From hotten at hs-bremerhaven.de  Fri Apr  1 07:05:01 2011
From: hotten at hs-bremerhaven.de (Henry Otten)
Date: Fri, 01 Apr 2011 07:05:01 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?domain_wird_nicht_richtig_=FCb?=
 =?iso-8859-1?q?ertragen=2E?=
In-Reply-To: <201103311348.49679.s.botter@jacobs-university.de>
References: <4D9414B8.4040500@hs-bremerhaven.de>	<07F3B359-BF32-43EF-B732-5A01A0CA105C@carmunity.de>	<4D94424C.5010103@hs-bremerhaven.de>
	<201103311348.49679.s.botter@jacobs-university.de>
Message-ID: <4D955CFD.6020406@hs-bremerhaven.de>

Am 31.03.2011 13:48, schrieb Stefan Botter:
> Hallo Henry,
>
> On Thursday 31 March 2011 10:58:52 Henry Otten wrote:
>> Am 31.03.2011 09:49, schrieb Tobias Matthaeus:
>>> Schick uns doch mal einen Auszug aus deiner Config....
>>> Am besten mit:
>>>
>>>
>>> postconf -n
>> Da ist sie:
>> relayhost = smtp.hs-bremerhaven.de
> Ist es im Rahmen des Möglichen, dass die Mails über den relayhost laufen
> und dort masquerade_domains = hs-bremerhaven.de gesetzt ist?
> Prüf das mal nach, oder schick mal den Header einer Deiner Testmails
> mit.
>
> So denn,
>
> Stefan
Moin Stefan,
habe keinen Eintrag gefunden,
hier mal der Header einer gesendeten mail:

Return-Path:<ldaptest at hs-bremerhaven.de>
Received: from murder ([unix socket])
	 by imap (Cyrus v2.2.13-Debian-2.2.13-10.41.200911021926) with LMTPA;
	 Fri, 01 Apr 2011 06:52:10 +0200
X-Sieve: CMU Sieve 2.2
X-Spam-Checker-Version: SpamAssassin 3.1.7-deb (2006-10-05) on
	imap.hs-bremerhaven.de
X-Spam-Level:
X-Spam-Status: No, hits=0.6 required=5.0 tests=NO_REAL_NAME
	autolearn=disabled version=3.1.7-deb
Received: from localhost (localhost [127.0.0.1])
	by imap.hs-bremerhaven.de (Postfix) with ESMTP id 9E8BE244863E
	for<hotten at hs-bremerhaven.de>; Fri,  1 Apr 2011 06:52:10 +0200 (CEST)
X-Virus-Scanned: by amavisd-new-2.4.2 (20060627) (Debian) at hs-bremerhaven.de
Received: from imap.hs-bremerhaven.de ([127.0.0.1])
	by localhost (imap.hs-bremerhaven.de [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id qcWeFaEgSV2x for<hotten at hs-bremerhaven.de>;
	Fri,  1 Apr 2011 06:52:10 +0200 (CEST)
Received: from smtp.hs-bremerhaven.de (unknown [192.109.135.126])
	by imap.hs-bremerhaven.de (Postfix) with ESMTP id 89E18244863C
	for<hotten at hs-bremerhaven.de>; Fri,  1 Apr 2011 06:52:10 +0200 (CEST)
Received: from studenten.hs-bremerhaven.de ([192.109.135.7]:40938)
	by smtp.hs-bremerhaven.de with esmtp (Exim 4.69)
	(envelope-from<ldaptest at studenten.hs-bremerhaven.de>)
	id 1Q5WL4-0007cW-2r; Fri, 01 Apr 2011 06:52:02 +0200
Received: from 195.37.111.49
         (SquirrelMail authenticated user ldaptest)
         by studenten.hs-bremerhaven.de with HTTP;
         Fri, 1 Apr 2011 06:52:03 +0200 (CEST)
X-CTCH-RefID: str=0001.0A0B020C.4D9559F2.0132,ss=1,fgs=0
Message-ID:<59935.195.37.111.49.1301633523.squirrel at studenten.hs-bremerhaven.de>
Date: Fri, 1 Apr 2011 06:52:03 +0200 (CEST)
Subject: testmail vom 01.04.2011
From: ldaptest at hs-bremerhaven.de
To: hotten at hs-bremerhaven.de
Cc: auflage40 at web.de
User-Agent: SquirrelMail/1.4.5
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal

Gruss

Henry






From s.botter at jacobs-university.de  Fri Apr  1 09:29:46 2011
From: s.botter at jacobs-university.de (Stefan Botter)
Date: Fri, 1 Apr 2011 09:29:46 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?domain_wird_nicht_richtig_=FCb?=
 =?iso-8859-1?q?ertragen=2E?=
In-Reply-To: <4D955CFD.6020406@hs-bremerhaven.de>
References: <4D9414B8.4040500@hs-bremerhaven.de>
	<201103311348.49679.s.botter@jacobs-university.de>
	<4D955CFD.6020406@hs-bremerhaven.de>
Message-ID: <201104010929.51245.s.botter@jacobs-university.de>

Hallo Henry,

On Friday 01 April 2011 07:05:01 Henry Otten wrote:
> habe keinen Eintrag gefunden,
> hier mal der Header einer gesendeten mail:

Hast Du _wirklich_ in die Konfiguration auf smtp.hs-bremerhaven.de 
reingesehen? 

> Received: from studenten.hs-bremerhaven.de ([192.109.135.7]:40938) by
>      smtp.hs-bremerhaven.de with esmtp (Exim 4.69)
> 	(envelope-from<ldaptest at studenten.hs-bremerhaven.de>)
> 	id 1Q5WL4-0007cW-2r; Fri, 01 Apr 2011 06:52:02 +0200

Laut Header läuft da Exim. Nun kenne ich mich damit nicht aus, aber 
schnelles googlen hat was in Richtung "rewrite" ergeben. Ggf. steht da 
doch sowas drin. Die Admins werden Dir da helfen können.

> Received: from smtp.hs-bremerhaven.de (unknown [192.109.135.126])
> 	by imap.hs-bremerhaven.de (Postfix) with ESMTP id 89E18244863C
> 	for<hotten at hs-bremerhaven.de>; Fri,  1 Apr 2011 06:52:10 +0200
> (CEST)

Weiterhin läuft die Mail noch über imap.hs..., dort ist ein Postfix vor 
einem Cyrus-Murder, dort könnte auch noch das Masquerading passieren. 
Ich würde es dort nicht machen, aber ...

Die Postmaster/Admins der HS-Bremen können Dir da bestimmt weiterhelfen.
 
So denn,

Stefan
-- 
Stefan Botter
Network Manager

Jacobs University Bremen gGmbH
Campus Ring 1 | 28759 Bremen | Germany

Commercial registry: Amtsgericht Bremen, HRB 18117
CEO: Prof. Dr. Joachim Treusch
Chair Board of Governors: Prof. Dr. Karin Lochte
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 222 bytes
Beschreibung: This is a digitally signed message part.
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110401/89267ba0/attachment.asc>

From p.heinlein at heinlein-support.de  Fri Apr  1 10:02:29 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 1 Apr 2011 10:02:29 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?domain_wird_nicht_richtig_=FCb?=
 =?iso-8859-1?q?ertragen=2E?=
In-Reply-To: <4D955CFD.6020406@hs-bremerhaven.de>
References: <4D9414B8.4040500@hs-bremerhaven.de>
	<201103311348.49679.s.botter@jacobs-university.de>
	<4D955CFD.6020406@hs-bremerhaven.de>
Message-ID: <201104011002.29158.p.heinlein@heinlein-support.de>

Am Freitag, 1. April 2011, 07:05:01 schrieb Henry Otten:
> Received: from 195.37.111.49
>          (SquirrelMail authenticated user ldaptest)
>          by studenten.hs-bremerhaven.de with HTTP;
>          Fri, 1 Apr 2011 06:52:03 +0200 (CEST)

Na, sag das doch gleich.

Die Mail wird also über Squirrelmail versendet. Woher soll man das denn 
bitte hellsehen?!

Geh bei Squirrelmail in das conf.pl und prüfe, was unter "Server Settings 
(2)" im Eintrag "Domain" (1) steht.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From lists at dguhl.org  Fri Apr  1 11:00:03 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Fri, 1 Apr 2011 11:00:03 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?domain_wird_nicht_richtig_=FCb?=
 =?iso-8859-1?q?ertragen=2E?=
In-Reply-To: <4D955CFD.6020406@hs-bremerhaven.de>
References: <4D9414B8.4040500@hs-bremerhaven.de>
	<07F3B359-BF32-43EF-B732-5A01A0CA105C@carmunity.de>
	<4D94424C.5010103@hs-bremerhaven.de>
	<201103311348.49679.s.botter@jacobs-university.de>
	<4D955CFD.6020406@hs-bremerhaven.de>
Message-ID: <20110401090002.GA7082@laptop-dg.leere.eu>

On Fri, Apr 01, 2011 at 07:05:01AM +0200, Henry Otten wrote:
> Am 31.03.2011 13:48, schrieb Stefan Botter:
> >Hallo Henry,
> >
> >On Thursday 31 March 2011 10:58:52 Henry Otten wrote:

[..]

> >>>postconf -n
> >>Da ist sie:
> >>relayhost = smtp.hs-bremerhaven.de

[..]

> hier mal der Header einer gesendeten mail:

[..]

> Received: from localhost (localhost [127.0.0.1])
> 	by imap.hs-bremerhaven.de (Postfix) with ESMTP id 9E8BE244863E
> 	for<hotten at hs-bremerhaven.de>; Fri,  1 Apr 2011 06:52:10 +0200 (CEST)
> X-Virus-Scanned: by amavisd-new-2.4.2 (20060627) (Debian) at hs-bremerhaven.de
> Received: from imap.hs-bremerhaven.de ([127.0.0.1])
> 	by localhost (imap.hs-bremerhaven.de [127.0.0.1]) (amavisd-new, port 10024)
> 	with ESMTP id qcWeFaEgSV2x for<hotten at hs-bremerhaven.de>;
> 	Fri,  1 Apr 2011 06:52:10 +0200 (CEST)
> Received: from smtp.hs-bremerhaven.de (unknown [192.109.135.126])
> 	by imap.hs-bremerhaven.de (Postfix) with ESMTP id 89E18244863C
> 	for<hotten at hs-bremerhaven.de>; Fri,  1 Apr 2011 06:52:10 +0200 (CEST)

[..]

> Message-ID:<59935.195.37.111.49.1301633523.squirrel at studenten.hs-bremerhaven.de>
> Date: Fri, 1 Apr 2011 06:52:03 +0200 (CEST)
> Subject: testmail vom 01.04.2011
> From: ldaptest at hs-bremerhaven.de
> To: hotten at hs-bremerhaven.de
> Cc: auflage40 at web.de

Du sagtest in einer vorherigen Mail, hier käme das From: korrekt an.
Vergleiche die Received-Spuren dieser Mail, wie sie bei web.de ankommt
und wie sie bei hs-bremerhaven.de ankommt. Einer der SMTPDs die nur
für hs-bremerhaven.de durchlaufen werden schreibt die Adresse um.
Schau Dir dort die Konfigurationen an und suche nach allem was
Adressen umschreibt.

Aufgrund Deines postconf -n von studenten.[..] tippe ich darauf, dass
die Umschreibung auf imap.hs-bremerhaven.de erfolgt.

Dennis

[..]


From hotten at hs-bremerhaven.de  Fri Apr  1 11:19:24 2011
From: hotten at hs-bremerhaven.de (Henry Otten)
Date: Fri, 01 Apr 2011 11:19:24 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?domain_wird_nicht_richtig_=FCb?=
 =?iso-8859-1?q?ertragen=2E?=
In-Reply-To: <201104011002.29158.p.heinlein@heinlein-support.de>
References: <4D9414B8.4040500@hs-bremerhaven.de>	<201103311348.49679.s.botter@jacobs-university.de>	<4D955CFD.6020406@hs-bremerhaven.de>
	<201104011002.29158.p.heinlein@heinlein-support.de>
Message-ID: <4D95989C.9070404@hs-bremerhaven.de>

Am 01.04.2011 10:02, schrieb Peer Heinlein:
> Server Settings
Da steht auch studenten.hs-bremerhaven.de.




From l.heide at fz-juelich.de  Fri Apr  1 15:13:38 2011
From: l.heide at fz-juelich.de (Lars Heide)
Date: Fri, 1 Apr 2011 15:13:38 +0200
Subject: [Postfixbuch-users] policyd-weight und BOGUS_MX
In-Reply-To: <20110331123403.GA23732@rz.ek-muc.de>
References: <20110331123403.GA23732@rz.ek-muc.de>
Message-ID: <4D95CF82.9020209@fz-juelich.de>

Hi,

ich hab mal einen Patch gemacht (policyd-weight.patch gegen Version
0.1.14.17, policyd-weight-15.patch gegen Version 0.1.15.1 ), welcher das
Verhalten wie oben besprochen ändert (und ein paar andere kleinere
Änderungen macht).

Änderungen im Verhalten:

1. "list.dsbl.org" entfernt, wie Robert richtig anmerkte ist diese Liste
seit 2 Jahren nicht mehr in Betrieb, der Check erzeugt daher nur
Wartezeit (bei version 0.1.14.17).
2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
nicht mehr nach A-Records gesucht.
3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
Domain läuft, wenn er läuft.
4. Falsche MX sind jetzt auch 0.0.0.0/8 und 255.255.255.255.
5. Die Abfrage gegen das DNS fragt jetzt nicht mehr expliziet nach 'A'
Records (oder 'AAAA' bei 01.1.15), weil sonst nie PTRs zurück geliefert
werden und ein Check weiter unten nie erfüllt werden kann. Ohne 'A' ist
der Check der Perl Library impliziet ein 'A' wenn es einen Hostnamen
erkennt und liefert 'PTR' zurück wenn es eine IP ist.

Da sind noch 2 andere kleinere Änderungen, die beeinflussen aber das
Verhalten nicht und bügeln nur Gemecker von Perl aus.

Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,
die mit der clientIP oder dem Subnet übereinstimmt. (wenn clientIP im
DNS der FROM Domain auftaucht wird der HELO nicht mehr betrachtet). Der
Patch bildet dieses Verhalten nach indem er eine andere Variable
abfragt, persönlich würde ich das nicht so durchgehen lassen.

Kurios ist das z.B. bei dieser Kombination von Parametern (in echt so
gesehen):

helo_name=.
sender=english at ublove.com
client_address=119.205.209.108


Orginal: policyd-weight
NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
DSBL_ORG=SKIP(0) HELO_IP_IN_CL_SUBNET=-1.2 (check from: .ublove. - helo:
... - helo-domain: ..)  FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1;
<client=119.205.209.108> <helo=.> <from=english at ublove.com> <to=>; rate:
-4.7

wenn man die client_address wirklich durch die MX-IP der FROM Domain
ersetzt (119.205.209.104) , sieht das Bild sogar noch rosiger aus:

NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
CL_IP_EQ_FROM_MX=-3.1 <helo_ips:  . 119.205.209.104>;
<instance=119.205.209.104english at ublove.com> <client=119.205.209.104>
<helo=.> <from=english at ublove.com> <to=>; rate: -7.6

Wenn man die HELO-IPs einbezieht fliegt das ganze raus:

NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .ublove. -
helo: ... - helo-domain: ..)  FROM_NOT_FAILED_HELO(DOMAIN)=3 <helo_ips:
.>; <instance=119.205.209.108english at ublove.com>
<client=119.205.209.108> <helo=.> <from=english at ublove.com> <to=>; rate: 1.5

(für diesen Effekt die Zeile 2204: last if $is_mx; in der gepatchten
Version entfernen)

Lars

--
IT- Services
Forschungszentrum Jülich GmbH
Tel.: +49 2461 61 9237                  Email: l.heide at fz-juelich.de
Fax: +49 2461 61 9209                   Internet: www.fz-juelich.de/its


------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
Forschungszentrum Juelich GmbH
52425 Juelich
Sitz der Gesellschaft: Juelich
Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
Prof. Dr. Sebastian M. Schmidt
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : policyd-weight.patch
Dateityp    : text/x-patch
Dateigröße  : 3768 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110401/212d4c38/attachment.patch>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : policyd-weight-15.patch
Dateityp    : text/x-patch
Dateigröße  : 3653 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110401/212d4c38/attachment-0001.patch>

From postfixbuch-users at makomi.de  Fri Apr  1 15:33:51 2011
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Fri, 1 Apr 2011 15:33:51 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?Amavisd-new_und_Spam_beim_Vers?=
	=?iso-8859-1?q?enden_=FCber_SASL?=
Message-ID: <54AF49F0-9663-4C34-BAEA-D835E6C5C621@makomi.de>

Hallo,

beim Aufsetzen eines neuen Servers (Debian Squeeze, Postfix 2.8.1, Dovecot 2.0.11, amavisd-new 2.6.4, Postfixadmin 2.4svn) auf einem Root-Server habe ich Postfix so konfiguriert, dass die Users sich zum Versenden per SASL authentifizieren. Das klappt auch wunderbar. Nun habe ich aber das Problem, das amavisd-new mir teilweise Mails als Spam rausfiltern und das auch bei Emails, die an Domains gehen, für die der Server verantwortlich ist. Hier mal den Log-Auszug einer Beispielmail:

Apr  1 14:33:37 mailserver postfix/smtpd[16397]: connect from 177-22-101-113-dynip.superkabel.de[177.22.101.113]
Apr  1 14:33:37 mailserver postfix/smtpd[16397]: setting up TLS connection from 177-22-101-113-dynip.superkabel.de[177.22.101.113]
Apr  1 14:33:37 mailserver postfix/smtpd[16397]: Anonymous TLS connection established from 177-22-101-113-dynip.superkabel.de[177.22.101.113]: TLSv1 with cipher AES128-SHA (128/128 bits)
Apr  1 14:33:37 mailserver postfix/smtpd[16397]: NOQUEUE: client=177-22-101-113-dynip.superkabel.de[177.22.101.113], sasl_method=CRAM-MD5, sasl_username=USER1 at DOMAIN-2
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) ESMTP::10024 /var/lib/amavis/tmp/amavis-20110401T120433-08140: <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3> Received: from mailserver.DOMAIN-1 ([127.0.0.1]) by localhost (mailserver.DOMAIN-1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP; Fri,  1 Apr 2011 14:33:38 +0200 (CEST)
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) Checking: 3KuvBldLOlsW [177.22.101.113] <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3>,<USER2 at DOMAIN-2>,<USER5 at DOMAIN-4>,<USER6 at DOMAIN-4>
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) p001 1 Content-Type: text/plain, size: 621 B, name: 
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) local delivery: <USER1 at DOMAIN-2> -> spam-quarantine, mbx=/var/lib/amavis/virusmails/3/spam-3KuvBldLOlsW.gz
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) SPAM, <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3>,<USER2 at DOMAIN-2>,<USER5 at DOMAIN-4>,<USER6 at DOMAIN-4>, Yes, score=11.182 tag=-999 tag2=6.31 kill=6.31 tests=[AXB_HELO_HOME_UN=2.31, HELO_LH_HOME=2.023, RCVD_IN_BRBL_LASTEXT=1.644, RCVD_IN_PBL=3.558, RCVD_IN_RP_RNBL=1.284, RDNS_DYNAMIC=0.363] autolearn=no, quarantine 3KuvBldLOlsW (spam-quarantine,spam-quarantine,spam-quarantine,spam-quarantine,spam-quarantine)
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) Blocked SPAM, [177.22.101.113] [177.22.101.113] <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3>,<USER2 at DOMAIN-2>,<USER5 at DOMAIN-4>,<USER6 at DOMAIN-4>, quarantine: 3/spam-3KuvBldLOlsW.gz, Message-ID: <39D46799-EAF7-4328-8007-08198755038F at DOMAIN-2>, mail_id: 3KuvBldLOlsW, Hits: 11.182, size: 1659, 256 ms
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) TIMING-SA total 199 ms - parse: 1.45 (0.7%), extract_message_metadata: 2 (1.1%), get_uri_detail_list: 0.54 (0.3%), tests_pri_-1000: 4 (1.8%), tests_pri_-950: 0.87 (0.4%), tests_pri_-900: 0.95 (0.5%), tests_pri_-400: 0.75 (0.4%), tests_pri_0: 98 (49.2%), check_dkim_adsp: 8 (3.8%), check_spf: 42 (21.4%), poll_dns_idle: 111 (55.8%), check_pyzor: 0.15 (0.1%), tests_pri_500: 76 (38.4%), get_report: 1.19 (0.6%)
Apr  1 14:33:38 mailserver postfix/smtpd[16397]: proxy-accept: END-OF-MESSAGE: 250 2.7.0 Ok, discarded, id=08140-14 - SPAM; from=<USER1 at DOMAIN-2> to=<USER4 at DOMAIN-3> proto=ESMTP helo=<pc.lan>
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) TIMING [total 258 ms] - SMTP greeting: 1 (0%)0, SMTP EHLO: 0 (0%)1, SMTP pre-MAIL: 0 (0%)1, SMTP pre-DATA-flush: 2 (1%)1, SMTP DATA: 0 (0%)2, check_init: 0 (0%)2, digest_hdr: 1 (0%)2, digest_body_dkim: 0 (0%)2, gen_mail_id: 1 (0%)2, mime_decode: 5 (2%)4, get-file-type1: 24 (9%)13, parts_decode: 0 (0%)14, check_header: 2 (1%)14, AV-scan-1: 2 (1%)15, spam-wb-list: 2 (1%)16, SA parse: 3 (1%)17, SA check: 195 (75%)92, update_cache: 4 (1%)94, decide_mail_destiny: 2 (1%)95, notif-quar: 2 (1%)95, stat-mbx: 2 (1%)96, open-mbx: 2 (1%)97, write-header: 1 (0%)97, save-to-local-mailbox: 0 (0%)97, prepare-dsn: 1 (0%)98, main_log_entry: 4 (2%)99, update_snmp: 1 (1%)100, SMTP pre-response: 0 (0%)100, SMTP response: 0 (0%)100, unlink-1-files: 0 (0%)100, rundown: 0 (0%)100
Apr  1 14:34:38 mailserver postfix/smtpd[16397]: disconnect from 177-22-101-113-dynip.superkabel.de[177.22.101.113]

Was ich anhand des Logfiles verstehe bzw. gerade noch so akzeptiere ist:

helo=<pc.lan> führt zu AXB_HELO_HOME_UN=2.31 und HELO_LH_HOME=2.023

Was ich nicht verstehen ist: 

RCVD_IN_BRBL_LASTEXT=1.644, RCVD_IN_PBL=3.558, RCVD_IN_RP_RNBL=1.284

besonders RCVD_IN_PBL=3.558 sollte ja nur so hoch sein, wenn 

"The Spamhaus PBL is a DNSBL database of end-user IP address ranges which should not be delivering unauthenticated SMTP email to any Internet mail server except those provided for specifically by an ISP for that customer's use. The PBL helps networks enforce their Acceptable Use Policy for dynamic and non-MTA customer IP ranges."

Nun kommen die User aber nicht unauthentifiziert sondern über SASL rein.

Wie kann ich amavisd-new dazu bewegen SASL-User als authorisiert anzusehen? Zur Zeit helfe ich mir mit @whitelist_sender_maps. Aber das kann ja nicht die Lösung sein, besonders weil ich hier meine Domains direkt eintragen muss, währenddessen alles andere über Dovecot bzw. die MySQL-DB von postfixadmin läuft.

Mein Konfiguration von amavisd-new sieht vom Standard abweichend so aus:

$sa_spam_subject_tag = '***SPAM*** ';
$sa_tag_level_deflt  = -999.0;
$sa_dsn_cutoff_level = 10;
@local_domains_acl = ( "." );
$final_banned_destiny     = D_PASS;
$final_spam_destiny       = D_DISCARD;
@mynetworks = qw( 127.0.0.0/8 );

Kann mir bitte jemand den entscheidenden Tipp geben? Ich denke ja nicht, das ich der Erste bin, der solch eine Konfiguration hat.

Gruß,
Michael



From robtone at ek-muc.de  Fri Apr  1 15:58:23 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Fri, 1 Apr 2011 15:58:23 +0200
Subject: [Postfixbuch-users] policyd-weight und BOGUS_MX
In-Reply-To: <4D95CF82.9020209@fz-juelich.de>
References: <20110331123403.GA23732@rz.ek-muc.de>
	<4D95CF82.9020209@fz-juelich.de>
Message-ID: <20110401135823.GA32830@rz.ek-muc.de>

On Fri, Apr 01, 2011 at 03:13:38PM +0200, Lars Heide wrote:
> Hi,
> 
> ich hab mal einen Patch gemacht (policyd-weight.patch gegen Version
> 0.1.14.17, policyd-weight-15.patch gegen Version 0.1.15.1 ), welcher das
> Verhalten wie oben besprochen ändert (und ein paar andere kleinere
> Änderungen macht).
> 
> Änderungen im Verhalten:
> 
> 1. "list.dsbl.org" entfernt, wie Robert richtig anmerkte ist diese Liste
> seit 2 Jahren nicht mehr in Betrieb, der Check erzeugt daher nur
> Wartezeit (bei version 0.1.14.17).

Ist ja in 0.1.15.1 (aktuell) draussen.

> 2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
> nicht mehr nach A-Records gesucht.
> 3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
> HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
> damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
> Domain läuft, wenn er läuft.

Hier entsteht das Problem, dass es schon oefters vorgegkommen ist, dass
die Client IP/24 /16 nicht zum Helo passte, wohl aber zu den MX/A records im
Sender.


> 4. Falsche MX sind jetzt auch 0.0.0.0/8 und 255.255.255.255.
> 5. Die Abfrage gegen das DNS fragt jetzt nicht mehr expliziet nach 'A'
> Records (oder 'AAAA' bei 01.1.15), weil sonst nie PTRs zurück geliefert
> werden und ein Check weiter unten nie erfüllt werden kann. Ohne 'A' ist
> der Check der Perl Library impliziet ein 'A' wenn es einen Hostnamen
> erkennt und liefert 'PTR' zurück wenn es eine IP ist.
> 
> Da sind noch 2 andere kleinere Änderungen, die beeinflussen aber das
> Verhalten nicht und bügeln nur Gemecker von Perl aus.
> 
> Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
> ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
> nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,

Der initiale Gedanke war "Spoofed Sender" zu minimieren. Bzw spoofing
im Generellen. Wenn der Client ein MX ist, interessiert eigentlich
nur noch das RBL-Listing von wegen UCE.


> die mit der clientIP oder dem Subnet übereinstimmt. (wenn clientIP im
> DNS der FROM Domain auftaucht wird der HELO nicht mehr betrachtet). Der
> Patch bildet dieses Verhalten nach indem er eine andere Variable
> abfragt, persönlich würde ich das nicht so durchgehen lassen.
> 
> Kurios ist das z.B. bei dieser Kombination von Parametern (in echt so
> gesehen):
> 
> helo_name=.
> sender=english at ublove.com
> client_address=119.205.209.108
> 
> 
> Orginal: policyd-weight
> NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
> DSBL_ORG=SKIP(0) HELO_IP_IN_CL_SUBNET=-1.2 (check from: .ublove. - helo:
> ... - helo-domain: ..)  FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1;
> <client=119.205.209.108> <helo=.> <from=english at ublove.com> <to=>; rate:
> -4.7
> 
> wenn man die client_address wirklich durch die MX-IP der FROM Domain
> ersetzt (119.205.209.104) , sieht das Bild sogar noch rosiger aus:
> 
> NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
> CL_IP_EQ_FROM_MX=-3.1 <helo_ips:  . 119.205.209.104>;
> <instance=119.205.209.104english at ublove.com> <client=119.205.209.104>
> <helo=.> <from=english at ublove.com> <to=>; rate: -7.6

Dies ist auch der Wert der aktuellen Version (0.1.15.1).

> Wenn man die HELO-IPs einbezieht fliegt das ganze raus:
> 
> NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
> CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .ublove. -
> helo: ... - helo-domain: ..)  FROM_NOT_FAILED_HELO(DOMAIN)=3 <helo_ips:
> .>; <instance=119.205.209.108english at ublove.com>
> <client=119.205.209.108> <helo=.> <from=english at ublove.com> <to=>; rate: 1.5

Das ergaebe ein richtiges Gejammer. :)
Um diesen Effekt zu haben nimmt man postfix' reject_unknown_helo_hostname.



> (für diesen Effekt die Zeile 2204: last if $is_mx; in der gepatchten
> Version entfernen)
> 
> Lars
> 
> --
> IT- Services
> Forschungszentrum Jülich GmbH
> Tel.: +49 2461 61 9237                  Email: l.heide at fz-juelich.de
> Fax: +49 2461 61 9209                   Internet: www.fz-juelich.de/its
> 
> 
> ------------------------------------------------------------------------------------------------
> ------------------------------------------------------------------------------------------------
> Forschungszentrum Juelich GmbH
> 52425 Juelich
> Sitz der Gesellschaft: Juelich
> Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
> Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
> Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
> Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
> Prof. Dr. Sebastian M. Schmidt
> ------------------------------------------------------------------------------------------------
> ------------------------------------------------------------------------------------------------
> 
> Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de

> --- policyd-weight.orig	2011-03-31 12:21:14.000000000 +0200
> +++ policyd-weight	2011-04-01 14:34:18.000000000 +0200
> @@ -374,7 +374,6 @@
>      'sbl-xbl.spamhaus.org',   4.35,       -1.5,        'SBL_XBL_SPAMHAUS',
>      'bl.spamcop.net',         3.75,       -1.5,        'SPAMCOP',
>      'dnsbl.njabl.org',        4.25,       -1.5,        'BL_NJABL',
> -    'list.dsbl.org',          4.35,          0,        'DSBL_ORG',
>      'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU'
>  );
>  
> @@ -2011,6 +2010,7 @@
>          if($tmpcnt == 1)
>          { 
>              $MATCH_TYPE = 'HELO'; 
> +            $found = 0;  ## reset $found to look for IPs of the HELO Domain
>          } 
>          else 
>          { 
> @@ -2074,9 +2074,12 @@
>                              if($tmpcnt == 0)
>                              {
>                                  $from_addresses .= ' '.$mxvar->address;
> +                                $found = 1;   ### if there is a valid MX entry, thats enough.. don't look for A records..
> +                            }
> +                            else
> +                            {
> +                                $addresses .= ' '.$mxvar->address;
>                              }
> -
> -                            $addresses .= ' '.$mxvar->address;
>  
>                              if ($ip eq $mxvar->address)
>                              {
> @@ -2102,7 +2105,7 @@
>                      (
>                       $from_addresses !~ /\d+/ ||
>                       $from_addresses =~ 
> -                 /( 127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
> +                 /( 0\.|255\.255\.255\.255|127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
>                      )
>                    )
>                  {
> @@ -2113,7 +2116,7 @@
>                  if(!($found))
>                  {
>                      
> -                    my $query = $res->send($testhelo, 'A');
> +                    my $query = $res->send($testhelo);
>                      if(dns_error(\$query, \$res))
>                      {
>                          if($maxdnserr-- <= 1)
> @@ -2127,7 +2130,7 @@
>                      {
>                          if($addr->type eq 'PTR')
>                          {
> -                            if($helo == $ip)
> +                            if($helo eq $ip)
>                              {
>                                  $RET              .= ' CL_IP_EQ_HELO_NUMERIC='.
>                                                       $helo_score[1];
> @@ -2143,7 +2146,10 @@
>                              $from_addresses .= ' '.$addr->address;
>                          }
>  
> -                        $addresses .= ' '.$addr->address;
> +                        else
> +                        {
> +                            $addresses .= ' '.$addr->address;
> +                        }
>                          if ($ip eq $addr->address)
>                          {
>                              $found    = 1;
> @@ -2181,7 +2187,7 @@
>                      (
>                       $from_addresses !~ /\d+/ || 
>                       $from_addresses =~
> -                 /( 127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
> +                 /( 0\.|255\.255\.255\.255|127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
>                      )
>                    )
>                  {
> @@ -2197,7 +2203,7 @@
>              }
>              last if $found;
>          }
> -        last if $found;
> +        last if $is_mx;
>      }
>      if((!($found)) && $recs_found) # helo seems forged
>      {
> @@ -3767,7 +3773,7 @@
>      my $helo = shift;
>      my $ip   = shift;
>  
> -    if($$helo !~ /^\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]$/ ) { return }
> +    if($$helo !~ /^\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]$/ ) { return 0 }
>      my $tmp_helo_ip = $1;
>  
>      my $tmpip = inet_aton( $tmp_helo_ip );

> --- ./vandercruck/policyd-weight-15.orig	2010-10-19 21:20:25.000000000 +0200
> +++ policyd-weight	2011-04-01 15:02:44.000000000 +0200
> @@ -2030,6 +2030,7 @@
>          if($tmpcnt == 1)
>          { 
>              $MATCH_TYPE = 'HELO'; 
> +            $found = 0;  ## reset $found to look for IPs of the HELO Domain
>          } 
>          else 
>          { 
> @@ -2097,9 +2098,12 @@
>                              if($tmpcnt == 0)
>                              {
>                                  $from_addresses .= ' '.$ip_address;
> +                                $found = 1;   ### if there is a valid MX entry, thats enough.. don't look for A records..
> +                            }
> +                            else
> +                            {
> +                                $addresses .= ' '.$ip_address;
>                              }
> -
> -                            $addresses .= ' '.$ip_address;
>  
>                              if ($ip eq $ip_address)
>                              {
> @@ -2128,7 +2132,7 @@
>                      (
>                       $from_addresses !~ /\d+/ ||
>                       $from_addresses =~ 
> -                 /( 127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
> +                 /( 0\.|255\.255\.255\.255|127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
>                      )
>                    )
>                  {
> @@ -2139,9 +2143,7 @@
>                  if(!($found))
>                  {
>                      
> -		    for my $query_type ('A','AAAA') {
> -
> -                    my $query = $res->send($testhelo,$query_type);  
> +                    my $query = $res->send($testhelo);  
>                      if(dns_error(\$query, \$res))
>                      {
>                          if($maxdnserr-- <= 1)
> @@ -2155,7 +2157,7 @@
>                      {
>                          if($addr->type eq 'PTR')
>                          {
> -                            if($helo == $ip)
> +                            if($helo eq $ip)
>                              {
>                                  $RET              .= ' CL_IP_EQ_HELO_NUMERIC='.
>                                                       $helo_score[1];
> @@ -2172,8 +2174,11 @@
>                          {
>                              $from_addresses .= ' '.$ip_address;
>                          }
> +                        else
> +                        {
> +                            $addresses .= ' '.$ip_address;
> +                        }
>  
> -                        $addresses .= ' '.$ip_address;
>                          if ($ip eq $ip_address)
>                          {
>                              $found    = 1;
> @@ -2191,7 +2196,6 @@
>                          }
>  			undef $ip_address;
>                      }
> -		    } #IPv4/IPv6
>                  }
>  
>                  if($bad_mx && (!($bad_mx_scored)))
> @@ -2213,7 +2217,7 @@
>                      (
>                       $from_addresses !~ /\d+/ || 
>                       $from_addresses =~
> -                 /( 127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
> +                 /( 0\.|255\.255\.255\.255|127\.| 192\.168\.| 10\.| 172\.(?:1[6-9]|2\d|3[01])\.)/
>                      )
>                    )
>                  {
> @@ -2229,7 +2233,7 @@
>              }
>              last if $found;
>          }
> -        last if $found;
> +        last if $is_mx;
>      }
>      if((!($found)) && $recs_found) # helo seems forged
>      {
> @@ -3830,7 +3834,7 @@
>      my $helo = shift;
>      my $ip   = shift;
>  
> -    if($$helo !~ /^\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]$/ ) { return }
> +    if($$helo !~ /^\[(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})\]$/ ) { return 0 }
>      my $tmp_helo_ip = $1;
>  
>      my $tmpip = inet_aton( $tmp_helo_ip );

> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


-- 
	Robert Felber, PGP: D1B2F2E5



From postfixbuch-users at makomi.de  Mon Apr  4 09:59:37 2011
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Mon, 4 Apr 2011 09:59:37 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Amavisd-new_und_Spam_beim_Vers?=
 =?iso-8859-1?q?enden_=FCber_SASL?=
In-Reply-To: <54AF49F0-9663-4C34-BAEA-D835E6C5C621@makomi.de>
References: <54AF49F0-9663-4C34-BAEA-D835E6C5C621@makomi.de>
Message-ID: <9B20C12D-2BB0-4ED5-8C28-89ADAB23826E@makomi.de>

Hallo,

On 01.04.2011, at 15:33, Michael Köhler wrote:

> beim Aufsetzen eines neuen Servers (Debian Squeeze, Postfix 2.8.1, Dovecot 2.0.11, amavisd-new 2.6.4, Postfixadmin 2.4svn) auf einem Root-Server habe ich Postfix so konfiguriert, dass die Users sich zum Versenden per SASL authentifizieren. Das klappt auch wunderbar. Nun habe ich aber das Problem, das amavisd-new mir teilweise Mails als Spam rausfiltern und das auch bei Emails, die an Domains gehen, für die der Server verantwortlich ist. Hier mal den Log-Auszug einer Beispielmail:

> [...]

> Wie kann ich amavisd-new dazu bewegen SASL-User als authorisiert anzusehen? Zur Zeit helfe ich mir mit @whitelist_sender_maps. Aber das kann ja nicht die Lösung sein, besonders weil ich hier meine Domains direkt eintragen muss, währenddessen alles andere über Dovecot bzw. die MySQL-DB von postfixadmin läuft.
> 
> Mein Konfiguration von amavisd-new sieht vom Standard abweichend so aus:
> 
> $sa_spam_subject_tag = '***SPAM*** ';
> $sa_tag_level_deflt  = -999.0;
> $sa_dsn_cutoff_level = 10;
> @local_domains_acl = ( "." );
> $final_banned_destiny     = D_PASS;
> $final_spam_destiny       = D_DISCARD;
> @mynetworks = qw( 127.0.0.0/8 );

Ich denke, ich habe es jetzt hinbekommen. Ich musste in der main.cf noch den Parameter smtpd_sasl_authenticated_header = yes hinzufügen und jetzt wird das anscheinend durchgereicht.

