From bjoern.meier at googlemail.com Fri Oct 1 09:00:33 2010 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Fri, 1 Oct 2010 09:00:33 +0200 Subject: [Postfixbuch-users] TNEF / Winmail.dat In-Reply-To: References: <4CA345C2.3030107@jkart.de> <2537d8fd1fb81533b85ae42845989f1a@mailserver.moestchen.de> <4CA4C356.6000407@novuage.de> <14E0C594-05C2-4417-992A-EBA85CD8DF98@makomi.de> <4CA4CB72.1000802@novuage.de> Message-ID: hi, Am 30. September 2010 21:04 schrieb Michael Köhler : > Hallo Sascha, > > On 30.09.2010, at 19:40, Sascha Peters wrote: > >>>> Würdest Du denn so nett sein und mir vielleicht einen Link oder ähnliches Zukommen lassen, wie man das vermeidet oder auch im Exchange konvertiert... dann würde ich mir das auch mal überlegen mich damit zu beschäftigen ;) >>> >>> >>> Auch wenn ich nicht Björn bin: Im System-Manager, Globale Einstellungen, Internet-Nachrichtenformat, Standard (Rechtsklick). Dann Reiterkarte Erweitert und da kannst Du einstellen, ob Exchange Rich-Text-Format benutzt werden soll oder nicht. (Alles bei Exchange 2003 abgeschaut) >>> >>> Ich hoffe das hilft weiter :) >> >> Ähm, das soll also "Konvertieren"... auch nicht schlecht. Dachte das ist irgendwie für den Webmailer oder ähnliches vom Exchange eine Standardeinstellung, denn einstellen kann man das in Outlook dann ja doch noch. Aber danke trotzdem... :) > > Nein, der Server kann Vorgaben machen und überschreibt die Einstellungen des Clients. Man kann dort einstellen, ob z.B. alle Mails nur als "Nur-Text" rausgehen oder aber ob noch die HMTL-Variante drangehangen werden soll. In Exchange 2007: Organisationskonfiguration -> Hub-Transport -> Remotedomänen -> Eigenschaften auf Default und dann unter Formateinstellungen. Ein Link zum MSDN: http://technet.microsoft.com/de-de/library/bb125174(EXCHG.80).aspx das tolle an der RTF -> HTML Konvertierung ist nämlich, dass im body dann steht. Wenn das da drin steht, wird bei mir auch gebounced. Ich weiß, dass ist ein wenig übertrieben. Wie gesagt, mir geht es hauptsächlich darum den User RTF komplett abzugewöhnen. Gruß, Björn From driessen at fblan.de Fri Oct 1 09:05:25 2010 From: driessen at fblan.de (Uwe Driessen) Date: Fri, 1 Oct 2010 09:05:25 +0200 Subject: [Postfixbuch-users] TNEF / Winmail.dat In-Reply-To: References: <4CA345C2.3030107@jkart.de><2537d8fd1fb81533b85ae42845989f1a@mailserver.moestchen.de><4CA4C356.6000407@novuage.de><14E0C594-05C2-4417-992A-EBA85CD8DF98@makomi.de><4CA4CB72.1000802@novuage.de> Message-ID: <000001cb6137$05983db0$0565a8c0@uwe> > Behalf Of Bjoern Meier > das tolle an der RTF -> HTML Konvertierung ist nämlich, dass im body > dann steht. Wenn das da drin steht, wird > bei mir auch gebounced. Ich weiß, dass ist ein wenig übertrieben. Wie > gesagt, mir geht es hauptsächlich darum den User RTF komplett > abzugewöhnen. > > Gruß, > Björn Am besten nur text einstellen dann hört das auch auf das die Firmenlogo's die Mails unnötig aufblähen Und für "Lieferung ist unterwegs" 500 K durch die Leitung gehen *gg Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From bjoern.meier at googlemail.com Fri Oct 1 09:15:34 2010 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Fri, 1 Oct 2010 09:15:34 +0200 Subject: [Postfixbuch-users] TNEF / Winmail.dat In-Reply-To: <000001cb6137$05983db0$0565a8c0@uwe> References: <4CA345C2.3030107@jkart.de> <2537d8fd1fb81533b85ae42845989f1a@mailserver.moestchen.de> <4CA4C356.6000407@novuage.de> <14E0C594-05C2-4417-992A-EBA85CD8DF98@makomi.de> <4CA4CB72.1000802@novuage.de> <000001cb6137$05983db0$0565a8c0@uwe> Message-ID: hi, Am 1. Oktober 2010 09:05 schrieb Uwe Driessen : > > >> Behalf Of Bjoern Meier > >> das tolle an der RTF -> HTML Konvertierung ist nämlich, dass im body >> dann steht. Wenn das da drin steht, wird >> bei mir auch gebounced. Ich weiß, dass ist ein wenig übertrieben. Wie >> gesagt, mir geht es hauptsächlich darum den User RTF komplett >> abzugewöhnen. >> >> Gruß, >> Björn > > Am besten nur text einstellen dann hört das auch auf das die Firmenlogo's die Mails > unnötig aufblähen > Und für "Lieferung ist unterwegs" 500 K durch die Leitung gehen  *gg > Ich habe mich mit dem Vorstand so geeinigt, anders wollte man es nicht akzeptieren: Mails mit "Coporate Identity" MUSS es auch in Mails geben. Das dann aber nur in HTML und ich übernehme dafür auch nur die Verantwortung für das Senden. Wenn der Empfänger so etwas dann nicht annimmt, muss sich der User um die Kommunikation kümmern (oder halt die per recipient-option nutzen). Damit kann ich gut leben. Gruß, Björn From p.heinlein at heinlein-support.de Fri Oct 1 10:08:55 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 1 Oct 2010 10:08:55 +0200 Subject: [Postfixbuch-users] OT: Dovecot Mailstore extern In-Reply-To: <4CA4A7F9.7060001@tca-os.de> References: <4CA1A847.60605@puersten.de> <4CA303EF.6040506@puersten.de> <4CA4A7F9.7060001@tca-os.de> Message-ID: <201010011008.55481.p.heinlein@heinlein-support.de> Am Donnerstag, 30. September 2010, 17:08:41 schrieb Jörg Backschues: > Aber z.Z. verwendet der Kunde kein Dovecot sondern noch Courier > IMAP/POP3, da die ersten Tests mit Dovecot 1.2.9 nicht so verliefen, wie > der Kunde es sich vorgestellt hatte. Teilweise wurden E-Mails nicht > angezeigt, obwohl sie in Wirklichkeit vorhanden waren. ??? Also ich habe ja viel, aber das nun wirklich noch nie gehört. Wobei ich auch sagen muß, daß ich die 1.2.9 glaube ich nie lange am Wickel hatte. > Demnächst stehen Test mit Dovecot 2.x an. Kann ich nur empfehlen, auch die 1aktuellen 1.2.xx sind wirklich traumhaft stabil. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Fri Oct 1 10:22:00 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 1 Oct 2010 10:22:00 +0200 Subject: [Postfixbuch-users] Werbemails an Vereine In-Reply-To: <4CA4ADB7.5000606@c-base.org> References: <201009301718.34483@tux.boltz.de.vu> <4CA4ADB7.5000606@c-base.org> Message-ID: <201010011022.00961.p.heinlein@heinlein-support.de> Am Donnerstag, 30. September 2010, 17:33:11 schrieb bengoshi: > Ja, das ist auch gegenüber Vereinen unzulässig, da es wettbewerbswidrig > ist, § 7 Abs. 2 Nr. 3 UWG. Naja, da wäre ich jetzt vorsichtig, da es ziemlich merkwürdige neue Entscheidungen gibt, auch wenn ich deren Quellen jetzt leider nicht parat habe. > Das Berliner Kammergericht (OLG) hat mal folgenden Leitsatz in einem > Beschluss rausgegeben (8. Januar 2002, Az.: 5 U 6727/00, aus NJOZ 2002, > 2203): > "1. Das unaufgefor Tja, 2002 (!). Da war die Welt noch in Ordnung. > derte Versenden einer E-Mail zu Werbezwecken an einen > gewerblichen Empfänger stellt einen rechtswidrigen Eingriff in dessen > eingerichteten und ausgeübten Gewerbebetrieb bzw. dessen > Persönlichkeitsrecht dar. Allgemeines Credo höherer/anderer Instanzen ist mittlerweile jedoch, daß auf gewerblichen Mailadressen auch mit dem ungefragten/unbestellten Empfang gewerblicher E-Mails gerechnet werden muß. Das jedoch unter der Prämisse, daß damit zu rechnen sein muß, der Empfänger könnte an den angebotenen Dienstleistungen jeweils ein konkretes Interesse haben, weil es mit seinem Geschäftsfeld unmittelbar zu tun hat. Das wurde von vielen natürlich prompt als "Spammen ist erlaubt"! interpretiert, weil sie das viel zu weit gefaßt haben. Das ist es natürlich nicht, man muß da schon sehr konkret werden. Beispiel: Zulässig: Ein Hersteller mailt den Schuster an, ob er nicht tolle neue Schuhsolen ins Sortiment aufnehmen will. (Gehört zum normalen täglichen Geschäftsinteresse des Schusters, auch wenn er mit seinen bisherigen Sohlen vielleicht absolut zufrieden ist.) Vielleicht fraglich, aber m.M.n. unzulässig: Ein Schilderhersteller mailt den Schuster an, ob er nicht ein neues Ladenschild machen will. (Die Grenzen sind eben eng zu machen und es gibt keinen Anhaltspunkt dafür, daß ein Schuster ein tägliches Interesse an neuen Ladenschildern hat). Unzulässig: Ein Weinversand fragt den Schuster, ob er nicht Wein kaufen will. Das ist insoweit ja sogar fast nachvollziehbar, wenn man davon ausgeht, daß E-Mail halt heute ein ganz normales Kommunikationsmedium wie Telefon und Fax ist und Firma A halt mit Firma B auch mal in Kontakt treten können muß, um ernsthafte und konkrete Akquise zu betreiben. Das ist okay, im Prinzip leben wir ja von sowas auch fast alle :-) Übertragen auf den Verein würde ich jetzt analog zu dem Schluß kommen, daß man fragen muß, inwieweit das Angebot mit dem Verein zusammenhängt. Neue Fußbälle, Spieler-Shirts o.ä. könnten demnach bei einem Fußballverein zulässig sein. Bei Vereinsreisen wird's kritisch -- da habe ich keine wirkliche Meinung dazu. Klar gehören Ausflüge dazu, aber dazu gehört auch Pizza bestellen und Eis essen. Das wäre mir also zu allgemein. Ich würde sagen: Nein, wenn Reisen nicht gerade eben Vereinszweck sind (Pfadfinder, Kulturverein). Inwieweit man jetzt der Landjugend unterstellen kann, sie sei gerade auch dazu da, einen Ausflug in die Stadt zu machen :-), muß Christian selbst wissen. im Ergebnis wohl: Nein, unzulässig. Gruß Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From bjoern.meier at googlemail.com Fri Oct 1 10:45:29 2010 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Fri, 1 Oct 2010 10:45:29 +0200 Subject: [Postfixbuch-users] Werbemails an Vereine In-Reply-To: <201010011022.00961.p.heinlein@heinlein-support.de> References: <201009301718.34483@tux.boltz.de.vu> <4CA4ADB7.5000606@c-base.org> <201010011022.00961.p.heinlein@heinlein-support.de> Message-ID: hi, Am 1. Oktober 2010 10:22 schrieb Peer Heinlein : > Am Donnerstag, 30. September 2010, 17:33:11 schrieb bengoshi: > > >> Ja, das ist auch gegenüber Vereinen unzulässig, da es wettbewerbswidrig >> ist, § 7 Abs. 2 Nr. 3 UWG. > > Naja, da wäre ich jetzt vorsichtig, da es ziemlich merkwürdige neue > Entscheidungen gibt, auch wenn ich deren Quellen jetzt leider nicht parat > habe. > >> Das Berliner Kammergericht (OLG) hat mal folgenden Leitsatz in einem >> Beschluss rausgegeben (8. Januar 2002, Az.: 5 U 6727/00, aus NJOZ 2002, >> 2203): >> "1. Das unaufgefor > > Tja, 2002 (!). Da war die Welt noch in Ordnung. > >> derte Versenden einer E-Mail zu Werbezwecken an einen >> gewerblichen Empfänger stellt einen rechtswidrigen Eingriff in dessen >> eingerichteten und ausgeübten Gewerbebetrieb bzw. dessen >> Persönlichkeitsrecht dar. > > Allgemeines Credo höherer/anderer Instanzen ist mittlerweile jedoch, daß auf > gewerblichen Mailadressen auch mit dem ungefragten/unbestellten Empfang > gewerblicher E-Mails gerechnet werden muß. Das jedoch unter der Prämisse, > daß damit zu rechnen sein muß, der Empfänger könnte an den angebotenen > Dienstleistungen jeweils ein konkretes Interesse haben, weil es mit seinem > Geschäftsfeld unmittelbar zu tun hat. > > Das wurde von vielen natürlich prompt als "Spammen ist erlaubt"! > interpretiert, weil sie das viel zu weit gefaßt haben. Das ist es natürlich > nicht, man muß da schon sehr konkret werden. > > Beispiel: > > Zulässig: Ein Hersteller mailt den Schuster an, ob er nicht tolle neue > Schuhsolen ins Sortiment aufnehmen will. (Gehört zum normalen täglichen > Geschäftsinteresse des Schusters, auch wenn er mit seinen bisherigen Sohlen > vielleicht absolut zufrieden ist.) > > Vielleicht fraglich, aber m.M.n. unzulässig: Ein Schilderhersteller mailt > den Schuster an, ob er nicht ein neues Ladenschild machen will. (Die Grenzen > sind eben eng zu machen und es gibt keinen Anhaltspunkt dafür, daß ein > Schuster ein tägliches Interesse an neuen Ladenschildern hat). > > Unzulässig: Ein Weinversand fragt den Schuster, ob er nicht Wein kaufen > will. > > Das ist insoweit ja sogar fast nachvollziehbar, wenn man davon ausgeht, daß > E-Mail halt heute ein ganz normales Kommunikationsmedium wie Telefon und Fax > ist und Firma A halt mit Firma B auch mal in Kontakt treten können muß, um > ernsthafte und konkrete Akquise zu betreiben. Das ist okay, im Prinzip leben > wir ja von sowas auch fast alle :-) > > Übertragen auf den Verein würde ich jetzt analog zu dem Schluß kommen, daß > man fragen muß, inwieweit das Angebot mit dem Verein zusammenhängt. Neue > Fußbälle, Spieler-Shirts o.ä. könnten demnach bei einem Fußballverein > zulässig sein. > > Bei Vereinsreisen wird's kritisch -- da habe ich keine wirkliche Meinung > dazu. Klar gehören Ausflüge dazu, aber dazu gehört auch Pizza bestellen und > Eis essen. Das wäre mir also zu allgemein. > > Ich würde sagen: Nein, wenn Reisen nicht gerade eben Vereinszweck sind > (Pfadfinder, Kulturverein). > > Inwieweit man jetzt der Landjugend unterstellen kann, sie sei gerade auch > dazu da, einen Ausflug in die Stadt zu machen :-), muß Christian selbst > wissen. im Ergebnis wohl: Nein, unzulässig. > Interessante Diskussion. Mit dem rechtlichen Hintergrund habe ich mich noch nicht beschäftigt. Ich handhabe das bisher praktisch so: unsere direkten Partner schicken entweder monatlich sowieso neue Angebote oder fragen nach ob Sie uns was zukommen lassen dürfen. Unbekannte Firmen in unserem Tätigkeitsfeld die uns so etwas zukommen lassen, müssen die Möglichkeit haben, so etwas abbestellen zu können. Sollte das nicht der Fall sein oder es wiederholt sich trotz Abbestellung, kann die Firma nur noch an Postmaster senden und bekommt eine Standardnachricht an abuse. Sofern wir tatsächlich kein Interesse haben. So zumindest unsere Praxis. Gesetz hin oder her, letztendlich entscheiden wir was wir wollen oder nicht. Gruß, Björn From traced at xpear.de Fri Oct 1 16:20:38 2010 From: traced at xpear.de (Bastian) Date: Fri, 01 Oct 2010 16:20:38 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Mix_von_reject=5Funverified=5Frecip?= =?utf-8?q?ient_f=C3=BCr_alle_und_feste_Userliste_f=C3=BCr_best=2E_Domains?= =?utf-8?q?=3F?= In-Reply-To: <67bfd505aafd0a876881c974c80f5f9a@localhost> References: <201009301425.07366.p.heinlein@heinlein-support.de> <67bfd505aafd0a876881c974c80f5f9a@localhost> Message-ID: On Thu, 30 Sep 2010 14:32:00 +0200, Bastian wrote: > On Thu, 30 Sep 2010 14:25:07 +0200, Peer Heinlein > wrote: >> Am Donnerstag 30 September 2010 13:53:31 schrieb Bastian: >> >> >>> Wenn jetzt eine Mail an irgendwas at blubb.de kommt, weiss Postfix ja >>> nicht welchen Empfängermailserver es fragen soll... >>> Wie würdet Ihr denn so etwas lösen, um es auch einigermassen >>> übersichtlich zu halten? >> >> Die Domains in eine Retsriction-Classe packen und dann nur dort den >> Verify auslösen. >> >> Habe ich schon oft gemacht, klappt prima. >> >> Oder andersherum: >> >> Die NICHT zu verifizierenden Domains in eine Klasse packen und dort den >> Verify NICHT auslösen, bzw. dort eben die Userliste per access_map >> nachbauen. >> >> Peer >> >> > > Hallo Peer, > danke für Deine Antwort! > Alleine von der Menge würde ich es so machen, dass nur die paar Domains > extra behandelt werden, wo ich eine Liste Pflegen muss. > Das mit der resctriction_class klingt gut, und auch logisch :-) Der > Transport wird bei mir mmt. so geregelt: > > relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains.cf > transport_maps = proxy:mysql:/etc/postfix/mysql-transport.cf > > was beides auf die selbe Datenbank zeigt, und Domain und Transport in > einer "Zeile" in der DB hat. > > Kann ich die Domains mit extra Transport pro Empfänger Adresse dann auch > ganz normal mit in die Datenbank schreiben? > Oder muss ich für die extra resctriction_class eigene Transportregeln > machen? > > Danke & > viele Grüße > > Basti > -- Ich komme hier leider nicht weiter... Ich habe in der master.cf einen eigenen Transport mit eigenen recipient_resctrictions angelegt, weil ich die Domains auch in Amavis anders behandeln muss. Da ich ja die relay_domains und transport_maps über eine Datenbank mache, müsste ich hier ja schonmal die Domain an sich eintragen, damit Postfix sich zuständig fühlt. Hier kann ich aber für die Domain keinen Transport angeben, da es für die Domain an sich ja keinen Transport gibt, sondern nur pro Adresse ein Transportziel. Also folgendes: mail1 at domain.de relay:[server-a] mail2 at domain.de relay:[server-b] allesandere at domain.de REJECT Alle anderen Domains (in der Datenbank) sollen normal über verified_recipient geprüft werden. Die Userliste für die Domains habe ich. Leider kann ich ja auch die transport_map nur global definieren, da sie laut "Internet" auch für qmgr und trivial-rewrite benutzt wird. Kann mir hier jemand auf die Sprünge helfen? Danke!! viele Grüße Basti From traced at xpear.de Fri Oct 1 16:37:35 2010 From: traced at xpear.de (Bastian) Date: Fri, 01 Oct 2010 16:37:35 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Mix_von_reject=5Funverified=5Frecip?= =?utf-8?q?ient_f=C3=BCr_alle_und_feste_Userliste_f=C3=BCr_best=2E_Domains?= =?utf-8?q?=3F?= In-Reply-To: References: <201009301425.07366.p.heinlein@heinlein-support.de> <67bfd505aafd0a876881c974c80f5f9a@localhost> Message-ID: On Fri, 01 Oct 2010 16:20:38 +0200, Bastian wrote: > > Also folgendes: > mail1 at domain.de relay:[server-a] > mail2 at domain.de relay:[server-b] > allesandere at domain.de REJECT > > Alle anderen Domains (in der Datenbank) sollen normal über > verified_recipient geprüft werden. > > Die Userliste für die Domains habe ich. Leider kann ich ja auch die > transport_map nur global definieren, da sie laut "Internet" auch für qmgr > und trivial-rewrite benutzt wird. > > Kann mir hier jemand auf die Sprünge helfen? > > Danke!! > > viele Grüße > Basti > -- So scheint es zu fuktionieren: in master.cf: -o relay_domains=hash:/etc/postfix/rsm_domains -o relay_recipient_maps=hash:/etc/postfix/rsm_recipients Hier jeweils Recipient und Domain eingetragen, und in der Datenbank einfach adresse+transport, und 1x die leere Domain. Ich hoffe ich schiesse mir hier nicht mal selbst ins Knie.. Schönes Wochenende Basti From lists at puersten.de Fri Oct 1 17:39:57 2010 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Fri, 01 Oct 2010 17:39:57 +0200 Subject: [Postfixbuch-users] OT: Dovecot Mailstore extern In-Reply-To: <4CA4A7F9.7060001@tca-os.de> References: <4CA1A847.60605@puersten.de> <4CA303EF.6040506@puersten.de> <4CA4A7F9.7060001@tca-os.de> Message-ID: <4CA600CD.4080406@puersten.de> Am 30.09.2010 17:08, schrieb Jörg Backschues: > Am 29.09.2010 11:16, schrieb Oliver Pürsten: > >> Keiner sonst irgentwelche Erfahrungen mit Dovecot und den Mails nicht >> auf der der lokalen Machine? > > Doch schon: > > - 10.000 Benutzer mit max. 1 GB Postfachgröße, > - auf einem NetApp FAS3170 MetroCluster, > - angebunden an 4 Linux Frontend-Systeme über NFS v4 TCP. > > Aber z.Z. verwendet der Kunde kein Dovecot sondern noch Courier IMAP/POP3, da die ersten > Tests mit Dovecot 1.2.9 nicht so verliefen, wie der Kunde es sich vorgestellt hatte. > Teilweise wurden E-Mails nicht angezeigt, obwohl sie in Wirklichkeit vorhanden waren. > > Demnächst stehen Test mit Dovecot 2.x an. > Geht doch, langsam trudeln die Berichte ein. :-) Halt mich mal bitte auf dem Laufenden was aus Euren Tests geworden ist, würde mich interessieren da die Landschaft bei uns ja ähnlich werden soll. -- Gruß, Oliver From lists at puersten.de Mon Oct 4 12:00:42 2010 From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=) Date: Mon, 04 Oct 2010 12:00:42 +0200 Subject: [Postfixbuch-users] Cyrus SASL mit MySQL MD5 Abfrage Message-ID: <4CA9A5CA.4020206@puersten.de> Moin, kurze Frage. Habe ich die Möglichkeit mit Cyrus SASL gegen eine MySQL Datenbank zu authentifizieren wenn das Passwort dort in MD5 verschlüsselt drin steht? Hat das einer von Euch schon gemacht und wenn ja, wie ist der SQL dazu? Normal würde das bei mir in etwa so aussehen, bei unverschlüsseltem PW. SELECT password FROM mail_users WHERE username = '%u@%r' Danke! -- Gruß, Oliver From p at state-of-mind.de Mon Oct 4 12:55:14 2010 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 4 Oct 2010 12:55:14 +0200 Subject: [Postfixbuch-users] Cyrus SASL mit MySQL MD5 Abfrage In-Reply-To: <4CA9A5CA.4020206@puersten.de> References: <4CA9A5CA.4020206@puersten.de> Message-ID: <20101004105514.GC2707@state-of-mind.de> * Oliver Pürsten : > Moin, > > kurze Frage. > > Habe ich die Möglichkeit mit Cyrus SASL gegen eine MySQL Datenbank > zu authentifizieren wenn das Passwort dort in MD5 verschlüsselt drin > steht? Nur über saslauthd und PAM. > Hat das einer von Euch schon gemacht und wenn ja, wie ist der SQL dazu? Habe ich nicht gemacht. p at rick -- state of mind Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From sebastian at debianfan.de Mon Oct 4 16:26:58 2010 From: sebastian at debianfan.de (sebastian) Date: Mon, 04 Oct 2010 16:26:58 +0200 Subject: [Postfixbuch-users] SSL Zertifikat Message-ID: <4CA9E432.4040707@debianfan.de> Hallo zusammen, Ich möchte gern postfix und courier-imap über ssl, nutzen. Courier bringt ja ein Standardzertifikat mit (da nörgelt zwar Outlook aber egal) und bei Postfix lässt sich das sicher auch einbauen. Aber jetzt die Frage: Ich nutze den Server mit meinerdomain.de - ein Freund will aber mit freunddomain.de auch ssl nutzen. * Brauche ich da jetzt 2 Zertifikate ? * Wie bringe ich Postfix (und vielleicht weiss das auch einer bei Courier-imap) bei, 2 Zertifikate zu nutzen - für mich das eine und für meinen Freund das andere. gruß Sebastian http://www.mister-wong.de/user/deiszner/ *** http://www.mister-wong.de/user/wohnheim/ From mail at david-bletgen.de Mon Oct 4 22:06:55 2010 From: mail at david-bletgen.de (David Bletgen) Date: Mon, 4 Oct 2010 20:06:55 +0000 Subject: [Postfixbuch-users] SSL Zertifikat In-Reply-To: <4CA9E432.4040707@debianfan.de> References: <4CA9E432.4040707@debianfan.de> Message-ID: <287463732-1286222811-cardhu_decombobulator_blackberry.rim.net-1341539719-@bda078.bisx.produk.on.blackberry> Hey, Das SSL Zertifikat ist unabhängig von den Domains in Postfix. Das Zertifikat wird auf den Hostname des Servers ausgestellt. Du kannst Dir mit openssl ein eigenes erstellen,welches Du dann in Postfix und co einbinden kannst. Gruß -----Original Message----- From: sebastian Sender: postfixbuch-users-bounces at listen.jpberlin.de Date: Mon, 04 Oct 2010 16:26:58 To: Reply-To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." Subject: [Postfixbuch-users] SSL Zertifikat Hallo zusammen, Ich möchte gern postfix und courier-imap über ssl, nutzen. Courier bringt ja ein Standardzertifikat mit (da nörgelt zwar Outlook aber egal) und bei Postfix lässt sich das sicher auch einbauen. Aber jetzt die Frage: Ich nutze den Server mit meinerdomain.de - ein Freund will aber mit freunddomain.de auch ssl nutzen. * Brauche ich da jetzt 2 Zertifikate ? * Wie bringe ich Postfix (und vielleicht weiss das auch einer bei Courier-imap) bei, 2 Zertifikate zu nutzen - für mich das eine und für meinen Freund das andere. gruß Sebastian http://www.mister-wong.de/user/deiszner/ *** http://www.mister-wong.de/user/wohnheim/ -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From schumacher at iw.uni-hannover.de Tue Oct 5 11:36:29 2010 From: schumacher at iw.uni-hannover.de (Sven Schumacher) Date: Tue, 05 Oct 2010 11:36:29 +0200 Subject: [Postfixbuch-users] SSL Zertifikat In-Reply-To: <287463732-1286222811-cardhu_decombobulator_blackberry.rim.net-1341539719-@bda078.bisx.produk.on.blackberry> References: <4CA9E432.4040707@debianfan.de> <287463732-1286222811-cardhu_decombobulator_blackberry.rim.net-1341539719-@bda078.bisx.produk.on.blackberry> Message-ID: <4CAAF19D.1080901@iw.uni-hannover.de> Hallo, On 04.10.2010 22:06, David Bletgen wrote: > Hey, > > Das SSL Zertifikat ist unabhängig von den Domains in Postfix. Das Zertifikat wird auf den Hostname des Servers ausgestellt. Wie David schon richtig geschrieben hat: Ein Zertifikat pro Postfix (bzw. IP). > Du kannst Dir mit openssl ein eigenes erstellen,welches Du dann in Postfix und co einbinden kannst. Wenn du also 2 IPs (und eine deiner Domain und die andere der Domain deines Freundes zuweist) hast, müsstest du ohne Probleme auch 1 Postfix auf 2 IPs binden können. Mit Hilfe der IPs in der master.cf müsstest du dann die entsprechenden Prozesse an die IP binden können und mit den entsprechenden Optionen für das jeweilige Zertifikat ausstatten können. Ungefähr so: 10.55.55.2:ssmtp inet n - - - - smtpd -o smtpd_tls_cert_file=/etc/postfix/zertifkatIP1.pem -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject 10.55.55.3:ssmtp inet n - - - - smtpd -o smtpd_tls_cert_file=/etc/postfix/zertifkatIP1.pem -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject Schönen Tag noch Sven From j.reisslein at schmitt-aufzuege.de Tue Oct 5 11:24:27 2010 From: j.reisslein at schmitt-aufzuege.de (=?iso-8859-1?Q?J=F6rg_Reisslein?=) Date: Tue, 5 Oct 2010 11:24:27 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-1?q?existierender_Adresse?= Message-ID: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> Hallo Liste, ich würde gerne wissen ob man gefälschte (aber existierende) MAIL FROM: Adressen die auch als Zieladresse verwendet werden mit Postfix-Bordmitteln verhindern kann? Es ist zwar kein richtiges bzw. akutes Problem, da die Mails mit gefälschtem Absender trotzdem als Spam erkannt werden, aber es stört mich einfach und bindet unnötigerweise Ressourcen. Hier mal ein Beispiel für einen SMTP Dialog: Out: 220 mail.server.de ESMTP Mein-Mailserver-Name In: HELO 79-172-69-226.dyn.broadband.iskratelecom.ru Out: 250 mail.server.de In: MAIL FROM: Out: 250 Ok In: RCPT TO: Und hier meine derzeitige smtpd_recipient_restrictions Einstellungen: smtpd_recipient_restrictions = check_sender_access ldap:ldapchecksender warn_if_reject reject_invalid_hostname reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks permit_tls_clientcerts permit_sasl_authenticated reject_unknown_sender_domain reject_unauth_destination check_client_access hash:/etc/postfix/access check_sender_access hash:/etc/postfix/blocked_senders reject_unlisted_recipient check_sender_mx_access cidr:/etc/postfix/bogus_mx reject_unauth_pipelining reject_rbl_client cbl.abuseat.org reject_rbl_client abuse.rfc-ignorant.org reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client combined.njabl.org reject_rbl_client zen.spamhaus.org reject_rbl_client bl.spamcop.net check_policy_service inet:127.0.0.1:999 check_policy_service inet:127.0.0.1:12525 Ich bin mir sicher dass hier auch noch Optimierungen möglich sind, aber leider erkennt man seine eigenen Fehler immer so schlecht ;) Auf Port 999 läuft Postgrey und auf Port 12525 policyd-weight. Ist das so überhaupt sinnvoll? (oder kann man sich einen der beiden sparen). Vielen Dank für Tipps und Hilfe sagt jemand der sich leider nur zeitweise mit Mailsystemen beschäftigen kann. Grüße, Jörg From traced at xpear.de Tue Oct 5 11:55:20 2010 From: traced at xpear.de (Bastian) Date: Tue, 05 Oct 2010 11:55:20 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Gef=C3=A4lschte_Mail_From=3A_mit_ex?= =?utf-8?q?istierender_Adresse?= In-Reply-To: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> Message-ID: <31a37b73a1420a278b8aa6bd38d5f4a4@localhost> On Tue, 5 Oct 2010 11:24:27 +0200, Jörg Reisslein wrote: > Hallo Liste, > > ich würde gerne wissen ob man gefälschte (aber existierende) MAIL FROM: > Adressen die auch als Zieladresse verwendet werden > mit Postfix-Bordmitteln verhindern kann? > > Es ist zwar kein richtiges bzw. akutes Problem, da die Mails mit > gefälschtem > Absender trotzdem als Spam erkannt werden, > aber es stört mich einfach und bindet unnötigerweise Ressourcen. > > Hier mal ein Beispiel für einen SMTP Dialog: > > Out: 220 mail.server.de ESMTP Mein-Mailserver-Name > In: HELO 79-172-69-226.dyn.broadband.iskratelecom.ru > Out: 250 mail.server.de > In: MAIL FROM: > Out: 250 Ok > In: RCPT TO: > Hier, ob das mit Boardmitteln direkt geht kann ich nicht sagen, aber z.B. in postfwd geht das recht simpel: id=RULE-SENDER_IS_RECIPIENT ; sender==$$recipient ; action=REJECT not allowed viele Grüße Basti From postfixbuch-users at gmj.cjb.net Tue Oct 5 11:51:39 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 05 Oct 2010 11:51:39 +0200 Subject: [Postfixbuch-users] SSL Zertifikat In-Reply-To: <4CAAF19D.1080901@iw.uni-hannover.de> References: <4CA9E432.4040707@debianfan.de> <287463732-1286222811-cardhu_decombobulator_blackberry.rim.net-1341539719-@bda078.bisx.produk.on.blackberry> <4CAAF19D.1080901@iw.uni-hannover.de> Message-ID: <4CAAF52B.6080104@gmj.cjb.net> Sven Schumacher schrieb: >> Das SSL Zertifikat ist unabhängig von den Domains in Postfix. Das >> Zertifikat wird auf den Hostname des Servers ausgestellt. Oder die Hostnamen. Viele SSL-Clients verstehen heutzutage auch die X509v3-Erweiterung "Subject Alternative Name" mit der z.B. mehrere DNS-Namen an ein Zertifikat gebunden werden können. > Wie David schon richtig geschrieben hat: > Ein Zertifikat pro Postfix (bzw. IP). Oder ein Zertifikat pro Port (bzw. Socket). > Wenn du also 2 IPs (und eine deiner Domain und die andere der Domain > deines Freundes zuweist) hast, müsstest du ohne Probleme auch 1 Postfix > auf 2 IPs binden können. Mit Hilfe der IPs in der master.cf müsstest du > dann die entsprechenden Prozesse an die IP binden können und mit den > entsprechenden Optionen für das jeweilige Zertifikat ausstatten können. Alternativ halt zwei unterschiedliche Ports benutzen, falls der OP nur eine IP haben sollte. Gruß, Mathias From driessen at fblan.de Tue Oct 5 11:53:08 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 5 Oct 2010 11:53:08 +0200 Subject: [Postfixbuch-users] =?iso-8859-2?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-2?q?existierender_Adresse?= In-Reply-To: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> Message-ID: <000701cb6473$1d432f30$0565a8c0@uwe> On Behalf Of Jörg Reisslein > Und hier meine derzeitige smtpd_recipient_restrictions Einstellungen: > > smtpd_recipient_restrictions = check_sender_access > ldap:ldapchecksender > warn_if_reject reject_invalid_hostname > reject_non_fqdn_sender > reject_non_fqdn_recipient > reject_unknown_recipient_domain > permit_mynetworks > permit_tls_clientcerts > permit_sasl_authenticated reject_unauthenticated_sender_login_mismatch, > > Auf Port 999 läuft Postgrey und auf Port 12525 > policyd-weight. Ist das so > überhaupt sinnvoll? > (oder kann man sich einen der beiden sparen). Ich habe auch beide laufen schau in die Logs um zu sehen wieviel wer bringt. > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From driessen at fblan.de Tue Oct 5 11:57:37 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 5 Oct 2010 11:57:37 +0200 Subject: [Postfixbuch-users] =?iso-8859-2?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-2?q?existierender_Adresse?= In-Reply-To: <31a37b73a1420a278b8aa6bd38d5f4a4@localhost> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> <31a37b73a1420a278b8aa6bd38d5f4a4@localhost> Message-ID: <000801cb6473$be0709a0$0565a8c0@uwe> > -----Original Message----- > From: postfixbuch-users-bounces at listen.jpberlin.de > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On > Behalf Of Bastian > Sent: Tuesday, October 05, 2010 11:55 AM > To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Subject: Re: [Postfixbuch-users] Gefälschte Mail From: mit > existierender Adresse > > On Tue, 5 Oct 2010 11:24:27 +0200, Jörg Reisslein > wrote: > > Hallo Liste, > > > > ich würde gerne wissen ob man gefälschte (aber > existierende) MAIL FROM: > > Adressen die auch als Zieladresse verwendet werden > > mit Postfix-Bordmitteln verhindern kann? > > > > Es ist zwar kein richtiges bzw. akutes Problem, da die Mails mit > > gefälschtem > > Absender trotzdem als Spam erkannt werden, > > aber es stört mich einfach und bindet unnötigerweise Ressourcen. > > > > Hier mal ein Beispiel für einen SMTP Dialog: > > > > Out: 220 mail.server.de ESMTP Mein-Mailserver-Name > > In: HELO 79-172-69-226.dyn.broadband.iskratelecom.ru > > Out: 250 mail.server.de > > In: MAIL FROM: > > Out: 250 Ok > > In: RCPT TO: > > > > Hier, ob das mit Boardmitteln direkt geht kann ich nicht > sagen, aber z.B. Geht mit Boardmitteln - reject_sender_login_mismatch Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps. - reject_unauthenticated_sender_login_mismatch Enforces the reject_sender_login_mismatch restriction for unauthenticated clients only. This feature is available in Postfix version 2.1 and later. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From kai_postfix at fuerstenberg.ws Tue Oct 5 12:00:08 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 05 Oct 2010 12:00:08 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-1?q?existierender_Adresse?= In-Reply-To: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> Message-ID: <4CAAF728.7080505@fuerstenberg.ws> Jörg Reisslein schrieb am 05.10.2010 11:24: > ich würde gerne wissen ob man gefälschte (aber existierende) MAIL FROM: > Adressen die auch als Zieladresse verwendet werden > mit Postfix-Bordmitteln verhindern kann? > > Es ist zwar kein richtiges bzw. akutes Problem, da die Mails mit gefälschtem > Absender trotzdem als Spam erkannt werden, > aber es stört mich einfach und bindet unnötigerweise Ressourcen. > > Hier mal ein Beispiel für einen SMTP Dialog: > > Out: 220 mail.server.de ESMTP Mein-Mailserver-Name > In: HELO 79-172-69-226.dyn.broadband.iskratelecom.ru > Out: 250 mail.server.de > In: MAIL FROM: > Out: 250 Ok > In: RCPT TO: reject_sender_login_mismatch, bzw. reject_unauthenticated_sender_login_mismatch Hat allerdings den Effekt, wenn der User mit seiner Adresse über einen anderen Server eine Mail an sich selbst schreibt, wird die abgelehnt. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From j.reisslein at schmitt-aufzuege.de Tue Oct 5 13:15:05 2010 From: j.reisslein at schmitt-aufzuege.de (=?iso-8859-1?Q?J=F6rg_Reisslein?=) Date: Tue, 5 Oct 2010 13:15:05 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-1?q?existierender_Adresse?= In-Reply-To: <000701cb6473$1d432f30$0565a8c0@uwe> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de> <000701cb6473$1d432f30$0565a8c0@uwe> Message-ID: <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> Hallo Uwe, >> reject_unauthenticated_sender_login_mismatch, Das hatte ich schon aktiviert (reject_sender_login_mismatch) smtpd_sender_restrictions = permit_mynetworks permit_tls_clientcerts permit_sasl_authenticated reject_unknown_sender_domain reject_non_fqdn_sender reject_unauth_pipelining reject_rhsbl_sender dsn.rfc-ignorant.org reject_sender_login_mismatch smtpd_sender_login_maps = hash:/etc/postfix/map_smtpd_sender_login_maps Grüße Jörg From driessen at fblan.de Tue Oct 5 13:30:54 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 5 Oct 2010 13:30:54 +0200 Subject: [Postfixbuch-users] =?iso-8859-2?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-2?q?existierender_Adresse?= In-Reply-To: <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de><000701cb6473$1d432f30$0565a8c0@uwe> <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> Message-ID: <000901cb6480$c5f0df80$0565a8c0@uwe> On Behalf Of Jörg Reisslein Hallo Jörg > Hallo Uwe, > > >> reject_unauthenticated_sender_login_mismatch, ^^^^^^^^^^^^^^^^^^^^ Arbeitet nochmal etwas anders > > > Das hatte ich schon aktiviert (reject_sender_login_mismatch) > > smtpd_sender_restrictions = permit_mynetworks > permit_tls_clientcerts > permit_sasl_authenticated > reject_unknown_sender_domain > reject_non_fqdn_sender > reject_unauth_pipelining > reject_rhsbl_sender dsn.rfc-ignorant.org > reject_sender_login_mismatch > smtpd_sender_login_maps = > hash:/etc/postfix/map_smtpd_sender_login_maps Du behälst leichter die Übersicht wenn du alles in die smtpd_recipient_restrictions = Packst. 1. du mußt jede Prüfung nur EINMAL machen 2. die Config wird leichter lesbar 3. ist das die Standard Empfehlung 4. hast du bei den smtpd_recipient_restrictions alle Informationen vorliegen hier kannst du das erste mal sinnvoll rejecten(es soll Mailserver geben die ein vorheriges reject nicht verarbeiten können) 5. kannst du externe Abfragen eingrenzen / reduzieren (wer vorher schon durchgefallen ist für den werden keine weiteren Prüfungen gemacht) 6. kannst du Ohne Gefahr smtpd_delay_reject = no einsetzen Ausnahme : smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining Du kannst nur gewinnen weil es gibt seiteneffecte beim aufteilen der restriktionen die du damit vermeidest. > > > > Grüße > Jörg > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From postfix-list at novuage.de Tue Oct 5 17:53:36 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Tue, 05 Oct 2010 17:53:36 +0200 Subject: [Postfixbuch-users] OT: Dovecot Mailstore extern In-Reply-To: <4CA38CA8.20308@novuage.de> References: <4CA1A847.60605@puersten.de> <4CA303EF.6040506@puersten.de> <20100929092210.GA459@state-of-mind.de> <4CA37BFF.9080104@novuage.de> <20100929184809.GA2795@state-of-mind.de> <4CA38CA8.20308@novuage.de> Message-ID: <4CAB4A00.8020405@novuage.de> Hallo Zusammen, hier kurz was laut Datenkrake die Lösung sein soll: Am 29.09.2010 20:59, schrieb Sascha Peters: > Mal sehen... ich hoffe... Das Problem, so wie ich es einschätze liegt > echt nur daran das die Dateien einmal auf dem Server selbst geändert > werden und andere System diese Dateien über NFS bearbeiten. Ich möchte > einfach mal ins blaue behaupten das es anders wäre wenn auch der Server > der die Dateien ändert per NFS arbeiten würde. > > Aber hier bin ich mit Tests noch nicht durch. Weiß aber auch nicht ob es > wirklich So Sinnvoll ist über NFS Eingebundene Daten wieder per Samba zu > verteilen. Haben daher den NFS- und Samabserver auf einer Installation :) > > Was ich mir nur nicht vorstellen kann, das Leute hier mehrere Dovecot > POP3/IMAP Server haben die auf ein NFS-Share auf die gleichen Postfächer > zugreifen und Caching dann nicht zum Problem werden würde. Also ein > Client löscht eine Mail der andere sieht diese aber für 4-12 Stunden > noch weil der Client diese im Arbeitsspeicher hat. > > Ich möchte einfach behaupten das wäre schon vielen Aufgefallen :) > > > Für diejenigen die es interessiert: > > Wir haben mehrere Webserver zur Entwicklung die von einem NFS Server > (NFSv4 TCP) die Daten erhalten. Diese Dateien werden von Windows Rechner > über Samba geändert. Diese Änderungen kommen aber ab und zu nicht am > Webserver an. Ein andere Webserver kann diese aber sehen. Am nächsten > Tag ist alles ok, oder wenn ich eine Datei die größer als der > Arbeitsspeicher ist schreibe, dann lese und lösche (Cache leer). Dann > ist es sofort wieder OK. > > Aktuell schreibe ich alle 15 Minten etwas ins /proc, was den > Festplattencache von dem Server löscht. Hab gerade nicht parat was es > ist. Klappt aber so weit, ebenfalls getestet. Wer hier nun aber das > Problem ist, ICH alias die Installation, der Samba, der NFS oder die > NFS-Client Installation, keine Ahnung. sysctl -w fs.leases-enable=0 Ich habe leider keine Ahnung was genau das sonst noch für Auswirkungen hat, dies auf dem NFS-Server zu machen sollte aber die Lösung sein. Vielleicht weiß jemand was es ist, bzw. ob es sonst irgendwie Probleme macht :) -- Gruß Sascha From irgendwer at nmore.de Tue Oct 5 18:15:45 2010 From: irgendwer at nmore.de (Nils) Date: Tue, 5 Oct 2010 18:15:45 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?unregelm=E4ssige_fehler_tempor?= =?iso-8859-1?q?ary_lookup_failure?= Message-ID: <028D8B5A-9650-4B92-A45B-A1779E684F20@nmore.de> Hallo Liste, ich bin bis jetzt eigentlich immer mehr stiller leser gewesen , aber ich habe nun dann doch mal ne frage: ich betreibe einen mail server , debian 5.0, postfix 2.5.5 und dovecot 1.0.9 standard Lenny 5.0 Auf dem server liegen ca 60 Domains, und in der Summe 1000 Mailboxes. der Dovecot wird, je nachdem was ich hier in der Liste lese, in bälde entweder auf lenny-backports (1.2.13) oder gleich auf 2.0 geupdatet. ich bin besitzer des Buches und schätze es als sehr gutes nachschlagewerk. nach mittlerweile 14 jahren mit regelmässigen updates und anpassungen treten nun auf einmal zweierlei fehler auf der root nutzer des systems bekommt *unregelmässig* , vielleicht 1-2x im monat, einen schwung solcher mails: Transcript of session follows. Out: 220 fqdn.master.domain.de ESMTP In: EHLO 186-104-125-65.baf.movistar.cl Out: 250-fqdn.master.domain.de Out: 250-PIPELINING Out: 250-SIZE 10240000 Out: 250-ETRN Out: 250-STARTTLS Out: 250-AUTH PLAIN LOGIN Out: 250-AUTH=PLAIN LOGIN Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: MAIL FROM: <0-vl at 1e.com> Out: 250 2.1.0 Ok In: RCPT TO: Out: 451 4.3.0 : Temporary lookup failure In: RCPT TO: Out: 451 4.3.0 : Temporary lookup failure In: RCPT TO: Out: 451 4.3.0 : Temporary lookup failure In: RCPT TO: Out: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table In: RCPT TO: Out: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table In: RCPT TO: Out: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table In: DATA Out: 554 5.5.1 Error: no valid recipients wenn man sich die ausgabe von postconf -n (unten) ansieht, sollte es doch eigentlich überhaupt nicht zum einliefern kommen, oder ? Normalerweise wird das mit nem NOQUEUE abgefrühstückt und das wars. amavis-new läuft als prequeue und filtert das auch sauber raus , nur halt manchmal nicht. kann es sein , das wenn es zuviele prozesse sind , amavis auf durchzug schaltet ? habt ihr nen beispiel was man als werte bei den o.a. nutezrmengen nimmt ? das zweite sind die lästigen double-bounces :-( Oct 5 17:51:37 SERVER postfix/cleanup[29590]: 2D2D81AE55F: message-id=<20101005155137.2D2D81AE55F at fqdn.master.domain.de> Oct 5 17:51:37 SERVER postfix/qmgr[27423]: 2D2D81AE55F: from=, size=268, nrcpt=1 (queue active) Oct 5 17:51:38 SERVER postfix/smtp[26199]: 2D2D81AE55F: to=, relay=mx1.comcast.net[76.96.62.116]:25, delay=1.7, delays=0.02/0/0.43/1.3, dsn=5.1.1, status=undeliverable (host mx1.comcast.net[76.96.62.116] said: 550 5.1.1 Not our Customer (in reply to RCPT TO command)) Oct 5 17:51:39 SERVER postfix/qmgr[27423]: 2D2D81AE55F: removed was macht ihr dagegen ? SERVER = /etc/hostname fqdn.master.domain.de = /etc/mailname (FQDN des systems) Achja , das system ist nen AMD X2 Opteron mit 4 GB RAM und nem RAID 1 von 250GB postconf -n: postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_at_myorigin = yes append_dot_mydomain = no biff = no body_checks = regexp:/etc/postfix/body_checks broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix content_filter = amavis:[127.0.0.1]:10024 daemon_directory = /usr/lib/postfix disable_vrfy_command = yes header_checks = regexp:/etc/postfix/header_checks inet_interfaces = all local_destination_recipient_limit = 1 local_recipient_maps = unix:passwd.byname $alias_database local_transport = local mail_spool_directory = /var/mail mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 mime_header_checks = regexp:/etc/postfix/mime_header_checks mydestination = castor.argon.de, localhost, localhost.localdomain mydomain = meine.master.domain.de myhostname = fqdn.meine.master.domain.de mynetworks = 127.0.0.0/8 [::1]/128 mynetworks_style = host myorigin = $myhostname nested_header_checks = regexp:/etc/postfix/nested_header_checks proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps receive_override_options = no_address_mappings recipient_delimiter = + relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf relayhost = sender_canonical_maps = hash:/etc/postfix/sender_canonical setgid_group = postdrop smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_cert_file = /etc/postfix/tls/server.pem smtp_tls_key_file = /etc/postfix/tls/key.pem smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf smtpd_data_restrictions = reject_multi_recipient_bounce, reject_unauth_pipelining smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unverified_sender, reject_unlisted_recipient, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated, reject_unauthenticated_sender_login_mismatch, reject_sender_login_mismatch, reject_unlisted_sender, reject_unauth_destination, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_invalid_hostname, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, check_policy_service inet:127.0.0.1:12525, # policyd.weight check_policy_service inet:127.0.0.1:60000, # postgrey reject_unknown_client, reject_unknown_hostname smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_ask_ccert = yes smtpd_tls_cert_file = /etc/postfix/tls/server.pem smtpd_tls_key_file = /etc/postfix/tls/key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:$data_directory/smtpd_tls_session_cache smtpd_use_tls = yes strict_rfc821_envelopes = yes tls_random_source = dev:/dev/urandom transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf virtual_alias_domains = virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /var/vmail virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf virtual_mailbox_limit = 10485760000 virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf virtual_minimum_uid = 5000 virtual_transport = dovecot virtual_uid_maps = static:5000 -- Grüsse, Nils From driessen at fblan.de Tue Oct 5 23:40:35 2010 From: driessen at fblan.de (Uwe Driessen) Date: Tue, 5 Oct 2010 23:40:35 +0200 Subject: [Postfixbuch-users] =?iso-8859-2?q?unregelm=E4ssige_fehler_tempor?= =?iso-8859-2?q?ary_lookup_failure?