.cjb.net> References: <201008231013.25838.rainer.frey@inxmail.de> <201008231624.00652.p.heinlein@heinlein-support.de> <4C73A0D8.9060200@gmj.cjb.net> Message-ID: <201008241316.19466.p.heinlein@heinlein-support.de> Am Dienstag 24 August 2010 schrieb Mathias Jeschke: > > Nein. Nach 7 Tagen würde er "mal nebenbei" verifizieren und wenn > > der dann plötzlich doch einen 550 liefert, dann fliegt er eben > > vorzeitig aus dem Cache raus. Und wenn der einen 250 liefert, dann > > wird der Timestamp im Cache für das positive Ergebnis aktualisiert. > > Ergebnis: Wer alle zwei Wochen 'ne Mail kriegt expired nie. > > Sorry, dass ich mich etwas schwierig anstelle - aber warum zwei > Wochen? Ich würde nach dieser Beschreibung (und dem Default für > address_verify_positive_expire_time) eher vermuten: alle 30 Tage. Äh, ja, hast Du insoweit recht. "alle zwei Wochen" war jetzt einfach 'ne saloppe ungenaue Formulierung für "irgendwann immer mal aber auch nicht ganz zu selten". Das meinte ich jetzt nicht mathematisch-exakt. Aber, ja klar, rein technisch gesehen hast Du natürlich völlig recht. Wer "spätestens" alle 30 Tage eine E-Mail bekommt, der expired nie. Tse, tse, tsee. Nun darf man noch nicht mal mehr Sprachschlamper sein. Hier wird ja auf alles aufgepaßt. :-) Bei zwei Relays dann aber ggf. doch wieder alle zwei Wochen :-) und ein bißchen statistische Verteilung... :-) Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixbu at 2nibbles4u.de Tue Aug 24 23:16:25 2010 From: postfixbu at 2nibbles4u.de (Scholz, Christian) Date: Tue, 24 Aug 2010 23:16:25 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen Message-ID: <4C7436A9.50003@2nibbles4u.de> Hallo zusammen, ich hae mich rein aus Interesse mal damit beschäftigt, wie man automatisiert eine SBL aufbauen kann. Das funktioniert bei mir soweit auch alles, jedoch habe ich Probleme, Spamassassin beizubringen, wie er die Liste abfragt und bewertet. Policyd-weight habe ich schon zum laufen bekommen. Postfix kann die Liste auch direkt abfragen (reject_rbl_client sbl.o-o-s.de) was auch funktioniert. nslookup 83.0.168.192.sbl.o-o-s.de Server: 127.0.0.1 Address: 127.0.0.1#53 Name: 83.0.168.192.sbl.o-o-s.de Address: 127.0.0.10 Zum testen möchte ich aber, dass Spamassassin Adressen in der Liste mit mit X-Punkten bewertet, kann mir da jemand helfen? Mein Versuch war... header RCVD_IN_OOS_SBL eval:check_rbl_txt('sbl.o-o-s.de', 'sbl.o-o-s.de.') describe RCVD_IN_OOS_SBL Received via a relay in sbl.o-o-s.de tflags RCVD_IN_OOS_SBL net score RCVD_IN_OOS_SBL 10 Jedoch wird keine DNS Anfrage diesbezüglich durchgeführt. Die Blackliste ist übrigens nicht übers Internet erreichbar, sondern nur lokal auf meinem Server. Gruß Chris From hans.moser at ofd-z.niedersachsen.de Wed Aug 25 09:52:47 2010 From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann) Date: Wed, 25 Aug 2010 09:52:47 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen Message-ID: <4C74CBCF.7050400@ofd-z.niedersachsen.de> Hallo, Scholz, Christian schrieb am 24.08.2010 23:16 Uhr: > ich hae mich rein aus Interesse mal damit beschäftigt, wie man > automatisiert eine SBL aufbauen kann. Das funktioniert bei mir soweit > auch alles, Hast du rbldnsd benutzt? www.corpit.ru/mjt/rbldnsd.html > jedoch habe ich Probleme, Spamassassin beizubringen, wie er > die Liste abfragt und bewertet. Policyd-weight habe ich schon zum laufen > bekommen. Postfix kann die Liste auch direkt abfragen (reject_rbl_client > sbl.o-o-s.de) was auch funktioniert. > > nslookup 83.0.168.192.sbl.o-o-s.de > Server: 127.0.0.1 > Address: 127.0.0.1#53 > > Name: 83.0.168.192.sbl.o-o-s.de > Address: 127.0.0.10 Das ist dann ein A-Record!? > Zum testen möchte ich aber, dass Spamassassin Adressen in der Liste mit > mit X-Punkten bewertet, kann mir da jemand helfen? > > Mein Versuch war... > > header RCVD_IN_OOS_SBL eval:check_rbl_txt('sbl.o-o-s.de', > 'sbl.o-o-s.de.') check_rbl_txt fragt TXT-Records, check_rbl fragt A-Records ab. "Some blacklists are based on DNS TXT records instead of DNS A records. (Blacklist operators should indicate which kind of lookup is appropriate for their blacklist.) Use the check_rbl_txt( ) method to perform lookups using a blacklist based on TXT records." http://book.opensourceproject.org.cn/mail/spam/spamassassin/opensource/05960 07078/spamassassin-chp-3-sect-3.html Marc From bjoern.meier at googlemail.com Wed Aug 25 10:58:37 2010 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Wed, 25 Aug 2010 10:58:37 +0200 Subject: [Postfixbuch-users] X-Header Message-ID: Hi, vielleicht könnt ihr mir helfen. Ich möchte mit postfix (auf dem system ohne amavisd-new) lokal eine mail mit "mail" zustellen und einen XHeader zufügen. mail -a "X-OTRS-Type: 4" -s test user at local.domain.tld Die Mail sieht aber so aus: From user2 at local.domain.tld Wed Aug 25 10:52:17 2010 From: user2 at local.domain.tld (user2) Date: Wed, 25 Aug 2010 10:52:17 +0200 (CEST) Subject: test Message-ID: <20100825085217.EC06A18288A@local.domain.tld> Warum setzt er den X-Header nicht? Gru=DF, Bj=F6rn --e0cb4e8878e3523c2b048ea2167e Content-Type: text/html; charset=ISO-8859-1 Content-Transfer-Encoding: quoted-printable Hi,



Die Mail sieht aber so aus:

From user2 at l= ocal.domain.tld=A0=A0Wed Aug 25 10:52:17 2010
Return-Path: <us= er2 at local.domain.tld>
X-Original-To: user at local.domain.tld
Delivered-To: user at local.domain.tld
Received: by=A0local.dom= ain.tld=A0(Postfix, from userid 1002)
=A0=A0 =A0 =A0 =A0id EC06A1= 8288A; Wed, 25 Aug 2010 10:52:17 +0200 (CEST)
To: <user at local.= domain.tld>
Subject: test
X-Mailer: mail (GNU Mailutils 1.2)
M= essage-Id: <20100825085217.EC06A18288A at local.domain.tld>
Da= te: Wed, 25 Aug 2010 10:52:17 +0200 (CEST)
From: user2 at local.doma= in.tld=A0(user2)


Warum setzt er den X-Header nicht?=

Gru=DF,
Bj=F6rn
--e0cb4e8878e3523c2b048ea2167e-- From postfixbu at 2nibbles4u.de Wed Aug 25 11:53:10 2010 From: postfixbu at 2nibbles4u.de (Scholz, Christian) Date: Wed, 25 Aug 2010 11:53:10 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen Message-ID: <4C74E806.4060300@2nibbles4u.de> Am 25.08.2010 09:52, schrieb Marc Patermann: > Hast du rbldnsd benutzt?www.corpit.ru/mjt/rbldnsd.html Nein, habe mir selbst was gestrickt. Das Script geht die Mails durch, extrahiert die IPs und erzeugt die entsprechenden DNS Einträge in der sbl zone. Beispiel: 177.233.67.61 IN A 127.0.0.10 IN TXT "Spam from this IP received 2010-08-03 02:28:55" Somit habe ich A sowie TXT Records. > > Das ist dann ein A-Record! > > check_rbl_txt fragt TXT-Records, check_rbl fragt A-Records ab. > > "Some blacklists are based on DNS TXT records instead of DNS A records. > (Blacklist operators should indicate which kind of lookup is appropriate > for their blacklist.) Use the check_rbl_txt( ) method to perform lookups > using a blacklist based on TXT records." > http://book.opensourceproject.org.cn/mail/spam/spamassassin/opensource/05960 > > 07078/spamassassin-chp-3-sect-3.html Leider mach Spamassassin diesbezüglich gar keine DNS Abfrage. Die Regel scheint Spamassassin also nicht dazu zu bringen, meine Blackliste abzufragen. header IN_SBL_OOS_A rbleval:check_rbl('oos', 'sbl.o-o-s.de.') describe IN_SBL_OOS_A Received via a blocked site in sbl.o-o-s.de tflags IN_SBL_OOS_A net score IN_SBL_OOS_A 5.0 header IN_SBL_OOS_TXT rbleval:check_rbl_txt('oos', 'sbl.o-o-s.de.') describe IN_SBL_OOS_TXT Received via a blocked site in sbl.o-o-s.de tflags IN_SBL_OOS_TXT net score IN_SBL_OOS_TXT 5.0 Gruß Chris From hans.moser at ofd-z.niedersachsen.de Wed Aug 25 12:20:21 2010 From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann) Date: Wed, 25 Aug 2010 12:20:21 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen Message-ID: <4C74EE65.3000607@ofd-z.niedersachsen.de> Scholz, Christian schrieb am 25.08.2010 11:53 Uhr: > Am 25.08.2010 09:52, schrieb Marc Patermann: > Leider mach Spamassassin diesbezüglich gar keine DNS Abfrage. Die Regel > scheint Spamassassin also nicht dazu zu bringen, meine Blackliste > abzufragen. Was sagt denn # spamassassin -D -t < testspammail.txt Wird die Datei, wo der Test definiert ist, herangezogen? Marc From julian at tuxoid.net Wed Aug 25 12:44:46 2010 From: julian at tuxoid.net (Julian) Date: Wed, 25 Aug 2010 12:44:46 +0200 Subject: [Postfixbuch-users] X-Header In-Reply-To: References: Message-ID: <4C74F41E.30608@tuxoid.net> Hallo, hast du den Befehl für uns vereinfacht? Vielleicht liegt ja das Problem bei der Implementierung? Folgendermaßen funktioniert es einwandfrei: :~# echo "hallo" | mail -a "X-OTRS-Type: 4" -s "test" recipient at domain.tld Gerade bei komplexeren Scripts tritt schonmal gern ein Fehler beim Escapen von Anführungszeichen o.