Eine prinzipielle Frage in dem Zusammenhang: Muss man den amavisd-new Parameter @local_domains_acl wirklich korrekt mit seinen Domains ausfüllen? Wenn ich es richtig verstanden habe, dann werden nur für die Rezipienten, auf die @local_domains_acl zutrifft, die SpamHeader-Einträge gesetzt. Es sollte aber nicht schaden das bei allen (wie oben in meiner Konfig) zu machen, oder?

Gruß,
Michael

From ffiene at veka.com  Mon Apr  4 16:12:31 2011
From: ffiene at veka.com (Frank Fiene)
Date: Mon, 4 Apr 2011 16:12:31 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
Message-ID: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>

Moin moin!

Was haltet ihr von einer solchen Mail:


### snip ###
Sehr geehrte Damen und Herren, 

da die Speicherkapazität unserer Server im Bereich Lotus Notes regelmäßig an ihre Grenzen stößt, hat der Vorstand nun beschlossen, alle E-Mails mit einem Erstelldatum älter als 3 Jahre automatisch löschen zu lassen. Dies geschieht erstmalig am 01.05.2011 für alle Mails, die vor dem 01.01.2008 erstellt wurden. 

Um wichtige und aufzuhebende Inhalte von E-Mails zu erhalten, können Sie sie z. B. in ein PDF umwandeln (per FreePDF) und sie, wie ggf. auch die Dateianhänge, in Ihren Laufwerken ablegen. 
### snip ###

Davon abgesehen, dass "Mails als PDF speichern" das Plattenplatzproblem nicht lösen würde sondern eher verschärfen!

In diesem Betrieb sind durch betriebliche Übung private Emails erlaubt.
Es existiert keine Mail-Archivierung. Man spricht davon, Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter entscheidet, welche Mails geschäftsrelevant sind und in der DB und damit im Backup bleiben sollen.

Was sagt ihr?

Da das der Vorstand beschlossen hat, sind die Admins doch raus, oder? Wir würden das schriftlich festhalten, dass wir dem nicht zustimmen werden!



*VG* Frank
-- 
Frank Fiene / IT-Services
Internet Services / IT-Security
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 20419C64
PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD  EAB5 BBB4 435F 2041 9C64

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster



From m.scholz at mansfeld.eu  Mon Apr  4 16:22:04 2011
From: m.scholz at mansfeld.eu (Matthias Scholz)
Date: Mon, 04 Apr 2011 16:22:04 +0200
Subject: [Postfixbuch-users] Postfix+Cyrus+LDAP und Shared Folders
Message-ID: <4D99D40C.2000908@mansfeld.eu>

Hallo!

Ich habe seit einigen Jahren einen Mailserver mit Postfix und Cyrus am
laufen. Nun wird es mal Zeit das ganze zu erneuern. Sämtliche Infos über
User, Postfächer etc. liegen im LDAP, welches durch
Gosa(https://oss.gonicus.de/labs/gosa/wiki/WikiStart.de) verwaltet wird.
Mit den normalen Usern geht das auch sehr gut. Der User wird im LDAP
angelegt und sein Postfach automatisch im Cyrus erzeugt. Einliefern
klappt alles. Die User Postfächer heißen "user/foobar"
(unixhierarchysep: yes).
Was ich mich frage, ist woher weiß der Cyrus, dass er eine Mails für
"foobar" in dem Postfach "user/foobar" ablegen muß? Hintergrund sind die
gemeinsamen Postfächer. Die werden momentan als z.B. "share/info" für
'ne info at example.com Adresse angelegt. Wobei ich das "share" beliebig
anpassen oder weglassen könnte. Die Einlieferung klappt jedenfalls nicht
einfach so wie bei den User Postfächern, weil eben versucht wird in
"user/info" einzuliefern und nicht in "share/info" :-(

Bei der alten Install habe ich die gemeinsamen Postfächer per Alias
Eintrag bedient:

info: |"/usr/bin/formail -I \"From \"  | /usr/sbin/cyrdeliver -m info -a
cyrus"

Da hieß das Postfach nur "info". Einen solchen Eintrag kann(möchte) ich
aber nicht mehr in der aliases machen, weil alles nur im LDAP stehen
soll und dort auch keine solchen Einträge mit cyrdeliver möglich sind.
Sondern nur reguläre E-Mail Adressen möglich sind. Auf der anderen Seite
sind solche Konstrukte mit cyrdeliver für einen "normalen" Menschen 
schwer zu verstehen, der nur mal ein gemeinsames Postfach anlegen möchte.
Ich habe auch nicht wirklich Aussagen gefunden, woran der Cyrus nun User
und gemeinsame Postfächer unterscheidet, wo/wie man das konfigurieren
kann. Evtl. kann mir ja jemand auf die Sprünge helfen oder kennt ne gute
Doku, wie man shared folder per LDAP bedient, also die Mail ausliefert.
Oder ist cyrdeliver immer noch State of the art????

Grüße

Matthias

-- 

---------------------------------------------------------
 Stadt Mansfeld

 Lutherstraße 9
 06343 Mansfeld


 Öffnungszeiten:
 Dienstag	9 - 12 Uhr	13 - 18 Uhr
 Donnerstag	9 - 12 Uhr	13 - 15 Uhr
 Freitag	9 - 12 Uhr	


 Telefon:	+49 34782 8710
 Fax: 		+49 34782 87122
 E-Mail:	m.scholz at mansfeld.eu
 WorldWideWeb:	www.mansfeld.eu
---------------------------------------------------------




From matthiasebner at yahoo.de  Mon Apr  4 17:56:20 2011
From: matthiasebner at yahoo.de (Matthias Ebner)
Date: Mon, 4 Apr 2011 17:56:20 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
Message-ID: <000201cbf2e0$d7a71ac0$0601a8c0@emnpc2>

Frank Fiene schrieb am Montag, den 4. April 2011 um 16:13

> Was haltet ihr von einer solchen Mail:

Schön geschrieben ;-)

> Was sagt ihr?

Wir löschen z.B. sämtliche Mails in Spam & Trash nach 30 Tagen.
Und selbst dabei bleibt, trotz Unterrichtung der User, ein etwas schlechtes
Gefühl.
Problem-Kunden gibt es bekanntlich mehr als genug.
An Emails in Posteingang und sonstigen Ordnern würde ich persönlich mich
nicht wagen ;-)

Ansonsten Quota einrichten und wenn die Mailbox voll ist, dann werden eben
keine weiteren Mails zugestellt. Ende.
Bei uns gehen vorher zwei Info-Mails raus und trotzdem gibt es mehr als
genug Email-Messis, die es einfach nicht kapieren.

Bestimmte Sorten von Benutzern muss man eben über etwas härtere Maßnahmen
erziehen ;-)


LG
Matthias


PS: Ich bin schon wieder etwas abgedriftet. Sorry ;-)



From ffiene at veka.com  Mon Apr  4 18:27:45 2011
From: ffiene at veka.com (Frank Fiene)
Date: Mon, 4 Apr 2011 18:27:45 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <000201cbf2e0$d7a71ac0$0601a8c0@emnpc2>
References: <000201cbf2e0$d7a71ac0$0601a8c0@emnpc2>
Message-ID: <8FAB140D-C37A-41EB-A2D3-832E0FF27747@veka.com>



Am 04.04.2011 um 17:56 schrieb "Matthias Ebner" <matthiasebner at yahoo.de>:

> Frank Fiene schrieb am Montag, den 4. April 2011 um 16:13
> 
>> Was haltet ihr von einer solchen Mail:
> 
> Schön geschrieben ;-)
> 
>> Was sagt ihr?
> 
> Wir löschen z.B. sämtliche Mails in Spam & Trash nach 30 Tagen.
> Und selbst dabei bleibt, trotz Unterrichtung der User, ein etwas schlechtes
> Gefühl.
> Problem-Kunden gibt es bekanntlich mehr als genug.
> An Emails in Posteingang und sonstigen Ordnern würde ich persönlich mich
> nicht wagen ;-)

Ich mich auch nicht! Vor allem bei dem Problem mit den privaten Mails!

> Ansonsten Quota einrichten und wenn die Mailbox voll ist, dann werden eben
> keine weiteren Mails zugestellt. Ende.
> Bei uns gehen vorher zwei Info-Mails raus und trotzdem gibt es mehr als
> genug Email-Messis, die es einfach nicht kapieren.

Das ist bei dem Kunden genauso, aber ist die Mail-DB zu klein, verlangt man eine Vergrößerung. Das klappt bisher also warum soll es nicht so weitergehen?

Einige DBs sind mehrere 10GB groß!

Messi ist genau das richtige Wort!

> 
> Bestimmte Sorten von Benutzern muss man eben über etwas härtere Maßnahmen
> erziehen ;-)
> 
> 
> LG
> Matthias
> 
> 
> PS: Ich bin schon wieder etwas abgedriftet. Sorry ;-)
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From hans.moser at ofd-z.niedersachsen.de  Mon Apr  4 18:42:23 2011
From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann)
Date: Mon, 4 Apr 2011 18:42:23 +0200
Subject: [Postfixbuch-users] Postfix+Cyrus+LDAP und Shared Folders
In-Reply-To: <4D99D40C.2000908@mansfeld.eu>
References: <4D99D40C.2000908@mansfeld.eu>
Message-ID: <4D99F4EF.2000806@ofd-z.niedersachsen.de>

Hallo,

Matthias Scholz schrieb am 04.04.2011 16:22 Uhr:

> Ich habe seit einigen Jahren einen Mailserver mit Postfix und Cyrus am
> laufen. Nun wird es mal Zeit das ganze zu erneuern. Sämtliche Infos über
> User, Postfächer etc. liegen im LDAP, welches durch
> Gosa(https://oss.gonicus.de/labs/gosa/wiki/WikiStart.de) verwaltet wird.
> Mit den normalen Usern geht das auch sehr gut. Der User wird im LDAP
> angelegt und sein Postfach automatisch im Cyrus erzeugt. Einliefern
> klappt alles. Die User Postfächer heißen "user/foobar"
> (unixhierarchysep: yes).
> Was ich mich frage, ist woher weiß der Cyrus, dass er eine Mails für
> "foobar" in dem Postfach "user/foobar" ablegen muß?
Weil das die Konvention ist, denke ich.

> Hintergrund sind die
> gemeinsamen Postfächer. Die werden momentan als z.B. "share/info" für
> 'ne info at example.com Adresse angelegt. Wobei ich das "share" beliebig
> anpassen oder weglassen könnte. Die Einlieferung klappt jedenfalls nicht
> einfach so wie bei den User Postfächern, weil eben versucht wird in
> "user/info" einzuliefern und nicht in "share/info" :-(
So aus dem Kopf meine ich, es ist +info at ... wobei der Postuser (oder 
anyone?) das Recht "p" auf den Ordner haben muss.

> Oder ist cyrdeliver immer noch State of the art????
LMTP?

Marc


From postfixbuch at cboltz.de  Mon Apr  4 20:00:03 2011
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Mon, 4 Apr 2011 20:00:03 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
Message-ID: <201104042000.04213@tux.boltz.de.vu>

Hallo Frank, hallo Leute,

Am Montag, 4. April 2011 schrieb Frank Fiene:
> Was haltet ihr von einer solchen Mail:
> 
> 
> ### snip ###
> da die Speicherkapazität unserer Server im Bereich Lotus Notes
> regelmäßig an ihre Grenzen stößt, hat der Vorstand nun beschlossen,
> alle E-Mails mit einem Erstelldatum älter als 3 Jahre automatisch
> löschen zu lassen. Dies geschieht erstmalig am 01.05.2011 für alle
> Mails, die vor dem 01.01.2008 erstellt wurden.
> 
> Um wichtige und aufzuhebende Inhalte von E-Mails zu erhalten, können
> Sie sie z. B. in ein PDF umwandeln (per FreePDF) und sie, wie ggf.
> auch die Dateianhänge, in Ihren Laufwerken ablegen. ### snip ###

Vorweg: IANAL. Alle Infos in dieser Mail ohne Pistole, äh Gewähr.

Für Geschäftsbriefe gilt AFAIK eine Aufbewahrungsfrist von 6 Jahren. 
Darunter fallen auch Mails - möglicherweise nicht alle, aber zumindest 
einige [1]. 
Falls Ihr Rechnungen per Mail verschickt, sind es sogar 10 Jahre.

Der Vorstand setzt sich mit der Löschaktion also deutlich in die 
Nesseln.

Theoretisch gibt es noch die Option, dass alle Mitarbeiter ihre alten 
Mails durchsortieren, um Plattenplatz freizuschaufeln. Ich werde jetzt 
nicht die Kosten der Arbeitszeit mit den Festplatten-Preisen 
vergleichen, Du kannst es dem Vorstand aber durchaus mal vorschlagen: 
"Ähm, Chef, Geshäftsbriefe (auch Mails) müssen 6 Jahre aufbewahrt 
werden. Demzufolge müssen alle Mitarbeiter ihre Mails sortieren und ggf. 
sichern. Wir haben ja in den nächsten 4 Wochen keine dringenden 
Aufträge, oder?" *eg*

Davon abgesehen könnte schon die Umwandlung der Mails zu PDFs die 
geforderte "bildliche Wiedergabe" verhindern (Mailheader etc.) und zu 
Problemen führen.

> Davon abgesehen, dass "Mails als PDF speichern" das
> Plattenplatzproblem nicht lösen würde sondern eher verschärfen!

<BOfH> Aber nicht im Lotus Notes ;-) </BOfH>

("not my bug"-Syndrom, siehe dazu auch die Signatur dieser Mail...)

> In diesem Betrieb sind durch betriebliche Übung private Emails
> erlaubt. 

Darin sehe ich persönlich das kleinere Problem - das Löschen verursacht 
IMHO keine Datenschutzprobleme ;-)

> Es existiert keine Mail-Archivierung. Man spricht davon,
> Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter
> entscheidet, welche Mails geschäftsrelevant sind und in der DB und
> damit im Backup bleiben sollen.

Und jetzt sollen sie nach drei Jahren gelöscht werden? Haben die 
Mitarbeiter falsch entschieden?

> Da das der Vorstand beschlossen hat, sind die Admins doch raus, oder?
> Wir würden das schriftlich festhalten, dass wir dem nicht zustimmen
> werden!

Klingt sehr empfehlenswert. Ich würde das vom Vorstand mit "zur Kenntnis 
genommen" gegenzeichnen lassen und sehr gut aufbewahren. (Wenn Du 
paranoid genug bist, kann eine zusätzliche Kopie im heimischen 
Wohnzimmer nicht schaden...)

Ob das im Fall der Fälle für einen 100%iger Freispruch reicht, weiß ich 
nicht, aber es dürfte zumindest den Schuldanteil des Vorstands 
vergrößern und den der Admins verkleinern ;-)


Gruß

Christian Boltz

[1] Zitat von 
    http://www.hk24.de/recht_und_fair_play/steuerrecht/abgabenordnung/365506/aufbewahrungsfristen.html
    Als Geschäftsbrief (Handelsbrief) gilt jegliche Korrespondenz, die
    der Vorbereitung, der Durchführung oder der Rückgängigmachung eines 
    Geschäftes dient. Korrespondenz, die nicht zum Abschluss eines 
    Geschäfts geführt hat (z.B. nicht erfolgreiche Angebote, Werbeflyer, 
    Prospekte), ist kein Handels-/Geschäftsbrief
-- 
> ...womit die Geschichte wieder von vorn losgeht...
Jaha, aber nun ist das eine vollkommen andere Situation: Jetzt hast Du
nämlich eine von Suse generierte kdmrc für ein von Suse geliefertes KDE,
und KDE ist eine vom Installationssupport abgedeckte Komponente.
Also ist das ein meldefähiger und supportberechtigter Bug! :-)
[> Gerald Martin und Kristian Köhntopp in suse-linux]


From ad+lists at uni-x.org  Mon Apr  4 21:01:36 2011
From: ad+lists at uni-x.org (Alexander Dalloz)
Date: Mon, 04 Apr 2011 21:01:36 +0200
Subject: [Postfixbuch-users] Postfix+Cyrus+LDAP und Shared Folders
In-Reply-To: <4D99F4EF.2000806@ofd-z.niedersachsen.de>
References: <4D99D40C.2000908@mansfeld.eu>
	<4D99F4EF.2000806@ofd-z.niedersachsen.de>
Message-ID: <4D9A1590.7080105@uni-x.org>

Am 04.04.2011 18:42, schrieb Marc Patermann:
> Hallo,
> 
> Matthias Scholz schrieb am 04.04.2011 16:22 Uhr:
> 
>> Ich habe seit einigen Jahren einen Mailserver mit Postfix und Cyrus am
>> laufen. Nun wird es mal Zeit das ganze zu erneuern. Sämtliche Infos über
>> User, Postfächer etc. liegen im LDAP, welches durch
>> Gosa(https://oss.gonicus.de/labs/gosa/wiki/WikiStart.de) verwaltet wird.
>> Mit den normalen Usern geht das auch sehr gut. Der User wird im LDAP
>> angelegt und sein Postfach automatisch im Cyrus erzeugt. Einliefern
>> klappt alles. Die User Postfächer heißen "user/foobar"
>> (unixhierarchysep: yes).
>> Was ich mich frage, ist woher weiß der Cyrus, dass er eine Mails für
>> "foobar" in dem Postfach "user/foobar" ablegen muß?
> Weil das die Konvention ist, denke ich.

Genau, weil cyrus-imapd das Konzept von alternate namespaces kennt. Und
"user." oder "user/" ist (abhängig von unixhierarchysep) der namespace
für private Mailboxen. Man kann aber auch shared Mailboxen erzeugen.
Wobei die Prefixe für beides definierbar sind; siehe man imapd.conf ->
userprefix und sharedprefix.

http://www.cyrusimap.org/docs/cyrus-imapd/2.4.6/altnamespace.php

>> Hintergrund sind die
>> gemeinsamen Postfächer. Die werden momentan als z.B. "share/info" für
>> 'ne info at example.com Adresse angelegt. Wobei ich das "share" beliebig
>> anpassen oder weglassen könnte. Die Einlieferung klappt jedenfalls nicht
>> einfach so wie bei den User Postfächern, weil eben versucht wird in
>> "user/info" einzuliefern und nicht in "share/info" :-(
> So aus dem Kopf meine ich, es ist +info at ... wobei der Postuser (oder
> anyone?) das Recht "p" auf den Ordner haben muss.

Mal einen Blick auf "postuser" in man imapd.conf werfen. Dann sollte es
klar sein.

http://www.cyrusimap.org/docs/cyrus-imapd/2.4.6/faq.php -> "plus addressing"

>> Oder ist cyrdeliver immer noch State of the art????
> LMTP?

Definitiv!

> Marc

Alexander


From ffiene at veka.com  Mon Apr  4 21:26:06 2011
From: ffiene at veka.com (Frank Fiene)
Date: Mon, 4 Apr 2011 21:26:06 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <201104042000.04213@tux.boltz.de.vu>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
	<201104042000.04213@tux.boltz.de.vu>
Message-ID: <3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>

> 
> Hallo Frank, hallo Leute,
> 
> Am Montag, 4. April 2011 schrieb Frank Fiene:
>> Was haltet ihr von einer solchen Mail:
>> 
>> 
>> ### snip ###
>> da die Speicherkapazität unserer Server im Bereich Lotus Notes
>> regelmäßig an ihre Grenzen stößt, hat der Vorstand nun beschlossen,
>> alle E-Mails mit einem Erstelldatum älter als 3 Jahre automatisch
>> löschen zu lassen. Dies geschieht erstmalig am 01.05.2011 für alle
>> Mails, die vor dem 01.01.2008 erstellt wurden.
>> 
>> Um wichtige und aufzuhebende Inhalte von E-Mails zu erhalten, können
>> Sie sie z. B. in ein PDF umwandeln (per FreePDF) und sie, wie ggf.
>> auch die Dateianhänge, in Ihren Laufwerken ablegen. ### snip ###
> 
> Vorweg: IANAL. Alle Infos in dieser Mail ohne Pistole, äh Gewähr.
> 
> Für Geschäftsbriefe gilt AFAIK eine Aufbewahrungsfrist von 6 Jahren. 
> Darunter fallen auch Mails - möglicherweise nicht alle, aber zumindest 
> einige [1]. 

Ich bin jetzt mal von 5 Jahren ausgegangen!


> Falls Ihr Rechnungen per Mail verschickt, sind es sogar 10 Jahre.

Die werden eh vom SAP geschickt, da gibt es natürlich eine Archivierung! ;-)

> 
> Der Vorstand setzt sich mit der Löschaktion also deutlich in die 
> Nesseln.
> 
> Theoretisch gibt es noch die Option, dass alle Mitarbeiter ihre alten 
> Mails durchsortieren, um Plattenplatz freizuschaufeln. Ich werde jetzt 
> nicht die Kosten der Arbeitszeit mit den Festplatten-Preisen 
> vergleichen, Du kannst es dem Vorstand aber durchaus mal vorschlagen: 
> "Ähm, Chef, Geshäftsbriefe (auch Mails) müssen 6 Jahre aufbewahrt 
> werden. Demzufolge müssen alle Mitarbeiter ihre Mails sortieren und ggf. 
> sichern. Wir haben ja in den nächsten 4 Wochen keine dringenden 
> Aufträge, oder?" *eg*

Auch blöd, sie sind sogar angehalten, das regelmäßig zu tun!
Aber das heißt ja nix! Macht eh keiner außer den IT-Mitarbeitern!

> 
> Davon abgesehen könnte schon die Umwandlung der Mails zu PDFs die 
> geforderte "bildliche Wiedergabe" verhindern (Mailheader etc.) und zu 
> Problemen führen.
> 
>> Davon abgesehen, dass "Mails als PDF speichern" das
>> Plattenplatzproblem nicht lösen würde sondern eher verschärfen!
> 
> <BOfH> Aber nicht im Lotus Notes ;-) </BOfH>
> 
> ("not my bug"-Syndrom, siehe dazu auch die Signatur dieser Mail...)

Na ja schon, so groß sind die Maildokumente auch in Notes nicht!

> 
>> In diesem Betrieb sind durch betriebliche Übung private Emails
>> erlaubt. 
> 
> Darin sehe ich persönlich das kleinere Problem - das Löschen verursacht 
> IMHO keine Datenschutzprobleme ;-)

Guter Punkt, dass private Mails erlaubt sind heißt ja nicht, dass der Arbeitgeber verpflichtet ist für deren Backup zu sorgen!


> 
>> Es existiert keine Mail-Archivierung. Man spricht davon,
>> Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter
>> entscheidet, welche Mails geschäftsrelevant sind und in der DB und
>> damit im Backup bleiben sollen.
> 
> Und jetzt sollen sie nach drei Jahren gelöscht werden? Haben die 
> Mitarbeiter falsch entschieden?

Ich denke das mit den drei Jahren werden die Steuerprüfer schnell erledigen, ich würde wenn dann nach 5 Jahren löschen, man sollte den Steuerprüfern ja nicht mehr Material geben als nötig! ;-)

> 
>> Da das der Vorstand beschlossen hat, sind die Admins doch raus, oder?
>> Wir würden das schriftlich festhalten, dass wir dem nicht zustimmen
>> werden!
> 
> Klingt sehr empfehlenswert. Ich würde das vom Vorstand mit "zur Kenntnis 
> genommen" gegenzeichnen lassen und sehr gut aufbewahren. (Wenn Du 
> paranoid genug bist, kann eine zusätzliche Kopie im heimischen 
> Wohnzimmer nicht schaden...)
> 
> Ob das im Fall der Fälle für einen 100%iger Freispruch reicht, weiß ich 
> nicht, aber es dürfte zumindest den Schuldanteil des Vorstands 
> vergrößern und den der Admins verkleinern ;-)


From postfixbuch at cboltz.de  Mon Apr  4 22:29:58 2011
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Mon, 4 Apr 2011 22:29:58 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
	<201104042000.04213@tux.boltz.de.vu>
	<3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>
Message-ID: <201104042229.59330@tux.boltz.de.vu>

Hallo Frank, hallo Leute,

Am Montag, 4. April 2011 schrieb Frank Fiene:
> Christian Boltz:
> > Der Vorstand setzt sich mit der Löschaktion also deutlich in die
> > Nesseln.
> > 
> > Theoretisch gibt es noch die Option, dass alle Mitarbeiter ihre
> > alten Mails durchsortieren, um Plattenplatz freizuschaufeln. Ich
> > werde jetzt nicht die Kosten der Arbeitszeit mit den
> > Festplatten-Preisen vergleichen, Du kannst es dem Vorstand aber
> > durchaus mal vorschlagen: "Ähm, Chef, Geshäftsbriefe (auch Mails)
> > müssen 6 Jahre aufbewahrt werden. Demzufolge müssen alle
> > Mitarbeiter ihre Mails sortieren und ggf. sichern. Wir haben ja in
> > den nächsten 4 Wochen keine dringenden Aufträge, oder?" *eg*
> 
> Auch blöd, sie sind sogar angehalten, das regelmäßig zu tun!
> Aber das heißt ja nix! Macht eh keiner außer den IT-Mitarbeitern!

Offenbar sind alle überlastet ;-)

Ihr müsst dringend eine Projektwoche "Mails aufräumen" durchführen. 
Alle anderen Aufgaben können warten... (Falls nicht, braucht Ihr mehr 
Mitarbeiter, damit die anderen in Ruhe Mails sortieren können.)

So, jetzt rechnen wir mal aus, was nur _ein_ Mitarbeiter kostet und 
vergleichen das mit aktuellen Festplatten-Preisen...

Jeder vernünftige Chef sollte dieser Argumentation folgen können ;-)

> Ich denke das mit den drei Jahren werden die Steuerprüfer schnell
> erledigen, ich würde wenn dann nach 5 Jahren löschen, man sollte den
> Steuerprüfern ja nicht mehr Material geben als nötig! ;-)

Die Aufbewahrungsfrist von (AFAIK) 6 Jahren für Geschäftsbriefe ist 
gesetzlich vorgeschrieben - im Zweifelsfall wird der Steuerprüfer also 
das fehlende Jahr zum Nachteil der Firma auslegen.

Ich zitiere nochmal von
http://www.hk24.de/recht_und_fair_play/steuerrecht/abgabenordnung/365506/aufbewahrungsfristen.html

7) Welche Folgen hat ein Verstoß gegen die Aufbewahrungspflichten?
Werden die Aufbewahrungspflichten nicht eingehalten [...], ist die 
Finanzbehörde berechtigt, die Besteuerungsgrundlage zu schätzen. 
Weiterhin kann bei der Verletzung der Buchführungspflichten je nach 
Einzelfall aufgrund der Verwirklichung von Steuerstraftatbeständen oder 
anderen Straftatbeständen eine nicht unerhebliche Freiheitsstrafe 
drohen.

Ich habe das nicht nachgeprüft, aber dieser Absatz sollte Deinen Chef 
zum Nachdenken bringen ;-)


Gruß

Christian Boltz
-- 
> > Entwickelt mein Rechner ein Eigenleben?
> Klar, das machen doch alle Rechner.
Kann er das nicht in _seiner_ Freizeit ausleben?
[> Helga Fischer und Hans-Alexander Leukert in suse-linux]


From dieter.ringen at polizei.niedersachsen.de  Tue Apr  5 07:36:31 2011
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur))
Date: Tue, 5 Apr 2011 07:36:31 +0200
Subject: [Postfixbuch-users] Postfix+Cyrus+LDAP und Shared Folders
In-Reply-To: <LV-MX-00014NfHgIu3q0005bcf5@LV-MX-00014.LV.ads.niedersachsen.de>
References: <LV-MX-00014NfHgIu3q0005bcf5@LV-MX-00014.LV.ads.niedersachsen.de>
Message-ID: <4D9AAA5F.9020609@polizei.niedersachsen.de>



Matthias Scholz schrieb:
> Hallo!
> 
> Ich habe seit einigen Jahren einen Mailserver mit Postfix und Cyrus am
> laufen. Nun wird es mal Zeit das ganze zu erneuern. Sämtliche Infos über
> User, Postfächer etc. liegen im LDAP, welches durch
> Gosa(https://oss.gonicus.de/labs/gosa/wiki/WikiStart.de) verwaltet wird.
> Mit den normalen Usern geht das auch sehr gut. Der User wird im LDAP
> angelegt und sein Postfach automatisch im Cyrus erzeugt. Einliefern
> klappt alles. Die User Postfächer heißen "user/foobar"
> (unixhierarchysep: yes).
> Was ich mich frage, ist woher weiß der Cyrus, dass er eine Mails für
> "foobar" in dem Postfach "user/foobar" ablegen muß? Hintergrund sind die
> gemeinsamen Postfächer. Die werden momentan als z.B. "share/info" für
> 'ne info at example.com Adresse angelegt. Wobei ich das "share" beliebig
> anpassen oder weglassen könnte. Die Einlieferung klappt jedenfalls nicht
> einfach so wie bei den User Postfächern, weil eben versucht wird in
> "user/info" einzuliefern und nicht in "share/info" :-(
> 
> Bei der alten Install habe ich die gemeinsamen Postfächer per Alias
> Eintrag bedient:
> 
> info: |"/usr/bin/formail -I \"From \"  | /usr/sbin/cyrdeliver -m info -a
> cyrus"
> 
> Da hieß das Postfach nur "info". Einen solchen Eintrag kann(möchte) ich
> aber nicht mehr in der aliases machen, weil alles nur im LDAP stehen
> soll und dort auch keine solchen Einträge mit cyrdeliver möglich sind.
> Sondern nur reguläre E-Mail Adressen möglich sind. Auf der anderen Seite
> sind solche Konstrukte mit cyrdeliver für einen "normalen" Menschen 
> schwer zu verstehen, der nur mal ein gemeinsames Postfach anlegen möchte.
> Ich habe auch nicht wirklich Aussagen gefunden, woran der Cyrus nun User
> und gemeinsame Postfächer unterscheidet, wo/wie man das konfigurieren
> kann. Evtl. kann mir ja jemand auf die Sprünge helfen oder kennt ne gute
> Doku, wie man shared folder per LDAP bedient, also die Mail ausliefert.
> Oder ist cyrdeliver immer noch State of the art????
> 
> Grüße
> 
> Matthias
> 
Warum legst du nicht im LDAP für deine gemeinsamen Postfächer auch einen bzw. mehrere Benutzer an 
und regelst alles andere über die Berechtigungen.
Wir haben bestimmt 1000 solcher Postfächer, das klappt reibungslos. Bedingung ist allerdings, dass 
alle Postfächer auf dem gleichen Server liegen. Wenn nicht, muß man sich auf seinem Client einfach 
einen weiteren Account anlegen, dann muß der jeweilige Benutzer allerdings auch das Paßwort wissen.
Wenn du das über Berechtigungen regelst, bleibt auch das Paßwort geheim.
Auch ein "schwarzes Brett" ist so möglich, du mußt eben nur als cyradm hier die Berechtigung an 
anyone lrs setzen.
-- 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion ( ZPD )
Dezernat 42.5.4 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695697653
mailto:dieter.ringen at polizei.niedersachsen.de




From dieter.ringen at polizei.niedersachsen.de  Tue Apr  5 07:44:02 2011
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur))
Date: Tue, 5 Apr 2011 07:44:02 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <LV-MX-00011p3Muugos0003bce2@LV-MX-00011.LV.ads.niedersachsen.de>
References: <LV-MX-00011p3Muugos0003bce2@LV-MX-00011.LV.ads.niedersachsen.de>
Message-ID: <4D9AAC22.30305@polizei.niedersachsen.de>



Frank Fiene schrieb:
> Moin moin!
> 
> Was haltet ihr von einer solchen Mail:
> 
> 
> ### snip ###
> Sehr geehrte Damen und Herren, 
> 
> da die Speicherkapazität unserer Server im Bereich Lotus Notes regelmäßig an ihre Grenzen stößt, hat der Vorstand nun beschlossen, alle E-Mails mit einem Erstelldatum älter als 3 Jahre automatisch löschen zu lassen. Dies geschieht erstmalig am 01.05.2011 für alle Mails, die vor dem 01.01.2008 erstellt wurden. 
> 
> Um wichtige und aufzuhebende Inhalte von E-Mails zu erhalten, können Sie sie z. B. in ein PDF umwandeln (per FreePDF) und sie, wie ggf. auch die Dateianhänge, in Ihren Laufwerken ablegen. 
> ### snip ###
> 
> Davon abgesehen, dass "Mails als PDF speichern" das Plattenplatzproblem nicht lösen würde sondern eher verschärfen!
> 
> In diesem Betrieb sind durch betriebliche Übung private Emails erlaubt.
> Es existiert keine Mail-Archivierung. Man spricht davon, Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter entscheidet, welche Mails geschäftsrelevant sind und in der DB und damit im Backup bleiben sollen.
> 
> Was sagt ihr?
> 
> Da das der Vorstand beschlossen hat, sind die Admins doch raus, oder? Wir würden das schriftlich festhalten, dass wir dem nicht zustimmen werden!
> 
Wenn der Vorstand beschließt, du sollst die Sekretärin aus dem Fenster werfen, machst du das dann 
auch? Du bist doch dann auch raus, hat doch der Vorstand beschlossen.
Rein rechtlich machst du das, der Vorstand ist wegen Anstiftung zu der Tat auch mit dran, wenn man 
denn im Vorstand eine Person direkt dafür verantwortlich machen kann.
Entscheidend ist, DU löscht Emails, die dir nicht gehören und über die auch der Vorstand nicht 
bestimmen kann.


> 
> 
> *VG* Frank

-- 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion ( ZPD )
Dezernat 42.5.4 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695697653
mailto:dieter.ringen at polizei.niedersachsen.de




From ffiene at veka.com  Tue Apr  5 08:21:14 2011
From: ffiene at veka.com (Frank Fiene)
Date: Tue, 5 Apr 2011 08:21:14 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <4D9AAC22.30305@polizei.niedersachsen.de>
References: <LV-MX-00011p3Muugos0003bce2@LV-MX-00011.LV.ads.niedersachsen.de>
	<4D9AAC22.30305@polizei.niedersachsen.de>
Message-ID: <65C17AFE-E537-4A70-8B2B-87581E53F3C1@veka.com>


Am 05.04.2011 um 07:44 schrieb Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur):

> 
> 
> Frank Fiene schrieb:
>> Moin moin!
>> Was haltet ihr von einer solchen Mail:
>> ### snip ###
>> Sehr geehrte Damen und Herren, da die Speicherkapazität unserer Server im Bereich Lotus Notes regelmäßig an ihre Grenzen stößt, hat der Vorstand nun beschlossen, alle E-Mails mit einem Erstelldatum älter als 3 Jahre automatisch löschen zu lassen. Dies geschieht erstmalig am 01.05.2011 für alle Mails, die vor dem 01.01.2008 erstellt wurden. Um wichtige und aufzuhebende Inhalte von E-Mails zu erhalten, können Sie sie z. B. in ein PDF umwandeln (per FreePDF) und sie, wie ggf. auch die Dateianhänge, in Ihren Laufwerken ablegen. ### snip ###
>> Davon abgesehen, dass "Mails als PDF speichern" das Plattenplatzproblem nicht lösen würde sondern eher verschärfen!
>> In diesem Betrieb sind durch betriebliche Übung private Emails erlaubt.
>> Es existiert keine Mail-Archivierung. Man spricht davon, Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter entscheidet, welche Mails geschäftsrelevant sind und in der DB und damit im Backup bleiben sollen.
>> Was sagt ihr?
>> Da das der Vorstand beschlossen hat, sind die Admins doch raus, oder? Wir würden das schriftlich festhalten, dass wir dem nicht zustimmen werden!
> Wenn der Vorstand beschließt, du sollst die Sekretärin aus dem Fenster werfen, machst du das dann auch? Du bist doch dann auch raus, hat doch der Vorstand beschlossen.
> Rein rechtlich machst du das, der Vorstand ist wegen Anstiftung zu der Tat auch mit dran, wenn man denn im Vorstand eine Person direkt dafür verantwortlich machen kann.
> Entscheidend ist, DU löscht Emails, die dir nicht gehören und über die auch der Vorstand nicht bestimmen kann.


Na ja, der Vergleich mit einem Mord ist schon etwas hart, oder? ;-)

Nehmen wir mal an, wir würden alle Mails löschen die älter sind als 6 Jahre, dann hätten wir doch dem Gesetz genüge getan.

Die geduldete private Nutzung schließt ja nicht die Verpflichtung ein, dass diese Mails auch gesichert werden müssen, also würde ich das Thema "private Emails" hier nicht mehr betrachten wollen.