= In-Reply-To: <028D8B5A-9650-4B92-A45B-A1779E684F20@nmore.de> References: <028D8B5A-9650-4B92-A45B-A1779E684F20@nmore.de> Message-ID: <000901cb64d5$f210a5a0$0565a8c0@uwe> On Behalf Of Nils > Sent: Tuesday, October 05, 2010 6:16 PM > > Hallo Liste, > ich bin bis jetzt eigentlich immer mehr stiller leser gewesen > , aber ich habe nun dann doch mal ne frage: > ich betreibe einen mail server , debian 5.0, postfix 2.5.5 > und dovecot 1.0.9 standard Lenny 5.0 > Auf dem server liegen ca 60 Domains, und in der Summe 1000 Mailboxes. > der Dovecot wird, je nachdem was ich hier in der Liste lese, > in bälde entweder auf lenny-backports (1.2.13) oder gleich > auf 2.0 geupdatet. > ich bin besitzer des Buches und schätze es als sehr gutes > nachschlagewerk. > nach mittlerweile 14 jahren mit regelmässigen updates und > anpassungen treten nun auf einmal zweierlei fehler auf > der root nutzer des systems bekommt *unregelmässig* , > vielleicht 1-2x im monat, einen schwung solcher mails: > > Transcript of session follows. > > Out: 220 fqdn.master.domain.de ESMTP > In: EHLO 186-104-125-65.baf.movistar.cl > In: RCPT TO: > Out: 550 5.1.1 : > Recipient address rejected: User > unknown in virtual mailbox table > In: DATA > Out: 554 5.5.1 Error: no valid recipients Drum prüfe wer sich ewig bindet ob sich nicht doch noch was besseres findet. Soll heisen prüfe besser wer da versucht was einzuliefern. Die mail ist schön um dich aufmerksam zu machen, gebraucht wird allerdings das Logfile > > das zweite sind die lästigen double-bounces :-( > > Oct 5 17:51:37 SERVER postfix/cleanup[29590]: 2D2D81AE55F: > message-id=<20101005155137.2D2D81AE55F at fqdn.master.domain.de> > Oct 5 17:51:37 SERVER postfix/qmgr[27423]: 2D2D81AE55F: > from=, size=268, nrcpt=1 > (queue active) > Oct 5 17:51:38 SERVER postfix/smtp[26199]: 2D2D81AE55F: > to=, > relay=mx1.comcast.net[76.96.62.116]:25, delay=1.7, > delays=0.02/0/0.43/1.3, dsn=5.1.1, status=undeliverable (host > mx1.comcast.net[76.96.62.116] said: 550 5.1.1 Not our > Customer (in reply to RCPT TO command)) > Oct 5 17:51:39 SERVER postfix/qmgr[27423]: 2D2D81AE55F: removed > > was macht ihr dagegen ? Es gar nicht soweit kommen lassen und voher prüfen wer da was wohin Kläre woher die Mails stammen. Ich hab jetzt nichts gesehen aber hast du irgendwo Adressrewriting drin? > Achja , das system ist nen AMD X2 Opteron mit 4 GB RAM und > nem RAID 1 von 250GB Solange du keine Hardwaredefekte hast.... > > > > postconf -n: > postconf -n > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_at_myorigin = yes > smtpd_data_restrictions = reject_multi_recipient_bounce, > reject_unauth_pipelining Den kann man dann auch auf no setzen > smtpd_delay_reject = yes Die ganzen Restriktionen unter smtpd_recipient_restrictions zusammenfassen ausnahme die data_restriktionen Einmalige Prüfung... Du prüfst hier 2 x reject_non_fqdn_helo_hostname, 2 X reject_invalid_helo_hostname 2 X reject_invalid_hostname, Usw. .... Unter den recipient_restrictions kannst du ganz genau den Punkt bestimmen wann welche Prüfung gemacht wird. Fällt einer durch dann wird mit smtpd_delay_reject = no der einlieferer direkt befördert und keine weitere Prüfung mehr durchgeführt. > smtpd_client_restrictions = check_client_access > mysql:/etc/postfix/mysql-virtual_client.cf > smtpd_helo_restrictions = permit_mynetworks, > permit_sasl_authenticated, > reject_invalid_helo_hostname, > reject_non_fqdn_helo_hostname > smtpd_recipient_restrictions = reject_non_fqdn_sender, > reject_non_fqdn_recipient, > reject_unknown_sender_domain, > reject_unverified_sender, Sender verify jans pööse. Du belastest unter Umständen, und wenn Spamer kommen, immer fremde unbeteiligte dritte. Ich nehme sowas Krumm und auch T-online und andere große Bestrafen dich mit Nichtbeachtung sollte dein Mailserver mal unter Beschuß von Botnetzen stehen.... > reject_unlisted_recipient, > reject_unknown_recipient_domain, > permit_mynetworks, > permit_sasl_authenticated, > > reject_unauthenticated_sender_login_mismatch, > reject_sender_login_mismatch, > reject_unlisted_sender, > reject_unauth_destination, > reject_non_fqdn_helo_hostname, > reject_invalid_helo_hostname, > reject_invalid_hostname, > check_recipient_access > mysql:/etc/postfix/mysql-virtual_recipient.cf, > > check_policy_service inet:127.0.0.1:12525, # policyd.weight > check_policy_service > inet:127.0.0.1:60000, # postgrey > reject_unknown_client, > reject_unknown_hostname > smtpd_sender_restrictions = check_sender_access > mysql:/etc/postfix/mysql-virtual_sender.cf Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From j.reisslein at schmitt-aufzuege.de Wed Oct 6 08:13:26 2010 From: j.reisslein at schmitt-aufzuege.de (=?iso-8859-1?Q?J=F6rg_Reisslein?=) Date: Wed, 6 Oct 2010 08:13:26 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-1?q?existierender_Adresse?= In-Reply-To: <000901cb6480$c5f0df80$0565a8c0@uwe> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de><000701cb6473$1d432f30$0565a8c0@uwe> <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> <000901cb6480$c5f0df80$0565a8c0@uwe> Message-ID: <01b301cb651d$9685d000$c3917000$@reisslein@schmitt-aufzuege.de> Hallo, > >> reject_unauthenticated_sender_login_mismatch, ^^^^^^^^^^^^^^^^^^^^ danke für eure Hilfe. Werde es mal als Ersatz für meine Restriktion aufnehmen. Hoffe es wirkt sich positiv aus :) Grüße Jörg From j.reisslein at schmitt-aufzuege.de Wed Oct 6 12:56:27 2010 From: j.reisslein at schmitt-aufzuege.de (=?iso-8859-1?Q?J=F6rg_Reisslein?=) Date: Wed, 6 Oct 2010 12:56:27 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-1?q?existierender_Adresse?= In-Reply-To: <01b301cb651d$9685d000$c3917000$@reisslein@schmitt-aufzuege.de> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de><000701cb6473$1d432f30$0565a8c0@uwe> <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> <000901cb6480$c5f0df80$0565a8c0@uwe> <01b301cb651d$9685d000$c3917000$@reisslein@schmitt-aufzuege.de> Message-ID: <03d801cb6545$21681850$643848f0$@reisslein@schmitt-aufzuege.de> Hallo zusammen, leider besteht das "Problem" weiterhin: Return-Path: From: existente_adresse at meinserver.de Message-ID: <20101006104405.7CA5E201B73 at meinserver.de> Subject: existente_adresse at meinserver.de V|AGRA ® Official Site 17% 0FF The message has been quarantined as: spam-48VtkmOzwcg7.gz The message WAS NOT relayed to: < existente_adresse at meinserver.de >: 250 2.7.0 Ok, discarded, id=29530-15 - SPAM Was könnte ich noch verändern oder ergänzen? So wie es aussieht kennen die Spammer eine ganze Stange von reellen Email Adressen aus unserem System, denn ich schätze mal so 80% der gefilterten Nachrichten haben existierende Adressen im Return-Path, die sich aber oft wiederholen. BTW: Muss mich das beunruhigen? Meine smtpd_recipient_restrictions schaut jetzt aktuell so aus: ---------------------------------------------------------------------------- ------- smtpd_recipient_restrictions = check_sender_access ldap:ldapchecksender reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks permit_tls_clientcerts permit_sasl_authenticated reject_unknown_sender_domain reject_unauth_destination reject_unauthenticated_sender_login_mismatch check_client_access hash:/etc/postfix/access check_sender_access hash:/etc/postfix/blocked_senders reject_unlisted_recipient check_sender_mx_access cidr:/etc/postfix/bogus_mx reject_unauth_pipelining reject_rbl_client cbl.abuseat.org reject_rbl_client abuse.rfc-ignorant.org reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client combined.njabl.org reject_rbl_client zen.spamhaus.org reject_rbl_client bl.spamcop.net check_policy_service inet:127.0.0.1:999 check_policy_service inet:127.0.0.1:12525 ---------------------------------------------------------------------------- ------ Grüße, Jörg From driessen at fblan.de Wed Oct 6 19:26:37 2010 From: driessen at fblan.de (Uwe Driessen) Date: Wed, 6 Oct 2010 19:26:37 +0200 Subject: [Postfixbuch-users] =?iso-8859-2?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-2?q?existierender_Adresse?= In-Reply-To: <03d801cb6545$21681850$643848f0$@reisslein@schmitt-aufzuege.de> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de><000701cb6473$1d432f30$0565a8c0@uwe> <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> <000901cb6480$c5f0df80$0565a8c0@uwe><01b301cb651d$9685d000$c3917000$@reisslein@schmitt-aufzuege.de> <03d801cb6545$21681850$643848f0$@reisslein@schmitt-aufzuege.de> Message-ID: <002a01cb657b$a1f100a0$0565a8c0@uwe> On Behalf Of Jörg Reisslein > > Return-Path: > From: existente_adresse at meinserver.de > Message-ID: <20101006104405.7CA5E201B73 at meinserver.de> > Subject: existente_adresse at meinserver.de V|AGRA R Official > Site 17% 0FF The > message has been quarantined as: spam-48VtkmOzwcg7.gz > > The message WAS NOT relayed to: > < existente_adresse at meinserver.de >: > 250 2.7.0 Ok, discarded, id=29530-15 - SPAM > Zeig mal da ganze log > > Was könnte ich noch verändern oder ergänzen? So wie es > aussieht kennen die > Spammer eine ganze Stange von reellen Email Adressen aus > unserem System, denn ich schätze mal so 80% der gefilterten > Nachrichten > haben existierende Adressen im Return-Path, die sich aber oft > wiederholen. Welche Postfixversion hast du denn? Kennt die überhaupt schon die genannten Optionen? Wie wäre es denn mit einem postconf -n und master.cf ohne Kommentare > > BTW: Muss mich das beunruhigen? Nö es gibt für alles eine Begründung die muß man nur finden. Was hängt hinter dem permit_tls_clientcerts? Kommen diese Spamer evtl. mit einem geklauten zertifikat? > > > Meine smtpd_recipient_restrictions schaut jetzt aktuell so aus: > -------------------------------------------------------------- > -------------- > ------- > smtpd_recipient_restrictions = check_sender_access > ldap:ldapchecksender > reject_non_fqdn_sender > reject_non_fqdn_recipient > reject_unknown_recipient_domain > permit_mynetworks > permit_tls_clientcerts > permit_sasl_authenticated > reject_unknown_sender_domain > reject_unauth_destination > > reject_unauthenticated_sender_login_mismatch > check_client_access > hash:/etc/postfix/access > check_sender_access > hash:/etc/postfix/blocked_senders > reject_unlisted_recipient > check_sender_mx_access > cidr:/etc/postfix/bogus_mx > reject_unauth_pipelining > reject_rbl_client cbl.abuseat.org > reject_rbl_client > abuse.rfc-ignorant.org > reject_rbl_client ix.dnsbl.manitu.net > reject_rbl_client combined.njabl.org > reject_rbl_client zen.spamhaus.org > reject_rbl_client bl.spamcop.net > check_policy_service > inet:127.0.0.1:999 > check_policy_service > inet:127.0.0.1:12525 > -------------------------------------------------------------- > -------------- > ------ > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From j.reisslein at schmitt-aufzuege.de Thu Oct 7 13:40:12 2010 From: j.reisslein at schmitt-aufzuege.de (=?iso-8859-1?Q?J=F6rg_Reisslein?=) Date: Thu, 7 Oct 2010 13:40:12 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Gef=E4lschte_Mail_From=3A_mit_?= =?iso-8859-1?q?existierender_Adresse?= In-Reply-To: <002a01cb657b$a1f100a0$0565a8c0@uwe> References: <00b001cb646f$1c03f540$540bdfc0$@reisslein@schmitt-aufzuege.de><000701cb6473$1d432f30$0565a8c0@uwe> <013d01cb647e$8ff77fd0$afe67f70$@reisslein@schmitt-aufzuege.de> <000901cb6480$c5f0df80$0565a8c0@uwe><01b301cb651d$9685d000$c3917000$@reisslein@schmitt-aufzuege.de> <03d801cb6545$21681850$643848f0$@reisslein@schmitt-aufzuege.de> <002a01cb657b$a1f100a0$0565a8c0@uwe> Message-ID: <043301cb6614$66e0aad0$34a20070$@reisslein@schmitt-aufzuege.de> Hallo Uwe, >Welche Postfixversion hast du denn? Kennt die überhaupt schon die genannten Optionen? Die Option gibt’s ab 2.1. Mein Postfix ist zwar leider schon etwas angestaubt aber das kann er! Ich glaube ich habe noch was interessantes gefunden. "Daher ist es wichtig, dass die Option "reject_authenticated_sender_login_mismatch" vor "permit_sasl_authenticated" benutzt wird,da dies ansonsten nicht überprüft werden würde." Das werde ich gleich mal testen, denn momentan ist diese Restriction ja *nach* dem permit_Sasl Grüße Jörg From eugen at ganshorn.eu Thu Oct 7 21:50:34 2010 From: eugen at ganshorn.eu (Eugen Ganshorn) Date: Thu, 07 Oct 2010 21:50:34 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter Message-ID: <4CAE248A.4000600@ganshorn.eu> Hallo, ich habe vor kurzem den content_filter durch den smptd_proxy_filter ersetzt, mit dem Ziel das E-Mails die von amavis als Spam erkannt werden gar nicht erst anzunehmen. Das klappt auch soweit, allerdings kriegt der Absender eine Bounce E-Mail von meinem Server was natürlich Backscatter erzeugt. Das war und ist nicht mein Ziel. Woran liegt das? Muss ich noch etwas an amavis oder postfix anpassen? master.cf: smtp inet n - - - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o content_filter= [...] amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 # -o smtpd_client_connection_count_limit=0 # -o smtpd_client_connection_rate_limit=0 -o strict_rfc821_envelopes=yes -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o local_header_rewrite_clients= -o smtpd_bind_address=127.0.0.1 amavis 20-debian_defaults: [...] $final_virus_destiny = D_DISCARD; # (data not lost, see virus quarantine) $final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA $final_spam_destiny = D_BOUNCE; $final_bad_header_destiny = D_PASS; # False-positive prone (for spam) [...] Kann es an den amavis Einstellungen liegen? Ich erinner mich, da mal was geändert zuhaben, weiß aber nicht mehr genau was und warum. -- Mit freundlichem Gruß, Eugen Ganshorn -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : eugen.vcf Dateityp : text/x-vcard Dateigröße : 318 bytes Beschreibung: nicht verfügbar URL : From traced at xpear.de Thu Oct 7 21:53:41 2010 From: traced at xpear.de (Bastian) Date: Thu, 07 Oct 2010 21:53:41 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <4CAE248A.4000600@ganshorn.eu> References: <4CAE248A.4000600@ganshorn.eu> Message-ID: <4CAE2545.7080208@xpear.de> Am 07.10.2010 21:50, schrieb Eugen Ganshorn: > Hallo, > > ich habe vor kurzem den content_filter durch den smptd_proxy_filter > ersetzt, mit dem Ziel das E-Mails die von amavis als Spam erkannt werden > gar nicht erst anzunehmen. > > Das klappt auch soweit, allerdings kriegt der Absender eine Bounce > E-Mail von meinem Server was natürlich Backscatter erzeugt. Das war und > ist nicht mein Ziel. > [...] > $final_virus_destiny = D_DISCARD; # (data not lost, see virus > quarantine) > $final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA > $final_spam_destiny = D_BOUNCE; > $final_bad_header_destiny = D_PASS; # False-positive prone (for spam) > [...] > > Kann es an den amavis Einstellungen liegen? Ich erinner mich, da mal was > geändert zuhaben, weiß aber nicht mehr genau was und warum. > Hi, D_REJECT wäre die richtige Aktion für erkannten Spam, dann wird dieser gleich im SMTP Dialog abgewiesen. Das selbe solltest Du für Viren aktivieren. Banned files schiebe ich erst in die Quarantäne, da hier die Rückfragen häufig kommen, und ich diese dann doch noch "freigeben" und erneut zustellen kann. viele Grüße Basti From eugen at ganshorn.eu Thu Oct 7 22:01:23 2010 From: eugen at ganshorn.eu (Eugen Ganshorn) Date: Thu, 07 Oct 2010 22:01:23 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <4CAE2545.7080208@xpear.de> References: <4CAE248A.4000600@ganshorn.eu> <4CAE2545.7080208@xpear.de> Message-ID: <4CAE2713.2090706@ganshorn.eu> Du meinst also so? $final_virus_destiny = D_REJECT; # (data not lost, see virus quarantine) $final_banned_destiny = D_REJECT; # D_REJECT when front-end MTA $final_spam_destiny = D_REJECT; $final_bad_header_destiny = D_DISCARD; # False-positive prone (for spam) Bringt aber leider auch nicht den gewünschten Effekt. Mit freundlichem Gruß, Eugen Ganshorn Am 07.10.2010 21:53, schrieb Bastian: > Am 07.10.2010 21:50, schrieb Eugen Ganshorn: >> Hallo, >> >> ich habe vor kurzem den content_filter durch den smptd_proxy_filter >> ersetzt, mit dem Ziel das E-Mails die von amavis als Spam erkannt werden >> gar nicht erst anzunehmen. >> >> Das klappt auch soweit, allerdings kriegt der Absender eine Bounce >> E-Mail von meinem Server was natürlich Backscatter erzeugt. Das war und >> ist nicht mein Ziel. > >> [...] >> $final_virus_destiny = D_DISCARD; # (data not lost, see virus >> quarantine) >> $final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA >> $final_spam_destiny = D_BOUNCE; >> $final_bad_header_destiny = D_PASS; # False-positive prone (for spam) >> [...] >> >> Kann es an den amavis Einstellungen liegen? Ich erinner mich, da mal was >> geändert zuhaben, weiß aber nicht mehr genau was und warum. >> > > Hi, D_REJECT wäre die richtige Aktion für erkannten Spam, dann wird > dieser gleich im SMTP Dialog abgewiesen. Das selbe solltest Du für Viren > aktivieren. Banned files schiebe ich erst in die Quarantäne, da hier die > Rückfragen häufig kommen, und ich diese dann doch noch "freigeben" und > erneut zustellen kann. > > viele Grüße > Basti > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : eugen.vcf Dateityp : text/x-vcard Dateigröße : 318 bytes Beschreibung: nicht verfügbar URL : From traced at xpear.de Thu Oct 7 22:06:11 2010 From: traced at xpear.de (Bastian) Date: Thu, 07 Oct 2010 22:06:11 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <4CAE2713.2090706@ganshorn.eu> References: <4CAE248A.4000600@ganshorn.eu> <4CAE2545.7080208@xpear.de> <4CAE2713.2090706@ganshorn.eu> Message-ID: <4CAE2833.5050902@xpear.de> Am 07.10.2010 22:01, schrieb Eugen Ganshorn: > Du meinst also so? > $final_virus_destiny = D_REJECT; # (data not lost, see virus > quarantine) > $final_banned_destiny = D_REJECT; # D_REJECT when front-end MTA > $final_spam_destiny = D_REJECT; > $final_bad_header_destiny = D_DISCARD; # False-positive prone (for spam) > > Bringt aber leider auch nicht den gewünschten Effekt. > > Mit freundlichem Gruß, > > Eugen Ganshorn > > Am 07.10.2010 21:53, schrieb Bastian: >> Am 07.10.2010 21:50, schrieb Eugen Ganshorn: >>> Hallo, >>> >>> ich habe vor kurzem den content_filter durch den smptd_proxy_filter >>> ersetzt, mit dem Ziel das E-Mails die von amavis als Spam erkannt werden >>> gar nicht erst anzunehmen. >>> >>> Das klappt auch soweit, allerdings kriegt der Absender eine Bounce >>> E-Mail von meinem Server was natürlich Backscatter erzeugt. Das war und >>> ist nicht mein Ziel. >> >>> [...] >>> $final_virus_destiny = D_DISCARD; # (data not lost, see virus >>> quarantine) >>> $final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA >>> $final_spam_destiny = D_BOUNCE; >>> $final_bad_header_destiny = D_PASS; # False-positive prone (for spam) >>> [...] >>> >>> Kann es an den amavis Einstellungen liegen? Ich erinner mich, da mal was >>> geändert zuhaben, weiß aber nicht mehr genau was und warum. >>> >> >> Hi, D_REJECT wäre die richtige Aktion für erkannten Spam, dann wird >> dieser gleich im SMTP Dialog abgewiesen. Das selbe solltest Du für Viren >> aktivieren. Banned files schiebe ich erst in die Quarantäne, da hier die >> Rückfragen häufig kommen, und ich diese dann doch noch "freigeben" und >> erneut zustellen kann. >> >> viele Grüße >> Basti >> -- So sieht das bei mir aus, und klappt wunderbar: $final_virus_destiny = D_REJECT; $final_banned_destiny = D_REJECT; $final_spam_destiny = D_REJECT; $final_bad_header_destiny = D_PASS; Bad Header würde ich passen lassen, da es auch sehr viele legitime Mails mit kaputten Headern gibt. So sollte es eigentlich gehen? Amavis neugestartet? Grüsse From eugen at ganshorn.eu Thu Oct 7 22:16:17 2010 From: eugen at ganshorn.eu (Eugen Ganshorn) Date: Thu, 07 Oct 2010 22:16:17 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <4CAE2833.5050902@xpear.de> References: <4CAE248A.4000600@ganshorn.eu> <4CAE2545.7080208@xpear.de> <4CAE2713.2090706@ganshorn.eu> <4CAE2833.5050902@xpear.de> Message-ID: <4CAE2A91.6030008@ganshorn.eu> Kann es sein, dass es sich bei lokalen Empfängern anders verhält? Habe die ganze Zeit versucht an jemanden eine E-Mail auf dem selben Server zuschicken. Es kam immer eine Bounce E-Mail zurück. Jetzt habe ich mit einem Google Mail Account an mich eine E-Mail geschickt und es kommt zwar auch eine Bounce E-Mail, allerdings nur vom Google Server und nicht von meinem. Mit freundlichem Gruß, Eugen Ganshorn Am 07.10.2010 22:06, schrieb Bastian: > Am 07.10.2010 22:01, schrieb Eugen Ganshorn: >> Du meinst also so? >> $final_virus_destiny = D_REJECT; # (data not lost, see virus >> quarantine) >> $final_banned_destiny = D_REJECT; # D_REJECT when front-end MTA >> $final_spam_destiny = D_REJECT; >> $final_bad_header_destiny = D_DISCARD; # False-positive prone (for spam) >> >> Bringt aber leider auch nicht den gewünschten Effekt. >> >> Mit freundlichem Gruß, >> >> Eugen Ganshorn >> >> Am 07.10.2010 21:53, schrieb Bastian: >>> Am 07.10.2010 21:50, schrieb Eugen Ganshorn: >>>> Hallo, >>>> >>>> ich habe vor kurzem den content_filter durch den smptd_proxy_filter >>>> ersetzt, mit dem Ziel das E-Mails die von amavis als Spam erkannt >>>> werden >>>> gar nicht erst anzunehmen. >>>> >>>> Das klappt auch soweit, allerdings kriegt der Absender eine Bounce >>>> E-Mail von meinem Server was natürlich Backscatter erzeugt. Das war und >>>> ist nicht mein Ziel. >>> >>>> [...] >>>> $final_virus_destiny = D_DISCARD; # (data not lost, see virus >>>> quarantine) >>>> $final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA >>>> $final_spam_destiny = D_BOUNCE; >>>> $final_bad_header_destiny = D_PASS; # False-positive prone (for spam) >>>> [...] >>>> >>>> Kann es an den amavis Einstellungen liegen? Ich erinner mich, da mal >>>> was >>>> geändert zuhaben, weiß aber nicht mehr genau was und warum. >>>> >>> >>> Hi, D_REJECT wäre die richtige Aktion für erkannten Spam, dann wird >>> dieser gleich im SMTP Dialog abgewiesen. Das selbe solltest Du für Viren >>> aktivieren. Banned files schiebe ich erst in die Quarantäne, da hier die >>> Rückfragen häufig kommen, und ich diese dann doch noch "freigeben" und >>> erneut zustellen kann. >>> >>> viele Grüße >>> Basti >>> -- > > So sieht das bei mir aus, und klappt wunderbar: > > $final_virus_destiny = D_REJECT; > $final_banned_destiny = D_REJECT; > $final_spam_destiny = D_REJECT; > $final_bad_header_destiny = D_PASS; > > > Bad Header würde ich passen lassen, da es auch sehr viele legitime Mails > mit kaputten Headern gibt. > > So sollte es eigentlich gehen? Amavis neugestartet? > > Grüsse > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : eugen.vcf Dateityp : text/x-vcard Dateigröße : 318 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Thu Oct 7 22:19:28 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 7 Oct 2010 22:19:28 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <4CAE2713.2090706@ganshorn.eu> References: <4CAE248A.4000600@ganshorn.eu> <4CAE2545.7080208@xpear.de> <4CAE2713.2090706@ganshorn.eu> Message-ID: <20101007201928.GF20413@charite.de> * Eugen Ganshorn : > Du meinst also so? > $final_virus_destiny = D_REJECT; # (data not lost, see virus > quarantine) > $final_banned_destiny = D_REJECT; # D_REJECT when front-end MTA > $final_spam_destiny = D_REJECT; > $final_bad_header_destiny = D_DISCARD; # False-positive prone (for spam) Hier D_PASS, wir sind ja in Deutschland -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From eugen at ganshorn.eu Thu Oct 7 22:24:36 2010 From: eugen at ganshorn.eu (Eugen Ganshorn) Date: Thu, 07 Oct 2010 22:24:36 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <20101007201928.GF20413@charite.de> References: <4CAE248A.4000600@ganshorn.eu> <4CAE2545.7080208@xpear.de> <4CAE2713.2090706@ganshorn.eu> <20101007201928.GF20413@charite.de> Message-ID: <4CAE2C84.9010807@ganshorn.eu> thx, habs angepasst! Mit freundlichem Gruß, Eugen Ganshorn Am 07.10.2010 22:19, schrieb Ralf Hildebrandt: > * Eugen Ganshorn : >> Du meinst also so? >> $final_virus_destiny = D_REJECT; # (data not lost, see virus >> quarantine) >> $final_banned_destiny = D_REJECT; # D_REJECT when front-end MTA >> $final_spam_destiny = D_REJECT; > >> $final_bad_header_destiny = D_DISCARD; # False-positive prone (for spam) > > Hier D_PASS, wir sind ja in Deutschland > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : eugen.vcf Dateityp : text/x-vcard Dateigröße : 318 bytes Beschreibung: nicht verfügbar URL : From kai_postfix at fuerstenberg.ws Fri Oct 8 09:28:42 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 08 Oct 2010 09:28:42 +0200 Subject: [Postfixbuch-users] smtpd_proxy_filter In-Reply-To: <4CAE2A91.6030008@ganshorn.eu> References: <4CAE248A.4000600@ganshorn.eu> <4CAE2545.7080208@xpear.de> <4CAE2713.2090706@ganshorn.eu> <4CAE2833.5050902@xpear.de> <4CAE2A91.6030008@ganshorn.eu> Message-ID: <4CAEC82A.3010805@fuerstenberg.ws> Hallo Eugen, Eugen Ganshorn schrieb am 07.10.2010 22:16: > Kann es sein, dass es sich bei lokalen Empfängern anders verhält? Habe > die ganze Zeit versucht an jemanden eine E-Mail auf dem selben Server > zuschicken. Es kam immer eine Bounce E-Mail zurück. Das hört sich jetzt an, als würde jede Mail abgewiesen... > Jetzt habe ich mit einem Google Mail Account an mich eine E-Mail > geschickt und es kommt zwar auch eine Bounce E-Mail, allerdings nur vom > Google Server und nicht von meinem. Das ist ja auch richtig so, sofern es eine SPAM oder Virus-Mail war, also GTUBE oder EICAR zum testen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From sebastian at debianfan.de Fri Oct 8 09:39:15 2010 From: sebastian at debianfan.de (sebastian) Date: Fri, 08 Oct 2010 09:39:15 +0200 Subject: [Postfixbuch-users] RBL aufsetzen Message-ID: <4CAECAA3.4010605@debianfan.de> Hallo zusammen, Peer hat in einem Kapitel beschrieben, wie man eine eigene RBL aufsetzen kann. Gibt es da was im Open-Source - Bereich? gruß Sebastian From Ralf.Hildebrandt at charite.de Fri Oct 8 09:59:07 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 8 Oct 2010 09:59:07 +0200 Subject: [Postfixbuch-users] RBL aufsetzen In-Reply-To: <4CAECAA3.4010605@debianfan.de> References: <4CAECAA3.4010605@debianfan.de> Message-ID: <20101008075906.GH10606@charite.de> * sebastian : > Hallo zusammen, > > Peer hat in einem Kapitel beschrieben, wie man eine eigene RBL > aufsetzen kann. > > Gibt es da was im Open-Source - Bereich? BIND djbdns powerdns rbldnsd -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Fri Oct 8 10:08:04 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 8 Oct 2010 10:08:04 +0200 Subject: [Postfixbuch-users] RBL aufsetzen In-Reply-To: <4CAECAA3.4010605@debianfan.de> References: <4CAECAA3.4010605@debianfan.de> Message-ID: <201010081008.04806.p.heinlein@heinlein-support.de> Am Freitag, 8. Oktober 2010, 09:39:15 schrieb sebastian: Moin, > Peer hat in einem Kapitel beschrieben, wie man eine eigene RBL aufsetzen > kann. Ja, das ist ja nichts anderes, als eine beliebige Nameserver-Zone. > Gibt es da was im Open-Source - Bereich? Die Frage verstehe ich nicht. Was soll denn hier Close- oder Open Source sein? Das ist ein Namserver-Eintrag und gut ist. Und mit welchem DNS-Server Du den machst ist doch egal?! Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From sebastian at debianfan.de Fri Oct 8 10:15:10 2010 From: sebastian at debianfan.de (sebastian) Date: Fri, 08 Oct 2010 10:15:10 +0200 Subject: [Postfixbuch-users] RBL aufsetzen In-Reply-To: <201010081008.04806.p.heinlein@heinlein-support.de> References: <4CAECAA3.4010605@debianfan.de> <201010081008.04806.p.heinlein@heinlein-support.de> Message-ID: <4CAED30E.4090203@debianfan.de> Ich habe mich vermutlich ungünstig ausgedrückt. Ich habe ca 20 Domains übrig, welche normalerweise keine Mails empfangen - nur Spammer versorgen diese Domains. Stichwort - eigene RBL aufsetzen? Wie bekomme ich die Absender-IP in die RBL? Dafür muss es ja auch ne Software geben - oder meisseln bei Sorbs und Manitu die Mitarbeiter die IP's manuell in die DNS-Zone? Am 08.10.2010 10:08, schrieb Peer Heinlein: > Am Freitag, 8. Oktober 2010, 09:39:15 schrieb sebastian: > > > Moin, > > >> Peer hat in einem Kapitel beschrieben, wie man eine eigene RBL aufsetzen >> kann. >> > Ja, das ist ja nichts anderes, als eine beliebige Nameserver-Zone. > > >> Gibt es da was im Open-Source - Bereich? >> > Die Frage verstehe ich nicht. Was soll denn hier Close- oder Open Source > sein? Das ist ein Namserver-Eintrag und gut ist. Und mit welchem DNS-Server > Du den machst ist doch egal?! > > Peer > > > > From hajo.locke at gmx.de Fri Oct 8 10:22:37 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Fri, 8 Oct 2010 10:22:37 +0200 Subject: [Postfixbuch-users] RBL aufsetzen References: <4CAECAA3.4010605@debianfan.de><201010081008.04806.p.heinlein@heinlein-support.de> <4CAED30E.4090203@debianfan.de> Message-ID: <2612AD740E4B47DE94AD28A42A196BF5@nmm.local> >> Wie bekomme ich die Absender-IP in die RBL? nimm http://mydns.bboy.net/ der hält seine daten in mysql und du kannst mit den üblichen scripten einträge machen. Hajo From lists at methfessel-computers.de Fri Oct 8 10:24:29 2010 From: lists at methfessel-computers.de (Oliver Methfessel [MC]) Date: Fri, 08 Oct 2010 10:24:29 +0200 Subject: [Postfixbuch-users] RBL aufsetzen In-Reply-To: <4CAED30E.4090203@debianfan.de> References: <4CAECAA3.4010605@debianfan.de> <201010081008.04806.p.heinlein@heinlein-support.de> <4CAED30E.4090203@debianfan.de> Message-ID: <4CAED53D.205@methfessel-computers.de> Hallo Sebastian Am 08.10.2010 10:15, schrieb sebastian: > Ich habe mich vermutlich ungünstig ausgedrückt. > > Ich habe ca 20 Domains übrig, welche normalerweise keine Mails > empfangen - nur Spammer versorgen diese Domains. > > Stichwort - eigene RBL aufsetzen? > > Wie bekomme ich die Absender-IP in die RBL? > > Dafür muss es ja auch ne Software geben - oder meisseln bei Sorbs und > Manitu die Mitarbeiter die IP's manuell in die DNS-Zone? > Naja, es gibt verschiedene Webinterfaces um die verschiedenen DNS Server mit Inhalt zu füllen. Mit Sicherheit werde bei den großen RBLs Automatismen auf Grundlage von Meldungen von Benutzern verwendet. Also einfach ein Script erstellen, welches die mail.log ausliest und dann automatisch einen Eintrag in den gewünschten DNS Server vornehmen. -- Mit freundlichen Grüßen Oliver Methfessel Methfessel Computers Hauptsitz: Zieglerstr. 25a, 65191 Wiesbaden Kundenbüro: Kloppenheimer Weg 11, 65191 Wiesbaden Geschäftsführender Inhaber: Oliver Methfessel http://www.methfessel-computers.de From jbacksch-postfixbuch-users at tca-os.de Fri Oct 8 11:17:30 2010 From: jbacksch-postfixbuch-users at tca-os.de (=?ISO-8859-1?Q?J=F6rg_Backschues?=) Date: Fri, 08 Oct 2010 11:17:30 +0200 Subject: [Postfixbuch-users] RBL aufsetzen In-Reply-To: <2612AD740E4B47DE94AD28A42A196BF5@nmm.local> References: <4CAECAA3.4010605@debianfan.de><201010081008.04806.p.heinlein@heinlein-support.de> <4CAED30E.4090203@debianfan.de> <2612AD740E4B47DE94AD28A42A196BF5@nmm.local> Message-ID: <4CAEE1AA.9090804@tca-os.de> Am 08.10.2010 10:22, schrieb Hajo Locke: >>> Wie bekomme ich die Absender-IP in die RBL? > nimm http://mydns.bboy.net/ > der hält seine daten in mysql und du kannst mit den üblichen scripten > einträge machen. Eine DB als RBL Backend halte ich für ein wenig übertrieben. Probiere einmal rbldnsd aus. Der Daemon läuft auch in großen Umgebungen wirklich gut. -- Mit freundlichen Grüßen Jörg Backschues From gregor at aeppelbroe.de Fri Oct 8 13:16:51 2010 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 8 Oct 2010 13:16:51 +0200 Subject: [Postfixbuch-users] dovecot und der Ordner Seperator Message-ID: <745b3808bc7205e1e6975196fb0b8af4@ffm-it.dyndns.org> Moin, bei meinem dovecot IMAP Server ist als Seperator in der dovecot.conf unter Namespaces eigentlich "/" (war voreingestellt) eingetragen. Wobei das mit dem Problem evtl. gar nichts zu tun aht? Wenn ich mit Kmail versuche einen Unterordner zu einem bestehenden anzulegen, gibt es eine Fehlermeldung: Zusätzliche Informationen: imap://USER at baikunur.fritz.box :143/INBOX.t//;INFO=ASKUSER Wenn ich per Icedove oder auch eGroupware einen Unterordner anlege, funktioniert es, und Kmail kann diese auch sehen. Allerdings werden die Unterordner auf Dateiebene des Server z.B. als ".INBOX.Test" angelegt. Auf der gleichen Ebene wie auch ".INBOX" kann ich per Kmail auch Ordner anlegen. Mir stellen sich jetzt zwei Fragen: 1. Warum verwendet dovecot doch den "." als Seperator 2. Warum kann Kmail nicht damit umgehen, die anderen EMailclients aber schon 3. Kann man Dubletten essen? Grüße Gregor PS Ich habe dovecot mal auf "." gestellt, dann habe ich aber überhaupt keine Unterordner mehr gesehen,... -- From p.heinlein at heinlein-support.de Fri Oct 8 13:15:21 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 8 Oct 2010 13:15:21 +0200 Subject: [Postfixbuch-users] RBL aufsetzen In-Reply-To: <4CAED30E.4090203@debianfan.de> References: <4CAECAA3.4010605@debianfan.de> <201010081008.04806.p.heinlein@heinlein-support.de> <4CAED30E.4090203@debianfan.de> Message-ID: <201010081315.22063.p.heinlein@heinlein-support.de> Am Freitag, 8. Oktober 2010, 10:15:10 schrieb sebastian: > Ich habe ca 20 Domains übrig, welche normalerweise keine Mails empfangen > - nur Spammer versorgen diese Domains. > > Stichwort - eigene RBL aufsetzen? Da halte ich immer gar nichts davon. Du im Kleinen wirst nie so gut sein, als wenn man es im großen macht. Oder andersrum: Je größer die Datenquelle ist, auf die man zurückgreift, umso besser werden die Ergebnisse. Außerdem sollen ja auch alle davon profitieren. Ich empfehle darum stets: "Spende" diesen Spam an Bert von NiXSpam und laß diesen Spam darum einfach in die NixSpam-Liste einfließen. Damit hast Du keine Arbeit, wir haben alle was davon und Monitoring, Reporting, Lösch-Sachen und alles andere sind geklärt. Man muß nichts neu erfinden, was es schon perfekt auf der Welt gibt. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From voelkers at ppp.net Fri Oct 8 17:31:27 2010 From: voelkers at ppp.net (=?ISO-8859-15?Q?Jan_V=F6lkers?=) Date: Fri, 08 Oct 2010 17:31:27 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab Message-ID: <4CAF394F.3030407@ppp.net> Hallo Liste, nachdem ein LDAP Server abgeraucht ist, hat der davorstehende MX keine Mails mehr angenommen weil der rewrite Prozess komplett hing. Wie kann man das verhindern? Logauszüge: Oct 8 11:35:23 mx postfix/trivial-rewrite[32203]: warning: dict_ldap_connect: Unable to bind to server ldap://XXXX:389 as : -1 (Can't contact LDAP server) [...] Oct 8 11:35:24 mx postfix/master[363]: warning: process /usr/lib/postfix/trivial-rewrite pid 32203 exit status 1 Oct 8 11:35:24 mx postfix/master[363]: warning: /usr/lib/postfix/trivial-rewrite: bad command startup -- throttling [...] Oct 8 11:51:39 mx postfix/master[363]: warning: service "smtp" (25) has reached its process limit "20": new clients may experience noticeabl e delays Konfigauszüge: virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf, ldap:/etc/postfix/XXXX.domains.cf -- virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf, hash:/etc/postfix/spam.cf, ldap:/etc/postfix/XXXX.cf Gruß Jan From Ralf.Hildebrandt at charite.de Fri Oct 8 18:36:26 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 8 Oct 2010 18:36:26 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <4CAF394F.3030407@ppp.net> References: <4CAF394F.3030407@ppp.net> Message-ID: <20101008163626.GB3589@charite.de> * Jan Völkers : > nachdem ein LDAP Server abgeraucht ist, hat der davorstehende MX > keine Mails mehr angenommen weil der rewrite Prozess komplett hing. > Wie kann man das verhindern? Verhindern daß der LDAP Server abraucht (bzw. mehr als einen nutzen) > Oct 8 11:51:39 mx postfix/master[363]: warning: service "smtp" (25) > has reached its process limit "20": new clients may experience > noticeable delays Das könnte auch andere Gründe haben... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From news at amaltea.de Fri Oct 8 20:11:40 2010 From: news at amaltea.de (PV) Date: Fri, 08 Oct 2010 20:11:40 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <4CAF394F.3030407@ppp.net> References: <4CAF394F.3030407@ppp.net> Message-ID: <4CAF5EDC.8010600@amaltea.de> Am 08.10.2010 17:31, schrieb Jan Völkers: > Hallo Liste, > > nachdem ein LDAP Server abgeraucht ist, hat der davorstehende MX keine > Mails mehr angenommen weil der rewrite Prozess komplett hing. Wie kann > man das verhindern? Was genau möchtest Du wissen? Wie man verhindet das LDAP abraucht oder den MX zur Annahme von Mails bewegt? Wenn Du nicht in der Lage bist einen Ersatz-LDAP in Kürze zu aktivieren, könnte vielleicht ein Restore helfen. Wenn Du nicht in der Lage bist ein Backup zurückzuspielen, solltest Du deinen Notfallplan überdenken. ;) Wenn ich mir so deinen Logauszug anschaue, wundert mich schon die Kombination von "LDAP-Connect-Error", "bad command startup" und "smtp process limit". Da ich bei mir selten so einen Fehler sehe, weiß ich nicht, ob es wirklich nur die fehlende Verbindung zum LDAP ist, die den Postfix abschmieren läßt. So ganz genau kenne ich mich leider auch nicht aus, aber hier werden Sie geholfen. :) > > Logauszüge: > Oct 8 11:35:23 mx postfix/trivial-rewrite[32203]: warning: > dict_ldap_connect: Unable to bind to server ldap://XXXX:389 as : -1 > (Can't contact LDAP server) > [...] > Oct 8 11:35:24 mx postfix/master[363]: warning: process > /usr/lib/postfix/trivial-rewrite pid 32203 exit status 1 > Oct 8 11:35:24 mx postfix/master[363]: warning: > /usr/lib/postfix/trivial-rewrite: bad command startup -- throttling > [...] > Oct 8 11:51:39 mx postfix/master[363]: warning: service "smtp" (25) has > reached its process limit "20": new clients may experience noticeabl > e delays > > Konfigauszüge: > virtual_mailbox_domains = > mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf, > ldap:/etc/postfix/XXXX.domains.cf > -- > virtual_mailbox_maps = > mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf, > hash:/etc/postfix/spam.cf, > ldap:/etc/postfix/XXXX.cf Hast Du schon ldap:/etc/postfix/XXXX.cf und ldap:/etc/postfix/XXXX.domains.cf kontrolliert? Du kannst uns helfen Dir zu helfen: postconf -n kommentarfreie master.cf mehr Logs bitte (-v) (wenn anonymisiert, dann bitte sinnvoll und durchgehend) Tipp: Kurzfristig LDAP durch statische Dateien ersetzen. Viele Grüße Paul > > Gruß Jan > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From jogie at quantentunnel.de Fri Oct 8 22:29:09 2010 From: jogie at quantentunnel.de (jogie at quantentunnel.de) Date: Fri, 8 Oct 2010 22:29:09 +0200 Subject: [Postfixbuch-users] OT: www.backports.org is now an official Debian service available at backports.debian.org Message-ID: <01e601cb6727$76cf3e70$646dbb50$@de> Für alle, dies es noch nicht wussten: http://www.debian.org/News/2010/20100905 :-) Schönes Wochenende. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From voelkers at ppp.net Sat Oct 9 16:23:09 2010 From: voelkers at ppp.net (=?ISO-8859-1?Q?Jan_V=F6lkers?=) Date: Sat, 09 Oct 2010 16:23:09 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <20101008163626.GB3589@charite.de> References: <4CAF394F.3030407@ppp.net> <20101008163626.GB3589@charite.de> Message-ID: <4CB07ACD.1010307@ppp.net> > Verhindern daß der LDAP Server abraucht (bzw. mehr als einen nutzen) Da habe ich keinen Einfluss drauf. > Das könnte auch andere Gründe haben... Könnte. Hats aber nicht. Wenn ich den LDAP Eintrag entferne, läuft ja alles. Wenn ich den Zugriff auf mysql blockiere, passiert dasselbe in grün. Rewrite hängt, postfix ist auf 20 Prozesse begrenzt. Client connected sich, Postfix throttled, irgendwann sind die 20 Slots verbraucht. Ich hol mal aus: Der Server ist MX für mehrere Domains, die auf verschiedenen, im Mailrouting dahinter liegenden Servern liegen. Dafür ist ein Routing auch eingetragen Einige sind in mysql konfiguriert, der LDAP ist kürzlich dazugekommen. Nun möchte ich, das Postfix, wenn einer der Auflösungsdienste (mysql,ldap...) hängt, zumindest an die durch die noch laufenden Dienste aufgelösten Adressen weiterreicht. Ist das möglich? Jan From postfixbuch at cboltz.de Sat Oct 9 17:54:07 2010 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sat, 9 Oct 2010 17:54:07 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <4CB07ACD.1010307@ppp.net> References: <4CAF394F.3030407@ppp.net> <20101008163626.GB3589@charite.de> <4CB07ACD.1010307@ppp.net> Message-ID: <201010091754.07707@tux.boltz.de.vu> Hallo Jan, hallo Leute, Am Samstag, 9. Oktober 2010 schrieb Jan Völkers: > Nun möchte ich, das Postfix, wenn einer der Auflösungsdienste > (mysql,ldap...) hängt, zumindest an die durch die noch laufenden > Dienste aufgelösten Adressen weiterreicht. Ist das möglich? Falls das möglich ist (ich weiß es nicht), kann es zu gewissen Nebenwirkungen kommen. AFAIK werden die diversen maps eine nach der anderen durchgegangen - bis ein passender Eintrag gefunden wird. (Falls nicht, wird in einem zweiten Durchlauf nach Catchall-Einträgen gesucht.) Falls Du in MySQL _und_ LDAP aus irgendeinem Grund (Klassiker: rauslöschen vergessen) einen Alias foo at example.com (mit unterschiedlichen Zielen) hast, könnte der Fallback dazu führen, dass plötzlich das Alias-Ziel aus MySQL statt aus LDAP verwendet wird - und die Mail kommt bei jemand anders an als sie sollte. Das will man nicht wirklich. Falls Du Dein Setup ausfallsicher haben willst, mache per Cron einen Dump der Daten aus LDAP, MySQL usw. und binde sie als Textdateien in Postfix ein. Dann ist das einzige Risiko, dass bei einem LDAP-Ausfall die Daten nicht ganz aktuell sind. (In der Praxis aber nichtmal das - wenn der Server down ist, kann eh niemand was ändern *g*) Gruß Christian Boltz -- [Wofür ist Apache nötig?] Webmin bringt auch seinen eigenen Webserver mit. :-) Vielleicht SWAT? Nein warte, der bringt ja auch seinen eigenen... Jetzt hab ich's. Fontlinge. Siehe Signatur. Die brauchen den Apache. :)))) [Ratti in suse-linux] From t.schneider at tms-itdienst.at Sat Oct 9 20:01:31 2010 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Sat, 9 Oct 2010 20:01:31 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?Postfix_l=E4uft--aber_conncti?= =?iso-8859-15?q?on_refused=3F?= Message-ID: <201010092001.38123.t.schneider@tms-itdienst.at> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hi, bekomme auf einen upgedaten Server v.suse 11.1 auf 11.3 ein connection refused vom port 25, obwohl postfix läuft? 25/tcp closed smtp Wie gibts das? Grüße Timm __________________________________________________ TMS IT-DIENST Hinterstadt 2 4840 Vöcklabruck(VB) T: +43 (0720) 501 078 (Per ENUM kostenlos erreichbar) +49 (089) 721010-77792 F: +43 (0720) 501 078-57 Meine Mails werden mit Kaspersky Anti-Virus geprüft! -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.15 (GNU/Linux) iEYEARECAAYFAkywrgEACgkQQPyUWb9RQIgGwQCg3wlRFqv/L7GqPPVMtOySfBdF IoYAoOfq4vGDMu8tksJlrGHnZA5R0cJv =6Vsg -----END PGP SIGNATURE----- From Ralf.Hildebrandt at charite.de Sat Oct 9 20:12:10 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 9 Oct 2010 20:12:10 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <4CB07ACD.1010307@ppp.net> References: <4CAF394F.3030407@ppp.net> <20101008163626.GB3589@charite.de> <4CB07ACD.1010307@ppp.net> Message-ID: <20101009181210.GG29366@charite.de> * Jan Völkers : > >Verhindern daß der LDAP Server abraucht (bzw. mehr als einen nutzen) > > Da habe ich keinen Einfluss drauf. OK! > >Das könnte auch andere Gründe haben... > Könnte. Hats aber nicht. Wenn ich den LDAP Eintrag entferne, läuft ja alles. > Wenn ich den Zugriff auf mysql blockiere, passiert dasselbe in grün. > Rewrite hängt, postfix ist auf 20 Prozesse begrenzt. Client connected > sich, Postfix throttled, irgendwann sind die 20 Slots verbraucht. Naja, ist halt so. Was soll er denn auch machen? Du sagst er soll die und die Maps nutzen und die sind halt nicht da. Da kann man ja nur aufhören. > Einige sind in mysql konfiguriert, der LDAP ist kürzlich > dazugekommen. Nun möchte ich, das Postfix, wenn einer der > Auflösungsdienste (mysql,ldap...) hängt, zumindest an die durch die > noch laufenden Dienste aufgelösten Adressen weiterreicht. Ist das > möglich? Ich würde denken daß dies nur mit multiple Instances möglich wäre (also wenn beispielsweise eine DOmain LDAP nutzt und eine andere SQL, sodaßß eine Instanz SQL macht und eine LDAP). -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Sat Oct 9 20:13:08 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 9 Oct 2010 20:13:08 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Postfix_l=C3=A4uft--aber_connction_?= =?utf-8?q?refused=3F?= In-Reply-To: <201010092001.38123.t.schneider@tms-itdienst.at> References: <201010092001.38123.t.schneider@tms-itdienst.at> Message-ID: <20101009181308.GH29366@charite.de> * Timm M.Schneider : > Hi, > > > bekomme auf einen upgedaten Server v.suse 11.1 auf 11.3 ein connection refused > vom port 25, obwohl postfix läuft? > > 25/tcp closed smtp > > > Wie gibts das? postconf |grep inet_interfaces -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From info at comnetkom.de Sat Oct 9 21:11:19 2010 From: info at comnetkom.de (Thomas Beger) Date: Sat, 9 Oct 2010 21:11:19 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Postfix_l=C3=A4uft--aber_connction_?= =?utf-8?q?refused=3F?