ä. auf. Gruß Julian Bjoern Meier wrote: > Hi, > > vielleicht könnt ihr mir helfen. Ich möchte mit postfix (auf dem system > ohne amavisd-new) lokal eine mail mit "mail" zustellen und einen XHeader > zufügen. > > mail -a "X-OTRS-Type: 4" -s test user at local.domain.tld > Die Mail sieht aber so aus: > > From user2 at local.domain.tld Wed Aug 25 10:52:17 2010 > Return-Path: > X-Original-To: user at local.domain.tld > Delivered-To: user at local.domain.tld > Received: by local.domain.tld (Postfix, from userid 1002) > id EC06A18288A; Wed, 25 Aug 2010 10:52:17 +0200 (CEST) > To: > Subject: test > X-Mailer: mail (GNU Mailutils 1.2) > Message-Id: <20100825085217.EC06A18288A at local.domain.tld> > Date: Wed, 25 Aug 2010 10:52:17 +0200 (CEST) > From: user2 at local.domain.tld (user2) > > > Warum setzt er den X-Header nicht? > > Gruß, > Björn > > > ------------------------------------------------------------------------ > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From postfixbu at 2nibbles4u.de Wed Aug 25 12:58:07 2010 From: postfixbu at 2nibbles4u.de (Scholz, Christian) Date: Wed, 25 Aug 2010 12:58:07 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen In-Reply-To: <4C74EE65.3000607@ofd-z.niedersachsen.de> References: <4C74EE65.3000607@ofd-z.niedersachsen.de> Message-ID: <4C74F73F.5060508@2nibbles4u.de> > Was sagt denn > # spamassassin -D -t< testspammail.txt > > Wird die Datei, wo der Test definiert ist, herangezogen? > sieht so aus... [16327] dbg: config: read file /etc/spamassassin/sbl.o-o-s.de.cf From bjoern.meier at googlemail.com Wed Aug 25 12:58:47 2010 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Wed, 25 Aug 2010 12:58:47 +0200 Subject: [Postfixbuch-users] X-Header In-Reply-To: <4C74F41E.30608@tuxoid.net> References: <4C74F41E.30608@tuxoid.net> Message-ID: hi, Am 25. August 2010 12:44 schrieb Julian : > Hallo, > > hast du den Befehl für uns vereinfacht? Vielleicht liegt ja das Problem bei > der > Implementierung? Folgendermaßen funktioniert es einwandfrei: > > :~# echo "hallo" | mail -a "X-OTRS-Type: 4" -s "test" recipient at domain.tld > Danke dir. Es scheint eher so, als filtere OTRS die Sachen raus um einen bereinigten Status zu haben. Ich habe jetzt einen Filter in OTRS gesetzt. Damit geht es. Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From hans.moser at ofd-z.niedersachsen.de Wed Aug 25 14:53:19 2010 From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann) Date: Wed, 25 Aug 2010 14:53:19 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen Message-ID: <4C75123F.9080205@ofd-z.niedersachsen.de> Scholz, Christian schrieb am 25.08.2010 12:58 Uhr: >> Was sagt denn >> # spamassassin -D -t< testspammail.txt > sieht so aus... > > [16327] dbg: config: read file /etc/spamassassin/sbl.o-o-s.de.cf OK. Und der Rest? Marc From postfixbu at 2nibbles4u.de Wed Aug 25 15:36:01 2010 From: postfixbu at 2nibbles4u.de (Scholz, Christian) Date: Wed, 25 Aug 2010 15:36:01 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen In-Reply-To: <4C75123F.9080205@ofd-z.niedersachsen.de> References: <4C75123F.9080205@ofd-z.niedersachsen.de> Message-ID: <4C751C41.9010501@2nibbles4u.de> > Scholz, Christian schrieb am 25.08.2010 12:58 Uhr: >> [16327] dbg: config: read file /etc/spamassassin/sbl.o-o-s.de.cf > OK. > Und der Rest? > > > Marc Der Rest sieht normal aus... wird halt nur nicht anhand der sbl bewertet. Gruß Chris From postfix-list at novuage.de Wed Aug 25 18:00:54 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 25 Aug 2010 18:00:54 +0200 Subject: [Postfixbuch-users] X-Header In-Reply-To: References: <4C74F41E.30608@tuxoid.net> Message-ID: <4C753E36.6060004@novuage.de> Hallo, Am 25.08.2010 12:58, schrieb Bjoern Meier: > Danke dir. Es scheint eher so, als filtere OTRS die Sachen raus um einen > bereinigten Status zu haben. Ich habe jetzt einen Filter in OTRS > gesetzt. Damit geht es. Da man hier mehr als nur den Typ setzen kann, macht OTRS das aus Sicherheitsgründen (meine ich im Kopf zu haben). Man muss den Absender oder ähnliche Sachen dafür freischalten. Aber das sollte Konfigurierbar sein. In erster Linie würde es für Tests ja reichen sich das selbst per E-Mail zu senden und nicht in OTRS direkt, dann sieht man wenigstens ob der Befehl selbst korrekt arbeitet. -- Gruß Sascha From postfixbu at 2nibbles4u.de Wed Aug 25 22:42:28 2010 From: postfixbu at 2nibbles4u.de (Scholz, Christian) Date: Wed, 25 Aug 2010 22:42:28 +0200 Subject: [Postfixbuch-users] eigene SBL mit Spamassassin abfragen In-Reply-To: <4C74F73F.5060508@2nibbles4u.de> References: <4C74EE65.3000607@ofd-z.niedersachsen.de> <4C74F73F.5060508@2nibbles4u.de> Message-ID: <4C758034.4090007@2nibbles4u.de> Am 25.08.2010 12:58, schrieb Scholz, Christian: >> Was sagt denn >> # spamassassin -D -t< testspammail.txt >> >> Wird die Datei, wo der Test definiert ist, herangezogen? >> > sieht so aus... > > [16327] dbg: config: read file /etc/spamassassin/sbl.o-o-s.de.cf In der local.cf stand skip_rbl_checks auf 1...*pock*... musste nur auf 0 geändert werden. Gruß Chris From christian at roessner-net.com Thu Aug 26 13:32:04 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Thu, 26 Aug 2010 13:32:04 +0200 Subject: [Postfixbuch-users] postscreen Message-ID: Hallo, ich habe eine kurze Frage zu postscreen: Ist das im Prinzip Teergrubing + DNSBL-Lookup? Teergrubing bindet ja Ressourcen und DNSBL-Lookups macht ja schon policyd-weight. Wo _genau_ liegt der Vorteil im Screening? Danke Christian --- Roessner-Network-Solutions Bachelor of Science Informatik Nahrungsberg 81, 35390 Gießen F: +49 641 5879091, M: +49 176 93118939 USt-IdNr.: DE225643613 http://www.roessner-network-solutions.com -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From cite at incertum.net Thu Aug 26 13:39:12 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 26 Aug 2010 13:39:12 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: References: Message-ID: <20100826113912.GD16534@mail.incertum.net> * Christian Rößner : > ich habe eine kurze Frage zu postscreen: Ist das im Prinzip > Teergrubing + DNSBL-Lookup? Teergrubing bindet ja Ressourcen und > DNSBL-Lookups macht ja schon policyd-weight. Wo _genau_ liegt der > Vorteil im Screening? Es wird kein smtpd(8) verbraucht. Stefan From andreas.schulze at datev.de Thu Aug 26 14:40:27 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 26 Aug 2010 14:40:27 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100826113912.GD16534@mail.incertum.net> References: <20100826113912.GD16534@mail.incertum.net> Message-ID: <20100826124026.GA2738@spider.services.datevnet.de> Am 26.08.2010 13:39 schrieb Stefan Förster: > Es wird kein smtpd(8) verbraucht. postscreen Pro und Contro: + hält die SMTP-Clients vom Server weg, die nach dem TCP-Connect einfach losplappern und das Greeting nicht abwarten. Das sind 100% Zombies ... + hält SMTP-Clients vom Server weg, die postfix später sowieso mit reject_rbl_client wegschickt. + macht noch keine keine Verbindung zu eventuell konfigurierten Miltern auf. und *das* ist richtig cool ! - kannn leider über eine abgewiesene Verbindung nichts weiter als die IP-Adresse loggen. ( im Gegensatz zum sonstigen Logging, wo immer IP, Absender und Empfänger im Log stehen ) Das macht den Support etwas schwieriger. - loggt immermal sowas: Aug 26 12:28:53 taro postfix/postscreen[27399]: close database /var/lib/postfix/ps_cache.db: No such file or directory Aug 26 13:05:30 taro postfix/postscreen[27822]: close database /var/lib/postfix/ps_cache.db: No such file or directory Aug 26 13:48:13 taro postfix/postscreen[28399]: close database /var/lib/postfix/ps_cache.db: No such file or directory Aug 26 14:15:07 taro postfix/postscreen[28740]: close database /var/lib/postfix/ps_cache.db: No such file or directory Die Vorteile überwiegen... -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From p.heinlein at heinlein-support.de Thu Aug 26 15:05:02 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 26 Aug 2010 15:05:02 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100826124026.GA2738@spider.services.datevnet.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> Message-ID: <201008261505.02538.p.heinlein@heinlein-support.de> Am Donnerstag, 26. August 2010 14:40:27 schrieb Andreas Schulze: Moin > + hält die SMTP-Clients vom Server weg, die nach dem TCP-Connect > einfach losplappern und das Greeting nicht abwarten. Das sind 100% > Zombies ... > > + hält SMTP-Clients vom Server weg, die postfix später sowieso mit > reject_rbl_client wegschickt. Alles richtig, aber aus heutiger Sicht hält sich die Ersparnis da in Grenzen. 