Viele Grüße!
Frank


From dieter.ringen at polizei.niedersachsen.de  Tue Apr  5 08:39:07 2011
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur))
Date: Tue, 5 Apr 2011 08:39:07 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <LV-MX-00012aRYBNS010002ac8f@LV-MX-00012.LV.ads.niedersachsen.de>
References: <LV-MX-00011p3Muugos0003bce2@LV-MX-00011.LV.ads.niedersachsen.de>	<4D9AAC22.30305@polizei.niedersachsen.de>
	<LV-MX-00012aRYBNS010002ac8f@LV-MX-00012.LV.ads.niedersachsen.de>
Message-ID: <4D9AB90B.5080608@polizei.niedersachsen.de>



Frank Fiene schrieb:
> Am 05.04.2011 um 07:44 schrieb Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur):
> 
>>
>> Frank Fiene schrieb:
>>> Moin moin!
>>> Was haltet ihr von einer solchen Mail:
>>> ### snip ###
>>> Sehr geehrte Damen und Herren, da die Speicherkapazität unserer Server im Bereich Lotus Notes regelmäßig an ihre Grenzen stößt, hat der Vorstand nun beschlossen, alle E-Mails mit einem Erstelldatum älter als 3 Jahre automatisch löschen zu lassen. Dies geschieht erstmalig am 01.05.2011 für alle Mails, die vor dem 01.01.2008 erstellt wurden. Um wichtige und aufzuhebende Inhalte von E-Mails zu erhalten, können Sie sie z. B. in ein PDF umwandeln (per FreePDF) und sie, wie ggf. auch die Dateianhänge, in Ihren Laufwerken ablegen. ### snip ###
>>> Davon abgesehen, dass "Mails als PDF speichern" das Plattenplatzproblem nicht lösen würde sondern eher verschärfen!
>>> In diesem Betrieb sind durch betriebliche Übung private Emails erlaubt.
>>> Es existiert keine Mail-Archivierung. Man spricht davon, Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter entscheidet, welche Mails geschäftsrelevant sind und in der DB und damit im Backup bleiben sollen.
>>> Was sagt ihr?
>>> Da das der Vorstand beschlossen hat, sind die Admins doch raus, oder? Wir würden das schriftlich festhalten, dass wir dem nicht zustimmen werden!
>> Wenn der Vorstand beschließt, du sollst die Sekretärin aus dem Fenster werfen, machst du das dann auch? Du bist doch dann auch raus, hat doch der Vorstand beschlossen.
>> Rein rechtlich machst du das, der Vorstand ist wegen Anstiftung zu der Tat auch mit dran, wenn man denn im Vorstand eine Person direkt dafür verantwortlich machen kann.
>> Entscheidend ist, DU löscht Emails, die dir nicht gehören und über die auch der Vorstand nicht bestimmen kann.
> 
> 
> Na ja, der Vergleich mit einem Mord ist schon etwas hart, oder? ;-)

Ich habe nichts von einem Stockwerk gesagt.

> 
> Nehmen wir mal an, wir würden alle Mails löschen die älter sind als 6 Jahre, dann hätten wir doch dem Gesetz genüge getan.

Das hat doch mit dem Alter der Emails nichts zu tun. Auch wenn du die private Nutzung nicht mehr 
betrachten willst, du mußt es. Du hast ein Mischsystem und somit ist Eigentümer der Emails eben 
nicht die Firma. Sobald die private Nutzung verboten ist, kann auch euer Vorstand beschließen, 
Emails die für den Geschäftsbetrieb nicht mehr benötigt werden, zu löschen. Und dann hast auch du 
freie Hand bei dieser Tätigkeit, ohne dich wegen des Verstoßes gegen das TKG strafbar zu machen.
> 
> Die geduldete private Nutzung schließt ja nicht die Verpflichtung ein, dass diese Mails auch gesichert werden müssen, also würde ich das Thema "private Emails" hier nicht mehr betrachten wollen.
> 
> Viele Grüße!
> Frank

-- 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion ( ZPD )
Dezernat 42.5.4 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695697653
mailto:dieter.ringen at polizei.niedersachsen.de




From p.heinlein at heinlein-support.de  Tue Apr  5 08:46:37 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 5 Apr 2011 08:46:37 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
	<201104042000.04213@tux.boltz.de.vu>
	<3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>
Message-ID: <201104050846.37296.p.heinlein@heinlein-support.de>

Am Montag, 4. April 2011, 21:26:06 schrieb Frank Fiene:


Moin,

> > Für Geschäftsbriefe gilt AFAIK eine Aufbewahrungsfrist von 6
> > Jahren. Darunter fallen auch Mails - möglicherweise nicht alle,
> > aber zumindest einige [1].

Alle E-Mails, die Handelsbriefe sind, sind zu archivieren. 

> Ich bin jetzt mal von 5 Jahren ausgegangen!

Ihr irrt beide :-)

Es sind rechtlich SECHS Jahre. Aber: Die frist beginnt am 31.12. des 
Jahres zu laufen. Eine Mail vom 2. Januar ist in der Praxis also SIEBEN 
Jahre Minus zwei Tage aufzuheben.

> > Falls Ihr Rechnungen per Mail verschickt, sind es sogar 10 Jahre.

Auch wenn man keine Rechnungen verschickt, sind es 10 (in der Praxis 
also: 11!) Jahre.

Solange sind steuerlich relevante (!) Handelsbriefe aufzuheben. Das sind 
nicht nur die Rechnungen an sich, das geht auch darüber hinaus.

Siehe:

http://www.heinlein-support.de/vortrag/die-pflicht-zur-
revisionssicheren-e-mailarchivierung

> Die werden eh vom SAP geschickt, da gibt es natürlich eine
> Archivierung! ;-)

Reicht nicht aus.

> >> In diesem Betrieb sind durch betriebliche Übung private Emails
> >> erlaubt.
> > 
> > Darin sehe ich persönlich das kleinere Problem - das Löschen
> > verursacht IMHO keine Datenschutzprobleme ;-)
> 
> Guter Punkt, dass private Mails erlaubt sind heißt ja nicht, dass der
> Arbeitgeber verpflichtet ist für deren Backup zu sorgen!

hier ist ja nicht von Backup die Rede, sondern vom Löschen anvertrauter 
Nachrichten im Sinne des §206 StGB.

http://www.heinlein-support.de/vortrag/probleme-privater-e-mail-nutzung-
am-arbeitsplatz

> >> Es existiert keine Mail-Archivierung. Man spricht davon,
> >> Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter
> >> entscheidet, welche Mails geschäftsrelevant sind und in der DB und
> >> damit im Backup bleiben sollen.

Deine Unternehmsführung spielt russisch Roulette. Sie verstößt gegen 
grundlegende Buchführungspflichten, was nicht nur enorme Risiken für das 
Unternehmen bedeuten kann, sondern ggf. auch sogar zu einer persönlichen 
Haftung des Geschäftsführers führen kann...


> Ich denke das mit den drei Jahren werden die Steuerprüfer schnell
> erledigen, ich würde wenn dann nach 5 Jahren löschen, man sollte den
> Steuerprüfern ja nicht mehr Material geben als nötig! ;-)

SIEBEN, bzw. ELF.

Darab gibt es nichts zu diskutieren.

> >> Da das der Vorstand beschlossen hat, sind die Admins doch raus,
> >> oder? Wir würden das schriftlich festhalten, dass wir dem nicht
> >> zustimmen werden!

Das interessiert beim §206 StGB nicht.

Ich würde NICHT löschen.

Wie man das genauer macht schaffe ich geade nicht zu erklären, bin 
soeben in Lübeck angekommen. Heute Abend mehr. :-)

Peer

-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

Besuchen Sie uns auf der CeBIT 2011 in Halle 2 und 11.
Weitere Informationen und Freitickets unter
http://heinlein-support.de/cebit

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From ffiene at veka.com  Tue Apr  5 08:57:42 2011
From: ffiene at veka.com (Frank Fiene)
Date: Tue, 5 Apr 2011 08:57:42 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <201104050846.37296.p.heinlein@heinlein-support.de>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
	<201104042000.04213@tux.boltz.de.vu>
	<3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>
	<201104050846.37296.p.heinlein@heinlein-support.de>
Message-ID: <2088C5FC-45F2-4DFF-BD5B-F112554AF3A0@veka.com>


Am 05.04.2011 um 08:46 schrieb Peer Heinlein:

> Am Montag, 4. April 2011, 21:26:06 schrieb Frank Fiene:
> 
> 
> Moin,
> 
>>> Für Geschäftsbriefe gilt AFAIK eine Aufbewahrungsfrist von 6
>>> Jahren. Darunter fallen auch Mails - möglicherweise nicht alle,
>>> aber zumindest einige [1].
> 
> Alle E-Mails, die Handelsbriefe sind, sind zu archivieren. 
> 
>> Ich bin jetzt mal von 5 Jahren ausgegangen!
> 
> Ihr irrt beide :-)
> 
> Es sind rechtlich SECHS Jahre. Aber: Die frist beginnt am 31.12. des 
> Jahres zu laufen. Eine Mail vom 2. Januar ist in der Praxis also SIEBEN 
> Jahre Minus zwei Tage aufzuheben.
> 
>>> Falls Ihr Rechnungen per Mail verschickt, sind es sogar 10 Jahre.
> 
> Auch wenn man keine Rechnungen verschickt, sind es 10 (in der Praxis 
> also: 11!) Jahre.
> 
> Solange sind steuerlich relevante (!) Handelsbriefe aufzuheben. Das sind 
> nicht nur die Rechnungen an sich, das geht auch darüber hinaus.
> 
> Siehe:
> 
> http://www.heinlein-support.de/vortrag/die-pflicht-zur-
> revisionssicheren-e-mailarchivierung

Gut, das habe ich verstanden! Wenn ich also am 01.01.2012 lösche, darf ich alles vor 2005 löschen!?

> 
>> Die werden eh vom SAP geschickt, da gibt es natürlich eine
>> Archivierung! ;-)
> 
> Reicht nicht aus.

Das musst du erläutern, das SAP-System erzeugt eine Mail und die wird revisionssicher in einem SAP-Archiv aufbewahrt und dann an das nächste Mailgateway verschickt.

Soll ich jetzt ein Mailarchivierung auf jedem Hop auf dem Weg zum Kunden machen müssen, das ist schwer möglich!


> 
>>>> In diesem Betrieb sind durch betriebliche Übung private Emails
>>>> erlaubt.
>>> 
>>> Darin sehe ich persönlich das kleinere Problem - das Löschen
>>> verursacht IMHO keine Datenschutzprobleme ;-)
>> 
>> Guter Punkt, dass private Mails erlaubt sind heißt ja nicht, dass der
>> Arbeitgeber verpflichtet ist für deren Backup zu sorgen!
> 
> hier ist ja nicht von Backup die Rede, sondern vom Löschen anvertrauter 
> Nachrichten im Sinne des §206 StGB.
> 
> http://www.heinlein-support.de/vortrag/probleme-privater-e-mail-nutzung-
> am-arbeitsplatz
> 
>>>> Es existiert keine Mail-Archivierung. Man spricht davon,
>>>> Mails wie Snailmails zu behandelen, d.h. der Mitarbeiter
>>>> entscheidet, welche Mails geschäftsrelevant sind und in der DB und
>>>> damit im Backup bleiben sollen.
> 
> Deine Unternehmsführung spielt russisch Roulette. Sie verstößt gegen 
> grundlegende Buchführungspflichten, was nicht nur enorme Risiken für das 
> Unternehmen bedeuten kann, sondern ggf. auch sogar zu einer persönlichen 
> Haftung des Geschäftsführers führen kann...

Stop, wo ist der Unterschied zu normaler Post?
Es wird ja auch nicht Werbung eingescannt und archiviert!


      Ich denke das mit den drei Jahren werden die Steuerprüfer schnell
>> erledigen, ich würde wenn dann nach 5 Jahren löschen, man sollte den
>> Steuerprüfern ja nicht mehr Material geben als nötig! ;-)
> 
> SIEBEN, bzw. ELF.

Jaha! ;-)


> Darab gibt es nichts zu diskutieren.
> 
>>>> Da das der Vorstand beschlossen hat, sind die Admins doch raus,
>>>> oder? Wir würden das schriftlich festhalten, dass wir dem nicht
>>>> zustimmen werden!
> 
> Das interessiert beim §206 StGB nicht.
> 
> Ich würde NICHT löschen.
> 
> Wie man das genauer macht schaffe ich geade nicht zu erklären, bin 
> soeben in Lübeck angekommen. Heute Abend mehr. :-)



Das wäre super!

Frank


From l.heide at fz-juelich.de  Tue Apr  5 15:29:01 2011
From: l.heide at fz-juelich.de (Lars Heide)
Date: Tue, 5 Apr 2011 15:29:01 +0200
Subject: [Postfixbuch-users] policyd-weight und BOGUS_MX
In-Reply-To: <20110401135823.GA32830@rz.ek-muc.de>
References: <20110331123403.GA23732@rz.ek-muc.de>	<4D95CF82.9020209@fz-juelich.de>
	<20110401135823.GA32830@rz.ek-muc.de>
Message-ID: <4D9B191D.4090205@fz-juelich.de>

Am 01.04.2011 15:58, schrieb Robert Felber:
> On Fri, Apr 01, 2011 at 03:13:38PM +0200, Lars Heide wrote:

 >> 2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
 >> nicht mehr nach A-Records gesucht.

Wie genau ist der Unterscheid zwischen BAD_MX und BOGUS_MX eigentlich
definiert? Mir ist aufgefallen, das BAD_MX garnicht greift wenn der
Client auf keiner der DNSBL Listen ist.

>> 3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
>> HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
>> damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
>> Domain läuft, wenn er läuft.
>
> Hier entsteht das Problem, dass es schon oefters vorgegkommen ist, dass
> die Client IP/24 /16 nicht zum Helo passte, wohl aber zu den MX/A records im
> Sender.

Wenn ich das also richtig verstehe, sollten dann vielleicht die
Variablen und Meldungen anders betitelt werden, da bei
HELO_IP_IN_CL_SUBNET und HELO_IP_IN_CL16_SUBNET nicht bloss die HELO
IPs, sondern auch die FROM IPs geprüft werden. Also eher
HELO/FROM_IP_IN_CL_SUBNET?

Es wird z.B. bei FROM/MX_MATCHES_HELO(DOMAIN) auch überprüft ob die
ClientIP eine IP der FROM Domain ist.

Ich hab auch weiter unten im Code eine Stelle gefunden, an der expliziet
die Abhängigkeit von ClientIP und IPs der FROM-Domain gecheckt wird (
CLIENT/24_NOT_MX/A_FROM_DOMAIN ) für diesen check müsste aber dnsbl_hits
 > 0 stimmen, der Client also auf einer Blacklist stehen.

Nebenbei: es wird überprüft ob DNS Einträge gefunden wurden
($recs_found), derzeit wird $recs_found aber immer einfach gesetzt wenn
eine DNS Antwort zurückgegeben wird, auch wenn dabei 0 'A' records
zurückkommen. Eine leere Antwort ist ja auch eine Antwort, $recs_found
ist also immer wahr solange ein DNS Server erreicht werden kann.

>> Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
>> ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
>> nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,
>
> Der initiale Gedanke war "Spoofed Sender" zu minimieren. Bzw spoofing
> im Generellen. Wenn der Client ein MX ist, interessiert eigentlich
> nur noch das RBL-Listing von wegen UCE.

Hmm, ein kaputter DNS Eintrag wird negativ bewertet, ein kaputtes HELO
wird aber bisher nicht betrachtet wenn ClientIP Element der IP-Adressen
der FROM Domain ist.

Nach meiner persönliche Philosophie würde ich an das HELO gewisse
"qualitative" Ansprüche zu stellen, auch wenn der Client ein SenderMX
ist oder in der FROM-Domain.

>> (für diesen Effekt die Zeile 2204: last if $is_mx; in der gepatchten
>> Version entfernen)

Ich hab nochmal nachgesehen, um einen check der HELO-IPs durchzuführen,
müssen mehr Änderungen durchgeführt werden als nur diese einzelne Zeile
zu löschen, nur falls jemand versucht das nachzuvollziehen.

Lars


--
IT- Services
Forschungszentrum Jülich GmbH
Tel.: +49 2461 61 9237                  Email: l.heide at fz-juelich.de
Fax: +49 2461 61 9209                   Internet: www.fz-juelich.de/its

------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
Forschungszentrum Juelich GmbH
52425 Juelich
Sitz der Gesellschaft: Juelich
Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
Prof. Dr. Sebastian M. Schmidt
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de


From atann at alphasrv.net  Tue Apr  5 15:33:46 2011
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 5 Apr 2011 15:33:46 +0200
Subject: [Postfixbuch-users] =?utf-8?q?SSL-Zertifikat_verl=C3=A4ngern?=
Message-ID: <201104051533.46875@inter.netz>

Servus zusammen,

auf einem meiner Mailserver setze ich SSL/TLS ein. Die Keys habe ich vor
drei Jahren wie im Buch auf S. 596 ff. Beschrieben generiert. Nun ist
die Unterschrift ausgelaufen.

Wie verlängert man am sinnvollsten eine solche Unterschrift? Generiert
man ein neues Paar bestehend aus Private Key und Certificate Request?
Oder signiert man den alten Key einfach erneut?

Was hat es mit dem Default-Wert von drei Jahren auf sich? Ich würde
lieber sowas wie zehn Jahre haben. Sinnvoll? Wie würde man das am besten
bewerkstelligen?


Würde mich freuen, wenn jemand ein paar erläuternde Worte hat. Die
Terminologie ist mir hier noch etwas fremd, zum Beispiel: wieso heißt
der Public Key nicht Public Key, sondern Certificate Request?
Und in welcher Datei steckt welcher Schlüssel, wenn man wie im Buch
beschrieben vorgeht?

Danke&Gruß!

-- 
Andre Tann



From timo.veith at gmail.com  Tue Apr  5 16:43:49 2011
From: timo.veith at gmail.com (Timo Veith)
Date: Tue, 5 Apr 2011 16:43:49 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Migration_Cyrus_-=3E_Exc?=
	=?iso-8859-1?q?hange_mit_imapsync=2C_OWA_Fehlermeldung_=22Dieses_P?=
	=?iso-8859-1?q?ostfach_kann_nicht_ge=F6ffnet_werden=2E_=2E=2E=2E?=
	=?iso-8859-1?q?=22?=
Message-ID: <BANLkTimLzfgLUE1_Y-9Tvj-5R4rwd3UBng@mail.gmail.com>

Hallo Postfixbuch Users,

meine Frage ist offtopic, aber da hier öfter mal auch fremde Fragen gestellt
werden, wage ich das auch mal.

Wir sind grad dabei von Cyrus zu Exchange zu migrieren. Ich versuche mich
dabei mit dem Tool imapsync.

Für Quell- und Zielserver soll ein Konto mit Adminrechten zum Einsatz
kommen.
Bei Cyrus kenne ich mich ausreichend aus, ist also kein Thema, aber bei
Exchange hapert es noch.
In der FAQ von imapsync gibt es hinweise wie es funktionieren kann/sollte
sowie auch in der Mailingliste von imapsync gab es bereits Tipps.
Trotzdem funktioniert es bei mir immer noch nicht. imapsync wirft zweimal
die Meldung

Error login: [ca01.ad.domain.de] with user [migrationsuser at ad.domain.de]
auth [PLAIN]: * BYE Connection closed.

Die Parameter für den Zielserver lauten

imapsync \
   ... \
   --host2 ca01.ad.domain.de \
   --ssl2 \
   \
   --authuser2 'exadmin at ad.domain.de' \
   --password2 'geheim' \
   --user2 ${SYNC_USER}'@ad.domain.de' \
   \
   --exclude '^user\.'

Von der imapsync Mailingliste habe ich die Info, daß ein Login mit OWA als
Exchange Admin User für den Migrationsuser funktionieren sollte.
Leider tut das bei uns auch nicht. Vielleicht liegt ja da der Hund begraben.
Ich gehe auf den URL

https://ca01.ad.domain.de/owa/migrationsuser at ad.domain.de

und gebe dann als User/Pass die Daten vom exadmin ein. Bekomme dann aber die
Fehlermeldung:

"Dieses Postfach kann nicht geöffnet werden. Weitere Informationen erhalten
Sie vom Helpdesk."

Da ich kein Exchange Experte bin, hab ich keinen Plan was das bedeutet. Es
riecht nach zu wenig Rechten, aber ich hab es auch schon als AD Domain Admin
probiert. Gleiche Meldung. :(

Wo da Log Files sind weiß ich auch nicht. Vielleicht kann mir jemand von
euch auf die Spünge helfen?

Danke im Voraus, viele Grüße

Timo
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110405/5e158351/attachment.htm>

From robtone at ek-muc.de  Tue Apr  5 17:17:46 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Tue, 5 Apr 2011 17:17:46 +0200
Subject: [Postfixbuch-users] policyd-weight und BOGUS_MX
In-Reply-To: <4D9B191D.4090205@fz-juelich.de>
References: <20110331123403.GA23732@rz.ek-muc.de>
	<4D95CF82.9020209@fz-juelich.de>
	<20110401135823.GA32830@rz.ek-muc.de>
	<4D9B191D.4090205@fz-juelich.de>
Message-ID: <20110405151745.GA59711@rz.ek-muc.de>

On Tue, Apr 05, 2011 at 03:29:01PM +0200, Lars Heide wrote:
> Am 01.04.2011 15:58, schrieb Robert Felber:
> > On Fri, Apr 01, 2011 at 03:13:38PM +0200, Lars Heide wrote:
> 
>  >> 2. Wenn gültige MX-Einträge für die FROM Domain gefunden werden, wird
>  >> nicht mehr nach A-Records gesucht.
> 
> Wie genau ist der Unterscheid zwischen BAD_MX und BOGUS_MX eigentlich
> definiert? Mir ist aufgefallen, das BAD_MX garnicht greift wenn der
> Client auf keiner der DNSBL Listen ist.

BAD_MX bezieht sich NUR auf Sender.
BOGUS_MX kann sich auch auf HELO beziehen.


> >> 3. In die Variable $addresses fliessen jetzt nur noch IPs aus der
> >> HELO-Domain, nicht mehr welche aus der FROM Domain. Unterschied ist das
> >> damit der check HELO_IP_IN_CL_SUBNET nicht mehr gegen IPs aus der FROM
> >> Domain läuft, wenn er läuft.
> >
> > Hier entsteht das Problem, dass es schon oefters vorgegkommen ist, dass
> > die Client IP/24 /16 nicht zum Helo passte, wohl aber zu den MX/A records im
> > Sender.
> 
> Wenn ich das also richtig verstehe, sollten dann vielleicht die
> Variablen und Meldungen anders betitelt werden, da bei

Richtig. Schlug ich schonmal vor. Bzw, werd ich wohl so machen, wenn ich
mal wieder eine Woche Zeit und Motivation habe, mich reinzuarbeiten.

> HELO_IP_IN_CL_SUBNET und HELO_IP_IN_CL16_SUBNET nicht bloss die HELO
> IPs, sondern auch die FROM IPs geprüft werden. Also eher
> HELO/FROM_IP_IN_CL_SUBNET?
> 
> Es wird z.B. bei FROM/MX_MATCHES_HELO(DOMAIN) auch überprüft ob die
> ClientIP eine IP der FROM Domain ist.
> 
> Ich hab auch weiter unten im Code eine Stelle gefunden, an der expliziet
> die Abhängigkeit von ClientIP und IPs der FROM-Domain gecheckt wird (
> CLIENT/24_NOT_MX/A_FROM_DOMAIN ) für diesen check müsste aber dnsbl_hits
>  > 0 stimmen, der Client also auf einer Blacklist stehen.
> 
> Nebenbei: es wird überprüft ob DNS Einträge gefunden wurden
> ($recs_found), derzeit wird $recs_found aber immer einfach gesetzt wenn
> eine DNS Antwort zurückgegeben wird, auch wenn dabei 0 'A' records
> zurückkommen. Eine leere Antwort ist ja auch eine Antwort, $recs_found
> ist also immer wahr solange ein DNS Server erreicht werden kann.

Richtig.


> >> Eine Frage die sich mir aufwirft bei der Betrachtung von policyd-weight
> >> ist, das wenn die client IP ein MX der FROM Domain ist, wird der HELO
> >> nicht dahingehend überprüft ob die HELO Domain irgendwelche IPs liefert,
> >
> > Der initiale Gedanke war "Spoofed Sender" zu minimieren. Bzw spoofing
> > im Generellen. Wenn der Client ein MX ist, interessiert eigentlich
> > nur noch das RBL-Listing von wegen UCE.
> 
> Hmm, ein kaputter DNS Eintrag wird negativ bewertet, ein kaputtes HELO
> wird aber bisher nicht betrachtet wenn ClientIP Element der IP-Adressen
> der FROM Domain ist.

Ob HELO oder Sender - beides sind Argumente die der Client angibt.
Es geht ja genau eben darum, Sender mit kaputtem HELO nicht
zwangslaeufig auszuklammern. Sonst wuerde, wie gesagt, ein
reject_unknown_helo_hostname reichen.



> Nach meiner persönliche Philosophie würde ich an das HELO gewisse
> "qualitative" Ansprüche zu stellen, auch wenn der Client ein SenderMX
> ist oder in der FROM-Domain.

Das wurde alles nach Real-Live Vorkomnissen angepasst. Dort wo
polw zugegebenermaszen ein False-Positive geworfen hat, weil evtl nicht
gruendlich genug, wurde nachgebesert - mit Inkaufnahme der Akezptanz von
mehr UCE.





-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From postfix at singollo.de  Tue Apr  5 21:01:31 2011
From: postfix at singollo.de (Udo Neist)
Date: Tue, 5 Apr 2011 21:01:31 +0200
Subject: [Postfixbuch-users] Postfix und Mailman: Recipient address
	rejected: User unknown in local recipient table
Message-ID: <201104052101.31948.postfix@singollo.de>

Hallo Liste

Ich habe mal wieder Probleme mit Postfix und Mailman. Postfix meckert 
rum, es könne nicht an Mailman ausliefern, da der User nicht existend 
sei. Mailman ist gestartet, postmap (postmap -q radio-singollo 
hash:/var/lib/mailman/data/aliases) gibt die korrekte Zeile zurück und 
in alias_maps steht der Verweis auf den Hash. $mydestination habe ich 
schon verändert, aber da eine Mail von einer zur anderen Mailadresse mit 
der gleichen Domain funktioniert, dürfte das nicht die Ursache sein.

dig MX singollo.de

; <<>> DiG 9.7.3 <<>> MX singollo.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64475
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION:
;singollo.de.                   IN      MX

;; ANSWER SECTION:
singollo.de.            86400   IN      MX      0 mail.singollo.de.

;; AUTHORITY SECTION:
singollo.de.            86400   IN      NS      ns1.singollo.de.
singollo.de.            86400   IN      NS      ns.singollo.de.

;; ADDITIONAL SECTION:
mail.singollo.de.       86400   IN      A       88.198.37.75
ns.singollo.de.         86400   IN      A       78.46.248.20
ns1.singollo.de.        86400   IN      A       88.198.37.75

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr  5 21:00:23 2011
;; MSG SIZE  rcvd: 133


Maillog:

Apr  5 20:51:10 web postfix/smtpd[18724]: Anonymous TLS connection 
established from manz-590f0baa.pool.mediaWays.net[89.15.11.170]: TLSv1 
with cipher DHE-RSA-AES256-SHA (256/256 bits)
Apr  5 20:51:11 web postfix/smtpd[18724]: NOQUEUE: reject: RCPT from 
manz-590f0baa.pool.mediaWays.net[89.15.11.170]: 550 5.1.1 <radio-
singollo at singollo.de>: Recipient address rejected: User unknown in local 
recipient table; from=<radio at singollo.de> to=<radio-
singollo at singollo.de> proto=ESMTP helo=<caesar.localnet>
Apr  5 20:51:13 web postfix/smtpd[18738]: initializing the server-side 
TLS engine
Apr  5 20:51:16 web postfix/smtpd[18724]: lost connection after RSET 
from manz-590f0baa.pool.mediaWays.net[89.15.11.170]
Apr  5 20:51:16 web postfix/smtpd[18724]: disconnect from 
manz-590f0baa.pool.mediaWays.net[89.15.11.170]
Apr  5 20:51:18 web postfix/smtpd[18738]: connect from 
manz-590f0baa.pool.mediaWays.net[89.15.11.170]
Apr  5 20:51:18 web postfix/smtpd[18738]: setting up TLS connection from 
manz-590f0baa.pool.mediaWays.net[89.15.11.170]
Apr  5 20:51:18 web postfix/smtpd[18738]: 
manz-590f0baa.pool.mediaWays.net[89.15.11.170]: TLS cipher list "aNULL:-
aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Apr  5 20:51:18 web postfix/smtpd[18738]: SSL_accept:before/accept 
initialization
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 read client 
hello B
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write server 
hello A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write 
certificate A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write key 
exchange A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write server 
done A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 flush data
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 read client 
key exchange A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 read finished 
A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write session 
ticket A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write change 
cipher spec A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 write 
finished A
Apr  5 20:51:19 web postfix/smtpd[18738]: SSL_accept:SSLv3 flush data
Apr  5 20:51:19 web postfix/smtpd[18738]: Anonymous TLS connection 
established from manz-590f0baa.pool.mediaWays.net[89.15.11.170]: TLSv1 
with cipher DHE-RSA-AES256-SHA (256/256 bits)
Apr  5 20:51:19 web postfix/smtpd[18738]: 2F55E30228E58: 
client=manz-590f0baa.pool.mediaWays.net[89.15.11.170], 
sasl_method=PLAIN, sasl_username=udo
Apr  5 20:51:19 web postfix/cleanup[18740]: 2F55E30228E58: message-
id=<201104052037.36134.udo at singollo.de>
Apr  5 20:51:19 web postfix/qmgr[18667]: 2F55E30228E58: 
from=<udo at singollo.de>, size=704, nrcpt=1 (queue active)
Apr  5 20:51:19 web postfix/smtpd[18738]: 4D3E630228E6F: 
client=manz-590f0baa.pool.mediaWays.net[89.15.11.170], 
sasl_method=PLAIN, sasl_username=udo
Apr  5 20:51:19 web postfix/lmtp[18742]: 2F55E30228E58: 
to=<weinbauer at singollo.de>, orig_to=<radio at singollo.de>, 
relay=mail.singollo.de[public/lmtp], delay=0.15, 
delays=0.09/0.02/0.03/0.02, dsn=2.1.5, status=sent (250 2.1.5 Ok)
Apr  5 20:51:19 web postfix/qmgr[18667]: 2F55E30228E58: removed
Apr  5 20:51:19 web postfix/cleanup[18740]: 4D3E630228E6F: message-
id=<201104052018.55184.udo at singollo.de>
Apr  5 20:51:19 web postfix/qmgr[18667]: 4D3E630228E6F: 
from=<udo at singollo.de>, size=712, nrcpt=1 (queue active)
Apr  5 20:51:19 web postfix/lmtp[18742]: 4D3E630228E6F: 
to=<udo at singollo.de>, orig_to=<webmaster at singollo.de>, 
relay=mail.singollo.de[public/lmtp], delay=0.13, delays=0.12/0/0/0, 
dsn=2.1.5, status=sent (250 2.1.5 Ok)
Apr  5 20:51:19 web postfix/qmgr[18667]: 4D3E630228E6F: removed

postconf -n:

alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
anvil_rate_time_unit = 120s
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
debug_peer_list = 127.0.0.1
delay_warning_time = 15
disable_dns_lookups = no
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = 88.198.37.75, 127.0.0.1
local_recipient_maps = proxy:ldap:/etc/postfix/ldap/local_recipients.cf
mail_owner = postfix
mailbox_transport = lmtp:unix:public/lmtp
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_exceptions = root
message_size_limit = 26214400
mydestination = $myhostname, $mydomain, localhost.$mydomain, mail.
$mydomain, localhost
mydomain = singollo.de
myhostname = mail.singollo.de
mynetworks = 88.198.37.75/32, 127.0.0.0/8
myorigin = singollo.de
newaliases_path = /usr/bin/newaliases
notify_classes = resource, software, delay
owner_request_special = no
proxy_read_maps = $local_recipient_maps,        $virtual_alias_maps,    
$relay_recipient_maps,  $relay_domains, $canonical_maps,        
$sender_canonical_maps, $recipient_canonical_maps,      $relocated_maps,        
$transport_maps,        $smtpd_sender_login_maps
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
recipient_delimiter = +
relay_domains = $mydestination
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_helo_name = mail.singollo.de
smtp_tls_CAfile = /etc/postfix/certs/ca.pem
smtp_tls_cert_file = /etc/postfix/certs/ssl.crt
smtp_tls_key_file = /etc/postfix/certs/ssl.key
smtp_tls_loglevel = 2
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_timeout = 3600s
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name NO_SPAM_ALLOWED_HERE
smtpd_client_connection_rate_limit = 25
smtpd_client_message_rate_limit = 50
smtpd_data_restrictions = reject_unauth_pipelining,     permit
smtpd_delay_reject = yes
smtpd_hard_error_limit = 1000
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,        
permit_mynetworks,     reject_unlisted_recipient,      
reject_unauth_pipelining,       reject_non_fqdn_hostname,       
reject_unauth_destination,      reject_rbl_client ix.dnsbl.manitu.net,  
reject_rbl_client dnsbl.sorbs.net,     reject_rbl_client 
multi.surbl.org,      reject_rbl_client cbl.abuseat.org,      
check_client_access hash:/etc/postfix/checks/client_checks,     
check_helo_access hash:/etc/postfix/checks/helo_checks, 
check_helo_access pcre:/etc/postfix/checks/helo_checks.pcre,   
check_client_access pcre:/etc/postfix/checks/dynip.pcre,        
check_recipient_access pcre:/etc/postfix/checks/recipient_checks.pcre,  
check_recipient_access hash:/etc/postfix/checks/domain_checks,        
check_policy_service unix:private/policy, check_policy_service 
unix:/var/spool/postfix/postgrey/socket,  check_policy_service 
inet:127.0.0.1:10031,      permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = 
smtpd_sender_login_maps = 
proxy:ldap:/etc/postfix/ldap/mail_from_login.cf
smtpd_sender_restrictions = check_sender_access 
hash:/etc/postfix/checks/domain_checks, permit_mynetworks,      
permit_sasl_authenticated
smtpd_soft_error_limit = 1000
smtpd_tls_CAfile = /etc/postfix/certs/ca.pem
smtpd_tls_cert_file = /etc/postfix/certs/ssl.crt
smtpd_tls_key_file = /etc/postfix/certs/ssl.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = 
btree:/etc/postfix/smtpd_session_cache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
soft_bounce = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
virtual_alias_domains = hash:/etc/postfix/virtual_alias_domains
virtual_alias_maps = proxy:ldap:/etc/postfix/ldap/virtual_aliases.cf

mm_cfg.py:

DEFAULT_URL_PATTERN = 'http://%s/mailman/'
DEFAULT_NNTP_HOST = 'web.singollo.de'
DEFAULT_EMAIL_HOST = 'singollo.de'
DEFAULT_URL_HOST = 'service.singollo.de'
MTA = 'Postfix'
POSTFIX_ALIAS_CMD = '/usr/sbin/postalias'
POSTFIX_MAP_CMD = '/usr/sbin/postmap'
DELIVERY_MODULE = 'SMTPDirect'
SMTPHOST = 'mail.singollo.de'
SMTPPORT = '25'
add_virtualhost(DEFAULT_URL_HOST, DEFAULT_EMAIL_HOST)
IMAGE_LOGOS = '/mailmanicons/'

Grüße
Udo


From pkoch at bgc-jena.mpg.de  Wed Apr  6 14:31:30 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Wed, 06 Apr 2011 14:31:30 +0200
Subject: [Postfixbuch-users] Frage zur Bewertung einer Mail
Message-ID: <4D9C5D22.7030803@bgc-jena.mpg.de>

Hallo,

eine Mail ist bei uns als SPAM abgelehnt worden:
BAYES_50=0.51,
DNS_FROM_OPENWHOIS=1.13,
HTML_EXTRA_CLOSE=2.809,
HTML_MESSAGE=1,
HTML_MIME_NO_HTML_TAG=0.097,
MIME_HTML_ONLY=1.25,
MIME_QP_LONG_LINE=1.396

Sind die Scores (das meiste müsste eigentlich default sein)im
SPAMASSASIN jetzt sehr streng eingestellt, oder unser Cut-Off (6.5)
zu niedrig ?

Es war eine wichtig Mail an einen VIP hier  ...

-- 
Danke & ciao,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 304 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110406/42b73b32/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110406/42b73b32/attachment.p7s>

From driessen at fblan.de  Wed Apr  6 14:58:02 2011
From: driessen at fblan.de (Driessen)
Date: Wed, 6 Apr 2011 14:58:02 +0200
Subject: [Postfixbuch-users] Frage zur Bewertung einer Mail
In-Reply-To: <4D9C5D22.7030803@bgc-jena.mpg.de>
References: <4D9C5D22.7030803@bgc-jena.mpg.de>
Message-ID: <008f01cbf45a$43c02150$0565a8c0@uwe>

On Behalf Of Dr.Peer-Joachim Koch
> eine Mail ist bei uns als SPAM abgelehnt worden:
> BAYES_50=0.51,
> DNS_FROM_OPENWHOIS=1.13,
> HTML_EXTRA_CLOSE=2.809,
> HTML_MESSAGE=1,
> HTML_MIME_NO_HTML_TAG=0.097,
> MIME_HTML_ONLY=1.25,
> MIME_QP_LONG_LINE=1.396
> 
> Sind die Scores (das meiste müsste eigentlich default sein)im
> SPAMASSASIN jetzt sehr streng eingestellt, oder unser Cut-Off (6.5)
> zu niedrig ?

Ich würde eher sagen das so manches sogar strenger bewertet werden könnte.
Wer möchte das Mails auch wirklich durchkommen nimmt pure Text als Format.

Zum Openwhois gibt es scheinbar widersprüchliche Meinungen 

http://www.ureader.de/msg/12013767.aspx
Der scheint nicht mehr im Betrieb zu sein und ich habe diesen Score noch
nicht in meiner Config bzw. den abgelehnten Spammails gesehen 

Evtl. Software Version etwas alt? 

> 
> Es war eine wichtig Mail an einen VIP hier  ...

Pech für den VIP wenn der Absender scheiß html schreibt. Es ist nun mal eine
Maschine die nicht nach dem Gesicht oder Status des Empfängers filtert.

Da hilft dann nur Userspezisches whitelisten...

> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From kai_postfix at fuerstenberg.ws  Wed Apr  6 15:52:10 2011
From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=)
Date: Wed, 06 Apr 2011 15:52:10 +0200
Subject: [Postfixbuch-users] Frage zur Bewertung einer Mail
In-Reply-To: <4D9C5D22.7030803@bgc-jena.mpg.de>
References: <4D9C5D22.7030803@bgc-jena.mpg.de>
Message-ID: <4D9C700A.9070306@fuerstenberg.ws>

Am 06.04.2011 14:31, schrieb Dr.Peer-Joachim Koch:
> eine Mail ist bei uns als SPAM abgelehnt worden:
> BAYES_50=0.51,
> DNS_FROM_OPENWHOIS=1.13,
> HTML_EXTRA_CLOSE=2.809,
> HTML_MESSAGE=1,
> HTML_MIME_NO_HTML_TAG=0.097,
> MIME_HTML_ONLY=1.25,
> MIME_QP_LONG_LINE=1.396
> 
> Sind die Scores (das meiste müsste eigentlich default sein)im
> SPAMASSASIN jetzt sehr streng eingestellt, oder unser Cut-Off (6.5)
> zu niedrig ?

Das Hauptproblem dürfte hier an dem HTML_EXTRA_CLOSE liegen, was der
Mail über 2.8 Punkte eingebracht hat. Ohne dieses wäre sie durchgegangen.

Ein Wiki zu diesem Score gibt es nicht, aber er bedeutet:
"HTML contains far too many close tags"

In Version 3.2 wird dieses noch mit 1.041 1.089 2.502 2.809 Punkten
bewertet, ab Version 3.3 generell nur noch mit 0.001.

> Es war eine wichtig Mail an einen VIP hier  ...

Spamassassin updaten ...

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From postfix-liste-de at srs-sys.de  Wed Apr  6 17:31:48 2011
From: postfix-liste-de at srs-sys.de (Danny Richter)
Date: Wed, 6 Apr 2011 17:31:48 +0200
Subject: [Postfixbuch-users] Frage zu ignore_mx_lookup_error mit Postfix
	2.7.2
Message-ID: <934503EADFA02D4D8E4D2149FC8F38A232C0FA@mainserver2.srs-sys.local>

Hallo zusammen,

ich habe da mal eine Verständnisfrage.

Es geht um ignore_mx_lookup_error.

Kann es sein das dieser Parameter nicht mehr so funktioniert wie gedacht. Standardmäßig steht der ja auf no. 
postconf -n | grep ignore_mx_lookup_error zeigt auch -> ignore_mx_lookup_error = no
Somit sollen ja keine A Records aufgelöst werden wenn kein MX existiert.  Jedoch habe ich diese Mail in der Queue

F149FA360F  1689969 Fri Apr  1 19:58:30  xxxxx at xxxxx.de
        (connect to planet-interkom.de[216.8.179.30]:25: Connection timed out)
                                         xxxxxxx at planet-interkom.de

ein dig vom MX zeigt:

; <<>> DiG 9.7.2-P2 <<>> planet-interkom.de MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44997
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;planet-interkom.de.            IN      MX

;; AUTHORITY SECTION:
planet-interkom.de.     3244    IN      SOA     ns1.fastpark.net. HOSTMASTER.fastpark.net. 2010012000 10800 1800 604800 10800

;; Query time: 8 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Apr  6 17:25:32 2011
;; MSG SIZE  rcvd: 99

Ein dig vom A zeigt:

; <<>> DiG 9.7.2-P2 <<>> planet-interkom.de A
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34944
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;planet-interkom.de.            IN      A

;; ANSWER SECTION:
planet-interkom.de.     121     IN      A       216.8.179.30

;; AUTHORITY SECTION:
planet-interkom.de.     11184   IN      NS      ns1.fastpark.net.
planet-interkom.de.     11184   IN      NS      ns2.fastpark.net.

;; ADDITIONAL SECTION:
ns1.fastpark.net.       46      IN      A       216.8.179.50
ns2.fastpark.net.       46      IN      A       216.8.177.29

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Apr  6 17:26:20 2011
;; MSG SIZE  rcvd: 132

Warum steht die Mail auf Connection timed out und nicht auf MX lookup error.

Danke im voraus

Danny



From driessen at fblan.de  Wed Apr  6 23:30:26 2011
From: driessen at fblan.de (Driessen)
Date: Wed, 6 Apr 2011 23:30:26 +0200
Subject: [Postfixbuch-users] Frage zu ignore_mx_lookup_error mit
	Postfix2.7.2
In-Reply-To: <934503EADFA02D4D8E4D2149FC8F38A232C0FA@mainserver2.srs-sys.local>
References: <934503EADFA02D4D8E4D2149FC8F38A232C0FA@mainserver2.srs-sys.local>
Message-ID: <00b501cbf4a1$d8872a80$0565a8c0@uwe>

On Behalf Of Danny Richter
> ; <<>> DiG 9.7.2-P2 <<>> planet-interkom.de A
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34944
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
> 
> ;; QUESTION SECTION:
> ;planet-interkom.de.            IN      A
> 
> ;; ANSWER SECTION:
> planet-interkom.de.     121     IN      A       216.8.179.30
> 
> ;; AUTHORITY SECTION:
> planet-interkom.de.     11184   IN      NS      ns1.fastpark.net.
> planet-interkom.de.     11184   IN      NS      ns2.fastpark.net.
> 
> ;; ADDITIONAL SECTION:
> ns1.fastpark.net.       46      IN      A       216.8.179.50
> ns2.fastpark.net.       46      IN      A       216.8.177.29
> 
> ;; Query time: 0 msec
> ;; SERVER: 127.0.0.1#53(127.0.0.1)
> ;; WHEN: Wed Apr  6 17:26:20 2011
> ;; MSG SIZE  rcvd: 132
> 
> Warum steht die Mail auf Connection timed out und nicht auf MX lookup
> error.

Weil da evtl. kein Mailserver dazu online ist? 
Weil es eine geparkte Domain ist? 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From helga.mayer at uni-hohenheim.de  Thu Apr  7 00:08:12 2011
From: helga.mayer at uni-hohenheim.de (Helga Mayer)
Date: Thu, 07 Apr 2011 00:08:12 +0200
Subject: [Postfixbuch-users] postscreen protocol error
Message-ID: <20110407000812.28881ncofnrzgsp8@webmail.uni-hohenheim.de>

Hallo,

ich habe 2 theoretisch gleiche Rechner,
jedenfalls gleicher Kernel,
gleiches Postfix
postfix-2.8.2-1.pcre.mysql.rhel5, Rebuild von der Simon Mudd SRPM

Beide gleichberechtigt:
uni-hohenheim.de.	86400	IN	MX	10 smtp1.rz.uni-hohenheim.de.
uni-hohenheim.de.	86400	IN	MX	10 smtp2.rz.uni-hohenheim.de.


Die Config Files werden zentral editiert und von cfengine verteilt.
War auch erfolgreich, sdiff auf beide master.cf's und main.cf's
ergab keine Unterschiede ausser den IP Adressen.

Seit dem Update auf postfix-2.8.2 mit postscreen kommt auf Rechner_1:

Apr  6 23:44:36 smtp1 postfix/postscreen[2423]: NOQUEUE: reject: RCPT  
from [41.140.189.16]:20185: 550 5.5.1 Protocol error;  
from=<dmvsb at led-display.be>, to=<$USER1 at uni-hohenheim.de>,  
proto=ESMTP, helo=<localhost>
Apr  6 23:44:41 smtp1 postfix/postscreen[2423]: NOQUEUE: reject: RCPT  
from [200.35.44.94]:2843: 550 5.5.1 Protocol error;  
from=<dywtro at unitool.ca>, to=<$USER2 at uni-hohenheim.de>, proto=ESMTP,  
helo=<localhost>

im Abstand von wenigen Sekunden.

Rechner_2 meckert nicht.

Nicht dass ich die Mails annehmen moechte, soweit am helo ersichtlich
ist's eh' Spam. Aber Protocol error gefaellt mir ueberhaupt nicht.
Ich kann's mir nur nicht erklaeren.

Viele Gruesse
Helga Mayer
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Mail

Schloss-Westhof-Süd | 70599 Stuttgart
Tel.:  +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de




From p.heinlein at heinlein-support.de  Thu Apr  7 08:11:49 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 7 Apr 2011 08:11:49 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <2088C5FC-45F2-4DFF-BD5B-F112554AF3A0@veka.com>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
	<201104050846.37296.p.heinlein@heinlein-support.de>
	<2088C5FC-45F2-4DFF-BD5B-F112554AF3A0@veka.com>
Message-ID: <201104070811.49619.p.heinlein@heinlein-support.de>

Am Dienstag, 5. April 2011, 08:57:42 schrieb Frank Fiene:


> Gut, das habe ich verstanden! Wenn ich also am 01.01.2012 lösche,
> darf ich alles vor 2005 löschen!?

Alle Handelsbriefe, die nicht steuerlich relevant sind.

Wie Du das trennen willst?  Keine Ahnung. Darum gehe ich grundsätzlich 
von 10/11 Jahren aus.

> >> Die werden eh vom SAP geschickt, da gibt es natürlich eine
> >> Archivierung! ;-)
> > 
> > Reicht nicht aus.
> 
> Das musst du erläutern, das SAP-System erzeugt eine Mail und die wird
> revisionssicher in einem SAP-Archiv aufbewahrt und dann an das
> nächste Mailgateway verschickt.

Mißverständnis. Das im SAP kann schon ausreichen, nur sind das nicht die 
einzigen steuerlich relevanten Handelsbriefe, die Du hast. Insofern ist 
das eh nur ein kleiner Teil und damit nicht die Lösung.
 
> Soll ich jetzt ein Mailarchivierung auf jedem Hop auf dem Weg zum
> Kunden machen müssen, das ist schwer möglich!

Nein, nicht auf jedem Hop. Aber eben alle. Und SAP sind nicht alle.
 
> > Deine Unternehmsführung spielt russisch Roulette. Sie verstößt
> > gegen grundlegende Buchführungspflichten, was nicht nur enorme
> > Risiken für das Unternehmen bedeuten kann, sondern ggf. auch sogar
> > zu einer persönlichen Haftung des Geschäftsführers führen kann...
> 
> Stop, wo ist der Unterschied zu normaler Post?
> Es wird ja auch nicht Werbung eingescannt und archiviert!

Niemand will ja, daß Du Spam archivierst. Das sind ja auch keine 
Handelsbriefe :-)

Nur:

*) Angeblich taggen die Leute, um false positives doch noch zu 
empfangen. Halte ich für Unsinn udn gefährlich, aber das ist eine andere 
Diskussion.

*) Also befinden sich in den spam-Mails relevant-wahrscheinlich echte 
Nachrichten

*) Will man ein vollständiges Archiv haben, müßtew man diese F.P. 
ebenfalls archivieren. Wenn man das aber nicht trennen kann...

Aus diesem Grunde rate ich von jedem Anti-Spam-System ab, das nicht 
Mails in Echtzeit rejected. Dann löst sich dieses Problem von alleine.

> >>>> Da das der Vorstand beschlossen hat, sind die Admins doch raus,
> >>>> oder? Wir würden das schriftlich festhalten, dass wir dem nicht
> >>>> zustimmen werden!
> > 
> > Das interessiert beim §206 StGB nicht.
> > 
> > Ich würde NICHT löschen.
> > 
> > Wie man das genauer macht schaffe ich geade nicht zu erklären, bin
> > soeben in Lübeck angekommen. Heute Abend mehr. :-)
> 
> Das wäre super!

Darauf gibt es natürlich keine einfache Antwort.

Grundsätzlich gilt halt: Man macht es nicht. Wenn Dein Chef sagt: "Haue 
den Typen da", dann machst Du das auch nicht, weil das strafrechtlich 
relevante Körperverletzung ist. Also ist das hier nicht anders.

Dafür wird Chef kein Verständnis haben, wenn er beratungsresistent ist.

Einfach nur sagen "ich bin dagegen und mache es jetzt unter Protest" 
bringt auch nichts. Auch wenn ich unter Protest den Typen verhaue, bin 
ich weiterin Körperverletzer.

Hilfsweise macht man es wie jeder vernünftiger Consultant mit höchsten 
Tagessätzen: Man sitzt NEBEN der Tastatur und sagt dem Patienten, äh, 
Kunden, was er eintippen kann. Aber verantwortlich ist am Ende der, der 
es gemacht hat. :-)

(Man könnte auch hier über Beihilfe etc. reden, aber dann hört's auch 
irgendwann mal auf.)

Grundsätzlich würde ich versuchen, das ganze aber mit Sinn und Verstand 
zu lösen. Schließlich ist DAS auch im Sinne des Unternehmens -- und auch 
im höchstpersönlichen Interesse des Chefs. Wir machen viele Workshops 
mit Unternehmen: Da muß man mal Chef, IT-Leiter, 
Datenschutzbeauftragten, ggf. Betriebsrat und Admins an einen Tisch 
bringen, das sauber erklären und im Sinne des Unternehmens nachhaltig 
aufräumen. Ich habe die Erfahrung gemacht, daß es FAST immer 
einvernehmlich gute Lösungen gibt, statt per Konfrontation und Frust zu 
agieren.

Wer seine private Nutzung nicht im Griff hat, der hat an vielen Stellen 
Schmerzen. Nicht nur im Spamschutz, auch bei Datenschutz, Backup und der 
revisionssicheren Archiveirung. Alles Folgeprobleme. Aber fehlende 
Archivierung kann beispielsweise eine höchstpersönliche Haftung eines 
Geschäftsführers auslösen. Und da können die dann schon hellhörig 
werden.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

Besuchen Sie uns auf der CeBIT 2011 in Halle 2 und 11.
Weitere Informationen und Freitickets unter
http://heinlein-support.de/cebit

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfix-liste-de at srs-sys.de  Thu Apr  7 08:38:38 2011
From: postfix-liste-de at srs-sys.de (Danny Richter)
Date: Thu, 7 Apr 2011 08:38:38 +0200
Subject: [Postfixbuch-users] Frage zu ignore_mx_lookup_error
	mitPostfix2.7.2
References: <934503EADFA02D4D8E4D2149FC8F38A232C0FA@mainserver2.srs-sys.local>
	<00b501cbf4a1$d8872a80$0565a8c0@uwe>
Message-ID: <934503EADFA02D4D8E4D2149FC8F38A232C104@mainserver2.srs-sys.local>

> Weil da evtl. kein Mailserver dazu online ist? 
> Weil es eine geparkte Domain ist? 

Mir ist klar das die Domain geparkt ist und kein Mailserver mehr existiert. 
Gerade dann ist aber der ignore_mx_lookup_error =no Parameter da nicht an den A Record zu senden.
Eigentlich hätte Postfix nichtmal den A Record auflösen müssen.

Gruß Danny


From Ralf.Hildebrandt at charite.de  Thu Apr  7 09:34:37 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 7 Apr 2011 09:34:37 +0200
Subject: [Postfixbuch-users] Frage zu ignore_mx_lookup_error mit Postfix
 2.7.2
In-Reply-To: <934503EADFA02D4D8E4D2149FC8F38A232C0FA@mainserver2.srs-sys.local>
References: <934503EADFA02D4D8E4D2149FC8F38A232C0FA@mainserver2.srs-sys.local>
Message-ID: <20110407073437.GY895@charite.de>

* Danny Richter <postfix-liste-de at srs-sys.de>:
> Hallo zusammen,
> 
> ich habe da mal eine Verständnisfrage.
> 
> Es geht um ignore_mx_lookup_error.
> 
> Kann es sein das dieser Parameter nicht mehr so funktioniert wie gedacht. Standardmäßig steht der ja auf no. 
> postconf -n | grep ignore_mx_lookup_error zeigt auch -> ignore_mx_lookup_error = no
> Somit sollen ja keine A Records aufgelöst werden wenn kein MX existiert.

Nö.

Ignore DNS MX lookups that produce no response. By default, the
Postfix SMTP client defers delivery and tries again after some delay.
This behavior is required by the SMTP standard.

Specify "ignore_mx_lookup_error = yes" to force a DNS A record lookup
instead. This violates the SMTP standard and can result in
mis-delivery of mail.

> Jedoch habe ich diese Mail in der Queue
> 
> F149FA360F  1689969 Fri Apr  1 19:58:30  xxxxx at xxxxx.de
>         (connect to planet-interkom.de[216.8.179.30]:25: Connection timed out)
>                                          xxxxxxx at planet-interkom.de
> 
> ein dig vom MX zeigt:

$ host -t mx planet-interkom.de
planet-interkom.de has no MX record

Ergo A record nachgucken:

$ host -t a planet-interkom.de
planet-interkom.de has address 216.8.179.30

Ist doch alles korrekt. Es gab keinen "MX lookup error", es gab ein
"planet-interkom.de has no MX record"

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From pkoch at bgc-jena.mpg.de  Thu Apr  7 09:44:14 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 07 Apr 2011 09:44:14 +0200
Subject: [Postfixbuch-users] Frage zur Bewertung einer Mail
In-Reply-To: <4D9C700A.9070306@fuerstenberg.ws>
References: <4D9C5D22.7030803@bgc-jena.mpg.de>
	<4D9C700A.9070306@fuerstenberg.ws>
Message-ID: <4D9D6B4E.6060709@bgc-jena.mpg.de>

OK, danke für den Hinweis.
Habe wohl  nur bei der 3.2 nachgesehen.

Ciao, Peer
Am 06.04.2011 15:52, schrieb Kai Fürstenberg:
> Am 06.04.2011 14:31, schrieb Dr.Peer-Joachim Koch:
>> eine Mail ist bei uns als SPAM abgelehnt worden:
>> BAYES_50=0.51,
>> DNS_FROM_OPENWHOIS=1.13,
>> HTML_EXTRA_CLOSE=2.809,
>> HTML_MESSAGE=1,
>> HTML_MIME_NO_HTML_TAG=0.097,
>> MIME_HTML_ONLY=1.25,
>> MIME_QP_LONG_LINE=1.396
>>
>> Sind die Scores (das meiste müsste eigentlich default sein)im
>> SPAMASSASIN jetzt sehr streng eingestellt, oder unser Cut-Off (6.5)
>> zu niedrig ?
>
> Das Hauptproblem dürfte hier an dem HTML_EXTRA_CLOSE liegen, was der
> Mail über 2.8 Punkte eingebracht hat. Ohne dieses wäre sie durchgegangen.
>
> Ein Wiki zu diesem Score gibt es nicht, aber er bedeutet:
> "HTML contains far too many close tags"
>
> In Version 3.2 wird dieses noch mit 1.041 1.089 2.502 2.809 Punkten
> bewertet, ab Version 3.3 generell nur noch mit 0.001.
>
>> Es war eine wichtig Mail an einen VIP hier  ...
>
> Spamassassin updaten ...
>


_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/8c43a6f6/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/8c43a6f6/attachment.p7s>

From pkoch at bgc-jena.mpg.de  Thu Apr  7 09:59:54 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 07 Apr 2011 09:59:54 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
Message-ID: <4D9D6EFA.6090704@bgc-jena.mpg.de>

Hi,

auch wenn es nicht direkt etwas mit postfix & Co zu tun hat:

Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
1 x pro jahr sämtliche FI-Schalter im Serverraum testen.

Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
- vorallem da wir große Raidsysteme einsetzen (die sind natürlich 
redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht 
nachvollziehen,was gemeint ist ;).

Wird so etwas bei euch auch gemacht ?
Wie habt ihr das gelöst ?

Würde mich einfach mal interessieren ....

-- 
Danke & ciao,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 304 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/56222de0/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/56222de0/attachment.p7s>

From p at state-of-mind.de  Thu Apr  7 10:06:12 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 07 Apr 2011 10:06:12 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D6EFA.6090704@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
Message-ID: <4D9D7074.10705@state-of-mind.de>

Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
>
> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich
> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht
> nachvollziehen,was gemeint ist ;).
>
> Wird so etwas bei euch auch gemacht ?
> Wie habt ihr das gelöst ?

USV?

p@

-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5372 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/299e8f23/attachment.p7s>

From pkoch at bgc-jena.mpg.de  Thu Apr  7 10:23:00 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 07 Apr 2011 10:23:00 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D7074.10705@state-of-mind.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D7074.10705@state-of-mind.de>
Message-ID: <4D9D7464.2080608@bgc-jena.mpg.de>

Am 07.04.2011 10:06, schrieb Patrick Ben Koetter:
> Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
>> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
>> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
>>
>> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
>> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich
>> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
>> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht
>> nachvollziehen,was gemeint ist ;).
>>
>> Wird so etwas bei euch auch gemacht ?
>> Wie habt ihr das gelöst ?
>
> USV?
>
> p@
>
Wir haben eine große USV (mittlerweile zentral), dann einen 
Sicherungsschrank, der im Serverraum einzelne Stränge absichert.
Wir haben 16 x 2 Stromverteiler (weil wir früher eine kleine
USV mit 60KVAH und ein getrenntes Diesel Netz hatten).
Jeweils mit 40A abgesichert.
Du hast i.d.R. entweder an der USV Sicherungen für die
einzelnen Abgänge, oder eben einen Sicherungskasten.
Im Sicherungskasten wird halt immer ein FI eingebaut. Wenn dann
jemand dauernd drauf rumdrücken will, nützt dir die USV, die den
Strom liefert herzlich wenig ...

-- 
Ciao,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 304 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/8e3313cb/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/8e3313cb/attachment.p7s>

From kai_postfix at fuerstenberg.ws  Thu Apr  7 10:24:15 2011
From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=)
Date: Thu, 07 Apr 2011 10:24:15 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D6EFA.6090704@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
Message-ID: <4D9D74AF.7020004@fuerstenberg.ws>

Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
> Hi,
> 
> auch wenn es nicht direkt etwas mit postfix & Co zu tun hat:
> 
> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
> 
> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich 
> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht 
> nachvollziehen,was gemeint ist ;).
> 
> Wird so etwas bei euch auch gemacht ?
> Wie habt ihr das gelöst ?
> 
> Würde mich einfach mal interessieren ....

Die Firma Hager gibt für seine FI-Schalter sogar ein halbjährliches
Testintervall an.

Eine USV sollte die paar Sekunden für den Test wohl überbrücken können.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From p at state-of-mind.de  Thu Apr  7 10:29:09 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 7 Apr 2011 10:29:09 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D74AF.7020004@fuerstenberg.ws>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D74AF.7020004@fuerstenberg.ws>
Message-ID: <20110407082908.GH2251@state-of-mind.de>

* Kai Fürstenberg <postfixbuch-users at listen.jpberlin.de>:
> Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
> > Hi,
> > 
> > auch wenn es nicht direkt etwas mit postfix & Co zu tun hat:
> > 
> > Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
> > 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
> > 
> > Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
> > - vorallem da wir große Raidsysteme einsetzen (die sind natürlich 
> > redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
> > auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht 
> > nachvollziehen,was gemeint ist ;).
> > 
> > Wird so etwas bei euch auch gemacht ?
> > Wie habt ihr das gelöst ?
> > 
> > Würde mich einfach mal interessieren ....
> 
> Die Firma Hager gibt für seine FI-Schalter sogar ein halbjährliches
> Testintervall an.
> 
> Eine USV sollte die paar Sekunden für den Test wohl überbrücken können.

So sehe ich das auch.

p at rick

-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



From pkoch at bgc-jena.mpg.de  Thu Apr  7 10:31:43 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 07 Apr 2011 10:31:43 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D74AF.7020004@fuerstenberg.ws>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D74AF.7020004@fuerstenberg.ws>
Message-ID: <4D9D766F.5080703@bgc-jena.mpg.de>

Am 07.04.2011 10:24, schrieb Kai Fürstenberg:
> Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
>> Hi,
>>
>> auch wenn es nicht direkt etwas mit postfix&  Co zu tun hat:
>>
>> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
>> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
>>
>> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
>> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich
>> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
>> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht
>> nachvollziehen,was gemeint ist ;).
>>
>> Wird so etwas bei euch auch gemacht ?
>> Wie habt ihr das gelöst ?
>>
>> Würde mich einfach mal interessieren ....
>
> Die Firma Hager gibt für seine FI-Schalter sogar ein halbjährliches
> Testintervall an.
>
> Eine USV sollte die paar Sekunden für den Test wohl überbrücken können.
>
Die USV ist VOR dem FI!

USV [200KVAH]  <--|
                   |---> [Sicherungskasten]-FI-Sicherung-Server (b. Raid)
DIESEL [360KVA]<--|

					   ^^^ hier wird geschaltet!
-- 
Ciao,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/96929f76/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/96929f76/attachment.p7s>

From postfixbuch-users at makomi.de  Thu Apr  7 10:32:51 2011
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Thu, 7 Apr 2011 10:32:51 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D7464.2080608@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D7074.10705@state-of-mind.de>
	<4D9D7464.2080608@bgc-jena.mpg.de>
Message-ID: <1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>

Hallo Peer-Joachim,

On 07.04.2011, at 10:23, Dr.Peer-Joachim Koch wrote:

> Am 07.04.2011 10:06, schrieb Patrick Ben Koetter:
>> Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
>>> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
>>> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
>>> 
>>> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
>>> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich
>>> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
>>> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht
>>> nachvollziehen,was gemeint ist ;).
>>> 
>>> Wird so etwas bei euch auch gemacht ?
>>> Wie habt ihr das gelöst ?
>> 
>> USV?
>> 

> Wir haben eine große USV (mittlerweile zentral), dann einen Sicherungsschrank, der im Serverraum einzelne Stränge absichert.
> Wir haben 16 x 2 Stromverteiler (weil wir früher eine kleine
> USV mit 60KVAH und ein getrenntes Diesel Netz hatten).
> Jeweils mit 40A abgesichert.
> Du hast i.d.R. entweder an der USV Sicherungen für die
> einzelnen Abgänge, oder eben einen Sicherungskasten.
> Im Sicherungskasten wird halt immer ein FI eingebaut. Wenn dann
> jemand dauernd drauf rumdrücken will, nützt dir die USV, die den
> Strom liefert herzlich wenig ...

Ich bin kein Elektriker, aber m.E. sollten alle Geräte (ich geh davon aus, das ihr redundante Netzteile für alle Geräte habt) auf getrennten Phasen (Stromkreisen) hängen und damit kann der FI-Test pro Phase gemacht werden und es steigt dann nur ein Netzteil jeweils aus.

Gruß,
Michael

From pkoch at bgc-jena.mpg.de  Thu Apr  7 11:14:43 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 07 Apr 2011 11:14:43 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>	<4D9D7074.10705@state-of-mind.de>	<4D9D7464.2080608@bgc-jena.mpg.de>
	<1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
Message-ID: <4D9D8083.4000204@bgc-jena.mpg.de>

Hallo,

im Prinzip ist es richtig. Mit zwei Netzteilen kann man den
Ausfall unterbinden. Haben bei uns auch die meisten Systeme.

Hat mal jemand 1, 2 oder § Rechner an einer Steckdosenleiste
eingeschaltet. Geht nicht, da kommt die Sicherung, wenn es
sich um normale Schaltnetzteile handelt.

Was passiert grob vereinfacht): Schaltnetzteile ziehen am Anfang
einen sehr hohen Strom. Das führt dazu das i.d.R. die Sicherung
nur ein paar mal kommt. Es kann aber auch noch zu Rückkopplungen
kommen. Wenn Du im Falle des FI das Ding drückst, sind alle Geräte 
stromlos (auf diesem "Bein"). Kein Problem. Schaltest Du ein, dann
schaltest Du N-Netzteile *gleichzeitig* ein. Es kommt dann zu
Wechselwirkungen der einzelnen Netzteile, wodurch man sich ganz leicht
auch Netzteile zerschiessen kann.

Deswegen ist ein Stromausfall meisten auch nicht so schön. Die Server
fahren in 99.9% der Fälle wieder hoch. Aber in 5-15 Prozent verlierst
Du ein Netzteil, manchmal sogar einen ganzen Rechner. Beim einschalten!
Es sei den Du hast vorher alle ausgeschaltet!

Dafür gibt es auch extra Boxen, die mit 0.5-2 sek Verzögerung jeden Port
einzeln einschalten. Soetwas haben wir aber nicht in allen
Serverschränken.

Das Risiko ist nicht extrem hoch, aber es ist auch nicht zu 
vernachlässigen. Daher fahre ich auch unser Filesystem runter
und schaltet die Geräte (Raid, Server) aus. Der Schaden der
entsteht, wenn ich Teile davon aus dem Backup wieder herstellen muss
steht in keinem Verhältnis zu den Unannehmlichkeiten, wenn mal
1h keine Fileserver da ist.

Bei der letzten Abschaltung sind übrigens 3 Netzteile und 1 Server
hops gegangen (obwohl ein Großteil ausgeschaltet war). Bei über 100 
Geräten nicht viel, aber es kostet auch Geld und nerven ...

Ciao, Peer


Am 07.04.2011 10:32, schrieb Michael Köhler:
> Hallo Peer-Joachim,
>
> On 07.04.2011, at 10:23, Dr.Peer-Joachim Koch wrote:
>
>> Am 07.04.2011 10:06, schrieb Patrick Ben Koetter:
>>> Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
>>>> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
>>>> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
>>>>
>>>> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
>>>> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich
>>>> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
>>>> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht
>>>> nachvollziehen,was gemeint ist ;).
>>>>
>>>> Wird so etwas bei euch auch gemacht ?
>>>> Wie habt ihr das gelöst ?
>>>
>>> USV?
>>>
>
>> Wir haben eine große USV (mittlerweile zentral), dann einen Sicherungsschrank, der im Serverraum einzelne Stränge absichert.
>> Wir haben 16 x 2 Stromverteiler (weil wir früher eine kleine
>> USV mit 60KVAH und ein getrenntes Diesel Netz hatten).
>> Jeweils mit 40A abgesichert.
>> Du hast i.d.R. entweder an der USV Sicherungen für die
>> einzelnen Abgänge, oder eben einen Sicherungskasten.
>> Im Sicherungskasten wird halt immer ein FI eingebaut. Wenn dann
>> jemand dauernd drauf rumdrücken will, nützt dir die USV, die den
>> Strom liefert herzlich wenig ...
>
> Ich bin kein Elektriker, aber m.E. sollten alle Geräte (ich geh davon aus, das ihr redundante Netzteile für alle Geräte habt) auf getrennten Phasen (Stromkreisen) hängen und damit kann der FI-Test pro Phase gemacht werden und es steigt dann nur ein Netzteil jeweils aus.
>
> Gruß,
> Michael


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/1cbaee68/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/1cbaee68/attachment.p7s>

From mathieu.simon at simweb.ch  Thu Apr  7 11:17:45 2011
From: mathieu.simon at simweb.ch (Mathieu Simon)
Date: Thu, 07 Apr 2011 11:17:45 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D766F.5080703@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>	<4D9D74AF.7020004@fuerstenberg.ws>
	<4D9D766F.5080703@bgc-jena.mpg.de>
Message-ID: <4D9D8139.8090804@simweb.ch>

Am 07.04.2011 10:31, schrieb Dr.Peer-Joachim Koch:
> Die USV ist VOR dem FI!
>
> USV [200KVAH] <--|
>                   |---> [Sicherungskasten]-FI-Sicherung-Server (b. Raid)
> DIESEL [360KVA]<--|
>
>                        ^^^ hier wird geschaltet!
Gut dann kann ich deine Bedenken verstehen - auch wenn die USV für ein 
paar Sekunden überbrücken kann.
Aber eben, wenn ihr noch eine zweite Phase für (redundante) Netzteile 
habt, dann würe diese Leitung während
das FI-Tests weiterlaufen - dann halt ohne Ausfallsicherheit, klar. Aber 
so wäre mir auch wieder wohler.

Die Frage ist:
- Wie lange dauer der FI-Test und kann die USV überbrücken
- Funktioniert die USV auch korrekt?

In diesem Sinne - mangels Erfahrung, da wir zu klein sind keine 
Erfahrung mit Dieselgeneratoren haben
nur ein paar Überlegungen:

- Vielleicht wäre es sinnvoll VOR dem FI-Test prüfen, ob die USV noch 
i.O. ist.
- Sinnigerweise müsstest du wissen, wie lange der FI-Test dauert - und 
deine USV Imstande ist zu überbrücken,
ohne dass der Diesel dann Strom liefern kann. Da die Überbrückungszeit 
auch vom alter der USV-Batterien ist,
müsstest du diese Daten irgendwoher bekommen, sei es durch eine 
wirkliche Überprüfung oder den Status der USV

Grüsse
Mathieu


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/1d93ee31/attachment.htm>

From Ralf.Hildebrandt at charite.de  Thu Apr  7 11:19:21 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 7 Apr 2011 11:19:21 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D8083.4000204@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D7074.10705@state-of-mind.de>
	<4D9D7464.2080608@bgc-jena.mpg.de>
	<1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
	<4D9D8083.4000204@bgc-jena.mpg.de>
Message-ID: <20110407091921.GH895@charite.de>

* Dr.Peer-Joachim Koch <pkoch at bgc-jena.mpg.de>:

> Was passiert grob vereinfacht): Schaltnetzteile ziehen am Anfang
> einen sehr hohen Strom. Das führt dazu das i.d.R. die Sicherung
> nur ein paar mal kommt. Es kann aber auch noch zu Rückkopplungen
> kommen. Wenn Du im Falle des FI das Ding drückst, sind alle Geräte
> stromlos (auf diesem "Bein"). Kein Problem. Schaltest Du ein, dann
> schaltest Du N-Netzteile *gleichzeitig* ein. Es kommt dann zu
> Wechselwirkungen der einzelnen Netzteile, wodurch man sich ganz leicht
> auch Netzteile zerschiessen kann.

Ja, stimmt. Unsere Server haben dafür einen Zufallsintervall nach dem
sie angehen.

> Das Risiko ist nicht extrem hoch, aber es ist auch nicht zu
> vernachlässigen. Daher fahre ich auch unser Filesystem runter
> und schaltet die Geräte (Raid, Server) aus. 

Besser ist das.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From l.heide at fz-juelich.de  Thu Apr  7 11:24:41 2011
From: l.heide at fz-juelich.de (Lars Heide)
Date: Thu, 7 Apr 2011 11:24:41 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D766F.5080703@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>	<4D9D74AF.7020004@fuerstenberg.ws>
	<4D9D766F.5080703@bgc-jena.mpg.de>
Message-ID: <4D9D82D9.6080603@fz-juelich.de>


> Die USV ist VOR dem FI!
>
> USV [200KVAH]<--|
>                     |--->  [Sicherungskasten]-FI-Sicherung-Server (b. Raid)
> DIESEL [360KVA]<--|
>
>                                          ^^^ hier wird geschaltet!

Klarer Designfehler? #FAIL

Zum initialen Stromverbrauch von Servern/Raid: Es empfiehlt sich nach
Einstellungen des RAID Controllers zu suchen, welcher die Platten
nacheinander verzögert (manchmal sogar einstellbar: in Gruppen) beim
Systemstart wieder hochfährt, somit bleibt der initiale Stromverbrauch
geringer. Zudem würde ich für nicht essentielle Systeme die
Einstellungen im BIOS so wählen, das sie nicht von selbst wieder
hochfahren nach einem Stromausfall.

 > stromlos (auf diesem "Bein"). Kein Problem. Schaltest Du ein, dann
 > > schaltest Du N-Netzteile *gleichzeitig* ein. Es kommt dann zu
 > > Wechselwirkungen der einzelnen Netzteile, wodurch man sich ganz leicht
 > > auch Netzteile zerschiessen kann.

Noch ein Grund, warum Server direkt an den USVs hängen sollten, die USVs
filtern oft Spikes.


--
IT- Services
Forschungszentrum Jülich GmbH
Tel.: +49 2461 61 9237                  Email: l.heide at fz-juelich.de
Fax: +49 2461 61 9209                   Internet: www.fz-juelich.de/its

------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
Forschungszentrum Juelich GmbH
52425 Juelich
Sitz der Gesellschaft: Juelich
Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
Prof. Dr. Sebastian M. Schmidt
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de


From Hullen at t-online.de  Thu Apr  7 11:27:00 2011
From: Hullen at t-online.de (Helmut Hullen)
Date: 07 Apr 2011 11:27:00 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D8083.4000204@bgc-jena.mpg.de>
Message-ID: <BjOvTPYT1uB@helmut.hullen.de>

Hallo, Dr.Peer-Joachim,

Du meintest am 07.04.11:


> Was passiert grob vereinfacht): Schaltnetzteile ziehen am Anfang
> einen sehr hohen Strom. Das führt dazu das i.d.R. die Sicherung
> nur ein paar mal kommt.

Eigentlich sollten die Elektriker wissen, welche Sicherungen in einem  
solchen Lastfall zu nehmen sind. Früher gehörte das zum Allgemeinwissen  
(der Elektriker), wenn Röhren-Monitore an einem solchen Kreis hingen.

Viele Gruesse!
Helmut


From helga.mayer at uni-hohenheim.de  Thu Apr  7 11:40:24 2011
From: helga.mayer at uni-hohenheim.de (Helga Mayer)
Date: Thu, 07 Apr 2011 11:40:24 +0200
Subject: [Postfixbuch-users] postscreen protocol error
Message-ID: <20110407114024.24301ghnu32umwzs@webmail.uni-hohenheim.de>

Sorry,
vermutlich habe ich das README falsch verstanden:

"Important note: deep protocol tests are disabled by default"
http://www.postfix.org/POSTSCREEN_README.html

Deshalb war ich (mitten in der Nacht, im Halbschlaf) der Meinung,
"Protocol error" als Fehlermeldung waere die Folge einer Fehlkonfiguration
meinerseits.

Es wundert micht trotzdem, dass die Meldung nur auf einem Server kommt.

Helga Mayer
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Mail

Schloss-Westhof-Süd | 70599 Stuttgart
Tel.:  +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de




From postfix at cebe.cc  Thu Apr  7 11:41:12 2011
From: postfix at cebe.cc (Carsten Brandt)
Date: Thu, 07 Apr 2011 11:41:12 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D7074.10705@state-of-mind.de>
	<4D9D7464.2080608@bgc-jena.mpg.de>
	<1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
Message-ID: <877cd0a3-fd25-4a93-b13a-eec00f02e19b@email.android.com>



"Michael Köhler" <postfixbuch-users at makomi.de> schrieb:

>Ich bin kein Elektriker, aber m.E. sollten alle Geräte (ich geh davon
>aus, das ihr redundante Netzteile für alle Geräte habt) auf getrennten
>Phasen (Stromkreisen) hängen und damit kann der FI-Test pro Phase
>gemacht werden und es steigt dann nur ein Netzteil jeweils aus.