= In-Reply-To: <201010092001.38123.t.schneider@tms-itdienst.at> Message-ID: Hi, SuSEfirewall? ----------------ursprüngliche Nachricht----------------- Von: "Timm M.Schneider" t.schneider at tms-itdienst.at An: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." Datum: Sat, 9 Oct 2010 20:01:31 +0200 ------------------------------------------------- > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Hi, > > > bekomme auf einen upgedaten Server v.suse 11.1 auf 11.3 ein connection refused > vom port 25, obwohl postfix läuft? > > 25/tcp closed smtp > > > Wie gibts das? > > Grüße > Timm > __________________________________________________ > TMS IT-DIENST > Hinterstadt 2 > 4840 Vöcklabruck(VB) > T: +43 (0720) 501 078 (Per ENUM kostenlos erreichbar) > +49 (089) 721010-77792 > F: +43 (0720) 501 078-57 > Meine Mails werden mit Kaspersky Anti-Virus geprüft! > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v2.0.15 (GNU/Linux) > > iEYEARECAAYFAkywrgEACgkQQPyUWb9RQIgGwQCg3wlRFqv/L7GqPPVMtOySfBdF > IoYAoOfq4vGDMu8tksJlrGHnZA5R0cJv > =6Vsg > -----END PGP SIGNATURE----- > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > -- Mit freundlichen Grüßen Thomas Beger ComNetKom Inh. Thomas Beger Hauptstraße 10c OT Taubenheim 01665 Triebischtal e-Mail info at comnetkom.de Mobil +49 174 341 054 1 call +49 35245 71304 fax +49 35245 71395 Gerichtsstand Meißen /Sachsen/ Deutschland From t.schneider at tms-itdienst.at Sat Oct 9 22:10:48 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Sat, 09 Oct 2010 22:10:48 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Postfix_l=C3=A4uft--aber_connction_?= =?utf-8?q?refused=3F?= In-Reply-To: References: Message-ID: <4CB0CC48.8000607@tms-itdienst.at> Hi, die suseFirewall ist auf dem Rechner nicht installiert, da dieser von einer externen FW geschützt wird. Das mit dem postconf -n kann ich erst morgen testen, dachte aber das ich das auschließen kann, da in der sysconfig diesbzgl. nichts definiert ist, quasi "", somit sollte er doch auf alle hören? Grüße Timm -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH >> Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users >> From p.heinlein at heinlein-support.de Sat Oct 9 23:07:53 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 9 Oct 2010 23:07:53 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_l=E4uft--aber_connctio?= =?iso-8859-1?q?n_refused=3F?= In-Reply-To: <4CB0CC48.8000607@tms-itdienst.at> References: <4CB0CC48.8000607@tms-itdienst.at> Message-ID: <201010092307.54304.p.heinlein@heinlein-support.de> Am Samstag 09 Oktober 2010 22:10:48 schrieb Timm Schneider: > ich das auschließen kann, da in der sysconfig diesbzgl. nichts > definiert ist, quasi "", somit sollte er doch auf alle hören? Nein, bei SuSE ist das dann inet_interfaces=local Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From t.schneider at tms-itdienst.at Sun Oct 10 01:24:08 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Sun, 10 Oct 2010 01:24:08 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_l=E4uft--aber_connctio?= =?iso-8859-1?q?n_refused=3F?= In-Reply-To: <201010092307.54304.p.heinlein@heinlein-support.de> References: <4CB0CC48.8000607@tms-itdienst.at> <201010092307.54304.p.heinlein@heinlein-support.de> Message-ID: <4CB0F998.6000802@tms-itdienst.at> Am 09.10.2010 23:07, schrieb Peer Heinlein: > Am Samstag 09 Oktober 2010 22:10:48 schrieb Timm Schneider: > >> ich das auschließen kann, da in der sysconfig diesbzgl. nichts >> definiert ist, quasi "", somit sollte er doch auf alle hören? > > Nein, bei SuSE ist das dann inet_interfaces=local > > Peer > Hallo Peer, ja genau, da stand in der mail.cf "localhost", habe es jetzt umgestellt und jetzt läuft es. Bin jetzt extra nochmal ins Büro gefahren und habe die Server umgesteckt. Musste noch das Verzeichnis sasl2 in /var/run anlegen, damit ich diese Mail versenden konnte, bzw. habe ich noch die Übergabe an den Kaspersky abgeschalten, da da ein loop entstanden ist. "To many hops 127.0.0.1" Ich übergebe die Mail über 10025 und sie sollte über 10026 zurückkommen, aber.... Oct 10 01:15:55 lsrv01 postfix/smtp[14337]: 9E96844079: to=, relay=127.0.0.1[127.0.0.1]:10025, conn_use=22, delay=0.53, delays=0.26/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as DFE5244059) Oct 10 01:15:55 lsrv01 postfix/qmgr[14292]: 9E96844079: removed Oct 10 01:15:55 lsrv01 postfix/smtpd[14343]: 2D55444079: client=localhost[127.0.0.1] Oct 10 01:15:55 lsrv01 kav4lms-filters[2685]: app [2983390064] INFO Passing message to scanner: /var/tmp//.kav4lms-3dOJpi/tmp.MlZWVB Oct 10 01:15:55 lsrv01 kav4lms-filters[2685]: app [2983390064] INFO Scanner returned: 32 Oct 10 01:15:55 lsrv01 postfix/cleanup[14336]: 2D55444079: message-id=<4CB0F7A1.1080304 at cpbx.co.at> Oct 10 01:15:55 lsrv01 postfix/qmgr[14292]: 2D55444079: from=, size=22617, nrcpt=1 (queue active) Oct 10 01:15:55 lsrv01 postfix/smtp[14341]: DFE5244059: to=, relay=127.0.0.1[127.0.0.1]:10025, conn_use=16, delay=0.54, delays=0.27/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 2D55444079) Oct 10 01:15:55 lsrv01 postfix/qmgr[14292]: DFE5244059: removed Oct 10 01:15:55 lsrv01 postfix/smtpd[14303]: 709CD44059: client=localhost[127.0.0.1] Oct 10 01:15:55 lsrv01 kav4lms-filters[2685]: app [3000175472] INFO Passing message to scanner: /var/tmp//.kav4lms-3dOJpi/tmp.pFXW6j Oct 10 01:15:55 lsrv01 kav4lms-filters[2685]: app [3000175472] INFO Scanner returned: 32 Oct 10 01:15:55 lsrv01 postfix/cleanup[14336]: 709CD44059: message-id=<4CB0F7A1.1080304 at cpbx.co.at> Oct 10 01:15:55 lsrv01 postfix/qmgr[14292]: 709CD44059: from=, size=22925, nrcpt=1 (queue active) Oct 10 01:15:55 lsrv01 postfix/smtp[14337]: 2D55444079: to=, relay=127.0.0.1[127.0.0.1]:10025, conn_use=23, delay=0.55, delays=0.27/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 709CD44059) Oct 10 01:15:55 lsrv01 postfix/qmgr[14292]: 2D55444079: removed Oct 10 01:15:55 lsrv01 postfix/smtpd[14343]: B3F1944079: client=localhost[127.0.0.1] Oct 10 01:15:55 lsrv01 kav4lms-filters[2685]: app [2983390064] INFO Passing message to scanner: /var/tmp//.kav4lms-3dOJpi/tmp.EqzOL2 Oct 10 01:15:55 lsrv01 kav4lms-filters[2685]: app [2983390064] INFO Scanner returned: 32 Oct 10 01:15:55 lsrv01 postfix/cleanup[14336]: B3F1944079: message-id=<4CB0F7A1.1080304 at cpbx.co.at> Oct 10 01:15:55 lsrv01 postfix/qmgr[14292]: B3F1944079: from=, size=23233, nrcpt=1 (queue active) Oct 10 01:15:56 lsrv01 postfix/smtp[14341]: 709CD44059: to=, relay=127.0.0.1[127.0.0.1]:10025, conn_use=17, delay=0.54, delays=0.27/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as B3F1944079) Oct 10 01:15:56 lsrv01 postfix/qmgr[14292]: 709CD44059: removed Oct 10 01:15:56 lsrv01 postfix/smtpd[14303]: 014F044059: client=localhost[127.0.0.1] Oct 10 01:15:56 lsrv01 kav4lms-filters[2685]: app [3000175472] INFO Passing message to scanner: /var/tmp//.kav4lms-3dOJpi/tmp.HdVJTL Oct 10 01:15:56 lsrv01 kav4lms-filters[2685]: app [3000175472] INFO Scanner returned: 32 Oct 10 01:15:56 lsrv01 postfix/cleanup[14336]: 014F044059: message-id=<4CB0F7A1.1080304 at cpbx.co.at> Oct 10 01:15:56 lsrv01 postfix/qmgr[14292]: 014F044059: from=, size=23541, nrcpt=1 (queue active) Oct 10 01:15:56 lsrv01 postfix/smtp[14337]: B3F1944079: to=, relay=127.0.0.1[127.0.0.1]:10025, conn_use=24, delay=0.54, delays=0.26/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 014F044059) Oct 10 01:15:56 lsrv01 postfix/qmgr[14292]: B3F1944079: removed Oct 10 01:15:56 lsrv01 postfix/smtpd[14343]: 445D844079: client=localhost[127.0.0.1] Oct 10 01:15:56 lsrv01 kav4lms-filters[2685]: app [2983390064] INFO Passing message to scanner: /var/tmp//.kav4lms-3dOJpi/tmp.Ggvpvv Oct 10 01:15:56 lsrv01 kav4lms-filters[2685]: app [2983390064] INFO Scanner returned: 32 Oct 10 01:15:56 lsrv01 postfix/cleanup[14336]: 445D844079: message-id=<4CB0F7A1.1080304 at cpbx.co.at> Oct 10 01:15:56 lsrv01 postfix/qmgr[14292]: 445D844079: from=, size=23849, nrcpt=1 (queue active) Oct 10 01:15:56 lsrv01 postfix/smtp[14341]: 014F044059: to=, relay=127.0.0.1[127.0.0.1]:10025, conn_use=18, delay=0.55, delays=0.27/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 445D844079) Oct 10 01:15:56 lsrv01 postfix/qmgr[14292]: 014F044059: removed Hier noch die master.ccf # # Postfix master process configuration file. For details on the format # of the file, see the Postfix master(5) manual page. # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (50) # ========================================================================== smtp inet n - n - - smtpd #submission inet n - n - - smtpd #<----->-o smtpd_etrn_restrictions=reject #<----->-o smtpd_client_restrictions=permit_sasl_authenticated,reject #smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes # -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes #submission inet n - n - - smtpd # -o smtpd_etrn_restrictions=reject # -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes #628 inet n - n - - qmqpd pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - n 300 1 oqmgr #tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - n - - smtp #mailman unix - n n - - pipe # flags=FR user=list argv=/usr/lib/mailman/bin/ # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix - - n - - smtp <------>-o fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - n - - showq error unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil #localhost:10025 inet<->n<----->-<----->n<----->-<----->-<----->smtpd -o content_filter= scache<> unix<>-<----->-<----->n<----->-<----->1<----->scache # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient} cyrus<-> unix<>-<----->n<----->n<----->-<----->-<----->pipe user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user} uucp<--> unix<>-<----->n<----->n<----->-<----->-<----->pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient procmail unix - n n - - pipe flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient} retry<-> unix<>-<----->-<----->n<----->-<----->-<----->error proxywrite unix>-<----->-<----->n<----->-<----->1<----->proxymap #kav4lms-filter-begin kav4lms_filter unix - - n - 10 smtp # -o smtp_send_xforward_command=yes 127.0.0.1:10026 inet n - n - 10 smtpd # -o content_filter= # -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings # -o smtpd_helo_restrictions= -o smtpd_client_restrictions= # -o smtpd_sender_restrictions= # -o smtpd_recipient_restrictions=permit_mynetworks,reject # -o mynetworks=127.0.0.0/8,[::1]/128 -o smtpd_authorized_xforward_hosts=127.0.0.0/8,[::1]/128 #kav4lms-filter-end Danke und Grüße Timm From news at amaltea.de Sun Oct 10 09:23:05 2010 From: news at amaltea.de (PV) Date: Sun, 10 Oct 2010 09:23:05 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <20101009181210.GG29366@charite.de> References: <4CAF394F.3030407@ppp.net> <20101008163626.GB3589@charite.de> <4CB07ACD.1010307@ppp.net> <20101009181210.GG29366@charite.de> Message-ID: <4CB169D9.5090609@amaltea.de> Am 09.10.2010 20:12, schrieb Ralf Hildebrandt: > * Jan Völkers : >>> Verhindern daß der LDAP Server abraucht (bzw. mehr als einen nutzen) >> >> Da habe ich keinen Einfluss drauf. > > OK! > >>> Das könnte auch andere Gründe haben... > >> Könnte. Hats aber nicht. Wenn ich den LDAP Eintrag entferne, läuft ja alles. >> Wenn ich den Zugriff auf mysql blockiere, passiert dasselbe in grün. >> Rewrite hängt, postfix ist auf 20 Prozesse begrenzt. Client connected >> sich, Postfix throttled, irgendwann sind die 20 Slots verbraucht. > > Naja, ist halt so. Was soll er denn auch machen? Du sagst er soll die > und die Maps nutzen und die sind halt nicht da. > > Da kann man ja nur aufhören. Kann man Postfix dazu bewegen ein 450 auszugeben, statt in die Knie zu gehen? > >> Einige sind in mysql konfiguriert, der LDAP ist kürzlich >> dazugekommen. Nun möchte ich, das Postfix, wenn einer der >> Auflösungsdienste (mysql,ldap...) hängt, zumindest an die durch die >> noch laufenden Dienste aufgelösten Adressen weiterreicht. Ist das >> möglich? > > Ich würde denken daß dies nur mit multiple Instances möglich wäre > (also wenn beispielsweise eine DOmain LDAP nutzt und eine andere SQL, > sodaßß eine Instanz SQL macht und eine LDAP). > Viele Grüße Paul From news at amaltea.de Sun Oct 10 09:25:12 2010 From: news at amaltea.de (PV) Date: Sun, 10 Oct 2010 09:25:12 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_l=E4uft--aber_connctio?= =?iso-8859-1?q?n_refused=3F?= In-Reply-To: <201010092001.38123.t.schneider@tms-itdienst.at> References: <201010092001.38123.t.schneider@tms-itdienst.at> Message-ID: <4CB16A58.9090107@amaltea.de> Am 09.10.2010 20:01, schrieb Timm M.Schneider: > Hi, > > > bekomme auf einen upgedaten Server v.suse 11.1 auf 11.3 ein connection refused > vom port 25, obwohl postfix läuft? > > 25/tcp closed smtp > > > Wie gibts das? Firewall schon geprüft? > > Grüße > Timm > __________________________________________________ > TMS IT-DIENST > Hinterstadt 2 > 4840 Vöcklabruck(VB) > T: +43 (0720) 501 078 (Per ENUM kostenlos erreichbar) > +49 (089) 721010-77792 > F: +43 (0720) 501 078-57 > Meine Mails werden mit Kaspersky Anti-Virus geprüft! -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From Ralf.Hildebrandt at charite.de Sun Oct 10 10:07:03 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 10 Oct 2010 10:07:03 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <4CB169D9.5090609@amaltea.de> References: <4CAF394F.3030407@ppp.net> <20101008163626.GB3589@charite.de> <4CB07ACD.1010307@ppp.net> <20101009181210.GG29366@charite.de> <4CB169D9.5090609@amaltea.de> Message-ID: <20101010080703.GD17680@charite.de> * PV : > Kann man Postfix dazu bewegen ein 450 auszugeben, statt in die Knie zu > gehen? Ich bin sehr sicher, daß diese Art von Fehler dem CLient einen temporären Fehlercode zurückgibt! Ist bei jeder Art von Configfehler so. Andere Idee: Du könntest eine lokale Replik z.B. vom LDAP und/oderSQL Server haben, die Du abfragst. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From voelkers at ppp.net Sun Oct 10 10:08:47 2010 From: voelkers at ppp.net (=?ISO-8859-1?Q?Jan_V=F6lkers?=) Date: Sun, 10 Oct 2010 10:08:47 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <20101009181210.GG29366@charite.de> References: <4CAF394F.3030407@ppp.net> <20101008163626.GB3589@charite.de> <4CB07ACD.1010307@ppp.net> <20101009181210.GG29366@charite.de> Message-ID: <4CB1748F.4020603@ppp.net> Am 09.10.2010 20:12, schrieb Ralf Hildebrandt: > Ich würde denken daß dies nur mit multiple Instances möglich wäre > (also wenn beispielsweise eine DOmain LDAP nutzt und eine andere SQL, > sodaßß eine Instanz SQL macht und eine LDAP). > Örks. Ich richte mir in Nagios einen smtp delivery check ein. Schade: Eigentlich sollte dies der Prototyp eines filternden MX für *viele* Mailstore Server sein. Dann müssen die Kunden halt weiterhin ihre Adresslisten manuell pflegen. Gruß Jan From p.heinlein at heinlein-support.de Sun Oct 10 10:35:33 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 10 Oct 2010 10:35:33 +0200 Subject: [Postfixbuch-users] Kaputter LDAP: rewrite schmiert komplett ab In-Reply-To: <4CB169D9.5090609@amaltea.de> References: <4CAF394F.3030407@ppp.net> <20101009181210.GG29366@charite.de> <4CB169D9.5090609@amaltea.de> Message-ID: <201010101035.33847.p.heinlein@heinlein-support.de> Am Sonntag 10 Oktober 2010 09:23:05 schrieb PV: > > Naja, ist halt so. Was soll er denn auch machen? Du sagst er soll > > die und die Maps nutzen und die sind halt nicht da. > > > > Da kann man ja nur aufhören. > > Kann man Postfix dazu bewegen ein 450 auszugeben, statt in die Knie > zu gehen? Nein, denn das würde so keinen Sinn ergeben. Postfix "wartet" ja auf das Erscheinen seiner DB. Prinzipiell kann die ja auch wieder auftauchen -- beispielsweise weil MySQL oder LDAP wieder verfügbar ist. Dann würde er ja auch weitermachen. Abbrechen macht aus Sicht von Postfix keinen Sinn -- er würde ja auch keine Resourcen freikriegen um mit anderen Mails weiterzumachen, da ja JEDE Mail hier gegen die Wand fährt. Also dranbleiben und schauen, daß dadraus noch was wird. Umgekehrt ist es Sache es einliefernden (!) Clients zu entscheiden, ab wann die Warterei für ihn genug ist und er das für sich als temporären Fehler wertet. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From t.schneider at tms-itdienst.at Sun Oct 10 10:41:46 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Sun, 10 Oct 2010 10:41:46 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_l=E4uft--aber_connctio?= =?iso-8859-1?q?n_refused=3F?= In-Reply-To: <4CB16A58.9090107@amaltea.de> References: <201010092001.38123.t.schneider@tms-itdienst.at> <4CB16A58.9090107@amaltea.de> Message-ID: <4CB17C4A.8000202@tms-itdienst.at> Schönen Sonntag, ja, bzw. die ist garnicht installiert. Dieser Punkt ist auch schon behoben, da die config durch das Update anscheinend verändert wurde, war bei INET_INTERFACES localhost gestanden. Allerdings habe ich nunr das Problem das Postfix im Kreis läuft und zwar durch den Kaspersky. Normalerweise ist es doch so das Postfix die angenommene Mail über Port 10025 zu kav verlagert, anschließend kav die gescannte Mail wieder über Port 10026 zurück an Postfix sendet, damit eben kein Loop entsteht, aber das genau passiert. Aber warum, wo kann ich ansetzen? Grüße Timm From hostmaster at taunusstein.net Sun Oct 10 10:48:24 2010 From: hostmaster at taunusstein.net (Christian Felsing) Date: Sun, 10 Oct 2010 10:48:24 +0200 Subject: [Postfixbuch-users] policyd Version2 oder Version1 ? Message-ID: <4CB17DD8.1020704@taunusstein.net> Hallo, bisher setze ich den Policyd Version 1.80 (debian Paket) ein, der auch gute Dienste leistet. Im Rahmen eines größeren System Upgrades stellt sich nun die Frage, ob Policyd Version 2 eingesetzt werden soll. Ein Studium der Dokumentation auf der Homepage war allerdings nicht sehr ermutigend, so gibt es nicht einmal einen Hinweis darauf, wie man z.B. Access Controls konfiguriert. Es wird zwar beschrieben, dass man da etwas konfigurieren kann, aber nicht wie man das macht. Hier das Config File, das grundsätzlich auch funktioniert: # # Server configuration # [server] # Protocols to load protocols=< References: <201010092001.38123.t.schneider@tms-itdienst.at> <4CB16A58.9090107@amaltea.de> Message-ID: <4CB18624.7030303@tms-itdienst.at> Hallo, Update: Habe eine Mail per Telnet auf Port 10026 gesendet, das hat funktioniert, kav bekommt den über 10025 auch, das sieht man in den Logs, aber es scheint so als ob kav den dann wieder auf 25 zurückgibt. In der conf von kav steht aber 10026 drin, hm. Wo kann der Fehler noch sein? Grüße Timm From pelegrine at gmx.net Sun Oct 10 11:47:11 2010 From: pelegrine at gmx.net (T. Ermlich) Date: Sun, 10 Oct 2010 11:47:11 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_l=E4uft--aber_connctio?= =?iso-8859-1?q?n_refused=3F?= In-Reply-To: <4CB18624.7030303@tms-itdienst.at> References: <201010092001.38123.t.schneider@tms-itdienst.at> <4CB16A58.9090107@amaltea.de> <4CB18624.7030303@tms-itdienst.at> Message-ID: <4CB18B9F.9030401@gmx.net> Timm Schneider schrieb am 10.10.2010 11:23: > Hallo, > > Update: Habe eine Mail per Telnet auf Port 10026 gesendet, das hat > funktioniert, kav bekommt den über 10025 auch, das sieht man in den > Logs, aber es scheint so als ob kav den dann wieder auf 25 zurückgibt. > In der conf von kav steht aber 10026 drin, hm. > Wo kann der Fehler noch sein? Ohne die Konfig zu kennen wird es wohl eher schwer ... Prüfe doch mal ob die Konfig in den Grundzügen den Empfehlungen seitens Kaspersky entspricht: http://support.kaspersky.com/faq/?qid=197684673 > Grüße > Timm From alois.kratochwill at wdns.at Sun Oct 10 11:47:04 2010 From: alois.kratochwill at wdns.at (Alois Kratochwill | WDNS.at) Date: Sun, 10 Oct 2010 11:47:04 +0200 Subject: [Postfixbuch-users] policyd Version2 oder Version1 ? In-Reply-To: <4CB17DD8.1020704@taunusstein.net> Message-ID: <20101010094852.8F63A3F60D4@lobos.wdns.at> Hi, > Hallo, > > bisher setze ich den Policyd Version 1.80 (debian Paket) ein, der auch > gute Dienste leistet. Im Rahmen eines größeren System Upgrades stellt > sich nun die Frage, ob Policyd Version 2 eingesetzt werden soll. > Ein Studium der Dokumentation auf der Homepage war allerdings nicht sehr > ermutigend, so gibt es nicht einmal einen Hinweis darauf, wie man z.B. > Access Controls konfiguriert. Es wird zwar beschrieben, dass man da > etwas konfigurieren kann, aber nicht wie man das macht. > Hier das Config File, das grundsätzlich auch funktioniert: hab am Freitag bei einer Umstellung von Dovecot 1.1+ Debian Backports auch den Postfix-policyd auf die letzte Version 1.80-2.3 Lenny stable hochgerüstet. Leider schlägt der erste Oustandig-Bug #525191 in unregelmäßigen Abständen zu: http://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=postfix-policyd;dist=unstable Postfix-policyd - kein stopp/start/restart möglich. Kannst nur deine Restrictions ändern und Postfix ohne Policyd fahren oder einen reboot durchführen. Wenn BLACKLISTING=1 dann BLACKLISTDNSNAME=1 [?] dann schwirrt das Ding noch öfter ab. Hab momentan nur Postgrey am laufen. Funktioniert soweit, bis auf die Fehlermeldung beim stop/restart und die Ausgabe beim Report (falls notwendig). http://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=postgrey;dist=unstable Vor Kurzem wurde hier das Gerücht verbreitet, Debian patche keine Bugs, schön langsam glaube ich schon daran ;-D Fazit: Wenn Lenny kein Policyd mehr. Just my 2 cents Alois From t.schneider at tms-itdienst.at Sun Oct 10 11:56:09 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Sun, 10 Oct 2010 11:56:09 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_l=E4uft--aber_connctio?= =?iso-8859-1?q?n_refused=3F?= In-Reply-To: <4CB18B9F.9030401@gmx.net> References: <201010092001.38123.t.schneider@tms-itdienst.at> <4CB16A58.9090107@amaltea.de><4CB18624.7030303@tms-itdienst.at> <4CB18B9F.9030401@gmx.net> Message-ID: <4CB18DB9.3020407@tms-itdienst.at> > Ohne die Konfig zu kennen wird es wohl eher schwer ... > Prüfe doch mal ob die Konfig in den Grundzügen den Empfehlungen seitens > Kaspersky entspricht: http://support.kaspersky.com/faq/?qid=197684673 > Hi, habe mir die Anleitung von kav gesaugt und durchgelesen(Abschnitt integration Postfix, und dabei festgestellt, das ab Postfix 2.3 das Flag "no_milters" hinzugefügt werden muß wenn ein lokaler Socket verwendet wird, das habe ich gemacht und jetzt geht es. Es könnte sein das unter Suse 11.1 noch Postfix 2.2 lief. Jetzt ist die Mail wieder gescannt. Grüße Timm From alois.kratochwill at wdns.at Sun Oct 10 12:00:30 2010 From: alois.kratochwill at wdns.at (Alois Kratochwill | WDNS.at) Date: Sun, 10 Oct 2010 12:00:30 +0200 Subject: [Postfixbuch-users] policyd Version2 oder Version1 ? In-Reply-To: <20101010094852.8F63A3F60D4@lobos.wdns.at> Message-ID: <20101010100219.096343F60D4@lobos.wdns.at> >Hi, >> Hallo, >> >> bisher setze ich den Policyd Version 1.80 (debian Paket) ein, der auch >> gute Dienste leistet. Im Rahmen eines größeren System Upgrades stellt >> sich nun die Frage, ob Policyd Version 2 eingesetzt werden soll. >> Ein Studium der Dokumentation auf der Homepage war allerdings nicht sehr >> ermutigend, so gibt es nicht einmal einen Hinweis darauf, wie man z.B. >> Access Controls konfiguriert. Es wird zwar beschrieben, dass man da >> etwas konfigurieren kann, aber nicht wie man das macht. >> Hier das Config File, das grundsätzlich auch funktioniert: >hab am Freitag bei einer Umstellung von Dovecot 1.1+ Debian Backports auch den >Postfix-policyd auf die letzte Version 1.80-2.3 Lenny stable hochgerüstet. .... > Wenn BLACKLISTING=1 dann BLACKLISTDNSNAME=1 [?] dann schwirrt das Ding noch Korrektur: Wenn BLACKLISTING=1 "UND" BLACKLISTDNSNAME=1 dann schwirrt das Ding noch öfter ab. Alois -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From hostmaster at taunusstein.net Sun Oct 10 13:24:37 2010 From: hostmaster at taunusstein.net (Christian Felsing) Date: Sun, 10 Oct 2010 13:24:37 +0200 Subject: [Postfixbuch-users] policyd Version2 oder Version1 ? In-Reply-To: <20101010094852.8F63A3F60D4@lobos.wdns.at> References: <20101010094852.8F63A3F60D4@lobos.wdns.at> Message-ID: <4CB1A275.4060201@taunusstein.net> Bei mir läuft 1.80-2.3 Lenny einwandfrei, allerdings ist Blacklisting da abgeschaltet, das passiert bei mir an anderer Stelle. Das produktive System werde ich da auch nicht mehr anfassen. Die Migration auf Policyd 1.82 (FreeBSD Paket) auf dem Testsystem hat erst einmal funktioniert, jetzt muss ich noch sehen, ob ich irgendwie noch die Version2 sinnvoll zum Laufen bekomme. Die Policies muss man über ein WebGUI konfigurieren - naja mit PHP auf einer Admin Kiste kann man notfalls leben. Das FreeBSD 8.1 Postfix Paket ist unbrauchbar, alles wichtige (z.B. LDAP) fehlt :-/ Daher war neu compilieren angesagt, der Postfix 2.7.1 macht aber viel Spaß. Zusammen mit Dovecot 2.x und policyd-weight war die Migration auf FreeBSD relativ schmerzfrei. Amavis 2.7.0-pre7 wurde wegen dem Avira installiert, da soll jetzt das savapi endlich funktionieren, dafür scheint der Razor nicht mehr zu wollen. Eine Änderung der Zeile 5800 in amavisd von die "Unexpected file $fname" if $f ne 'email.txt'; in die "Unexpected file $fname" if (($f ne 'email.txt') and ($f ne 'razor-agent.log')); brachte zunächst mal Abhilfe, weil der Razor seine Logs nicht mehr in /var/log/ sondern in /var/lib/amavis/tmp/amavis-.../razor-agent.log ablegt. K.A. warum das so ist. Das Logfile braucht er wohl eh nicht. Viele Grüße Christian Am 10.10.2010 11:47, schrieb Alois Kratochwill | WDNS.at: > hab am Freitag bei einer Umstellung von Dovecot 1.1+ Debian Backports auch den > Postfix-policyd auf die letzte Version 1.80-2.3 Lenny stable hochgerüstet. From christian.garling at cg-networks.de Mon Oct 11 09:23:31 2010 From: christian.garling at cg-networks.de (Christian Garling) Date: Mon, 11 Oct 2010 09:23:31 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?=5BOT=5D_=C4nderung_des_PWs_b?= =?iso-8859-15?q?ei_dovecot_userdb_durch_den_Benutzer?= Message-ID: <4CB2BB73.9060903@cg-networks.de> Guten Morgen zusammen, aktuell nutze ich auf unserem Mailsystem die Dovecot eigene userdb zum authentifizieren der Benutzer. Gibt es hierbei eine Möglichkeit, dass der Benutzer selbst sein Kennwort ändern kann? Ich kenne es nur so, dass ich als Admin den Kennwort-Hash in die userdb eintrage. Gruß, Christian From bjoern.meier at googlemail.com Mon Oct 11 18:12:49 2010 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Mon, 11 Oct 2010 18:12:49 +0200 Subject: [Postfixbuch-users] Header_checks und body_checks Message-ID: Hi, egal, was ich in header_checks auch für pcres eintrage immer scheinen body_checks vorrang zu haben. Sehe ich das korrekt? Gruß, Björn From mailinglisten at it-blog.net Mon Oct 11 18:22:00 2010 From: mailinglisten at it-blog.net (Pascal) Date: Mon, 11 Oct 2010 18:22:00 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?Passw=F6rter_in_Dovecot?= Message-ID: <4CB339A8.7060001@it-blog.net> Hallo! Ich verwende Dovecot 1.2.9 für dem IMAP-Zugriff auf die Postfächer. Dazu habe ich mittels "dovecotpw" die in die Datenbank einzutragenden Passwort-Strings (z.B. '{CRAM-MD5}af4ac6c9512d5103356e906f215c340340075a679f1821b327b34292f4ffc194') generiert. Ich möchte das Anlegen neuer Postfächer nun automatisieren. Dabei soll der String jedoch möglichst nicht durch dieses Tool sondern direkt in meinem Skript generiert werden. Als ich mir nun einmal angeschaut habe, was eigentlich hinter CRAM-MD5 steckt, hat sich mir die Frage aufgedrängt, wie Dovecot die vom Client übermittelte Response (und damit das Passwort) verifizieren kann, wenn in der Datenbank das Passwort nicht im Klartext, sondern in der oben genannten Form steht. Meinem bisheringen Verständnis von CRAM-MD5 zufolge kann dies dann eigentlich nur möglich sein, wenn aus dem String in der Datenbank das Passwort ermittelt werden kann. Falls dem so ist, könnte man allerdings eigentlich gleich direkt das Passwort im Klartext in der Datenbank speichern. Ich hoffe, ihr könnt mir folgende Fragen diesbezüglich beantworten: 1) Gibt es eine Möglichkeit, auch ohne "dovecotpw" den Passwort-String zu generieren? Wenn ja, wie ist dies möglich? 2) Was hat es mit diesem Passwort-String genau auf sich, lässt sich aus diesem Tatsächlich das Klartext-Passwort ermitteln? - Wenn ja, warum trägt man dieses dann nicht einfach direkt in die Datenbank ein? - Wenn nein, wie lässt sich damit dann die vom Client übermittelte Response verifizieren? Vielen Dank! MfG Pascal From p.heinlein at heinlein-support.de Mon Oct 11 18:40:00 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 11 Oct 2010 18:40:00 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Passw=F6rter_in_Dovecot?= In-Reply-To: <4CB339A8.7060001@it-blog.net> References: <4CB339A8.7060001@it-blog.net> Message-ID: <201010111840.01244.p.heinlein@heinlein-support.de> Am Montag 11 Oktober 2010 18:22:00 schrieb Pascal: Moin, > Als ich mir nun einmal angeschaut habe, was eigentlich hinter > CRAM-MD5 steckt, hat sich mir die Frage aufgedrängt, wie Dovecot die > vom Client übermittelte Response (und damit das Passwort) > verifizieren kann, wenn in der Datenbank das Passwort nicht im > Klartext, sondern in der oben genannten Form steht. Meinem Richtig. Das, was Du als CRAM-MD5 bezeichnest ist genauer übrigens ein "HMAC- MD5". CRAM-MD5 ist das Procedere, HMAC-MD5 ist der Hash, den Du da vor Dir hast. > bisheringen Verständnis von CRAM-MD5 zufolge kann dies dann > eigentlich nur möglich sein, wenn aus dem String in der Datenbank > das Passwort ermittelt werden kann. Nicht ganz. :-) Es gibt noch einen Plan-B. Aber prinzipiell hast Du recht und das zeigt, daß Du das Problem völlig korrekt verstanden und durchdacht hast. > Falls dem so ist, könnte man > allerdings eigentlich gleich direkt das Passwort im Klartext in der > Datenbank speichern. Das sowieso, damit renne ich seit jeher durch die Gegend und versuche zu vermitteln, daß gehashte Passwörter unsicher und Klartextpasswörter sicher sind. > 1) Gibt es eine Möglichkeit, auch ohne "dovecotpw" den > Passwort-String zu generieren? Wenn ja, wie ist dies möglich? Naja, mit irgendeinem Code halt, der HMAC-MD5 erzeugt. > 2) Was hat es mit diesem Passwort-String genau auf sich, lässt sich > aus diesem Tatsächlich das Klartext-Passwort ermitteln? Nein. > - Wenn nein, wie lässt sich damit dann die vom Client > übermittelte Response verifizieren? Weil der HMAC-MD5-Hash ein Zwischenschritt vor dem eigentlichen "CRAM" ist. Client: Aus "geheim" macht er zunächst einen HMAC-MD5-Hash und benutzt diesen (!) quasi als Klartextpasswort. Mit dem Hash (!) rechnet der jetzt die Challence durch um das Response zu bekommen (CRAM). Server: Der Client hat bereits einen HMAC-MD5-Hash, mit diesem rechnet der jetzt seinerseits Challenge zu Response. Für ihn entfällt der erste Hash-Schritt, aber Ausgangsbasis für das CRAM ist immer auf beiden Seiten der Hash. Das bedeutet aber: Jeder, der den HMAC-MD5-Hash hat, kann sich damit mittels CRAM-MD5 anmelden. Wer glaubt, er müsse auf seine angeblich sicher gehashten Passwörter darum nicht mehr so aufpassen, unterliegt also einem schwerwiegenden Irrtum. Ob Klartext oder HMAC-MD5-Hash ist IMHO egal. Der ist quasi genauso wertvoll wie das Klartextpasswort selbst -- allerdings kann man sich damit nicht mehr bei Klartextverfahren wie einer Web-GUI anmelden, insofern, ja, gibt es einen klitzekleinen Vorteil. Andererseits kann man mit einem HMAC-MD5-Hash nun keine sicheren Methoden mehr wie CRAM-SHA256 o.ä. durchführen -- denn dazu bräuchte man entweder das Klartextpasswort oder eben bereits einen HMAC-SHA256-Hash. Das bedeutet: Wenn man die Hashes speichert ist einem der Weg in die Zukunft zu sicheren/besseren Hash-Methoden verbaut und man kann gegenüber dem Client nun auch nicht mehr "*" anbieten, sondern eben nur PLAIN, Login und CRAM-MD5 und das war's dann. Und aus diesem Grunde halte ich Klartextpasswörter für eigentlich sicher. Und vor dem Admin braucht man das Passwort eh nicht verstecken. Ich kann alle Mails lesen, sogar mit Inhalt. Wozu interessiert mich das PW. Ich könnte ja sogar einen eigenen Hash setzen, die Mails abrufen und dann den Orginal-Hash wieder einsetzen -- und keiner würde es merken. Vor dem Admin etwas verbergen zu wollen ist also Unsinn. Darum muß man die Methoden nehmen, die höchstmögliche Sicherheit bei der Übertragung der PWs durch die Weiten des Internets bietet. Und das sind Klartextpasswörter als Ausgangsbasis für beliebige CRAM-Verfahren. Peer P.S.: Zwischen MD5 und HMAC-MD5 besteht übrigens ein Unterschied. Das wird gerne für identisch gehalten und dann wundern sich die Leuten, wenn das nicht geht. :-) Wer nur MD5 hat, der kann damit auch kein CRAM-MD5 mehr anbieten. Details habe ich dazu aber auch wieder vergessen. -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From mailinglisten at it-blog.net Mon Oct 11 21:00:08 2010 From: mailinglisten at it-blog.net (Pascal Uhlmann) Date: Mon, 11 Oct 2010 21:00:08 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Passw=F6rter_in_Dovecot?= In-Reply-To: <201010111840.01244.p.heinlein@heinlein-support.de> References: <4CB339A8.7060001@it-blog.net> <201010111840.01244.p.heinlein@heinlein-support.de> Message-ID: <2B5E9687B8C44B42B8BAE993728EF5F6@pascalpc> Hallo Peer, danke für deine ausführliche Antwort. Sowas in der Art hatte ich eigentlich schon fast vermutet. Prinzipiell hielte ich es auch für sinnvoller, die Passwörter im Klartext zu speichern, da man dann eben - wie du ja bereits sagtest - alle unterstützten Authentifizierungsmechanismen verwenden kann. Es war eben der ausdrückliche Wunsch des Kunden, aber vielleicht lässt er sich ja nun unter diesen Umständen doch überzeugen, die Passwörter im Klartext in der Datenbank abzulegen. Danke nochmals! Pascal Uhlmann =================================== Internet: www.it-blog.net -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein Gesendet: Montag, 11. Oktober 2010 18:40 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Passwörter in Dovecot Am Montag 11 Oktober 2010 18:22:00 schrieb Pascal: Moin, > Als ich mir nun einmal angeschaut habe, was eigentlich hinter > CRAM-MD5 steckt, hat sich mir die Frage aufgedrängt, wie Dovecot die > vom Client übermittelte Response (und damit das Passwort) > verifizieren kann, wenn in der Datenbank das Passwort nicht im > Klartext, sondern in der oben genannten Form steht. Meinem Richtig. Das, was Du als CRAM-MD5 bezeichnest ist genauer übrigens ein "HMAC- MD5". CRAM-MD5 ist das Procedere, HMAC-MD5 ist der Hash, den Du da vor Dir hast. > bisheringen Verständnis von CRAM-MD5 zufolge kann dies dann > eigentlich nur möglich sein, wenn aus dem String in der Datenbank das > Passwort ermittelt werden kann. Nicht ganz. :-) Es gibt noch einen Plan-B. Aber prinzipiell hast Du recht und das zeigt, daß Du das Problem völlig korrekt verstanden und durchdacht hast. > Falls dem so ist, könnte man > allerdings eigentlich gleich direkt das Passwort im Klartext in der > Datenbank speichern. Das sowieso, damit renne ich seit jeher durch die Gegend und versuche zu vermitteln, daß gehashte Passwörter unsicher und Klartextpasswörter sicher sind. > 1) Gibt es eine Möglichkeit, auch ohne "dovecotpw" den > Passwort-String zu generieren? Wenn ja, wie ist dies möglich? Naja, mit irgendeinem Code halt, der HMAC-MD5 erzeugt. > 2) Was hat es mit diesem Passwort-String genau auf sich, lässt sich > aus diesem Tatsächlich das Klartext-Passwort ermitteln? Nein. > - Wenn nein, wie lässt sich damit dann die vom Client > übermittelte Response verifizieren? Weil der HMAC-MD5-Hash ein Zwischenschritt vor dem eigentlichen "CRAM" ist. Client: Aus "geheim" macht er zunächst einen HMAC-MD5-Hash und benutzt diesen (!) quasi als Klartextpasswort. Mit dem Hash (!) rechnet der jetzt die Challence durch um das Response zu bekommen (CRAM). Server: Der Client hat bereits einen HMAC-MD5-Hash, mit diesem rechnet der jetzt seinerseits Challenge zu Response. Für ihn entfällt der erste Hash-Schritt, aber Ausgangsbasis für das CRAM ist immer auf beiden Seiten der Hash. Das bedeutet aber: Jeder, der den HMAC-MD5-Hash hat, kann sich damit mittels CRAM-MD5 anmelden. Wer glaubt, er müsse auf seine angeblich sicher gehashten Passwörter darum nicht mehr so aufpassen, unterliegt also einem schwerwiegenden Irrtum. Ob Klartext oder HMAC-MD5-Hash ist IMHO egal. Der ist quasi genauso wertvoll wie das Klartextpasswort selbst -- allerdings kann man sich damit nicht mehr bei Klartextverfahren wie einer Web-GUI anmelden, insofern, ja, gibt es einen klitzekleinen Vorteil. Andererseits kann man mit einem HMAC-MD5-Hash nun keine sicheren Methoden mehr wie CRAM-SHA256 o.ä. durchführen -- denn dazu bräuchte man entweder das Klartextpasswort oder eben bereits einen HMAC-SHA256-Hash. Das bedeutet: Wenn man die Hashes speichert ist einem der Weg in die Zukunft zu sicheren/besseren Hash-Methoden verbaut und man kann gegenüber dem Client nun auch nicht mehr "*" anbieten, sondern eben nur PLAIN, Login und CRAM-MD5 und das war's dann. Und aus diesem Grunde halte ich Klartextpasswörter für eigentlich sicher. Und vor dem Admin braucht man das Passwort eh nicht verstecken. Ich kann alle Mails lesen, sogar mit Inhalt. Wozu interessiert mich das PW. Ich könnte ja sogar einen eigenen Hash setzen, die Mails abrufen und dann den Orginal-Hash wieder einsetzen -- und keiner würde es merken. Vor dem Admin etwas verbergen zu wollen ist also Unsinn. Darum muß man die Methoden nehmen, die höchstmögliche Sicherheit bei der Übertragung der PWs durch die Weiten des Internets bietet. Und das sind Klartextpasswörter als Ausgangsbasis für beliebige CRAM-Verfahren. Peer P.S.: Zwischen MD5 und HMAC-MD5 besteht übrigens ein Unterschied. Das wird gerne für identisch gehalten und dann wundern sich die Leuten, wenn das nicht geht. :-) Wer nur MD5 hat, der kann damit auch kein CRAM-MD5 mehr anbieten. Details habe ich dazu aber auch wieder vergessen. -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From p.heinlein at heinlein-support.de Mon Oct 11 21:05:36 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 11 Oct 2010 21:05:36 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Passw=F6rter_in_Dovecot?= In-Reply-To: <2B5E9687B8C44B42B8BAE993728EF5F6@pascalpc> References: <4CB339A8.7060001@it-blog.net> <201010111840.01244.p.heinlein@heinlein-support.de> <2B5E9687B8C44B42B8BAE993728EF5F6@pascalpc> Message-ID: <201010112105.36191.p.heinlein@heinlein-support.de> Am Montag 11 Oktober 2010 21:00:08 schrieb Pascal Uhlmann: Moin, > Authentifizierungsmechanismen verwenden kann. Es war eben der > ausdrückliche Wunsch des Kunden, aber vielleicht lässt er sich ja Vergib ihnen, denn sie wissen nicht, was sie tun. > nun unter diesen Umständen doch überzeugen, die Passwörter im > Klartext in der Datenbank abzulegen. Meine Antwort ist darauf immer: HMAC-Hashes *** SIND *** Klartextpasswörter. Ich kann sie -- so wie sie da sind -- benutzen, um mich damit einzuloggen. Insofern lautet das Ergebnis folgerichtig: Dein Kunde *** HAT *** den ausdrücklichen Wunsch, Klartextpasswörter zu speichern. Das muß er nur noch kapieren, damit man sich weiter mit ihm unterhalten kann. Die Frage ist jetzt also nur noch: In welcher Form will er sein Klartextpasswort haben? Als HMAC oder Clear? Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixbuch-users at gmj.cjb.net Mon Oct 11 21:13:51 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 11 Oct 2010 21:13:51 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Passw=C3=B6rter_in_Dovecot?= In-Reply-To: <201010112105.36191.p.heinlein@heinlein-support.de> References: <4CB339A8.7060001@it-blog.net> <201010111840.01244.p.heinlein@heinlein-support.de> <2B5E9687B8C44B42B8BAE993728EF5F6@pascalpc> <201010112105.36191.p.heinlein@heinlein-support.de> Message-ID: <4CB361EF.6070401@gmj.cjb.net> Am 11.10.10 21:05, schrieb Peer Heinlein: > Meine Antwort ist darauf immer: > > HMAC-Hashes *** SIND *** Klartextpasswörter. Ich kann sie -- so wie sie > da sind -- benutzen, um mich damit einzuloggen. Meiner Meinung nach sind diese Hashes ("Klartextpasswörter") sogar besser als die eigentlichen Passwörter (also das, was der Nutzer in seinen MUA eingibt). Sollte doch mal die Kiste unvertrauenswürdig werden (Trojaner, Root-Exploit, ...) hat der Angreifer eben nicht die Passwörter im Klartext, die evtl. bei anderen Diensten auch gültig sind - da Menschen nunmal dazu neigen ein Passwort an unterschiedlichen Stellen einzusetzen. Das Problem der "Aufwärtskompatibilität" hat man dann leider wieder, wenn man nicht zusätzlich die eigentlichen Klartextpasswörter speichert. Gruß, Mathias From p.heinlein at heinlein-support.de Mon Oct 11 21:57:35 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 11 Oct 2010 21:57:35 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Passw=F6rter_in_Dovecot?= In-Reply-To: <4CB361EF.6070401@gmj.cjb.net> References: <4CB339A8.7060001@it-blog.net> <201010112105.36191.p.heinlein@heinlein-support.de> <4CB361EF.6070401@gmj.cjb.net> Message-ID: <201010112157.35798.p.heinlein@heinlein-support.de> Am Montag 11 Oktober 2010 21:13:51 schrieb Mathias Jeschke: > > HMAC-Hashes *** SIND *** Klartextpasswörter. Ich kann sie -- so wie > > sie da sind -- benutzen, um mich damit einzuloggen. > > Meiner Meinung nach sind diese Hashes ("Klartextpasswörter") sogar > besser als die eigentlichen Passwörter (also das, was der Nutzer in > seinen MUA eingibt). Genau das halte ich jedoch für einen Irrtum und falsch. > Sollte doch mal die Kiste unvertrauenswürdig werden (Trojaner, > Root-Exploit, ...) hat der Angreifer eben nicht die Passwörter im ... dann kommt derjenige auch sonst sofort in den meisten Fällen an die Klartextpasswörter ran, er muß beispielsweise nur kurz CRAM abschalten und PLAIN/LOGIn mitsniffen und bei etwaigen Klartextlogin-Methoden (Webmailer) kommt er sowieso leicht ran. > Klartext, die evtl. bei anderen Diensten auch gültig sind - da > Menschen nunmal dazu neigen ein Passwort an unterschiedlichen > Stellen einzusetzen. Diesen Punkt sehe ich ein, doch hier sind die Nutzer selbst verantwortlich. Ich sehe nicht ein diejenigen Nutzer zu gefährden, die alles sauber machen, nur um diejenigen zu schützen, die überall das gleiche PW nutzen und sich dann wundern. > Das Problem der "Aufwärtskompatibilität" hat man dann leider wieder, > wenn man nicht zusätzlich die eigentlichen Klartextpasswörter > speichert. Eben. Also gleich Klartext und dann sensibel damit umgegangen statt in falscher vermeindlicher Sicherheit sich selbst belogen. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From news at amaltea.de Mon Oct 11 22:09:27 2010 From: news at amaltea.de (PV) Date: Mon, 11 Oct 2010 22:09:27 +0200 Subject: [Postfixbuch-users] Header_checks und body_checks In-Reply-To: References: Message-ID: <4CB36EF7.70101@amaltea.de> Am 11.10.2010 18:12, schrieb Bjoern Meier: > Hi, > > egal, was ich in header_checks auch für pcres eintrage immer scheinen > body_checks vorrang zu haben. Sehe ich das korrekt? Falsch. Bestimmt verwechselst Du etwas. Es geht immer der Reihe nach. Vielleicht ist deine Prüfung im header_check falsch. Wie hast Du denn getestet bzw wie ist es Dir aufgefallen? Ich wette Du hast ein From im Header per telnet geprüft und bloß die Envelope-To Adresse angegeben. Am besten Du erstellt in jedem header_ oder body_check eine Testregel. z.B: header_pcre: /TESTREGEL_IM_HEADER/ WARN TESTREGEL_IM_HEADER body_pcre: /TESTREGEL_IM_BODY/ WARN TESTREGEL_IM_BODY Dann verschicke eine Mail über deinen Server mit den Inhalten und beobachte das Log. Bei mir wird jedenfalls der header zuerst geprüft. Viele Grüße Paul > > Gruß, > Björn > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From postfix-list at novuage.de Mon Oct 11 22:19:45 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Mon, 11 Oct 2010 22:19:45 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Passw=F6rter_in_Dovecot?= In-Reply-To: <201010112157.35798.p.heinlein@heinlein-support.de> References: <4CB339A8.7060001@it-blog.net> <201010112105.36191.p.heinlein@heinlein-support.de> <4CB361EF.6070401@gmj.cjb.net> <201010112157.35798.p.heinlein@heinlein-support.de> Message-ID: <4CB37161.2090103@novuage.de> Hallo, Am 11.10.2010 21:57, schrieb Peer Heinlein: >> Klartext, die evtl. bei anderen Diensten auch gültig sind - da >> Menschen nunmal dazu neigen ein Passwort an unterschiedlichen >> Stellen einzusetzen. > > Diesen Punkt sehe ich ein, doch hier sind die Nutzer selbst > verantwortlich. > > Ich sehe nicht ein diejenigen Nutzer zu gefährden, die alles sauber > machen, nur um diejenigen zu schützen, die überall das gleiche PW nutzen > und sich dann wundern. Das sehe ich genauso, überall das gleiche Passwort, dann ist die E-Mailadresse oft noch der Benutzername bzw. Login, da gibt es ja schon Tools die bei den Meisten Shops und Co direkt mal eine Runde shoppen gehen. Wer das macht, der soll es auch spüren. Anders lernen die Menschen nämlich auch nicht. Es gibt genügend arten überall Passwörter zu verwenden die anders sind, aber dennoch diese auch bequem zu kennen. Abgesehen davon, wenn man diese Passwörter immer eingibt und nicht speichert, dann kann man sie auch irgendwann behalten, selbst wenn Sie nicht nach einem Schema arbeiten ;-) -- Gruß Sascha From postfixbuch-users at gmj.cjb.net Mon Oct 11 22:45:46 2010 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 11 Oct 2010 22:45:46 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Passw=C3=B6rter_in_Dovecot?