1000 smtpds sind rund 3 GByte RAM -- angesichts heutiger RAM- Austattungen kann man also auch SEHR viel einfach durch echte smtpds erschlagen. Denn: > - kannn leider über eine abgewiesene Verbindung nichts weiter als die > IP-Adresse loggen. ( im Gegensatz zum sonstigen Logging, wo immer > IP, Absender und Empfänger im Log stehen ) Das macht den Support > etwas schwieriger. Genau das finde ich dann eben schwierig. Da spendiere ich lieber 'ne Runde RAM und weiß bescheid. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From cite at incertum.net Thu Aug 26 15:19:27 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 26 Aug 2010 15:19:27 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <201008261505.02538.p.heinlein@heinlein-support.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <201008261505.02538.p.heinlein@heinlein-support.de> Message-ID: <20100826131927.GE16534@mail.incertum.net> * Peer Heinlein : > Am Donnerstag, 26. August 2010 14:40:27 schrieb Andreas Schulze: > Denn: > > > - kannn leider über eine abgewiesene Verbindung nichts weiter als die > > IP-Adresse loggen. ( im Gegensatz zum sonstigen Logging, wo immer > > IP, Absender und Empfänger im Log stehen ) Das macht den Support > > etwas schwieriger. > > Genau das finde ich dann eben schwierig. Da spendiere ich lieber 'ne > Runde RAM und weiß bescheid. Das wird noch verbessert - Wietse plant eine Pseudo-SMTP-Engine. Stefan From christian at roessner-net.com Thu Aug 26 15:25:40 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Thu, 26 Aug 2010 15:25:40 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100826131927.GE16534@mail.incertum.net> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <201008261505.02538.p.heinlein@heinlein-support.de> <20100826131927.GE16534@mail.incertum.net> Message-ID: Schon mal Danke fürs Feedback. Ich habe es jetzt im Testbetrieb. Am 26.08.2010 um 15:19 schrieb Stefan Förster: > * Peer Heinlein : >> Am Donnerstag, 26. August 2010 14:40:27 schrieb Andreas Schulze: >> Denn: >> >>> - kannn leider über eine abgewiesene Verbindung nichts weiter als die >>> IP-Adresse loggen. ( im Gegensatz zum sonstigen Logging, wo immer >>> IP, Absender und Empfänger im Log stehen ) Das macht den Support >>> etwas schwieriger. >> >> Genau das finde ich dann eben schwierig. Da spendiere ich lieber 'ne >> Runde RAM und weiß bescheid. > > Das wird noch verbessert - Wietse plant eine Pseudo-SMTP-Engine. > > > Stefan > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From andreas.schulze at datev.de Thu Aug 26 15:34:09 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 26 Aug 2010 15:34:09 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <201008261505.02538.p.heinlein@heinlein-support.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <201008261505.02538.p.heinlein@heinlein-support.de> Message-ID: <20100826133409.GA7881@spider.services.datevnet.de> Am 26.08.2010 15:05 schrieb Peer Heinlein: > > + hält SMTP-Clients vom Server weg, die postfix später sowieso mit > > reject_rbl_client wegschickt. > > Alles richtig, aber aus heutiger Sicht hält sich die Ersparnis da in > Grenzen. kommt drauf an, wie man 'bespammt' wird. Ich habe Domains, die bekommen nur Spam, den ich per RBL abblocke. andere Domains haben tonnenweise Einmalversuche, die mir Greylisteng abhält. -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From Ralf.Hildebrandt at charite.de Thu Aug 26 15:58:16 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 26 Aug 2010 15:58:16 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: References: Message-ID: <20100826135816.GF32248@charite.de> * "Christian Rößner" : > Hallo, > > ich habe eine kurze Frage zu postscreen: > > Ist das im Prinzip Teergrubing + DNSBL-Lookup? Nein, earlytalker + DNSBL-Lookup -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Thu Aug 26 15:58:56 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 26 Aug 2010 15:58:56 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100826124026.GA2738@spider.services.datevnet.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> Message-ID: <20100826135856.GG32248@charite.de> * Andreas Schulze : > - kannn leider über eine abgewiesene Verbindung nichts weiter als die IP-Adresse loggen. > ( im Gegensatz zum sonstigen Logging, wo immer IP, Absender und Empfänger im Log stehen ) > Das macht den Support etwas schwieriger. Das wird ja bald gefixt -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From christian at roessner-net.com Thu Aug 26 19:11:57 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Thu, 26 Aug 2010 19:11:57 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100826135856.GG32248@charite.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> Message-ID: Nochmal Hallo, ich bin ja grad ein bisschen überfordert :-) Irgendwie habe ich mir jetzt mit postscreen meinen proxy_filter ausgetrickst. Ich muss gestehen, dass ich nie sehr oft an der master.cf etwas verändere, weil mir die Denkweise da nicht ganz klar ist. Hier meine derzeit falsche Konfiguration: smtp inet n - - - 25 smtpd -o smtpd_proxy_filter=localhost:10024 -o smtpd_client_connection_rate_limit=5 -o smtpd_client_message_rate_limit=5 -o smtpd_client_recipient_rate_limit=30 smtp inet n - - - 1 postscreen smtpd pass - - - - - smtpd dnsblog unix - - - - 0 dnsblog Die unteren 3 Zeilen habe ich ergänzt. Jetzt wird aber amavis nicht mehr angesteuert. Wir ist nicht mehr klar, wie die Mail nun läuft client ---> postscreen ---> smtpd ---> amavis ... So ungefähr müsste es doch sein, oder? Danke Christian Am 26.08.2010 um 15:58 schrieb Ralf Hildebrandt: > * Andreas Schulze : > >> - kannn leider über eine abgewiesene Verbindung nichts weiter als die IP-Adresse loggen. >> ( im Gegensatz zum sonstigen Logging, wo immer IP, Absender und Empfänger im Log stehen ) >> Das macht den Support etwas schwieriger. > > Das wird ja bald gefixt > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | http://www.charite.de > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From christian at roessner-net.com Thu Aug 26 19:24:42 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Thu, 26 Aug 2010 19:24:42 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> Message-ID: Ach ich liebe es mit mir selbst zu sprechen :-D Also die vier Zeilen müssen jetzt wohl unterhalb von smtpd ... smtpd. Warum auch immer. Kann mir das zumindest evtl. einer erklären. Ich würde das gerne verstehen. Und vor Allem, warum dann bei maxproc eine 1 steht. Stefan, Ralf, ihr müsstet das doch auch abgeändert haben, wenn ihr das getestet habt :-) Greets Christian Am 26.08.2010 um 19:11 schrieb Christian Rößner: > Nochmal Hallo, > > ich bin ja grad ein bisschen überfordert :-) Irgendwie habe ich mir jetzt mit postscreen meinen proxy_filter ausgetrickst. Ich muss gestehen, dass ich nie sehr oft an der master.cf etwas verändere, weil mir die Denkweise da nicht ganz klar ist. Hier meine derzeit falsche Konfiguration: > > smtp inet n - - - 25 smtpd > -o smtpd_proxy_filter=localhost:10024 > -o smtpd_client_connection_rate_limit=5 > -o smtpd_client_message_rate_limit=5 > -o smtpd_client_recipient_rate_limit=30 > smtp inet n - - - 1 postscreen > smtpd pass - - - - - smtpd > dnsblog unix - - - - 0 dnsblog > > Die unteren 3 Zeilen habe ich ergänzt. Jetzt wird aber amavis nicht mehr angesteuert. Wir ist nicht mehr klar, wie die Mail nun läuft > > client ---> postscreen ---> smtpd ---> amavis ... > > So ungefähr müsste es doch sein, oder? > > Danke > Christian > > > Am 26.08.2010 um 15:58 schrieb Ralf Hildebrandt: > >> * Andreas Schulze : >> >>> - kannn leider über eine abgewiesene Verbindung nichts weiter als die IP-Adresse loggen. >>> ( im Gegensatz zum sonstigen Logging, wo immer IP, Absender und Empfänger im Log stehen ) >>> Das macht den Support etwas schwieriger. >> >> Das wird ja bald gefixt >> >> -- >> Ralf Hildebrandt >> Geschäftsbereich IT | Abteilung Netzwerk >> Charité - Universitätsmedizin Berlin >> Campus Benjamin Franklin >> Hindenburgdamm 30 | D-12203 Berlin >> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >> ralf.hildebrandt at charite.de | http://www.charite.de >> >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From cite at incertum.net Thu Aug 26 22:42:39 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 26 Aug 2010 22:42:39 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> Message-ID: <20100826204238.GF16534@mail.incertum.net> * Christian Rößner : > Ach ich liebe es mit mir selbst zu sprechen :-D > > Also die vier Zeilen müssen jetzt wohl unterhalb von smtpd ... > smtpd. Warum auch immer. Kann mir das zumindest evtl. einer > erklären. Ich würde das gerne verstehen. Und vor Allem, warum dann > bei maxproc eine 1 steht. > > Stefan, Ralf, ihr müsstet das doch auch abgeändert haben, wenn ihr > das getestet habt :-) Es gibt nur einen postscreen-Prozess, deswegen steht da eine eins. Du wirst bemerkt haben, daß die smtpd(8)-Definition in master.cf nicht mehr "inet", sondern "pass" ist - der Socket, an dem postscreen(8) die Verbindung annimmt, wird nämlich einfach an den smtpd(8) weitergereicht. Der unrsprüngliche "smtp .... smtpd"-Eintrag ist natürlich bei Benutzung von postscreen(8) oboslet, kann doch stets nur ein Prozess auf einem lokalen Port (zulässig vereinfacht!) lauschen. Stefan From fk at florian-kaiser.net Fri Aug 27 12:36:19 2010 From: fk at florian-kaiser.net (Florian Kaiser) Date: Fri, 27 Aug 2010 12:36:19 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailsystem_mit_mysql_/_eigene_?