Kommt dann aber wieder drauf an, ob der FI alle 3 Phasen schaltet, oder ob es für jede Phase einen separaten gibt.

Mfg
Carsten


From gstepken at googlemail.com  Thu Apr  7 11:45:46 2011
From: gstepken at googlemail.com (Guido Stepken)
Date: Thu, 7 Apr 2011 11:45:46 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <BANLkTimk_w2sNcUJtWNGZLTzGxf37bQ=1Q@mail.gmail.com>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<4D9D74AF.7020004@fuerstenberg.ws>
	<4D9D766F.5080703@bgc-jena.mpg.de> <4D9D8139.8090804@simweb.ch>
	<BANLkTimk_w2sNcUJtWNGZLTzGxf37bQ=1Q@mail.gmail.com>
Message-ID: <BANLkTi=izpbcqVc0iWfOCjgXhb_kfUEJ-A@mail.gmail.com>

Habe gerade einige "Green IT" Anroid Handys als Server für Mail und Web mit
Datenbank im Testeinsatz. 170 MB RAM, 16 GiG yaffs2 FS, 5Wh Akku für 10
Stunden USV Reserve, WLAN Funkanschluss ans Netz. Kosten: 150? neu bei
Saturn mit 2 Jahren Garantie. Sättigen 10-15 MBit... Backup auf NAS. Damit
kann man Großunternehmen bedienen! Kapiere diesen Gigantismus nicht mehr.

Gruß, Guido Stepken

Am 07.04.2011 11:18 schrieb "Mathieu Simon" <mathieu.simon at simweb.ch>:

 Am 07.04.2011 10:31, schrieb Dr.Peer-Joachim Koch:


>
> Die USV ist VOR dem FI!
>
> USV [200KVAH]  <--|
>                   |---> [Sicherungskasten]-...
Gut dann kann ich deine Bedenken verstehen - auch wenn die USV für ein paar
Sekunden überbrücken kann.
Aber eben, wenn ihr noch eine zweite Phase für (redundante) Netzteile habt,
dann würe diese Leitung während
das FI-Tests weiterlaufen - dann halt ohne Ausfallsicherheit, klar. Aber so
wäre mir auch wieder wohler.

Die Frage ist:
- Wie lange dauer der FI-Test und kann die USV überbrücken
- Funktioniert die USV auch korrekt?

In diesem Sinne - mangels Erfahrung, da wir zu klein sind keine Erfahrung
mit Dieselgeneratoren haben
nur ein paar Überlegungen:

- Vielleicht wäre es sinnvoll VOR dem FI-Test prüfen, ob die USV noch i.O.
ist.
- Sinnigerweise müsstest du wissen, wie lange der FI-Test dauert - und deine
USV Imstande ist zu überbrücken,
ohne dass der Diesel dann Strom liefern kann. Da die Überbrückungszeit auch
vom alter der USV-Batterien ist,
müsstest du diese Daten irgendwoher bekommen, sei es durch eine wirkliche
Überprüfung oder den Status der USV

Grüsse
Mathieu



--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/10c16610/attachment.htm>

From pkoch at bgc-jena.mpg.de  Thu Apr  7 11:54:05 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 07 Apr 2011 11:54:05 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D82D9.6080603@fz-juelich.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>	<4D9D74AF.7020004@fuerstenberg.ws>	<4D9D766F.5080703@bgc-jena.mpg.de>
	<4D9D82D9.6080603@fz-juelich.de>
Message-ID: <4D9D89BD.3070109@bgc-jena.mpg.de>

Ähm EMC ist da knallhart. (Haben auch extra Schaltleisten vorgschaltet).
Aber die Empfehlung lautet von EMC: Alle Systeme stop; SPS abschalten,
Platten abschalten. Einzelne Shelfs kann man da nicht ansteuern ... ;)

Haben wir bei den Servern auch gemacht. Leider wurden wir von dem
Aktionnismus der Haustechnik etwas überrascht, so dass wir
auch einige Server (weniger wichtige) mit nur einer Stromversorgung 
haben ...

Das selbe mit dem Netzwerk: Der Coreswitch hat 5 Netzteile,
d.h. wir können mal testen, welche Karten zu erst abgeschaltet werden ;)
Für die Server haben wir Stacks, da im Serverraum alles über die
zentrale USV geht (wird permanent gemonitored, ebenso der Diesel)
haben die Stackgeräte alle nur EIN Netzteil. Wir haben Ersatzgeräte
vor Ort, das nützt einem bei einen solchem Senario herzlich wenig ...

Warten wir mal ab ...

Danke & ciao, Peer


Am 07.04.2011 11:24, schrieb Lars Heide:
>
>> Die USV ist VOR dem FI!
>>
>> USV [200KVAH]<--|
>> |---> [Sicherungskasten]-FI-Sicherung-Server (b. Raid)
>> DIESEL [360KVA]<--|
>>
>> ^^^ hier wird geschaltet!
>
> Klarer Designfehler? #FAIL
>
> Zum initialen Stromverbrauch von Servern/Raid: Es empfiehlt sich nach
> Einstellungen des RAID Controllers zu suchen, welcher die Platten
> nacheinander verzögert (manchmal sogar einstellbar: in Gruppen) beim
> Systemstart wieder hochfährt, somit bleibt der initiale Stromverbrauch
> geringer. Zudem würde ich für nicht essentielle Systeme die
> Einstellungen im BIOS so wählen, das sie nicht von selbst wieder
> hochfahren nach einem Stromausfall.
>
>  > stromlos (auf diesem "Bein"). Kein Problem. Schaltest Du ein, dann
>  > > schaltest Du N-Netzteile *gleichzeitig* ein. Es kommt dann zu
>  > > Wechselwirkungen der einzelnen Netzteile, wodurch man sich ganz leicht
>  > > auch Netzteile zerschiessen kann.
>
> Noch ein Grund, warum Server direkt an den USVs hängen sollten, die USVs
> filtern oft Spikes.
>
>
> --
> IT- Services
> Forschungszentrum Jülich GmbH
> Tel.: +49 2461 61 9237 Email: l.heide at fz-juelich.de
> Fax: +49 2461 61 9209 Internet: www.fz-juelich.de/its
>
> ------------------------------------------------------------------------------------------------
>
> ------------------------------------------------------------------------------------------------
>
> Forschungszentrum Juelich GmbH
> 52425 Juelich
> Sitz der Gesellschaft: Juelich
> Eingetragen im Handelsregister des Amtsgerichts Dueren Nr. HR B 3498
> Vorsitzender des Aufsichtsrats: MinDirig Dr. Karl Eugen Huthmacher
> Geschaeftsfuehrung: Prof. Dr. Achim Bachem (Vorsitzender),
> Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt,
> Prof. Dr. Sebastian M. Schmidt
> ------------------------------------------------------------------------------------------------
>
> ------------------------------------------------------------------------------------------------
>
>
> Besuchen Sie uns auf unserem neuen Webauftritt unter www.fz-juelich.de


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/2516a29c/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5985 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110407/2516a29c/attachment.p7s>

From gregor at a-mazing.de  Thu Apr  7 11:59:19 2011
From: gregor at a-mazing.de (Gregor Hermens)
Date: Thu, 7 Apr 2011 11:59:19 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <877cd0a3-fd25-4a93-b13a-eec00f02e19b@email.android.com>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
	<1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
	<877cd0a3-fd25-4a93-b13a-eec00f02e19b@email.android.com>
Message-ID: <201104071159.19776@office.a-mazing.net>

Moin,

Am Donnerstag, 7. April 2011 schrieb Carsten Brandt:

> Kommt dann aber wieder drauf an, ob der FI alle 3 Phasen schaltet, oder ob
> es für jede Phase einen separaten gibt.

was nutzen redundante Netzteile, wenn sie nicht an vollständig getrennten 
Stromkreisen hängen?

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From cv at veith-info.org  Thu Apr  7 19:02:56 2011
From: cv at veith-info.org (Christian Veith)
Date: Thu, 07 Apr 2011 19:02:56 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D6EFA.6090704@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>
Message-ID: <4D9DEE40.40009@veith-info.org>

Hallo Peer,

einmal pro Jahr ist doch noch verträglich. Nach BGV A3 sind die 
Prüfungen an Fehlerstromschutzschaltern alle 6 Monate vorgeschrieben, 
bei nichtstationärem Gebrauch täglich !

Wichtig für euch ist vorallem, dass ihr wisst wie die Verkabelung in die 
Racks gelöst ist. Hängt ein Rack an den 3 Phasen eines einzelnen FI, 
dann sieht es dunkel aus bei euch :(

gruß

Christian


Am 07.04.2011 09:59, schrieb Dr.Peer-Joachim Koch:
> Hi,
>
> auch wenn es nicht direkt etwas mit postfix & Co zu tun hat:
>
> Unsere Haustechnik will jetzt regelmässig, d.h. *mindestens
> 1 x pro jahr sämtliche FI-Schalter im Serverraum testen.
>
> Mir bereitet das aus allen möglichen Gründen ziemliche Bauchschmerzen
> - vorallem da wir große Raidsysteme einsetzen (die sind natürlich 
> redundant angebunden - aber jeder der mal ein ganzes Rack mit HD's
> auf einen Schlag ein- bzw ausgeschaltet hat, kann vielleicht 
> nachvollziehen,was gemeint ist ;).
>
> Wird so etwas bei euch auch gemacht ?
> Wie habt ihr das gelöst ?
>
> Würde mich einfach mal interessieren ....
>



From postfixbuch at cboltz.de  Thu Apr  7 22:25:14 2011
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Thu, 7 Apr 2011 22:25:14 +0200
Subject: [Postfixbuch-users] Mal wieder was rechtliches! ;-)
In-Reply-To: <201104050846.37296.p.heinlein@heinlein-support.de>
References: <E0627079-DDEA-4C40-A881-8C7142686F01@veka.com>
	<3D83BD39-BBFF-4C27-BFB7-BDE440C094EB@veka.com>
	<201104050846.37296.p.heinlein@heinlein-support.de>
Message-ID: <201104072225.15366@tux.boltz.de.vu>

Hallo Peer, hallo Leute,

Am Dienstag, 5. April 2011 schrieb Peer Heinlein:
> Ihr irrt beide :-)
> 
> Es sind rechtlich SECHS Jahre. Aber: Die frist beginnt am 31.12. des
> Jahres zu laufen. Eine Mail vom 2. Januar ist in der Praxis also
> SIEBEN Jahre Minus zwei Tage aufzuheben.

Stimmt, den Fristbeginn hatte ich nicht einkalkuliert. Das verlängert 
das Ganze natürlich um bis zu 364 Tage ;-) (und jetzt komm mir nicht mit 
einem Tag mehr in Schaltjahren *g*)

Wo wir schon bei den Details sind: gilt hier der Jahreswechsel oder das 
Ende des Geschäftsjahres? (Das Geschäftsjahr kann ja durchaus vom 
Kalenderjahr abweichen - in der Landwirtschaft beginnt es z. B. am 1.7.)


Gruß

Christian Boltz
-- 
> cat /inhalt/der/mail | mail -s "mein subject" [...]
Ist der Useless Use of Cat Award diese Woche schon vergeben? ;-)
[> Andreas Feile und Martin Schmitz in suse-linux]


From lists at puersten.de  Fri Apr  8 10:45:50 2011
From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=)
Date: Fri, 08 Apr 2011 10:45:50 +0200
Subject: [Postfixbuch-users] mail.global.frontbridge.com blocked using
	Blocklist 2
Message-ID: <4D9ECB3E.7040905@puersten.de>

Moin,

einer unser Server wurde gerade von Microsoft geblock und mir ist nicht 
klar weswegen. Leider lassen sich kaum Informationen hierzu finden, 
Microsoft hält sich da ja bedeckt.

<user-xyz at domain.tld>: host
mail.global.frontbridge.com[216.32.181.178] said: 550 5.7.1 Service
unavailable; Client host [x.x.x.x] blocked using Blocklist 2, mail
from IP banned; To request removal from this list please forward this
message to delist at messaging.microsoft.com. (in reply to RCPT TO command)

Kennt einer von Euch die Fehlermeldung und kann mir sagen aufgrund was 
man hier geblockt wird?

-- 
Gruß, Oliver


From andreas.schulze at datev.de  Fri Apr  8 10:59:14 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Fri, 8 Apr 2011 10:59:14 +0200
Subject: [Postfixbuch-users] mail.global.frontbridge.com blocked
	using	Blocklist 2
In-Reply-To: <4D9ECB3E.7040905@puersten.de>
References: <4D9ECB3E.7040905@puersten.de>
Message-ID: <20110408085914.GA20514@spider.services.datevnet.de>

Am 08.04.2011 10:45 schrieb Oliver Pürsten:
> ...kann mir sagen aufgrund was man hier geblockt wird?

<vermutung>
Du hast kein Exchange, hehe ...
</vermutung>

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



From Ralf.Hildebrandt at charite.de  Fri Apr  8 11:07:44 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 8 Apr 2011 11:07:44 +0200
Subject: [Postfixbuch-users] mail.global.frontbridge.com blocked using
 Blocklist 2
In-Reply-To: <4D9ECB3E.7040905@puersten.de>
References: <4D9ECB3E.7040905@puersten.de>
Message-ID: <20110408090744.GD25959@charite.de>

* Oliver Pürsten <lists at puersten.de>:
> Moin,
> 
> einer unser Server wurde gerade von Microsoft geblock und mir ist
> nicht klar weswegen. Leider lassen sich kaum Informationen hierzu
> finden, Microsoft hält sich da ja bedeckt.
> 
> <user-xyz at domain.tld>: host
> mail.global.frontbridge.com[216.32.181.178] said: 550 5.7.1 Service
> unavailable; Client host [x.x.x.x] blocked using Blocklist 2, mail
> from IP banned; To request removal from this list please forward this
> message to delist at messaging.microsoft.com. (in reply to RCPT TO command)
> 
> Kennt einer von Euch die Fehlermeldung und kann mir sagen aufgrund
> was man hier geblockt wird?

Steht doch da: "Client host [x.x.x.x] blocked using Blocklist 2"
und auch was man tun soll.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From lists at puersten.de  Fri Apr  8 17:31:59 2011
From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=)
Date: Fri, 08 Apr 2011 17:31:59 +0200
Subject: [Postfixbuch-users] mail.global.frontbridge.com blocked using
 Blocklist 2
In-Reply-To: <20110408090744.GD25959@charite.de>
References: <4D9ECB3E.7040905@puersten.de> <20110408090744.GD25959@charite.de>
Message-ID: <4D9F2A6F.6090700@puersten.de>

Am 08.04.2011 11:07, schrieb Ralf Hildebrandt:
> * Oliver Pürsten<lists at puersten.de>:
>> Moin,
>>
>> einer unser Server wurde gerade von Microsoft geblock und mir ist
>> nicht klar weswegen. Leider lassen sich kaum Informationen hierzu
>> finden, Microsoft hält sich da ja bedeckt.
>>
>> <user-xyz at domain.tld>: host
>> mail.global.frontbridge.com[216.32.181.178] said: 550 5.7.1 Service
>> unavailable; Client host [x.x.x.x] blocked using Blocklist 2, mail
>> from IP banned; To request removal from this list please forward this
>> message to delist at messaging.microsoft.com. (in reply to RCPT TO command)
>>
>> Kennt einer von Euch die Fehlermeldung und kann mir sagen aufgrund
>> was man hier geblockt wird?
>
> Steht doch da: "Client host [x.x.x.x] blocked using Blocklist 2"
> und auch was man tun soll.
>
Schon klar, mich würde aber halt mal interessieren weswegen die mich 
blocken.

-- 
Gruß, Oliver


From w.flamme at web.de  Sat Apr  9 10:58:01 2011
From: w.flamme at web.de (Werner Flamme)
Date: Sat, 09 Apr 2011 10:58:01 +0200
Subject: [Postfixbuch-users] Noch 'ne dumme Frage ;)
In-Reply-To: <4D9D8083.4000204@bgc-jena.mpg.de>
References: <4D9D6EFA.6090704@bgc-jena.mpg.de>	<4D9D7074.10705@state-of-mind.de>	<4D9D7464.2080608@bgc-jena.mpg.de>	<1EF8BFA1-531D-4B63-B1A0-9701F729958D@makomi.de>
	<4D9D8083.4000204@bgc-jena.mpg.de>
Message-ID: <4DA01F99.5040306@web.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 07.04.2011 11:14, schrieb Dr.Peer-Joachim Koch:
> Hallo,
> 
> im Prinzip ist es richtig. Mit zwei Netzteilen kann man den
> Ausfall unterbinden. Haben bei uns auch die meisten Systeme.
> 
> Hat mal jemand 1, 2 oder § Rechner an einer Steckdosenleiste
> eingeschaltet. Geht nicht, da kommt die Sicherung, wenn es
> sich um normale Schaltnetzteile handelt.
> 
> Was passiert grob vereinfacht): Schaltnetzteile ziehen am Anfang
> einen sehr hohen Strom. Das führt dazu das i.d.R. die Sicherung
> nur ein paar mal kommt. Es kann aber auch noch zu Rückkopplungen
> kommen. Wenn Du im Falle des FI das Ding drückst, sind alle Geräte
> stromlos (auf diesem "Bein"). Kein Problem. Schaltest Du ein, dann
> schaltest Du N-Netzteile *gleichzeitig* ein. Es kommt dann zu
> Wechselwirkungen der einzelnen Netzteile, wodurch man sich ganz leicht
> auch Netzteile zerschiessen kann.

Also, erstmal finde ich Dein dauerndes TOFU nicht sonderlich toll...

Dann muss ich sagen, dass es bei uns auch mal vorgekommen ist, dass eine
Stromquelle ausfiel. Wenn die Server/RAIDs weiterlaufen, ziehen die
temporär aussen ;-) Netzteile beim Anschalten nicht gar so viel Strom.
Bei uns sind jedenfalls keine Netzteile und auch keine Sicherungen
gekommen (gut 40 Schränke im RZ).

Richtig gemein war es hingegen, als die USV (damals hatten wir nur eine)
einen funkensprühenden Kurzschluss hatte und die Kisten (ordentlich auf
2 Phasen, aber beide von der USV) dauernd auf- und niederfuhren... /Das/
hat uns diverse Netzteile und Platten gekostet - und eine zweite USV
beschert :-) Seitdem haben wir keine Bauchschmerzen mehr, wenn da mal
eine Sicherung kommt oder wegen irgendwelcher Schaltarbeiten eine USV
vom Netz genommen werden muss.

Dass bei euch zwischen USV und Server Sicherungen und FI-Schalter sind,
will ich hoffen. Ich würde nicht wollen, dass die USV beim ersten
kurzschließenden Server-/RAID-Netzteil das Zeitliche segnet und dabei
die bisher intakten Geräte mitnimmt ;-)

Bei uns hat entweder alles (mindestens) zwei Netzteile, die auch mit
unterschiedlichen USVs verbunden sind, oder das einzelne steckt an einem
Powerswitch - die eigentlich Bezeichnung fällt mir jetzt nicht ein...
Das ist ein Teil, das wie eine Steckdosenleiste mit zwei Eingängen
funktioniert - man schließt es an zwei Phasen an und es sorgt dafür,
dass die angeschlossenen Geräte mit Strom von einer der Phasen versorgt
werden. Gibt es zumindest von Sun und von Dell :-]

Gruß
Werner
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.16 (GNU/Linux)
Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJNoB+YAAoJEOfJ7bNoiiCNPfwIAJ2WX4km86qm+7tmy2xZH5E6
nK282JyxYBhFdKLCyN8i8sSgDGsdOi2N+Lm31exln3h7nVfDJMjLV3iagUZYjK45
Ty0KsgjgwtXAoILlLcMN0eDjHadmZ4/o+QvzofqQIDRUMYjURZLzS4/JZyrKgFkL
5HqDc3NUq+v1ydRAbnm/pbZ0kmBFcYBXqROezUMIvB9gaAYt60YAi5gYgYliKLGV
fE8udnxh0VcyJL6JQvsKzdHh4ps2PJhkLl8i+anXCMT1WbHrwX45y64+xmP/h795
9WNxekGMKEcgiRax35qY9rFoXiC/CCo3w8Rcaji0EXVqw14+3axpIi85GE5eTWw=
=R1nO
-----END PGP SIGNATURE-----


From Ralf.Hildebrandt at charite.de  Sat Apr  9 16:27:04 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Sat, 9 Apr 2011 16:27:04 +0200
Subject: [Postfixbuch-users] mail.global.frontbridge.com blocked using
 Blocklist 2
In-Reply-To: <4D9F2A6F.6090700@puersten.de>
References: <4D9ECB3E.7040905@puersten.de> <20110408090744.GD25959@charite.de>
	<4D9F2A6F.6090700@puersten.de>
Message-ID: <20110409142703.GA24424@charite.de>

* Oliver Pürsten <lists at puersten.de>:

> >Steht doch da: "Client host [x.x.x.x] blocked using Blocklist 2"
> >und auch was man tun soll.
> >
> Schon klar, mich würde aber halt mal interessieren weswegen die mich
> blocken.

Da musste jemanden bei denen fragen

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From hajo.locke at gmx.de  Fri Apr 15 15:51:17 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Fri, 15 Apr 2011 15:51:17 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
Message-ID: <E32068064B0842089913351A57DC7B2D@nmm.local>

Hallo,

ich hab da glaube ich doch noch ein peinliches verständnisproblem zur 
vollständigen trennung von eingehenden und ausgehenden mails.
für meinen zweck sind 2 getrennte recher am besten. auf den einen verweisen 
die mx, auf dem anderen habe ich die smtp-auth user für die mails nach 
außen.
angenommen irgendwie schafft es eine domain die eigentlich nicht zu mir 
gehört in die empfängerliste auf dem mx zu geraten. eine direkte mail dürfte 
dort wegen falschem mx nie aufschlagen.
allerdings könnte aber eine zu mir gehörige domain eine weiterleitung auf 
die andere domain haben und dann habe ich ja wieder die lokale zustellung da 
postfix die domain in seinen tables findet.
kann ich das denn irgendwie 100%ig trennen, ich seh grad nicht wie ich das 
machen kann.

Danke,
Hajo 



From kai_postfix at fuerstenberg.ws  Fri Apr 15 17:08:37 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Fri, 15 Apr 2011 17:08:37 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <E32068064B0842089913351A57DC7B2D@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>
Message-ID: <4DA85F75.70003@fuerstenberg.ws>

Hallo Hajo,

zunächst mal:
Capitalization is the difference between
"I had to help my uncle Jack off a horse.." and
"I had to help my uncle jack off a horse.."

Also bitte benutze deine Shift-Taste. Das erhöht die Lesbarkeit und das
Verständnis.

Am 15.04.2011 15:51, schrieb Hajo Locke:
> ich hab da glaube ich doch noch ein peinliches verständnisproblem
> zur vollständigen trennung von eingehenden und ausgehenden mails.
> für meinen zweck sind 2 getrennte recher am besten. auf den einen 
> verweisen die mx, auf dem anderen habe ich die smtp-auth user für
> die mails nach außen.

Soweit OK.

> angenommen irgendwie schafft es eine domain die eigentlich nicht zu 
> mir gehört in die empfängerliste auf dem mx zu geraten. eine direkte
> mail dürfte dort wegen falschem mx nie aufschlagen. allerdings könnte
> aber eine zu mir gehörige domain eine weiterleitung auf die andere
> domain haben und dann habe ich ja wieder die lokale zustellung da
> postfix die domain in seinen tables findet. 

Wie soll denn dein MX plötzlich für eine andere Domain zuständig sein?
Es scheint, du verwechselst Envelove Recipient mit Header Recipient. Bei
einer Weiterleitung wird der Envelope Recipient umgeschrieben. Der
Empfänger in der Email wird aber nicht angetastet und kann somit auch
abweichen. Dein(e) Postfix(e) arbeiten nur mit dem Envelope. Wenn deine
Domain da als Empfänger drinsteht, bist du dafür zuständig, unabhängig
davon, wer als Empfänger in der Email steht.

> kann ich das denn
> irgendwie 100%ig trennen, ich seh grad nicht wie ich das machen
> kann.

Ich weiss ehrlich gesagt nicht, was du da trennen willst. (Oder ich habe
ein Verständnisproblem mit deiner Frage ...)

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From hajo.locke at gmx.de  Fri Apr 15 17:25:45 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Fri, 15 Apr 2011 17:25:45 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>
	<4DA85F75.70003@fuerstenberg.ws>
Message-ID: <D0AC9044D4B74B7FB03DA06494B61956@nmm.local>

Hallo,

>> zunächst mal:
>> Capitalization is the difference between
>> "I had to help my uncle Jack off a horse.." and
>> "I had to help my uncle jack off a horse.."
tut mir leid...

>> Wie soll denn dein MX plötzlich für eine andere Domain zuständig sein?
Nein, das ist er nicht, es gehen keine direkten Mails ein. Angenommen ich 
bin zuständig für Domain a, aber nicht für Domain b,
Domain b liegt komplett extern.
Jemand richtet es irgendwie so ein das eine Adresse für Domain a an eine 
Adresse von Domain b weitergeleitet wird.
Vielleicht wird sogar ein Postfach für Domain b angelegt, aus welchem Grund 
auch immer.
Wenn nun eine Mail an die Adresse von Domain a an meinem MX eingeht, 
versucht Postfix auch den Kopieempfänger zu bedienen, den es dann aber lokal 
in seinen Tables findet.
Ich hab dann also eine lokale Zustellung und Postfix versucht nicht die Mail 
an den regulären MX für Domain b zuzustellen. An dieser Stelle wüßte ich 
nicht wie ich das weiter trenne oder hab ich einen Denkfehler?
Hoffe das ist verständlicher, Freitags fällt das Formulieren schwerer...

Danke,
Hajo 



From kai_postfix at fuerstenberg.ws  Fri Apr 15 17:40:52 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Fri, 15 Apr 2011 17:40:52 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws>
	<D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
Message-ID: <4DA86704.6040600@fuerstenberg.ws>

Am 15.04.2011 17:25, schrieb Hajo Locke:
>>> Wie soll denn dein MX plötzlich für eine andere Domain zuständig sein?
> Nein, das ist er nicht, es gehen keine direkten Mails ein. Angenommen ich 
> bin zuständig für Domain a, aber nicht für Domain b,
> Domain b liegt komplett extern.
> Jemand richtet es irgendwie so ein das eine Adresse für Domain a an eine 
> Adresse von Domain b weitergeleitet wird.

.. das kann dein Kunde/User evtl. sogar selbst machen ..

> Vielleicht wird sogar ein Postfach für Domain b angelegt, aus welchem Grund 
> auch immer.
> Wenn nun eine Mail an die Adresse von Domain a an meinem MX eingeht, 
> versucht Postfix auch den Kopieempfänger zu bedienen, den es dann aber lokal 
> in seinen Tables findet.

Die Frage ist, ob überhaupt eine Kopie angefertigt wird. Beispiel:
Weiterleitungen werden gerne z.B. mit virtual_alias_maps erledigt. Du
legst eine Weiterleitung an
user at domain_a.tld  user at domain_b.tld

Dann wird die Mail angenommen, der Empfänger umgeschrieben, und die Mail
direkt wieder verschickt. Du hast _keine_ lokale Zustellung.

Wenn du aber eine lokale Kopie haben willst sieht die Map anders aus:
user at domain_a.tld  user at domain_a.tld,user at domain_b.tld

Du musst also die eigene Mailadresse als zusätzlichen Empfänger in
deiner Alias-Tabelle angeben. Erst dann bekommen beide Empfänger diese
Email, also auch der lokale.

Es gibt da noch andere Sachen, wie ".forward", etc., aber dabei kann ich
dir nicht helfen. Das geht dann auch ins Spezielle, dafür müsstest du
dann auch mal deine Konfig schicken.

> Ich hab dann also eine lokale Zustellung und Postfix versucht nicht die Mail 
> an den regulären MX für Domain b zuzustellen. 
> An dieser Stelle wüßte ich 
> nicht wie ich das weiter trenne oder hab ich einen Denkfehler?
> Hoffe das ist verständlicher, Freitags fällt das Formulieren schwerer...

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From postfixbuch-users at gmj.cjb.net  Fri Apr 15 20:21:26 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 15 Apr 2011 20:21:26 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?verst=C3=A4ndnis_inbound_outbound?=
In-Reply-To: <D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws>
	<D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
Message-ID: <4DA88CA6.2050202@gmj.cjb.net>

Am 15.04.11 17:25, schrieb Hajo Locke:

> Jemand richtet es irgendwie so ein das eine Adresse für Domain a an eine 
> Adresse von Domain b weitergeleitet wird.

Nur mal so - hast Du keine Kontrolle darüber, wer Deinen Mailserver
administriert?

Die entscheidene Frage ist doch: fühlt sich Dein Postfix überhaupt
zuständig für eine Domain?

Wenn ich diese Seite:
  http://www.postfix.org/ADDRESS_CLASS_README.html
richtig verstanden habe, ist das nur der Fall, wenn die Domain (bzw.
eine Subdomain davon) in $local_domains bzw. $relay_domains auftaucht.

> Ich hab dann also eine lokale Zustellung und Postfix versucht nicht die Mail 
> an den regulären MX für Domain b zuzustellen. An dieser Stelle wüßte ich 
> nicht wie ich das weiter trenne oder hab ich einen Denkfehler?

Dann ist dein Postfix zuständig -> Prüfe die beiden genannten Parameter.

Gruß,
Mathias


From hajo.locke at gmx.de  Fri Apr 15 21:59:38 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Fri, 15 Apr 2011 21:59:38 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
	<4DA88CA6.2050202@gmj.cjb.net>
Message-ID: <F57C8C1801F44DDFB8801455F674481C@hansadd566750e>

Hallo,

>> Nur mal so - hast Du keine Kontrolle darüber, wer Deinen Mailserver
>> administriert?
Es geht hier nicht um Confs die man wohlweislich selbst per vi ändert...
Administrieren ist etwas anderes als Domains, die Personen in einem Menü
eintragen, automatisch in die Conf aufzunehmen, an der Stelle ist die 
Administration bereits getan.
Das muß immer funktionieren egal wie die Lage ist, auch wenn jemand auf die 
Idee kommen sollte lokal eine hotmail-Adresse etc. anzulegen.
Gesucht., und damit Ziel der Frage, ist die richtige Conf.

>> Wenn ich diese Seite:
>>   http://www.postfix.org/ADDRESS_CLASS_README.html
>> richtig verstanden habe, ist das nur der Fall, wenn die Domain (bzw.
>> eine Subdomain davon) in $local_domains bzw. $relay_domains auftaucht.
Das tut es meist auch wenn es ein MX ist, daher auch das Problem.
Ich werde die Anregungen von Kai nochmal durchgehen und das Setup prüfen.

Hajo



From micha.will at gmx.net  Sun Apr 17 14:23:26 2011
From: micha.will at gmx.net (Michael Will)
Date: Sun, 17 Apr 2011 14:23:26 +0200
Subject: [Postfixbuch-users] FILTER_README.html
Message-ID: <20110417122326.GA1263@foobar.barfoo>

Hallo,

ich beschaeftige mich mit dem fitler_readme.html unter
http://www.postfix.org/FILTER_README.html

1) Das "simple content filter" Beispiel habe ich durch und
hoffentlich einigermaßen verstanden.
Beim "advanced content filter" habe ich meine Probleme
im Abschnitt "running the content filter".
Dort ist beim spawn-Prozess zu lesen
 argv=/path/to/filter.
Im ersten Beispiel war das ein Shellskript. Kommt hier
nun dann das weiter oben genannten "PERL/SMTP content 
filtering framework" zum Einsatz?

2) Mit folgendem Absatz habe ich auch noch meine Schwierigkeiten:
 The simplest content filter just copies SMTP commands and data 
 between its inputs and outputs. If it has a problem, all it 
 has to do is to reply to an input of `.' from Postfix with 
 `550 content rejected', and to disconnect without sending `.' 
 on the connection that injects mail back into Postfix. 

Was soll da im Problemfall geschehen? Soll da eine Mail an 
"." (?) erzeugt werden? 

Danke im voraus
 Micha



From mailing-lists at thomasschwenski.de  Tue Apr 19 09:39:24 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Tue, 19 Apr 2011 09:39:24 +0200
Subject: [Postfixbuch-users] FILTER_README.html
In-Reply-To: <20110417122326.GA1263@foobar.barfoo>
References: <20110417122326.GA1263@foobar.barfoo>
Message-ID: <4DAD3C2C.2070807@thomasschwenski.de>

Hallo,

> ich beschaeftige mich mit dem fitler_readme.html unter
> http://www.postfix.org/FILTER_README.html
> 
> 1) Das "simple content filter" Beispiel habe ich durch und
> hoffentlich einigermaßen verstanden.
> Beim "advanced content filter" habe ich meine Probleme
> im Abschnitt "running the content filter".
> Dort ist beim spawn-Prozess zu lesen
>  argv=/path/to/filter.
> Im ersten Beispiel war das ein Shellskript. Kommt hier
> nun dann das weiter oben genannten "PERL/SMTP content 
> filtering framework" zum Einsatz?

Oder eben Dein eigener (selbstimplementierter) Filter.

Gemäß http://www.postfix.org/spawn.8.html darfst Du Dir Spawn wie inet.d
vorstellen.
D.h. er lauscht auf einem Port. Wird auf diesem Port eine Verbidnung
aufgebaut, dann startet Spawn das per Argument angegebene Script und
übergibt diesem dann die Verbindung die auf dem Port aufgebaut wurde.
(Wenn ich mich nicht ganz täusche dann entspricht STDIN und STDOUT dann
der Empfangs- bzw. Senderichtung auf dem Port.)

/path/to/filter zeigt demnach auf das Script welches die
Filter-Funktionalität zur Verfügung stellt.
Das kann ein beliebiger vorgefertigter oder eben selbstimplementierter
SMTP-Filter sein.

> 2) Mit folgendem Absatz habe ich auch noch meine Schwierigkeiten:
>  The simplest content filter just copies SMTP commands and data 
>  between its inputs and outputs. If it has a problem, all it 
>  has to do is to reply to an input of `.' from Postfix with 
>  `550 content rejected', and to disconnect without sending `.' 
>  on the connection that injects mail back into Postfix. 
> 
> Was soll da im Problemfall geschehen? Soll da eine Mail an 
> "." (?) erzeugt werden? 

Die einfachste Implementierung eines Filter ist ein SMTP-Proxy, d.h. die
komplette eingehende SMTP-Kommunikation wird einfach ausgehend
weiterverwendet.
Bei SMTP wird die Übertragung einer Mail mit einem einzelnen Punkt,
(".") der zwischen zwei Zeilenumbrüchen (<CR><LF>) steht, abgeschlossen
Also "<CR><LF>.<CR><LF>".

Der beschriebene "einfachste Filter" würde nun, wenn er auf dem
eingehenden Socket "<CR><LF>.<CR><LF>" empfängt seine Prüfungen des
Mail-Contents durchführen und im Ablehnungsfall einen SMTP-Code 5xx
senden um dem einliefernden Client mitzuteilen, dass er die Mail nicht
annehmen will.
(Denkbar wäre in bestimmten Szenarien (i.d.R. allerdings nur, wenn aus
technischen Gründen aktuell keine Überprüfung der Mail durchgeführt
werden kann) auch ein 4xx-Code um anzuzeigen, dass ein späterer
Zustellversuch eventuell angenommen werden könnte.)

Würde stattdessen die Mail angenommen werden, dann würde auf dem
eingehenden Socket ein 2xx-Code gesendet und die (eingehende)
SMTP-Kommunikation des eingehenden Sockets 1:1 ausgehend auf dem
ausgehenden Socket an den "Next Hop" gesendet.

Sinnvollerweise geschieht die Weitergabe der eingehenden
SMTP-Kommunikation auf den ausgehenden Socket blockweise 1:1 um eine
eventuelle Ablehnung des "Next Hop" direkt an den einliefernden Client
weiterzureichen.
Blockweise bezeichnet damit, dass der HELO, MAIL FROM, RCPT TO und der
Content der Mail (DATA) jeweils erst an den Next Hop weitergegeben
werden und dessen Antwort dann vom Filter an den einliefernden Client,
so dass sich Filter wirklich transparent verhält.

Als einfachster Filter wird dieses Konzept deshalb bezeichnet, da auch
in den früheren Stadien der SMTP-Kommunikation bereits eine Ablehnung
durch den Filter stattfinden könnte (also nach HELO/EHLO, MAIL FROM oder
RCPT TO).

Das Ganze funktioniert natürlich auch bei ESMTP.

Jetzt alles klar?

Viele Grüße
Thomas

Der Filter hat ja einen eingehenden und einen ausgehenden Socket.


From robert at markula.org  Tue Apr 19 23:16:02 2011
From: robert at markula.org (Robert Markula)
Date: Tue, 19 Apr 2011 23:16:02 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?Postfix=3C-=3EAmavis/Spamassa?=
 =?iso-8859-15?q?ssin/ClamAV_-_irgendwie_pr=FCft_er_nicht?=
Message-ID: <4DADFB92.7060005@markula.org>

Hallo,
habe hier einen Mailserver laufen, der seine Mails per Getmail von einem
externen Mailserver abruft. Der lokale Mailserver nimmt die Mails
entgegen und leitet sie an Dovecot weiter, was auch prima klappt. Das
ganze läuft auf Ubuntu 10.04.2.

Allerdings funktionieren die Spam-Checks anscheinend nicht. Genauer
gesagt: Mails, die vom lokalen Netzwerk kommen, werden geprüft, aber
Mails von außen werden scheinbar nicht geprüft - ich finde weder einen
entsprechenden Eintrag in den logs noch sind in den Headern X-SPAM-Tags
zu sehen.