= In-Reply-To: <201010112157.35798.p.heinlein@heinlein-support.de> References: <4CB339A8.7060001@it-blog.net> <201010112105.36191.p.heinlein@heinlein-support.de> <4CB361EF.6070401@gmj.cjb.net> <201010112157.35798.p.heinlein@heinlein-support.de> Message-ID: <4CB3777A.8050305@gmj.cjb.net> Am 11.10.10 21:57, schrieb Peer Heinlein: >> Meiner Meinung nach sind diese Hashes ("Klartextpasswörter") sogar >> besser als die eigentlichen Passwörter (also das, was der Nutzer in >> seinen MUA eingibt). > Genau das halte ich jedoch für einen Irrtum und falsch. Ich nicht. >> Sollte doch mal die Kiste unvertrauenswürdig werden (Trojaner, >> Root-Exploit, ...) hat der Angreifer eben nicht die Passwörter im > > ... dann kommt derjenige auch sonst sofort in den meisten Fällen an die > Klartextpasswörter ran, er muß beispielsweise nur kurz CRAM abschalten > und PLAIN/LOGIn mitsniffen und bei etwaigen Klartextlogin-Methoden > (Webmailer) kommt er sowieso leicht ran. Das setzt aber voraus, dass sich innerhalb der Zeit, wo das System kompromitiert ist, sich entsprechend viele Nutzer einloggen. Ich habe z.B. auch Accounts auf Systemen, die nicht primär zum Mailing genutzt werden. Meine Mails erhalte ich per Forward an meinen Mailserver, ergo ist dort kein Login nötig. Sicherlich ist mein Passwort dann bei anderen Diensten dort "sniffbar", sofern ich mich mal einlogge. (Mein Passwort hätte der Angreifer in jedem Fall, wenn er es schafft, sich einen DB-Dump zu ziehen.) Ich weiß, ich bin die Ausnahme und die meisten Nutzer loggen sich selbstverständlich via Webmail/IMAP/POP auf dem Mailserver ein. >> Das Problem der "Aufwärtskompatibilität" hat man dann leider wieder, >> wenn man nicht zusätzlich die eigentlichen Klartextpasswörter >> speichert. > Eben. > Also gleich Klartext und dann sensibel damit umgegangen statt in > falscher vermeindlicher Sicherheit sich selbst belogen. Und genau das, wird von vielen in der Praxis bestimmt nicht gemacht - da liegen die Klartextpasswörter dann neben den HMAC-Hashes in einer SQL-DB, die lokal auf dem Mailserver liegt. Schade dass PKIs immer noch auf ihren Durchbruch im Massenmarkt (inkl. mangelnder Unterstützung in vielen Softwareprodukten) warten. Gruß, Mathias From r.linden at tarent.de Tue Oct 12 19:34:38 2010 From: r.linden at tarent.de (Robert Linden) Date: Tue, 12 Oct 2010 19:34:38 +0200 Subject: [Postfixbuch-users] mehrere empfaenger mit unterschiedlichen domains auf einmal an content_filter uebergeben? Message-ID: <201010121934.39083.r.linden@tarent.de> Hallo! Kann mir bitte jemand einen tipp geben, wie (bzw ob!) ich die gruppierung von empfaenger-adresse bei uebergabe an einen content-filter (mittels pipe) steuern kann? Wenn ich will, dass mein filter mit jedem von mehreren empfaengern einer mail einzeln aufgerufen wird, dann kann ich das ja z.B. mit dieser option erreichen: default_destination_recipient_limit=1 Ich finde aber keine moeglichkeit um festzulegen, dass immer alle empfaenger zusammen in einem einzigen filter-aufruf stehen sollen. Dies haengt offenbar von den adressen selbst ab bzw. von deren domain-part. (Der hinweis auf transport_destination_recipient_limit steht auch in der doku zu pipe(8), dort klingt es so als waere es selbstverstaendlich sonst so, dass mehrere empfaenger nicht getrennt werden - entsprechend steht auch nicht da, wie man das erreicht. ;-) Ich habe mir testweise diesen content-filter eingerichtet: 127.0.0.1:25000 inet n - n - - smtpd -o relay_recipient_maps=hash:/etc/postfix/valid_recipients -o smtpd_recipient_restrictions=permit_mynetworks,reject -o content_filter=mein_filter mein_filter unix - n n - - pipe flags=q user=filteruser null_sender= argv=/tmp/mein_filter.sh -- --sender=${sender} --recipient=${recipient} --nexthop=hoppelhaeschen Die valid_recipients-map sieht so aus: a1 at aaa.test.de stmp:[127.0.0.1]:25001 a2 at aaa.test.de stmp:[127.0.0.1]:25002 b1 at bbb.test.de stmp:[127.0.0.1]:25001 b2 at bbb.test.de stmp:[127.0.0.1]:25002 Wenn ich jetzt eine nachricht an a1 und a2 schicke, dann wird mein_filter einmal aufgerufen und beide empfaenger werden ihm uebergeben. Ebenso bei b1 und b2. Wenn ich aber z.B. a1 und b1 mische, dann wird der filter zwei mal aufgerufen, mit jeweils einem empfaenger. Hierbei ist jetzt auch kein recipient_limit gesetzt, es muesste also der default-wert von 50 gelten. Ich koennte nachvollziehen, dass es nicht anders geht, wenn es am routing laege, weil der filter ja den nexthop uebergeben bekommen kann, und das waere bei verschiedenen routings dann nicht mehr eindeutig. Das ist in meinem test aber anscheinend gerade nicht der entscheidende faktor, sondern wirklich nur die subdomain aaa vs. bbb. Beides ist uebrigens nicht mydomain oder myorigin oder sonst etwas was irgendwo speziell konfiguriert ist. Den nexthop setze ich aber sowieso selbst, da er meinen filter nicht interessiert und das routing erst relevant wird, nachdem der filter die nachricht wieder an den postfix auf einem anderen port weitergeleitet hat. Kann ich also postfix dazu bringen, in jedem fall alle empfaenger (bis zum konfigurierten/default-maximum) zusammenzufassen? Oder gibt es gruende, warum das nicht moeglich/erlaubt ist? Vielen dank & alles gute, rob -- tarent Gesellschaft für Softwareentwicklung und IT-Beratung mbH Geschäftsführer: Boris Esser, Elmar Geese HRB AG Bonn 5168 - USt-ID (VAT): DE122264941 Heilsbachstraße 24, 53123 Bonn, Telefon: +49 228 52675-0 Thiemannstraße 36 a, 12059 Berlin, Telefon: +49 30 5682943-30 Internet: http://www.tarent.de/ ? Telefax: +49 228 52675-25 From hajo.locke at gmx.de Wed Oct 13 12:52:41 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Wed, 13 Oct 2010 12:52:41 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org Message-ID: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> Hallo, kann es sein das backscatterer.org auch eine Rückprüfung auf Existenz per "reject unverified sender" als Backscattering deutet? Maileingang von münchner Adresse -> reject unverified sender beim Kunden (mit null sender) -> Rückprüfung sofort rejected. Backscatterer.org kommt doch aus München... Einen anderen Impact zum genannten Zeitpunkt kann ich im Log beim besten Willen nicht sehen. Mag sein das die schon recht haben und dies im engeren Sinne auch backscattering ist, aber man kann es auch übertreiben. Die Webseite scheint mir auch arg selbsgefällig... Es besteht kein Grund uns zu kontaktieren, wie haben immer Recht... Hajo From gregor at a-mazing.de Wed Oct 13 13:17:48 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 13 Oct 2010 13:17:48 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org In-Reply-To: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> Message-ID: <201010131317.49680@office.a-mazing.net> Hallo Hajo, Am Mittwoch, 13. Oktober 2010 schrieb Hajo Locke: > kann es sein das backscatterer.org auch eine Rückprüfung auf Existenz per > "reject unverified sender" als Backscattering deutet? > Maileingang von münchner Adresse -> reject unverified sender beim Kunden > (mit null sender) -> Rückprüfung sofort rejected. Backscatterer.org kommt > doch aus München... > Einen anderen Impact zum genannten Zeitpunkt kann ich im Log beim besten > Willen nicht sehen. > > Mag sein das die schon recht haben und dies im engeren Sinne auch > backscattering ist, aber man kann es auch übertreiben. Die Webseite scheint > mir auch arg selbsgefällig... Es besteht kein Grund uns zu kontaktieren, > wie haben immer Recht... reject_unverified_sender _ist_ imho Backscatter. Insbesondere bei nicht existierenden Sender-Adressen kann der für die Sender-Domain zuständige MX deinen Test nicht von echtem Spam unterscheiden. Das wird deinen Mailserver auf mehr als nur eine RBL bringen. Nicht zu vergessen die sich gegenseitig hochschaukelnden Verzögerungen, wenn dann noch Greylisting ins Spiel kommt... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From p.heinlein at heinlein-support.de Wed Oct 13 14:44:05 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 13 Oct 2010 14:44:05 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org In-Reply-To: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> Message-ID: <201010131444.05986.p.heinlein@heinlein-support.de> Am Mittwoch, 13. Oktober 2010, 12:52:41 schrieb Hajo Locke: > kann es sein das backscatterer.org auch eine Rückprüfung auf Existenz per > "reject unverified sender" als Backscattering deutet? Ja, denn das IST Backscattering. Und aus genau diesem Grunde darf/will man auch kein reject_unverified_sender benutzen. > Einen anderen Impact zum genannten Zeitpunkt kann ich im Log beim besten > Willen nicht sehen. Das *IST* ein Impact wie ein Kanonenschlag. > Mag sein das die schon recht haben und dies im engeren Sinne auch > backscattering ist, aber man kann es auch übertreiben. Die Webseite Nein, das hat mit Übertreiben überhaupt nichts zu tun. Wenn ich 10 Millionen-Spammails mit Deiner Domain raussende und Du dann 2 Millionen Sender-Verify-Anfragen kriegst, dann IST das ein DDoS gegen Dich, dann IST Dein System platt, dann IST das genau das gleiche für Dich, als wenn Du 2 Millionen Bounces bekommst. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From hajo.locke at gmx.de Wed Oct 13 14:44:51 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Wed, 13 Oct 2010 14:44:51 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> <201010131317.49680@office.a-mazing.net> Message-ID: <17B6EA6C08DB4BA3B752ABA8475D874D@nmm.local> Hallo, >> reject_unverified_sender _ist_ imho Backscatter. Insbesondere bei nicht >> existierenden Sender-Adressen kann der für die Sender-Domain zuständige >> MX >> deinen Test nicht von echtem Spam unterscheiden. Das wird deinen >> Mailserver >> auf mehr als nur eine RBL bringen. ja, eng gesehen ja. könnte man aber nicht abwarten bis reale Daten fließen. postfix wartet ja nur auf das rcpt-to ok und bricht dann ab. der backscatterer test könnte auf solche abgebrochenen rückprüfungen vorbereitet sein und diese von realem backscattering trennen. das ist schon kleinlich... >> Nicht zu vergessen die sich gegenseitig hochschaukelnden Verzögerungen, >> wenn >> dann noch Greylisting ins Spiel kommt... ja, ist bekannt. geb zu ist nicht die tollste restriktion aber man denkt eben auch nicht an alles wenn man sowas zur benutzung freigibt. Danke, Hajo From Ralf.Hildebrandt at charite.de Wed Oct 13 14:50:25 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 13 Oct 2010 14:50:25 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org In-Reply-To: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> Message-ID: <20101013125025.GP4779@charite.de> * Hajo Locke : > Hallo, > > kann es sein das backscatterer.org auch eine Rückprüfung auf Existenz > per "reject unverified sender" als Backscattering deutet? Ja > Maileingang von münchner Adresse -> reject unverified sender beim > Kunden (mit null sender) -> Rückprüfung sofort rejected. > Backscatterer.org kommt doch aus München... Oder Bayern. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From gregor at a-mazing.de Wed Oct 13 15:07:39 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 13 Oct 2010 15:07:39 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org In-Reply-To: <17B6EA6C08DB4BA3B752ABA8475D874D@nmm.local> References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> <201010131317.49680@office.a-mazing.net> <17B6EA6C08DB4BA3B752ABA8475D874D@nmm.local> Message-ID: <201010131507.39972@office.a-mazing.net> Hallo Hajo, Am Mittwoch, 13. Oktober 2010 schrieb Hajo Locke: > >> reject_unverified_sender _ist_ imho Backscatter. Insbesondere bei nicht > >> existierenden Sender-Adressen kann der für die Sender-Domain zuständige > >> MX > >> deinen Test nicht von echtem Spam unterscheiden. Das wird deinen > >> Mailserver > >> auf mehr als nur eine RBL bringen. > > ja, eng gesehen ja. könnte man aber nicht abwarten bis reale Daten fließen. > postfix wartet ja nur auf das rcpt-to ok und bricht dann ab. > der backscatterer test könnte auf solche abgebrochenen rückprüfungen > vorbereitet sein und diese von realem backscattering trennen. > das ist schon kleinlich... das kann er nur, wenn die Adresse überhaupt existiert. Ansonsten wird in jedem Fall abgebrochen -> Kein Unterschied zwischen Spam und Verify-Probe. Und ja: Jemanden, der versucht, viele Mails an nicht existierende Empfänger einzuliefern, würde ich ggf. wegen Spamverdacht aussperren. Du eröffnest damit also die Möglichkeit einer DoS-Attacke auf deinen Mailserver, indem man einfach zahlreiche Mails mit unterschiedlichen, nicht existierenden Absendern aus der gleichen Domain an bei dir existierende Empfänger einliefert. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From p.heinlein at heinlein-support.de Wed Oct 13 15:23:41 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 13 Oct 2010 15:23:41 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org In-Reply-To: <17B6EA6C08DB4BA3B752ABA8475D874D@nmm.local> References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> <201010131317.49680@office.a-mazing.net> <17B6EA6C08DB4BA3B752ABA8475D874D@nmm.local> Message-ID: <201010131523.41681.p.heinlein@heinlein-support.de> Am Mittwoch, 13. Oktober 2010, 14:44:51 schrieb Hajo Locke: Moin, > ja, eng gesehen ja. könnte man aber nicht abwarten bis reale Daten > fließen. Wenn Du nahezu zeitgleich von zwei Millionen Connects heimgesucht wirst, dann fließen keine Daten mehr. Und darum ist böse, wer sich an einem solchen DDoS überhaupt beteiligt. > ja, ist bekannt. geb zu ist nicht die tollste restriktion aber man denkt > eben auch nicht an alles wenn man sowas zur benutzung freigibt. Wobei "alles" hier erst die Kombination von: *) Beide Seiten haben Greylisting *) Beide haben einen eigenen Verify-Absender *) Beide Seiten machen ihrerseits Sender-Verify Es ist eine sehr lustige Aufgabe davon mal das ABlaufschema (wer will was wann von wem) aufzuzeichen und dann abzuklären, wie sich wann wo der Knoten löst. Nett ist dabei die Frage ob das am Ende rechtzeitig genug ist, bevor einer der beiden die Mail wegen Queue-Lifetime-Ablauf bounct und zurücksendet. Nee, nee, nee. sender_verify ist a) böse und b) verliert man damit seine Mails. Man will es wirklich nicht haben. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From hajo.locke at gmx.de Wed Oct 13 16:19:02 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Wed, 13 Oct 2010 16:19:02 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local><201010131317.49680@office.a-mazing.net><17B6EA6C08DB4BA3B752ABA8475D874D@nmm.local> <201010131523.41681.p.heinlein@heinlein-support.de> Message-ID: <4E818B7D28BD415D8EB43FF33A1B9665@nmm.local> Servus, >> Wenn Du nahezu zeitgleich von zwei Millionen Connects heimgesucht wirst, >> dann fließen keine Daten mehr. berufspessimismus ;) blöde frage: woran erkenne ich eigentlich einen backscatterer? Nur weil direkt nachher eine Mail mit Null-Sender an den vorherigen Absender geht? Was passiert wenn ich das From ändere (kein null sender) oder zeitversetzt sende (also kein reject unverified sender sondern von mir aus ein autoresponder) ist es immer noch backscattering wenn ich nicht an beliebige absender bounce sondern vorher durch tests (von mir aus auch spf/dkim) festgestellt habe das es kein gefälschter Absender ist? ich sehe momentan backscattering an gefälschte absenderadressen noch etwas anders als eine getestete rückprüfung an den realen versender. wenn der sender selbst auf seine mail den reject-unverified-sender bekommt kann er nicht wissen was ich vorher geprüft habe und ob ich das bei jeder eingehenden Mail tue. ich kann das grundproblem schon verstehen, die liste und deren macher sind mir aber trotzdem nicht unbedingt sympathisch. >> *) Beide Seiten haben Greylisting >> *) Beide haben einen eigenen Verify-Absender >> *) Beide Seiten machen ihrerseits Sender-Verify ist bekannt, wir waren alle mal jung... wobei der negative cache aller 3 h erneutert wird. das sollte zumindest das greylisting problem abschwächen. Hajo From a.busam at hofmann-foerdertechnik.com Wed Oct 13 16:47:15 2010 From: a.busam at hofmann-foerdertechnik.com (Alexander Busam) Date: Wed, 13 Oct 2010 16:47:15 +0200 Subject: [Postfixbuch-users] rejected because RDNS Message-ID: <4CB5C673.2080604@hofmann-foerdertechnik.com> Hallo! Ich habe folgende mail in der queue, die nicht versendet werden kann. 7D49724035 109945 Wed Oct 13 08:00:41 m.xyz at hofmann-foerdertechnik.com (host mail.abc.de[62.225.xx.yy] refused to talk to me: 550 rejected because RDNS) guenter.schabc at abc.de Verwende aber in meiner main.cf als smtp_helo_name = mail.hofmann-foerdertechnik.com Wie kann das sein ? Gruß Alex From Ralf.Hildebrandt at charite.de Wed Oct 13 17:14:03 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 13 Oct 2010 17:14:03 +0200 Subject: [Postfixbuch-users] rejected because RDNS In-Reply-To: <4CB5C673.2080604@hofmann-foerdertechnik.com> References: <4CB5C673.2080604@hofmann-foerdertechnik.com> Message-ID: <20101013151403.GB4779@charite.de> * Alexander Busam : > Hallo! > > Ich habe folgende mail in der queue, die nicht versendet werden kann. > > 7D49724035 109945 Wed Oct 13 08:00:41 m.xyz at hofmann-foerdertechnik.com > (host mail.abc.de[62.225.xx.yy] refused to talk to me: 550 rejected > because RDNS) > guenter.schabc at abc.de > > Verwende aber in meiner main.cf als smtp_helo_name = > mail.hofmann-foerdertechnik.com Evtl. liegst an deiner IP <-> Hostname Zuordnung -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From andreas.schulze at datev.de Wed Oct 13 17:18:13 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 13 Oct 2010 17:18:13 +0200 Subject: [Postfixbuch-users] rejected because RDNS In-Reply-To: <4CB5C673.2080604@hofmann-foerdertechnik.com> References: <4CB5C673.2080604@hofmann-foerdertechnik.com> Message-ID: <20101013151813.GB7250@spider.services.datevnet.de> Am 13.10.2010 16:47 schrieb Alexander Busam: > 7D49724035 109945 Wed Oct 13 08:00:41 m.xyz at hofmann-foerdertechnik.com > (host mail.abc.de[62.225.xx.yy] refused to talk to me: 550 rejected > because RDNS) > guenter.schabc at abc.de > der MX von abc.de wird vermutlich den PTR-Record zu Deiner IP-Adresse ermitteln und ist eventuell überfordert: $ dig -x 195.145.2.90 +short mail.xn--hofmann-frdertechnik-cbc.com. mail.hofmann-foerdertechnik.de. mail.xn--hofmann-frdertechnik-cbc.de. mail.hofmann-foerdertechnik.com. mail.janz-service.de. mail.janz-service.com. Alle Namen lassen sich wiederum zur IP-Adresse auflösen aber es ist unnötig alle eigenen Domains im PTR zu listen. Die Kiste meldet sich im SMTP-Helo mit mail.hofmann-foerdertechnik.com Also sollte es zu mail.hofmann-foerdertechnik.com genau eine IP geben und diese hat wiederumg genau einen PTR mail.hofmann-foerdertechnik.com. Fertig. Richtig unlustig wird das, wenn man über den PTR-Record direkt alle Kundendomains erfährt... -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From driessen at fblan.de Wed Oct 13 17:47:54 2010 From: driessen at fblan.de (Driessen) Date: Wed, 13 Oct 2010 17:47:54 +0200 Subject: [Postfixbuch-users] reject unverified sender- backscatterer.org In-Reply-To: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> References: <033090A9A7C74EABAFCD45A29F6C00E8@nmm.local> Message-ID: <001601cb6aed$fff4ae50$0565a8c0@uwe> On Behalf Of Hajo Locke > kann es sein das backscatterer.org auch eine Rückprüfung auf Existenz per > "reject unverified sender" als Backscattering deutet? > Maileingang von münchner Adresse -> reject unverified sender beim Kunden > (mit null sender) -> Rückprüfung sofort rejected. Backscatterer.org kommt > doch aus München... > Einen anderen Impact zum genannten Zeitpunkt kann ich im Log beim besten > Willen nicht sehen. .... da haben die Vorredner genug gesagt Mein System prüft jeden der mit einem <> gegen diese Liste. Ich kann wenn kein gültiger Absender angegeben ist im fall des falles dorthin bouncen Lt. RFC ist der <> nicht für das verify eingetragen (somit wäre ein verify mit leerem Absender ein Verstoß gegen selbige) Mein Policy sagt aber auch das ich kein verify zulasse. Damit versuchst du meine Policy zu umgehen (so was wird entsprechend bestraft!!) Es gibt genügend andere Restriktionen welche ein besseres Ergebnis bringen und nicht unter umständen unbeteiligte DRITTE belästigen. Du musst ohne den "vermeintlichen" Absender anzufragen entscheiden können ob du annimmst oder eben nicht. Hat der der da versucht einzuliefern eine entsprechende REPUTATION oder hat der die eben nicht. Über mehrere checks kann man sich auch ziemlich sicher sein das genau der der versucht einzuliefern auch für die mails der Domain zuständig ist. Dafür braucht es kein verify. Mach dein verify auf genau den Server der da einliefert und alle sind glücklich(das wirst aber auch du nicht schaffen *gg) Du kannst nur an REPUTATION gewinnen wenn du mit sender_verify aufhörst. Was willst du mit dem sender_verify sicherstellen? Das es die Mailadresse gibt? Ein Spamer wird immer JA sagen. Das Bounces zugestellt werden können? An einen Spamer wirst du das nicht schaffen und latebounces an die vermeintlichen Absender sind ebenso böse! Also kommst du nicht drum herum dir einen Ersatz für verify zu suchen und dein Mailsystem zu überdenken. Ich vermute mal stark das da noch mehr zu optimieren ist. > > Mag sein das die schon recht haben und dies im engeren Sinne auch > backscattering ist, aber man kann es auch übertreiben. Die Webseite > scheint > mir auch arg selbsgefällig... Es besteht kein Grund uns zu kontaktieren, > wie > haben immer Recht... In diesem Fall haben sie es ausnahmsweise *g > Hajo > > -- Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From christian at bricart.de Wed Oct 13 20:14:07 2010 From: christian at bricart.de (Christian Bricart) Date: Wed, 13 Oct 2010 20:14:07 +0200 Subject: [Postfixbuch-users] rejected because RDNS In-Reply-To: <20101013151813.GB7250@spider.services.datevnet.de> References: <4CB5C673.2080604@hofmann-foerdertechnik.com> <20101013151813.GB7250@spider.services.datevnet.de> Message-ID: <4CB5F6EF.4030302@bricart.de> Am 13.10.2010 17:18, schrieb Andreas Schulze: > Am 13.10.2010 16:47 schrieb Alexander Busam: >> 7D49724035 109945 Wed Oct 13 08:00:41 m.xyz at hofmann-foerdertechnik.com >> (host mail.abc.de[62.225.xx.yy] refused to talk to me: 550 rejected >> because RDNS) >> guenter.schabc at abc.de >> > der MX von abc.de wird vermutlich den PTR-Record zu Deiner IP-Adresse ermitteln > und ist eventuell überfordert: > $ dig -x 195.145.2.90 +short > mail.xn--hofmann-frdertechnik-cbc.com. > mail.hofmann-foerdertechnik.de. > mail.xn--hofmann-frdertechnik-cbc.de. > mail.hofmann-foerdertechnik.com. > mail.janz-service.de. > mail.janz-service.com. > > Alle Namen lassen sich wiederum zur IP-Adresse auflösen aber es ist unnötig > alle eigenen Domains im PTR zu listen. > Die Kiste meldet sich im SMTP-Helo mit mail.hofmann-foerdertechnik.com > Also sollte es zu mail.hofmann-foerdertechnik.com genau eine IP geben > und diese hat wiederumg genau einen PTR mail.hofmann-foerdertechnik.com. > > Fertig. > > Richtig unlustig wird das, wenn man über den PTR-Record direkt > alle Kundendomains erfährt... ... und zusätzlich direkt die IDNs für Mailverkehr mal *komplett* wieder vergessen - die Mails an [hingeschriebene] Umlaute kommen eh nicht an - bzw. wenn, dann nicht bei *dir* ;-) (Es sei denn die Leute adressieren *wirklich* an den ACE, was ich für unwahrscheinlich und dann eh sinnfrei erachte..) Christian From rog7993 at web.de Thu Oct 14 00:55:50 2010 From: rog7993 at web.de (rog7993 at web.de) Date: Thu, 14 Oct 2010 00:55:50 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?=22rate_limiting=22_f=FCr_aus?= =?iso-8859-15?q?gehende_Mails?= Message-ID: <4CB638F6.1070504@web.de> Hallo, unser Mailgateway sendet ausgehende Mails an einen externen Relayhost, der folgenden Einschränkungen unterliegt: - maximal 60 Verbindungen pro 3 Minuten - pro Verbindung maximal 30 versendete Mails pro 3 Minuten Optimalerweise würde man also 60 x 30 = 1800 Mails in 3 Minuten ausliefern können. Hinter dem MX-Record des Relayhosts verbergen sich insgesamt 6 Server, so dass das Ganze nochmal mit 6 zu multiplizieren ist. Allerdings erreiche ich diese Werte nicht annähernd, was daran liegt, dass bei größere Mailmengen alle Relayhosts nach kurzer Zeit weitere Verbindungen ablehnen und dann die Mails in der deferred-Queue landen. Und darin liegen sie zunächst länger, als sie müssten. Und nach mehreren erfolglosen Zustellversuchen steigt ja noch der Zeitraum, den eine Mail in der deferred-Queue bleibt, obwohl die Relayhosts längst wieder Mails annehmen würden. Wie konfiguriert man Postfix unter diesen Randbedingungen, um einen möglichst hohen Durchsatz zu erhalten? Ich habe ein paar Versuche mit den Parametern smtp_destination_concurrency_limit = 1 smtp_destination_rate_delay = 1 gemacht. Der erste (ohne den zweiten) verbessert die Situation zwar etwas, aber nicht deutlich. Wenn man beide definiert, sieht es insgesamt besser aus, da man vermeidet, dass gleichzeitig alle Relayhosts Verbindungen ablehnen und damit keine Mails in der deferred-Queue landen. Insgesamt ist der Durchsatz aber immer noch viel schlechter, als das Optimum. Mit diesen Parametern scheint Postfix pro Verbindung auch nur eine einzige Mail auszuliefern, statt bis zu 30, die möglich wären. smtp_connection_cache_on_demand steht auf dem Defaultwert "yes". Damit sollte Postfix das automatisch steuern. Oder wäre es besser, smtp_connection_cache_destinations zu definieren? Ich könnte mir auch vorstellen, die Default-Parameter minimal_backoff_time = 300s maximal_backoff_time = 4000s queue_run_delay = 300 s auf kleinere Werte zu setzen, z.B. minimal_backoff_time = 180s maximal_backoff_time = 1000s queue_run_delay = 90 s Damit hat man dann zwar immer noch ein burstartiges Auslieferverhalten, aber immerhin bleiben die Mails weniger lang in der deferred-Queue hängen. So richtig gefällt mir das aber nicht, wobei es in diesem Fall wohl sogar vertretbar wäre, nachdem alle Mails an einen einzigen (bzw. sechs) Relayhosts ausgeliefert werden. Gibt es eine sinnvollere Variante? Viele Grüße, Ingo Rogalsky From a.busam at hofmann-foerdertechnik.com Thu Oct 14 08:17:03 2010 From: a.busam at hofmann-foerdertechnik.com (Alexander Busam) Date: Thu, 14 Oct 2010 08:17:03 +0200 Subject: [Postfixbuch-users] rejected because RDNS In-Reply-To: <20101013151813.GB7250@spider.services.datevnet.de> References: <4CB5C673.2080604@hofmann-foerdertechnik.com> <20101013151813.GB7250@spider.services.datevnet.de> Message-ID: <4CB6A05F.8020609@hofmann-foerdertechnik.com> Andreas Schulze schrieb: > Am 13.10.2010 16:47 schrieb Alexander Busam: > >> 7D49724035 109945 Wed Oct 13 08:00:41 m.xyz at hofmann-foerdertechnik.com >> (host mail.abc.de[62.225.xx.yy] refused to talk to me: 550 rejected >> because RDNS) >> guenter.schabc at abc.de >> >> > der MX von abc.de wird vermutlich den PTR-Record zu Deiner IP-Adresse ermitteln > und ist eventuell überfordert: > $ dig -x 195.145.2.90 +short > mail.xn--hofmann-frdertechnik-cbc.com. > mail.hofmann-foerdertechnik.de. > mail.xn--hofmann-frdertechnik-cbc.de. > mail.hofmann-foerdertechnik.com. > mail.janz-service.de. > mail.janz-service.com. > > Alle Namen lassen sich wiederum zur IP-Adresse auflösen aber es ist unnötig > alle eigenen Domains im PTR zu listen. > Die Kiste meldet sich im SMTP-Helo mit mail.hofmann-foerdertechnik.com > Also sollte es zu mail.hofmann-foerdertechnik.com genau eine IP geben > und diese hat wiederumg genau einen PTR mail.hofmann-foerdertechnik.com. > > Fertig. > > Richtig unlustig wird das, wenn man über den PTR-Record direkt > alle Kundendomains erfährt... > > @all Vielen Dank für die Infos :-) -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From traced at xpear.de Thu Oct 14 08:43:40 2010 From: traced at xpear.de (Bastian) Date: Thu, 14 Oct 2010 08:43:40 +0200 Subject: [Postfixbuch-users] =?utf-8?q?eMail_Disclaimer_/_Abh=C3=A4ngig_vo?= =?utf-8?q?n_Absenderdom=C3=A4ne?= Message-ID: <51fc8a7319030397c84e460c6117cf4e@localhost> Hallo, hat jemand von Euch eine Lösung im Einsatz, wie man Postfix basierend auf der Absenderdomain beibringen kann einen Disclaimer anzuhängen? Gibt es hier noch andere Lösungen als alterMIME? Da alterMIME ja anscheinend eh über ein Script (bash/python/whatever) aus der master.cf aufgerufen wird, sollte man hier doch einfach den Disclaimer aus z.B. einer Datenbank holen können, und alterMIME übergeben können. Wollte nur mal fragen ob einer von Euch sowas schonmal "gebastelt" hat, oder ob ich mit der Idee voll auf dem Holzweg bin. Danke & viele Grüße Bastian From Ralf.Hildebrandt at charite.de Thu Oct 14 09:34:26 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Oct 2010 09:34:26 +0200 Subject: [Postfixbuch-users] =?utf-8?q?=22rate_limiting=22_f=C3=BCr_ausgeh?= =?utf-8?q?ende_Mails?= In-Reply-To: <4CB638F6.1070504@web.de> References: <4CB638F6.1070504@web.de> Message-ID: <20101014073426.GE1466@charite.de> * rog7993 at web.de : > Hallo, > > unser Mailgateway sendet ausgehende Mails an einen externen Relayhost, > der folgenden Einschränkungen unterliegt: > > - maximal 60 Verbindungen pro 3 Minuten > - pro Verbindung maximal 30 versendete Mails pro 3 Minuten > > Optimalerweise würde man also 60 x 30 = 1800 Mails in 3 Minuten > ausliefern können. Hinter dem MX-Record des Relayhosts verbergen sich > insgesamt 6 Server, so dass das Ganze nochmal mit 6 zu multiplizieren > ist. Du kannst nun statt nur mit relayhost auch mit smtp_fallback_relay arbeiten. Alles was der relayhost nicht abnimmt wird nochmal via smtp_fallback_relay probiert. > Allerdings erreiche ich diese Werte nicht annähernd, was daran liegt, > dass bei größere Mailmengen alle Relayhosts nach kurzer Zeit weitere > Verbindungen ablehnen und dann die Mails in der deferred-Queue landen. Ja > Und darin liegen sie zunächst länger, als sie müssten. Die Frage ist, wie schnell darf man wieder senden sobald man das Limit erreicht hat? > smtp_destination_concurrency_limit = 1 > smtp_destination_rate_delay = 1 1 Mailverbindung, 1 Mails/s = 60 Mails/min = 180 Mails/min > gemacht. Der erste (ohne den zweiten) verbessert die Situation zwar > etwas, aber nicht deutlich. Wenn man beide definiert, sieht es > insgesamt besser aus, da man vermeidet, dass gleichzeitig alle > Relayhosts Verbindungen ablehnen und damit keine Mails in der > deferred-Queue landen. Insgesamt ist der Durchsatz aber immer noch > viel schlechter, als das Optimum. Mit diesen Parametern scheint > Postfix pro Verbindung auch nur eine einzige Mail auszuliefern, statt > bis zu 30, die möglich wären. smtp_connection_cache_on_demand steht > auf dem Defaultwert "yes". Damit sollte Postfix das automatisch > steuern. Oder wäre es besser, smtp_connection_cache_destinations zu > definieren? > > Ich könnte mir auch vorstellen, die Default-Parameter > > minimal_backoff_time = 300s > maximal_backoff_time = 4000s > queue_run_delay = 300 s > > auf kleinere Werte zu setzen, z.B. > > minimal_backoff_time = 180s > maximal_backoff_time = 1000s > queue_run_delay = 90 s ja Wäre ne idee > Damit hat man dann zwar immer noch ein burstartiges > Auslieferverhalten, aber immerhin bleiben die Mails weniger lang in > der deferred-Queue hängen. So richtig gefällt mir das aber nicht, > wobei es in diesem Fall wohl sogar vertretbar wäre, nachdem alle > Mails an einen einzigen (bzw. sechs) Relayhosts ausgeliefert werden. > > Gibt es eine sinnvollere Variante? Du könntest SELBER zwei DNS Records definieren, welche jeweils auf 3 Adressen des Relayhosts zeigen. Dann sagst du: relayhost = [eintrag-a] smtp_fallback_relay = [eintrag-b] -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Thu Oct 14 09:37:02 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 14 Oct 2010 09:37:02 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?eMail_Disclaimer_/_Abh=E4ngig_?= =?iso-8859-1?q?von_Absenderdom=E4ne?= In-Reply-To: <51fc8a7319030397c84e460c6117cf4e@localhost> References: <51fc8a7319030397c84e460c6117cf4e@localhost> Message-ID: <201010140937.02516.p.heinlein@heinlein-support.de> Am Donnerstag, 14. Oktober 2010 08:43:40 schrieb Bastian: > Gibt es hier noch andere Lösungen als alterMIME? Da alterMIME ja > anscheinend eh über ein Script (bash/python/whatever) aus der > master.cf aufgerufen wird, sollte man hier doch einfach den > Disclaimer aus z.B. einer Datenbank holen können, und alterMIME > übergeben können. Yipp, haben wir genau so schon gebastelt: Das Script schaut, ob unter $domain eine entsprechende Datei existiert und wenn ja wird die als anzuhängende Signatur übergeben und falls die nicht existiert wird eben eine Default-Datei genommen. Kein großer Akt, geht prima. Leider habe ich den Code dazu nicht mehr und weiß auch nicht mehr, für wen wir das gemacht haben. Ist aber wirklich recht simpel und geht. Pee r -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From traced at xpear.de Thu Oct 14 09:41:51 2010 From: traced at xpear.de (Bastian) Date: Thu, 14 Oct 2010 09:41:51 +0200 Subject: [Postfixbuch-users] =?utf-8?q?eMail_Disclaimer_/_Abh=C3=A4ngig_vo?= =?utf-8?q?n_Absenderdom=C3=A4ne?= In-Reply-To: <201010140937.02516.p.heinlein@heinlein-support.de> References: <51fc8a7319030397c84e460c6117cf4e@localhost> <201010140937.02516.p.heinlein@heinlein-support.de> Message-ID: On Thu, 14 Oct 2010 09:37:02 +0200, Peer Heinlein wrote: > Am Donnerstag, 14. Oktober 2010 08:43:40 schrieb Bastian: > > >> Gibt es hier noch andere Lösungen als alterMIME? Da alterMIME ja >> anscheinend eh über ein Script (bash/python/whatever) aus der >> master.cf aufgerufen wird, sollte man hier doch einfach den >> Disclaimer aus z.B. einer Datenbank holen können, und alterMIME >> übergeben können. > > Yipp, haben wir genau so schon gebastelt: Das Script schaut, ob unter > $domain eine entsprechende Datei existiert und wenn ja wird die als > anzuhängende Signatur übergeben und falls die nicht existiert wird eben > eine Default-Datei genommen. Kein großer Akt, geht prima. > > Leider habe ich den Code dazu nicht mehr und weiß auch nicht mehr, für > wen wir das gemacht haben. Ist aber wirklich recht simpel und geht. > > Pee > r > Hallo Peer, danke für die Rückmeldung! Hattet Ihr damals irgendwie Probleme mit HTML Disclaimern, bzw. dem Anhängen von Disclaimern an HTML Mails? Habe mich ein wenig durch die Gegend gegoogelt, und diese Problematik wird oft angesprochen. Merci, Bastian From martin.bley at bvl.bund.de Fri Oct 15 09:42:17 2010 From: martin.bley at bvl.bund.de (Martin Bley) Date: Fri, 15 Oct 2010 09:42:17 +0200 Subject: [Postfixbuch-users] recipient_access und sender_access kombiniert Message-ID: <201010150942.24640.martin.bley@bvl.bund.de> Liebe Liste, ich möchte via access Tabelle nur bestimmten Sendern das Senden an eine bestimmte Adresse erlauben. Ein Beispiel: Nur die Absender eins at foo.com, zwei at foo.com, drei at foo.com sollen an dummy at bar.org versenden dürfen. Ich habe da zunächst an main.cf: smtpd_recipient_restrictions = ... permit_mynetworks, reject_unauth_destination, check_recipient_access hash:/etc/postfix/recipient_access, ... permit gedacht, finde dann aber keine passende ACTION in der access(5) manpage. Man müsste an dieser Stelle ja an einen weiteren lookup table (mit den erlaubten Absenderadressen) verweisen. recipient_access: dummy at bar.org check_sender_access hash:/etc/postfix/restricted_senders, reject restricted_senders: eins at foo.com OK zwei at foo.com OK drei at foo.com OK was natürlich nicht funktioniert. Gibt es eine andere Möglichkeit, oder sollte ich mir http://www.postfix.org/MILTER_README.html genauer anschauen? Danke und Gruß, Martin -- Martin Bley Bundesamt für Verbraucherschutz und Lebensmittelsicherheit (BVL) - Referat Z03 - Informations- und Kommunikationstechnik, Informationssysteme Messeweg 11/12 38104 Braunschweig E-Mail: martin.bley at bvl.bund.de Tel.: +49 (0) 531 299-3561 Fax: +49 (0) 531 299-3002 http://www.bvl.bund.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3162 bytes Beschreibung: nicht verfügbar URL : From postfixbuch-users at drobic.de Fri Oct 15 10:20:50 2010 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Fri, 15 Oct 2010 10:20:50 +0200 Subject: [Postfixbuch-users] recipient_access und sender_access kombiniert In-Reply-To: <201010150942.24640.martin.bley@bvl.bund.de> References: <201010150942.24640.martin.bley@bvl.bund.de> Message-ID: <4CB80EE2.6030908@drobic.de> On 15.10.2010 09:42, Martin Bley wrote: > Liebe Liste, > > ich möchte via access Tabelle nur bestimmten Sendern das Senden an eine > bestimmte Adresse erlauben. Ein Beispiel: > > Nur die Absender eins at foo.com, zwei at foo.com, drei at foo.com sollen an > dummy at bar.org versenden dürfen. Ich habe da zunächst an > > main.cf: > smtpd_recipient_restrictions = > ... > permit_mynetworks, > reject_unauth_destination, > check_recipient_access hash:/etc/postfix/recipient_access, > ... > permit > > gedacht, finde dann aber keine passende ACTION in der access(5) manpage. > Man müsste an dieser Stelle ja an einen weiteren lookup table (mit den > erlaubten Absenderadressen) verweisen. http://www.postfix.org/RESTRICTION_CLASS_README.html Für einfache Fälle ist dies das richtige Mittel, wenn du viele dieser Restriction_classes aufsetzen musst, solltest du einen Policy-Server wie postfwd einsetzen. From dieter.ringen at polizei.niedersachsen.de Fri Oct 15 10:53:22 2010 From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur)) Date: Fri, 15 Oct 2010 10:53:22 +0200 Subject: [Postfixbuch-users] recipient_access und sender_access kombiniert In-Reply-To: References: Message-ID: <4CB81682.8010908@polizei.niedersachsen.de> Hallo Martin. Wir haben hier was ähnliches gebaut, wo wir einzelne Domains freigeben. Bei uns funktionierts. Martin Bley schrieb: > Liebe Liste, > > ich möchte via access Tabelle nur bestimmten Sendern das Senden an eine > bestimmte Adresse erlauben. Ein Beispiel: > > Nur die Absender eins at foo.com, zwei at foo.com, drei at foo.com sollen an > dummy at bar.org versenden dürfen. Ich habe da zunächst an > > main.cf: > smtpd_recipient_restrictions = > ... > permit_mynetworks, > reject_unauth_destination, > check_recipient_access hash:/etc/postfix/recipient_access, > ... > permit > OK > gedacht, finde dann aber keine passende ACTION in der access(5) manpage. > Man müsste an dieser Stelle ja an einen weiteren lookup table (mit den > erlaubten Absenderadressen) verweisen. > > recipient_access: > dummy at bar.org check_sender_access > Mach hieraus einen neuen Eintrag in der main.cf check_sender_access= hash:/etc/postfix/restricted_senders, > > > restricted_senders: > eins at foo.com OK > zwei at foo.com OK > drei at foo.com OK > eins at foo.com permit > zwei at foo.com permit > drei at foo.com permit > natürlich postmap für nicht vergessen bei uns klappt das. versuch es mal > was natürlich nicht funktioniert. Gibt es eine andere Möglichkeit, oder > sollte ich mir > > http://www.postfix.org/MILTER_README.html > > genauer anschauen? > > Danke und Gruß, > Martin > > > > ------------------------------------------------------------------------ > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- mit freundlichem Gruß Dieter Ringen Zentrale Polizeidirektion ( ZPD ) Dezernat 42.5.4 - IT - Infrastruktur Tel: 0511 9695 -7653 Fax: 0511 9695697653 mailto:dieter.ringen at polizei.niedersachsen.de From martin.bley at bvl.bund.de Fri Oct 15 11:38:58 2010 From: martin.bley at bvl.bund.de (Martin Bley) Date: Fri, 15 Oct 2010 11:38:58 +0200 Subject: [Postfixbuch-users] recipient_access und sender_access kombiniert In-Reply-To: <4CB80EE2.6030908@drobic.de> References: <201010150942.24640.martin.bley@bvl.bund.de> <4CB80EE2.6030908@drobic.de> Message-ID: <201010151139.05574.martin.bley@bvl.bund.de> > http://www.postfix.org/RESTRICTION_CLASS_README.html > > Für einfache Fälle ist dies das richtige Mittel, wenn du viele dieser > Restriction_classes aufsetzen musst, solltest du einen Policy-Server > wie postfwd einsetzen. der einfache Fall ist genau das richtige. Vielen Dank. Für Interessierte hier meine Lösung: main.cf: smtpd_restriction_classes = restricted_senders_only restricted_senders_only = check_sender_access hash:/etc/postfix/allowed_senders, reject smtpd_recipient_restrictions = ... permit_mynetworks, reject_unauth_destination, check_recipient_access hash:/etc/postfix/recipient_access, permit recipient_access: dummy at bar.org restricted_senders_only allowed_senders: eins at foo.com OK zwei at foo.com OK drei at foo.com OK Viele Grüße, Martin -- Martin Bley Bundesamt für Verbraucherschutz und Lebensmittelsicherheit (BVL) - Referat Z03 - Informations- und Kommunikationstechnik, Informationssysteme Messeweg 11/12 38104 Braunschweig E-Mail: martin.bley at bvl.bund.de Tel.: +49 (0) 531 299-3561 Fax: +49 (0) 531 299-3002 http://www.bvl.bund.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From simon.passlack at googlemail.com Fri Oct 15 11:58:34 2010 From: simon.passlack at googlemail.com (simon.passlack at googlemail.com) Date: Fri, 15 Oct 2010 11:58:34 +0200 Subject: [Postfixbuch-users] DNSWL in Postfix Message-ID: Hallo Liste, da der Bezug der DNSWL via rsync demnächst kostenpflichtig wird, suche ich nach einem Weg diese auf andere Weise in Postfix einzubinden, also via DNS. (100000 DNS queries/24h sind für non-profit weiterhin erlaubt. Da bin ich auf dieser Kiste bedeutend drunter). Bisher habe ich mir die DNSWL 2x täglich per rsync geholt und wie auf http://www.dnswl.org/tech beschrieben eingebunden. Was ich nun bräuchte ist ein Parameter "permit_rbl_client" analog zu "reject_rbl_client" um diesen vor den RBLs und dem Greylisting einzufügen. Leider scheint es so etwas nicht zu geben. Welche Möglichkeiten gibt es die DNSWL als whitelist in Postfix einzubinden? Grüße Simon From rog7993 at web.de Fri Oct 15 12:20:28 2010 From: rog7993 at web.de (rog7993 at web.de) Date: Fri, 15 Oct 2010 12:20:28 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?=22rate_limiting=22_f=FCr_ausg?= =?iso-8859-1?q?ehende_Mails?= In-Reply-To: <20101014073426.GE1466@charite.de> References: <4CB638F6.1070504@web.de> <20101014073426.GE1466@charite.de> Message-ID: <4CB82AEC.6080303@web.de> Hallo, Am 14.10.2010 09:34, schrieb Ralf Hildebrandt: > Du kannst nun statt nur mit relayhost auch mit smtp_fallback_relay > arbeiten. Alles was der relayhost nicht abnimmt wird nochmal via > smtp_fallback_relay probiert. Mit einer weiteren IP-Adresse, oder wie? > Die Frage ist, wie schnell darf man wieder senden sobald man das Limit > erreicht hat? Nach 3 Minuten. Zumindest, wenn man die erlaubten 60 Mails pro 3 min sehr schnell (am Anfang des 3 min Zeitraumes) ausgeliefert hat. Ob das nun ein gleitendes Fenster oder ein fixes ist, weiß ich nicht. Man wird auf jeden Fall nicht längere Zeit, quasi als Bestrafung, gesperrt. >> smtp_destination_concurrency_limit = 1 >> smtp_destination_rate_delay = 1 > > 1 Mailverbindung, 1 Mails/s = 60 Mails/min = 180 Mails/min Das verstehe ich nun nicht. Warum 180 Mails/min. Oder sollte das 3 Minuten lauten? Das erreiche ich aber auch nicht. Ich komme auf ca. 43 Mails/min. Das Ausliefern einer Mail braucht ja auch ein wenig Zeit und dann kommt noch 1 sec Verzögerung dazu. Schön wäre es, wenn man eine Verzögerung definieren könnte, die kleiner als eine Sekunde ist. In diesem Fall wäre wohl 0.5 sec ideal. >> Ich könnte mir auch vorstellen, die Default-Parameter >> ... >> auf kleinere Werte zu setzen, z.B. >> >> minimal_backoff_time = 180s >> maximal_backoff_time = 1000s >> queue_run_delay = 90s > > ja > Wäre ne idee Das bremst immer noch zu stark. Besser ist es, wenn man das Ansteigen der Zeit, die eine Mail nach mehreren fehlgeschlagenen Auslieferversuchen in der deferred-Queue bleibt, abschaltet, also maximal_backoff_time = $minimal_backoff_time > Du könntest SELBER zwei DNS Records definieren, welche jeweils auf 3 Adressen > des Relayhosts zeigen. Dann sagst du: > > relayhost = [eintrag-a] > smtp_fallback_relay = [eintrag-b] Ideal finde ich dies aber nicht. Dann muss ich ja selber hinterhersein, wenn der Betreiber des Relayhosts seinen MX-Record ändert. Das bekomme ich ja nicht automatisch mit. Ich habe gestern einige Tests gemacht und mich immer gewundert, warum nur eine Mail je Verbindung übertragen wird, obwohl smtp_connection_cache_on_demand auf "yes" stand bzw. in smtp_connection_cache_destinations der mx-Record des Relayhosts bzw. die einzelnen Hostnamen, die sich hinter dem mx-Record des Relayhosts verbergen. Bis ich zu später Stunde darüber gestolpert bin: http://www.postfix.org/CONNECTION_CACHE_README.html#limitations TLS ausgeschaltet und schon flutscht es. Entgegen den Parametern, die mir vom Betreiber des Relayhosts genannt wurden (30 Mails je Verbindung) wurden ca. 100 übertragen. Das sind nun Werte, mit denen ich leben kann. Gruß, Ingo From daniel at dlutt.de Fri Oct 15 13:38:16 2010 From: daniel at dlutt.de (Daniel Luttermann) Date: Fri, 15 Oct 2010 13:38:16 +0200 Subject: [Postfixbuch-users] DNSWL in Postfix In-Reply-To: References: Message-ID: <835957432.20101015133816@dlutt.de> simon.passlack at googlemail.com wrote on 10/15/2010: > Was ich nun bräuchte ist ein Parameter "permit_rbl_client" analog zu > "reject_rbl_client" um diesen vor den RBLs und dem Greylisting > einzufügen. Leider scheint es so etwas nicht zu geben. Welche > Möglichkeiten gibt es die DNSWL als whitelist in Postfix einzubinden? Mit postfwd ist das möglich. Info: http://www.postfwd.org/ -- Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 486 bytes Beschreibung: nicht verfügbar URL : From c at roessner-network-solutions.com Fri Oct 15 14:04:03 2010 From: c at roessner-network-solutions.com (Christian Roessner) Date: Fri, 15 Oct 2010 14:04:03 +0200 Subject: [Postfixbuch-users] DNSWL in Postfix In-Reply-To: References: Message-ID: Hi, > da der Bezug der DNSWL via rsync demnächst kostenpflichtig wird, suche > ich nach einem Weg diese auf andere Weise in Postfix einzubinden, also > via DNS. (100000 DNS queries/24h sind für non-profit weiterhin > erlaubt. Da bin ich auf dieser Kiste bedeutend drunter). Bisher habe > ich mir die DNSWL 2x täglich per rsync geholt und wie auf > http://www.dnswl.org/tech beschrieben eingebunden. > > Was ich nun bräuchte ist ein Parameter "permit_rbl_client" analog zu > "reject_rbl_client" um diesen vor den RBLs und dem Greylisting > einzufügen. Leider scheint es so etwas nicht zu geben. Welche > Möglichkeiten gibt es die DNSWL als whitelist in Postfix einzubinden? ich habe ein Projekt gegründet: http://www.roessner-network-solutions.com/?p=626 Es ist ein Policy-Server geschrieben in Python. Noch recht jung. Aber ich verwende ihn schon. Er kann ipv4/ipv6 Queires zu sbl.spamhaus.org und lists.dnswl.org, sowie domainkey-foo zu der dwl.spamhaus.org. Kann man konfigurieren. Es kommt noch eine Amavis-SQL-Anbindung. Wahrscheinlich kommende Woche. Kann aber noch nichts über Stabilität sage, da auf meinem Server wenig Traffic los ist. Würde mich über Feedback freuen LG Christian --- Roessner-Network-Solutions Bachelor of Science Informatik Nahrungsberg 81, 35390 Gießen F: +49 641 5879091, M: +49 176 93118939 USt-IdNr.: DE225643613 http://www.roessner-network-solutions.com -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 486 bytes Beschreibung: Signierter Teil der Nachricht URL : From Ralf.Hildebrandt at charite.de Fri Oct 15 14:43:40 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 15 Oct 2010 14:43:40 +0200 Subject: [Postfixbuch-users] =?utf-8?q?