= =?iso-8859-1?q?instanz_f=FCr_mailserver_oder_vorhandenen_mysqlserv?= =?iso-8859-1?q?er_mitnutzen?= Message-ID: <36EBC07777EE48439E19057655B36D4F@florian> Hallo Liste, uns stellt sich beim Aufsetzen eines Mailservers mit Postfix / Dovecot über MySQL-Backend die Frage, ob wir einen vorhandenen MySQL-Server, der momentan diverse Webauftritte versorgt mitnutzen sollten oder lieber auf einen für den Mailserver dedizierten lokalen mysqld-instanz zurückgreifen sollten. Es geht erstmal um ca. 200-300 Nutzer, wobei hier vielleicht maximal 30 gleichzeitig eingeloggt sein werden. Einkommende E-Mails, die bis zu einer SQL-Prüfung durchkommen sind ca. 20 / Minute. Kennzeichen des aktuellen MySQL-Servers: - genügend (!!) Resourcen vorhanden (CPU, Memory, Disk) - Regelmäßige Backup-Routinen vorhanden - Geplant: Master - Slave-Setup für Failover, momentan nur ein Master. Vorteile der Nutzung sehe ich: - Vorhandene Resourcen nutzen, die sowieso "idle" sind - keine Neukonfiguration eines mysql-servers notwendig - durch master-slave-setup in Zukunft erhöhte Ausfallsicherheit Nachteile: - Daten werden "vermischt", die miteinander nichts zu tun haben sollten - eine Webapplikation / Dos auf Webserver kann theoretisch den MySQL-Server lahmlegen, E-Mails funktionieren dann für diese Zeit nicht - ein Neustart des Mysql-Servers betrifft alle aktuellen E-Mail Eingänge / eingeloggten IMAP-Nutzer - Mailserver muss übers Netzwerk mit mysql kommunizieren, lokal wäre schneller und weniger Fehleranfällig Welche weiteren Vorteile bzw Nachteile seht ihr? Bin für alle Einwände / Vorschläge und besonders Erfahrungen dankbar. Viele Grüße Florian From christian.garling at cg-networks.de Fri Aug 27 13:24:39 2010 From: christian.garling at cg-networks.de (Christian Garling) Date: Fri, 27 Aug 2010 13:24:39 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Bestimmte_Adressen_von_Virensc?= =?iso-8859-1?q?an_ausschlie=DFen?= In-Reply-To: <20100826204238.GF16534@mail.incertum.net> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> Message-ID: <4C77A077.3020606@cg-networks.de> Hallo zusammen, bei uns scannt Amavisd-New mittels SpamAssassin und ClamAV als smtpd_proxy_filter unsere Mails. Es hat sich dabei als Problem herausgestellt, dass die Mails von google-alerts als Virus erkannt werden (Phishing Versuch). Ich habe google-alerts bereits in den Whitelists von Postfix und SpamAssassin, aber das hält ClamAV nicht ab, die Mail trotzdem zu scannen, was ja auch richtig ist. Wie kann ich nun google-alerts trotzdem ausschließen? Geht das per virus_lovers_maps in Amavisd-New? Wenn ja, kann mal einer ein Beispiel posten wie sowas syntaktisch aussieht? Viele Grüße, Christian Garling From christian at roessner-net.com Fri Aug 27 13:43:10 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Fri, 27 Aug 2010 13:43:10 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100826204238.GF16534@mail.incertum.net> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> Message-ID: <91176B33-00A5-4F0A-8C29-0F6955F6DF1B@roessner-net.com> > > Es gibt nur einen postscreen-Prozess, deswegen steht da eine eins. Du > wirst bemerkt haben, daß die smtpd(8)-Definition in master.cf nicht > mehr "inet", sondern "pass" ist - der Socket, an dem postscreen(8) die > Verbindung annimmt, wird nämlich einfach an den smtpd(8) > weitergereicht. > > Der unrsprüngliche "smtp .... smtpd"-Eintrag ist natürlich bei > Benutzung von postscreen(8) oboslet, kann doch stets nur ein Prozess > auf einem lokalen Port (zulässig vereinfacht!) lauschen. > Also ich versuche es wirklich zu verstehen :) Also in der postscreen Zeile steht ja als service smtp und als type inet. Also gehe ich mal davon aus, dass auf Betriebssystemebene der Prozess postscreen TCP/IP-Verbindungen annimmt. Warum kann dann statt der 1 da nicht eine 25 stehen? Dass der proxy-Filter Eintrag dem smtpd zugeordnet wird, kann ich nachvollziehen. Oder muss dann "meine" 25 auch bei smtpd eingetragen werden? Ich glaube meine Frage meint wirklich, wer handhabt die TCP/IP-Sockets Port 25 und kann somit limitiert werden? Christian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From mailinglisten at it-blog.net Fri Aug 27 13:45:11 2010 From: mailinglisten at it-blog.net (Pascal) Date: Fri, 27 Aug 2010 13:45:11 +0200 Subject: [Postfixbuch-users] Variable in master.cf bei Konfigurationsoption angeben Message-ID: <4C77A547.3060102@it-blog.net> Hallo zusammen! In meiner master.cf habe ich einen zusätzlichen smtpd-Service angelegt, bei dem ich über "-o name=value" ein paar Konfigurationsoptionen anpassen muss. Hierbei versuche ich gerade vergeblich den smtpd_banner zu ändern, da ich darin $myhostname verwenden möchte. Mir ist klar, dass diese - wenn sie einfach normal angegeben wird - von der Shell interpretiert wird, was hierbei aber natürlich nicht gewünscht ist. Deshalb habe ich das Dollarzeichen entsprechend escaped: 127.0.0.1:10125 inet n - - - - smtpd -o 'smtpd_banner=\$myhostname Mailserver-XYZ' Da dies auch nicht funktioniert, bin ich momentan ein wenig ratlos. Hat vielleicht jemand eine Idee, wie dies umgesetzt werden muss? MfG Pascal From cite at incertum.net Fri Aug 27 14:07:05 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Fri, 27 Aug 2010 14:07:05 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <91176B33-00A5-4F0A-8C29-0F6955F6DF1B@roessner-net.com> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> <91176B33-00A5-4F0A-8C29-0F6955F6DF1B@roessner-net.com> Message-ID: <20100827120705.GH16534@mail.incertum.net> * Christian Rößner : > Ich glaube meine Frage meint wirklich, wer handhabt die TCP/IP-Sockets Port 25 und kann somit limitiert werden? postscreen(8) nimmt die Verbindungen auf Port 25 entgegen. Kommt der Versuch durch, so gibt es den geöffneten Socket an master(8) zurück, welcher seinerseits soviele smtpd(8)-Prozesse spawned, wie er darf, und diesem den Socket mitsamt der dazugeörigen Verbindung übergibt. Stefan From kai_postfix at fuerstenberg.ws Fri Aug 27 14:43:43 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 27 Aug 2010 14:43:43 +0200 Subject: [Postfixbuch-users] Variable in master.cf bei Konfigurationsoption angeben In-Reply-To: <4C77A547.3060102@it-blog.net> References: <4C77A547.3060102@it-blog.net> Message-ID: <4C77B2FF.2020406@fuerstenberg.ws> Hi, Pascal schrieb am 27.08.2010 13:45: > Hierbei versuche ich gerade vergeblich den smtpd_banner > zu ändern, da ich darin $myhostname verwenden möchte. [..] > 127.0.0.1:10125 inet n - - - - smtpd > -o 'smtpd_banner=\$myhostname Mailserver-XYZ' Warum? Ist doch 1. default und 2. vorgeschrieben: smtpd_banner (default: $myhostname ESMTP $mail_name) [..] You MUST specify $myhostname at the start of the text. This is required by the SMTP protocol. -- Gruß Kai Fürstenberg PM an kai at fuerstenberg punkt ws From traced at xpear.de Fri Aug 27 15:10:20 2010 From: traced at xpear.de (Bastian) Date: Fri, 27 Aug 2010 15:10:20 +0200 Subject: [Postfixbuch-users] Adress Verify vs. Kerio Spam Repellent Message-ID: <4ce43262fb70bb93ef52904f91f55b58@localhost> Hallo Liste, ich hatte gestern den Fall, dass mein Postfix die Empfängeradressen nicht dynamisch ermitteln konnte, da auch dem Zielserver (Kerio-Mailserver) ein sogenanntes "Spam-Repellent" (http://manuals.kerio.com/kms/en/sect-spamrepellent.html) aktiviert war. Postfix schrieb immer folgendes ins Logfile: Recipient address rejected: unverified address: conversation with mail.xxxxxx.de[62.xxx.xxx.xxx] timed out while receiving the initial server greeting; Wir haben dann als Lösung das Spam-Repellent ausgemacht... Gibt es in Postfix irgend einen Parameter, wie ich trotz der verzögerten Antwort des Kerio die dynamische Verifizierung machen kann? Für mich sieht das nach irgendeinem Timeout aus, Kerio hat aber nur für ca 10 Sekunden verzögert. Vielen Dank & schönes Wochenende Basti From traced at xpear.de Fri Aug 27 15:12:39 2010 From: traced at xpear.de (Bastian) Date: Fri, 27 Aug 2010 15:12:39 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Mailsystem_mit_mysql_/_eigene_insta?= =?utf-8?q?nz_f=C3=BCr_mailserver_oder_vorhandenen_mysqlserver_mitnutzen?