Hier mal ein paar configs:

/etc/amavis/conf.d/15-content_filter_mode:
http://paste.debian.net/114513

/etc/amavis/conf.d/50-user:
http://paste.debian.net/114514

postconf -n:
http://paste.debian.net/114516

/etc/postfix/master.cf:
http://paste.debian.net/114517

/etc/postfix/header_checks.pcre:
/^Delivered-To: .*/      IGNORE

Log-Entry eines lokalen Senders (der geprüft wird):
http://paste.debian.net/114518

Also wie gesagt, es funktioniert alles und lokale Mails werden auch
geprüft. Nur Mails, die "von außen" über den externen Mailserver kommen,
werden scheinbar nicht geprüft.

Grüße,
Robert


From mailing-lists at thomasschwenski.de  Wed Apr 20 07:16:23 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 20 Apr 2011 07:16:23 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Postfix=3C-=3EAmavis/Spamassas?=
 =?iso-8859-1?q?sin/ClamAV_-_irgendwie_pr=FCft_er_nicht?=
In-Reply-To: <4DADFB92.7060005@markula.org>
References: <4DADFB92.7060005@markula.org>
Message-ID: <4DAE6C27.9070102@thomasschwenski.de>

Hallo Robert,

> Hallo,
> habe hier einen Mailserver laufen, der seine Mails per Getmail von einem
> externen Mailserver abruft.
>    
...
> Allerdings funktionieren die Spam-Checks anscheinend nicht. Genauer
> gesagt: Mails, die vom lokalen Netzwerk kommen, werden geprüft, aber
> Mails von außen werden scheinbar nicht geprüft - ich finde weder einen
> entsprechenden Eintrag in den logs noch sind in den Headern X-SPAM-Tags
> zu sehen.
>    

Wie sieht denn die Getmail-Config aus?
Kann es sein das Getmail die Mails an Amavis vorbei direkt in die zweite 
Postfix-Instanz einschleust?

(Ist nur ein Schuss in's Blaue ohne dass ich einen Blick in Deine 
restliche Konfiguration geworfen habe.)

Thomas


From robert at markula.org  Wed Apr 20 09:49:49 2011
From: robert at markula.org (Robert Markula)
Date: Wed, 20 Apr 2011 09:49:49 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Postfix=3C-=3EAmavis/Spamassas?=
 =?iso-8859-1?q?sin/ClamAV_-_irgendwie_pr=FCft_er_nicht?=
In-Reply-To: <4DAE6C27.9070102@thomasschwenski.de>
References: <4DADFB92.7060005@markula.org>
	<4DAE6C27.9070102@thomasschwenski.de>
Message-ID: <4DAE901D.6010708@markula.org>

Guten Morgen Thomas,
> Wie sieht denn die Getmail-Config aus?
> Kann es sein das Getmail die Mails an Amavis vorbei direkt in die zweite
> Postfix-Instanz einschleust?

ich benutze folgende Getmail Konfiguration:

<snip>
[retriever]
type = SimplePOP3SSLRetriever
server = mail.myisp.de
username = robert at example.com
password = ichsagnix

[destination]
type = MDA_external
path = /usr/sbin/sendmail
arguments = ("-i", "-bm", "robert at example.com")
unixfrom = true
user = vmail
group = vmail

[options]
delete = true
message_log = /var/log/getmail.example.com
</snip>

Meiner Logik zufolge sollten die Mails von getmail abgeholt, per
sendmail an Postfix übergeben und von diesem durch die diversen Filter
(Amavis, spamassassin, clamav...) geschleust werden.

Grüße,
Robert


From mailing-lists at thomasschwenski.de  Wed Apr 20 13:00:07 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 20 Apr 2011 13:00:07 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Postfix=3C-=3EAmavis/Spamassas?=
 =?iso-8859-1?q?sin/ClamAV_-_irgendwie_pr=FCft_er_nicht?=
In-Reply-To: <4DAE901D.6010708@markula.org>
References: <4DADFB92.7060005@markula.org>	<4DAE6C27.9070102@thomasschwenski.de>
	<4DAE901D.6010708@markula.org>
Message-ID: <4DAEBCB7.2010801@thomasschwenski.de>

Hallo nochmal,


> > Guten Morgen Thomas,
>> >> Wie sieht denn die Getmail-Config aus?
>> >> Kann es sein das Getmail die Mails an Amavis vorbei direkt in die
zweite
>> >> Postfix-Instanz einschleust?
> >
> > ich benutze folgende Getmail Konfiguration:
...

> > Meiner Logik zufolge sollten die Mails von getmail abgeholt, per
> > sendmail an Postfix übergeben und von diesem durch die diversen Filter
> > (Amavis, spamassassin, clamav...) geschleust werden.
Deine Logik ist - zumindest für Deine Konfiguration - ja nun
nachweislich unzutreffend ;)

Mails die per sendmail eingeliefert werden, werden in der maildrop-Queue
abgelegt. Von dort holt sie der pickup-Daemon ab.

http://www.postfix.org/pickup.8.html

Und dem sagst Du ja in Deiner master.cf, dass er keinen content_filter
nutzen soll:

pickup    fifo  n       -       -       60      1       pickup
	-o content_filter=

(Die Angaben in der master.cf überschreiben ja (allerdings nur
Modul-spezifisch) die in der main.cf gemachten Einstellungen.)

Alles klar?

Thomas





From hajo.locke at gmx.de  Wed Apr 20 14:02:40 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 20 Apr 2011 14:02:40 +0200
Subject: [Postfixbuch-users] amavis - mime::parser
Message-ID: <23AD93F354894331B727218CAFA357F3@nmm.local>

Hallo,

ich spiele gerade auf einem neuen Centos 5.6 mit amavisd-new rum und habe 
folgendes merkwürdige Verhalten.
Ich liefere per telnet auf localhost Testmails ein und im data Bereich 
schicke ich dann die eicar-Testsignatur mit.
Oft klappt es, aber nicht immer. Ich habe sowohl beobachtet das die Mail 
trotz eicar durchgeht oder auch mit eicar Infektion abgewiesen wird obwohl 
nur ein "test test" im data Bereich steht.

Im Log hat man dann sowas:
Apr 20 13:50:29 localhost amavis[4952]: (04952-01) WARN: MIME::Parser error: 
unexpected end of header

Per Cpan hab ich ein Update des MIME::parser auf 5.502 vorgenommen, hilft 
aber nichts.
Ich hab ein paar Anfragen dazu gefunden, aber da wurde das auf fehlerhaft 
strukturierte Bounces zurückgeführt aber ich mache stinknormale telnet 
Tests.
Kann jemand einen Tipp geben wie ich das dauerhaft fixe?

Danke,
Hajo 



From werner at aloah-from-hell.de  Wed Apr 20 14:10:30 2011
From: werner at aloah-from-hell.de (Werner)
Date: Wed, 20 Apr 2011 14:10:30 +0200
Subject: [Postfixbuch-users] amavis - mime::parser
In-Reply-To: <23AD93F354894331B727218CAFA357F3@nmm.local>
References: <23AD93F354894331B727218CAFA357F3@nmm.local>
Message-ID: <4DAECD36.2060200@aloah-from-hell.de>

Am 20.04.11 14:02, schrieb Hajo Locke:
> Hallo,
> 
> ich spiele gerade auf einem neuen Centos 5.6 mit amavisd-new rum und habe folgendes merkwürdige Verhalten.
> Ich liefere per telnet auf localhost Testmails ein und im data Bereich schicke ich dann die eicar-Testsignatur mit.
> Oft klappt es, aber nicht immer. Ich habe sowohl beobachtet das die Mail trotz eicar durchgeht oder auch mit eicar Infektion abgewiesen wird obwohl
> nur ein "test test" im data Bereich steht.

Amavis ist da etwas stricter was die Einlieferung von Nachrichten via Telnet
betrifft sofern Amavis als Pre-Content-Filter eingebunden ist.

Wichtig ist: auch die Testmail sollte einen kompletten Header haben bzw.
ein From, Subject, Date - und der Eicar-Teststring dann im Body. Versuchs
mal etwa so:

telnet mail.domain.de 25
ehlo client.domain.de
mail from: <test at client.domain.de>
rcpt to: <test at mail.domain.de>
data
From: test at client.domain.de
Date: $date
Subject: test

<der eicar-test-string>

.


From lists at dguhl.org  Wed Apr 20 14:18:03 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Wed, 20 Apr 2011 14:18:03 +0200
Subject: [Postfixbuch-users] amavis - mime::parser
In-Reply-To: <23AD93F354894331B727218CAFA357F3@nmm.local>
References: <23AD93F354894331B727218CAFA357F3@nmm.local>
Message-ID: <20110420121803.GA15307@PC211.ikt.de>

On Wed, Apr 20, 2011 at 02:02:40PM +0200, Hajo Locke wrote:
> Hallo,

[..]

> Im Log hat man dann sowas:
> Apr 20 13:50:29 localhost amavis[4952]: (04952-01) WARN:
> MIME::Parser error: unexpected end of header

Kann es sein, dass Du zwischen dem Header und Body der E-Mail keine
leere Zeile einfügst?

> Per Cpan hab ich ein Update des MIME::parser auf 5.502 vorgenommen,
> hilft aber nichts.
> Ich hab ein paar Anfragen dazu gefunden, aber da wurde das auf
> fehlerhaft strukturierte Bounces zurückgeführt aber ich mache
> stinknormale telnet Tests.
> Kann jemand einen Tipp geben wie ich das dauerhaft fixe?

RFC 5322 Section 2.1 (letzter Satz im letzten regulären Absatz):

The body is simply a sequence of characters that follows the header
section and is separated from the header section by an empty line
(i.e., a line with nothing preceding the CRLF).

Dennis


From robert at markula.org  Wed Apr 20 17:32:54 2011
From: robert at markula.org (Robert Markula)
Date: Wed, 20 Apr 2011 17:32:54 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Postfix=3C-=3EAmavis/Spamassas?=
 =?iso-8859-1?q?sin/ClamAV_-_irgendwie_pr=FCft_er_nicht?=
In-Reply-To: <4DAEBCB7.2010801@thomasschwenski.de>
References: <4DADFB92.7060005@markula.org>	<4DAE6C27.9070102@thomasschwenski.de>	<4DAE901D.6010708@markula.org>
	<4DAEBCB7.2010801@thomasschwenski.de>
Message-ID: <4DAEFCA6.9040306@markula.org>


>>> Meiner Logik zufolge sollten die Mails von getmail abgeholt, per
>>> sendmail an Postfix übergeben und von diesem durch die diversen Filter
>>> (Amavis, spamassassin, clamav...) geschleust werden.
> Deine Logik ist - zumindest für Deine Konfiguration - ja nun
> nachweislich unzutreffend ;)
> 
> Mails die per sendmail eingeliefert werden, werden in der maildrop-Queue
> abgelegt. Von dort holt sie der pickup-Daemon ab.
> 
> http://www.postfix.org/pickup.8.html
> 
> Und dem sagst Du ja in Deiner master.cf, dass er keinen content_filter
> nutzen soll:
> 
> pickup    fifo  n       -       -       60      1       pickup
> 	-o content_filter=

Oh wie peinlich...

Danke!


From tobias.luithardt at r1net.de  Thu Apr 21 14:44:50 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Thu, 21 Apr 2011 12:44:50 +0000
Subject: [Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>

Hallo zusammen,

ich stelle mir gerade folgende, allgemeinen Frage:

Welche CAs muss ich hinterlegen, um erfolgreich ein
Zertifikat zu validieren, dass folgendermassen in einer Zertifikatskette hängt:
Root-CA -> Sub-CA -> Zertifkat

Muss ich jetzt in cacerts.d die Root-CA und die Sub-CA hinterlegen,
oder reicht es wenn der TLS-anbietende Server die Zertifikatskette mitsendet
und ich nur der Root-CA vertraue?

Vielen Dank im voraus


Tobi


From mailinglisten at it-blog.net  Fri Apr 22 14:26:55 2011
From: mailinglisten at it-blog.net (Pascal Uhlmann)
Date: Fri, 22 Apr 2011 14:26:55 +0200
Subject: [Postfixbuch-users] TLS: Validierung Zertifikat bei
	Zertifikatskette
In-Reply-To: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>
Message-ID: <00ca01cc00e8$9157e110$b407a330$@it-blog.net>

Hallo Tobi!

Da der Client üblicherweise keine Zertifikate von Sub-CAs kennt, muss diesem
das entsprechende Zwischenzertifikat übermittelt werden. Nur so kann der
Client die Zertifikatskette prüfen. Folglich musst du auf dem Server auch
beide Zertifikate hinterlegen.


MfG

Pascal

==========================================
Interessantes aus den Themenbereichen Computer,
Internet und Programmierung gibt es unter
http://www.it-blog.net



-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de
[mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Tobias
Luithardt
Gesendet: Donnerstag, 21. April 2011 14:45
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: [Postfixbuch-users] TLS: Validierung Zertifikat bei
Zertifikatskette

Hallo zusammen,

ich stelle mir gerade folgende, allgemeinen Frage:

Welche CAs muss ich hinterlegen, um erfolgreich ein Zertifikat zu
validieren, dass folgendermassen in einer Zertifikatskette hängt:
Root-CA -> Sub-CA -> Zertifkat

Muss ich jetzt in cacerts.d die Root-CA und die Sub-CA hinterlegen, oder
reicht es wenn der TLS-anbietende Server die Zertifikatskette mitsendet und
ich nur der Root-CA vertraue?

Vielen Dank im voraus


Tobi
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux
Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From micha.will at gmx.net  Sat Apr 23 09:11:16 2011
From: micha.will at gmx.net (Michael Will)
Date: Sat, 23 Apr 2011 09:11:16 +0200
Subject: [Postfixbuch-users] FILTER_README.html
In-Reply-To: <4DAD3C2C.2070807@thomasschwenski.de>
References: <20110417122326.GA1263@foobar.barfoo>
	<4DAD3C2C.2070807@thomasschwenski.de>
Message-ID: <20110423071116.GA1093@foobar.barfoo>

Hallo,

erstmal Danke für die ausführliche Antwort!

> > Im ersten Beispiel war das ein Shellskript. Kommt hier
> > nun dann das weiter oben genannten "PERL/SMTP content 
> > filtering framework" zum Einsatz?
> 
> Oder eben Dein eigener (selbstimplementierter) Filter.
> 
> Gemäß http://www.postfix.org/spawn.8.html darfst Du Dir Spawn wie inet.d
> vorstellen.
> D.h. er lauscht auf einem Port. Wird auf diesem Port eine Verbidnung
> aufgebaut, dann startet Spawn das per Argument angegebene Script und
> übergibt diesem dann die Verbindung die auf dem Port aufgebaut wurde.
> (Wenn ich mich nicht ganz täusche dann entspricht STDIN und STDOUT dann
> der Empfangs- bzw. Senderichtung auf dem Port.)

Achso! D.h. das aufgerufene Programm muss nur mit stdin und stdout
umgehen können. Ok, dann könnte man ja doch wieder Shellskripting
verwenden.
Merkwürdig aber, dass dann der Autor des Dokumentes auf das Perl
Skript von Bennett Todd verweist.

> Die einfachste Implementierung eines Filter ist ein SMTP-Proxy, d.h. die
> komplette eingehende SMTP-Kommunikation wird einfach ausgehend
> weiterverwendet.
> Bei SMTP wird die Übertragung einer Mail mit einem einzelnen Punkt,
> (".") der zwischen zwei Zeilenumbrüchen (<CR><LF>) steht, abgeschlossen
> Also "<CR><LF>.<CR><LF>".

ok, das mit dem Punkt kannte ich schon. Aber offenbar war mein
Englisch hier zu schlecht, das richtig zuzuordnen.

> Der beschriebene "einfachste Filter" würde nun, wenn er auf dem
> eingehenden Socket "<CR><LF>.<CR><LF>" empfängt seine Prüfungen des
> Mail-Contents durchführen und im Ablehnungsfall einen SMTP-Code 5xx
> senden um dem einliefernden Client mitzuteilen, dass er die Mail nicht
> annehmen will.
> (Denkbar wäre in bestimmten Szenarien (i.d.R. allerdings nur, wenn aus
> technischen Gründen aktuell keine Überprüfung der Mail durchgeführt
> werden kann) auch ein 4xx-Code um anzuzeigen, dass ein späterer
> Zustellversuch eventuell angenommen werden könnte.)

ok, verstanden.

> Würde stattdessen die Mail angenommen werden, dann würde auf dem
> eingehenden Socket ein 2xx-Code gesendet und die (eingehende)
> SMTP-Kommunikation des eingehenden Sockets 1:1 ausgehend auf dem
> ausgehenden Socket an den "Next Hop" gesendet.
> 
> Sinnvollerweise geschieht die Weitergabe der eingehenden
> SMTP-Kommunikation auf den ausgehenden Socket blockweise 1:1 um eine
> eventuelle Ablehnung des "Next Hop" direkt an den einliefernden Client
> weiterzureichen.
> Blockweise bezeichnet damit, dass der HELO, MAIL FROM, RCPT TO und der
> Content der Mail (DATA) jeweils erst an den Next Hop weitergegeben
> werden und dessen Antwort dann vom Filter an den einliefernden Client,
> so dass sich Filter wirklich transparent verhält.
> 
> Als einfachster Filter wird dieses Konzept deshalb bezeichnet, da auch
> in den früheren Stadien der SMTP-Kommunikation bereits eine Ablehnung
> durch den Filter stattfinden könnte (also nach HELO/EHLO, MAIL FROM oder
> RCPT TO).
> 
> Das Ganze funktioniert natürlich auch bei ESMTP.
> 
> Jetzt alles klar?

Jo, ich glaube schon.

Das empfohlene Perl-Skript von Bennett Todd habe ich getestet, allerdings
kann es nur mit CR/LF umgehen, d.h. zum Testen mittels netcat muss man
CTRL-V und Enter eingeben. Diese Stolperfalle hat auch nochmal ordentlich
Zeit gefressen.

Vielen Dank 
 Micha



From conny.klemm at gmail.com  Sat Apr 23 21:44:26 2011
From: conny.klemm at gmail.com (Conny Klemm)
Date: Sat, 23 Apr 2011 21:44:26 +0200
Subject: [Postfixbuch-users] Anhang Filtern
Message-ID: <BANLkTikgcvei+Ji+cSxsnY3EOs+2Ymn4Mw@mail.gmail.com>

Hallo

gibt es in Postfix die Möglichkeit einen Anhang zu blockieren, wenn er
er einen bestimmten Inhalt hat?
Z.B. eine Excel-Tabelle mit dem Inhalt 4711.

Bestimmte Dateitypen zu sperren ist ja so kein Problem, jedoch beim
Inhalt hört es bei mir auf.

Viele Grüße
Conny


From tobias.luithardt at r1net.de  Sun Apr 24 11:11:48 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Sun, 24 Apr 2011 09:11:48 +0000
Subject: [Postfixbuch-users] TLS: Validierung Zertifikat
	bei	Zertifikatskette
In-Reply-To: <00ca01cc00e8$9157e110$b407a330$@it-blog.net>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>

Hallo Pascal,

versteh ich es dann richtig, dass der Client jeder Sub-CA vertraut,
wenn er deren Root-CA hinterlegt hat?

Tobi
________________________________________
Von: postfixbuch-users-bounces at listen.jpberlin.de [postfixbuch-users-bounces at listen.jpberlin.de]&quot; im Auftrag von &quot;Pascal Uhlmann [mailinglisten at it-blog.net]
Gesendet: Freitag, 22. April 2011 14:26
An: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.'
Betreff: Re: [Postfixbuch-users] TLS: Validierung Zertifikat bei        Zertifikatskette

Hallo Tobi!

Da der Client üblicherweise keine Zertifikate von Sub-CAs kennt, muss diesem
das entsprechende Zwischenzertifikat übermittelt werden. Nur so kann der
Client die Zertifikatskette prüfen. Folglich musst du auf dem Server auch
beide Zertifikate hinterlegen.


MfG

Pascal

==========================================
Interessantes aus den Themenbereichen Computer,
Internet und Programmierung gibt es unter
http://www.it-blog.net



-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de
[mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Tobias
Luithardt
Gesendet: Donnerstag, 21. April 2011 14:45
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: [Postfixbuch-users] TLS: Validierung Zertifikat bei
Zertifikatskette

Hallo zusammen,

ich stelle mir gerade folgende, allgemeinen Frage:

Welche CAs muss ich hinterlegen, um erfolgreich ein Zertifikat zu
validieren, dass folgendermassen in einer Zertifikatskette hängt:
Root-CA -> Sub-CA -> Zertifkat

Muss ich jetzt in cacerts.d die Root-CA und die Sub-CA hinterlegen, oder
reicht es wenn der TLS-anbietende Server die Zertifikatskette mitsendet und
ich nur der Root-CA vertraue?

Vielen Dank im voraus


Tobi
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux
Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From mailinglisten at it-blog.net  Sun Apr 24 18:31:19 2011
From: mailinglisten at it-blog.net (Pascal Uhlmann)
Date: Sun, 24 Apr 2011 18:31:19 +0200
Subject: [Postfixbuch-users] TLS: Validierung
	Zertifikat	bei	Zertifikatskette
In-Reply-To: <351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>
Message-ID: <001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>

Hallo Tobi,

genau so ist es. Der Client vertraut bestimmten (Standard-)CAs. Kennt er die
CA eines bestimmten Zertifikats nicht, bekommt aber das Zertifikat dieser CA
mitgeliefert, so kann er prüfen, ob er deren CA kennt. Ist dies der Fall, so
vertraut er auch den von dieser CA ausgestellten Zertifikaten. Dies ist die
so genannte "Chain of Trust" (Vertrauenskette), durch die sich auch
Zertifikate, die nicht von Root-CAs ausgestellt wurden, verifizieren lassen.

Gruß
Pascal

==========================================
Interessantes aus den Themenbereichen Computer,
Internet und Programmierung gibt es unter
http://www.it-blog.net



From tobias.luithardt at r1net.de  Tue Apr 26 09:52:52 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Tue, 26 Apr 2011 07:52:52 +0000
Subject: [Postfixbuch-users] TLS:
	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>,
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>

Hi Pascal,

kann man dieses Verhalten mit Postfix Mitteln verhindern?
Also dass er nur einem Zertifikat vertraut, wenn auch die passende Sub-Ca hinterlegt ist?

Grüssle
Tobi
________
Von: postfixbuch-users-bounces at listen.jpberlin.de [postfixbuch-users-bounces at listen.jpberlin.de]&quot; im Auftrag von &quot;Pascal Uhlmann [mailinglisten at it-blog.net]
Gesendet: Sonntag, 24. April 2011 18:31
An: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.'
Betreff: Re: [Postfixbuch-users] TLS: Validierung       Zertifikat      bei     Zertifikatskette

Hallo Tobi,

genau so ist es. Der Client vertraut bestimmten (Standard-)CAs. Kennt er die
CA eines bestimmten Zertifikats nicht, bekommt aber das Zertifikat dieser CA
mitgeliefert, so kann er prüfen, ob er deren CA kennt. Ist dies der Fall, so
vertraut er auch den von dieser CA ausgestellten Zertifikaten. Dies ist die
so genannte "Chain of Trust" (Vertrauenskette), durch die sich auch
Zertifikate, die nicht von Root-CAs ausgestellt wurden, verifizieren lassen.

Gruß
Pascal

==========================================
Interessantes aus den Themenbereichen Computer,
Internet und Programmierung gibt es unter
http://www.it-blog.net

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From postfixbuch-users at gmj.cjb.net  Tue Apr 26 10:05:25 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Tue, 26 Apr 2011 10:05:25 +0200
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>,
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>
Message-ID: <4DB67CC5.6050205@gmj.cjb.net>

Am 26.04.11 09:52, schrieb Tobias Luithardt:

> kann man dieses Verhalten mit Postfix Mitteln verhindern?
> Also dass er nur einem Zertifikat vertraut, wenn auch die
> passende Sub-Ca hinterlegt ist?

D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
ausgestellt hat.

Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
(oder wo auch immer Deine libssl die Zertifikate aufbewahrt).

Gruß,
Mathias


From tobias.luithardt at r1net.de  Tue Apr 26 10:50:06 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Tue, 26 Apr 2011 08:50:06 +0000
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <4DB67CC5.6050205@gmj.cjb.net>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>, 
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>,
	<4DB67CC5.6050205@gmj.cjb.net>
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>

Hi Mathias,

ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
ROOT-CA -> Sub-CA1 -> Zertifikat(starke Validierung)
ROOT-CA -> Sub-CA2 -> Zertifikat(schwache Validierung)

Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
Dies möchte ich aber nicht.

Ich möchte eigentlich nur der Kette
ROOT-CA -> Sub-CA1
vertrauen.

Ist dies möglich?

Grüssle
Tobi
______
Von: postfixbuch-users-bounces at listen.jpberlin.de [postfixbuch-users-bounces at listen.jpberlin.de]&quot; im Auftrag von &quot;Mathias Jeschke [postfixbuch-users at gmj.cjb.net]
Gesendet: Dienstag, 26. April 2011 10:05
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users]        TLS:    Validierung     Zertifikat      bei     Zertifikatskette

Am 26.04.11 09:52, schrieb Tobias Luithardt:

> kann man dieses Verhalten mit Postfix Mitteln verhindern?
> Also dass er nur einem Zertifikat vertraut, wenn auch die
> passende Sub-Ca hinterlegt ist?

D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
ausgestellt hat.

Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
(oder wo auch immer Deine libssl die Zertifikate aufbewahrt).

Gruß,
Mathias
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From postfixbuch-users at gmj.cjb.net  Tue Apr 26 11:07:30 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Tue, 26 Apr 2011 11:07:30 +0200
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>,
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>,
	<4DB67CC5.6050205@gmj.cjb.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>
Message-ID: <4DB68B52.4070007@gmj.cjb.net>

Am 26.04.11 10:50, schrieb Tobias Luithardt:

> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
> ROOT-CA -> Sub-CA1 -> Zertifikat(starke Validierung)
> ROOT-CA -> Sub-CA2 -> Zertifikat(schwache Validierung)
> 
> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
> Dies möchte ich aber nicht.

Wie ich schon geschrieben habe:
Wenn Du der "Sub-CA2" nicht traust (und das bedeutet, dass Du der
Root-CA nicht traust!), dann entferne das Zertifikat der Root-CA.

> Ich möchte eigentlich nur der Kette
> ROOT-CA -> Sub-CA1
> vertrauen.
>  
> Ist dies möglich?

Falls Du dennoch der "Sub-CA1" traust (worin ich aber auch so meine
Zweifel habe), dann kopiere das entsprechende Zertifkat _der Sub-CA1_
nach /etc/ssl/certs (und setze den entsprechenden Symlink).

Dann kann Postfix auch Zertifikate, die von der "Sub-CA1" ausgestellt
wurden, als gültig verifizieren.

BTW: Bitte kein TOFU: http://de.wikipedia.org/wiki/TOFU

Gruß,
Mathias


From postfixbuch-users at makomi.de  Tue Apr 26 11:11:15 2011
From: postfixbuch-users at makomi.de (=?ISO-8859-1?Q?Michael_K=F6hler?=)
Date: Tue, 26 Apr 2011 11:11:15 +0200
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>,
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>,
	<4DB67CC5.6050205@gmj.cjb.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>
Message-ID: <4DB68C33.7000606@makomi.de>

Hallo Tobias,

>> kann man dieses Verhalten mit Postfix Mitteln verhindern?
>> Also dass er nur einem Zertifikat vertraut, wenn auch die
>> passende Sub-Ca hinterlegt ist?
> D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
> ausgestellt hat.
>
> Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
> (oder wo auch immer Deine libssl die Zertifikate aufbewahrt).
--> schrieb Mathias.
> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
> ROOT-CA ->  Sub-CA1 ->  Zertifikat(starke Validierung)
> ROOT-CA ->  Sub-CA2 ->  Zertifikat(schwache Validierung)
>
> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
> Dies möchte ich aber nicht.
>
> Ich möchte eigentlich nur der Kette
> ROOT-CA ->  Sub-CA1
> vertrauen.
>
> Ist dies möglich?
Wie Mathias oben schon geschrieben hat: Vertrau nur Sub-CA1, aber nicht 
ROOT-CA. Eine Zertifikatskette kann man m.E. nicht unterbrechen.

Gruß,
Michael




From postfixbuch-users at drobic.de  Tue Apr 26 11:22:40 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Tue, 26 Apr 2011 11:22:40 +0200
Subject: [Postfixbuch-users] Anhang Filtern
In-Reply-To: <BANLkTikgcvei+Ji+cSxsnY3EOs+2Ymn4Mw@mail.gmail.com>
References: <BANLkTikgcvei+Ji+cSxsnY3EOs+2Ymn4Mw@mail.gmail.com>
Message-ID: <4DB68EE0.2090802@drobic.de>

On 23.04.2011 21:44, Conny Klemm wrote:
> Hallo
> 
> gibt es in Postfix die Möglichkeit einen Anhang zu blockieren, wenn er
> er einen bestimmten Inhalt hat?
> Z.B. eine Excel-Tabelle mit dem Inhalt 4711.
> 
> Bestimmte Dateitypen zu sperren ist ja so kein Problem, jedoch beim
> Inhalt hört es bei mir auf.

Mit den Boardmitteln von Postfix ist dies nicht möglich, da Postfix das Format
von Excel nicht versteht und somit kein String gebaut werden kann, der dies prüft.
Dies ist von Wietse bewusst so konzipiert worden. Dafür sind externe Filter
vorgesehen, die beliebig gebaut werden können.

Sandy


From mailing-lists at thomasschwenski.de  Tue Apr 26 11:58:12 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Tue, 26 Apr 2011 11:58:12 +0200
Subject: [Postfixbuch-users] Anhang Filtern
In-Reply-To: <BANLkTikgcvei+Ji+cSxsnY3EOs+2Ymn4Mw@mail.gmail.com>
References: <BANLkTikgcvei+Ji+cSxsnY3EOs+2Ymn4Mw@mail.gmail.com>
Message-ID: <4DB69734.5090401@thomasschwenski.de>

Hallo Conny,

> gibt es in Postfix die Möglichkeit einen Anhang zu blockieren, wenn er
> er einen bestimmten Inhalt hat?
> Z.B. eine Excel-Tabelle mit dem Inhalt 4711.

Unter http://www.postfix.org/FILTER_README.html kannst Du nachlesen, wie
Du einen externen Filter selbst bauen kannst.

VG
Thomas


From werner at aloah-from-hell.de  Tue Apr 26 12:05:53 2011
From: werner at aloah-from-hell.de (Werner)
Date: Tue, 26 Apr 2011 12:05:53 +0200
Subject: [Postfixbuch-users] Anhang Filtern
In-Reply-To: <4DB69734.5090401@thomasschwenski.de>
References: <BANLkTikgcvei+Ji+cSxsnY3EOs+2Ymn4Mw@mail.gmail.com>
	<4DB69734.5090401@thomasschwenski.de>
Message-ID: <4DB69901.5060709@aloah-from-hell.de>

Am 26.04.11 11:58, schrieb Thomas Schwenski:
> Hallo Conny,
> 
>> gibt es in Postfix die Möglichkeit einen Anhang zu blockieren, wenn er
>> er einen bestimmten Inhalt hat?
>> Z.B. eine Excel-Tabelle mit dem Inhalt 4711.
> 
> Unter http://www.postfix.org/FILTER_README.html kannst Du nachlesen, wie
> Du einen externen Filter selbst bauen kannst.

Und mit Apache Tika könntest du wohl das erreichen was du möchtest:
http://tika.apache.org/

Ciao,
Werner


From hajo.locke at gmx.de  Tue Apr 26 19:27:27 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Tue, 26 Apr 2011 19:27:27 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
	<4DA86704.6040600@fuerstenberg.ws>
Message-ID: <B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>

Hallo,

komme erst jetzt zum Antworten.

> Die Frage ist, ob überhaupt eine Kopie angefertigt wird. Beispiel:
> Weiterleitungen werden gerne z.B. mit virtual_alias_maps erledigt. Du
> legst eine Weiterleitung an
> user at domain_a.tld  user at domain_b.tld

> Dann wird die Mail angenommen, der Empfänger umgeschrieben, und die Mail
> direkt wieder verschickt. Du hast _keine_ lokale Zustellung.

Das ist richtig, so hab ich das auch. Aber angenommen ein Mitarbeiter legt 
eben doch ein Postfach für user at domain_b.tld an, egal maus welchen Gründen.
Dann hast du in Deiner virtual z:b. auch einen Eintrag
user at domain_b.tld myusername
und dann erfolgt doch die lokale Zustellung da Postfix gleich bis zum 
lokalen User expandiert egal ob er echte MX von domain b auf mich zeigt. Das 
muss sich doch vermeiden lassen, je mehr Domains auf den MX zeigen umso 
unangenehmer wird das Ganze.
Muss doch eine Lösung geben.

Danke,
Hajo




From robert.scheck at etes.de  Tue Apr 26 23:05:15 2011
From: robert.scheck at etes.de (Robert Scheck)
Date: Tue, 26 Apr 2011 23:05:15 +0200
Subject: [Postfixbuch-users] Virtual alias domain via virtual_alias_maps
 funktioniert bei virtual_transport nicht?
Message-ID: <20110426210514.GA20196@intranet.hq.stgt.etes.de>

Guten Abend zusammen,

ich denke, ich mache irgendetwas falsch...aber was? So sieht es aktuell
aus:

  $ cat /etc/redhat-release 
  Red Hat Enterprise Linux Server release 5.6 (Tikanga)
  $

  $ rpm -q postfix
  postfix-2.3.3-2.2.el5_6
  $

  $ postconf -n
  alias_database = hash:/etc/aliases
  alias_maps = hash:/etc/aliases
  command_directory = /usr/sbin
  config_directory = /etc/postfix
  daemon_directory = /usr/libexec/postfix
  debug_peer_level = 2
  html_directory = no
  inet_interfaces = all
  mail_owner = postfix
  mailbox_size_limit = 1024000000
  mailq_path = /usr/bin/mailq.postfix
  manpage_directory = /usr/share/man
  message_size_limit = 102400000
  mydestination = $mydomain, $myhostname, localhost.$mydomain, localhost
  mydomain = foo.tld
  myhostname = gateway.foo.tld
  mynetworks = 127.0.0.0/8
  myorigin = foo.tld
  newaliases_path = /usr/bin/newaliases.postfix
  queue_directory = /var/spool/postfix
  readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
  sample_directory = /usr/share/doc/postfix-2.3.3/samples
  sendmail_path = /usr/sbin/sendmail.postfix
  setgid_group = postdrop
  unknown_local_recipient_reject_code = 550
  virtual_alias_maps = hash:/etc/postfix/virtual
  $

  $ cat /etc/postfix/virtual
  blub.tld                anything
  mustermann at blub.tld     mustermann
  $ 

Die master.cf wurde nicht angepasst und bis zu dieser Stelle geht auch
alles. Jetzt zum eigentlichen Problem:

Wenn ich nun die main.cf um

  virtual_transport = lmtp:[127.0.0.1]:2003

erweitere und in der /etc/postfix/virtual folgendes anfüge

  max at bar.tld     max at bar.tld

und anschließend eine E-Mail an max at bar.tld zu senden versuche, erhalte ich
einen Bounce (weil ich aus mynetworks einliefere) bzw. Relay Access Denied
(von außerhalb) zurück und beides ist meines Erachtens soweit richtig.

Wenn ich jetzt noch die main.cf um

  virtual_mailbox_domains = bar.tld

erweitere und erneut eine E-Mail an max at bar.tld zu senden versuche, so wird
diese brav an den LMTP übergeben und alles ist, wie ich es erwarte. Aber:

Wenn ich statt "virtual_mailbox_domains = bar.tld" die /etc/postfix/virtual
um die Zeile

  bar.tld         anything

erweitere und dann eine E-Mail an max at bar.tld zu senden versuche, so gibts
nur ein "<max at bar.tld>: User unknown in virtual alias table" zurück. Warum?

Ah, postmap(1) ist natürlich entsprechend geschehen. Ohne virtual_transport
funktioniert es auch ohne virtual_mailbox_domains wie es soll, nur eben mit
dem virtual_transport nicht - und genau das ist gewünscht...

Was übersehe ich bzw. was mache ich falsch? Anregungen? Ideen? Danke :)


Mit freundlichen Grüßen

Robert Scheck

-- 
Robert Scheck                 Mail: robert.scheck at etes.de
ETES GmbH                     Fon : +49 (7 11) 48 90 83 - 12
Gablenberger Hauptstrasse 32  Fax : +49 (7 11) 48 90 83 - 50
D-70186 Stuttgart             Web : http://www.etes.de/

Registergericht: Amtsgericht Stuttgart HRB 721182
Geschäftsführender Gesellschafter: Markus Espenhain
Sitz der Gesellschaft: Stuttgart
USt.-Id.Nr.: DE814767446 



From kai_postfix at fuerstenberg.ws  Wed Apr 27 09:42:10 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 27 Apr 2011 09:42:10 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws>
	<B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
Message-ID: <4DB7C8D2.8010705@fuerstenberg.ws>

Am 26.04.2011 19:27, schrieb Hajo Locke:
> Hallo,
> 
> komme erst jetzt zum Antworten.
> 
>> Die Frage ist, ob überhaupt eine Kopie angefertigt wird. Beispiel:
>> Weiterleitungen werden gerne z.B. mit virtual_alias_maps erledigt. Du
>> legst eine Weiterleitung an
>> user at domain_a.tld  user at domain_b.tld
> 
>> Dann wird die Mail angenommen, der Empfänger umgeschrieben, und die Mail
>> direkt wieder verschickt. Du hast _keine_ lokale Zustellung.
> 
> Das ist richtig, so hab ich das auch. Aber angenommen ein Mitarbeiter legt 
> eben doch ein Postfach für user at domain_b.tld an, egal maus welchen Gründen.
> Dann hast du in Deiner virtual z:b. auch einen Eintrag
> user at domain_b.tld myusername
> und dann erfolgt doch die lokale Zustellung da Postfix gleich bis zum 
> lokalen User expandiert egal ob er echte MX von domain b auf mich zeigt.