=22rate_limiting=22_f=C3=BCr_ausgeh?= =?utf-8?q?ende_Mails?= In-Reply-To: <4CB82AEC.6080303@web.de> References: <4CB638F6.1070504@web.de> <20101014073426.GE1466@charite.de> <4CB82AEC.6080303@web.de> Message-ID: <20101015124340.GL21803@charite.de> * rog7993 at web.de : > Hallo, > > Am 14.10.2010 09:34, schrieb Ralf Hildebrandt: > > Du kannst nun statt nur mit relayhost auch mit smtp_fallback_relay > > arbeiten. Alles was der relayhost nicht abnimmt wird nochmal via > > smtp_fallback_relay probiert. > > Mit einer weiteren IP-Adresse, oder wie? Mit was immer du da einträgst. > > 1 Mailverbindung, 1 Mails/s = 60 Mails/min = 180 Mails/min > > Das verstehe ich nun nicht. Warum 180 Mails/min. Oder sollte das 3 > Minuten lauten? letzteres > Das erreiche ich aber auch nicht. Ich komme auf ca. 43 Mails/min. Das > Ausliefern einer Mail braucht ja auch ein wenig Zeit und dann kommt > noch 1 sec Verzögerung dazu. Schön wäre es, wenn man eine Verzögerung > definieren könnte, die kleiner als eine Sekunde ist. In diesem Fall > wäre wohl 0.5 sec ideal. Das geht leider nicht. > Das bremst immer noch zu stark. Besser ist es, wenn man das Ansteigen > der Zeit, die eine Mail nach mehreren fehlgeschlagenen > Auslieferversuchen in der deferred-Queue bleibt, abschaltet, also > > maximal_backoff_time = $minimal_backoff_time ja > > Du könntest SELBER zwei DNS Records definieren, welche jeweils auf 3 Adressen > > des Relayhosts zeigen. Dann sagst du: > > > > relayhost = [eintrag-a] > > smtp_fallback_relay = [eintrag-b] > > Ideal finde ich dies aber nicht. Dann muss ich ja selber hinterhersein, > wenn der Betreiber des Relayhosts seinen MX-Record ändert. Das bekomme > ich ja nicht automatisch mit. Und selber direkt schicken? Oder geht das nicht weil dialup? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From rog7993 at web.de Fri Oct 15 18:44:25 2010 From: rog7993 at web.de (rog7993 at web.de) Date: Fri, 15 Oct 2010 18:44:25 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?=22rate_limiting=22_f=FCr_ausg?= =?iso-8859-1?q?ehende_Mails?= In-Reply-To: <20101015124340.GL21803@charite.de> References: <4CB638F6.1070504@web.de> <20101014073426.GE1466@charite.de> <4CB82AEC.6080303@web.de> <20101015124340.GL21803@charite.de> Message-ID: <4CB884E9.6020709@web.de> Hallo, Am 15.10.2010 14:43, schrieb Ralf Hildebrandt: > Und selber direkt schicken? Oder geht das nicht weil dialup? Doch, technisch ginge das schon. Wollen wir aber nicht. Ich werde wohl TLS auf dieser Strecke abschalten. Und dann gehen auch die gelegentlichen Newsletter schnell genug raus, ohne lange in der Queue unseres Mailgateways zu landen und andere Mails zu blockieren. Für unseren normalen Mailverkehr sind die Limitierungen des Relayhosts eh keine Problem. Gruß, Ingo From driessen at fblan.de Sat Oct 16 02:30:09 2010 From: driessen at fblan.de (Driessen) Date: Sat, 16 Oct 2010 02:30:09 +0200 Subject: [Postfixbuch-users] Werbung mit <> absender? Message-ID: <003301cb6cc9$4a6b3f80$0565a8c0@uwe> Hallo Mal wieder was neues. Freenet verschickt seine "newsletter" mit einem <> laut logfile Oct 16 02:08:28 mail postfix/smtpd[29918]: connect from mout0.freenet.de[2001:748:100:40::2:2] Oct 16 02:08:28 mail postfix/smtpd[29918]: setting up TLS connection from mout0.freenet.de[2001:748:100:40::2:2] Oct 16 02:08:28 mail postfix/smtpd[29918]: Anonymous TLS connection established from mout0.freenet.de[2001:748:100:40::2:2]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Oct 16 02:08:30 mail postfix/smtpd[29918]: NOQUEUE: client=mout0.freenet.de[2001:748:100:40::2:2] Oct 16 02:08:30 mail postfix/smtpd[29922]: connect from localhost[127.0.0.1] Oct 16 02:08:30 mail postfix/smtpd[29922]: F0857320584: client=localhost[127.0.0.1] Oct 16 02:08:30 mail postfix/cleanup[29923]: F0857320584: message-id= Oct 16 02:08:31 mail postfix/qmgr[8236]: F0857320584: from=<>, size=8994, nrcpt=1 (queue active) Oct 16 02:08:31 mail postfix/smtpd[29922]: disconnect from localhost[127.0.0.1] Oct 16 02:08:31 mail postfix/smtpd[29918]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok, id=02302-30, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as F0857320584; from=<> to= proto=ESMTP helo= Oct 16 02:08:31 mail postfix/smtpd[29918]: disconnect from mout0.freenet.de[2001:748:100:40::2:2] Oct 16 02:08:31 mail postfix/pipe[29924]: F0857320584: to=, relay=dovecot, delay=0.3, delays=0.27/0.01/0/0.02, dsn=2.0.0, status=sent (delivered via dovecot service) Das finde ich schon ein bisschen arg dreist den <> zu missbrauchen. Kennt jemand ähnliches? Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From andreas.schulze at datev.de Sat Oct 16 11:58:36 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Sat, 16 Oct 2010 11:58:36 +0200 Subject: [Postfixbuch-users] Werbung mit <> absender? In-Reply-To: <003301cb6cc9$4a6b3f80$0565a8c0@uwe> References: <003301cb6cc9$4a6b3f80$0565a8c0@uwe> Message-ID: <20101016095836.GC27268@spider.services.datevnet.de> Am 16.10.2010 02:30 schrieb Driessen: > Freenet verschickt seine "newsletter" mit einem <> laut logfile > Das finde ich schon ein bisschen arg dreist den <> zu missbrauchen. die Verwendung des leeren Absenders könnte man auch so interpretieren: "Wir möchten garantiert keine Antworten und Fehlermeldungen. Ob Mails zustellbar sind, interessiert uns nicht." das riecht praktisch schon nach spam ... -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From c at roessner-network-solutions.com Sat Oct 16 12:07:35 2010 From: c at roessner-network-solutions.com (Christian Roessner) Date: Sat, 16 Oct 2010 12:07:35 +0200 Subject: [Postfixbuch-users] Werbung mit <> absender? In-Reply-To: <20101016095836.GC27268@spider.services.datevnet.de> References: <003301cb6cc9$4a6b3f80$0565a8c0@uwe> <20101016095836.GC27268@spider.services.datevnet.de> Message-ID: <20EAB762-8A1B-4B9B-93EF-7A2CC24C14CC@roessner-network-solutions.com> >> Freenet verschickt seine "newsletter" mit einem <> laut logfile >> Das finde ich schon ein bisschen arg dreist den <> zu missbrauchen. > > die Verwendung des leeren Absenders könnte man auch so interpretieren: > "Wir möchten garantiert keine Antworten und Fehlermeldungen. > Ob Mails zustellbar sind, interessiert uns nicht." > > das riecht praktisch schon nach spam ... Ich habe mich eben herrlich verlesen. Ich las: das riecht praktisch schon nach Strafe ... LG Christian --- Roessner-Network-Solutions Bachelor of Science Informatik Nahrungsberg 81, 35390 Gießen F: +49 641 5879091, M: +49 176 93118939 USt-IdNr.: DE225643613 http://www.roessner-network-solutions.com -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PGP.sig Dateityp : application/pgp-signature Dateigröße : 486 bytes Beschreibung: Signierter Teil der Nachricht URL : From andreas.schulze at datev.de Sat Oct 16 15:16:25 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Sat, 16 Oct 2010 15:16:25 +0200 Subject: [Postfixbuch-users] Werbung mit <> absender? In-Reply-To: <20EAB762-8A1B-4B9B-93EF-7A2CC24C14CC@roessner-network-solutions.com> References: <003301cb6cc9$4a6b3f80$0565a8c0@uwe> <20101016095836.GC27268@spider.services.datevnet.de> <20EAB762-8A1B-4B9B-93EF-7A2CC24C14CC@roessner-network-solutions.com> Message-ID: <20101016131625.GB12608@spider.services.datevnet.de> Am 16.10.2010 12:07 schrieb Christian Roessner: > > das riecht praktisch schon nach spam ... > > Ich habe mich eben herrlich verlesen. Ich las: > das riecht praktisch schon nach Strafe ... wie das wohl passieren konnte !? -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From spamfiltered at gmx.net Sat Oct 16 15:38:31 2010 From: spamfiltered at gmx.net (wolfgang) Date: Sat, 16 Oct 2010 15:38:31 +0200 Subject: [Postfixbuch-users] Werbung mit <> absender? In-Reply-To: <20101016095836.GC27268@spider.services.datevnet.de> References: <003301cb6cc9$4a6b3f80$0565a8c0@uwe> <20101016095836.GC27268@spider.services.datevnet.de> Message-ID: <201010161538.31378.spamfiltered@gmx.net> In an older episode (Saturday, 16. October 2010), Andreas Schulze wrote: > Am 16.10.2010 02:30 schrieb Driessen: > die Verwendung des leeren Absenders könnte man auch so > interpretieren: "Wir möchten garantiert keine Antworten Das wäre aber eine Fehlinterpretation, denn Antworten gehen nicht an den Envelope-Sender, siehe Mails mit From: mailer-daemon at irgendwas, die mit Envelope Sender <> verschickt werden. > und > Fehlermeldungen. Ob Mails zustellbar sind, interessiert uns nicht." Wohl wahr. > > das riecht praktisch schon nach spam ... Das heisst aber trotzdem noch _nicht_, dass die Empfänger die Mail nicht haben wollen ;) gruß, wolfgang From driessen at fblan.de Sat Oct 16 20:18:28 2010 From: driessen at fblan.de (Driessen) Date: Sat, 16 Oct 2010 20:18:28 +0200 Subject: [Postfixbuch-users] Werbung mit <> absender? In-Reply-To: <201010161538.31378.spamfiltered@gmx.net> References: <003301cb6cc9$4a6b3f80$0565a8c0@uwe><20101016095836.GC27268@spider.services.datevnet.de> <201010161538.31378.spamfiltered@gmx.net> Message-ID: <000c01cb6d5e$88025a00$0565a8c0@uwe> On Behalf Of wolfgang > In an older episode (Saturday, 16. October 2010), Andreas Schulze wrote: > > Am 16.10.2010 02:30 schrieb Driessen: > > > die Verwendung des leeren Absenders könnte man auch so > > interpretieren: "Wir möchten garantiert keine Antworten > > Das wäre aber eine Fehlinterpretation, denn Antworten gehen nicht an den > Envelope-Sender, siehe Mails mit > From: mailer-daemon at irgendwas, die mit Envelope Sender <> verschickt > werden. > > > und > > Fehlermeldungen. Ob Mails zustellbar sind, interessiert uns nicht." > > Wohl wahr. > > > > > das riecht praktisch schon nach spam ... > > Das heisst aber trotzdem noch _nicht_, dass die Empfänger die Mail nicht > haben wollen ;) > Wer will denn Werbung haben? (>Umleitung auf Wolfgang einrichtet *gg) Hier geht es nicht darum denen die Werbung zu verbieten. Ich erwarte auch von einem FREEMAILER (wenn die das denn überhaupt noch sind) das die sich an die Spielregeln halten. Alles was an Fehlerbehandlung erfolgen müsste geht nicht mehr nur weil die meinen sie müssten sich nicht benehmen und das ist dann schon ein verhalten das ich mit der Spammafia gleichsetze. Und das von einem Unternehmen das auch in Deutschland ansässig ist sorry wo kommen wir denn hin wenn das dann alle so machen? Für meinen Teil kann ich keine Mails mehr mit leerem Absender von denen annehmen. Kann ja auch ein Fehler in deren config sein dann sollen sie es halt fixen! @ Ralf Hildebrand: gibt es für so was auch eine Blacklist zum einwerfen? *gg RFC konform ist das ja nicht Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From simon.passlack at googlemail.com Mon Oct 18 14:15:37 2010 From: simon.passlack at googlemail.com (simon.passlack at googlemail.com) Date: Mon, 18 Oct 2010 14:15:37 +0200 Subject: [Postfixbuch-users] DNSWL in Postfix In-Reply-To: <835957432.20101015133816@dlutt.de> References: <835957432.20101015133816@dlutt.de> Message-ID: >> Was ich nun bräuchte ist ein Parameter "permit_rbl_client" analog zu >> "reject_rbl_client" um diesen vor den RBLs und dem Greylisting >> einzufügen. Leider scheint es so etwas nicht zu geben. Welche >> Möglichkeiten gibt es die DNSWL als whitelist in Postfix einzubinden? > Mit postfwd ist das möglich. Info: > http://www.postfwd.org/ Super, danke! Macht das was es soll und war Ruck-Zuck eingerichtet. Simon From alex.handle at gmail.com Mon Oct 18 14:28:38 2010 From: alex.handle at gmail.com (alex handle) Date: Mon, 18 Oct 2010 14:28:38 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?reject=5Funverified=5Frecipien?= =?iso-8859-1?q?t_und_caching_Verst=E4ndnisfrage?= Message-ID: Hallo Liste! Bin gerade dabei ein Mailgateway für ein paar externe Domains aufzubauen. Leider habe ich nicht die Möglichkeit die Accountdaten zu synchronisieren, deshalb habe ich mir gedacht ich löse das Problem mittels Recipient Verification. Möchte nämlich kein Backscatter-Source sein ;) Jetzt besteht leider nur das Problem die richtigen Einstellungen für das Caching der Empfängeradressen zu finden. Die Standardeinstellungen zum positiv Caching finde ich ziemlich gut, jedoch beim negativ Caching gibts noch Probleme. Generell wollte ich das negativ Caching deaktivieren, da ich denke, dass die Datenbank ziemlich schnell zugemüllt ist, und die meisten Spammer immer neue Adressen generieren, jedoch bei der Einstellung "address_verify_negative_cache = no" wird immer beim 1. Versuch ein temporärer Fehler zurück gegeben, dies möchte ich jedoch vermeiden. Ich habe mir auch den Parameter "address_verify_negative_refresh_time = 3h" angesehen. Wenn ich das richtig verstanden habe prüft Postfix jede nicht existierende Adresse alle 3 Stunden am Backend-Server. Falls es die Adresse auf einmal doch gibt wird die expire-time abgwartet ansonsten wird die expire-time erneuert? Bei einer dictionary attack würde das ja bedeuten, dass erstmal alle nicht gültigen Adressen in der Verfify DB landen, und dann noch alle 3 Stunden auf dem Backend-Server verifiziert werden. Das würde ja heißen, dass die Attacke den Backend-Server mehrmals belastet. Hab ich hier was komplett falsch verstanden? Wie löst ihr das Problem in der Praxis? Was wären hier die optimalen Einstellungen um die DB nicht zuzumüllen und die Backend-Server nicht zu sehr zu belasten. Mein Idee wäre folgende: address_verify_negative_expire_time = 2h address_verify_negative_refresh_time = 3h Alle negativ Einträge werden nur 2 Stunden gecached, dann autom. gelöscht. Die refresh_time ist größer als die expire_time und ein Refresh kommt deshalb nie zustande. Vielen Dank für eure Hilfe! Alex From andreas.schulze at datev.de Tue Oct 19 07:27:45 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 19 Oct 2010 07:27:45 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?reject=5Funverified=5Frecipien?= =?iso-8859-1?q?t_und_caching_Verst=E4ndnisfrage?= In-Reply-To: References: Message-ID: <20101019052745.GA21193@spider.services.datevnet.de> Am 18.10.2010 14:28 schrieb alex handle: > Ich habe mir auch den Parameter "address_verify_negative_refresh_time > = 3h" angesehen. > Wenn ich das richtig verstanden habe prüft Postfix jede nicht > existierende Adresse alle 3 Stunden am Backend-Server. > Falls es die Adresse auf einmal doch gibt wird die expire-time > abgwartet ansonsten wird die expire-time erneuert? nicht an sovielen Parametern drehen > > Bei einer dictionary attack würde das ja bedeuten, dass erstmal alle > nicht gültigen Adressen in der Verfify DB landen, und dann noch > alle 3 Stunden auf dem Backend-Server verifiziert werden. Das würde ja > heißen, dass die Attacke den Backend-Server mehrmals belastet. habe ich noch nicht beobachtet > > address_verify_negative_refresh_time = 3h address_verify_negative_refresh_time = 30m und diese Zeit in die Köpfe der Anwender bringen. > ich habe verify für mehrere hundert Domains aktiv. die address_verify_map bleibt bei aber unter 10 MB. -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From andreas.schulze at datev.de Tue Oct 19 08:44:04 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 19 Oct 2010 08:44:04 +0200 Subject: [Postfixbuch-users] was bedeutet delays= im log ? Message-ID: <20101019064403.GA28146@spider.services.datevnet.de> Hallo, ich bin wiedermal auf der Suche nach der genauen Bedeutung der einzelnen Werte der delays= Einträg im postfix log. ... ich werd's mir wohl nun mal aufschreiben ... Danke -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From alex.handle at gmail.com Tue Oct 19 09:14:38 2010 From: alex.handle at gmail.com (alex handle) Date: Tue, 19 Oct 2010 09:14:38 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?reject=5Funverified=5Frecipien?= =?iso-8859-1?q?t_und_caching_Verst=E4ndnisfrage?= In-Reply-To: <20101019052745.GA21193@spider.services.datevnet.de> References: <20101019052745.GA21193@spider.services.datevnet.de> Message-ID: 2010/10/19 Andreas Schulze : > Am 18.10.2010 14:28 schrieb alex handle: >> Ich habe mir auch den Parameter "address_verify_negative_refresh_time >> = 3h" angesehen. >> Wenn ich das richtig verstanden habe prüft Postfix jede nicht >> existierende Adresse alle 3 Stunden am Backend-Server. >> Falls es die Adresse auf einmal doch gibt wird die expire-time >> abgwartet ansonsten wird die expire-time erneuert? > nicht an sovielen Parametern drehen >> >> Bei einer dictionary attack würde das ja bedeuten, dass erstmal alle >> nicht gültigen Adressen in der Verfify DB landen, und dann noch >> alle 3 Stunden auf dem Backend-Server verifiziert werden. Das würde ja >> heißen, dass die Attacke den Backend-Server mehrmals belastet. > habe ich noch nicht beobachtet >> >> address_verify_negative_refresh_time = 3h > address_verify_negative_refresh_time = 30m > und diese Zeit in die Köpfe der Anwender bringen. >> > > ich habe verify für mehrere hundert Domains aktiv. > die address_verify_map bleibt bei aber unter 10 MB. > Danke für deine Erfahrungen! Aber kann mir jemand erklären was der Parameter address_verify_negative_refresh_time eigentlich macht und wie er in Beziehung mit address_verify_negative_expire_time steht? Alex From p.heinlein at heinlein-support.de Tue Oct 19 09:25:19 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 19 Oct 2010 09:25:19 +0200 Subject: [Postfixbuch-users] was bedeutet delays= im log ? In-Reply-To: <20101019064403.GA28146@spider.services.datevnet.de> References: <20101019064403.GA28146@spider.services.datevnet.de> Message-ID: <201010190925.20213.p.heinlein@heinlein-support.de> Am Dienstag, 19. Oktober 2010, 08:44:04 schrieb Andreas Schulze: > ich bin wiedermal auf der Suche nach der genauen Bedeutung der einzelnen > Werte der delays= Einträg im postfix log. Analyse my Mailversand ? Postfix loggt einen neuen ?delay?Wert: delays=a/b/c/d ? So kann genauer der Flaschenhals analysiert werden: ? a=Zeit bis die Mail in der Queue war (d.h. inkl. Empfangszeit) ? b=Zeit, die die Mail in der Queue war ? c=Zeit für den Verbindungsaufbau (DNS, HELO und TLS) ? d=Übertragungszeit für den Versand ? a+b+c+d = delay ? Alle Angaben in Sekunden > ... ich werd's mir wohl nun mal aufschreiben ... Liest Du hier: http://www.heinlein-support.de/upload/unsere_vortraege/HS_Postfix-2.0- bis-2.4-Was%20ist-passiert.pdf und dann Seite 10. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From andreas.schulze at datev.de Tue Oct 19 11:01:48 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 19 Oct 2010 11:01:48 +0200 Subject: [Postfixbuch-users] was bedeutet delays= im log ? In-Reply-To: <201010190925.20213.p.heinlein@heinlein-support.de> References: <20101019064403.GA28146@spider.services.datevnet.de> <201010190925.20213.p.heinlein@heinlein-support.de> Message-ID: <20101019090147.GA21838@spider.services.datevnet.de> danke ist notiert :-) Am 19.10.2010 09:25 schrieb Peer Heinlein: > ? a=Zeit bis die Mail in der Queue war (d.h. inkl. Empfangszeit) > ? b=Zeit, die die Mail in der Queue war > ? c=Zeit für den Verbindungsaufbau (DNS, HELO und TLS) > ? d=Übertragungszeit für den Versand -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From SusanneKaufmann at gmx.de Wed Oct 20 12:44:45 2010 From: SusanneKaufmann at gmx.de (Susanne Kaufmann) Date: Wed, 20 Oct 2010 12:44:45 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? Message-ID: <003901cb7043$cfbd98e0$6f38caa0$@de> Hallo zusammen, ich habe letztens einen Server neu aufgesetzt und habe seitdem Probleme mit Backscatter-Mails. Ich kann mir das aber nicht so ganz erklären. Evtl. könnte jemand einmal einen Blick auf meine Postfix-Konfiguration werfen. Vielen Dank schon einmal im Voraus. Viele Grüße, Susanne main.cf smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no readme_directory = no smtpd_tls_cert_file=/etc/ssl/certs/smtpd.cert smtpd_tls_key_file=/etc/ssl/private/smtpd.key smtpd_use_tls=yes smtpd_enforce_tls = no smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_tls_auth_only = no smtpd_tls_loglevel = 2 myhostname = xx.yy.zz alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = aabbcc.stratoserver.net, localhost.stratoserver.net, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 aa.bb.cc.dd mailbox_size_limit = 0 recipient_delimiter = + message_size_limit = 104857600 inet_interfaces = all virtual_alias_domains = virtual_alias_maps = mysql:/etc/postfix/vms-forwardings.cf mysql:/etc/postfix/vms-email2email.cf virtual_mailbox_domains = mysql:/etc/postfix/vms-domains.cf virtual_mailbox_maps = mysql:/etc/postfix/vms-mailboxes.cf virtual_mailbox_base = /home/vmail virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 sender_canonical_maps = mysql:/etc/postfix/vms-mysql_sender_canonical.cf smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_security_options = noanonymous smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, permit_mx_backup, reject_invalid_hostname, reject_unauth_destination, reject_unverified_sender smtpd_tls_loglevel = 1 maildrop_destination_recipient_limit = 1 virtual_transport = maildrop smtp_bind_address = aa.bb.cc.dd content_filter = scan:aa.bb.cc.dd:10025 receive_override_options = no_address_mappings header_checks = regexp:/etc/postfix/maps/header_checks always_bcc = admin at aa.bb.cc.de bounce_template_file = /etc/postfix/bounce.de-DE.cf var_flock_tries = 40 From dieter.ringen at polizei.niedersachsen.de Wed Oct 20 12:57:48 2010 From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur)) Date: Wed, 20 Oct 2010 12:57:48 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: References: Message-ID: <4CBECB2C.5010801@polizei.niedersachsen.de> Hallo Susanne. Ich meine, das hatten wir erst am 13.10. Habe mal die Frage und Antwort von Peer hier angefügt. Genau diese Option hast du auch in deiner main.cf Am Mittwoch, 13. Oktober 2010, 12:52:41 schrieb Hajo Locke: > > kann es sein das backscatterer.org auch eine Rückprüfung auf Existenz per > > "reject unverified sender" als Backscattering deutet? Ja, denn das IST Backscattering. Und aus genau diesem Grunde darf/will man auch kein reject_unverified_sender benutzen. > > Einen anderen Impact zum genannten Zeitpunkt kann ich im Log beim besten > > Willen nicht sehen. Das *IST* ein Impact wie ein Kanonenschlag. > > Mag sein das die schon recht haben und dies im engeren Sinne auch > > backscattering ist, aber man kann es auch übertreiben. Die Webseite Nein, das hat mit Übertreiben überhaupt nichts zu tun. Wenn ich 10 Millionen-Spammails mit Deiner Domain raussende und Du dann 2 Millionen Sender-Verify-Anfragen kriegst, dann IST das ein DDoS gegen Dich, dann IST Dein System platt, dann IST das genau das gleiche für Dich, als wenn Du 2 Millionen Bounces bekommst. Peer Susanne Kaufmann schrieb: > Hallo zusammen, > > ich habe letztens einen Server neu aufgesetzt und habe seitdem Probleme mit > Backscatter-Mails. Ich kann mir das aber nicht so ganz erklären. Evtl. > könnte jemand einmal einen Blick auf meine Postfix-Konfiguration werfen. > Vielen Dank schon einmal im Voraus. > > Viele Grüße, > Susanne > > > > > main.cf > > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > biff = no > append_dot_mydomain = no > readme_directory = no > > smtpd_tls_cert_file=/etc/ssl/certs/smtpd.cert > smtpd_tls_key_file=/etc/ssl/private/smtpd.key > smtpd_use_tls=yes > smtpd_enforce_tls = no > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_tls_auth_only = no > smtpd_tls_loglevel = 2 > > myhostname = xx.yy.zz > alias_maps = hash:/etc/aliases > alias_database = hash:/etc/aliases > myorigin = /etc/mailname > mydestination = aabbcc.stratoserver.net, localhost.stratoserver.net, > localhost > relayhost = > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 aa.bb.cc.dd > mailbox_size_limit = 0 > recipient_delimiter = + > message_size_limit = 104857600 > inet_interfaces = all > virtual_alias_domains = > virtual_alias_maps = mysql:/etc/postfix/vms-forwardings.cf > mysql:/etc/postfix/vms-email2email.cf > virtual_mailbox_domains = mysql:/etc/postfix/vms-domains.cf > virtual_mailbox_maps = mysql:/etc/postfix/vms-mailboxes.cf > virtual_mailbox_base = /home/vmail > virtual_uid_maps = static:5000 > virtual_gid_maps = static:5000 > sender_canonical_maps = mysql:/etc/postfix/vms-mysql_sender_canonical.cf > smtpd_sasl_auth_enable = yes > broken_sasl_auth_clients = yes > smtpd_sasl_security_options = noanonymous > smtpd_recipient_restrictions = reject_unknown_sender_domain, > reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, > permit_mx_backup, reject_invalid_hostname, reject_unauth_destination, > reject_unverified_sender > smtpd_tls_loglevel = 1 > maildrop_destination_recipient_limit = 1 > virtual_transport = maildrop > > smtp_bind_address = aa.bb.cc.dd > > content_filter = scan:aa.bb.cc.dd:10025 > receive_override_options = no_address_mappings > header_checks = regexp:/etc/postfix/maps/header_checks > always_bcc = admin at aa.bb.cc.de > bounce_template_file = /etc/postfix/bounce.de-DE.cf > var_flock_tries = 40 > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > -- mit freundlichem Gruß Dieter Ringen Zentrale Polizeidirektion ( ZPD ) Dezernat 42.5.4 - IT - Infrastruktur Tel: 0511 9695 -7653 Fax: 0511 9695697653 mailto:dieter.ringen at polizei.niedersachsen.de From SusanneKaufmann at gmx.de Wed Oct 20 13:03:16 2010 From: SusanneKaufmann at gmx.de (Susanne Kaufmann) Date: Wed, 20 Oct 2010 13:03:16 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: <003901cb7043$cfbd98e0$6f38caa0$@de> References: <003901cb7043$cfbd98e0$6f38caa0$@de> Message-ID: <003d01cb7046$65f9ea50$31edbef0$@de> Jetzt habe ich die Sorge, dass ich sogar einen Open Relay habe? Ich habe das eigentlich getestet, auch z.B. über abuse.net, und da war nichts. Aber jetzt habe ich von meinem Provider den Hinweis bekommen, dass ich Spam versenden würde. Ich habe einmal die Logfile, die er mir geschickt hat angehängt, wobei XX.XX.XX.XX für meine Server-IP steht: Return-Path: Delivered-To: spamcop-net-x Received: (qmail 330 invoked from network); 19 Oct 2010 22:47:53 -0000 X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on blade2.cesmail.net X-Spam-Level: ************************* X-Spam-Status: hits=25.0 tests=FORGED_MUA_OUTLOOK,FORGED_YAHOO_RCVD, JM_SOUGHT_FRAUD_1,JM_SOUGHT_FRAUD_2,JM_SOUGHT_FRAUD_3,J_CHICKENPOX_21, KAM_LOTTO1,LOTTERY_PH_004470,MILLION_USD,MSOE_MID_WRONG_CASE,SARE_LOTTO_SPAM 2 version=3.2.4 Received: from unknown (192.168.1.88) by blade2.cesmail.net with QMQP; 19 Oct 2010 22:47:53 -0000 Received: from cobalt.pobox.com (64.74.157.53) by mxin1.cesmail.net with SMTP; 19 Oct 2010 22:47:57 -0000 Received: from cobalt.pobox.com (localhost [127.0.0.1]) by cobalt.pobox.com (Postfix) with ESMTP id E6C6840A67E for ; Tue, 19 Oct 2010 18:47:44 -0400 (EDT) Delivered-To: x X-Pobox-Orig-Sender: X-Pobox-Delivery-ID: E29CDA20-DBD2-11DF-B5CD-FE3A97A391DC-35821533!cobalt.pobox.com x-pobox-client-address: XX.XX.XX.XX x-pobox-client-name: www.MEINSERVER.de Received: from mail.MEINSERVER.de (www.MEINSERVER.de [XX.XX.XX.XX]) by cobalt.pobox.com (Postfix) with ESMTP id 989CE40A662 for ; Tue, 19 Oct 2010 18:47:39 -0400 (EDT) Received: by mail.MEINSERVER.de (Postfix, from userid 5000) id DC58316D03DF; Wed, 20 Oct 2010 00:01:19 +0200 (CEST) Received: from User (unknown [82.128.83.167]) by mail.MEINSERVER.de (Postfix) with ESMTPA id 3939616D03DF; Tue, 19 Oct 2010 23:36:26 +0200 (CEST) Reply-To: From: "YAHOO YAHOO" Subject: Spam [48.4] YAHOO LOTTERY RESULTS 2010 Date: Tue, 19 Oct 2010 22:36:35 +0100 MIME-Version: 1.0 Content-Type: text/plain; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Message-Id: <2010___________________03DF at mail.MEINSERVER.de> To: undisclosed-recipients:; X-Spam-Prev-Subject: YAHOO LOTTERY RESULTS 2010 X-Virus-Scanned: ClamAV using ClamSMTP X-SpamCop-Checked: X-SpamCop-Disposition: Blocked SpamAssassin=25 > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- > users-bounces at listen.jpberlin.de] Im Auftrag von Susanne Kaufmann > Gesendet: Mittwoch, 20. Oktober 2010 12:45 > An: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.' > Betreff: [Postfixbuch-users] Konfiguration Postfix Backscatter? > > Hallo zusammen, > > ich habe letztens einen Server neu aufgesetzt und habe seitdem Probleme > mit > Backscatter-Mails. Ich kann mir das aber nicht so ganz erklären. Evtl. > könnte jemand einmal einen Blick auf meine Postfix-Konfiguration > werfen. > Vielen Dank schon einmal im Voraus. > > Viele Grüße, > Susanne > > > > > main.cf > > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > biff = no > append_dot_mydomain = no > readme_directory = no > > smtpd_tls_cert_file=/etc/ssl/certs/smtpd.cert > smtpd_tls_key_file=/etc/ssl/private/smtpd.key > smtpd_use_tls=yes > smtpd_enforce_tls = no > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_tls_auth_only = no > smtpd_tls_loglevel = 2 > > myhostname = xx.yy.zz > alias_maps = hash:/etc/aliases > alias_database = hash:/etc/aliases > myorigin = /etc/mailname > mydestination = aabbcc.stratoserver.net, localhost.stratoserver.net, > localhost > relayhost = > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 aa.bb.cc.dd > mailbox_size_limit = 0 > recipient_delimiter = + > message_size_limit = 104857600 > inet_interfaces = all > virtual_alias_domains = > virtual_alias_maps = mysql:/etc/postfix/vms-forwardings.cf > mysql:/etc/postfix/vms-email2email.cf > virtual_mailbox_domains = mysql:/etc/postfix/vms-domains.cf > virtual_mailbox_maps = mysql:/etc/postfix/vms-mailboxes.cf > virtual_mailbox_base = /home/vmail > virtual_uid_maps = static:5000 > virtual_gid_maps = static:5000 > sender_canonical_maps = mysql:/etc/postfix/vms- > mysql_sender_canonical.cf > smtpd_sasl_auth_enable = yes > broken_sasl_auth_clients = yes > smtpd_sasl_security_options = noanonymous > smtpd_recipient_restrictions = reject_unknown_sender_domain, > reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, > permit_mx_backup, reject_invalid_hostname, reject_unauth_destination, > reject_unverified_sender > smtpd_tls_loglevel = 1 > maildrop_destination_recipient_limit = 1 > virtual_transport = maildrop > > smtp_bind_address = aa.bb.cc.dd > > content_filter = scan:aa.bb.cc.dd:10025 > receive_override_options = no_address_mappings > header_checks = regexp:/etc/postfix/maps/header_checks > always_bcc = admin at aa.bb.cc.de > bounce_template_file = /etc/postfix/bounce.de-DE.cf > var_flock_tries = 40 > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From driessen at fblan.de Wed Oct 20 13:05:52 2010 From: driessen at fblan.de (Driessen) Date: Wed, 20 Oct 2010 13:05:52 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: <003901cb7043$cfbd98e0$6f38caa0$@de> References: <003901cb7043$cfbd98e0$6f38caa0$@de> Message-ID: <000c01cb7046$c2abc610$0565a8c0@uwe> On Behalf Of Susanne Kaufmann > Hallo zusammen, > > ich habe letztens einen Server neu aufgesetzt und habe seitdem Probleme > mit > Backscatter-Mails. Ich kann mir das aber nicht so ganz erklären. Evtl. > könnte jemand einmal einen Blick auf meine Postfix-Konfiguration werfen. > Vielen Dank schon einmal im Voraus. Logauszug einer solchen Mail wäre interessant. An dem könnte man erkennen wo und wie diese Mails evtl. entstehen. > main.cf > > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > biff = no > append_dot_mydomain = no > readme_directory = no > > alias_maps = hash:/etc/aliases > alias_database = hash:/etc/aliases > myorigin = /etc/mailname > mydestination = aabbcc.stratoserver.net, localhost.stratoserver.net, > localhost > relayhost = > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 aa.bb.cc.dd > mailbox_size_limit = 0 > recipient_delimiter = + > message_size_limit = 104857600 > inet_interfaces = all > virtual_alias_domains = > virtual_alias_maps = mysql:/etc/postfix/vms-forwardings.cf > mysql:/etc/postfix/vms-email2email.cf > virtual_mailbox_domains = mysql:/etc/postfix/vms-domains.cf > virtual_mailbox_maps = mysql:/etc/postfix/vms-mailboxes.cf > virtual_mailbox_base = /home/vmail > virtual_uid_maps = static:5000 > virtual_gid_maps = static:5000 > sender_canonical_maps = mysql:/etc/postfix/vms-mysql_sender_canonical.cf > smtpd_sasl_auth_enable = yes > broken_sasl_auth_clients = yes > smtpd_sasl_security_options = noanonymous > smtpd_recipient_restrictions = reject_unknown_sender_domain, hier könnte noch reject_unknown_recipient_domain reject_non_fqdn_recipient reject_unlisted_recipient aufgenommen werden Ohne Gefahr von false Positiven > reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, > permit_mx_backup, reject_invalid_hostname, reject_unauth_destination, > reject_unverified_sender Das ist janz Pöse!!! Deswegen stehst du sehr wahrscheinlich auf den Listen drauf. Es gibt bessere Möglichkeiten zu prüfen ob und wer da sendet. Dafür brauchst du nicht unbeteiligte Dritte belästigen. (gefälschter Absender usw.) Diese Option ist eigentlich geächtet und wird in der Regel nicht akzeptiert. Ansonsten könnte man einfach das disable_vrfy_command = no setzen dann können die Spamer einfach so die Adressen testen. > smtpd_tls_loglevel = 1 > maildrop_destination_recipient_limit = 1 > virtual_transport = maildrop > > smtp_bind_address = aa.bb.cc.dd > > content_filter = scan:aa.bb.cc.dd:10025 Überprüfe ob du nicht besser einen Proxyfilter definierst damit Mails genau an den zurückgehen der auch versucht einzuliefern. > receive_override_options = no_address_mappings > header_checks = regexp:/etc/postfix/maps/header_checks > always_bcc = admin at aa.bb.cc.de > bounce_template_file = /etc/postfix/bounce.de-DE.cf > var_flock_tries = 40 Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From driessen at fblan.de Wed Oct 20 13:15:13 2010 From: driessen at fblan.de (Driessen) Date: Wed, 20 Oct 2010 13:15:13 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: <003d01cb7046$65f9ea50$31edbef0$@de> References: <003901cb7043$cfbd98e0$6f38caa0$@de> <003d01cb7046$65f9ea50$31edbef0$@de> Message-ID: <000d01cb7048$110fde80$0565a8c0@uwe> On Behalf Of Susanne Kaufmann Hallo Susanne bitte auch kein TOFU. Das ist beim Lesen mehr wie hinderlich. > > Jetzt habe ich die Sorge, dass ich sogar einen Open Relay habe? Ich habe > das > eigentlich getestet, auch z.B. über abuse.net, und da war nichts. Aber > jetzt > habe ich von meinem Provider den Hinweis bekommen, dass ich Spam versenden > würde. Ich habe einmal die Logfile, die er mir geschickt hat angehängt, > wobei XX.XX.XX.XX für meine Server-IP steht: Das sind wie es aussieht die Late Bounces deines Systems. Du prüfst relativ wenig wer da überhaupt versucht zu senden. Proxy-filter und Amavis mit spamassassin und Clamav mit den Sanesecuritys hinten dran . Dazu entweder Policyd-Weight und ein paar mehr Restriktionen wie z.B. RBLS / SBLS und schon schaut die Welt ganz anders aus. Evtl. auch die 2.8er Postfix mit Postscreen (obwohl unstable absolut zuverlässig). War selten von einer neuen Funktion so begeistert nur noch 10% der üblichen Spameinlieferungsversuche kommen überhaupt bis zur Einlieferung und müssen über anderes gefunden und rejectet werden. > > Return-Path: > Delivered-To: spamcop-net-x > Received: (qmail 330 invoked from network); 19 Oct 2010 22:47:53 -0000 > X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on > blade2.cesmail.net > X-Spam-Level: ************************* > X-Spam-Status: hits=25.0 tests=FORGED_MUA_OUTLOOK,FORGED_YAHOO_RCVD, > > JM_SOUGHT_FRAUD_1,JM_SOUGHT_FRAUD_2,JM_SOUGHT_FRAUD_3,J_CHICKENPOX_21, > > KAM_LOTTO1,LOTTERY_PH_004470,MILLION_USD,MSOE_MID_WRONG_CASE,SARE_LOTTO_SP > AM > 2 > version=3.2.4 Jap schaut übel aus*gg Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From driessen at fblan.de Wed Oct 20 13:17:43 2010 From: driessen at fblan.de (Driessen) Date: Wed, 20 Oct 2010 13:17:43 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: <000d01cb7048$110fde80$0565a8c0@uwe> References: <003901cb7043$cfbd98e0$6f38caa0$@de><003d01cb7046$65f9ea50$31edbef0$@de> <000d01cb7048$110fde80$0565a8c0@uwe> Message-ID: <000e01cb7048$6a9e3320$0565a8c0@uwe> On Behalf Of Driessen > > Das sind wie es aussieht die Late Bounces deines Systems. > > Du prüfst relativ wenig wer da überhaupt versucht zu senden. > Proxy-filter und Amavis mit spamassassin und Clamav mit den Sanesecuritys > hinten dran . > Dazu entweder Policyd-Weight und ein paar mehr Restriktionen wie z.B. RBLS > / > SBLS und schon schaut die Welt ganz anders aus. Ah noch postgrey vergessen > > Evtl. auch die 2.8er Postfix mit Postscreen (obwohl unstable absolut > zuverlässig). War selten von einer neuen Funktion so begeistert nur noch > 10% > der üblichen Spameinlieferungsversuche kommen überhaupt bis zur > Einlieferung > und müssen über anderes gefunden und rejectet werden. > > > Mit freundlichen Grüßen > > Drießen > > -- > Software & Computer > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 > From SusanneKaufmann at gmx.de Wed Oct 20 14:38:37 2010 From: SusanneKaufmann at gmx.de (Susanne Kaufmann) Date: Wed, 20 Oct 2010 14:38:37 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: <000d01cb7048$110fde80$0565a8c0@uwe> References: <003901cb7043$cfbd98e0$6f38caa0$@de> <003d01cb7046$65f9ea50$31edbef0$@de> <000d01cb7048$110fde80$0565a8c0@uwe> Message-ID: <004b01cb7053$b7d88d10$2789a730$@de> Vielen Dank erst einmal. Spamassassin und ClamAV setze ich ja ein. Was ich nicht so ganz verstehe ist, warum meine Restriktionen nicht funktionieren. Wenn ich folgende Restriktionen benutze: smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, permit_mx_backup, reject_invalid_hostname, reject_unauth_destination smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain smtpd_client_restrictions = permit_sasl_authenticated, reject_invalid_hostname, reject_unknown_client Dann dürften doch eigentlich nur Clients Emails versenden, die sich auch per login angemeldet haben? Und außerdem sollten doch nur Emails angenommen werden, die für lokale Benutzer bestimmt sind (reject_unauth_destination), oder ? Aber irgendwie ist das nicht der Fall. Viele Grüße, eine etwas verwirrte Susanne > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- > users-bounces at listen.jpberlin.de] Im Auftrag von Driessen > Gesendet: Mittwoch, 20. Oktober 2010 13:15 > An: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.' > Betreff: Re: [Postfixbuch-users] Konfiguration Postfix Backscatter? > > > > On Behalf Of Susanne Kaufmann > > Hallo Susanne bitte auch kein TOFU. Das ist beim Lesen mehr wie > hinderlich. > > > > > > Jetzt habe ich die Sorge, dass ich sogar einen Open Relay habe? Ich > habe > > das > > eigentlich getestet, auch z.B. über abuse.net, und da war nichts. > Aber > > jetzt > > habe ich von meinem Provider den Hinweis bekommen, dass ich Spam > versenden > > würde. Ich habe einmal die Logfile, die er mir geschickt hat > angehängt, > > wobei XX.XX.XX.XX für meine Server-IP steht: > > Das sind wie es aussieht die Late Bounces deines Systems. > > Du prüfst relativ wenig wer da überhaupt versucht zu senden. > Proxy-filter und Amavis mit spamassassin und Clamav mit den > Sanesecuritys > hinten dran . > Dazu entweder Policyd-Weight und ein paar mehr Restriktionen wie z.B. > RBLS / > SBLS und schon schaut die Welt ganz anders aus. > > Evtl. auch die 2.8er Postfix mit Postscreen (obwohl unstable absolut > zuverlässig). War selten von einer neuen Funktion so begeistert nur > noch 10% > der üblichen Spameinlieferungsversuche kommen überhaupt bis zur > Einlieferung > und müssen über anderes gefunden und rejectet werden. > > > > > Return-Path: > > Delivered-To: spamcop-net-x > > Received: (qmail 330 invoked from network); 19 Oct 2010 22:47:53 - > 0000 > > X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on > > blade2.cesmail.net > > X-Spam-Level: ************************* > > X-Spam-Status: hits=25.0 tests=FORGED_MUA_OUTLOOK,FORGED_YAHOO_RCVD, > > > > > JM_SOUGHT_FRAUD_1,JM_SOUGHT_FRAUD_2,JM_SOUGHT_FRAUD_3,J_CHICKENPOX_21, > > > > > KAM_LOTTO1,LOTTERY_PH_004470,MILLION_USD,MSOE_MID_WRONG_CASE,SARE_LOTTO > _SP > > AM > > 2 > > version=3.2.4 > > Jap schaut übel aus*gg > > > Mit freundlichen Grüßen > > Drießen > > -- > Software & Computer > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From lars.behrens at bremen-sys.com Wed Oct 20 15:50:36 2010 From: lars.behrens at bremen-sys.com (Lars Behrens) Date: Wed, 20 Oct 2010 15:50:36 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an Message-ID: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> Hallo, Liste, auf einem unserer Server (Debian Lenny, Postfix 2.7.1) kommt es immer wieder zu folgender Situation: - ein Mailserver versucht Mails zuzustellen und bekommt Oct 18 13:58:46 webmail postfix/smtpd[23322]: NOQUEUE: reject: RCPT from susanne.webhoster.de[144.155.221.9]: 450 4.2.0 : Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/unser-server.de.html; from= to= proto=ESMTP helo= so weit, so gut - nun versucht es der einliefernde Server eine halbe Stunde später erneut: Oct 18 14:26:59 webmail postfix/policyd-weight[30044]: decided action=PREPEND X-policyd-weight: using cached result; rate: -8.5; ; delay: 1s Oct 18 14:26:59 webmail postgrey[6896]: action=greylist, reason=new, client_name=susanne.webhoster.de, client_address=144.155.221.9, sender=benutzer at von-aussen.webhoster.de, recipient=the-big-boss at unser-server.de ... und so geht das den ganzen Tag weiter. Irgendwann stellt der einliefernde Server den Zustellversuch ein und wir bekommen die Beschwerde (vor allem von "the-big-boss at unser-server.de"), dass unser Mailserver die Mails abweisen würde - was ja auch stimmt. Das ist aber nicht bei allen einliefernden Mailservern so, üblicherweise kommen die Mails trotz Greylistings an - bzw. WEGEN des Greylistings (und anderer Massnahmen) haben wir sehr wenig Spam. Die einliefernden Adressen sind allerdings mitnichten Spammer ... Die Lösung besteht im Moment für uns darin, die entsprechenden Server per Whitelist freizuschalten; das kann es auf Dauer aber auch nicht sein ... Frage, die ich mir selbst nicht beantworten kann: liegt dieser Fehler an unserem Greylisting oder an den einliefernden Servern? Ähnliche Diskussionen hatten wir hier schon öfters, aber ich bin mir nicht sicher, ob hier auch so eine Situation vorliegt. Ich habe versuchsweise das Postgrey aus den Debian-Repositories gegen das aktuelle 1.33-Postgrey ausgetauscht, aber der fehler besteht weiterhin. Heute hatten wir es aktuell beispielsweise mit einer Mail, die bei bigfish.com gehostet ist - Zustellversuche von db3ehsobe006.messaging.microsoft.com im 15-Minuten-Takt, aber immer wieder Abweisung durch unseren Server mit der Meldung: "Recipient address rejected: Greylisted". Besten Dank im Voraus für Hilfe! MfG Lars From kai_postfix at fuerstenberg.ws Wed Oct 20 16:21:10 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 20 Oct 2010 16:21:10 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> Message-ID: <4CBEFAD6.1050106@fuerstenberg.ws> Hallo Lars, Lars Behrens schrieb am 20.10.2010 15:50: > auf einem unserer Server (Debian Lenny, Postfix 2.7.1) kommt es immer > wieder zu folgender Situation: > > - ein Mailserver versucht Mails zuzustellen und bekommt > > Oct 18 13:58:46 webmail postfix/smtpd[23322]: NOQUEUE: reject: RCPT > from susanne.webhoster.de[144.155.221.9]: 450 > 4.2.0: Recipient address rejected: > Greylisted, see > http://postgrey.schweikert.ch/help/unser-server.de.html; > from= > to= proto=ESMTP > helo= > > so weit, so gut - nun versucht es der einliefernde Server eine halbe > Stunde später erneut: > > Oct 18 14:26:59 webmail postfix/policyd-weight[30044]: decided > action=PREPEND X-policyd-weight: using cached result; rate: > -8.5; > > ; delay: 1s Oct 18 14:26:59 webmail > postgrey[6896]: action=greylist, reason=new, > client_name=susanne.webhoster.de, client_address=144.155.221.9, > sender=benutzer at von-aussen.webhoster.de, > recipient=the-big-boss at unser-server.de Deine Logs sind leider nicht gerade aussagekräftig. Unterschiedliche Zeilen bei unterschiedlichen Mails (bei der ersten smtpd, bei der zweiten policyd-weight und postgrey), sowieso nicht vollständig und zudem verändert. Bitte vollständige möglichst unveränderte Logs posten. Ist schon oft genug vorgekommen, dass Fehler weganonymisiert wurden. > Frage, die ich mir selbst nicht beantworten kann: liegt dieser Fehler > an unserem Greylisting oder an den einliefernden Servern? Ähnliche > Diskussionen hatten wir hier schon öfters, aber ich bin mir nicht > sicher, ob hier auch so eine Situation vorliegt. > > Ich habe versuchsweise das Postgrey aus den Debian-Repositories gegen > das aktuelle 1.33-Postgrey ausgetauscht, aber der fehler besteht > weiterhin. Heute hatten wir es aktuell beispielsweise mit einer Mail, > die bei bigfish.com gehostet ist - Zustellversuche von > db3ehsobe006.messaging.microsoft.com im 15-Minuten-Takt, aber immer > wieder Abweisung durch unseren Server mit der Meldung: "Recipient > address rejected: Greylisted". So spontan würde ich eigentlich auf ein Rechte-Problem tippen, dein Postgrey also den Eintrag nicht in die DB schreiben kann... Aber du sagst ja, dass andere Server funktionieren (auch neue Server oder sind die alle schon gelistet?) -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From n.gerhards at ib-gerhards.de Wed Oct 20 16:39:39 2010 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Wed, 20 Oct 2010 16:39:39 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? Message-ID: <4CBEFF2B.8090906@ib-gerhards.de> Hallo Liste, da ich einen Test-Server für einen Kunden aufsetzen darf, der im wesentlichen nur Mailing und Web bedienen soll, würde mich mal interessieren, auf welchen linuxoiden Betriebssystemen ihr Listen-User denn aufsetzt? Meine Server laufen auf Solaris und die neueren auf debian GNU/Linux 5.x lenny. Hat jemand unter euch praktische Erfahrung mit Ubuntu Server und eine Meinung zu debian vs. Ubuntu? Oder wären RedHat oder Suse erwägenswert? CentOS? Die Berkley-Schiene möchte ich für mich ausschließen (freeBSD etc.). Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: bei dem stabilen debian stört mich zunehmend, dass ich neuere Pakete wie dovecot nurmehr via backports einsetzen kann. Wenns zu OT ist, bitte einfach weg-moderieren. Ein neugieriger Norbert. From timo.schoeler at riscworks.net Wed Oct 20 16:44:27 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 20 Oct 2010 16:44:27 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <4CBF004B.1070607@riscworks.net> On 10/20/2010 04:39 PM, Norbert Gerhards wrote: > Hallo Liste, > > da ich einen Test-Server für einen Kunden aufsetzen darf, der im > wesentlichen nur Mailing und Web bedienen soll, würde mich mal > interessieren, auf welchen linuxoiden Betriebssystemen ihr > Listen-User denn aufsetzt? > > Meine Server laufen auf Solaris und die neueren auf debian GNU/Linux > 5.x lenny. > > Hat jemand unter euch praktische Erfahrung mit Ubuntu Server und eine > Meinung zu debian vs. Ubuntu? > > Oder wären RedHat oder Suse erwägenswert? CentOS? CentOS ist die sorgenfreieste kostenlose GNU/Linux-Distri, die ich bisher erlebt habe. Solaris... muß man das noch diskutieren? > Die Berkley-Schiene möchte ich für mich ausschließen (freeBSD etc.). Warum das? Wir haben hunderte Instanzen mit FreeBSD, NetBSD und OpenBSD (Letzteres vornehmlich im natürlichen Habitat) laufen. Absolutely painless. > Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: bei > dem stabilen debian stört mich zunehmend, dass ich neuere Pakete wie > dovecot nurmehr via backports einsetzen kann. > > Wenns zu OT ist, bitte einfach weg-moderieren. > > Ein neugieriger Norbert. Cheers, Timo From lars.behrens at bremen-sys.com Wed Oct 20 16:51:59 2010 From: lars.behrens at bremen-sys.com (Lars Behrens) Date: Wed, 20 Oct 2010 16:51:59 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <4CBEFAD6.1050106@fuerstenberg.ws> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <4CBEFAD6.1050106@fuerstenberg.ws> Message-ID: <21032B7B-98B6-4C67-A225-3A3067CEFED7@bremen-sys.com> Hallo, Kai, > > Deine Logs sind leider nicht gerade aussagekräftig. Unterschiedliche Zeilen bei unterschiedlichen Mails (bei der ersten smtpd, bei der zweiten policyd-weight und postgrey), sowieso nicht vollständig und zudem verändert. Bitte vollständige möglichst unveränderte Logs posten. Ist schon oft genug vorgekommen, dass Fehler weganonymisiert wurden. Sorry - da habe ich die falschen Zeilen ausgewählt. Andererseits werde ich hier bestimmt nicht die unverfälschten Daten unserer Kunden preisgeben ... Es ist ja auch immer dasselbe Phänomen (diesesmal OHNE policyd-Logs): grep user-von-aussen /var/log/mail.log: Oct 17 06:35:36 webmail postgrey[18686]: action=greylist, reason=new, client_name=db3ehsobe006.messaging.microsoft.com, client_address=213.199.154.144, sender=user-von-aussen at einliefernder-server.com, recipient=the-big-boss at unser-server.de Oct 17 06:50:38 webmail postgrey[18686]: action=greylist, reason=new, client_name=db3ehsobe006.messaging.microsoft.com, client_address=213.199.154.144, sender=user-von-aussen at einliefernder-server.com, recipient=the-big-boss at unser-server.de ? (ein paar Stunden später:) Oct 17 15:22:22 webmail postgrey[18686]: action=greylist, reason=new, client_name=db3ehsobe006.messaging.microsoft.com, client_address=213.199.154.144, sender=user-von-aussen at einliefernder-server.com, recipient=the-big-boss at unser-server.de >> > So spontan würde ich eigentlich auf ein Rechte-Problem tippen, dein Postgrey also den Eintrag nicht in die DB schreiben kann... Gute Idee! Wo liegt die DB? Unter /var/spool/... offensichtlich nicht?! Beste Grüße Lars -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Wed Oct 20 16:54:00 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 20 Oct 2010 16:54:00 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <20101020145400.GS17459@charite.de> * Norbert Gerhards : > Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: > bei dem stabilen debian stört mich zunehmend, dass ich neuere > Pakete wie dovecot nurmehr via backports einsetzen kann. Genau das ist bei uns der Grund, dann doch eher Ubuntu statt Debian zu nehmen -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From lars.behrens at bremen-sys.com Wed Oct 20 17:00:13 2010 From: lars.behrens at bremen-sys.com (Lars Behrens) Date: Wed, 20 Oct 2010 17:00:13 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <13AFCB5F-B347-4AE6-B3B6-02DE41BA5DC3@bremen-sys.com> Hallo, Norbert, > da ich einen Test-Server für einen Kunden aufsetzen darf, > der im wesentlichen nur Mailing und Web bedienen soll, > würde mich mal interessieren, auf welchen linuxoiden > Betriebssystemen ihr Listen-User denn aufsetzt? Seit etwa 7 Jahren fast ausschliesslich Debian. Läuft mal mehr, mal weniger gut (vor allem die Paketverwaltung kann ziemlich in die Hose gehen). Vorteile: beeindruckend schnelle Installation, ausreichend stabil; einige Server laufen mit geringstem Administrationsaufwand und mit 100% Uptime in so manchem Betriebsjahr. Nachteile: wie allgemein bekannt gelegentlich etwas mangelhafte unterstützung von aktueller Hardware bzw. Software. Da wir uns unser Leben in solchen Fällen nicht unnötig schwer machen wollen, nehmen wir in DIESEN (und wenigen anderen Fällen) Ubuntu. Läuft offensichtlich ebenso gut und stabil und hat aktuellere Pakete - aber über mehrere Jahre haben wir bisher noch kein Ubuntu-System laufen. Mir persönlich weicht Ubuntu etwas zu sehr von der schlichten, spartanischen Debian-Arbeitsroutine ab, aber das ist sicher Gewöhnungssache. In der letzten Zeit hatten wir bei Neuinstallationen massive Probleme mit dem Debian-Installer - bei Verwendung der heute üblichen Festplattengrössen hängt das Mistding sich auf, schafft die Partitionierung nicht oder braucht Tage (!) für die Einrichtung einer Partition mit ein par hundert GB. Unter Ubuntu keine Probleme. Seit Jahren haben wir mehrere Citrix-XenServer am Laufen, die nutzen meines Wissens ein abgewandeltes CentOS - läuft ebenfalls saustabil. hth lars From gregor at a-mazing.de Wed Oct 20 17:01:34 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 20 Oct 2010 17:01:34 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF004B.1070607@riscworks.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF004B.1070607@riscworks.net> Message-ID: <201010201701.34542@office.a-mazing.net> Hallo Timo, Am Mittwoch, 20. Oktober 2010 schrieb Timo Schoeler: > On 10/20/2010 04:39 PM, Norbert Gerhards wrote: > > da ich einen Test-Server für einen Kunden aufsetzen darf, der im > > wesentlichen nur Mailing und Web bedienen soll, würde mich mal > > interessieren, auf welchen linuxoiden Betriebssystemen ihr > > Listen-User denn aufsetzt? > > CentOS ist die sorgenfreieste kostenlose GNU/Linux-Distri, die ich > bisher erlebt habe. > > > Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: bei > > dem stabilen debian stört mich zunehmend, dass ich neuere Pakete wie > > dovecot nurmehr via backports einsetzen kann. dann kommt CentOS wohl erst recht nicht in Frage... Ich verwende seit Jahren Debian Testing. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From cite at incertum.net Wed Oct 20 16:58:27 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 20 Oct 2010 16:58:27 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <20101020145826.GA1763@mail.incertum.net> * Norbert Gerhards : > da ich einen Test-Server für einen Kunden aufsetzen darf, > der im wesentlichen nur Mailing und Web bedienen soll, > würde mich mal interessieren, auf welchen linuxoiden > Betriebssystemen ihr Listen-User denn aufsetzt? Das kommt drauf an[tm]. Manche Anwendungen (hallo Oracle) laufen nur auf bestimmten Plattformen (also sie laufen fast überall, aber wenn es knallt, kriegt man keinen Support, wenn da Betriebssystem den falschen Hut auf hat) - da hat sich die Frage erledigt (und der CFO runzelt ob der Lizenzkosten die Stirn). Wenn man das OS nur als reine Trägerplattform braucht und alles andere sowieso aus Drittquellen bezieht, dann nimmt man irgendwas, was sich so gut wie nie ändert. Ich kenne Installationen mit ein paar hundert Webservern, die laufen alle unter CentOS (mit den viele Jahre langen Supportzyklen), der Apache, der Tomcat und das Java sind da das einzige, was sich ändert (BTW, nach drei Jahren kam neulich Apache 2.0.64!). Wenn Du was brauchst, was immer an der blutigen Kante ist, dann nimm die Distribution, die es Dir am leichtesten macht, selber Pakete zu bauen. Oder überhaupt Software zu kompilieren. Wirklich ungeeignete Kandidaten fallen mir da nicht ein (wobei man Neuprojekte heute vielleicht nicht mehr mit FreeBSD 5.0 oder RHEL 3 angehen sollte). Jede Distribution (jedes Betriebssystem) ist eigentlich immer mindestens so gut wie das Team, das sie betreut. Oder im Umkehrschluß: Ist Dein Team nicht von bester Qualität, wirst Du auch niemals gute Ergebnisse erzielen. Der Hirnschmalz ist also besser darauf angewandt, sich ein Schulungs- und Weiterbildungskonzept für die Mitarbeiter zu überlegen. Stefan From n.gerhards at ib-gerhards.de Wed Oct 20 17:07:58 2010 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Wed, 20 Oct 2010 17:07:58 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <201010201701.34542@office.a-mazing.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF004B.1070607@riscworks.net> <201010201701.34542@office.a-mazing.net> Message-ID: <4CBF05CE.1080704@ib-gerhards.de> Hallo Gregor, Am 20.10.2010 17:01, schrieb Gregor Hermens: > Hallo Timo, > > Am Mittwoch, 20. Oktober 2010 schrieb Timo Schoeler: >> On 10/20/2010 04:39 PM, Norbert Gerhards wrote: >>> da ich einen Test-Server für einen Kunden aufsetzen darf, der im >>> wesentlichen nur Mailing und Web bedienen soll, würde mich mal >>> interessieren, auf welchen linuxoiden Betriebssystemen ihr >>> Listen-User denn aufsetzt? >> >> CentOS ist die sorgenfreieste kostenlose GNU/Linux-Distri, die ich >> bisher erlebt habe. >> >>> Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: bei >>> dem stabilen debian stört mich zunehmend, dass ich neuere Pakete wie >>> dovecot nurmehr via backports einsetzen kann. > > dann kommt CentOS wohl erst recht nicht in Frage... > > Ich verwende seit Jahren Debian Testing. > > Gruß, > Gregor Auch in Produktiv-Servern?? Viele Grüße Norbert From timo.schoeler at riscworks.net Wed Oct 20 17:10:09 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 20 Oct 2010 17:10:09 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <201010201701.34542@office.a-mazing.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF004B.1070607@riscworks.net> <201010201701.34542@office.a-mazing.net> Message-ID: <4CBF0651.3090408@riscworks.net> On 10/20/2010 05:01 PM, Gregor Hermens wrote: > Hallo Timo, > > Am Mittwoch, 20. Oktober 2010 schrieb Timo Schoeler: >> On 10/20/2010 04:39 PM, Norbert Gerhards wrote: >>> da ich einen Test-Server für einen Kunden aufsetzen darf, der im >>> wesentlichen nur Mailing und Web bedienen soll, würde mich mal >>> interessieren, auf welchen linuxoiden Betriebssystemen ihr >>> Listen-User denn aufsetzt? >> >> CentOS ist die sorgenfreieste kostenlose GNU/Linux-Distri, die ich >> bisher erlebt habe. >> >>> Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: bei >>> dem stabilen debian stört mich zunehmend, dass ich neuere Pakete wie >>> dovecot nurmehr via backports einsetzen kann. > > dann kommt CentOS wohl erst recht nicht in Frage... Es gibt Repositories [0], die aktuellere Software zur Verfügung stellen. Für Dinge, die wir intern mehr oder weniger extrem quirken/hacken/patchen oder 'an der blutigen Klinge' lutschen, haben wir ein eigenes Repo. Grüße, Timo > Ich verwende seit Jahren Debian Testing. > > Gruß, > Gregor [0] -- http://wiki.centos.org/AdditionalResources/Repositories From kai_postfix at fuerstenberg.ws Wed Oct 20 17:18:03 2010 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 20 Oct 2010 17:18:03 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <21032B7B-98B6-4C67-A225-3A3067CEFED7@bremen-sys.com> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <4CBEFAD6.1050106@fuerstenberg.ws> <21032B7B-98B6-4C67-A225-3A3067CEFED7@bremen-sys.com> Message-ID: <4CBF082B.9080106@fuerstenberg.ws> Lars Behrens schrieb am 20.10.2010 16:51: >> So spontan würde ich eigentlich auf ein Rechte-Problem tippen, dein >> Postgrey also den Eintrag nicht in die DB schreiben kann... > > Gute Idee! Wo liegt die DB? Unter /var/spool/... offensichtlich nicht?! /var/spool/postfix/postgrey ist das default Verzeichnis. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From gregor at a-mazing.de Wed Oct 20 17:20:27 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 20 Oct 2010 17:20:27 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF05CE.1080704@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> <201010201701.34542@office.a-mazing.net> <4CBF05CE.1080704@ib-gerhards.de> Message-ID: <201010201720.28093@office.a-mazing.net> Hallo Norbert, Am Mittwoch, 20. Oktober 2010 schrieb Norbert Gerhards: > Am 20.10.2010 17:01, schrieb Gregor Hermens: > > Ich verwende seit Jahren Debian Testing. > > Auch in Produktiv-Servern?? Ja. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From lars.behrens at bremen-sys.com Wed Oct 20 17:24:21 2010 From: lars.behrens at bremen-sys.com (Lars Behrens) Date: Wed, 20 Oct 2010 17:24:21 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <21032B7B-98B6-4C67-A225-3A3067CEFED7@bremen-sys.com> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <4CBEFAD6.1050106@fuerstenberg.ws> <21032B7B-98B6-4C67-A225-3A3067CEFED7@bremen-sys.com> Message-ID: OK, mal wieder zu faul zum suchen gewesen: root at webmail.unser-server.de:/var/log# cd /var/lib/postgrey/ root at webmail.unser-server.de:/var/lib/postgrey# ls -la total 22772 drwx------ 2 postgrey postgrey 4096 Oct 20 08:33 . drwxr-xr-x 31 root root 4096 Jun 15 18:00 .. -rw------- 1 postgrey postgrey 24576 Oct 20 09:33 __db.001 -rw------- 1 postgrey postgrey 163840 Oct 20 09:33 __db.002 -rw------- 1 postgrey postgrey 270336 Oct 20 09:33 __db.003 -rw------- 1 postgrey postgrey 98304 Oct 20 09:33 __db.004 -rw------- 1 postgrey postgrey 49152 Oct 20 09:33 __db.005 -rw------- 1 postgrey postgrey 10485760 Sep 12 19:02 log.0000000014 -rw------- 1 postgrey postgrey 10485760 Oct 20 09:33 log.0000000015 -rw------- 1 postgrey postgrey 1798144 Oct 20 06:50 postgrey.db -rw------- 1 postgrey postgrey 0 May 22 12:22 postgrey.lock -rw------- 1 postgrey postgrey 225280 Oct 20 04:35 postgrey_clients.db der letzte Eintrag von heute 09:33 - offensichtlich hat der postgrey tatsächlich nichts mehr in die DB geschrieben :-( Ich habe jetzt die Dateien gesichert und gelöscht und den Serer neugestartet (Beenden und Starten des Postgrey alleine hat nichts gebracht, der Ordner /var/ib/postgrey/ blieb leer!) - jetzt sieht es wieder gut aus: root at webmail.unser-server.de:/var/lib/postgrey# ls -la (...) -rw------- 1 postgrey postgrey 24576 Oct 20 17:20 __db.001 (...) - wobei wir das in den nächsten Tagen mal im Auge behalten müssen. danke nochmal für den Hinweis in die richtige Richtung, Kai! beste grüsse lars From michael at nausch.org Wed Oct 20 17:38:14 2010 From: michael at nausch.org (Michael Nausch) Date: Wed, 20 Oct 2010 17:38:14 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <201010201701.34542@office.a-mazing.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF004B.1070607@riscworks.net> <201010201701.34542@office.a-mazing.net> Message-ID: <201010201738.30897.michael@nausch.org> Griasdebou, Am Mittwoch, 20. Oktober 2010 17:01 schrieb Gregor Hermens: > dann kommt CentOS wohl erst recht nicht in Frage... Hä, wie meinen? Meine MXe laufen alle unter CentOS, wo soll da ein Problem sein? Pfiade Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: nicht verfügbar URL : From timo.schoeler at riscworks.net Wed Oct 20 17:41:26 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 20 Oct 2010 17:41:26 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <201010201738.30897.michael@nausch.org> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF004B.1070607@riscworks.net> <201010201701.34542@office.a-mazing.net> <201010201738.30897.michael@nausch.org> Message-ID: <4CBF0DA6.9070800@riscworks.net> On 10/20/2010 05:38 PM, Michael Nausch wrote: > Griasdebou, > > Am Mittwoch, 20. Oktober 2010 17:01 schrieb Gregor Hermens: > >> dann kommt CentOS wohl erst recht nicht in Frage... > > Hä, wie meinen? Meine MXe laufen alle unter CentOS, wo soll da ein Problem > sein? Dovecot. > Pfiade > Django From gregor at a-mazing.de Wed Oct 20 17:48:29 2010 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 20 Oct 2010 17:48:29 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <201010201738.30897.michael@nausch.org> References: <4CBEFF2B.8090906@ib-gerhards.de> <201010201701.34542@office.a-mazing.net> <201010201738.30897.michael@nausch.org> Message-ID: <201010201748.29977@office.a-mazing.net> Hallo Michael, Am Mittwoch, 20. Oktober 2010 schrieb Michael Nausch: > Am Mittwoch, 20. Oktober 2010 17:01 schrieb Gregor Hermens: > > dann kommt CentOS wohl erst recht nicht in Frage... > > Hä, wie meinen? Meine MXe laufen alle unter CentOS, wo soll da ein Problem > sein? das bezog sich auf die Aussage von Norbert, daß ihm Debian Stable schon manchmal nicht aktuell genug ist. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From leo at leo-unglaub.net Wed Oct 20 18:14:24 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Wed, 20 Oct 2010 18:14:24 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <4CBF1560.9080801@leo-unglaub.net> Hallo Am 20.10.2010 16:39, schrieb Norbert Gerhards: > Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: > bei dem stabilen debian stört mich zunehmend, dass ich neuere > Pakete wie dovecot nurmehr via backports einsetzen kann. Ich verwende seit Jahren Debian und kann mich nicht beschweren. Es tut das was es soll und das mit relativ wenig Aufwand. Was die Backports angeht, spätestens seit dem die nun ein Teil des offiziellen Debian-Projekts sind habe ich da überhaupt keine bedenken mehr. Klar, in manchen Fällen übertreiben es die Debian Maintainer etwas mit der Vorsicht und dem nicht updaten wollen, aber das ist ja was schöne bei Debian, dann man immer die Wahl hat. Entweder aus testing, oder wenns irgend ein altes Paket sein muss der zugriff auf das geniale Debian Archiv. Durch geschicktes apt-pinning habe ich sehr stabiele Backports und Debian stable gemischt laufen und noch NIE !!!! ein problem gehabt. Aber geschmack ist halt Verschieden! Viele Grüße Leo From p.heinlein at heinlein-support.de Wed Oct 20 18:34:57 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 20 Oct 2010 18:34:57 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> Message-ID: <201010201834.57953.p.heinlein@heinlein-support.de> Am Mittwoch 20 Oktober 2010 15:50:36 schrieb Lars Behrens: > ... und so geht das den ganzen Tag weiter. Irgendwann stellt der > einliefernde Server den Zustellversuch ein und wir bekommen die Ich hatte mal den Fall, daß die Berkely-DB vom postgrey defekt war. Lag nicht am Postgrey, lag am Admin, denn man sollte DBs halt nicht gerade dann kopieren, wenn gerade reingeschrieben wird... Effekt war am Ende jedoch, daß postgrey alles lesen konnte und es keine Fehler gab. Aber Schreiben ging anscheinend nicht mehr. Im Ergebnis: Gelernte Hosts konnten Problemlos greylistingfrei einliefern. Alles sah normal aus. Nur neue Hosts wurden nie gelernt. Abhilfe: Ablöschen der DB und einfach neu anlegen lassen. Kost ja nix. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From stiffler at linuxnoob.net Wed Oct 20 18:48:39 2010 From: stiffler at linuxnoob.net (Michael Schmitt) Date: Wed, 20 Oct 2010 17:48:39 +0100 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF1560.9080801@leo-unglaub.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF1560.9080801@leo-unglaub.net> Message-ID: Am 20.10.2010 um 17:14 schrieb Leo Unglaub: > Hallo > > Am 20.10.2010 16:39, schrieb Norbert Gerhards: >> Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: >> bei dem stabilen debian stört mich zunehmend, dass ich neuere >> Pakete wie dovecot nurmehr via backports einsetzen kann. > Ich verwende seit Jahren Debian und kann mich nicht beschweren. Es tut das was es soll und das mit relativ wenig Aufwand. Was die Backports angeht, spätestens seit dem die nun ein Teil des offiziellen Debian-Projekts sind habe ich da überhaupt keine bedenken mehr. > > Klar, in manchen Fällen übertreiben es die Debian Maintainer etwas mit der Vorsicht und dem nicht updaten wollen, aber das ist ja was schöne bei Debian, dann man immer die Wahl hat. Entweder aus testing, oder wenns irgend ein altes Paket sein muss der zugriff auf das geniale Debian Archiv. Durch geschicktes apt-pinning habe ich sehr stabiele Backports und Debian stable gemischt laufen und noch NIE !!!! ein problem gehabt. > > Aber geschmack ist halt Verschieden! Gentoo?? Selten Porbleme und immer aktuell :-) -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3774 bytes Beschreibung: nicht verfügbar URL : From reich at adesso.de Wed Oct 20 19:08:18 2010 From: reich at adesso.de (Reich, Peter) Date: Wed, 20 Oct 2010 19:08:18 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: Hallo Zusammen, > -----Original Message----- > From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- > users-bounces at listen.jpberlin.de] On Behalf Of Norbert Gerhards > Sent: Wednesday, October 20, 2010 4:40 PM > To: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.' > Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? > > Hallo Liste, > > da ich einen Test-Server für einen Kunden aufsetzen darf, > der im wesentlichen nur Mailing und Web bedienen soll, > würde mich mal interessieren, auf welchen linuxoiden > Betriebssystemen ihr Listen-User denn aufsetzt? Ich hab Postfix auf NetBSD, opensuse und SLES laufen. > [...] > Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: > bei dem stabilen debian stört mich zunehmend, dass ich neuere > Pakete wie dovecot nurmehr via backports einsetzen kann. Bei NetBSD hatte ich keine Probleme. Bei SLES auch nicht, obwohl das vielleicht daran liegt, dass das eher ein einfaches Setup ist. Bei opensuse hatte nach einem upgrade des Systems sehr viel "Spass", weil ich versucht habe das postfix über /etc/sysconfig/postfix bzw. yast zu konfigurierbar zu halten. Aber Konfiguration von 11.1 musste ich trotzdem für 11.2 Modifizieren, da hätte ich gleich die Konfigurationsfiles direkt kopieren und anpassen können. X-) Bis dann... Peter Reich -- Peter Reich adesso AG T +49 231 930-8943 Stockholmer Allee 24 F +49 231 930-9331 44269 Dortmund E reich at adesso.de www.adesso.de ------------------------------------------------------- >>> business. people. technology. <<< ------------------------------------------------------- adesso AG mit Sitz in Dortmund Vorstand: Holger Danowsky, Christoph Junge, Michael Kenfenheuer, Rainer Rudolf (Vors.), Dr. Rüdiger Striemer Vorsitzender des Aufsichtsrates: Prof. Dr. Volker Gruhn Amtsgericht Dortmund HRB 20663 From michael at nausch.org Wed Oct 20 19:17:00 2010 From: michael at nausch.org (Michael Nausch) Date: Wed, 20 Oct 2010 19:17:00 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF0DA6.9070800@riscworks.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <201010201738.30897.michael@nausch.org> <4CBF0DA6.9070800@riscworks.net> Message-ID: <201010201917.30862.michael@nausch.org> HI! Am Mittwoch, 20. Oktober 2010 17:41 schrieb Timo Schoeler: > Dovecot. # yum search dovecot dovecot.i386 : Dovecot - Sicherer IMAP-Server # yum list dovecot Available Packages dovecot.i386 Kommt sogar aus dem Base repository. ;) Also könnte ich installieren, wenn ich nicht schon erfolgreich cyrus einsetzen würde. IMHO muss man sich hald immer im Klaren werden/sein, welche Distribution von den Admins auch supportet werden kann. cu Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: nicht verfügbar URL : From postfix_ml at rirasoft.de Wed Oct 20 19:25:14 2010 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Wed, 20 Oct 2010 19:25:14 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <201010201917.30862.michael@nausch.org> References: <4CBEFF2B.8090906@ib-gerhards.de> <201010201738.30897.michael@nausch.org> <4CBF0DA6.9070800@riscworks.net> <201010201917.30862.michael@nausch.org> Message-ID: <4CBF25FA.9080506@rirasoft.de> Am 20.10.2010 19:17, schrieb Michael Nausch: > HI! > > Am Mittwoch, 20. Oktober 2010 17:41 schrieb Timo Schoeler: > >> Dovecot. > > # yum search dovecot > dovecot.i386 : Dovecot - Sicherer IMAP-Server > > # yum list dovecot > Available Packages > dovecot.i386 > Kommt sogar aus dem Base repository. ;) > > Also könnte ich installieren, wenn ich nicht schon erfolgreich cyrus einsetzen > würde. > > IMHO muss man sich hald immer im Klaren werden/sein, welche Distribution von > den Admins auch supportet werden kann. > > > cu > Django > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Dem kann ich mich nur anschliesen. Ich verwende Daheim und im Geschäft fast ausschlieslich CentOS (ausser für SAP-Installationen) und bin (bzw. meine Kollegen) damit sehr zufrieden. Einsatzzwecke: Datenbank (Oracle und Mysql) Webserver (apache mit und ohne tomcat) Mailserver: postfix mit und ohne dovecot Fileserver: nfs und samba mit teilweise mit nis und ADS Workstation: über 60 Workstation im Simulationsumfeld und ca. 200 Server für Simulation (dies soll Werbung für Centos sein ...) Gruß Andreas From n.gerhards at ib-gerhards.de Wed Oct 20 19:28:29 2010 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Wed, 20 Oct 2010 19:28:29 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF1560.9080801@leo-unglaub.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF1560.9080801@leo-unglaub.net> Message-ID: <4CBF26BD.3090801@ib-gerhards.de> Hallo Leo, Am 20.10.2010 18:14, schrieb Leo Unglaub: > Hallo > > Am 20.10.2010 16:39, schrieb Norbert Gerhards: >> Um den Bezug zu unserer Liste wenigstens ein wenig herzustellen: >> bei dem stabilen debian stört mich zunehmend, dass ich neuere >> Pakete wie dovecot nurmehr via backports einsetzen kann. > Ich verwende seit Jahren Debian und kann mich nicht beschweren. Es tut das was es soll und das mit relativ wenig Aufwand. Was die Backports > angeht, spätestens seit dem die nun ein Teil des offiziellen Debian-Projekts sind habe ich da überhaupt keine bedenken mehr. > > Klar, in manchen Fällen übertreiben es die Debian Maintainer etwas mit der Vorsicht und dem nicht updaten wollen, aber das ist ja was schöne > bei Debian, dann man immer die Wahl hat. Entweder aus testing, oder wenns irgend ein altes Paket sein muss der zugriff auf das geniale > Debian Archiv. Durch geschicktes apt-pinning habe ich sehr stabiele Backports und Debian stable gemischt laufen und noch NIE !!!! ein > problem gehabt. > > Aber geschmack ist halt Verschieden! > Viele Grüße > Leo > -- So verschieden sind unsere Geschmäcker eigentlich gar nicht. Nachdem ich zig Jahre SunOS und dann Solaris benutzt habe, bin ich nun mal ein Fan von _stabilen_ Betriebssystemen. So kam ich zu debian, und ich muss sagen, der puristische Ansatz und die Konsequenz der debian maintainer gefallen mir, so dass ich inzwischen mehr Server unter debian laufen habe, als unter Solaris (und wenn die Hardware darunter End-of-Life hat, wars das dann auch für Solaris; ein rabenschwarzer Tag war die Übernahme von Sun durch Oracle für mich!! Und was die Oracler jetzt bereits mit OpenOffice und Java anstellen, sehen wir - Solaris und MySQL werden bald folgen:-| ). Aber: So ein Ubuntu 10.04 LTS, unter dem ja schließlich das geschätzte debian liegt, mit seinem genialen apt usw., reizt mich ab und zu schon. Und das doofe ge-sudo-e läßt sich ja elegant umgehen. Ausser Ralf scheint hier aber niemand seine Server unter Ubuntu zu betreiben - hmmm. Viele Grüße Norbert From postfix at d0pefish.de Wed Oct 20 19:27:47 2010 From: postfix at d0pefish.de (Peter Hinse) Date: Wed, 20 Oct 2010 19:27:47 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF004B.1070607@riscworks.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF004B.1070607@riscworks.net> Message-ID: <4CBF2693.3010309@d0pefish.de> Am 20.10.2010 16:44, schrieb Timo Schoeler: >> da ich einen Test-Server für einen Kunden aufsetzen darf, der im >> wesentlichen nur Mailing und Web bedienen soll, würde mich mal >> interessieren, auf welchen linuxoiden Betriebssystemen ihr >> Listen-User denn aufsetzt? >> >> Meine Server laufen auf Solaris und die neueren auf debian GNU/Linux >> 5.x lenny. >> >> Hat jemand unter euch praktische Erfahrung mit Ubuntu Server und eine >> Meinung zu debian vs. Ubuntu? >> >> Oder wären RedHat oder Suse erwägenswert? CentOS? > > CentOS ist die sorgenfreieste kostenlose GNU/Linux-Distri, die ich > bisher erlebt habe. +1 für CentOS. Nie irgendwelche Probleme gehabt, bei allen kritischen Diensten werden die RPMs sowieso selbst gebaut und in einem eigenen Repo gehostet. SRPMs für dovecot gibts z.B. hier: http://www.city-fan.org/ftp/contrib/mail/ http://packages.atrpms.net/dist/el5/dovecot/ Hier gibts postfix und jede Menge anderes gutes Zeug: http://centos.alt.ru/pub/ http://ftp.wl0.org/official/ Gruß, Peter From driessen at fblan.de Wed Oct 20 20:23:03 2010 From: driessen at fblan.de (Driessen) Date: Wed, 20 Oct 2010 20:23:03 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF26BD.3090801@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de><4CBF1560.9080801@leo-unglaub.net> <4CBF26BD.3090801@ib-gerhards.de> Message-ID: <002301cb7083$d5cc3df0$0565a8c0@uwe> On Behalf Of Norbert Gerhards > Ausser Ralf scheint hier aber niemand seine Server unter Ubuntu > zu betreiben - hmmm. Hmmmmm ich kenne mindestens 3 die Ubuntu 10.4 (das ist glaube ich die letzte Version bzw. die neue TLS Version) in der Server Variante komplett mit Virtualisierung unter KVM laufen haben. Sogar mit autoupdate der einzelnen Maschinen. Ansonsten habe ich auch Debian Squeeze im Produktiveinsatz allerdings als PPPoE Einwahlserver und Radius, nicht für Mailserver (nicht mehr, hat aber nix mit Debian zu tun sondern wollte auch mal was neues Probieren). Tut was es soll und das stabil, was will ich mehr. > > Viele Grüße > > Norbert Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From driessen at fblan.de Wed Oct 20 21:01:37 2010 From: driessen at fblan.de (Driessen) Date: Wed, 20 Oct 2010 21:01:37 +0200 Subject: [Postfixbuch-users] Konfiguration Postfix Backscatter? In-Reply-To: <004b01cb7053$b7d88d10$2789a730$@de> References: <003901cb7043$cfbd98e0$6f38caa0$@de> <003d01cb7046$65f9ea50$31edbef0$@de><000d01cb7048$110fde80$0565a8c0@uwe> <004b01cb7053$b7d88d10$2789a730$@de> Message-ID: <002701cb7089$392b98a0$0565a8c0@uwe> On Behalf Of Susanne Kaufmann Du hast ein Problem und das ist TOFU Ich meine nicht das Tofu in der Küche http://de.wikipedia.org/wiki/TOFU Es erschwert ungemein dem Thema zu folgen und hat zur Konsequenz dass nur wenige antworten! > > Vielen Dank erst einmal. Spamassassin und ClamAV setze ich ja ein. Was ich > nicht so ganz verstehe ist, warum meine Restriktionen nicht funktionieren. Deine Restriktionen funktionieren genau so wie das vom Programmierer vorgeben wurde. > > Wenn ich folgende Restriktionen benutze: > smtpd_recipient_restrictions = reject_unknown_sender_domain, > reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, > permit_mx_backup, reject_invalid_hostname, reject_unauth_destination > smtpd_sender_restrictions = reject_non_fqdn_sender, > reject_unknown_sender_domain Wie wäre es mit einem postconf -n (Vorteil Schreibfehler fallen sofort auf wenn du vergleichst) Die Liste kann sich drauf verlassen das kein copy und paste Fehler drin ist und das Postfix auch die Config so erkannt hat. > smtpd_client_restrictions = permit_sasl_authenticated, > reject_invalid_hostname, reject_unknown_client Es hat sich mit der Zeit durchgesetzt alle Restriktionen unter den smtpd_recipient_restrictions zusammenzufassen. Einmalige Prüfung! In dieser Phase kann sofort abgelehnt werden. Konfig bleibt übersichtlich Konfig ist robuster und weniger fehleranfällig > > Dann dürften doch eigentlich nur Clients Emails versenden, die sich auch > per > login angemeldet haben? Und außerdem sollten doch nur Emails angenommen > werden, die für lokale Benutzer bestimmt sind (reject_unauth_destination), > oder ? Ein Blick in deine logdateien wird dir noch andere Probleme auf die du prüfen solltest und weitere auf die Prüfen KANNST offenbaren. Was die Liste sehen möchte sind konkrete Probleme die Du mit dem oder dem anderen hast. Die Liste hat Lösungen für fast alle Probleme aber die müssen genau definiert sein. Deine Restriktionen/Prüfungen sind sehr einfach gehalten. Daher kommen da auch einige / Viele durch die du eigentlich nicht möchtest. > > Aber irgendwie ist das nicht der Fall. > > Viele Grüße, > eine etwas verwirrte Susanne *gg gib mich 10 min und du hast keinen Spam mehr > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From klaus at tachtler.net Wed Oct 20 21:08:08 2010 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 20 Oct 2010 21:08:08 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> Hallo Norbert, > Hallo Liste, > > da ich einen Test-Server für einen Kunden aufsetzen darf, > der im wesentlichen nur Mailing und Web bedienen soll, > würde mich mal interessieren, auf welchen linuxoiden > Betriebssystemen ihr Listen-User denn aufsetzt? > ... > > Oder wären RedHat oder Suse erwägenswert? CentOS? > Die Berkley-Schiene möchte ich für mich ausschließen (freeBSD etc.). > Ich verwende auch ausschließlich CentOS, ist zwar von der Aktualität immer hinterher, aber alles ist verfügbar und extrem stabil! Selbst z.B. Oracle verwendet auch eine Art freies RHEL5, was ja letztendlich CentOS auch "nur" ist - und nennt das sogar "unbreakable kernle - Linux" - lustiger Name! :-) Grüße Klaus. -- ------------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------------ From postfix-list at novuage.de Wed Oct 20 21:34:02 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Wed, 20 Oct 2010 21:34:02 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <002301cb7083$d5cc3df0$0565a8c0@uwe> References: <4CBEFF2B.8090906@ib-gerhards.de><4CBF1560.9080801@leo-unglaub.net> <4CBF26BD.3090801@ib-gerhards.de> <002301cb7083$d5cc3df0$0565a8c0@uwe> Message-ID: <4CBF442A.7000703@novuage.de> Am 20.10.2010 20:23, schrieb Driessen: > On Behalf Of Norbert Gerhards >> Ausser Ralf scheint hier aber niemand seine Server unter Ubuntu >> zu betreiben - hmmm. Ich habe auch ein paar von denen Rennen um die zu testen. Aktuell ist der einzige der aber wirklich 24/7 Produktiv läuft ein NFS Server. Ansonsten hab ich ein IPv6 Gateway damit laufen und teste gerade sowohl die aktuelle als auch die alte LTS Version. Ein bisschen doof sind die vielen Updates die ein neustart bzw. eine Downtime der Dienste brauchen. Ob das aber immer nötig ist, an der aktuellen und daher unaugereiften Software liegt oder aber bei Debian selbst nur die Updates nicht gemacht werden habe ich im Detail noch nicht geprüft :) > Ansonsten habe ich auch Debian Squeeze im Produktiveinsatz allerdings als > PPPoE Einwahlserver und Radius, nicht für Mailserver (nicht mehr, hat aber > nix mit Debian zu tun sondern wollte auch mal was neues Probieren). > > Tut was es soll und das stabil, was will ich mehr. Ansonsten haben wir nur Debian, aktuell also Lenny laufen. Prüfen Ubuntu gerade wegen der LTS Version... Ansonsten würde ich bei Lenny bleiben. Aber CentOS ist auch immer mal wieder ein Blick wert, aktuell sind das aber immer nur Testinstallationen, aus den RPM Zeiten bin ich leider lange raus :-) Schau mir das aber immer mal wieder an... -- Gruß Sascha From r.felber at ek-muc.de Wed Oct 20 21:34:50 2010 From: r.felber at ek-muc.de (r.felber at ek-muc.de) Date: Wed, 20 Oct 2010 21:34:50 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> Message-ID: <20101020193450.GA23225@xensrv.dartsd66.local> On Wed, Oct 20, 2010 at 09:08:08PM +0200, Klaus Tachtler wrote: > Selbst z.B. Oracle verwendet auch eine Art freies RHEL5, was ja > letztendlich CentOS auch "nur" ist - und nennt das sogar "unbreakable > kernle - Linux" - lustiger Name! :-) Oracle, welches Suns exploit-geschichte erfolgreich fortsetzt? http://www.heise.de/security/news/foren/S-Wenn-man-sieht-wer-das-Modul-gemacht-hat/forum-187883/msg-19313681/read/ -- Robert Felber, PGP: D1B2F2E5 From timo.schoeler at riscworks.net Wed Oct 20 21:47:24 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 20 Oct 2010 21:47:24 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <20101020193450.GA23225@xensrv.dartsd66.local> References: <4CBEFF2B.8090906@ib-gerhards.de> <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> <20101020193450.GA23225@xensrv.dartsd66.local> Message-ID: <4CBF474C.2020004@riscworks.net> On 10/20/2010 09:34 PM, r.felber at ek-muc.de wrote: > On Wed, Oct 20, 2010 at 09:08:08PM +0200, Klaus Tachtler wrote: >> Selbst z.B. Oracle verwendet auch eine Art freies RHEL5, was ja >> letztendlich CentOS auch "nur" ist - und nennt das sogar >> "unbreakable kernle - Linux" - lustiger Name! :-) > > Oracle, welches Suns exploit-geschichte erfolgreich fortsetzt? > > http://www.heise.de/security/news/foren/S-Wenn-man-sieht-wer-das-Modul-gemacht-hat/forum-187883/msg-19313681/read/ Ohne > > jetzt flamen zu wollen: Linux an sich (ja, nur der Kernel, denn mehr ist das ja nicht!) ist, vom akademischen Standpunkt her gesehen, wie auch vom sicherheitstechnischen, ein Witz in Tüten. Dazu kommt, daß Distributoren und/oder Communities noch ihr Unwesen obendraufsetzen. Stichworte: Debian, OpenSSL, Security Team... und so weiter. Im Endeffekt liegt die Verantwortung wie auch das Risiko bei den Admins; man kann OpenBSD grottig aufsetzen oder auch (wahrscheinlich, wenn man nur genug Aufwand betreibt) eine Windows-Kiste 'ans Netz anklemmbar' machen... die Intelligenz sitzt immer noch vor der Tastatur. Gruezi! From leo at leo-unglaub.net Wed Oct 20 21:53:16 2010 From: leo at leo-unglaub.net (Leo Unglaub) Date: Wed, 20 Oct 2010 21:53:16 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF474C.2020004@riscworks.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> <20101020193450.GA23225@xensrv.dartsd66.local> <4CBF474C.2020004@riscworks.net> Message-ID: <4CBF48AC.5030108@leo-unglaub.net> Hallo ! Am 20.10.2010 21:47, schrieb Timo Schoeler: > Ohne jetzt flamen zu wollen: Linux an sich (ja, nur der Kernel, denn > mehr ist das ja nicht!) ist, vom akademischen Standpunkt her gesehen, > wie auch vom sicherheitstechnischen, ein Witz in Tüten. Dazu kommt, daß > Distributoren und/oder Communities noch ihr Unwesen obendraufsetzen. > > Stichworte: Debian, OpenSSL, Security Team... und so weiter. Das ist bei Debian in diesem Ausmaß 1 Mal in 15 Jahren passiert. Da kann man wohl mal drüber hinweg sehen. Menschen machen Fehler, das kann passieren. Des weiteren würde mich interessieren womit du deinen Standpunkt oben stärkst. So mies wie du es hinstellst ist es nicht und ohne irgend welche technischen Ausführungen ist das nicht mal ein neuer "Tannenbaum" -> http://en.wikipedia.org/wiki/Tanenbaum%E2%80%93Torvalds_debate , sondern nur geflame. Leo From r.felber at ek-muc.de Wed Oct 20 22:35:12 2010 From: r.felber at ek-muc.de (r.felber at ek-muc.de) Date: Wed, 20 Oct 2010 22:35:12 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBEFF2B.8090906@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> Message-ID: <20101020203512.GA23473@xensrv.dartsd66.local> On Wed, Oct 20, 2010 at 04:39:39PM +0200, Norbert Gerhards wrote: > Hallo Liste, > > da ich einen Test-Server für einen Kunden aufsetzen darf, > der im wesentlichen nur Mailing und Web bedienen soll, > würde mich mal interessieren, auf welchen linuxoiden > Betriebssystemen ihr Listen-User denn aufsetzt? > > Meine Server laufen auf Solaris und die neueren auf > debian GNU/Linux 5.x lenny. > > Hat jemand unter euch praktische Erfahrung mit Ubuntu Server > und eine Meinung zu debian vs. Ubuntu? > > Oder wären RedHat oder Suse erwägenswert? CentOS? > Die Berkley-Schiene möchte ich für mich ausschließen (freeBSD etc.). Schade. Ich habe endlich wieder die Moeglichkeit FBSD8 zu nutzen und finde es einfach nur "geil". - ZFS ist nett - wesentlich intuitiver als lvm + mdraid - Solange man nicht am Kernel baut (was ich momentan nicht vorhabe) ist freebsd-update(8) einfach nur herrlich - Es muss nicht alles via Ports installiert werden sondern es gibt auch die binary-Pakete - pf fetzt - handbook fetzt - POSIX fetzt Ansonsten: Linux-maessig griff ich intuitiv immer zu Gentoo wobei ich auch Debians habe. Also ich wuerde nicht den religioesen Weg gehen, sondern den des geringsten Arbeitsaufwandes im Verhaeltnis zum Einsatzbereich. Intranet-fileserver oder Proxy ohne viel Features, am besten einer, der nie geupdated werden muss - da reicht ein Debian aus. Intranet-App-Server der den neuesten iPhone/Blackberry/Foo unterstuetzen muss, bzw Produktionsserver+Beta-Testing dann eher Gentoo Internet-server - da gehe ich doch schon lieber den BSD-weg (siehe auch Mail-Server) Mail-Server: BSD - einfach aufgrund der Skalierbarkeit + sehr aktuelle Server-Pakete. Entweder ist die Komptenz der User hoeher oder es sind doch sinnige System-Defaults und Verhalten des Kernels: ich habe das Gefuehl, dass Skalierungsprobleme eher unter Linux als unter BSD auftreten. -- Robert Felber, PGP: D1B2F2E5 From mailinglist-postfixbuch at online.de Wed Oct 20 22:59:59 2010 From: mailinglist-postfixbuch at online.de (Thomas Klein) Date: Wed, 20 Oct 2010 22:59:59 +0200 Subject: [Postfixbuch-users] Problem mit Klammern in Absenderadresse Message-ID: <4CBF584F.8050800@online.de> Hallo zusammen, ich habe ein kleines aber großes Problem. Bei einem Kunden nimmt ein Tobit-Server Faxe an und leitet diese per Mail an Postfix weiter - Postfix wiederum an einen Exchange-Server. Da Tobit die Faxnummer zusammen mit der Mail-Domain als Absenderadresse hernimmt, kommt des öfteren eine ungültige Absenderadresse raus, wenn in der übermittelten Faxnummer Klammern enthalten sind, Auszug aus mail.log: Oct 20 08:38:47 vm-mailgate postfix/smtpd[5507]: warning: Illegal address syntax from srv02.domain.local[192.168.81.2] in MAIL command: <+49(69)12345678> In diesem Fall wäre die übermittelte Absenderadresse +49(69)12345678 at domain.de gewesen. Dies kann problemlos per Telnet nachgestellt werden: 220 smtp.domain.de ESMTP helo srv01 250 smtp.domain.de mail from: +49(69)12345678 at domain.de 501 5.1.7 Bad sender address syntax quit 221 2.0.0 Bye Richtigerweise stört sich Postfix an den Klammern, allerdings ist genau das in diesem Fall mein Problem. Ich habe schon daran gedacht mit sender_canonical_maps alle Absenderfaxnummern durch irgendwas anderes zu ersetzen, ob im Absenderfeld die richtige Faxnummer steht oder etwas neutrales ist eigentlich egal. Leider werden eben diese Faxe im Moment nicht weitergeleitet, und das ist fatal. Ich bin auch gezwungen die Absenderadresse zu ersetzen falls eine Klammer enthalten ist, da Exchange die Mails mit diesem unkorrekten Absender die Mails genausowenig annimmt. Hat jemand für mich einen Tip, wie ich über sender_canonical_maps oder einen anderen Weg die Absenderadresse ersetzen könnte? Von dem Tobit-Server kommen wirklich nur Faxe, es wäre auch kein Problem irgendwie für alle Mails die von diesem Server eingeliefert werden die Absenderadresse ersetzen zu lassen. Wäre schön wenn jemand einen Tip dazu hat. Vielen Danke & Gruss Thomas From timo.schoeler at riscworks.net Wed Oct 20 23:05:08 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Wed, 20 Oct 2010 23:05:08 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF48AC.5030108@leo-unglaub.