= In-Reply-To: <36EBC07777EE48439E19057655B36D4F@florian> References: <36EBC07777EE48439E19057655B36D4F@florian> Message-ID: <762368130eed113680699577ede283a3@localhost> On Fri, 27 Aug 2010 12:36:19 +0200, "Florian Kaiser" wrote: > Hallo Liste, > > uns stellt sich beim Aufsetzen eines Mailservers mit Postfix / Dovecot > über > MySQL-Backend die Frage, ob wir einen vorhandenen MySQL-Server, der > momentan > diverse Webauftritte versorgt mitnutzen sollten oder lieber auf einen für > den Mailserver dedizierten lokalen mysqld-instanz zurückgreifen sollten. ... > Viele Grüße > Florian > Hallo Florian, ich würde eine eigene MySQL Instanz auf dem Mailserver bevorzugen, wenn es eh der einzige Server ist. Die Nachteile die Du geschrieben hast sind ja nicht ohne. Sollte der Webserver wegen Wartung oder whatever mal länger nicht on sein, kommt auch keine einzige Mail mehr durch, in der Du ja vielleicht Kunden mitteilen möchtest dass grad kein Web geht, und so weiter... viele Grüße Basti From andreas.schulze at datev.de Fri Aug 27 16:33:36 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 27 Aug 2010 16:33:36 +0200 Subject: [Postfixbuch-users] Adress Verify vs. Kerio Spam Repellent In-Reply-To: <4ce43262fb70bb93ef52904f91f55b58@localhost> References: <4ce43262fb70bb93ef52904f91f55b58@localhost> Message-ID: <20100827143336.GA6781@spider.services.datevnet.de> Am 27.08.2010 15:10 schrieb Bastian: > Recipient address rejected: unverified address: conversation with > mail.xxxxxx.de[62.xxx.xxx.xxx] timed out while receiving the initial server > greeting; # postconf -n | grep smtp_ | grep timeout hast Du da was runtergedreht ? Ansonsten kannst Du für den Verify einen eigenen transport definieren ( Kopie eines smtp-clients ) und dort eigene Timeouts einstellen. > > Wir haben dann als Lösung das Spam-Repellent ausgemacht... Gibt es in > Postfix irgend einen Parameter, wie ich trotz der verzögerten Antwort des > Kerio die dynamische Verifizierung machen kann? Für mich sieht das nach > irgendeinem Timeout aus, Kerio hat aber nur für ca 10 Sekunden verzögert. > -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From christian at roessner-net.com Fri Aug 27 16:38:26 2010 From: christian at roessner-net.com (=?iso-8859-1?Q?Christian_R=F6=DFner?=) Date: Fri, 27 Aug 2010 16:38:26 +0200 Subject: [Postfixbuch-users] postscreen In-Reply-To: <20100827120705.GH16534@mail.incertum.net> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> <91176B33-00A5-4F0A-8C29-0F6955F6DF1B@roessner-net.com> <20100827120705.GH16534@mail.incertum.net> Message-ID: <0A194E26-2D62-4DA8-9E8D-0AB7E0578578@roessner-net.com> > postscreen(8) nimmt die Verbindungen auf Port 25 entgegen. Kommt der > Versuch durch, so gibt es den geöffneten Socket an master(8) zurück, > welcher seinerseits soviele smtpd(8)-Prozesse spawned, wie er darf, > und diesem den Socket mitsamt der dazugeörigen Verbindung übergibt. > Danke, dann weiß ich jetzt bescheid :) Christian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 194 bytes Beschreibung: Signierter Teil der Nachricht URL : From traced at xpear.de Fri Aug 27 16:40:45 2010 From: traced at xpear.de (Bastian) Date: Fri, 27 Aug 2010 16:40:45 +0200 Subject: [Postfixbuch-users] Adress Verify vs. Kerio Spam Repellent In-Reply-To: <20100827143336.GA6781@spider.services.datevnet.de> References: <4ce43262fb70bb93ef52904f91f55b58@localhost> <20100827143336.GA6781@spider.services.datevnet.de> Message-ID: <7433df7732ce26a4f8bd11179752468d@localhost> On Fri, 27 Aug 2010 16:33:36 +0200, Andreas Schulze wrote: > Am 27.08.2010 15:10 schrieb Bastian: >> Recipient address rejected: unverified address: conversation with >> mail.xxxxxx.de[62.xxx.xxx.xxx] timed out while receiving the initial >> server >> greeting; > # postconf -n | grep smtp_ | grep timeout > hast Du da was runtergedreht ? > > Ansonsten kannst Du für den Verify einen eigenen transport definieren > ( Kopie eines smtp-clients ) und dort eigene Timeouts einstellen. > > -- > Andreas Schulze > Internetdienste | P532 > Hallo Andreas, postconf -n... ist leer, sprich nichts an den Timeouts verändert. Dann sollten ja die Standardtimeouts greifen, die soweit ich das im Blick habe ja bei Postfix eh sehr grosszügig sind. Deshalb ist die Frage, ob man wirklich dann für verify die Timeouts noch weiter verlängern sollte, ich denke die sind auf sinnvolle Werte voreingestellt. viele Grüße Basti From michael.mertel at bwc.de Fri Aug 27 18:15:47 2010 From: michael.mertel at bwc.de (Bit World Computing e.K. - Michael Mertel) Date: Fri, 27 Aug 2010 18:15:47 +0200 Subject: [Postfixbuch-users] smtp_line_length_limit - Probleme mit Apple Mail Message-ID: Hallo, ich habe eine Applikation (Zabbix), welche den kompletten mailbody in einen base64-encodierten Klotz packt. Leider achtet Zabbix nicht auf die in RFC5321 angegebene max. Länge von 1000 Bytes, so das Postfix gem. Parameter smtp_line_length_limit einen einfügt, per default bei 990 Zeichen. Generell ist das wohl auch kein Problem, allerdings kann Apple Mail die mails dann nicht mehr darstellen, lediglich bis zum ersten Umbruch wird der base64 body decodiert, dann kommt nur noch der Rest als raw message. Es liegt am welches Apple Mail aus dem Tritt bringt. Wenn ich die raw message nehme und dem base64 commandline tool vorwerfe kommt auch nur müll raus, das stört einfch. Ich werde noch ein Ticket bei Zabbix aufmachen, aber kann ich im Postfix irgendwo einstellen das auf das verzichtet wird? Alternativ könnte ich den smtp_line_length_limit Parameter noch hochsetzen, ist aber alles nicht so schön. Vielen Dank vorab und beste Grüße aus Würzburg. --Michael From postfix-list at novuage.de Fri Aug 27 20:59:37 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 27 Aug 2010 20:59:37 +0200 Subject: [Postfixbuch-users] Adress Verify vs. Kerio Spam Repellent In-Reply-To: <4ce43262fb70bb93ef52904f91f55b58@localhost> References: <4ce43262fb70bb93ef52904f91f55b58@localhost> Message-ID: <4C780B19.9040903@novuage.de> Hallo, Am 27.08.2010 15:10, schrieb Bastian: > ich hatte gestern den Fall, dass mein Postfix die Empfängeradressen nicht > dynamisch ermitteln konnte, da auch dem Zielserver (Kerio-Mailserver) ein > sogenanntes "Spam-Repellent" > (http://manuals.kerio.com/kms/en/sect-spamrepellent.html) aktiviert war. > Postfix schrieb immer folgendes ins Logfile: > > Recipient address rejected: unverified address: conversation with > mail.xxxxxx.de[62.xxx.xxx.xxx] timed out while receiving the initial server > greeting; Wie sieht denn die ganze Zeile aus? Kann es sein das hier nur ein 4xx passiert und im Hintergrund nach der Beantwortung das teil dann den Timeout übersteht und in den Cache geht? Es war doch mal die Rede davon das es bei langsamen Antworten nicht "Live" geht mit dem adress_verify. Aber das nur mal so als Anregung, es findet sich bestimmt noch jemand der das genau sagen kann. Die Timeouts sollten im Standard so bei 300 Sekunden liegen wenn ich mich nicht irre. Das sollte also die 10 Sekunden schon überleben :) -- Gruß Sascha From postfix-list at novuage.de Fri Aug 27 21:01:21 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Fri, 27 Aug 2010 21:01:21 +0200 Subject: [Postfixbuch-users] Variable in master.cf bei Konfigurationsoption angeben In-Reply-To: <4C77B2FF.2020406@fuerstenberg.ws> References: <4C77A547.3060102@it-blog.net> <4C77B2FF.2020406@fuerstenberg.ws> Message-ID: <4C780B81.7030308@novuage.de> Am 27.08.2010 14:43, schrieb Kai Fürstenberg: > Hi, > > Pascal schrieb am 27.08.2010 13:45: >> Hierbei versuche ich gerade vergeblich den smtpd_banner >> zu ändern, da ich darin $myhostname verwenden möchte. > [..] >> 127.0.0.1:10125 inet n - - - - smtpd >> -o 'smtpd_banner=\$myhostname Mailserver-XYZ' > > Warum? Ist doch > 1. default und > 2. vorgeschrieben: > > smtpd_banner (default: $myhostname ESMTP $mail_name) > [..] > You MUST specify $myhostname at the start of the text. This is required > by the SMTP protocol. Wenn der aber auf einer zweiten IP-Adresse lauscht will hier vielleicht der Reverse Eintrag aus dem DNS rein. Muss nicht, aber vielleicht sollte das hier das Ziel sein... oder? -- Gruß Sascha From postfixbuch at cboltz.de Sat Aug 28 17:38:44 2010 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sat, 28 Aug 2010 17:38:44 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailsystem_mit_mysql_/_eigene_?= =?iso-8859-1?q?instanz_f=FCr_mailserver_oder_vorhandenen_mysqlserver_mitn?= =?iso-8859-1?q?utzen?