Wenn du den Eintrag nicht anlegst, wird auch nicht zugestellt:

User A hat ein Postfach
User B hat ein Postfach
Du macht ein alias
user_a at domain.tld    user_b at domain.tld

Dann bekommt User B die Mails von User A, und User A bekommt nix, egal,
ob er ein Postfach hat oder nicht. Dieses entspricht einer Weiterleitung
von A nach B.

Wenn User A auch die Mails bekommen soll, muss das alias anders aussehen:
user_a at domain.tld    user_a at domain.tld,user_b at domain.tld
Hier bekommt B eine zusätzliche Kopie.

Wenn User B die Kopie später nicht mehr bekommen soll, A aber trotzdem,
kannst du das Alias prizipiell stehen lassen (ohne User B)
user_a at domain.tld    user_a at domain.tld
oder aber auch ganz löschen.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From hajo.locke at gmx.de  Wed Apr 27 10:25:23 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 10:25:23 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
	<4DB7C8D2.8010705@fuerstenberg.ws>
Message-ID: <D9A618C260B14E3BA866D0B46ABB264D@nmm.local>

Hallo,

ne, ich glaub wir verfehlen grad das Thema.
Allgemeine Weiterleitungen etc. funktioniert alles.

> User A hat ein Postfach
> User B hat ein Postfach
> Du macht ein alias
> user_a at domain.tld    user_b at domain.tld

Ich fass das noch mal zusammen.
Ich hab 2 Server, einen für die Ausgänge und den anderen für die Eingänge 
auf den die MXe zeigen.
Sagen wir domaina liegt bei mir und domainb bei einem völlig fremden 
Anbieter.
Ich habe eine Weiterleitung von
test1 at domaina.de test1 at domainb.de
dann wird die Mail an den echten MX von domainb.de zugestellt und es gibt 
kein Problem.
Soweit ist das ok, da ich bei meinen Sendungen auch immer auf dem richtigen 
MX rauskomme.

Egal wie, aber es ist ja im Bereich des Möglichen, legt ein Mitarbeiter auf 
dem MX(egal ob über ein Formular oder manuell) die Domain domainb.de sowie 
ein Postfach an.
Sende ich nun erneut an test1 at domaina.de so landet die Mail dann nicht mehr 
auf dem entferntem MX sondern bei mir lokal im Postfach das für 
test1 at domainb.de angelegt wurde.
Das ist das Problem das ich habe und doch gelöst werden können muss.Welche 
Domains in die Conf kommen kann man ja nicht immer prüfen. Wenn jemand auf 
die Idee kommt eine hotmail-Adresse als Postfach anzulegen, will ich auch 
davon ausgehen dass die Mail wirklich an hotmail weitergeleitet wird und 
nicht an ein lokales Konto nur weil das irgendwer mal angelegt hat.
Je mehr Domains auf einen MX zeigen umso unangenehmer wird das Problem da 
jedes "falsche" Postfach die Weiterleitungen auf dem MX gefährdet.
Die Trennung von Eingängen und Ausgängen geht offenbar nicht weit genug, da 
nicht alle Mails neu auf dem Ausgang generiert werden sondern auch durch 
Eingänge entstehen, die dann eigentlich auch wieder abgetrennt und 
unabhängig von lokalen Konten laufen müssten.
Nicht anlegen der "falschen" Konten ist keine Option, wie will man das 
kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu prüfen und 
immer wieder den MX zu checken.
So, ich hoffe mal das jetzt keine Fragen mehr offen sind ;) und wir finden 
eine Erklärung und Behebung.

Danke,
Hajo




From mailing-lists at thomasschwenski.de  Wed Apr 27 10:36:54 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 27 Apr 2011 10:36:54 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws>
	<D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
Message-ID: <4DB7D5A6.7080705@thomasschwenski.de>

Am 27.04.11 10:25, schrieb Hajo Locke:
> Hallo,
> 
> ne, ich glaub wir verfehlen grad das Thema.
> Allgemeine Weiterleitungen etc. funktioniert alles.

Du wirst Dein Problem eben nur auf eine einzige Art und Weise lösen
können: Bau Dir eben entsprechende Prüfmechanismen!

Du könntest Dir Status-Attribute für alle Domains anlegen und regelmäßig
per Script (oder auch beim Anlegen) prüfen, ob Dein Server eingetragener
MX ist, oder oder oder....

Wenn Du die Administration soweit aus der Hand gibst, wie es bei Dir
geschäftsbedingt der Fall zu sein scheint, dann musst Du eben solche
unschönen Fälle entsprechend abfangen.
Oder Du machst eben doch wieder alles selber.

Gerade das Anlegen von Domains (nicht Postfächer!) könntest Du ja auch
mit einem Genehmigungsverfahren verbinden.

Nicht kundenfreundlich aber sicher.

Thomas


From postfixbuch-users at gmj.cjb.net  Wed Apr 27 10:40:41 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 27 Apr 2011 10:40:41 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?verst=C3=A4ndnis_inbound_outbound?=
In-Reply-To: <D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws>
	<D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
Message-ID: <4DB7D689.2080804@gmj.cjb.net>

Am 27.04.11 10:25, schrieb Hajo Locke:

> Nicht anlegen der "falschen" Konten ist keine Option, wie will man das 
> kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu prüfen und 
> immer wieder den MX zu checken.

Was spricht dagegen vor dem Hinzufügen einer Domain nach $mydestination
zu prüfen, ob Dein MX auch MX für die neue Domain ist?

Gruß,
Mathias


From lists at dguhl.org  Wed Apr 27 11:10:33 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Wed, 27 Apr 2011 11:10:33 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>
	<4DA85F75.70003@fuerstenberg.ws>
	<D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
	<4DA86704.6040600@fuerstenberg.ws>
	<B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
	<4DB7C8D2.8010705@fuerstenberg.ws>
	<D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
Message-ID: <20110427091033.GA26276@laptop-dg.leere.eu>

On Wed, Apr 27, 2011 at 10:25:23AM +0200, Hajo Locke wrote:
> Hallo,
> 
> ne, ich glaub wir verfehlen grad das Thema.
> Allgemeine Weiterleitungen etc. funktioniert alles.
> 
> >User A hat ein Postfach
> >User B hat ein Postfach
> >Du macht ein alias
> >user_a at domain.tld    user_b at domain.tld
> 
> Ich fass das noch mal zusammen.
> Ich hab 2 Server, einen für die Ausgänge und den anderen für die
> Eingänge auf den die MXe zeigen.
> Sagen wir domaina liegt bei mir und domainb bei einem völlig fremden
> Anbieter.
> Ich habe eine Weiterleitung von
> test1 at domaina.de test1 at domainb.de
> dann wird die Mail an den echten MX von domainb.de zugestellt und es
> gibt kein Problem.
> Soweit ist das ok, da ich bei meinen Sendungen auch immer auf dem
> richtigen MX rauskomme.
> 
> Egal wie, aber es ist ja im Bereich des Möglichen, legt ein
> Mitarbeiter auf dem MX(egal ob über ein Formular oder manuell) die

Erkläre dem (den) Mitarbeiter(n) welche Domains angelegt werden dürfen
und welche nicht. Wenn das nicht fruchtet, behalte es Dir selbst als
einzigen vor Domains anzulegen (und überlege Dir eventuell wen Du
beschäftigst).

> Domain domainb.de sowie ein Postfach an.

Wenn Du (oder irgend jemand -- mit Deinem Einverständnis, Deiner
Erlaubnis oder wie auch immer) eine Domain in die Konfiguration
einträgt, dass Postfix sich für diese Domain zuständig fühlt, dann
wird Postfix sich der betreffenden E-Mail entsprechend annehmen.
Dagegen gibt es keinen Schalter und wird es auch nie einen geben. Es
wird schlicht keiner benötigt! Wie sollte das auch funktionieren? Der
fature request für die eingebaute Glaskugel wurde wiederholt
abgelehnt.

> Sende ich nun erneut an test1 at domaina.de so landet die Mail dann
> nicht mehr auf dem entferntem MX sondern bei mir lokal im Postfach
> das für test1 at domainb.de angelegt wurde.
> Das ist das Problem das ich habe und doch gelöst werden können

Dann löse es am sinnvollsten direkt an der Wurzel. Stelle sicher, dass
keine Domains in der Konfiguration landen die dort nichts zu suchen
haben.

> muss.Welche Domains in die Conf kommen kann man ja nicht immer

Man kann (fast) alles. Es ist nur eine Frage des Aufwandes.

> prüfen. Wenn jemand auf die Idee kommt eine hotmail-Adresse als
> Postfach anzulegen, will ich auch davon ausgehen dass die Mail

Ein angelegtes Postfach in der Konfiguration bringt nichts, solange
Postfix sich nicht für dessen Domain zuständig fühlt und dei E-Mail
lokal los werden will.

> wirklich an hotmail weitergeleitet wird und nicht an ein lokales
> Konto nur weil das irgendwer mal angelegt hat.

Wenn ich eine E-Mail an einen Mailserver weiterreiche, hoffe ich
(früher habe ich das mal erwartet), dass dieser von kompetenten
Menschen konfiguriert ubd betrieben wird.

> Je mehr Domains auf einen MX zeigen umso unangenehmer wird das
> Problem da jedes "falsche" Postfach die Weiterleitungen auf dem MX
> gefährdet.
> Die Trennung von Eingängen und Ausgängen geht offenbar nicht weit
> genug, da nicht alle Mails neu auf dem Ausgang generiert werden
> sondern auch durch Eingänge entstehen, die dann eigentlich auch
> wieder abgetrennt und unabhängig von lokalen Konten laufen müssten.

Diesen Satz verstehe ich nicht.

> Nicht anlegen der "falschen" Konten ist keine Option, wie will man

Natürlich ist das eine Option!

Es ist die einzige Option!

> das kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu
> prüfen und immer wieder den MX zu checken.

Wofür gibt es Computer? Entwickele Dir Deinen eigenen Automaten, der
die eingetragenen (besser noch die einzutragenden) Domains überprüft
und ggf. ablehnt.

> So, ich hoffe mal das jetzt keine Fragen mehr offen sind ;) und wir
> finden eine Erklärung und Behebung.

Die Erklärung wird Dir nicht gefallen haben, aber sie ist wahr.

HTH
Dennis


From hajo.locke at gmx.de  Wed Apr 27 11:24:34 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 11:24:34 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
	<4DB7D689.2080804@gmj.cjb.net>
Message-ID: <7493D9FA42604771924ED2F848172CB4@nmm.local>

Hallo,

>> Nicht anlegen der "falschen" Konten ist keine Option, wie will man das
>> kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu prüfen und
>> immer wieder den MX zu checken.

>Was spricht dagegen vor dem Hinzufügen einer Domain nach $mydestination
z>u prüfen, ob Dein MX auch MX für die neue Domain ist?

Hmm, dann müsste ich das aber dauerhaft machen. MXe ändern sich und 
möglicherweise zeigt ja mal dann eine Domain auf mich und ich benötige das 
Postfach wieder.
Auf jeden Fall wird es da Fehler geben da es keine 100%ige Lösung ist.
Es muss doch da seitens der Postfix-Profis eine empfohlene Vorgehensweise 
geben wie damit umzugehen ist. Ich kann mir nicht vorstellen dass ich der 
erste bin der das fragt.
Die jetzigen Lösungen scheinen mir in eine Art Bastelei auszuarten.
Wie machen es denn Provider wie Strato oder 1und1? Normalerweise kann ich 
doch dort auch anlegen was ich will und es klappt oder kontrollieren die das 
irgendwie?
Kommt mir komisch vor dass Postfix einen hier so ein bisschen hängen lässt, 
es tut was es soll, aber in diesem Fall ist das eben nicht so erwünscht.

Danke,
Hajo 



From mailing-lists at thomasschwenski.de  Wed Apr 27 11:38:51 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 27 Apr 2011 11:38:51 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <7493D9FA42604771924ED2F848172CB4@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net>
	<7493D9FA42604771924ED2F848172CB4@nmm.local>
Message-ID: <4DB7E42B.2010501@thomasschwenski.de>

Am 27.04.11 11:24, schrieb Hajo Locke:
> Kommt mir komisch vor dass Postfix einen hier so ein bisschen hängen
> lässt, es tut was es soll, aber in diesem Fall ist das eben nicht so
> erwünscht.

Wieso lässt Dich denn Postfix hängen?
Postfix macht genau was es soll: Du teilst ihm mit, wofür es sich
zuständig fühlen soll und dafür fühlt es sich zuständig.

Eine Postfix-eigene Prüfung, ob es auch selbst MX ist, macht keinerlei
Sinn, denn Postfix kann durchaus für Mails zuständig sein, für die es
niemals-nimmer-nicht als MX eingetragen ist, es aber die Mails vom
eigentlichen MX hingeroutet bekommt.

Eine Option wie Du sie suchst würde bei großen Server-Landschaften nur
unkoordiniert Chaos stiften.

DU hast ein konzeptionelles Problem, mehr nicht.

Übrigens eine andere intelligente Lösung wäre die Erstellung eines
Policy-Daemons der für jede Mail die er bearbeitet den MX der
Ziel-Domain ermittelt.
Zeigt dieser auf Deine Systeme wird die Mail entsprechend abgelegt und
ansonsten wird auf einen Transport umgebogen, der die Mail in die "freie
Wildbahn" umleitet, so dass sie an den jeweiligen MX zugestellt wird.

Thomas


From postfixbuch-users at gmj.cjb.net  Wed Apr 27 11:48:40 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 27 Apr 2011 11:48:40 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?verst=C3=A4ndnis_inbound_outbound?=
In-Reply-To: <7493D9FA42604771924ED2F848172CB4@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net>
	<7493D9FA42604771924ED2F848172CB4@nmm.local>
Message-ID: <4DB7E678.6070805@gmj.cjb.net>

Am 27.04.11 11:24, schrieb Hajo Locke:

> Hmm, dann müsste ich das aber dauerhaft machen. MXe ändern sich und 
> möglicherweise zeigt ja mal dann eine Domain auf mich und ich benötige das 
> Postfach wieder.

1. "Hotmail" (aus Deinem Beispiel) wird wohl kaum per MX auf Deinen
   Mailserver zeigen.

2. Falls Du bestehende Weiterleitungen hast, die auf Domain B zeigen und
   Dein MX ab sofort für Domain B zuständig sein soll:
   Trage Domain B in Deine Config ein!

3. Sollte Dein MX momentan für Domain C zuständig sein, ab morgen aber
   nicht mehr: Lösche Domain C aus Deiner Config.

Prinzipiell sollte es dann reichen, den MX-Record vor dem
(automatischen) Config-Eintrag zu prüfen.
Auf Punkt 3 ist entsprechendes Augenmerk zu richten.

Ansonsten haben Dir die Anderen aus meiner Sicht deutlich zum Ausdruck
gebracht, dass die Verwaltung der zuständigen Domains eines Mailservers
eine kritische Stelle ist, die mit entsprechender Sorgfalt zu behandeln ist.

Mathias.


From hajo.locke at gmx.de  Wed Apr 27 12:49:24 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 12:49:24 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>
	<4DB7E42B.2010501@thomasschwenski.de>
Message-ID: <17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>

Hallo,


> Übrigens eine andere intelligente Lösung wäre die Erstellung eines
> Policy-Daemons der für jede Mail die er bearbeitet den MX der
> Ziel-Domain ermittelt.
> Zeigt dieser auf Deine Systeme wird die Mail entsprechend abgelegt und
> ansonsten wird auf einen Transport umgebogen, der die Mail in die "freie
> Wildbahn" umleitet, so dass sie an den jeweiligen MX zugestellt wird.
Hab ich auch erst gedacht, aber der mx des envelope-to zeigt ja auf mich bei 
einem reinen mx-server, aber das ziel einer weiterleitung eben nicht 
unbedingt und das würde ich mit einem policy-service nicht erschlagen 
können.

Danke,
Hajo 



From hajo.locke at gmx.de  Wed Apr 27 13:08:11 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 13:08:11 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
	<20110427091033.GA26276@laptop-dg.leere.eu>
Message-ID: <0F98589FA9074C0DB6D54F681B63598E@nmm.local>

Hallo,

>> Nicht anlegen der "falschen" Konten ist keine Option, wie will man

>Natürlich ist das eine Option!
>Es ist die einzige Option!
Ich bin davon nicht begeistert aber scheint so zu sein.

>> das kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu
>> prüfen und immer wieder den MX zu checken.

> Wofür gibt es Computer? Entwickele Dir Deinen eigenen Automaten, der
> die eingetragenen (besser noch die einzutragenden) Domains überprüft
> und ggf. ablehnt.

Machst du das selbst so?
Muss doch hier jemanden geben der auch Kunden oder Mitarbeitern ein Menü zur 
Verfügung stellt und dies selbst irgendwie gelöst hat.
Das permanente Checken der MXe und dahingehendes Schreiben der Conf scheint 
mir momentan die einzige Option zu sein, davon ausgehend dann Ziele 
aktivieren oder abschalten.
Ab einer gewißen Zahl von Domains scheint mir das aber dann nicht mehr 
praktisch zu sein, du wärst ja nur mit auflösen und conf schreiben 
beschäftigt.
Eine Glaskugeloption wünsche ich mir nicht. Eher so ein Schalter der nicht 
mehr immer nur die lokale Zustellung bevorzugt sondern echte MXe beachtet 
und sich das Postfix damit kümmert. Momentan könnte ich mir vorstellen das 
dies mein Problem lösen würde...
Führt das jemand mit der permanenten Prüfung der MXe so durch und hat 
Erfahrung damit?

Danke,
Hajo



From mailing-lists at thomasschwenski.de  Wed Apr 27 13:10:22 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 27 Apr 2011 13:10:22 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>	<4DB7E42B.2010501@thomasschwenski.de>
	<17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>
Message-ID: <4DB7F99E.4050406@thomasschwenski.de>

Am 27.04.11 12:49, schrieb Hajo Locke:
> Hallo,
> 
> 
>> Übrigens eine andere intelligente Lösung wäre die Erstellung eines
>> Policy-Daemons der für jede Mail die er bearbeitet den MX der
>> Ziel-Domain ermittelt.
>> Zeigt dieser auf Deine Systeme wird die Mail entsprechend abgelegt und
>> ansonsten wird auf einen Transport umgebogen, der die Mail in die "freie
>> Wildbahn" umleitet, so dass sie an den jeweiligen MX zugestellt wird.
> Hab ich auch erst gedacht, aber der mx des envelope-to zeigt ja auf mich
> bei einem reinen mx-server, aber das ziel einer weiterleitung eben nicht
> unbedingt und das würde ich mit einem policy-service nicht erschlagen
> können.

Doch kannst Du - nur muss Dein Policy-Service eben auch Deine
Weiterleitungen auflösen können.

Thomas


From hajo.locke at gmx.de  Wed Apr 27 13:18:25 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 13:18:25 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>	<4DB7E42B.2010501@thomasschwenski.de><17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>
	<4DB7F99E.4050406@thomasschwenski.de>
Message-ID: <B4B141E71052479EA6E229004707842C@nmm.local>


> Doch kannst Du - nur muss Dein Policy-Service eben auch Deine
> Weiterleitungen auflösen können.
stimmt, aber ich kann die mail nicht rejecten da die eigentliche 
einlieferung ja korrekt ist und die sollte ich dann nicht verwehren.
es liegt ja meist nicht der standardfall vor sondern es kann ja auch ein 
legitimes lokales ziel vorkommen denen ich dann die mail verweigere.

Danke,
Hajo 



From mailing-lists at thomasschwenski.de  Wed Apr 27 13:21:51 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 27 Apr 2011 13:21:51 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <B4B141E71052479EA6E229004707842C@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>	<4DB7E42B.2010501@thomasschwenski.de><17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>	<4DB7F99E.4050406@thomasschwenski.de>
	<B4B141E71052479EA6E229004707842C@nmm.local>
Message-ID: <4DB7FC4F.7010800@thomasschwenski.de>

Am 27.04.11 13:18, schrieb Hajo Locke:
> 
>> Doch kannst Du - nur muss Dein Policy-Service eben auch Deine
>> Weiterleitungen auflösen können.
> stimmt, aber ich kann die mail nicht rejecten da die eigentliche
> einlieferung ja korrekt ist und die sollte ich dann nicht verwehren.
> es liegt ja meist nicht der standardfall vor sondern es kann ja auch ein
> legitimes lokales ziel vorkommen denen ich dann die mail verweigere.

Wieso willst Du denn jetzt auf einmal rejecten?
Ich denke es geht Dir um Weiterleitungen und Transports?

Thomas


From kai_postfix at fuerstenberg.ws  Wed Apr 27 13:33:11 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 27 Apr 2011 13:33:11 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>	<4DB7E42B.2010501@thomasschwenski.de>
	<17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>
Message-ID: <4DB7FEF7.1070008@fuerstenberg.ws>

Am 27.04.2011 12:49, schrieb Hajo Locke:
> Hab ich auch erst gedacht, aber der mx des envelope-to zeigt ja auf mich bei 
> einem reinen mx-server, aber das ziel einer weiterleitung eben nicht 
> unbedingt

Doch, tut es. Bei einer Weiterleitung wird der Emvelope-To
umgeschrieben. Der Header-To bleibt der alte.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From hajo.locke at gmx.de  Wed Apr 27 13:38:46 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 13:38:46 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>	<4DB7E42B.2010501@thomasschwenski.de><17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>	<4DB7F99E.4050406@thomasschwenski.de><B4B141E71052479EA6E229004707842C@nmm.local>
	<4DB7FC4F.7010800@thomasschwenski.de>
Message-ID: <E75BB12A7FC84B8FAD9E823E6F575975@nmm.local>


> Wieso willst Du denn jetzt auf einmal rejecten?
> Ich denke es geht Dir um Weiterleitungen und Transports?

hmm, welche action meinst du denn die der policy-service zurückgeben soll?
Meinst du FILTER?
http://www.postfix.org/access.5.html
ich bin da grad gedanklich nur bei den standardactions...
Hajo 



From mailing-lists at thomasschwenski.de  Wed Apr 27 13:45:21 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Wed, 27 Apr 2011 13:45:21 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <E75BB12A7FC84B8FAD9E823E6F575975@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>	<4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local>	<4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>	<4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local>	<4DB7D689.2080804@gmj.cjb.net><7493D9FA42604771924ED2F848172CB4@nmm.local>	<4DB7E42B.2010501@thomasschwenski.de><17DD7BC1BF494D25A49CC902E144EBAF@nmm.local>	<4DB7F99E.4050406@thomasschwenski.de><B4B141E71052479EA6E229004707842C@nmm.local>	<4DB7FC4F.7010800@thomasschwenski.de>
	<E75BB12A7FC84B8FAD9E823E6F575975@nmm.local>
Message-ID: <4DB801D1.9020400@thomasschwenski.de>

Am 27.04.11 13:38, schrieb Hajo Locke:
> 
>> Wieso willst Du denn jetzt auf einmal rejecten?
>> Ich denke es geht Dir um Weiterleitungen und Transports?
> 
> hmm, welche action meinst du denn die der policy-service zurückgeben soll?
> Meinst du FILTER?

Entweder das (müsstest Du mal testen) oder Du regelst das ganze
stattdessen gleich mit einem SMTP-Proxy (Content -Filter).

Thomas


From driessen at fblan.de  Wed Apr 27 13:46:12 2011
From: driessen at fblan.de (Driessen)
Date: Wed, 27 Apr 2011 13:46:12 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <0F98589FA9074C0DB6D54F681B63598E@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu>
	<0F98589FA9074C0DB6D54F681B63598E@nmm.local>
Message-ID: <001601cc04d0$b4f8ba90$0565a8c0@uwe>

On Behalf Of Hajo Locke
> >> Nicht anlegen der "falschen" Konten ist keine Option, wie will man
> 
> >Natürlich ist das eine Option!
> >Es ist die einzige Option!
> Ich bin davon nicht begeistert aber scheint so zu sein.
> 
> >> das kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu
> >> prüfen und immer wieder den MX zu checken.
> 
> > Wofür gibt es Computer? Entwickele Dir Deinen eigenen Automaten, der
> > die eingetragenen (besser noch die einzutragenden) Domains überprüft
> > und ggf. ablehnt.
> 
> Machst du das selbst so?
> Muss doch hier jemanden geben der auch Kunden oder Mitarbeitern ein Menü
> zur
> Verfügung stellt und dies selbst irgendwie gelöst hat.
> Das permanente Checken der MXe und dahingehendes Schreiben der Conf
> scheint
> mir momentan die einzige Option zu sein, davon ausgehend dann Ziele
> aktivieren oder abschalten.
> Ab einer gewißen Zahl von Domains scheint mir das aber dann nicht mehr
> praktisch zu sein, du wärst ja nur mit auflösen und conf schreiben
> beschäftigt.
> Eine Glaskugeloption wünsche ich mir nicht. Eher so ein Schalter der nicht
> mehr immer nur die lokale Zustellung bevorzugt sondern echte MXe beachtet
> und sich das Postfix damit kümmert. Momentan könnte ich mir vorstellen das
> dies mein Problem lösen würde...
> Führt das jemand mit der permanenten Prüfung der MXe so durch und hat
> Erfahrung damit?
> 

Also ich hab nicht den ganzen Beitrag mitgelesen aber um was geht es denn
hier? 

ISP Verwaltung in der Domains und dazugehörende Mailadressen usw.
eingetragen werden können? Dieses die Mailadressen usw. verwaltet und unter
Postfix usw. zur Verfügung stellt?

Dann schau dir mal SYSCP, ISPCP, Confixx usw. an. Das kann dann bis zur
Pflege des DNS erweitert werden.

Da gibt es dann sogar Menue's für die DAUS.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From hajo.locke at gmx.de  Wed Apr 27 14:01:23 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 14:01:23 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local>
	<001601cc04d0$b4f8ba90$0565a8c0@uwe>
Message-ID: <6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local>

Hallo,

> ISP Verwaltung in der Domains und dazugehörende Mailadressen usw.
> eingetragen werden können? Dieses die Mailadressen usw. verwaltet und 
> unter
> Postfix usw. zur Verfügung stellt?

nö, um derartige Hilfssoftware geht es nicht.
hier fängts im Grunde an:
https://listi.jpberlin.de/pipermail/postfixbuch-users/2011-April/056388.html
Mich interessieren nach wie vor Lösungen die bereits erfolgreich genutzt 
werden.

Danke,
Hajo



From atann at alphasrv.net  Wed Apr 27 14:55:04 2011
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 27 Apr 2011 14:55:04 +0200
Subject: [Postfixbuch-users] Dovecot / TLS-Problem
Message-ID: <201104271455.04863@inter.netz>

Servus zusammen,

ich beobachte auf einem meiner Mailserver gelegentlich folgendes:

Apr 27 14:26:18 mail dovecot: imap-login: Disconnected (no auth
attempts): rip=192.168.0.13, lip=192.168.116.200, TLS handshaking:
SSL_accept() failed: error:140760FC:SSL
routines:SSL23_GET_CLIENT_HELLO:unknown protocol

Der Client ist Outlook2003. Nicht bei allen O2003 kommt es zu diesen
Fehlern, und es kommt auf einem bestimmten O2003 auch nicht immer zu dem
Fehler, sondern nur manchmal.

Etwas Googelei hat zwar keine Lösung erbracht. Aber anscheinend ist das
Problem eher das TLS-Zertifikat als Dovecot.  Das Zertifikat habe ich
erstellt wie im Buch vorgeschlagen. Das war vor einem Jahr, und kürzlich
mußte ich das Zertifikat verlängern, weil es abgelaufen war.

Kann es sein, daß das Zertifikat irgend eine Macke hat? Ist die im Buch
vorgeschlagene Generierungsmethode irgendwie speziell, sodaß Dovecot
nicht damit umgehen kann?

-- 
Andre Tann



From marc.samendinger at sp-online.de  Wed Apr 27 15:00:40 2011
From: marc.samendinger at sp-online.de (Samendinger, Marc)
Date: Wed, 27 Apr 2011 15:00:40 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local><001601cc04d0$b4f8ba90$0565a8c0@uwe>
	<6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local>
Message-ID: <FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE>

> -----Original Message-----
> From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] On Behalf Of Hajo Locke
> Sent: Wednesday, April 27, 2011 2:01 PM
> 
> Hallo,

Hallo Hajo,
 
> nö, um derartige Hilfssoftware geht es nicht.
> hier fängts im Grunde an:
> https://listi.jpberlin.de/pipermail/postfixbuch-users/2011-
> April/056388.html
> Mich interessieren nach wie vor Lösungen die bereits erfolgreich
> genutzt
> werden.

meiner Meinung nach suchst du zwanghaft nach einer Lösung für ein
Problem, das völlig an den Haaren herbeigezogen ist und einfach
technisch nicht sinnvoll gelöst wird.

Wer kommt denn auf die Idee ein Postfach auf einem Mailserver
einzurichten für dessen Domain er nicht zuständig ist?
Noch dazu würde in deinem Setup tatsächlich nur ein Problem
entstehen wenn jemand die Mailadresse lokal anlegt _und_
eine Weiterleitung auf diese Adresse einrichtet.

Auf alle Situationen gefasst zu sein mag ja ganz schön sein,
aber Administratoren die den Zugriff auf die komplette Mailserver
Konfiguration haben sollten wissen was sie tun und nicht wahllos
Mailboxen für Domains anlegen die gar nicht bei ihnen liegen.
User die vielleicht auf so eine Idee kommen könnten weil sie nicht
wissen was sie damit anrichten, dürfen eben maximal die Rechte
bekommen, Mailadressen innerhalb ihrer zugewiesenen Domains anlegen
zu können.

> Danke,
> Hajo

Ich denke eine bereits erfolgreiche Lösung wird nicht genutzt
weil das Problem einfach nicht gesehen wird. (Zumindest seh ich
es nicht)

Gruß
Marc


From hajo.locke at gmx.de  Wed Apr 27 15:34:56 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 15:34:56 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local><001601cc04d0$b4f8ba90$0565a8c0@uwe><6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE>
Message-ID: <6DE18AC082684F8782E14883201E80CC@nmm.local>

Hallo,

> Wer kommt denn auf die Idee ein Postfach auf einem Mailserver
> einzurichten für dessen Domain er nicht zuständig ist?
> Noch dazu würde in deinem Setup tatsächlich nur ein Problem
> entstehen wenn jemand die Mailadresse lokal anlegt _und_
> eine Weiterleitung auf diese Adresse einrichtet.
ich sag ja, je mehr domains auf den mx zeigen umso unangenehmer das problem.

> Auf alle Situationen gefasst zu sein mag ja ganz schön sein,
> aber Administratoren die den Zugriff auf die komplette Mailserver
> Konfiguration haben sollten wissen was sie tun und nicht wahllos
> Mailboxen für Domains anlegen die gar nicht bei ihnen liegen.
> User die vielleicht auf so eine Idee kommen könnten weil sie nicht
> wissen was sie damit anrichten, dürfen eben maximal die Rechte
> bekommen, Mailadressen innerhalb ihrer zugewiesenen Domains anlegen
> zu können.
sorry, aber das ist quatsch. es geht hier nicht um einem mailserver in einer 
kleinen firma wo jeder alles überblicken kann.
angenommen du wärst isp und gibts deinen usern ein menü. Du kannst dort dem 
kunden nicht sagen trag dies nicht ein/trag das nicht ein. das muss 
grundsätzlich egal sein.
Die Konfiguration im Hintergrund muss das Problem vermeiden können. Oder was 
ist mit Domains die zukünftig umziehen sollen, dürfen die dann nie vorher 
angelegt werden?
Es ist ja nichts ungewöhnliches dass ein Kunde von Postfach x eine 
Weiterleitung an hotmail hat. Wenn nun ein anderer, blos mal um zu probieren 
was passiert, ein postfach zu hotmail anlegt, dann hast du ein problem, und 
zwar _alle_ weiterleitungen die eigentlich an hotmail gehen sollen. probier 
es aus...daher vergiss die Verwaltung von 3 Domains die du noch überblicken 
kannst...
ein permanentes prüfen der MXe und dahingehendes zulassen von conf-einträgen 
scheint mir momentan noch das umsetzungsfreudigste, auch wenn ich die lösung 
im allgemeinen nicht für schön halte.
An den Haaren herbeigezogen ist das Problem aber nicht, glaub mir...

Hajo 



From p.heinlein at heinlein-support.de  Wed Apr 27 15:22:53 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 27 Apr 2011 15:22:53 +0200
Subject: [Postfixbuch-users] Dovecot / TLS-Problem
In-Reply-To: <201104271455.04863@inter.netz>
References: <201104271455.04863@inter.netz>
Message-ID: <201104271522.53418.p.heinlein@heinlein-support.de>

Am Mittwoch, 27. April 2011, 14:55:04 schrieb Andre Tann:

> Der Client ist Outlook2003. Nicht bei allen O2003 kommt es zu diesen
> Fehlern, und es kommt auf einem bestimmten O2003 auch nicht immer zu
> dem Fehler, sondern nur manchmal.


Bei Postfxy gibt es den Klassiker, daß alte OLEs veraltete, unsichere 
SSL-Methoden benutzen (SSL2) und diese in neueren Postfixen halt per 
Default nicht mehr erlaubt sind.

Ich weiß jetzt nicht , was du da an Dovecot hast und welchen 
Versionsstand das hat, aber schau in die Richtung doch mal nach.

Peer



-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

Besuchen Sie uns auf der CeBIT 2011 in Halle 2 und 11.
Weitere Informationen und Freitickets unter
http://heinlein-support.de/cebit

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From lists at dguhl.org  Wed Apr 27 15:37:44 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Wed, 27 Apr 2011 15:37:44 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <0F98589FA9074C0DB6D54F681B63598E@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>
	<4DA85F75.70003@fuerstenberg.ws>
	<D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
	<4DA86704.6040600@fuerstenberg.ws>
	<B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
	<4DB7C8D2.8010705@fuerstenberg.ws>
	<D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
	<20110427091033.GA26276@laptop-dg.leere.eu>
	<0F98589FA9074C0DB6D54F681B63598E@nmm.local>
Message-ID: <20110427133744.GA10028@PC211.ikt.de>

On Wed, Apr 27, 2011 at 01:08:11PM +0200, Hajo Locke wrote:
> Hallo,
> 
> >>Nicht anlegen der "falschen" Konten ist keine Option, wie will man
> 
> >Natürlich ist das eine Option!
> >Es ist die einzige Option!
> Ich bin davon nicht begeistert aber scheint so zu sein.
> 
> >>das kontrollieren? Es ist ja nicht Ziel alle Domains händisch zu
> >>prüfen und immer wieder den MX zu checken.
> 
> >Wofür gibt es Computer? Entwickele Dir Deinen eigenen Automaten, der
> >die eingetragenen (besser noch die einzutragenden) Domains überprüft
> >und ggf. ablehnt.
> 
> Machst du das selbst so?

Nein.

Dieser 'Lösungsvorschlag' war -- auch wenn er denkbar / machbar ist --
sarkastisch gemeint.

Wie auch schon dargelegt, ist das auch nicht notwendig.

> Muss doch hier jemanden geben der auch Kunden oder Mitarbeitern ein
> Menü zur Verfügung stellt und dies selbst irgendwie gelöst hat.

Die Berechtigungen auf den Mailservern die ich (mit) betreue sind so
ausgestaltet, dass nur eine Hand voll Leute die Möglichkeit haben
Postfix zu sagen für welche Domains er zuständig ist. Und diese Leute
sind sich selbstverständlich auch im Klaren darüber, was sie wo
eintragen können und dürfen.

> Das permanente Checken der MXe und dahingehendes Schreiben der Conf
> scheint mir momentan die einzige Option zu sein, davon ausgehend
> dann Ziele aktivieren oder abschalten.

Das ist das falsche Konzept. Du solltest das Problem nicht ex post
lösen, sondern bevor es überhaupt ein Problem wird -- auf Ebene des
Layer acht sozusagen ;)

> Ab einer gewißen Zahl von Domains scheint mir das aber dann nicht
> mehr praktisch zu sein, du wärst ja nur mit auflösen und conf
> schreiben beschäftigt.
> Eine Glaskugeloption wünsche ich mir nicht. Eher so ein Schalter der
> nicht mehr immer nur die lokale Zustellung bevorzugt sondern echte
> MXe beachtet und sich das Postfix damit kümmert. Momentan könnte ich
> mir vorstellen das dies mein Problem lösen würde...
> Führt das jemand mit der permanenten Prüfung der MXe so durch und
> hat Erfahrung damit?

Das bezweifele ich ganz stark.

Dennis


From hajo.locke at gmx.de  Wed Apr 27 16:06:16 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 16:06:16 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local>
	<20110427133744.GA10028@PC211.ikt.de>
Message-ID: <9FFA7B15A581445EB970021C1C955B88@nmm.local>

Hallo,


> Die Berechtigungen auf den Mailservern die ich (mit) betreue sind so
> ausgestaltet, dass nur eine Hand voll Leute die Möglichkeit haben
> Postfix zu sagen für welche Domains er zuständig ist. Und diese Leute
> sind sich selbstverständlich auch im Klaren darüber, was sie wo
> eintragen können und dürfen.
Es ist klar dass dann das Problem nicht auftritt, es trifft nicht die 
geschilderte Ausgangssituation.
Meine Frage war aber wie man das Problem vermeiden könnte wenn man eben 
nicht Domains durch Admins eintragen lässt sondern eben in einem frei 
zugänglichen Kundenmenü wie es bei einem ISP der Fall wäre. Die müssen es 
doch auch gelöst haben.
Sarkamsus habe ich in Ermangelung einer anderen Lösung nicht erkannt, bitte 
nur ernstgemeinte Lösungsvorschläge.