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> <20101020193450.GA23225@xensrv.dartsd66.local> <4CBF474C.2020004@riscworks.net> <4CBF48AC.5030108@leo-unglaub.net> Message-ID: <4CBF5984.7070406@riscworks.net> On 10/20/2010 09:53 PM, Leo Unglaub wrote: > Hallo ! > > Am 20.10.2010 21:47, schrieb Timo Schoeler: >> Ohne jetzt flamen zu wollen: Linux an sich (ja, nur der Kernel, >> denn mehr ist das ja nicht!) ist, vom akademischen Standpunkt her >> gesehen, wie auch vom sicherheitstechnischen, ein Witz in Tüten. >> Dazu kommt, daß Distributoren und/oder Communities noch ihr Unwesen >> obendraufsetzen. >> >> Stichworte: Debian, OpenSSL, Security Team... und so weiter. > Das ist bei Debian in diesem Ausmaß 1 Mal in 15 Jahren passiert. Da > kann man wohl mal drüber hinweg sehen. Den Server-Einbruch 2003 lasse ich mal außen vor. Das mit dem Security Team war ein anderer Vorfall [0] als das SSL-Debakel [1]. > Menschen machen Fehler, das kann passieren. Ja, aber genau dafür gibt's eine Community -- daß einer dem anderen auf die Finger schauen kann. Vor allem bestand auch das Security Team nicht nur aus einer Person, sonst wäre alleine die Namensgebung zu überdenken. Es geht mir hier auch nicht darum, auf Debian einzuprügeln -- solange mich niemand zwingt, es zu nutzen, ist das okay. ;) Man darf sich aber nicht wundern, wenn ein Projekt eben 'nicht weiter nach oben' kommt, wenn sowas nicht nur einmal passiert -- analog dazu darf sich ein Theo de Raadt auch nicht über mangelnde Spendenbereitschaft beschweren, wenn auf den Mailinglisten alle Neulinge oder Menschen, die nicht alle man pages auswendig können, als ******, (§/$(§§ oder ##### ## #### von im beschimpft werden. :) > Des weiteren würde mich interessieren womit du deinen Standpunkt oben > stärkst. So mies wie du es hinstellst ist es nicht und ohne irgend > welche technischen Ausführungen ist das nicht mal ein neuer > "Tannenbaum" -> > http://en.wikipedia.org/wiki/Tanenbaum%E2%80%93Torvalds_debate Diese Debatte ist mir durchaus geläufig; ich beziehe das aber global auf die Position des Kernels und der Codequalität (!) in der CS. > , sondern nur geflame. Ah, okay. Na dann ist ja gut. > Leo Lassen wir's gut sein... Timo [0] -- http://www.heise.de/security/meldung/Debian-diskutiert-111666.html [1] -- http://www.heise.de/newsticker/meldung/Schwache-Krypto-Schluessel-unter-Debian-Ubuntu-und-Co-207332.html From Ralf.Hildebrandt at charite.de Wed Oct 20 23:31:33 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 20 Oct 2010 23:31:33 +0200 Subject: [Postfixbuch-users] Problem mit Klammern in Absenderadresse In-Reply-To: <4CBF584F.8050800@online.de> References: <4CBF584F.8050800@online.de> Message-ID: <20101020213133.GD7905@charite.de> * Thomas Klein : > Hallo zusammen, > > ich habe ein kleines aber großes Problem. Bei einem Kunden nimmt ein > Tobit-Server Faxe an und leitet diese per Mail an Postfix weiter - > Postfix wiederum an einen Exchange-Server. > Da Tobit die Faxnummer zusammen mit der Mail-Domain als > Absenderadresse hernimmt, kommt des öfteren eine ungültige > Absenderadresse raus, wenn in der übermittelten Faxnummer Klammern > enthalten sind, Auszug aus mail.log: > > Oct 20 08:38:47 vm-mailgate postfix/smtpd[5507]: warning: Illegal > address syntax from srv02.domain.local[192.168.81.2] in MAIL command: > <+49(69)12345678> Ja, die runden Klammern sind das Problem > Richtigerweise stört sich Postfix an den Klammern, allerdings ist > genau das in diesem Fall mein Problem. Ich habe schon daran gedacht > mit sender_canonical_maps alle Absenderfaxnummern durch irgendwas > anderes zu ersetzen, ob im Absenderfeld die richtige Faxnummer steht > oder etwas neutrales ist eigentlich egal. Da hilft Dir "smtpd_command_filter" man 5 postconf hat sehr gute Beispiele dafür > Leider werden eben diese Faxe im Moment nicht weitergeleitet, und das > ist fatal. Ich bin auch gezwungen die Absenderadresse zu ersetzen falls > eine Klammer enthalten ist, da Exchange die Mails mit diesem > unkorrekten Absender die Mails genausowenig annimmt. Man ist sich einig. > Von dem Tobit-Server kommen wirklich nur Faxe, es wäre auch kein > Problem irgendwie für alle Mails die von diesem Server eingeliefert > werden die Absenderadresse ersetzen zu lassen. Mal ganz blasphemisch: Der Ansatz daß die Tobit Jungs ihre br0ken Software fixen ist nicht gangbar? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From mailinglist-postfixbuch at online.de Wed Oct 20 23:51:44 2010 From: mailinglist-postfixbuch at online.de (Thomas Klein) Date: Wed, 20 Oct 2010 23:51:44 +0200 Subject: [Postfixbuch-users] Problem mit Klammern in Absenderadresse In-Reply-To: <20101020213133.GD7905@charite.de> References: <4CBF584F.8050800@online.de> <20101020213133.GD7905@charite.de> Message-ID: <4CBF6470.6060802@online.de> Am 20.10.2010 23:31, schrieb Ralf Hildebrandt: > * Thomas Klein: >> Hallo zusammen, >> >> ich habe ein kleines aber großes Problem. Bei einem Kunden nimmt ein >> Tobit-Server Faxe an und leitet diese per Mail an Postfix weiter - >> Postfix wiederum an einen Exchange-Server. >> Da Tobit die Faxnummer zusammen mit der Mail-Domain als >> Absenderadresse hernimmt, kommt des öfteren eine ungültige >> Absenderadresse raus, wenn in der übermittelten Faxnummer Klammern >> enthalten sind, Auszug aus mail.log: >> >> Oct 20 08:38:47 vm-mailgate postfix/smtpd[5507]: warning: Illegal >> address syntax from srv02.domain.local[192.168.81.2] in MAIL command: >> <+49(69)12345678> > Ja, die runden Klammern sind das Problem > >> Richtigerweise stört sich Postfix an den Klammern, allerdings ist >> genau das in diesem Fall mein Problem. Ich habe schon daran gedacht >> mit sender_canonical_maps alle Absenderfaxnummern durch irgendwas >> anderes zu ersetzen, ob im Absenderfeld die richtige Faxnummer steht >> oder etwas neutrales ist eigentlich egal. > Da hilft Dir "smtpd_command_filter" > > man 5 postconf > hat sehr gute Beispiele dafür > >> Leider werden eben diese Faxe im Moment nicht weitergeleitet, und das >> ist fatal. Ich bin auch gezwungen die Absenderadresse zu ersetzen falls >> eine Klammer enthalten ist, da Exchange die Mails mit diesem >> unkorrekten Absender die Mails genausowenig annimmt. > Man ist sich einig. > >> Von dem Tobit-Server kommen wirklich nur Faxe, es wäre auch kein >> Problem irgendwie für alle Mails die von diesem Server eingeliefert >> werden die Absenderadresse ersetzen zu lassen. > Mal ganz blasphemisch: Der Ansatz daß die Tobit Jungs ihre br0ken > Software fixen ist nicht gangbar? > Danke für deine Antwort, ich sehe mir das mal an. Ich habe inzwischen einen KB-Artikel bei Tobit gefunden der das ganze beschreibt, nicht ganz einfach zu finden - mal sehen ob der Workaround wirkt (Artikel**Q-105.201). Ein Fan von Tobit bin ich ganz und gar nicht, das ein oder andere ist wirklich non-standard. Vielen Dank schonmal & Gruss Thomas ** From cite at incertum.net Thu Oct 21 06:13:54 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 21 Oct 2010 06:13:54 +0200 Subject: [Postfixbuch-users] Problem mit Klammern in Absenderadresse In-Reply-To: <4CBF584F.8050800@online.de> References: <4CBF584F.8050800@online.de> Message-ID: <20101021041354.GB1763@mail.incertum.net> * Thomas Klein : > ich habe ein kleines aber großes Problem. Bei einem Kunden nimmt ein > Tobit-Server Faxe an und leitet diese per Mail an Postfix weiter - > Postfix wiederum an einen Exchange-Server. Tobit rauswerfen, HylaFAX implementieren. Voicemail könnt ihr viel komfortabler mit einer geeigneten Telefonanlage, einem modernen Exchange und MS Office nachbauen. Für's Archiv: smtpd_command_filter. Stefan From cite at incertum.net Thu Oct 21 06:16:44 2010 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 21 Oct 2010 06:16:44 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <4CBEFAD6.1050106@fuerstenberg.ws> <21032B7B-98B6-4C67-A225-3A3067CEFED7@bremen-sys.com> Message-ID: <20101021041644.GC1763@mail.incertum.net> * Lars Behrens : > (...) > -rw------- 1 postgrey postgrey 24576 Oct 20 17:20 __db.001 > (...) > > - wobei wir das in den nächsten Tagen mal im Auge behalten müssen. > > danke nochmal für den Hinweis in die richtige Richtung, Kai! Falls ihr Nagios einsetzt: Die Standard-Plugins-Distribution kommt mit "check_file_age" ;-) Stefan From atann at alphasrv.net Thu Oct 21 11:13:29 2010 From: atann at alphasrv.net (Andre Tann) Date: Thu, 21 Oct 2010 11:13:29 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <201010201834.57953.p.heinlein@heinlein-support.de> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <201010201834.57953.p.heinlein@heinlein-support.de> Message-ID: <201010211113.29331@inter.netz> Peer Heinlein, Mittwoch 20 Oktober 2010: > Abhilfe: Ablöschen der DB und einfach neu anlegen lassen. Kost ja nix. In diesem Zusammenhang eine Frage, die ich eigentlich schon länger mal stellen wollte: Ich beobachte öfter mal folgendes: rcpostgrey stop rm /var/spool/postfix/postgrey/* rcpostgrey start Postgrey startet zwar ganz normal, und legt die Dateien im postgrey-Verzeichnis neu an. Aber trotzdem kennt es die Server, die es vorher schon kannte. Woran liegt das? Durchforstet Postgrey die Logs, oder wie geht das? Ist aber nicht immer so, manchmal fängt Postgrey auch wirklich neu an zu lernen. Danke+Gruß! -- Andre Tann From p.heinlein at heinlein-support.de Thu Oct 21 12:39:31 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 21 Oct 2010 12:39:31 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <201010211113.29331@inter.netz> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <201010201834.57953.p.heinlein@heinlein-support.de> <201010211113.29331@inter.netz> Message-ID: <201010211239.31496.p.heinlein@heinlein-support.de> Am Donnerstag, 21. Oktober 2010 11:13:29 schrieb Andre Tann: > Postgrey startet zwar ganz normal, und legt die Dateien im > postgrey-Verzeichnis neu an. Aber trotzdem kennt es die Server, die > es vorher schon kannte. Woran liegt das? a) Habe ich noch NIE beobachtet b) glaube ich nicht c) halte ich für technisch ausgeschlossen. > Durchforstet Postgrey die Logfiles Nein, definitiv nein. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From atann at alphasrv.net Thu Oct 21 16:44:30 2010 From: atann at alphasrv.net (Andre Tann) Date: Thu, 21 Oct 2010 16:44:30 +0200 Subject: [Postfixbuch-users] Greylisting nimmt Mails nie an In-Reply-To: <201010211239.31496.p.heinlein@heinlein-support.de> References: <1C35D433-F007-44E4-BF5C-F93A89FF1FEC@bremen-sys.com> <201010211113.29331@inter.netz> <201010211239.31496.p.heinlein@heinlein-support.de> Message-ID: <201010211644.30571@inter.netz> Peer Heinlein, Donnerstag 21 Oktober 2010: > Am Donnerstag, 21. Oktober 2010 11:13:29 schrieb Andre Tann: > > Postgrey startet zwar ganz normal, und legt die Dateien im > > postgrey-Verzeichnis neu an. Aber trotzdem kennt es die Server, die > > es vorher schon kannte. Woran liegt das? > > a) Habe ich noch NIE beobachtet > > b) glaube ich nicht > > c) halte ich für technisch ausgeschlossen. Tja, das sehe ich im Prinzip auch so. Leider habe ich gerade kein Beispiel parat. Aber wenn es mal wieder soweit ist, dann poste ich es hier. Gruß! -- Andre Tann From M at rkusGe.de Thu Oct 21 20:04:47 2010 From: M at rkusGe.de (Markus Gede (privat)) Date: Thu, 21 Oct 2010 20:04:47 +0200 Subject: [Postfixbuch-users] numothersock - problematik Message-ID: <4CC080BF.4050804@rkusGe.de> Hallo zusammen, Ich habe mir vor einigen Monaten das Postfix-Buch gekauft und gelesen, inzwischen läuft mein erster Mailserver fast problemlos. Zum Thema Ressourcen bzw Systemanforderungen wurde aber in meinen Augen ein wichtiger Punkt vergessen. Als Laie dachte ich bisher immer: Hat man genügend RAM, CPU-Power und eine weder volle noch ausgelastete Festplatte ist ressourcentechnisch alles im grünen Bereich. Ich denke auch nicht, dass ich der einzige Anwender bin, der einen virtuellen Server benutzt. Deshalb hat es mich sehr gewundert, als neulich mein Server stehen blieb und ich bei der Ursachenforschung erst nach einiger Recherche auf den Begriff "numothersock" gestossen bin und dessen Bedeutung klären konnte. Kurzum: mein Server hing sich auf, da nicht genügend freie interne Sockets zur Verfügung standen. Diese sind üblicherweise bei virtuellen Servern mehr oder weniger begrenzt, und spielen somit u.U. viel eher eine Rolle als RAM, CPU-Power und Platten-Performance. Deshalb bin ich schon etwas erstaunt darüber, dass darauf im Buch nicht eingegangen wird, zumal ich gelesen hab, dass gerade Postfix relativ viele sockets einsetzt, im vergleich zu anderen MTAs. Meine Frage nun: gibt es für Admins von virtuellen Servern irgendwelche Tips und Tricks bzw Stellschrauben an Postfix bzw Dovecot, mit denen man den Socket-Verbrauch einschränken / reduzieren kann? Gibt es eine Art Obergrenze an Sockets, die Postfix verwendet? Oder vielleicht eine Möglichkeit zur Berechnung des Socketbedarfs? Ich könnte z.B. ein Serverupgrade machen und meine jetzigen 400 auf 600 oder 800 Sockets erhöhen. Nur kann ich leider so gar nicht einschätzen, ob ich dann beruhigt sein kann, oder ob bei einer Spam-Attacke wieder alles in die Knie geht, obwohl platte und CPU sich langweilen, und der RAM bei 40% auslastung rumdümpelt. Ich weiss: das beste sind natürlich root-server. Aber bei 10 Postfächern, die man nutzt, ist es schon ein Unterschied ob man pro Jahr 150 oder 500 Euro für nen Server ausgibt. ein paar Daten: mein vserver hat derzeit ein numothersock-limit von 400 der server ist ein lenny-stable mit postfix, dovecot, apache und mysql. mir ist klar, dass auch mysql und apache sockets belegen. aber die meisten gehen doch für "master" und "dovecot" drauf - direkt nach nem reboot belegt master mal eben 94 sockets bei mir. mit anvil hab ich bereits versucht ein paar limits zu setzen - die hatten aber darauf keine wirkung. auch die anzahl der smtpd hab ich auf 25 reduziert - ebenfalls ohne ergebnis. Was kann man tun? Was könnt ihr raten? Danke vorab & Gruß, Markus Gede From stefan-bs at gmx.net Fri Oct 22 12:38:10 2010 From: stefan-bs at gmx.net (Stefan Diekmann) Date: Fri, 22 Oct 2010 12:38:10 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?OT=3A_Braucht_man_f=FCr_jeden?= =?iso-8859-15?q?_MX_einen_A-Record?= Message-ID: <4CC16992.3010608@gmx.net> Hallo, wir haben mit einigen Gegenstellen im Internet Probleme. Für unsere Hauptdomaine firma.de gibt es einen A- und einen MX-Record. Hier haben wir auch keine Probleme. Anders sieht es mit einer Subdomaine aus. Hier für gibt es nur einen MX-Record. Jetzt tauchen vermehrt Fehlermeldungen auf wie zum Beispiel: 5.1.2 -- Bad Destination host "DNS Hard Error looking up subdomaine.firma.de (A): domain has no A record" 5.1.2-Recipient address rejected: Domain not found Hat da jemand seine eigenen Regeln aufgestellt oder muß der A-Record laut RFC vorhanden sein? Viele Grüße Stefan Diekmann -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From petry at cypy.de Fri Oct 22 12:58:37 2010 From: petry at cypy.de (Ralf Petry) Date: Fri, 22 Oct 2010 12:58:37 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <4CBF26BD.3090801@ib-gerhards.de> References: <4CBEFF2B.8090906@ib-gerhards.de> <4CBF1560.9080801@leo-unglaub.net> <4CBF26BD.3090801@ib-gerhards.de> Message-ID: <4CC16E5D.8040702@pymac.sredzki23.local> meine server laufen mit ubuntu lts oder mit openbsd. zwei alte suse-server lungern noch herum, und wenn die sterben und ich nichts brauche, was es nicht für openbsd gibt, dann gehe ich dahin, ansonsten ist es ubuntu. grusz ralf (aber ein anderer) Am 20.10.2010 19:28, schrieb Norbert Gerhards: > Ausser Ralf scheint hier aber niemand seine Server unter Ubuntu > zu betreiben - hmmm. > > Viele Grüße > > Norbert > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From driessen at fblan.de Fri Oct 22 12:59:52 2010 From: driessen at fblan.de (Driessen) Date: Fri, 22 Oct 2010 12:59:52 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <4CC16992.3010608@gmx.net> References: <4CC16992.3010608@gmx.net> Message-ID: <001501cb71d8$40fc43e0$0565a8c0@uwe> On Behalf Of Stefan Diekmann > wir haben mit einigen Gegenstellen im Internet Probleme. Für unsere > Hauptdomaine firma.de gibt es einen A- und einen MX-Record. Hier haben > wir auch keine Probleme. Anders sieht es mit einer Subdomaine aus. Hier > für gibt es nur einen MX-Record. Jetzt tauchen vermehrt Fehlermeldungen > auf wie zum Beispiel: > > 5.1.2 – Bad Destination host „DNS Hard Error looking up > subdomaine.firma.de (A): domain has no A record” > 5.1.2-Recipient address rejected: Domain not found Es muß für jeden MX auch einen A-Record geben z.b. Domain1.de MX 10 mx.domain1.de mx.domain1.de A 1.2.3.4 oder Domain1.de MX 10 mx.domain2.de Dann für domain2.de auch den A Record mx.domain2.de A 1.2.3.5 woher soll der Server sonst wissen auf welche IP er sich connecten soll? Da laufen dann immer 2 Abfragen Zuerst welcher MX ist denn zuständig dann wird nachgeschaut welche IP der MX hat. Der MX Eintrag verweist immer auf einen Namen nie auf eine IP http://de.wikipedia.org/wiki/Domain_Name_System > > Hat da jemand seine eigenen Regeln aufgestellt oder muß der A-Record laut > RFC vorhanden sein? > > Viele Grüße > Stefan Diekmann > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From stefan-bs at gmx.net Fri Oct 22 14:13:16 2010 From: stefan-bs at gmx.net (Stefan Diekmann) Date: Fri, 22 Oct 2010 14:13:16 +0200 Subject: [Postfixbuch-users] =?windows-1252?q?OT=3A_Braucht_man_f=FCr_jede?= =?windows-1252?q?n_MX_einen_A-Record?= In-Reply-To: <001501cb71d8$40fc43e0$0565a8c0@uwe> References: <4CC16992.3010608@gmx.net> <001501cb71d8$40fc43e0$0565a8c0@uwe> Message-ID: <4CC17FDC.7010909@gmx.net> Hallo, Am 22.10.2010 12:59, schrieb Driessen: > > On Behalf Of Stefan Diekmann > > >> wir haben mit einigen Gegenstellen im Internet Probleme. Für unsere >> Hauptdomaine firma.de gibt es einen A- und einen MX-Record. Hier haben >> wir auch keine Probleme. Anders sieht es mit einer Subdomaine aus. Hier >> für gibt es nur einen MX-Record. Jetzt tauchen vermehrt Fehlermeldungen >> auf wie zum Beispiel: >> >> 5.1.2 ? Bad Destination host ?DNS Hard Error looking up >> subdomaine.firma.de (A): domain has no A record? >> 5.1.2-Recipient address rejected: Domain not found > Es muß für jeden MX auch einen A-Record geben > > z.b. > > Domain1.de MX 10 mx.domain1.de > mx.domain1.de A 1.2.3.4 > > oder > Domain1.de MX 10 mx.domain2.de > Dann für domain2.de auch den A Record > > mx.domain2.de A 1.2.3.5 > > > woher soll der Server sonst wissen auf welche IP er sich connecten soll? > > Da laufen dann immer 2 Abfragen > > Zuerst welcher MX ist denn zuständig dann wird nachgeschaut welche IP der MX > hat. > > Der MX Eintrag verweist immer auf einen Namen nie auf eine IP > > http://de.wikipedia.org/wiki/Domain_Name_System Das ist mir klar. Ich hab mich etwas schlecht ausgedrückt. Einen A-Record für dem Mailserver gibt es natürlich. Es gibt nur keinen A-Record für die Subdomaine wie in dem Beispiel hier: firma.de mx 10 mail.firma.de subdomaine.firma.de mx 10 mail.firma.de mail.firma.de A 1.2.3.4 >> Hat da jemand seine eigenen Regeln aufgestellt oder muß der A-Record laut >> RFC vorhanden sein? >> >> Viele Grüße >> Stefan Diekmann >> > > Mit freundlichen Grüßen > > Drießen > From driessen at fblan.de Fri Oct 22 14:29:54 2010 From: driessen at fblan.de (Driessen) Date: Fri, 22 Oct 2010 14:29:54 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <4CC17FDC.7010909@gmx.net> References: <4CC16992.3010608@gmx.net> <001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net> Message-ID: <001f01cb71e4$d4a6bb50$0565a8c0@uwe> On Behalf Of Stefan Diekmann > Am 22.10.2010 12:59, schrieb Driessen: > > > > On Behalf Of Stefan Diekmann > > Es muß für jeden MX auch einen A-Record geben > > > > z.b. > > > > Domain1.de MX 10 mx.domain1.de > > mx.domain1.de A 1.2.3.4 > > > > oder > > Domain1.de MX 10 mx.domain2.de > > Dann für domain2.de auch den A Record > > > > mx.domain2.de A 1.2.3.5 > > > > > > woher soll der Server sonst wissen auf welche IP er sich connecten soll? > > > > Da laufen dann immer 2 Abfragen > > > > Zuerst welcher MX ist denn zuständig dann wird nachgeschaut welche IP > der MX > > hat. > > > > Der MX Eintrag verweist immer auf einen Namen nie auf eine IP > > > > http://de.wikipedia.org/wiki/Domain_Name_System > Das ist mir klar. Ich hab mich etwas schlecht ausgedrückt. Einen > A-Record für dem Mailserver gibt es natürlich. Es gibt nur keinen > A-Record für die Subdomaine wie in dem Beispiel hier: > > firma.de mx 10 mail.firma.de > subdomaine.firma.de mx 10 mail.firma.de > mail.firma.de A 1.2.3.4 Genau das ist dein Problem. Das geht wenn der subdomain.firma.de auf die gleiche IP wie *.firma.de A 2.6.5.7 pointert. Aber wenn du schon explizit eine subdomain im DNS einträgst dann sollten deine DNS Einträge sowohl vorwärts wie rückwärts immer auflösbar sein. Also vollständig eingetragen. Du brauchst auch nur dann explizit eine Subdomain als MX eintragen wenn das ein anderer MX wie der für firma.de ist ansonsten kannst du dir den MX Eintrag für die Subdomain sparen!(so was solltest du auch nicht machen, ist überflüssig, fehleranfällig und macht das ganze unübersichtlich) Alles was im DNS steht muss stimmig sein deswegen noch mal der Verweis auf das Wiki. Das ist sehr gut erklärt warum und genau so und nicht irgendwie anders. RFC sagt auch nichts anderes aus aber ist in englisch und nicht so gut lesbar. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From stefan-bs at gmx.net Fri Oct 22 15:30:25 2010 From: stefan-bs at gmx.net (Stefan Diekmann) Date: Fri, 22 Oct 2010 15:30:25 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <001f01cb71e4$d4a6bb50$0565a8c0@uwe> References: <4CC16992.3010608@gmx.net> <001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net> <001f01cb71e4$d4a6bb50$0565a8c0@uwe> Message-ID: <4CC191F1.3060204@gmx.net> Am 22.10.2010 14:29, schrieb Driessen: > > On Behalf Of Stefan Diekmann >> Am 22.10.2010 12:59, schrieb Driessen: >>> On Behalf Of Stefan Diekmann >>> Es muß für jeden MX auch einen A-Record geben >>> >>> z.b. >>> >>> Domain1.de MX 10 mx.domain1.de >>> mx.domain1.de A 1.2.3.4 >>> >>> oder >>> Domain1.de MX 10 mx.domain2.de >>> Dann für domain2.de auch den A Record >>> >>> mx.domain2.de A 1.2.3.5 >>> >>> >>> woher soll der Server sonst wissen auf welche IP er sich connecten soll? >>> >>> Da laufen dann immer 2 Abfragen >>> >>> Zuerst welcher MX ist denn zuständig dann wird nachgeschaut welche IP >> der MX >>> hat. >>> >>> Der MX Eintrag verweist immer auf einen Namen nie auf eine IP >>> >>> http://de.wikipedia.org/wiki/Domain_Name_System >> Das ist mir klar. Ich hab mich etwas schlecht ausgedrückt. Einen >> A-Record für dem Mailserver gibt es natürlich. Es gibt nur keinen >> A-Record für die Subdomaine wie in dem Beispiel hier: >> >> firma.de mx 10 mail.firma.de >> subdomaine.firma.de mx 10 mail.firma.de >> mail.firma.de A 1.2.3.4 > > Genau das ist dein Problem. > Das geht wenn der subdomain.firma.de auf die gleiche IP wie *.firma.de A > 2.6.5.7 pointert. > > Aber wenn du schon explizit eine subdomain im DNS einträgst dann sollten > deine DNS Einträge sowohl vorwärts wie rückwärts immer auflösbar sein. > Also vollständig eingetragen. > Du brauchst auch nur dann explizit eine Subdomain als MX eintragen wenn das > ein anderer MX wie der für firma.de ist ansonsten kannst du dir den MX > Eintrag für die Subdomain sparen!(so was solltest du auch nicht machen, ist > überflüssig, fehleranfällig und macht das ganze unübersichtlich) > > Alles was im DNS steht muss stimmig sein deswegen noch mal der Verweis auf > das Wiki. Das ist sehr gut erklärt warum und genau so und nicht irgendwie > anders. RFC sagt auch nichts anderes aus aber ist in englisch und nicht so > gut lesbar. > > > Mit freundlichen Grüßen > > Drießen > Ich weiß nicht genau, ob das mein Problem ist: Die Gegenstelle lehnt uns ab, weil es für Subdomain.firma.de nur einen MX und keinen A-Record gibt. Viele Grüße Stefan Diekmann From andreas.schulze at datev.de Fri Oct 22 15:52:03 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 22 Oct 2010 15:52:03 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <4CC191F1.3060204@gmx.net> References: <4CC16992.3010608@gmx.net> <001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net> <001f01cb71e4$d4a6bb50$0565a8c0@uwe> <4CC191F1.3060204@gmx.net> Message-ID: <20101022135202.GA2448@spider.services.datevnet.de> Am 22.10.2010 15:30 schrieb Stefan Diekmann: > Ich weiß nicht genau, ob das mein Problem ist: > Die Gegenstelle lehnt uns ab, weil es für Subdomain.firma.de nur einen > MX und keinen A-Record gibt. Es gibt nur einen Grund, in einer derartige Situation keine Mails zu senden oder anzunehmen: ein kaputter Mailserver. Ein Mailserver verarbeitet Mails für eine Domain. Zur Annahme / Versand stellt er ins DNS die Frage nach dem MX-Record für die Domain. Die Antworten, die Namen der zuständigen Mailserver, müssen dann natürlich als A/AAAA Records auflösbar sein. Dass ein Domain selbst einen A-Record hat, ist nicht nötig. Andreas -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From michael at nausch.org Fri Oct 22 21:28:15 2010 From: michael at nausch.org (Michael Nausch) Date: Fri, 22 Oct 2010 21:28:15 +0200 Subject: [Postfixbuch-users] OT: welches Server-OS verwendet ihr? In-Reply-To: <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> References: <4CBEFF2B.8090906@ib-gerhards.de> <20101020210808.19648qqsgzv3zzmo@buero.tachtler.net> Message-ID: <201010222129.08942.michael@nausch.org> Moin moin, Am Mittwoch, 20. Oktober 2010 21:08 schrieb Klaus Tachtler: > und nennt das sogar "unbreakable > kernle - Linux" - lustiger Name! :-) Solange man nicht 15 Partitionen auf eine 150er HD klatscht! ;) Viel Spaß in Berlin! cu I -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 189 bytes Beschreibung: nicht verfügbar URL : From soeren at mindorf.org Fri Oct 22 21:53:55 2010 From: soeren at mindorf.org (Soeren Mindorf) Date: Fri, 22 Oct 2010 21:53:55 +0200 Subject: [Postfixbuch-users] startssl und Thunderbird In-Reply-To: References: <9510056596.20100918115329@dlutt.de> Message-ID: Hallo zusammen, ich konnte das Problem lösen! :-) einfach: cat mykey.key mycert.crt sub.class1.server.crt dh.1024 >> all.crt und dann in der imap-ssl TLS_CERTFILE=all.crt #braucht man nicht, ist ja schon in all.crt mit drin #TLS_TRUSTCERTS=/etc/courier/ca-bundle.pem Gruß Sören -- Soeren Mindorf IT-Systemadministrator Birkbusch 14 D-23911 Ziethen Tel.: 04541 - 802233 Handy: 0172 - 4307064 Es gibt keine Flucht vor Erinnerungen auf dieser Welt. Die Geister unserer dummen Taten verfolgen uns. Mit oder ohne Reue. -Gilbert Parker- There is no refuge from memory and remorse in this world. The spirits of our foolish deeds haunt us, with or without repentance. -Gilbert Parker- From postfix-list at novuage.de Sun Oct 24 02:47:00 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 24 Oct 2010 02:47:00 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <20101022135202.GA2448@spider.services.datevnet.de> References: <4CC16992.3010608@gmx.net> <001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net> <001f01cb71e4$d4a6bb50$0565a8c0@uwe> <4CC191F1.3060204@gmx.net> <20101022135202.GA2448@spider.services.datevnet.de> Message-ID: <4CC38204.9040606@novuage.de> Am 22.10.2010 15:52, schrieb Andreas Schulze: > Am 22.10.2010 15:30 schrieb Stefan Diekmann: >> Ich weiß nicht genau, ob das mein Problem ist: >> Die Gegenstelle lehnt uns ab, weil es für Subdomain.firma.de nur einen >> MX und keinen A-Record gibt. > Es gibt nur einen Grund, in einer derartige Situation keine Mails zu senden > oder anzunehmen: ein kaputter Mailserver. > > Ein Mailserver verarbeitet Mails für eine Domain. Zur Annahme / Versand > stellt er ins DNS die Frage nach dem MX-Record für die Domain. > Die Antworten, die Namen der zuständigen Mailserver, müssen dann natürlich > als A/AAAA Records auflösbar sein. > > Dass ein Domain selbst einen A-Record hat, ist nicht nötig. Aber genau das scheint der gegenüber dann ja abzulehnen. Der A-Record wird gebraucht, bzw. genutzt wenn es keine MXer gibt. Hat man also einen Domain ohne MXer aber einen A-Record, und der Webserver ist auch Mailserver, dann geht das auch. Aber wie nun hier auch gesagt wurde, braucht man keinen Subdomain A-Record wenn man Mails versenden will und der DNS-Name der im MX hinterlegt ist einen A-Record hat, somit also der Server der die Mails annehmen soll gefunden werden kann. www.example.com A 1.2.3.4 example.com A 1.2.3.200 E-Mail an "example.com" würden dann an Port 25 auf 1.2.3.200 eingeliefert. Aber das ist was anderes. Die Frage die Du hast, die sollte eigentlich recht leicht zu beantworten sein, denn die normale Domain hat auch nicht immer einen A-Record. Wir haben öfters folgendes. www.example.com A 1.2.3.4 example.com MX mail.example.com mail.example.com A 1.2.3.200 Und da ist für "example.com" auch kein A-Record vorhanden was ja analog zu dem von Dir beschriebenen Subdomain Szenario passen würde. Eventuell das mal checken, wenn das aber zum Fehler führt, dann hat der Gegenüber wohl was falsch gemacht. -- Gruß Sascha From t.schneider at tms-itdienst.at Sun Oct 24 13:25:22 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Sun, 24 Oct 2010 13:25:22 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <4CC38204.9040606@novuage.de> References: <4CC16992.3010608@gmx.net><001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net><001f01cb71e4$d4a6bb50$0565a8c0@uwe> <4CC191F1.3060204@gmx.net><20101022135202.GA2448@spider.services.datevnet.de> <4CC38204.9040606@novuage.de> Message-ID: <4CC417A2.1000305@tms-itdienst.at> Hallo, ich glaub Ihr redet da etwas aneinander vorbei. Fakt ist das mein Mailserver Mails ablehnt, wenn der einliefernde Mailserver keinen A und PTR Record hat, bzw. diese nicht übereinstimmen. Also wenn für die domain "subdomain.meine-domain.tld" der MX-Record auf mail.meine-domain.tld zeigt, sollte "mail.meine-domain.tld" einen gleichlautigen A UND PTR Eintrag haben. Grüße Timm From postfix-list at novuage.de Sun Oct 24 14:07:48 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 24 Oct 2010 14:07:48 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <4CC417A2.1000305@tms-itdienst.at> References: <4CC16992.3010608@gmx.net><001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net><001f01cb71e4$d4a6bb50$0565a8c0@uwe> <4CC191F1.3060204@gmx.net><20101022135202.GA2448@spider.services.datevnet.de> <4CC38204.9040606@novuage.de> <4CC417A2.1000305@tms-itdienst.at> Message-ID: <4CC42194.9050403@novuage.de> Am 24.10.2010 13:25, schrieb Timm Schneider: > ich glaub Ihr redet da etwas aneinander vorbei. > Fakt ist das mein Mailserver Mails ablehnt, wenn der einliefernde > Mailserver keinen A und PTR Record hat, bzw. diese nicht übereinstimmen. > > Also wenn für die domain "subdomain.meine-domain.tld" der MX-Record auf > mail.meine-domain.tld zeigt, sollte "mail.meine-domain.tld" einen > gleichlautigen A UND PTR Eintrag haben. das hat Stefan Diekmann auch schon bestätigt das es bei Ihm so ist und dies nicht das Problem ist... -- Gruß Sascha From sebastian at debianfan.de Sun Oct 24 15:25:11 2010 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 24 Oct 2010 15:25:11 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= Message-ID: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> Hallo & Guten Tag zusammen, was sind die absoluten Minimalvoraussetzungen für einen Mailserver mit Postfix und Courier-Imap - hier meine ich speziell den Ram-Verbrauch. Kein Spamassassin, keine body/header/mime Checks und keine RBL - nur Empfangen von Mails - kein Senden. Genügen 256 MB hierfür? gruß Sebastian From fstoyan at swapon.de Sun Oct 24 15:35:36 2010 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Sun, 24 Oct 2010 15:35:36 +0200 Subject: [Postfixbuch-users] warning: network_biopair_interop: error reading 5 bytes from the network Message-ID: <20101024133536.GA25337@excelsior.lab.swapon.de> Hallo Kollegen! Folgendes Szenario: Mail-Client: 2.7.1-1 Debian Squeeze Mail-Server: 2.5.5-1.1 Debian Lenny Der Client liefert per TLS ein, der Server entscheidet anhand des präsentierten Clientzertifikats über das Relaying (check_ccert_access). Soweit funktioniert alles. Nur sehe ich nach erfolgter Kommunikation im Logfile des Clients: postfix/smtp[3538]: setting up TLS connection to mail.lab.swapon.de[2001:6f8:12ec:10::25]:25 postfix/smtp[3538]: Verified TLS connection established to mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) postfix/smtp[3538]: 2184980532D: to=, orig_to=, relay=mail.lab.swapon.de[2001:6f8:12ec:10::25]:25, delay=0.51, delays=0.07/0.01/0.33/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as BFB35131AA) postfix/smtp[3538]: warning: network_biopair_interop: error reading 5 bytes from the network: Connection reset by peer Auf dem Server sieht alles in Ordnung aus, keine Fehlermeldungen bzw. Warnings sichtbar. Nun habe ich mal einen tcpdump angefertigt: 1 0.000000 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP 39580 > smtp [SYN] Seq=0 Win=5760 Len=0 MSS=1440 TSV=1454672 TSER=0 WS=7 2 0.002347 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [SYN, ACK] Seq=0 Ack=1 Win=5712 Len=0 MSS=1440 TSV=795381212 TSER=1454672 WS=6 3 0.002380 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP 39580 > smtp [ACK] Seq=1 Ack=1 Win=5760 Len=0 TSV=1454673 TSER=795381212 4 0.065563 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 SMTP S: 220 mail.lab.swapon.de ESMTP Postfix 5 0.065583 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP 39580 > smtp [ACK] Seq=1 Ack=39 Win=5760 Len=0 TSV=1454689 TSER=795381228 6 0.065666 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 SMTP C: EHLO phoenix.lab.swapon.de 7 0.066093 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [ACK] Seq=39 Ack=29 Win=5760 Len=0 TSV=795381228 TSER=1454689 8 0.066109 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 SMTP S: 250-mail.lab.swapon.de | 250-PIPELINING | 250-SIZE 10240000 | 250-ETRN | 250-STARTTLS | 250-ENHANCEDSTATUSCODES | 250-8BITMIME | 250 DSN 9 0.066186 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 SMTP C: STARTTLS 10 0.066602 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 SMTP S: 220 2.0.0 Ready to start TLS 11 0.067936 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 SSL Client Hello 12 0.106074 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [ACK] Seq=200 Ack=1302 Win=8576 Len=0 TSV=795381239 TSER=1454689 13 0.144959 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TLSv1 Server Hello, 14 0.145000 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TLSv1 Certificate, Server Key Exchange, Certificate Request, Server Hello Done 15 0.145021 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP 39580 > smtp [ACK] Seq=1302 Ack=2932 Win=12544 Len=0 TSV=1454708 TSER=795381248 16 0.154838 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP [TCP segment of a reassembled PDU] 17 0.154877 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TLSv1 Certificate, Client Key Exchange, Certificate Verify, Change Cipher Spec, Encrypted Handshake Message 18 0.155376 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [ACK] Seq=2932 Ack=2730 Win=11456 Len=0 TSV=795381251 TSER=1454711 19 0.155411 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [ACK] Seq=2932 Ack=3638 Win=14336 Len=0 TSV=795381251 TSER=1454711 20 0.184549 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TLSv1 Encrypted Handshake Message, Change Cipher Spec, Encrypted Handshake Message 21 0.224971 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP 39580 > smtp [ACK] Seq=3638 Ack=4158 Win=15488 Len=0 TSV=1454728 TSER=795381258 22 0.326873 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TLSv1 Application Data 23 0.327928 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TLSv1 Application Data 24 0.327965 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TCP 39580 > smtp [ACK] Seq=3707 Ack=4291 Win=18304 Len=0 TSV=1454754 TSER=795381294 25 0.328175 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TLSv1 Application Data 26 0.366085 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [ACK] Seq=4291 Ack=3808 Win=14336 Len=0 TSV=795381304 TSER=1454754 27 0.372678 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TLSv1 Application Data 28 0.372891 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TLSv1 Application Data 29 0.373310 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [ACK] Seq=4376 Ack=4165 Win=17152 Len=0 TSV=795381305 TSER=1454766 30 0.418930 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TLSv1 Application Data 31 0.419126 2001:6f8:12ec:11::1024:0 -> 2001:6f8:12ec:10::25 TLSv1 Encrypted Alert 32 0.419939 2001:6f8:12ec:10::25 -> 2001:6f8:12ec:11::1024:0 TCP smtp > 39580 [RST, ACK] Seq=4461 Ack=4202 Win=17152 Len=0 TSV=795381317 TSER=1454777 Sieht soweit alles super aus. Bis auf Paket 31. Der Client schickt ein mysteriöses Alert und der Server schnappt ein und beendet sofort per Reset die Verbindung. Hat jemand eine Ahnung was da vorgeht und wie man das debuggen kann? Google ist voll davon, aber weitergeholfen hat mir (bis jetzt) nichts. Sorry für die lange Zeilenlänge. mfg Friedemann From abien at nbmc.de Sun Oct 24 15:49:05 2010 From: abien at nbmc.de (Alexander Bien) Date: Sun, 24 Oct 2010 15:49:05 +0200 Subject: [Postfixbuch-users] =?windows-1252?q?Minimalvoraussetzungen_f=FCr?= =?windows-1252?q?_Postfix-Mailserver?= In-Reply-To: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> Message-ID: <4CC43951.9090805@nbmc.de> Hi, > Kein Spamassassin, keine body/header/mime Checks und keine RBL - nur > Empfangen von Mails - kein Senden. > Genügen 256 MB hierfür? Sofern Du dich jetzt rein auf den Speicherverbrauch der Mail-relevanten Dienste beziehst - Dann würde ich sagen: Ja. Apache Mailgraph postgrey policyd-weight postfix ... verbrauchen hier etwa 130 MB an Speicher. -- ?Alles Fertige wird angestaunt, alles Werdende wird unterschätzt.? Friedrich Nietzsche (1844-1900), dt. Philosoph From sebastian at debianfan.de Sun Oct 24 17:04:30 2010 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 24 Oct 2010 17:04:30 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <4CC43951.9090805@nbmc.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <4CC43951.9090805@nbmc.de> Message-ID: > Hi, > >> Kein Spamassassin, keine body/header/mime Checks und keine RBL - nur >> Empfangen von Mails - kein Senden. >> Genügen 256 MB hierfür? > > Sofern Du dich jetzt rein auf den Speicherverbrauch der Mail-relevanten > Dienste beziehst - Dann würde ich sagen: Ja. > > Apache > Mailgraph > postgrey > policyd-weight > postfix > > ... verbrauchen hier etwa 130 MB an Speicher. > > > Kein Apache - kein Mailgraph - nur reiner Mailempfang und Abruf per IMAP. Nur postfix & courier-imap. From driessen at fblan.de Sun Oct 24 20:47:20 2010 From: driessen at fblan.de (Driessen) Date: Sun, 24 Oct 2010 20:47:20 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <4CC42194.9050403@novuage.de> References: <4CC16992.3010608@gmx.net><001501cb71d8$40fc43e0$0565a8c0@uwe> <4CC17FDC.7010909@gmx.net><001f01cb71e4$d4a6bb50$0565a8c0@uwe> <4CC191F1.3060204@gmx.net><20101022135202.GA2448@spider.services.datevnet.de> <4CC38204.9040606@novuage.de><4CC417A2.1000305@tms-itdienst.at> <4CC42194.9050403@novuage.de> Message-ID: <000301cb73ab$e3e3cc70$0565a8c0@uwe> On Behalf Of Sascha Peters > Am 24.10.2010 13:25, schrieb Timm Schneider: > > ich glaub Ihr redet da etwas aneinander vorbei. > > Fakt ist das mein Mailserver Mails ablehnt, wenn der einliefernde > > Mailserver keinen A und PTR Record hat, bzw. diese nicht übereinstimmen. > > > > Also wenn für die domain "subdomain.meine-domain.tld" der MX-Record auf > > mail.meine-domain.tld zeigt, sollte "mail.meine-domain.tld" einen > > gleichlautigen A UND PTR Eintrag haben. > > das hat Stefan Diekmann auch schon bestätigt das es bei Ihm so ist und > dies nicht das Problem ist... > Er hat aber leider nicht die realnamen der Domains genannt so das man mal überprüfen könnte was der DNS liefert. (da sind manchmal Welten zwischen dem internen und dem offiziellen DNS). Am besten testet man DNS von Außenstehenden Anschlüssen. Es gibt auch die Funktion das ungültige Senderdomain abgewiesen werden reject_unknown_sender_domain Und auch reject_unknown_reverse_client_hostname Usw. Unter Postfix sind diese Restrictionen evtl. anders definiert wie in anderen Mailservern. Es wäre daher interessant das komplette unverfälschte log zu sehen. ...zu wissen was auf der anderen Seite für ein Mailserver steht. Auf der anderen Seite was kostet denn ein A-Record? Hab ich Probleme mit einem "fehlenden" A Eintrag im DNS dann leg ich mir den an und ich werde meine Mails los. So was mit einem entfernten Postmaster zu diskutieren kostest mehr Zeit wie der DNS Eintrag. Für web ist das nicht wichtig das funktioniert auch wenn nicht alles vorwärts rückwärts auflösbar ist. Für Mail muss (sollte) das alles komplett stimmig sein. Im DNS wird nur dann ein eigener MX Eintrag für die Subdomain benötigt wenn der MX auf eine anderen Mailserver zeigt. Wenn es der gleiche Verweis wie bei der xxx.de ist dann spart man sich den. Wenn ich Mails loswerden möchte dann muß ich mich an die Restriktionen dessen halten zu dem ich einliefern möchte (Ausnahme Senderverify warum wieso ist in den letzen Wochen schon des Öfteren diskutiert worden). Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From p.heinlein at heinlein-support.de Sun Oct 24 21:32:27 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 24 Oct 2010 21:32:27 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> Message-ID: <201010242132.28017.p.heinlein@heinlein-support.de> Am Sonntag 24 Oktober 2010 15:25:11 schrieb sebastian at debianfan.de: > was sind die absoluten Minimalvoraussetzungen für einen Mailserver > mit Postfix und Courier-Imap - hier meine ich speziell den > Ram-Verbrauch. 486 DX-40 mit 32 Mbyte RAM. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix-list at novuage.de Sun Oct 24 23:16:41 2010 From: postfix-list at novuage.de (Sascha Peters) Date: Sun, 24 Oct 2010 23:16:41 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <201010242132.28017.p.heinlein@heinlein-support.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242132.28017.p.heinlein@heinlein-support.de> Message-ID: <4CC4A239.2030208@novuage.de> Am 24.10.2010 21:32, schrieb Peer Heinlein: > Am Sonntag 24 Oktober 2010 15:25:11 schrieb sebastian at debianfan.de: >> was sind die absoluten Minimalvoraussetzungen für einen Mailserver >> mit Postfix und Courier-Imap - hier meine ich speziell den >> Ram-Verbrauch. > > 486 DX-40 mit 32 Mbyte RAM. verdammt, ich hab nur noch einen 386er :-) -- Gruß Sascha From driessen at fblan.de Sun Oct 24 23:19:13 2010 From: driessen at fblan.de (Driessen) Date: Sun, 24 Oct 2010 23:19:13 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <4CC4A239.2030208@novuage.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de><201010242132.28017.p.heinlein@heinlein-support.de> <4CC4A239.2030208@novuage.de> Message-ID: <000401cb73c1$1b5838c0$0565a8c0@uwe> On Behalf Of Sascha Peters > > Am 24.10.2010 21:32, schrieb Peer Heinlein: > > Am Sonntag 24 Oktober 2010 15:25:11 schrieb sebastian at debianfan.de: > >> was sind die absoluten Minimalvoraussetzungen für einen Mailserver > >> mit Postfix und Courier-Imap - hier meine ich speziell den > >> Ram-Verbrauch. > > > > 486 DX-40 mit 32 Mbyte RAM. > > verdammt, ich hab nur noch einen 386er :-) Na da kann ich dir aushelfen *gg > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From p.heinlein at heinlein-support.de Sun Oct 24 23:42:10 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 24 Oct 2010 23:42:10 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <4CC4A239.2030208@novuage.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242132.28017.p.heinlein@heinlein-support.de> <4CC4A239.2030208@novuage.de> Message-ID: <201010242342.11006.p.heinlein@heinlein-support.de> Am Sonntag 24 Oktober 2010 23:16:41 schrieb Sascha Peters: > > 486 DX-40 mit 32 Mbyte RAM. > > verdammt, ich hab nur noch einen 386er :-) Würde auch gehen, wollte ich auch zuerst schreiben. Macht aber -- wenn ich nicht irre -- mit den üblichen DIstributionen heute Ärger. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From andreas.schulze at datev.de Mon Oct 25 07:27:29 2010 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 25 Oct 2010 07:27:29 +0200 Subject: [Postfixbuch-users] warning: network_biopair_interop: error reading 5 bytes from the network In-Reply-To: <20101024133536.GA25337@excelsior.lab.swapon.de> References: <20101024133536.GA25337@excelsior.lab.swapon.de> Message-ID: <20101025052729.GB28029@spider.services.datevnet.de> Am 24.10.2010 15:35 schrieb Friedemann Stoyan: > Nun habe ich mal einen tcpdump angefertigt: schalte mal debug_peer_list = in der main.cf ein. tcpdump sieht nur verwürfeltes SSL. Postfix kann mehr drüber sagen... -- Andreas Schulze Internetdienste | P532 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From timo.schoeler at riscworks.net Mon Oct 25 07:52:56 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Mon, 25 Oct 2010 07:52:56 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <201010242342.11006.p.heinlein@heinlein-support.