= In-Reply-To: <36EBC07777EE48439E19057655B36D4F@florian> References: <36EBC07777EE48439E19057655B36D4F@florian> Message-ID: <201008281738.44575@tux.boltz.de.vu> Hallo Florian, hallo Leute, Am Freitag, 27. August 2010 schrieb Florian Kaiser: > uns stellt sich beim Aufsetzen eines Mailservers mit Postfix / > Dovecot über MySQL-Backend die Frage, ob wir einen vorhandenen > MySQL-Server, der momentan diverse Webauftritte versorgt mitnutzen > sollten oder lieber auf einen für den Mailserver dedizierten lokalen > mysqld-instanz zurückgreifen sollten. [...] > Welche weiteren Vorteile bzw Nachteile seht ihr? Bin für alle > Einwände / Vorschläge und besonders Erfahrungen dankbar. Was mir bei der Thematik noch in den Kopf kommt: Bei Datenhaltung in MySQL kommt ja gern mal eine Weboberfläche zur Konfiguration (PostfixAdmin? [1]) dazu - dafür brauchst Du dann einen Webserver. Von daher würde sich der Webserver doch anbieten ;-) Mein Vorschlag wäre, die Datenbank per MySQL-Replikation auf den Mailserver übertragen zu lassen. Dann wäre alles lokal verfügbar und, fast noch wichtiger, wäre wohl die komplette Datenbank im Cache und daher superschnell. Zudem sparst Du Dir bei dieser Lösung den Webserver fürs Konfigurations-Frontend - es könnte einfach auf dem derzeitigen Webserver mitlaufen. Falls es wirklich mal einen Ausfall des Web- oder Datenbankservers gäbe, wäre nur das Anlegen und Ändern von Postfächern usw. betroffen, aber nicht der laufende Betrieb. Dass Du in Postfix proxy:mysql: nutzen solltest, muss ich Dir ja nicht sagen, oder? Gruß Christian Boltz [1] PostfixAdmin 2.3.2 ist seit ein paar Tagen zum Download verfügbar (http://sourceforge.net/projects/postfixadmin/) und behebt einige Bugs sowie zwei (IMHO nicht wirklich schlimmme) Sicherheitslücken. -- PHP _ist_ das VB des Web und fuer eine ganze Menge Leute [..] ist es die erste erlernte Programmiersprache ueberhaupt. Der Unterschied ist nur, dass meine C64- Basic-Uebungen niemals jemand zu Gesicht bekommen hat, waehrend deren Laufstall- Verunfallungen im Web weltweit rumpesten [K. Köhntopp] From lists at puersten.de Sat Aug 28 18:20:38 2010 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Sat, 28 Aug 2010 18:20:38 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailsystem_mit_mysql_/_eigene_?= =?iso-8859-1?q?instanz_f=FCr_mailserver_oder_vorhandenen_mysqlserver_mitn?= =?iso-8859-1?q?utzen?= In-Reply-To: <201008281738.44575@tux.boltz.de.vu> References: <36EBC07777EE48439E19057655B36D4F@florian> <201008281738.44575@tux.boltz.de.vu> Message-ID: <4C793756.9050306@puersten.de> Am 28.08.2010 17:38, schrieb Christian Boltz: > Hallo Florian, hallo Leute, > > Am Freitag, 27. August 2010 schrieb Florian Kaiser: >> uns stellt sich beim Aufsetzen eines Mailservers mit Postfix / >> Dovecot über MySQL-Backend die Frage, ob wir einen vorhandenen >> MySQL-Server, der momentan diverse Webauftritte versorgt mitnutzen >> sollten oder lieber auf einen für den Mailserver dedizierten lokalen >> mysqld-instanz zurückgreifen sollten. > [...] >> Welche weiteren Vorteile bzw Nachteile seht ihr? Bin für alle >> Einwände / Vorschläge und besonders Erfahrungen dankbar. > > Was mir bei der Thematik noch in den Kopf kommt: > > Bei Datenhaltung in MySQL kommt ja gern mal eine Weboberfläche zur > Konfiguration (PostfixAdmin? [1]) dazu - dafür brauchst Du dann einen > Webserver. Von daher würde sich der Webserver doch anbieten ;-) > > Mein Vorschlag wäre, die Datenbank per MySQL-Replikation auf den > Mailserver übertragen zu lassen. Dann wäre alles lokal verfügbar und, > fast noch wichtiger, wäre wohl die komplette Datenbank im Cache und > daher superschnell. Zudem sparst Du Dir bei dieser Lösung den Webserver > fürs Konfigurations-Frontend - es könnte einfach auf dem derzeitigen > Webserver mitlaufen. > Falls es wirklich mal einen Ausfall des Web- oder Datenbankservers gäbe, > wäre nur das Anlegen und Ändern von Postfächern usw. betroffen, aber > nicht der laufende Betrieb. > > Dass Du in Postfix proxy:mysql: nutzen solltest, muss ich Dir ja nicht > sagen, oder? > > > Gruß > > Christian Boltz > Denke was die Ausfallsicherheit betriff ist das sicherlich keine verkehrt Idee die Master DB auf dem Webserver zu belassen und Sie dann auf den Mailserver zu replizieren. So hast Du den Vorteil, dass sollte die Master DB nicht verfügbar sein, Dein Mailsystem nicht stillsteht. Was die Performance angeht ist das vollkommen wurscht. Bei den paar User und Anfragen solltest Du da keinen Unterschied merken obn man das übers Netz oder lokal abwickelt. Gruß, Oliver From lists at puersten.de Sat Aug 28 22:15:01 2010 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Sat, 28 Aug 2010 22:15:01 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Bestimmte_Adressen_von_Virensc?= =?iso-8859-1?q?an_ausschlie=DFen?= In-Reply-To: <4C77A077.3020606@cg-networks.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> <4C77A077.3020606@cg-networks.de> Message-ID: <4C796E45.1050600@puersten.de> Am 27.08.2010 13:24, schrieb Christian Garling: > Hallo zusammen, > > bei uns scannt Amavisd-New mittels SpamAssassin und ClamAV als smtpd_proxy_filter unsere > Mails. Es hat sich dabei als Problem herausgestellt, dass die Mails von google-alerts als > Virus erkannt werden (Phishing Versuch). Ich habe google-alerts bereits in den Whitelists > von Postfix und SpamAssassin, aber das hält ClamAV nicht ab, die Mail trotzdem zu scannen, > was ja auch richtig ist. Wie kann ich nun google-alerts trotzdem ausschließen? Geht das per > virus_lovers_maps in Amavisd-New? Wenn ja, kann mal einer ein Beispiel posten wie sowas > syntaktisch aussieht? > > Viele Grüße, Christian Garling > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Moin Christian, denke die einzige Möglichkeit die Du hast wäre das du speziell für die eine Empfängeradresse den Virenscan abschaltest, was denke ich aber auch nicht in deinem Interesse ist. Sollte es das doch sein, dann müsstest Du den Amavis auf User spezifisch gefiltert umbauen (z.b. mit mysql-db Anbindung) und dann für die Empfängeradressen den Punkt Virus-Lover setzen. Dann wird dieser Empfänger nicht mehr gescannt, was ich Dir aber nicht empfehlen würde. Gruß, Oliver From christian.garling at cg-networks.de Sat Aug 28 23:14:16 2010 From: christian.garling at cg-networks.de (Christian Garling) Date: Sat, 28 Aug 2010 23:14:16 +0200 (CEST) Subject: [Postfixbuch-users] =?iso-8859-1?q?Bestimmte_Adressen_von_Virensc?= =?iso-8859-1?q?an_ausschlie=DFen?= In-Reply-To: <4C796E45.1050600@puersten.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> <4C77A077.3020606@cg-networks.de> <4C796E45.1050600@puersten.de> Message-ID: <49182.87.189.37.200.1283030056.squirrel@www.cg-networks.de> Hi Oliver, > Sollte es das doch sein, dann müsstest Du den Amavis auf User spezifisch > gefiltert umbauen > (z.b. mit mysql-db Anbindung) und dann für die Empfängeradressen den Punkt > Virus-Lover > setzen. Dann wird dieser Empfänger nicht mehr gescannt, was ich Dir aber > nicht empfehlen würde. was würdest du mir denn empfehlen? > > Gruß, Oliver Gruß, Christian > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From lists at puersten.de Sun Aug 29 10:21:33 2010 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Sun, 29 Aug 2010 10:21:33 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Bestimmte_Adressen_von_Virensc?= =?iso-8859-1?q?an_ausschlie=DFen?= In-Reply-To: <49182.87.189.37.200.1283030056.squirrel@www.cg-networks.de> References: <20100826113912.GD16534@mail.incertum.net> <20100826124026.GA2738@spider.services.datevnet.de> <20100826135856.GG32248@charite.de> <20100826204238.GF16534@mail.incertum.net> <4C77A077.3020606@cg-networks.de> <4C796E45.1050600@puersten.de> <49182.87.189.37.200.1283030056.squirrel@www.cg-networks.de> Message-ID: <4C7A188D.1050906@puersten.de> Am 28.08.2010 23:14, schrieb Christian Garling: > Hi Oliver, > >> Sollte es das doch sein, dann müsstest Du den Amavis auf User spezifisch >> gefiltert umbauen >> (z.b. mit mysql-db Anbindung) und dann für die Empfängeradressen den Punkt >> Virus-Lover >> setzen. Dann wird dieser Empfänger nicht mehr gescannt, was ich Dir aber >> nicht empfehlen würde. > > was würdest du mir denn empfehlen? > >> >> Gruß, Oliver > > Gruß, Christian > >> -- >> _______________________________________________ Moin Christian, ich würde mich weiter nach der Ursache und einer Lösung für diese auf die Suche begeben und nicht an den Symthomen herrumbasteln. So wie sich das für mich anhöhrt ist das Problem ja eher die Email als Clamav. Vielleicht nochmal im Netz suchen ob andere auch schon vor dem Problem standen? Vielleicht gibt es ja schon eine andere Lösung als Emails nicht zu scannen. z.B. eine Möglichkeit die abgesendete Email Clamav freundlich zu verschicken, oder so. -- Gruß, Oliver From traced at xpear.de Sun Aug 29 13:31:29 2010 From: traced at xpear.de (Basti) Date: Sun, 29 Aug 2010 13:31:29 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner Message-ID: <4C7A4511.6010402@xpear.de> Hallo, ich wollte mich nur mal umhören, welche Virenscanner Ihr mit Amavis im Einsatz habt?! Bei mir laufen mmt. Clamd und Avira Antivir, welcher leider keinen Dämon hat, und somit bei jeder Mail wieder geladen werden muss, und somit schonmal 3-5 Sekunden mit Starten verbringt... Danke & viele Grüße Basti From Ralf.Hildebrandt at charite.de Sun Aug 29 14:38:23 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 29 Aug 2010 14:38:23 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <4C7A4511.6010402@xpear.de> References: <4C7A4511.6010402@xpear.de> Message-ID: <20100829123823.GE10195@charite.de> * Basti : > Hallo, ich wollte mich nur mal umhören, welche Virenscanner Ihr mit > Amavis im Einsatz habt?! clamd + AVG > Bei mir laufen mmt. Clamd und Avira Antivir, welcher leider keinen > Dämon hat, und somit bei jeder Mail wieder geladen werden muss, und > somit schonmal 3-5 Sekunden mit Starten verbringt... Avira Antivir HAT einen Daemon, der Support für amavisd-new kommt in der nächsten Version :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From leo at leo-unglaub.net Sun Aug 29 14:41:52 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Sun, 29 Aug 2010 14:41:52 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <4C7A4511.6010402@xpear.de> References: <4C7A4511.6010402@xpear.de> Message-ID: <4C7A5590.4010906@leo-unglaub.net> Hallo ! > Hallo, ich wollte mich nur mal umhören, welche Virenscanner Ihr mit > Amavis im Einsatz habt?! Ich habe nur ClamD im Einsatz. Läuft wunderbar und findet mehr als man denkt. > Danke & viele Grüße > Basti Viele Grüße Leo From p.heinlein at heinlein-support.de Sun Aug 29 15:19:22 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 29 Aug 2010 15:19:22 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <20100829123823.GE10195@charite.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> Message-ID: <201008291519.22531.p.heinlein@heinlein-support.de> Am Sonntag 29 August 2010 14:38:23 schrieb Ralf Hildebrandt: > > Bei mir laufen mmt. Clamd und Avira Antivir, welcher leider keinen > > Dämon hat, und somit bei jeder Mail wieder geladen werden muss, und > > somit schonmal 3-5 Sekunden mit Starten verbringt... > > Avira Antivir HAT einen Daemon, der Support für amavisd-new kommt in > der nächsten Version :) Der war bei einem Lasttest von uns im Frühjahr so buggy, daß er unter hoher paralleler Last (> 30 Prozesse) permanent abschmierte. Avira akzeptierte das dann irgendwann auch und wollte auf ein Thread-Modell umsteigen. Ralf: Ist das mittlerweile geschehen? Kann der das mittlerweile? Ansonsten haben wir im Februar für den Kunden uns dann für Sophos entschieden und das Sophos SSSP-Protokoll nativ in Amvais eingebaut. Damit kann Amavis direkt mit dem Sophos-Dämon reden (wie mit ClamAV) und das erwies sich als ausgesprochen stabil und ist seitdem mein absoluter Lieblings-Virenkiller wenn's denn schon kommerziell sein muß. Die Avira-Leute kann ich seit dem Vorfall im Februar leider nicht mehr ganz ernst nehmen (auch wenn mich ansonsten eine jahrelange Freundschaft mit Avira verband). Aber wer auch nach zwei Wochen Bugreporting nicht kapiert, was Amavis ist, was das macht und wie sie vielleicht mal selbst im Labor testen können, ob ihre eigene Software abstürzt.... Amavisd/Sophos ist auch schön hochperformant: Wir haben damit eine Maschine gebaut, die 90 Mails pro Sekunde filtert. Okay, es war auch nette Hardware drunter. Aber hat Spaß gemacht. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p at state-of-mind.de Sun Aug 29 15:28:34 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sun, 29 Aug 2010 15:28:34 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <201008291519.22531.p.heinlein@heinlein-support.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> Message-ID: <20100829132833.GA4465@state-of-mind.de> * Peer Heinlein : > Ansonsten haben wir im Februar für den Kunden uns dann für Sophos > entschieden und das Sophos SSSP-Protokoll nativ in Amvais eingebaut. > Damit kann Amavis direkt mit dem Sophos-Dämon reden (wie mit ClamAV) und > das erwies sich als ausgesprochen stabil und ist seitdem mein absoluter > Lieblings-Virenkiller wenn's denn schon kommerziell sein muß. > > Die Avira-Leute kann ich seit dem Vorfall im Februar leider nicht mehr > ganz ernst nehmen (auch wenn mich ansonsten eine jahrelange Freundschaft > mit Avira verband). Aber wer auch nach zwei Wochen Bugreporting nicht > kapiert, was Amavis ist, was das macht und wie sie vielleicht mal selbst > im Labor testen können, ob ihre eigene Software abstürzt.... Probleme mit AVIRA hatten wir bisher nicht. > Amavisd/Sophos ist auch schön hochperformant: Wir haben damit eine > Maschine gebaut, die 90 Mails pro Sekunde filtert. Okay, es war auch > nette Hardware drunter. Aber hat Spaß gemacht. Mit der AVIRA SAVAPI haben wir es auf 130 msg/sec und mehr gebracht. Auch mit netter Hardware. p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From p.heinlein at heinlein-support.de Sun Aug 29 15:31:28 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 29 Aug 2010 15:31:28 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <20100829132833.GA4465@state-of-mind.de> References: <4C7A4511.6010402@xpear.de> <201008291519.22531.p.heinlein@heinlein-support.de> <20100829132833.GA4465@state-of-mind.de> Message-ID: <201008291531.28609.p.heinlein@heinlein-support.de> Am Sonntag 29 August 2010 15:28:34 schrieb Patrick Ben Koetter: > > Die Avira-Leute kann ich seit dem Vorfall im Februar leider nicht > > mehr ganz ernst nehmen (auch wenn mich ansonsten eine jahrelange > > Freundschaft mit Avira verband). Aber wer auch nach zwei Wochen > > Bugreporting nicht kapiert, was Amavis ist, was das macht und wie > > sie vielleicht mal selbst im Labor testen können, ob ihre eigene > > Software abstürzt.... > > Probleme mit AVIRA hatten wir bisher nicht. Alte Version vor diesem Sommer oder neues Modell ab diesem Sommer? Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p at state-of-mind.de Sun Aug 29 15:40:17 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sun, 29 Aug 2010 15:40:17 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <201008291531.28609.p.heinlein@heinlein-support.de> References: <4C7A4511.6010402@xpear.de> <201008291519.22531.p.heinlein@heinlein-support.de> <20100829132833.GA4465@state-of-mind.de> <201008291531.28609.p.heinlein@heinlein-support.de> Message-ID: <20100829134017.GC4465@state-of-mind.de> * Peer Heinlein : > Am Sonntag 29 August 2010 15:28:34 schrieb Patrick Ben Koetter: > > > > Die Avira-Leute kann ich seit dem Vorfall im Februar leider nicht > > > mehr ganz ernst nehmen (auch wenn mich ansonsten eine jahrelange > > > Freundschaft mit Avira verband). Aber wer auch nach zwei Wochen > > > Bugreporting nicht kapiert, was Amavis ist, was das macht und wie > > > sie vielleicht mal selbst im Labor testen können, ob ihre eigene > > > Software abstürzt.... > > > > Probleme mit AVIRA hatten wir bisher nicht. > > Alte Version vor diesem Sommer oder neues Modell ab diesem Sommer? Gute Frage, ich komme gerade nicht auf die Maschinen drauf. Current Release. War damals noch BETA. p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From traced at xpear.de Sun Aug 29 16:40:03 2010 From: traced at xpear.de (Basti) Date: Sun, 29 Aug 2010 16:40:03 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <20100829132833.GA4465@state-of-mind.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> <20100829132833.GA4465@state-of-mind.de> Message-ID: <4C7A7143.10707@xpear.de> Am 29.08.2010 15:28, schrieb Patrick Ben Koetter: > > Mit der AVIRA SAVAPI haben wir es auf 130 msg/sec und mehr gebracht. Auch mit > netter Hardware. > > p at rick > Vielen Dank schonmal für Eure Antworten! Das mit SAVAPI klingt doch gut, aber benutzt Du den normalen Avira Prof Server? Wie lizenziert man denn das dann eigentlich? Per User wird man ja arm, sollte jede Mailbox als User gelten?! viele Grüße Basti From cite at incertum.net Sun Aug 29 17:10:56 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Sun, 29 Aug 2010 17:10:56 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <201008291519.22531.p.heinlein@heinlein-support.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> Message-ID: <20100829151056.GJ16534@mail.incertum.net> * Peer Heinlein : > Die Avira-Leute kann ich seit dem Vorfall im Februar leider nicht mehr > ganz ernst nehmen (auch wenn mich ansonsten eine jahrelange Freundschaft > mit Avira verband). Aber wer auch nach zwei Wochen Bugreporting nicht > kapiert, was Amavis ist, was das macht und wie sie vielleicht mal selbst > im Labor testen können, ob ihre eigene Software abstürzt.... Avira hatte sich bei uns disqualifizert, als ich einmal versucht hatte, ein Signatur-Update zu machen: Auf der Maschine war die umask auf 0077 eingestellt, der Updater hat die Dateien mit einem anderen User runtergeladen als dem, unter dem der Demon lief, und letzterer viel dann natürlich auf die Nase. So programmiert man dann doch eher nicht. Stefan P.S: Das mit der umask ist nicht unsere Idee. Wenn man in einem Konzern ist, muß man hin und wieder seltsame Richtlinien befolgen. Die nennen sich dann "Baseline Security Guidelines" und so. From p at state-of-mind.de Sun Aug 29 20:03:59 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sun, 29 Aug 2010 20:03:59 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <4C7A7143.10707@xpear.