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242132.28017.p.heinlein@heinlein-support.de> <4CC4A239.2030208@novuage.de> <201010242342.11006.p.heinlein@heinlein-support.de> Message-ID: <4CC51B38.2060800@riscworks.net> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 thus Peer Heinlein spake: > Am Sonntag 24 Oktober 2010 23:16:41 schrieb Sascha Peters: > >>> 486 DX-40 mit 32 Mbyte RAM. >> verdammt, ich hab nur noch einen 386er :-) Auch, wenn der 68040 von der Performance her eher am P55C kratzt: Amiga 1200 mit Apollo 1240/40 und 128MiByte FastRAM; NetBSD 2.x, Cyrus, Postfix samt Geraffel dahinter, inklusive SA. Diente mir, auf dem Schreibtisch stehend, um 2005 mal als temporärer Mailserver für 30 Mitarbeiter. :) > Würde auch gehen, wollte ich auch zuerst schreiben. > > Macht aber -- wenn ich nicht irre -- mit den üblichen DIstributionen > heute Ärger. Ja. > Peer Cheers, Timo -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFMxRs4fg746kcGBOwRAjFbAJ0Y0t/F74LOzE65HFZ2YSv+Kk80cACeNs0H VHgj+tNjBVzlgTEXMTvA17g= =6lxF -----END PGP SIGNATURE----- From fstoyan at swapon.de Mon Oct 25 08:10:23 2010 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Mon, 25 Oct 2010 08:10:23 +0200 Subject: [Postfixbuch-users] warning: network_biopair_interop: error reading 5 bytes from the network In-Reply-To: <20101025052729.GB28029@spider.services.datevnet.de> References: <20101024133536.GA25337@excelsior.lab.swapon.de> <20101025052729.GB28029@spider.services.datevnet.de> Message-ID: <20101025061023.GA2150@phoenix.lab.swapon.de> On 25.10.10 07:27, Andreas Schulze wrote: > Am 24.10.2010 15:35 schrieb Friedemann Stoyan: > > > Nun habe ich mal einen tcpdump angefertigt: > schalte mal debug_peer_list = in der main.cf ein. > tcpdump sieht nur verwürfeltes SSL. Postfix kann mehr drüber sagen... So wie ich das sehe, sieht applikationsseitig (Postfix) alles gut aus: postfix/smtp[2141]: > mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: DATA postfix/smtp[2141]: < mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: 250 2.1.0 Ok postfix/smtp[2141]: < mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: 250 2.1.5 Ok postfix/smtp[2141]: < mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: 354 End data with . postfix/smtp[2141]: > mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: . postfix/smtp[2141]: > mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: QUIT postfix/smtp[2141]: < mail.lab.swapon.de[2001:6f8:12ec:10::25]:25: 250 2.0.0 Ok: queued as 551A4131AA postfix/smtp[2141]: 572DA80534E: to=, orig_to=, relay=mail.lab.swapon.de[2001:6f8:12ec:10::25]:25, delay=0.57, delays=0.03/0.19/0.26/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 551A4131AA) postfix/smtp[2141]: name_mask: resource postfix/smtp[2141]: name_mask: software postfix/smtp[2141]: warning: network_biopair_interop: error reading 5 bytes from the network: Connection reset by peer postfix/qmgr[1756]: 572DA80534E: removed Dafür spricht auch, dass alle Mail korrekt ankommen. Deswegen vermute ich die Ursache im Transportlayer (TLS) und nicht im Applikationslayer (Postfix). Insofern eher kein Postfix-Problem sondern ein OpenSSL-Problem. Das zu debuggen ist natürlich eklig. Vielleicht hat jemand noch eine gute Idee. mfg Friedemann From rainer.frey at inxmail.de Tue Oct 26 08:52:57 2010 From: rainer.frey at inxmail.de (Rainer Frey) Date: Tue, 26 Oct 2010 08:52:57 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <001f01cb71e4$d4a6bb50$0565a8c0@uwe> References: <4CC16992.3010608@gmx.net> <4CC17FDC.7010909@gmx.net> <001f01cb71e4$d4a6bb50$0565a8c0@uwe> Message-ID: <201010260852.58311.rainer.frey@inxmail.de> On Friday 22 October 2010 14:29:54 Driessen wrote: > On Behalf Of Stefan Diekmann > > Das ist mir klar. Ich hab mich etwas schlecht ausgedrückt. Einen > > A-Record für dem Mailserver gibt es natürlich. Es gibt nur keinen > > A-Record für die Subdomaine wie in dem Beispiel hier: > > > > firma.de mx 10 mail.firma.de > > subdomaine.firma.de mx 10 mail.firma.de > > mail.firma.de A 1.2.3.4 > > Genau das ist dein Problem. > Das geht wenn der subdomain.firma.de auf die gleiche IP wie *.firma.de A > 2.6.5.7 pointert. Kannst du das begründen bzw. eine Quelle liefern? > Aber wenn du schon explizit eine subdomain im DNS einträgst dann sollten > deine DNS Einträge sowohl vorwärts wie rückwärts immer auflösbar sein. > Also vollständig eingetragen. Was heisst vollständig? Wo steht, dass für eine Domain, für die es MX (oder irgendwelche sonstigen) Einträge gibt, immer ein A-Record vorhanden sein muss, damit es "vollständig" ist? > Alles was im DNS steht muss stimmig sein deswegen noch mal der Verweis auf > das Wiki. Ich habe auf der Wikipedia-Seite (wieso wird Wikipedia eigentlich immer "das Wiki" genannt?) keine Aussage gefundendass "stimmig" gleichbedeutend ist mit "A-Record vorhanden, wenn MX-Record vorhanden". Rainer From rainer.frey at inxmail.de Tue Oct 26 09:19:58 2010 From: rainer.frey at inxmail.de (Rainer Frey) Date: Tue, 26 Oct 2010 09:19:58 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?OT=3A_Braucht_man_f=FCr_jeden?= =?iso-8859-15?q?_MX_einen_A-Record?= In-Reply-To: <4CC16992.3010608@gmx.net> References: <4CC16992.3010608@gmx.net> Message-ID: <201010260919.58613.rainer.frey@inxmail.de> On Friday 22 October 2010 12:38:10 Stefan Diekmann wrote: > Hallo, > > 5.1.2 -- Bad Destination host "DNS Hard Error looking up > subdomaine.firma.de (A): domain has no A record" > 5.1.2-Recipient address rejected: Domain not found > > Hat da jemand seine eigenen Regeln aufgestellt oder muß der A-Record > laut RFC vorhanden sein? Nein, muss nicht (so hat auch Wietse dieg leiche Frage auf der postfix- Mailingliste geantwortet). Ich würde das als (nicht sonderlich sinnvolle oder effektive) Anti-Spam-Massnahme verstehen. Im Prinzip heisst Anti-Spam immer, gewisse "eigene Regeln" aufzustellen. Die Denkweise ist ganz einfach: "Mail mit dieser und jener Eigenschaft (die für sich genommen durchaus erlaubt ist), ist *bei mir* in so hohem Anteil Spam, dass ich derartige Mails ablehne." Dabei entscheidet immer der, der die Mail bekommt, welchen Anteil an fälschlich abgelehnten Mails er akzeptabel findet. Darum hast du 3 Möglichkeiten: 1. du ignorierst die Sache, akzeptierst dass die Mail nicht ankommt (wer nicht will der hat schon). 2. du überzeugst die Gegenseite davon, dass sie die Regel lockern, weil so ein Setup durchaus RFC-konform ist (viel Glück). 3. du setzt den A-Record, und am besten einen PTR dazu. Das ist ja auch nicht falsch, und dieser Empfänger nimmt die Mail an. Welche Variante du nimmst, musst du selber wissen. Kommt halt darauf an, wie wichtig die Mails sind, und wieviel Zeit du dafür hast. > Viele Grüße > Stefan Diekmann Rainer From postfixbuch at lists.maixit.de Tue Oct 26 09:26:18 2010 From: postfixbuch at lists.maixit.de (Henning Nelihsen) Date: Tue, 26 Oct 2010 09:26:18 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <201010260852.58311.rainer.frey@inxmail.de> References: <4CC16992.3010608@gmx.net> <4CC17FDC.7010909@gmx.net> <001f01cb71e4$d4a6bb50$0565a8c0@uwe> <201010260852.58311.rainer.frey@inxmail.de> Message-ID: <47182279-47BA-4107-8470-DE94F1B7040A@lists.maixit.de> Am 26.10.2010 um 08:52 schrieb Rainer Frey: > On Friday 22 October 2010 14:29:54 Driessen wrote: >> On Behalf Of Stefan Diekmann >>> Das ist mir klar. Ich hab mich etwas schlecht ausgedrückt. Einen >>> A-Record für dem Mailserver gibt es natürlich. Es gibt nur keinen >>> A-Record für die Subdomaine wie in dem Beispiel hier: >>> >>> firma.de mx 10 mail.firma.de >>> subdomaine.firma.de mx 10 mail.firma.de >>> mail.firma.de A 1.2.3.4 >> >> Genau das ist dein Problem. >> Das geht wenn der subdomain.firma.de auf die gleiche IP wie *.firma.de A >> 2.6.5.7 pointert. > > Kannst du das begründen bzw. eine Quelle liefern? > >> Aber wenn du schon explizit eine subdomain im DNS einträgst dann sollten >> deine DNS Einträge sowohl vorwärts wie rückwärts immer auflösbar sein. >> Also vollständig eingetragen. > > Was heisst vollständig? Wo steht, dass für eine Domain, für die es MX (oder > irgendwelche sonstigen) Einträge gibt, immer ein A-Record vorhanden sein muss, > damit es "vollständig" ist? > >> Alles was im DNS steht muss stimmig sein deswegen noch mal der Verweis auf >> das Wiki. > > Ich habe auf der Wikipedia-Seite (wieso wird Wikipedia eigentlich immer "das > Wiki" genannt?) keine Aussage gefundendass "stimmig" gleichbedeutend ist mit > "A-Record vorhanden, wenn MX-Record vorhanden". > > Rainer > -- ein A Record ist für den Emailempfang einer Domain nicht notwendig - es reicht der MX-Record. Beispiel: ct.heise.de. 3600 IN MX 10 relay.heise.de. ct.heise.de. IN A (leer!!) natürlich benötigt der mx -Record wiederum einen A-Record: relay.heise.de. 3600 IN A 193.99.145.50 PTR-Records werden i.d.R. nicht für alle Domains vergeben, sondern nur für Relays, Gateways, Nameserver, etc., hier auch wieder das Beispiel: relay.heise.de has address 193.99.145.50 0.145.99.193.in-addr.arpa domain name pointer relay.heise.de. -- Gruss, Henning From koh at ngopi.de Tue Oct 26 09:57:41 2010 From: koh at ngopi.de (Kai-Oliver Hennigs) Date: Tue, 26 Oct 2010 09:57:41 +0200 Subject: [Postfixbuch-users] numothersock - problematik In-Reply-To: <4CC080BF.4050804@rkusGe.de> References: <4CC080BF.4050804@rkusGe.de> Message-ID: <4CC689F5.8080206@ngopi.de> Guten Morgen allerseits! / Hi Markus Wir sind mit unserem V-Server (gleiche Beschränkung von 400 für numothersocktes) vor drei Wochen in das gleich Problem gelaufen. Nichts ging mehr. Nach eine Anruf bei unserem Hoster und Recherche bin ich auf Dovecot als Schuldigen aufmerksam geworden. Ich hab Dovecot mittels login_processes_count = 5 login_max_processes_count = 15 in die Schranken gewiesen. Unser Mailserver ist nicht gerade viel beschäftigt, muss ich dazu sagen. Ich beobachte die Grenzwerte seit dem kontinuierlich und es scheint zu helfen. Für weitere Kommentar und Empfehlungen wäre ich ebenfalls dankbar! Grüße Kai Hennigs Am 21.10.2010 20:04, schrieb Markus Gede (privat): > Hallo zusammen, > > Ich habe mir vor einigen Monaten das Postfix-Buch gekauft und gelesen, > inzwischen läuft mein erster Mailserver fast problemlos. > > Zum Thema Ressourcen bzw Systemanforderungen wurde aber in meinen Augen > ein wichtiger Punkt vergessen. > > Als Laie dachte ich bisher immer: Hat man genügend RAM, CPU-Power und > eine weder volle noch ausgelastete Festplatte ist ressourcentechnisch > alles im grünen Bereich. > Ich denke auch nicht, dass ich der einzige Anwender bin, der einen > virtuellen Server benutzt. Deshalb hat es mich sehr gewundert, als > neulich mein Server stehen blieb und ich bei der Ursachenforschung erst > nach einiger Recherche auf den Begriff "numothersock" gestossen bin und > dessen Bedeutung klären konnte. > > Kurzum: mein Server hing sich auf, da nicht genügend freie interne > Sockets zur Verfügung standen. Diese sind üblicherweise bei virtuellen > Servern mehr oder weniger begrenzt, und spielen somit u.U. viel eher > eine Rolle als RAM, CPU-Power und Platten-Performance. > Deshalb bin ich schon etwas erstaunt darüber, dass darauf im Buch nicht > eingegangen wird, zumal ich gelesen hab, dass gerade Postfix relativ > viele sockets einsetzt, im vergleich zu anderen MTAs. > > Meine Frage nun: gibt es für Admins von virtuellen Servern irgendwelche > Tips und Tricks bzw Stellschrauben an Postfix bzw Dovecot, mit denen man > den Socket-Verbrauch einschränken / reduzieren kann? > Gibt es eine Art Obergrenze an Sockets, die Postfix verwendet? > Oder vielleicht eine Möglichkeit zur Berechnung des Socketbedarfs? > > Ich könnte z.B. ein Serverupgrade machen und meine jetzigen 400 auf 600 > oder 800 Sockets erhöhen. Nur kann ich leider so gar nicht einschätzen, > ob ich dann beruhigt sein kann, oder ob bei einer Spam-Attacke wieder > alles in die Knie geht, obwohl platte und CPU sich langweilen, und der > RAM bei 40% auslastung rumdümpelt. > > Ich weiss: das beste sind natürlich root-server. Aber bei 10 > Postfächern, die man nutzt, ist es schon ein Unterschied ob man pro Jahr > 150 oder 500 Euro für nen Server ausgibt. > > ein paar Daten: > mein vserver hat derzeit ein numothersock-limit von 400 > > der server ist ein lenny-stable mit postfix, dovecot, apache und mysql. > mir ist klar, dass auch mysql und apache sockets belegen. > aber die meisten gehen doch für "master" und "dovecot" drauf - direkt > nach nem reboot belegt master mal eben 94 sockets bei mir. > > mit anvil hab ich bereits versucht ein paar limits zu setzen - die > hatten aber darauf keine wirkung. auch die anzahl der smtpd hab ich auf > 25 reduziert - ebenfalls ohne ergebnis. > > Was kann man tun? Was könnt ihr raten? > > Danke vorab & Gruß, > Markus Gede > > > > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > From driessen at fblan.de Tue Oct 26 13:02:17 2010 From: driessen at fblan.de (Driessen) Date: Tue, 26 Oct 2010 13:02:17 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Braucht_man_f=FCr_jeden_?= =?iso-8859-1?q?MX_einen_A-Record?= In-Reply-To: <47182279-47BA-4107-8470-DE94F1B7040A@lists.maixit.de> References: <4CC16992.3010608@gmx.net> <4CC17FDC.7010909@gmx.net><001f01cb71e4$d4a6bb50$0565a8c0@uwe><201010260852.58311.rainer.frey@inxmail.de> <47182279-47BA-4107-8470-DE94F1B7040A@lists.maixit.de> Message-ID: <000401cb74fd$40d28f00$0565a8c0@uwe> On Behalf Of Henning Nelihsen > > ein A Record ist für den Emailempfang einer Domain nicht notwendig - es > reicht der MX-Record. Genau aber nur wenn du ausschließlich darüber empfängst. Von einer solchen Domain senden könnte Probleme machen. > > Beispiel: > ct.heise.de. 3600 IN MX 10 relay.heise.de. > ct.heise.de. IN A (leer!!) > > natürlich benötigt der mx -Record wiederum einen A-Record: > relay.heise.de. 3600 IN A 193.99.145.50 > > PTR-Records werden i.d.R. nicht für alle Domains vergeben, sondern nur für > Relays, Gateways, Nameserver, etc., hier auch wieder das Beispiel: > relay.heise.de has address 193.99.145.50 > 0.145.99.193.in-addr.arpa domain name pointer relay.heise.de. > > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From igor.sverkos at googlemail.com Tue Oct 26 21:13:02 2010 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Tue, 26 Oct 2010 21:13:02 +0200 Subject: [Postfixbuch-users] Postfix als Testserver in Entwicklungsabteilung Message-ID: Guten Abend, in unserer Entwicklungsabteilung werden Anwendungen entwickelt, welche auch E-Mails versenden sollen. Diese E-Mails sollen *nie* unser Netzwerk verlassen, sprich nie an die wahren Empfänger zugestellt werden. Allerdings würden wir trotzdem gerne die generierten Nachrichten einsehen können, um bspw. zu testen, wie die E-Mails in diversen Clients aussehen bzw. sie allgemein im RAW-Format zu überprüfen (wurde der Header wie gewünscht gesetzt ect.). Postfix würde bspw. auf "mailserver.intranet.firma.tld" laufen. Alle Anwendungen würden bei diesem SMTPd ihre Nachrichten einliefern. Postfix müsste nun dazu gebracht werden, sich für jede Empfänger zuständig zu fühlen und die E-Mail lokal in einer Inbox abzulegen. Quasi eine Art Alias für alle Domains. Wir würden auf dem Server dann bspw. noch eine Instanz von Dovecot laufen lassen um Entwicklern zu ermöglichen, mit unterschiedlichen E-Mailclients in dieses Postfach zu schauen um die Nachrichten in Augenschein nehmen zu können. Ist dies mit Postfix möglich? -- Ich grüße, Igor From werner at aloah-from-hell.de Tue Oct 26 21:42:04 2010 From: werner at aloah-from-hell.de (Werner) Date: Tue, 26 Oct 2010 21:42:04 +0200 Subject: [Postfixbuch-users] Postfix als Testserver in Entwicklungsabteilung In-Reply-To: References: Message-ID: <4CC72F0C.4000009@aloah-from-hell.de> > Ist dies mit Postfix möglich? Hi Igor, ja, dass habe ich in einem Staging/Entwicklungssetup schon mal gemacht. Prinzipiell wurden dort alle MTA's auf den Entwicklungsserver so konfiguriert, dass diese zum Mailversand einen bestimmten Host aus dem Setup als Relay-Host verwenden (mittels relay_host). Der Relay-Host akzeptiert Nachrichten von Clients aus dem Subnetz (mynetworks) und redirected alle Nachrichten mit Hilfe einer Access-Map an einen lokalen Systemuser (mittels REDIRECT). Zugriff auf die Nachrichten erhalten die Entwickler mit einem lokal laufenden IMAP-Server und einem Webmailer. Zusätzlich wurde auf dem Relay-Host der Postfix SMTP-Client in der master.cf deaktiviert. Ein Nachrichtenversand kann von den Entwicklern getestet und sofort überprüft werden. Ciao, Werner From martin.bley at bvl.bund.de Wed Oct 27 14:16:20 2010 From: martin.bley at bvl.bund.de (Martin Bley) Date: Wed, 27 Oct 2010 14:16:20 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?canonical=5Fsender_anh=E4ngig_?= =?iso-8859-1?q?vom_Empf=E4nger?= Message-ID: <201010271416.25270.martin.bley@bvl.bund.de> Liebe Liste, ergänzend zu <201010150942.24640.martin.bley at bvl.bund.de> suche ich nun nach einer Möglichkeit, abhängig vom Empfänger einer Nachricht den "From: " Header mittels canonical umzuschreiben. Alternativ könnte man die Umschreibung auch in Abhängigkeit des Envelope-From machen (Envelope From soll gleich dem Header From sein). Z.B.: Empfänger (Envelope & Header) ist foo at example.org, dann Absender (Header) umschreiben auf bar at bvl.bund.de. Die Canonical Classes bieten so etwas leider nicht. Danke und Gruß, Martin -- Martin Bley Bundesamt für Verbraucherschutz und Lebensmittelsicherheit (BVL) - Referat Z03 - Informations- und Kommunikationstechnik, Informationssysteme Messeweg 11/12 38104 Braunschweig E-Mail: martin.bley at bvl.bund.de Tel.: +49 (0) 531 299-3561 Fax: +49 (0) 531 299-3002 http://www.bvl.bund.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3162 bytes Beschreibung: nicht verfügbar URL : From lists at boltzclan.de Fri Oct 29 02:59:11 2010 From: lists at boltzclan.de (Wilhelm Boltz) Date: Fri, 29 Oct 2010 02:59:11 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <201010242342.11006.p.heinlein@heinlein-support.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <4CC4A239.2030208@novuage.de> <201010242342.11006.p.heinlein@heinlein-support.de> Message-ID: <201010290259.12391.lists@boltzclan.de> Am Sonntag, 24. Oktober 2010, 23:42:10 schrieb Peer Heinlein: > Am Sonntag 24 Oktober 2010 23:16:41 schrieb Sascha Peters: > > > 486 DX-40 mit 32 Mbyte RAM. > > > > verdammt, ich hab nur noch einen 386er :-) > > Würde auch gehen, wollte ich auch zuerst schreiben. > > Macht aber -- wenn ich nicht irre -- mit den üblichen > DIstributionen heute Ärger. > > Peer Ist nicht Euer Ernst, oder? Dann würde mein kaputter 426 (SX) wohl auch gehen? Aber was frisst so ein Ding an Strom? Gruß Willi From p.heinlein at heinlein-support.de Fri Oct 29 10:04:37 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 29 Oct 2010 10:04:37 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <201010290259.12391.lists@boltzclan.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242342.11006.p.heinlein@heinlein-support.de> <201010290259.12391.lists@boltzclan.de> Message-ID: <201010291004.37990.p.heinlein@heinlein-support.de> Am Freitag, 29. Oktober 2010, 02:59:11 schrieb Wilhelm Boltz: > > > > 486 DX-40 mit 32 Mbyte RAM. > > > > > > verdammt, ich hab nur noch einen 386er :-) > > > > Würde auch gehen, wollte ich auch zuerst schreiben. > > > Ist nicht Euer Ernst, oder? Doch. Das liegt aber nicht an Mail, sondern an der Frage, was die Linux- Distribution als solöches fordert und wie fett die aufgestellt ist. Ob das jetzt allerdings Spaß macht ist eine andere Frage. > Dann würde mein kaputter 426 (SX) wohl auch gehen? Überraschung: Auch 1992 haben wir schon mail gemacht und damals war 286/386er Standard. Es ist ja nicht so, daß es Web und Mail erst gibt, seit es Quadcore-CPUs gibt. > Aber was frisst so ein Ding an Strom? 35 Watt? So eine olle Mühe mit wenigen GHz und ohne Mörder-Graphikkarte braucht brutal weniger Strom als ein heutiger Multicore-Bolide mit Nochmal-Graphik- CPU und und und. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030/405051-42 Fax: 030/405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From timo.schoeler at riscworks.net Fri Oct 29 10:07:06 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Fri, 29 Oct 2010 10:07:06 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <201010291004.37990.p.heinlein@heinlein-support.de> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242342.11006.p.heinlein@heinlein-support.de> <201010290259.12391.lists@boltzclan.de> <201010291004.37990.p.heinlein@heinlein-support.de> Message-ID: <4CCA80AA.6000303@riscworks.net> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 thus Peer Heinlein spake: > Am Freitag, 29. Oktober 2010, 02:59:11 schrieb Wilhelm Boltz: > >>>>> 486 DX-40 mit 32 Mbyte RAM. >>>> verdammt, ich hab nur noch einen 386er :-) >>> Würde auch gehen, wollte ich auch zuerst schreiben. >>> >> Ist nicht Euer Ernst, oder? > > Doch. > > Das liegt aber nicht an Mail, sondern an der Frage, was die Linux- > Distribution als solöches fordert und wie fett die aufgestellt ist. > > Ob das jetzt allerdings Spaß macht ist eine andere Frage. > > >> Dann würde mein kaputter 426 (SX) wohl auch gehen? > > Überraschung: Auch 1992 haben wir schon mail gemacht und damals war > 286/386er Standard. Es ist ja nicht so, daß es Web und Mail erst gibt, seit > es Quadcore-CPUs gibt. > >> Aber was frisst so ein Ding an Strom? > > 35 Watt? Ich schrieb ja neulich, daß ich das mal mit einem Amiga 1200 (samt Turbokarte mit 68040) abgefackelt habe. Was auch geht (lag ein gutes dreiviertel Jahr auf meinem Schreibtisch rum, nackte Platine mit 2,5" HD dran): PC Engines Alix, respektive damals noch WRAP (damals noch 233MHz statt 500MHz AMD Geode CPU, auf dem ALIX). Postfix, Cyrus, Postgrey und ein wenig Klimbim drumherum auf NetBSD. Rannte ausfall- und performanceproblemfrei und fraß weit unter 10 Watt! :) > So eine olle Mühe mit wenigen GHz und ohne Mörder-Graphikkarte braucht > brutal weniger Strom als ein heutiger Multicore-Bolide mit Nochmal-Graphik- > CPU und und und. > > Peer Timo -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFMyoCqfg746kcGBOwRAqilAJ4vEsyU/EbNFsAkYhz31Sn9ceXKywCfaEo+ o0AxTsyNE+HlPuBTLyXDLr4= =GJar -----END PGP SIGNATURE----- From mathieu.simon at simweb.ch Fri Oct 29 10:16:03 2010 From: mathieu.simon at simweb.ch (Mathieu Simon) Date: Fri, 29 Oct 2010 10:16:03 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?_Minimalvoraussetzungen_f=FCr_?= =?iso-8859-1?q?Postfix-Mailserver?= In-Reply-To: <4CCA80AA.6000303@riscworks.net> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242342.11006.p.heinlein@heinlein-support.de> <201010290259.12391.lists@boltzclan.de> <201010291004.37990.p.heinlein@heinlein-support.de> <4CCA80AA.6000303@riscworks.net> Message-ID: <4CCA82C3.6010603@simweb.ch> Am 29.10.2010 10:07, schrieb Timo Schoeler: > >> Aber was frisst so ein Ding an Strom? > > > 35 Watt? > > Was auch geht (lag ein gutes dreiviertel Jahr auf meinem Schreibtisch > rum, nackte Platine mit 2,5" HD dran): PC Engines Alix, respektive > damals noch WRAP (damals noch 233MHz statt 500MHz AMD Geode CPU, auf > dem ALIX). > > Postfix, Cyrus, Postgrey und ein wenig Klimbim drumherum auf NetBSD. > Rannte ausfall- und performanceproblemfrei und fraß weit unter 10 Watt! :) Alix so 5W idle und 9W bei Volllast gemessen. - ARM-basierte Plug-Computer ziehen eher noch weniger. Die Leistung des ALIX ist etwa vergleichbar mit einem Pentium III, also bereits wesentlich schneller als ein 486er. :-) - Mathieu -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From anmeyer at anup.de Fri Oct 29 11:05:27 2010 From: anmeyer at anup.de (Andreas Meyer) Date: Fri, 29 Oct 2010 11:05:27 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?Minimalvoraussetzungen_f=FCr_?= =?iso-8859-15?q?Postfix-Mailserver?= In-Reply-To: <4CCA80AA.6000303@riscworks.net> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242342.11006.p.heinlein@heinlein-support.de> <201010290259.12391.lists@boltzclan.de> <201010291004.37990.p.heinlein@heinlein-support.de> <4CCA80AA.6000303@riscworks.net> Message-ID: <20101029110527.10f02807@gamma.bitcorner.intern> Timo Schoeler schrieb am Fri, 29 Oct 2010 10:07:06 +0200: > > Überraschung: Auch 1992 haben wir schon mail gemacht und damals war > > 286/386er Standard. Es ist ja nicht so, daß es Web und Mail erst gibt, seit > > es Quadcore-CPUs gibt. > > > >> Aber was frisst so ein Ding an Strom? > > > > 35 Watt? > > Ich schrieb ja neulich, daß ich das mal mit einem Amiga 1200 (samt > Turbokarte mit 68040) abgefackelt habe. > > Was auch geht (lag ein gutes dreiviertel Jahr auf meinem Schreibtisch > rum, nackte Platine mit 2,5" HD dran): PC Engines Alix, respektive > damals noch WRAP (damals noch 233MHz statt 500MHz AMD Geode CPU, auf > dem ALIX). Die schreiben, man könnte keine SATA oder SCSI Platte anschließen? Und sie wären nur für Systeme mit wenig Schreizugriffen auf Speicherkarten geeignet? > > Postfix, Cyrus, Postgrey und ein wenig Klimbim drumherum auf NetBSD. > Rannte ausfall- und performanceproblemfrei und fraß weit unter 10 Watt! :) Grüße Andreas Meyer From timo.schoeler at riscworks.net Fri Oct 29 11:20:18 2010 From: timo.schoeler at riscworks.net (Timo Schoeler) Date: Fri, 29 Oct 2010 11:20:18 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Minimalvoraussetzungen_f=FCr_P?= =?iso-8859-1?q?ostfix-Mailserver?= In-Reply-To: <20101029110527.10f02807@gamma.bitcorner.intern> References: <85faa4fddf66267c5874b164c83aede5.squirrel@admin.web3.wk-serv.de> <201010242342.11006.p.heinlein@heinlein-support.de> <201010290259.12391.lists@boltzclan.de> <201010291004.37990.p.heinlein@heinlein-support.de> <4CCA80AA.6000303@riscworks.net> <20101029110527.10f02807@gamma.bitcorner.intern> Message-ID: <4CCA91D2.3040204@riscworks.net> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 thus Andreas Meyer spake: > Timo Schoeler schrieb am Fri, 29 Oct 2010 10:07:06 +0200: > >>> Überraschung: Auch 1992 haben wir schon mail gemacht und damals war >>> 286/386er Standard. Es ist ja nicht so, daß es Web und Mail erst gibt, seit >>> es Quadcore-CPUs gibt. >>> >>>> Aber was frisst so ein Ding an Strom? >>> 35 Watt? >> Ich schrieb ja neulich, daß ich das mal mit einem Amiga 1200 (samt >> Turbokarte mit 68040) abgefackelt habe. >> >> Was auch geht (lag ein gutes dreiviertel Jahr auf meinem Schreibtisch >> rum, nackte Platine mit 2,5" HD dran): PC Engines Alix, respektive >> damals noch WRAP (damals noch 233MHz statt 500MHz AMD Geode CPU, auf >> dem ALIX). > > Die schreiben, man könnte keine SATA oder SCSI Platte anschließen? Und > sie wären nur für Systeme mit wenig Schreizugriffen auf Speicherkarten > geeignet? Wer ist 'die'? Storage: CompactFlash socket, 44 pin IDE (http://www.pcengines.ch/alix1d.htm) Damit wäre dann schonmal per se 2,5" PATA drin, mit Adapter auch auf 3,5"; zudem hat dieses Board einen PCI-Slot, da kann dann alles mögliche reinwandern. Und mit einer SSD... ;) >> Postfix, Cyrus, Postgrey und ein wenig Klimbim drumherum auf NetBSD. >> Rannte ausfall- und performanceproblemfrei und fraß weit unter 10 Watt! :) > > > Grüße > > Andreas Meyer -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFMypHSfg746kcGBOwRAsqRAJ0UG8wD/tdRgZjzvOZOmjr10iXhJgCfbtMH ZGoTh4GxxWaGFe054JyG/m4= =43uy -----END PGP SIGNATURE----- From hajo.locke at gmx.de Fri Oct 29 12:41:34 2010 From: hajo.locke at gmx.de (Hajo Locke) Date: Fri, 29 Oct 2010 12:41:34 +0200 Subject: [Postfixbuch-users] virtual mailbox - kopieempfaenger Message-ID: Hallo, spiele gerade etwas rum und bin dabei postfix und den per lmtp empfangenden dovecot2 auf 2 verschiedene server zu trennen. beschrieben ist das ja hier: http://www.postfix.org/VIRTUAL_README.html für mich speziell von interesse: Non-Postfix mailbox store: separate domains, non-UNIX accounts Klappt zunächst alles und Mails landen in den zugehörigen postfächern. Ich frag mich aber momentan wie ich den Kopieempfänger einer Mail angeben kann um z.B. die Mail an 2 User zu verteilen. Sicherlich hab ich was übersehen (wie immer). Das result der virtual_mailbox_maps wird ja ignoriert und dient nur dazu anzugeben ob eine adresse lokal existent ist oder nicht. Wenn ich es über die virtual_alias_maps angebe wird aber lokal zugestellt und mein virtual_transport ignoriert. Ich hab sicherlich was einfaches übersehen. Hat jemand einen Tipp bitte? Noch eine Frage dazu die sich gleich anschließt. Aus Postfix heraus nutze ich dovecot als smtpd_sasl_type über einen lokalen Socket. Ich kann ja sicherlich auch seitens dovecot auf einen tcp socket umschwenken da ich die beiden server ja trennen will. Wie spreche ich den dann aber aus postfix heraus an. smtpd_sasl_path geht wohl immer von lokalem unix-socket aus. Da ich nun auch postfixbuch-user bin genügt als antwort die seitenzahl ;) Danke für Eure Hinweise, Hajo From t.schneider at tms-itdienst.at Fri Oct 29 20:53:54 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 29 Oct 2010 20:53:54 +0200 Subject: [Postfixbuch-users] =?iso-8859-15?q?Mailman--Liste_l=F6schen?= Message-ID: <4CCB1842.5070809@tms-itdienst.at> Hallo, möchte eine Liste von mailman löschen, bekomme aber auf der console diese Meldung: lsrv01:/usr/lib/mailman/cgi-bin # ./rmlist -a Test Content-type: text/html Mailman CGI error!!!

Mailman CGI error!!!

The Mailman CGI wrapper encountered a fatal error. This entry is being stored in your syslog: 
Failure to exec script. WANTED gid 8, GOT gid 0.
GID 8 ist www, mit der URL ..../rmlist/Test habe ich es schon probiert, da kommt nur gemeiner Listenverwalter aber sonst nichts. Was kann ich tun? Thx -- Timm M.Schneider TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck T: +43 (0720) 501 078 (Per ENUM kostenlos erreichbar) +49 (089) 721010-77792 F: +43 (0720) 501 078-57 SIP: 21100002377 (Terrasip) 0720501078 (Nemox) 0720721226 (PlatinPlus) From p.heinlein at heinlein-support.de Fri Oct 29 21:17:48 2010 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 29 Oct 2010 21:17:48 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailman--Liste_l=F6schen?= In-Reply-To: <4CCB1842.5070809@tms-itdienst.at> References: <4CCB1842.5070809@tms-itdienst.at> Message-ID: <201010292117.48710.p.heinlein@heinlein-support.de> Am Freitag 29 Oktober 2010 20:53:54 schrieb Timm Schneider: Moin, > möchte eine Liste von mailman löschen, bekomme aber auf der console > diese Meldung: > Mailman CGI error!!! Ja, Du rufst ja auch aus dem Verzeichnis cgi-bin das CGI-Tool und nicht das Programm für doe Kommandozeile (CL)I): Nimm das rmlist aus /usr/lib/mailman/bin (oder analogem Pfad aus Deiner Distribution) und es wird gehen. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From t.schneider at tms-itdienst.at Fri Oct 29 22:10:50 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 29 Oct 2010 22:10:50 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mailman--Liste_l=F6schen?= In-Reply-To: <201010292117.48710.p.heinlein@heinlein-support.de> References: <4CCB1842.5070809@tms-itdienst.at> <201010292117.48710.p.heinlein@heinlein-support.de> Message-ID: <4CCB2A4A.4090201@tms-itdienst.at> Hallo Peer, ah verstehe, danke hat geklappt. Grüße Timm From t.schneider at tms-itdienst.at Sat Oct 30 15:46:27 2010 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Sat, 30 Oct 2010 15:46:27 +0200 Subject: [Postfixbuch-users] Mailman und domains auf dem Mailserver gehen nicht Message-ID: <4CCC21B3.30000@tms-itdienst.at> Hallo, möchte das nochmal aus gegebenen Anlass anspprechen. Bekomme diese Fehlermeldung, obwohl diese Domains und E-Mail-Adresssen in der virtual da sind, bekomme ja auf diese dauernd Mails, von außen und innen, halt nur bei mailman taucht dieser Fehler auf. Hier mal der Logauszug: Oct 30 15:36:21 lsrv01 postfix/smtpd[1902]: connect from localhost[127.0.0.1] Oct 30 15:36:21 lsrv01 postfix/smtpd[1902]: 23F4844045: client=localhost[127.0.0.1] Oct 30 15:36:21 lsrv01 postfix/cleanup[1903]: 23F4844045: message-id=<4CCC1F55.1040406 at cpbx.co.at> Oct 30 15:36:21 lsrv01 postfix/qmgr[25722]: 23F4844045: from=, size=12276, nrcpt=4 (queue active) Oct 30 15:36:21 lsrv01 postfix/smtpd[1902]: disconnect from localhost[127.0.0.1] Oct 30 15:36:21 lsrv01 postfix/error[1909]: 23F4844045: to=, relay=none, delay=0.11, delays=0.06/0/0/0.05, dsn=5.0.0, status=bounced (User unknown in virtual alias table) Oct 30 15:36:21 lsrv01 postfix/error[1909]: 23F4844045: to=, relay=none, delay=0.18, delays=0.06/0/0/0.12, dsn=5.0.0, status=bounced (User unknown in virtual alias table) Oct 30 15:36:21 lsrv01 postfix/error[1909]: 23F4844045: to=, relay=none, delay=0.23, delays=0.06/0/0/0.17, dsn=5.0.0, status=bounced (User unknown in virtual alias table) Oct 30 15:36:21 lsrv01 postfix/error[1909]: 23F4844045: to=, relay=none, delay=0.28, delays=0.06/0/0/0.22, dsn=5.0.0, status=bounced (User unknown in virtual alias table) Hier mal meine virtual tms-itdienst.at><------><------><------>Hauptdomain t.schneider at tms-itdienst.at<---><------>timm timm.schneider at tms-itdienst.at<><------>timm tim.schneider at tms-itdienst.at<-><------>timm office at tms-itdienst.at<><------><------>timm office2 at tms-itdienst.at><------><------>mona web at tms-itdienst.at<---><------><------>timm web2 at tms-itdienst.at<--><------><------>timm security at tms-itdienst.at<------><------>timm webmaster at tms-itdienst.at<-----><------>timm cpbx.co.at<----><------><------><------>Hauptdomain2 asterisk at cpbx.co.at<---><------><------>timm support at cpbx.co.at<----><------><------>timm support at cpbx.eu t.schneider at cpbx.co.at<><------><------>timm Interessanterweise, diese domain geht: tms-it.net<----><------><------><------>Netzdomain security at tms-it.net<---><------><------>timm abuse at tms-it.net<------><------><------>timm hostmaster at tms-it.net<-><------><------>timm postmaster at tms-it.net<-><------><------>timm webmaster at tms-it.net<--><------><------>timm Jetzt die postconf. lsrv01:~ # postconf -n alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases biff = no body_checks = pcre:/etc/postfix/body_checks bounce_queue_lifetime = 3d broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix content_filter = kav4lms_filter:127.0.0.1:10025 daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix debug_peer_level = 2 defer_transports = delay_warning_time = 1h disable_dns_lookups = no disable_mime_output_conversion = no header_checks = pcre:/etc/postfix/header_checks html_directory = /usr/share/doc/packages/postfix-doc/html inet_interfaces = 91.118.53.102 inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root maximal_queue_lifetime = 3d message_size_limit = 608400000 message_strip_characters = \0 mydestination = $myhostname, localhost.$mydomain, listen.tms-it.net mydomain = tms-it.net myhostname = mail.tms-it.net mynetworks = 91.118.53.0/24 newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES relayhost = sample_directory = /usr/share/doc/packages/postfix-doc/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_use_tls = no smtpd_client_restrictions = smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/relays, check_recipient_access hash:/etc/postfix/recipient_rfc, reject_rbl_client blacklist.rbl.ispa.at, check_policy_service inet:127.0.0.1:10041 check_sender_access hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, reject_unauth_pipelining, reject_unknown_client_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated, reject_unauthenticated_sender_login_mismatch, reject_rbl_client dsn.rfc-ignorant.org, reject_rbl_client abuse.rfc-ignorant.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl-1.uceprotect.net, reject_unverified_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = lsrv01 smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = strict_8bitmime = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_client_reject_code = 550 unknown_hostname_reject_code = 550 unknown_local_recipient_reject_code = 550 virtual_alias_domains = hash:/etc/postfix/virtual virtual_alias_maps = hash:/etc/postfix/virtual lsrv01:~ # Seht Ihr da irgendwo einen Fehler? Grüße Timm -- Timm M.Schneider TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck T: +43 (0720) 501 078 (Per ENUM kostenlos erreichbar) +49 (089) 721010-77792 F: +43 (0720) 501 078-57 SIP: 21100002377 (Terrasip) 0720501078 (Nemox) 0720721226 (PlatinPlus) From toni.burger at web.de Sun Oct 31 10:44:57 2010 From: toni.burger at web.de (Toni Burger) Date: Sun, 31 Oct 2010 10:44:57 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?deliver_=FCber_transport_oder_?= =?iso-8859-1?q?mailbox=5Fcommand?= Message-ID: <1288518297.5319.44.camel@localhost> Guten Mittag zusammen, dank diesem super Buch hat's mich nun auch gepackt und ich möchte einen Mailserver für unser eher überschaubares Netzwerk hier einrichten. Allerdings habe ich schon die ersten Fragen. Zuerst ein paar Worte zur bestehenden Installation: Es existiert ein ldap-server (openldap) der alle Benutzer beinhaltet. Alle Benutzer die später ein Postfach haben sollen, haben unter anderem auch die Objectklasse "posixAccount". Diese Benutzer sind nun auch auf dem Mailserver über pam eingebunden. Die uids können über nsswitch im System aufgelöst werden. Dass die ldap User in das System gemappt werden kommt vor allem durch den samba Server. Auf dem gleichen Rechner möchte ich nun postfix mit dovecot installieren. Die existierenden ldap Einträge sollen dann einfach über das Attribut mail einer mailadresse zugeordnet werden können. Im Idealfall sollte das Mail-Attribut mehrfach pro Benutzer vorkommen können, falls dieser mehrere Mailadressen benötigt. Und hier stellt sich dann schon die erste Frage: Würde man postfix nun eher als relay Server einrichten und wie im Buch mittels der transport Tabelle die Mails an den lda von dovecot weiterleiten? Oder wäre es sinniger postfix hier als final destination zu betreiben und mit mailbox_command an deliver zu übergeben? Im ersten Versuch habe ich mich für den zweiten Weg entschieden da es mir so einfacher schien mit den uids zurecht zu kommen. Da sowieso schon jeder User eine eigene Uid hat wäre es ja nicht verkehrt auch den Mailordner unter dieser anzulegen. Wäre dies auch mit der transport Methode machbar? Hier die zweite Frage: Wenn ich deliver nun über mailbox_command aufrufe sucht das dummerweise aber über pam/passwd die Benutzer und verwendet nicht die dovecot-ldap.conf ... was mir etwas schleierhaft ist. Nochmal kurz: 1) Soll ich postfix als domain_relay oder als final_destination einrichten? 2) Kann deliver, wenn es über mailbox_command aufgerufen wird nicht die dovecot-ldap.conf verwenden? Hier noch alle relevanten Configs: postfix - main.cf alias_maps = hash:/etc/mail/aliases command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = //usr/lib/postfix data_directory = /var/lib/postfix default_database_type = btree inet_interfaces = all local_recipient_maps = hash:/etc/mail/aliases ldap:/etc/postfix/ldap_abfragen/relay_recipients.ldap mail_owner = postfix mailbox_command = /usr/libexec/dovecot/deliver mydestination = $mydomain, localhost, localhost.$mydomain myhostname = xx.eu mynetworks = 127.0.0.1 myorigin = $mydomain queue_directory = /var/spool/postfix smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/lists/access_recipient_rfc, check_client_access btree:/etc/postfix/lists/access_client, check_helo_access btree:/etc/postfix/lists/access_helo, check_sender_access btree:/etc/postfix/lists/access_sender, check_recipient_access btree:/etc/postfix/lists/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rhsbl_client blackhole.securitysage.com, reject_unauth_destination, permit dovecot.conf # 1.2.15: /etc/dovecot/dovecot.conf # OS: Linux 2.6.30-gentoo-r8 i686 Gentoo Base System release 1.12.13 ext3 listen: *, [::] ssl: no disable_plaintext_auth: no login_dir: /var/run/dovecot/login login_executable: /usr/libexec/dovecot/imap-login mail_privileged_group: mail mail_location: mbox:/var/spool/mail/%u:INDEX=/var/dovecot/%u lda: postmaster_address: postmaster at aa.xx auth_socket_path: /var/run/dovecot/auth-master auth default: passdb: driver: ldap args: /etc/dovecot/dovecot-ldap.conf userdb: driver: prefetch userdb: driver: ldap args: /etc/dovecot/dovecot-ldap.conf socket: type: listen master: path: /var/run/dovecot/auth-master mode: 384 user: mail group: mail dovecot-ldap.conf hosts = xx dn = cn=dovecot_read,ou=system_user,ou=intern,dc=xxx,dc=xx dnpass = ddd ldap_version = 3 base = dc=xxx,dc=xx pass_attrs = uid=user,userPassword=password,uidNumber=userdb_uid,gidNumber=userdb_gid pass_filter = (&(objectClass=posixAccount)(mail=%u)) Besten Dank und schönes Wocheende. Toni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part URL : From postfixmail at dncom.de Sun Oct 31 13:37:30 2010 From: postfixmail at dncom.de (=?iso-8859-1?Q?Philipp_N=F6bauer?=) Date: Sun, 31 Oct 2010 13:37:30 +0100 Subject: [Postfixbuch-users] Kompilieren mit TLS mit openssl 1.0.0.a Message-ID: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> Hallo Liste, Ich versuche Postfix mit SASL und TLS zu kompilieren. Ich habe openssl 1.0.0a Kompiliert. Dabei schlägt das make fehl. Wenn ich allerdings das Packet openssl-devel installiere klappt es. Viele Grüße Philipp From bluewind at server-speed.net Sun Oct 31 13:46:41 2010 From: bluewind at server-speed.net (Florian Pritz) Date: Sun, 31 Oct 2010 13:46:41 +0100 Subject: [Postfixbuch-users] Kompilieren mit TLS mit openssl 1.0.0.a In-Reply-To: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> References: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> Message-ID: <4CCD6531.4010307@server-speed.net> On 31.10.2010 13:37, Philipp Nöbauer wrote: > Ich versuche Postfix mit SASL und TLS zu kompilieren. > > Ich habe openssl 1.0.0a Kompiliert. > > Dabei schlägt das make fehl. > Wenn ich allerdings das Packet openssl-devel installiere klappt es. Was ist das Problem? Ich weise auch mal auf http://catb.org/esr/faqs/smart-questions.html hin. -- Florian Pritz -- {flo,bluewind}@server-speed.net -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: OpenPGP digital signature URL : From Ralf.Hildebrandt at charite.de Sun Oct 31 16:28:30 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 31 Oct 2010 16:28:30 +0100 Subject: [Postfixbuch-users] Kompilieren mit TLS mit openssl 1.0.0.a In-Reply-To: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> References: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> Message-ID: <20101031152830.GD12364@charite.de> * Philipp Nöbauer : > Hallo Liste, > > Ich versuche Postfix mit SASL und TLS zu kompilieren. > > Ich habe openssl 1.0.0a Kompiliert. Und dann? Installiert? > Dabei schlägt das make fehl. Beim bauen von openssl 1.0.0a oder beim Bauen von Postfix? Und mit welchem Fehler? > Wenn ich allerdings das Packet openssl-devel installiere klappt es. Welches openssl-devel Paket? Das von openssl 1.0.0a? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Sun Oct 31 16:33:35 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 31 Oct 2010 16:33:35 +0100 Subject: [Postfixbuch-users] [postfix-users] Kompilieren mit TLS mit openssl 1.0.0.a In-Reply-To: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> References: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> Message-ID: <20101031153335.GF12364@charite.de> * Philipp Nöbauer : > Hallo Liste, > > Ich versuche Postfix mit SASL und TLS zu kompilieren. Man könnte ja auch einfach ein Paket installieren. Zu einfach gedacht? > Ich habe openssl 1.0.0a Kompiliert. OK. Und das geht? Nix fehlgeschlagen? Alles installiert? Und WOHIN installiert? > Dabei schlägt das make fehl. Bei was jetzt? Beim Bauen von openssl 1.0.0a, beim Bauen von postfix? Und mit welchem Fehler? > Wenn ich allerdings das Packet openssl-devel installiere klappt es. Da stellt man sich die Frage weshalb dann openssl 1.0.0a überhaupt kompiliert wurden, wenn es doch sogar ein Paket gibt... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Sun Oct 31 16:41:56 2010 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 31 Oct 2010 16:41:56 +0100 Subject: [Postfixbuch-users] [postfix-users] Kompilieren mit TLS mit openssl 1.0.0.a In-Reply-To: <20101031153335.GF12364@charite.de> References: <35E139F885A1DC4A94516EBA3CEC57D235E51C@riebeserv1.riebe.local> <20101031153335.GF12364@charite.de> Message-ID: <20101031154156.GH12364@charite.de> * Ralf Hildebrandt : > > Wenn ich allerdings das Packet openssl-devel installiere klappt es. > Da stellt man sich die Frage weshalb dann openssl 1.0.0a überhaupt > kompiliert wurden, wenn es doch sogar ein Paket gibt... Also, ich mutmaße jetzt mal: * Du bist auf einem archaischen Betriebbsystem/Distribution das noch kein OpenSSL 1.0.x hat und dachtest, Du baust das dann selber. * Und dann baust Du Postfix selber, damit du es gegen openssl-1.0.x linken kannst Soweit richtig? Dabei muss man einiges beachten: 1) Man sollte damit nie die Original-SSL-Dateien der Distribution überschreiben. Aber das ist kein Problem, da üblicherweise eh nach /usr/local und dadrunter installiert wird. 2) Aber da kein Compiler in die Richtung von /usr/local/include oder /usr/local/libs guckt, muss man das beim Installaiere EXPLIZIT (!!!) angeben (CFLAGS, LDFLAGS) Die Tatsache daß es nach Installation von openssl-dev "ging" legt nahe daß die CLFAGS und LDFLAGS auf das "normale" /usr/include und /usr/libs gezeigt haben, und dann "nur" gegen die normale 0.9.x Version von OpenSSL gebaut und gelinkt wurde (testn mit "ldd smtpd") mail:~# ldd /usr/lib/postfix/smtpd ... libssl.so.0.9.8 => /usr/lib/i686/cmov/libssl.so.0.9.8 (0xb7667000) libcrypto.so.0.9.8 => /usr/lib/i686/cmov/libcrypto.so.0.9.8 (0xb750f000) ... bei mit: 0.9.8 -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de