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> <20100829132833.GA4465@state-of-mind.de> <4C7A7143.10707@xpear.de> Message-ID: <20100829180359.GA7180@state-of-mind.de> * Basti : > >Mit der AVIRA SAVAPI haben wir es auf 130 msg/sec und mehr gebracht. Auch mit > >netter Hardware. > > > >p at rick > > > > Vielen Dank schonmal für Eure Antworten! > Das mit SAVAPI klingt doch gut, aber benutzt Du den normalen Avira Prof > Server? Wie lizenziert man denn das dann eigentlich? Per User wird man ja > arm, sollte jede Mailbox als User gelten?! Da muss ich leider blank ziehen, denn das Lizenzmodell und den Preis hat der Kunde mit AVIRA ausgehandelt. p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From Ralf.Hildebrandt at charite.de Sun Aug 29 20:31:49 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 29 Aug 2010 20:31:49 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <201008291519.22531.p.heinlein@heinlein-support.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> Message-ID: <20100829183149.GD10334@charite.de> * Peer Heinlein : > Am Sonntag 29 August 2010 14:38:23 schrieb Ralf Hildebrandt: > > > > > Bei mir laufen mmt. Clamd und Avira Antivir, welcher leider keinen > > > Dämon hat, und somit bei jeder Mail wieder geladen werden muss, und > > > somit schonmal 3-5 Sekunden mit Starten verbringt... > > > > Avira Antivir HAT einen Daemon, der Support für amavisd-new kommt in > > der nächsten Version :) > > Der war bei einem Lasttest von uns im Frühjahr so buggy, daß er unter > hoher paralleler Last (> 30 Prozesse) permanent abschmierte. Avira > akzeptierte das dann irgendwann auch und wollte auf ein Thread-Modell > umsteigen. > > Ralf: Ist das mittlerweile geschehen? Kann der das mittlerweile? Mein letzter Test ist nicht in Flammen aufgegangen, allerdings WEISS ich nicht welches das Modell war, daß er nutzte :( > Ansonsten haben wir im Februar für den Kunden uns dann für Sophos > entschieden und das Sophos SSSP-Protokoll nativ in Amvais eingebaut. Irgendwie war ich dafür zu doof. > Damit kann Amavis direkt mit dem Sophos-Dämon reden (wie mit ClamAV) und > das erwies sich als ausgesprochen stabil und ist seitdem mein absoluter > Lieblings-Virenkiller wenn's denn schon kommerziell sein muß. Ich habe jetzt mal AVG nebenher laufen: Findet NIX (muss nochmal gucken) was nicht auch clamd findet. Bizarr. Amavis loggt bei mir welche Virenscanner was finden, aber AVG findet nicht "mehr". Kann nun auch daran liegen, daß Unfug wie *.com, *.pif, *.scr usw. eh durch Postfix abgeschmettert werden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From traced at xpear.de Sun Aug 29 20:32:41 2010 From: traced at xpear.de (Basti) Date: Sun, 29 Aug 2010 20:32:41 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <20100829183149.GD10334@charite.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> <20100829183149.GD10334@charite.de> Message-ID: <4C7AA7C9.1050409@xpear.de> Am 29.08.2010 20:31, schrieb Ralf Hildebrandt: > > Ich habe jetzt mal AVG nebenher laufen: Findet NIX (muss nochmal > gucken) was nicht auch clamd findet. Bizarr. Amavis loggt bei mir > welche Virenscanner was finden, aber AVG findet nicht "mehr". Kann nun > auch daran liegen, daß Unfug wie *.com, *.pif, *.scr usw. eh durch > Postfix abgeschmettert werden. > Durch Postfix? Ich lasse sowas Amavis machen :-) Grüsse From Ralf.Hildebrandt at charite.de Sun Aug 29 20:34:59 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 29 Aug 2010 20:34:59 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <4C7AA7C9.1050409@xpear.de> References: <4C7A4511.6010402@xpear.de> <20100829123823.GE10195@charite.de> <201008291519.22531.p.heinlein@heinlein-support.de> <20100829183149.GD10334@charite.de> <4C7AA7C9.1050409@xpear.de> Message-ID: <20100829183459.GF10334@charite.de> * Basti : > Am 29.08.2010 20:31, schrieb Ralf Hildebrandt: > > > > >Ich habe jetzt mal AVG nebenher laufen: Findet NIX (muss nochmal > >gucken) was nicht auch clamd findet. Bizarr. Amavis loggt bei mir > >welche Virenscanner was finden, aber AVG findet nicht "mehr". Kann nun > >auch daran liegen, daß Unfug wie *.com, *.pif, *.scr usw. eh durch > >Postfix abgeschmettert werden. > > > > Durch Postfix? Ich lasse sowas Amavis machen :-) Früher Postfix, jetzt Amavis, ja -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From andreas.schulze at datev.de Mon Aug 30 08:48:22 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 30 Aug 2010 08:48:22 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <4C7A4511.6010402@xpear.de> References: <4C7A4511.6010402@xpear.de> Message-ID: <20100830064822.GA24250@spider.services.datevnet.de> Am 29.08.2010 13:31 schrieb Basti: > Bei mir laufen mmt. Clamd und Avira Antivir, welcher leider keinen Dämon > hat, und somit bei jeder Mail wieder geladen werden muss, und somit > schonmal 3-5 Sekunden mit Starten verbringt... Hallo, Avira hat seit >4 Jahren einen Daemon-Modus. Leider wurde der von Avira gut versteckt und kaum dokumentiert. Außerdem ist eine Lizenz nötig. Damit scanne ich seit langem problemlos. Auch die neue Version (avscan) läuft bei mit problemlos. Der Support ist (für uns) prima. Fragt doch einfach mal bei Avira an! -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From p.heinlein at heinlein-support.de Mon Aug 30 11:23:03 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 30 Aug 2010 11:23:03 +0200 Subject: [Postfixbuch-users] Amavis und Virenscanner In-Reply-To: <20100830064822.GA24250@spider.services.datevnet.de> References: <4C7A4511.6010402@xpear.de> <20100830064822.GA24250@spider.services.datevnet.de> Message-ID: <201008301123.03712.p.heinlein@heinlein-support.de> Am Montag 30 August 2010 schrieb Andreas Schulze: Moin, > > Bei mir laufen mmt. Clamd und Avira Antivir, welcher leider keinen > > Dämon hat, und somit bei jeder Mail wieder geladen werden muss, und > > somit schonmal 3-5 Sekunden mit Starten verbringt... > > Hallo, > > Avira hat seit >4 Jahren einen Daemon-Modus. Leider wurde der von > Avira gut versteckt und kaum dokumentiert. Außerdem ist eine Lizenz > nötig. Yip und genau der ist in den bisherigen Fassungen unter echter Last dann abgesegelt. Das haben 99,9% der Anwender (inkl. Avira) nie mitbekommen, weil die das Ding anscheinend nie richtig stressten... Aber, wie schon geschrieben: Wenn die das endlich diesen Sommer auf Thread-Modell umgestzellt haben, dann sollte das auch erledigt sein. Mit freundlichen Grüßen Peer Heinlein -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030-405051-42 Fax: 030-405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From spamvoll at googlemail.com Tue Aug 31 15:55:12 2010 From: spamvoll at googlemail.com (spamvoll at googlemail.com) Date: Tue, 31 Aug 2010 15:55:12 +0200 Subject: [Postfixbuch-users] OT: dovecot auth-userdb Message-ID: Moin.. bischen OT aber da auf der Dovecot Liste noch keiner geantwortet hat evtl weis das ja hier einer.. Also meine Daten liegen in nem LDAP und werden per dovecot-lda übergeben. Bei der Umstellung von 1.2 auf 2.0.1 bekomm ich jetzt immer dovecot: lda: Error: userdb lookup: connect(/var/run/dovecot/auth-userdb) failed: Permission denied (euid=10000(vmail) egid=10000(vmail) missing +r perm: /var/run/dovecot/auth-userdb, euid is not dir owner) Logisch.. weil laut config der auth-userdb ja als root mit 0600 rennt. Was ja sicherlich irgend eine bewandnis hat. Die Frage ist jetzt ob den den auth-userdb einfach als user vmail starten kann oder ob ich damit nen Loch in die dovecot Sicherheit reiße, weil der rennt ja nicht umsonst als root mit 0600 Grüße Hans master.conf service auth { # auth_socket_path points to this userdb socket by default. It's typically # used by dovecot-lda, doveadm, possibly imap process, etc. Its default # permissions make it readable only by root, but you may need to relax these # permissions. Users that have access to this socket are able to get a list # of all usernames and get results of everyone's userdb lookups. unix_listener auth-userdb { mode = 0600 #user = vmail #group = vmail } auth-ldap.conf.ext passdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext } userdb { driver = static args = uid=vmail gid=vmail home=/home/MAILBOXES/%u/ mail=/home/MAILBOXES/%u/mail }