Danke,
Hajo



From atann at alphasrv.net  Wed Apr 27 16:09:37 2011
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 27 Apr 2011 16:09:37 +0200
Subject: [Postfixbuch-users] Dovecot / TLS-Problem
In-Reply-To: <201104271522.53418.p.heinlein@heinlein-support.de>
References: <201104271455.04863@inter.netz>
	<201104271522.53418.p.heinlein@heinlein-support.de>
Message-ID: <201104271609.37698@inter.netz>

Peer Heinlein, Mittwoch 27 April 2011: 


> Ich weiß jetzt nicht , was du da an Dovecot hast und welchen
> Versionsstand das hat, aber schau in die Richtung doch mal nach.

# rpm -qa | grep dovecot
dovecot12-backend-pgsql-1.2.16-24.1.x86_64
dovecot12-backend-sqlite-1.2.16-24.1.x86_64
dovecot12-1.2.16-24.1.x86_64
dovecot12-backend-mysql-1.2.16-24.1.x86_64

Wie kriegt man denn raus, mit welcher Version der Client kommt?
Netzwerkdump o.ä. dürfte wenig nützen, weil es ja verschlüsselt ist.

Logging von Dovecot hab ich schon aufgedreht, aber da sieht man die
Version von ssl/tls nicht.

Außerdem müßte es dann doch reproduzierbar immer oder nie sein, und
nicht heute schon, morgen nicht.

-- 
Andre Tann



From marc.samendinger at sp-online.de  Wed Apr 27 16:15:08 2011
From: marc.samendinger at sp-online.de (Samendinger, Marc)
Date: Wed, 27 Apr 2011 16:15:08 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <6DE18AC082684F8782E14883201E80CC@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local><001601cc04d0$b4f8ba90$0565a8c0@uwe><6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local><FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE>
	<6DE18AC082684F8782E14883201E80CC@nmm.local>
Message-ID: <FEF8DE49123B57488E0A4CF8421959899FE6C0@sp-kom02.SP-GRUPPE.DE>

> -----Original Message-----
> From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] On Behalf Of Hajo Locke
> Sent: Wednesday, April 27, 2011 3:35 PM
> To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Subject: Re: [Postfixbuch-users]verständnis inbound outbound


> > Auf alle Situationen gefasst zu sein mag ja ganz schön sein,
> > aber Administratoren die den Zugriff auf die komplette Mailserver
> > Konfiguration haben sollten wissen was sie tun und nicht wahllos
> > Mailboxen für Domains anlegen die gar nicht bei ihnen liegen.
> > User die vielleicht auf so eine Idee kommen könnten weil sie nicht
> > wissen was sie damit anrichten, dürfen eben maximal die Rechte
> > bekommen, Mailadressen innerhalb ihrer zugewiesenen Domains anlegen
> > zu können.
> sorry, aber das ist quatsch. es geht hier nicht um einem mailserver in
> einer
> kleinen firma wo jeder alles überblicken kann.
> angenommen du wärst isp und gibts deinen usern ein menü. Du kannst dort

Angenommen ich betreue tatsächlich die Mailserver eines ISP.

> kunden nicht sagen trag dies nicht ein/trag das nicht ein. das muss
> grundsätzlich egal sein.

Ein ganz klares, Nein! Der Kunde darf nicht eintragen was er will, wo
kommen wir denn da hin. Der Kunde darf in seiner Domäne spielen wenn
die Domäne zuvor freigegeben wurde aber doch nicht einfach wild Domänen
anlegen.

> Die Konfiguration im Hintergrund muss das Problem vermeiden können.
> Oder was ist mit Domains die zukünftig umziehen sollen, dürfen die
> dann nie vorher angelegt werden?

Doch natürlich, aber sie dürfen erstens nicht aktiv sein und zweitens
darf dies vom Kunden nicht selbst gemacht werden.

> Es ist ja nichts ungewöhnliches dass ein Kunde von Postfach x eine
> Weiterleitung an hotmail hat. Wenn nun ein anderer, blos mal um zu
> probieren was passiert, ein postfach zu hotmail anlegt, dann hast du
> ein problem, und zwar _alle_ weiterleitungen die eigentlich an hotmail
> gehen sollen.

Nochmal, aus welchem Grund sollte dein Kunde _deinem_ Server die
Domäne hotmail.com unterschieben dürfen?
Mir fällt kein plausibler Grund ein.

Kannst du als 1&1, Domainfactory, Schlund, whatever Kunde, denn einfach
Domänen anlegen wie du lustig bist?
Du kannst sie registrieren aber doch nicht einfach anlegen "blos mal
um zu probieren was passiert" Wenn ein Kunde das auf deinem Server
kann liegt doch da schon das Problem.

> probier es aus...daher vergiss die Verwaltung von 3 Domains die du
> noch überblicken kannst...
> ein permanentes prüfen der MXe und dahingehendes zulassen von conf-
> einträgen scheint mir momentan noch das umsetzungsfreudigste, auch
> wenn ich die lösung im allgemeinen nicht für schön halte.
> An den Haaren herbeigezogen ist das Problem aber nicht, glaub mir...
> 
> Hajo

Ich bin gespannt welche Lösung du findest.

Gruß
Marc


From hajo.locke at gmx.de  Wed Apr 27 16:20:14 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 16:20:14 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local><001601cc04d0$b4f8ba90$0565a8c0@uwe><6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local><FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE><6DE18AC082684F8782E14883201E80CC@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6C0@sp-kom02.SP-GRUPPE.DE>
Message-ID: <79C10F7CF83D4AB4875C756A9FED2554@nmm.local>

Hallo,

> Ich bin gespannt welche Lösung du findest.

ich auch...

Hajo 



From torben at dannhauer.info  Wed Apr 27 15:59:43 2011
From: torben at dannhauer.info (Torben Dannhauer)
Date: Wed, 27 Apr 2011 15:59:43 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
	=?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigen?=
	=?iso-8859-1?q?e=29_Benutzer=2C_f=FCr_alle_anderen_Rejects?=
Message-ID: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>

Hallo,

 

ich habe ein Problem mein Postfix im Zusammenspiel mit Amavis korrekt zu
konfigurieren.

 

Ich nutze Amavis als proxy_filter, was soweit auch problemlos funktioniert.

 

Nun habe ich mit dem GTUBE Spamtest ein wenig rumgespielt. Wenn von extern
eine eMail mit diesem Test-Spam eintrifft, blockt Amavis als proxy_filter
diese Mail mit D_REJECT. -> So soll es sein.

Wenn ich versuche eine GTUBE Spam-eMail von meinen Mailserver nach draußen
zu schicken, wird die Einlieferung durch Outlook von amavis ebenfalls
geblockt. 

Zwar ist es richtig die Spam-eMail zu blocken, jedoch bemerkt Outlook das
REJECT im STMP Protokoll anscheinend nicht – Der Sender bemerkt also nicht
dass seine Email nicht raus ist.

 

è Lösungsansatz: SASL-Authentifizierte Benutzer sollen kein Reject, sondern
einen Bounce von Amavis erhalten. (D_BOUNCE anstelle D_REJECT)

Hierzu wollte ich policy_banks nutzen. Netterweise gibt es ja sogar eine
policy_bank ‚MYUSERS‘, doch leider greift diese policy_bank bei mir nicht.
Natürlich könnte ich zwei verschiedene IPs nehmen, einen für MX, eine für
die internen User, aber das ist irgendwie unschön, ‚MYUSERS‘ wäre schon
netter.

 

Frage a): Woran kann es liegen dass MYUSERS nicht erkannt wird in Amavis? 

 

Frage b) Gibt es noch andere Lösungen um die Bounces bei eigenen Userns zu
verlangen, und bei allen anderen SMTP Einlieferungen REJECTs zu verwenden? 

 

 

Vielen Dank für die Hilfe, ich bin da grade etwas Orientierungslos.

 

 

Torben Dannhauer

 

 

Meine Daten:

OS: Debian Squeeze

Main.cf, master.cf, amavis-conf (conf.d/50-user)

 

---------------------------- Amavis conf:  --------------------------

cat /etc/amavis/conf.d/50-user

use strict;

 

#

# Place your configuration directives here.  They will override those in

# earlier files.

#

# See /usr/share/doc/amavisd-new/ for documentation and examples of

# the directives you can use in this file

#

 

$inet_socket_port = [10024, 10030];

$log_level = 4;

 

# Virus and SPAM check is disabled by default, therefore we have to enable
it:

@bypass_virus_checks_maps = (

   \%bypass_virus_checks, \@bypass_virus_checks_acl,
\$bypass_virus_checks_re);

@bypass_spam_checks_maps = (

   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

 

$final_virus_destiny      = D_REJECT;  # (data not lost, see virus
quarantine)

$final_banned_destiny     = D_REJECT;   # D_REJECT when front-end MTA

$final_spam_destiny       = D_REJECT;

$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)

 

$sa_spam_subject_tag = '****SPAM**** ';

$sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above that
level

$sa_tag2_level_deflt = 5.0; # add 'spam detected' headers at that level

$sa_kill_level_deflt = 6.31; # triggers spam evasive actions

$sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent
(Only relevant if D_BOUNCE is used)

 

# Do not save mails in quarantine

$virus_quarantine_to = undef;

$spam_quarantine_to = undef;

$banned_quarantine_to = undef;

$bad_header_quarantine_to = undef;

 

# configure how many instances amavis should run at max (postfix-limit+1 [+1
for                         AM.DPD])

$max_servers = 7;

 

# SQL Settings

@lookup_sql_dsn = ([ 'DBI:Pg:database=amavis', 'dbuser', 'hiddenpass' ]);

 

# Bounce own users on bads behaviour

$policy_bank{'MYUSERS'} = {  # mail supposedly originating from our users

  originating => 1,  # declare that mail was submitted by our smtp client

  final_virus_destiny => D_BOUNCE, # bounce only to authenticated local
users

  final_banned_destiny=> D_BOUNCE,

  final_spam_destiny  => D_BOUNCE,

};

#------------ Do not modify anything below this line -------------

1;  # ensure a defined return

 

 

 

---------------- master.cf---------------------------

#

# Postfix master process configuration file.  For details on the format

# of the file, see the master(5) manual page (command: "man 5 master").

#

# Do not forget to execute "postfix reload" after editing this file.

#

# ==========================================================================

# service type  private unpriv  chroot  wakeup  maxproc command + args

#               (yes)   (yes)   (yes)   (never) (100)

# ==========================================================================

smtp      inet  n       -       -       -       -       smtpd

        -o smtpd_proxy_filter=localhost:10024

       -o content_filter=

pickup    fifo  n       -       -       60      1       pickup

        -o content_filter=smtp-amavis:[localhost]:10024

cleanup   unix  n       -       -       -       0       cleanup

qmgr      fifo  n       -       n       300     1       qmgr

tlsmgr    unix  -       -       -       1000?   1       tlsmgr

rewrite   unix  -       -       -       -       -       trivial-rewrite

bounce    unix  -       -       -       -       0       bounce

defer     unix  -       -       -       -       0       bounce

trace     unix  -       -       -       -       0       bounce

verify    unix  -       -       -       -       1       verify

flush     unix  n       -       -       1000?   0       flush

proxymap  unix  -       -       n       -       -       proxymap

proxywrite unix -       -       n       -       1       proxymap

smtp      unix  -       -       -       -       -       smtp

# When relaying mail as backup MX, disable fallback_relay to avoid MX loops

relay     unix  -       -       -       -       -       smtp

        -o smtp_fallback_relay=

showq     unix  n       -       -       -       -       showq

error     unix  -       -       -       -       -       error

retry     unix  -       -       -       -       -       error

discard   unix  -       -       -       -       -       discard

local     unix  -       n       n       -       -       local

virtual   unix  -       n       n       -       -       virtual

lmtp      unix  -       -       -       -       -       lmtp

anvil     unix  -       -       -       -       1       anvil

scache    unix  -       -       -       -       1       scache

#

# ====================================================================

#

# See the Postfix UUCP_README file for configuration details.

#

uucp      unix  -       n       n       -       -       pipe

  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
($recipient)

#

# Other external delivery methods.

#

ifmail    unix  -       n       n       -       -       pipe

  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)

bsmtp     unix  -       n       n       -       -       pipe

  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender
$recipient

scalemail-backend unix  -       n       n       -       2       pipe

  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
${nexthop} ${user} ${extension}

mailman   unix  -       n       n       -       -       pipe

  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py

  ${nexthop} ${user}

maildrop  unix  -       n       n       -       -       pipe

  flags=DRhu user=vmail:vmail argv=/usr/bin/maildrop -w 85 -d
${user}@${nexthop} ${recipient} ${user} ${nexthop} ${sender}

vacation    unix  -       n       n       -       -       pipe

  flags=Rq user=vacation:vacation argv=/var/spool/vacation/vacation.pl -f
${sender} -- ${recipient}

 

# Transport method for postfix->amavis to limit the maximum used amavis
instances.

smtp-amavis     unix    -       -       -       -       6       smtp

        -o smtp_data_done_timeout=1800

        -o disable_mime_output_conversion=yes

        -o smtp_generic_maps=

 

# This port is for the return delivery of scanned emails by amavis.

# This port has no anti spam protection to prevent an infinite loop of
amavis calls.

localhost:10025 inet    n       -       n       -       -       smtpd

        -o content_filter=

        -o smtpd_proxy_filter=

        -o smtpd_authorized_xforward_hosts=127.0.0.0/8

        -o smtpd_client_restrictions=

        -o smtpd_helo_restrictions=

        -o smtpd_sender_restrictions=

        -o smtpd_recipient_restrictions=permit_mynetworks,reject

        -o smtpd_data_restrictions=

        -o mynetworks=127.0.0.0/8

        -o recieve_override_options=no_unknown_recipient_checks

 

# Open port 2333 as alternative SMTP port for ISPs with blocked port 25

smtp:2333      inet  n       -       -       -       -       smtpd

 

 

 

----------------- main.cf-----------------------------

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific:  Specifying a file name will cause the first

# line of that file to be used as the name.  The Debian default

# is /etc/mailname.

#myorigin = /etc/mailname

 

soft_bounce = no

 

#

# General Setup

#

default_database_type = btree

 

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

biff = no

 

# appending .domain is the MUA's job.

append_dot_mydomain = no

 

# Uncomment the next line to generate "delayed mail" warnings

#delay_warning_time = 4h

 

myhostname = myhost.domain.tld

myorigin = /etc/mailname

mydestination = $myhostname, localhost.$mydomain, localhost

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, my-IP

relayhost =

mailbox_size_limit = 0

message_size_limit = 52428800

recipient_delimiter = +

inet_interfaces = all

html_directory = /usr/share/doc/postfix/html

 

 

smtpd_helo_required = yes

disable_vrfy_command = yes

strict_rfc821_envelopes = yes

 

 

# Settings for virtual hosting

virtual_uid_maps      = static:1001

virtual_gid_maps      = static:1001

# Ensures, that no Mails are written to Filesystem outside this path

virtual_mailbox_base  = /var/vmail

 

 

# Lookup maps

## global

transport_maps = pgsql:/etc/postfix/pgsql-transport.cf

relocated_maps = pgsql:/etc/postfix/pgsql-relocated.cf

## local

alias_maps = btree:/etc/aliases pgsql:/etc/postfix/pgsql-aliases.cf

alias_database = btree:/etc/aliases

## virtual

virtual_mailbox_domains = pgsql:/etc/postfix/pgsql-virtual-domains.cf

virtual_mailbox_maps    = pgsql:/etc/postfix/pgsql-virtual-mailbox.cf

virtual_alias_maps      = pgsql:/etc/postfix/pgsql-virtual-alias.cf

 

 

 

# SMTP AUTH (SASL)

smtpd_sasl_auth_enable = yes

smtpd_sasl_local_domain = $myhostname

smtpd_sasl_security_options = noanonymous

broken_sasl_auth_clients    = yes

unknown_local_recipient_reject_code = 550

 

 

 

# Maildrop

maildrop_destination_concurrency_limit = 1

maildrop_destination_recipient_limit   = 1

unknown_maildrop_mailbox_reject_code = 450

 

 

 

## SMTP-Restrictions

smtpd_recipient_restrictions =

# Whitelist RFC-conform

        check_recipient_access btree:/etc/postfix/access_recipient-rfc,

# Whitelisting and Blacklisting

# Don't accept unclean mails

#       reject_non_fqdn_sender, # Todo: Server checken, die nur über ihren
Namen senden

#       reject_non_fqdn_recipient, # Todo: checken, was mit lokalen Accounts
wie root, etc ist.

        reject_unknown_sender_domain,

        reject_unknown_recipient_domain,

# Allow own users

        permit_sasl_authenticated,

        permit_mynetworks,

# Check RBL

        reject_rbl_client zen.spamhaus.org,

        reject_rbl_client ix.dnsbl.manitu.net,

        reject_rbl_client bl.spamcop.net,

        reject_rbl_client dnsbl.njabl.org,

# Policyd-Weight

        check_policy_service inet:127.0.0.1:12525,

# Greylisting

        check_policy_service inet:127.0.0.1:10023,

# Check for known relay recipients

        reject_unverified_recipient,

# Allow Backup-MX

        permit_mx_backup,

# Stop all other relaying

         reject_unauth_destination,

# Now everything is checked,

        permit

 

# Send all email through Amavis:

# No need to call amavis there, the smtp method in master.cf is praperated
to use amavis as smtpd_proxy_filter.

 

# TLS PART START

## SMTP Part

smtp_tls_CAfile = /usr/share/ca-certificates/cacert.org/cacert.org.crt

smtp_tls_cert_file = /etc/postfix/tls/jonathan.dannhauer.info.crt

smtp_tls_key_file = /etc/postfix/tls/jonathan.dannhauer.info.key

smtp_tls_session_cache_database =
btree:${data_directory}/smtp_tls_session_cache

smtp_use_tls = yes

 

## SMTPD Part

smtpd_tls_CAfile = /usr/share/ca-certificates/cacert.org/cacert.org.crt

smtpd_tls_cert_file = /etc/postfix/tls/jonathan.dannhauer.info.crt

smtpd_tls_key_file = /etc/postfix/tls/jonathan.dannhauer.info.key

smtpd_tls_session_cache_database =
btree:${data_directory}/smtpd_tls_session_cache

smtpd_use_tls = yes

 

smtpd_tls_received_header = yes

smtpd_tls_ask_ccert = yes

smtpd_tls_loglevel = 1

tls_random_source = dev:/dev/urandom

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110427/a870a542/attachment.htm>

From kai_postfix at fuerstenberg.ws  Wed Apr 27 16:33:14 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 27 Apr 2011 16:33:14 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <9FFA7B15A581445EB970021C1C955B88@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local>	<20110427133744.GA10028@PC211.ikt.de>
	<9FFA7B15A581445EB970021C1C955B88@nmm.local>
Message-ID: <4DB8292A.4070503@fuerstenberg.ws>

Am 27.04.2011 16:06, schrieb Hajo Locke:
> Meine Frage war aber wie man das Problem vermeiden könnte wenn man eben 
> nicht Domains durch Admins eintragen lässt sondern eben in einem frei 
> zugänglichen Kundenmenü wie es bei einem ISP der Fall wäre. Die müssen es 
> doch auch gelöst haben.

Kein ISP, der klar bei Verstand ist, erlaubt seinen Kunden einen derart
tiefen Eingriff in seine Mailserver-Konfiguration, dass er nach Belieben
Domains einträgt, ohne, dass sie bei ihm registriert sind. Du kannst als
Kunde Domains registrieren, und erst wenn diese registriert sind, kannst
du deine eigene Mailbox oder eine Weiterleitung
_innerhalb_deines_registrierten_Domainpools_ einrichten. Kein ISP wird
es dir erlauben eine Hotmail-Adresse anzulegen, wenn er dafür nicht
zuständig ist, außer vielleicht Hotmail (wofür auch). Bei Email-Adressen
hast du im Web-Interface ein Select-Feld, wo die Domains drin stehen.
Die Domains, die du nutzen kannst, sind vorgegeben. Da ist kein freies
Text-Feld. Bei keinem.

Insofern generierst du ein künstliches Problem, das aber niemals
auftreten wird.

Viele MX-Einträge auf deine Server sind genausowenig ein Problem, sofern
die Domains alle bei dir registriert sind und die MX-Einträge auf deine
Server verweisen. Und wenn fremde Domains auf deine Server verweisen ist
das auch kein Problem, weil deine Postfixe dafür nicht zuständig sind,
und wenn deine DNS-Einträge woanders hinzeigen, hast du was falsch gemacht.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From fk at florian-kaiser.net  Wed Apr 27 16:42:01 2011
From: fk at florian-kaiser.net (Florian Kaiser)
Date: Wed, 27 Apr 2011 16:42:01 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
	=?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigen?=
	=?iso-8859-1?q?e=29_Benutzer=2C_f=FCr_alle_anderen_Rejects?=
In-Reply-To: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>
References: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>
Message-ID: <7FBF7230B6BC4EABB4212169C5A47A55@florian>

Hallo Torben,

>>Zwar ist es richtig die Spam-eMail zu blocken, jedoch bemerkt 
>> Outlook das REJECT im STMP Protokoll anscheinend nicht – 
>> Der Sender bemerkt also nicht dass seine Email nicht raus ist.

Das ist eine bescheuerte Eigenart von Outlook in Verbindung mit Imap. Da man
hier die "persönlichen Ordner" nicht offen hat und Outlook dort, und nur
dort die Fehlermeldung ablegt, dass die E-Mail nicht rausging entsteht der
Eindruck, die E-Mail wäre erfolgreich versandt worden. Manchmal sagt Outlook
sogar explizit Verbindung abgeschlossen, obwohl nichts raus ging.... Kannst
Du nichts dran ändern, ist leider so. Umstieg auf Evolution wäre eine Lösung
;-)

Deine Lösungsansätze sind m.M. nach nicht sinnvoll - Spam sollte immer
REJECT bekommen, nie einen Bounce. Wenn Du den nämlich nicht zustellen
kannst, was dann? Denn sobald angenommen bist Du (= dein Server) für die
E-Mail verantwortlich. Nicht gut, willst Du nicht. Und stell Dir vor, es
werden SMTP-Credentials geleakt. Oder ein Benutzer nimmt den localpart als
Passwort... alles schon gesehen und alles wäre nervig bis katastrophal
geworden, würden wir nicht auch bei SASL-Authed-Benutzern auf Spam filtern
und bei positivem Befund ablehnen.


Viele Grüße
Florian



From hajo.locke at gmx.de  Wed Apr 27 16:48:26 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Wed, 27 Apr 2011 16:48:26 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local><001601cc04d0$b4f8ba90$0565a8c0@uwe><6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local><FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE><6DE18AC082684F8782E14883201E80CC@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6C0@sp-kom02.SP-GRUPPE.DE>
Message-ID: <05DF35EB0C064116A85C0638FB70F8EF@nmm.local>

Hallo,

> Ein ganz klares, Nein! Der Kunde darf nicht eintragen was er will, wo
> kommen wir denn da hin. Der Kunde darf in seiner Domäne spielen wenn
> die Domäne zuvor freigegeben wurde aber doch nicht einfach wild Domänen
> anlegen.

dann haben wir unterschiedliche erfahrungen.

> Nochmal, aus welchem Grund sollte dein Kunde _deinem_ Server die
> Domäne hotmail.com unterschieben dürfen?
>Mir fällt kein plausibler Grund ein.
warum nicht? was ist mit domains die der kunde extern registriert hat und 
nur den mx auf meine systeme zeigen lassen will? dann läuft nur die technik 
über mich aber ich zwinge den kunden nicht zu einem providerwechsel.
was ist mit bei mir registrierten domains deren mx geändert wird und auf 
einmal nach extern zeigt.
oder reseller die das system auch nur technisch nutzen. diverse registrare 
erlauben die registrierung erst wenn die domain auf den nameservern gefunden 
wird, quasi schon technisch existiert.
das verbieten ist nach meiner ansicht keine lösung weil auch alle daten im 
nachhinein variabel sein können. dann lieber nach MXen kucken, dann kann ich 
auch im menü zulassen was da komme...
ich kann natürlich eine liste von domains machen die ich nie zulasse, 
allerdings wird die nie vollständig sein...

Hajo





From rudi.floren at googlemail.com  Wed Apr 27 16:53:29 2011
From: rudi.floren at googlemail.com (Rudi Floren)
Date: Wed, 27 Apr 2011 16:53:29 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <05DF35EB0C064116A85C0638FB70F8EF@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local>
	<4DA85F75.70003@fuerstenberg.ws>
	<D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
	<4DA86704.6040600@fuerstenberg.ws>
	<B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
	<4DB7C8D2.8010705@fuerstenberg.ws>
	<D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
	<20110427091033.GA26276@laptop-dg.leere.eu>
	<0F98589FA9074C0DB6D54F681B63598E@nmm.local>
	<001601cc04d0$b4f8ba90$0565a8c0@uwe>
	<6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE>
	<6DE18AC082684F8782E14883201E80CC@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6C0@sp-kom02.SP-GRUPPE.DE>
	<05DF35EB0C064116A85C0638FB70F8EF@nmm.local>
Message-ID: <BANLkTikkM8iLMtqhKj+Gb0ei6ZycW7uOsQ@mail.gmail.com>

Dann bau einen Test ein, der prüft ob der mx auf dich zeigt, oder diverse
andere Tests. Domain verifizierung etc.

> warum nicht? was ist mit domains die der kunde extern registriert hat und
nur den mx auf meine systeme zeigen lassen will? dann läuft nur die technik
über mich aber ich zwinge den kunden nicht zu einem providerwechsel.
> was ist mit bei mir registrierten domains deren mx geändert wird und auf
einmal nach extern zeigt.
> oder reseller die das system auch nur technisch nutzen. diverse registrare
erlauben die registrierung erst wenn die domain auf den nameservern gefunden
wird, quasi schon technisch existiert.
> das verbieten ist nach meiner ansicht keine lösung weil auch alle daten im
nachhinein variabel sein können. dann lieber nach MXen kucken, dann kann ich
auch im menü zulassen was da komme...
> ich kann natürlich eine liste von domains machen die ich nie zulasse,
allerdings wird die nie vollständig sein...
>
> Hajo
>
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110427/dff7567f/attachment.htm>

From lists at dguhl.org  Wed Apr 27 17:01:15 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Wed, 27 Apr 2011 17:01:15 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?OT=3A_Re=3A__verst=E4ndnis_inb?=
 =?iso-8859-1?q?ound_outbound?=
In-Reply-To: <9FFA7B15A581445EB970021C1C955B88@nmm.local>
References: <4DA85F75.70003@fuerstenberg.ws>
	<D0AC9044D4B74B7FB03DA06494B61956@nmm.local>
	<4DA86704.6040600@fuerstenberg.ws>
	<B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e>
	<4DB7C8D2.8010705@fuerstenberg.ws>
	<D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
	<20110427091033.GA26276@laptop-dg.leere.eu>
	<0F98589FA9074C0DB6D54F681B63598E@nmm.local>
	<20110427133744.GA10028@PC211.ikt.de>
	<9FFA7B15A581445EB970021C1C955B88@nmm.local>
Message-ID: <20110427150115.GB10028@PC211.ikt.de>

Da dieses Thema nicht nur lange OT ist, sondern auch offensichtlich an
den Haaren herbeigezogen, bitte alles Weitere off list.

On Wed, Apr 27, 2011 at 04:06:16PM +0200, Hajo Locke wrote:
> Hallo,
> 
> 
> >Die Berechtigungen auf den Mailservern die ich (mit) betreue sind so
> >ausgestaltet, dass nur eine Hand voll Leute die Möglichkeit haben
> >Postfix zu sagen für welche Domains er zuständig ist. Und diese Leute
> >sind sich selbstverständlich auch im Klaren darüber, was sie wo
> >eintragen können und dürfen.
> Es ist klar dass dann das Problem nicht auftritt, es trifft nicht
> die geschilderte Ausgangssituation.

Da die Ausgangssituation bei Dir hier ein bewegliches Ziel ist, ist
das nicht schwer.

> Meine Frage war aber wie man das Problem vermeiden könnte wenn man
> eben nicht Domains durch Admins eintragen lässt sondern eben in
> einem frei zugänglichen Kundenmenü wie es bei einem ISP der Fall
> wäre. Die müssen es doch auch gelöst haben.

Wenn Du wirklich dieses Problem so hast, dann solltest Du auf allen
Deinen Servern sofort % sudo /sbin/shutdown -h now -- da Du dann
vermutlich eh root bist reicht auch # /sbin/shutdown -h now --
eingeben.

> Sarkamsus habe ich in Ermangelung einer anderen Lösung nicht
> erkannt, bitte nur ernstgemeinte Lösungsvorschläge.

Ich denke, es haben Dir alle in diesem (Thread mehr als) deutlich
gemacht, dass Dein Problem keines ist was einer technischen Lösung
bedarf.

Dennis


From kai_postfix at fuerstenberg.ws  Wed Apr 27 17:09:43 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 27 Apr 2011 17:09:43 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <05DF35EB0C064116A85C0638FB70F8EF@nmm.local>
References: <E32068064B0842089913351A57DC7B2D@nmm.local><4DA85F75.70003@fuerstenberg.ws><D0AC9044D4B74B7FB03DA06494B61956@nmm.local><4DA86704.6040600@fuerstenberg.ws><B71756A6252C4130A84C78C2D5AFFA77@hansadd566750e><4DB7C8D2.8010705@fuerstenberg.ws><D9A618C260B14E3BA866D0B46ABB264D@nmm.local><20110427091033.GA26276@laptop-dg.leere.eu><0F98589FA9074C0DB6D54F681B63598E@nmm.local><001601cc04d0$b4f8ba90$0565a8c0@uwe><6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local><FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE><6DE18AC082684F8782E14883201E80CC@nmm.local>	<FEF8DE49123B57488E0A4CF8421959899FE6C0@sp-kom02.SP-GRUPPE.DE>
	<05DF35EB0C064116A85C0638FB70F8EF@nmm.local>
Message-ID: <4DB831B7.2080107@fuerstenberg.ws>

Am 27.04.2011 16:48, schrieb Hajo Locke:
> warum nicht? was ist mit domains die der kunde extern registriert hat
> und nur den mx auf meine systeme zeigen lassen will? dann läuft nur
> die technik über mich aber ich zwinge den kunden nicht zu einem
> providerwechsel. was ist mit bei mir registrierten domains deren mx
> geändert wird und auf einmal nach extern zeigt. oder reseller die das
> system auch nur technisch nutzen. diverse registrare erlauben die
> registrierung erst wenn die domain auf den nameservern gefunden wird,
> quasi schon technisch existiert. das verbieten ist nach meiner
> ansicht keine lösung weil auch alle daten im nachhinein variabel sein
> können. dann lieber nach MXen kucken, dann kann ich auch im menü
> zulassen was da komme... ich kann natürlich eine liste von domains
> machen die ich nie zulasse, allerdings wird die nie vollständig
> sein...

Das ist ja alles richtig. Aber wenn der Kunde eigentlich extern ist, und
seine Mails aber über dich abwickeln will, dann hat er doch einen
Vertrag mit dir. Dann soll er auch mit dir in Kontakt treten, dass du
die neue Domain jetzt bitte mit aufnehmen sollst, Email-Adressen kann er
ja dann selber einrichten. Alternativ könntest du
dir über das Kundeninterface per Email einen Freigabelink zusenden
lassen, unter dem du, und nicht der Kunde, die Domain in der
Konfiguration freischaltet. So gehst du sicher, dass dein Kunde nicht
macht, was er will und dir ungewollt deine Konfiguration schrottet.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From p at state-of-mind.de  Wed Apr 27 17:22:49 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Wed, 27 Apr 2011 17:22:49 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?verst=E4ndnis_inbound_outbound?=
In-Reply-To: <4DB831B7.2080107@fuerstenberg.ws>
References: <D9A618C260B14E3BA866D0B46ABB264D@nmm.local>
	<20110427091033.GA26276@laptop-dg.leere.eu>
	<0F98589FA9074C0DB6D54F681B63598E@nmm.local>
	<001601cc04d0$b4f8ba90$0565a8c0@uwe>
	<6C1AB67DFE81415F8FA6A1CA33FD9F07@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6BE@sp-kom02.SP-GRUPPE.DE>
	<6DE18AC082684F8782E14883201E80CC@nmm.local>
	<FEF8DE49123B57488E0A4CF8421959899FE6C0@sp-kom02.SP-GRUPPE.DE>
	<05DF35EB0C064116A85C0638FB70F8EF@nmm.local>
	<4DB831B7.2080107@fuerstenberg.ws>
Message-ID: <20110427152249.GA6096@state-of-mind.de>

* Kai Fürstenberg <postfixbuch-users at listen.jpberlin.de>:
> Am 27.04.2011 16:48, schrieb Hajo Locke:
> > warum nicht? was ist mit domains die der kunde extern registriert hat
> > und nur den mx auf meine systeme zeigen lassen will? dann läuft nur
> > die technik über mich aber ich zwinge den kunden nicht zu einem
> > providerwechsel. was ist mit bei mir registrierten domains deren mx
> > geändert wird und auf einmal nach extern zeigt. oder reseller die das
> > system auch nur technisch nutzen. diverse registrare erlauben die
> > registrierung erst wenn die domain auf den nameservern gefunden wird,
> > quasi schon technisch existiert. das verbieten ist nach meiner
> > ansicht keine lösung weil auch alle daten im nachhinein variabel sein
> > können. dann lieber nach MXen kucken, dann kann ich auch im menü
> > zulassen was da komme... ich kann natürlich eine liste von domains
> > machen die ich nie zulasse, allerdings wird die nie vollständig
> > sein...
> 
> Das ist ja alles richtig. Aber wenn der Kunde eigentlich extern ist, und
> seine Mails aber über dich abwickeln will, dann hat er doch einen
> Vertrag mit dir. Dann soll er auch mit dir in Kontakt treten, dass du
> die neue Domain jetzt bitte mit aufnehmen sollst, Email-Adressen kann er
> ja dann selber einrichten. Alternativ könntest du
> dir über das Kundeninterface per Email einen Freigabelink zusenden
> lassen, unter dem du, und nicht der Kunde, die Domain in der
> Konfiguration freischaltet. So gehst du sicher, dass dein Kunde nicht
> macht, was er will und dir ungewollt deine Konfiguration schrottet.


gnade... bitte... offlist...

p at rick

-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



From torben at dannhauer.info  Thu Apr 28 08:13:29 2011
From: torben at dannhauer.info (Torben Dannhauer)
Date: Thu, 28 Apr 2011 08:13:29 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
	=?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigen?=
	=?iso-8859-1?q?e=29_Benutzer=2C_f=FCr_alle_anderen_Rejects?=
In-Reply-To: <7FBF7230B6BC4EABB4212169C5A47A55@florian>
References: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>
	<7FBF7230B6BC4EABB4212169C5A47A55@florian>
Message-ID: <001501cc056b$64c91100$2e5b3300$@dannhauer.info>

Hallo Florian,

Ich gebe dir Recht das Outlook dort patzt. Leider muss ich damit
zurechtkommen dass die User diesen eMail Client nutzen. Daher sehe ich drei
Optionen:
a) Rausbekommen wie man Outlook 2010 dazu zwingt einen Fehler zu schmeißen.
b) Ausgehenden Verkehr nicht zu scannen.
c) ausgehenden Verkehr für meine SASL- User zwar zu scannen, aber ihnen
einen Bounce anstelle eines Rejects zukommen lassen.

Am schönsten wäre Lösung a), allerdings habe ich da bisher keine Ansatz,.
Ich werden noch testen ob Outlook über TLS aufmerksamer ist und den Fehler
bemerkt.
Lösung c) wäre zwar nicht optimal, aber immerhin würden vermutlich "99,9%"
des Spams den der Mailserver erhält rejected (das Spamaufkommen aus dem
Internet ist um Größenordnung heftiger als der Spam meiner 40 User).
Anderseits hast du recht, Spam geschieht vermutlich nicht "aus Versehen",
und wenn eine User infiziert ist dann verursache ich Backscatter...
Lösung b) finde ich nicht so prickelnd.

Hmm, schwierige Situation... hat noch jemand Ideen?


Lieben Dank,
 Torben


-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de
[mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Florian
Kaiser
Gesendet: Mittwoch, 27. April 2011 16:42
An: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.'
Betreff: Re: [Postfixbuch-users] Amavis als smtpd_proxy_filter: Bounces für
sasl authentifizierte (eigene) Benutzer, für alle anderen Rejects

Hallo Torben,

>>Zwar ist es richtig die Spam-eMail zu blocken, jedoch bemerkt  Outlook 
>>das REJECT im STMP Protokoll anscheinend nicht –  Der Sender bemerkt 
>>also nicht dass seine Email nicht raus ist.

Das ist eine bescheuerte Eigenart von Outlook in Verbindung mit Imap. Da man
hier die "persönlichen Ordner" nicht offen hat und Outlook dort, und nur
dort die Fehlermeldung ablegt, dass die E-Mail nicht rausging entsteht der
Eindruck, die E-Mail wäre erfolgreich versandt worden. Manchmal sagt Outlook
sogar explizit Verbindung abgeschlossen, obwohl nichts raus ging.... Kannst
Du nichts dran ändern, ist leider so. Umstieg auf Evolution wäre eine Lösung
;-)

Deine Lösungsansätze sind m.M. nach nicht sinnvoll - Spam sollte immer
REJECT bekommen, nie einen Bounce. Wenn Du den nämlich nicht zustellen
kannst, was dann? Denn sobald angenommen bist Du (= dein Server) für die
E-Mail verantwortlich. Nicht gut, willst Du nicht. Und stell Dir vor, es
werden SMTP-Credentials geleakt. Oder ein Benutzer nimmt den localpart als
Passwort... alles schon gesehen und alles wäre nervig bis katastrophal
geworden, würden wir nicht auch bei SASL-Authed-Benutzern auf Spam filtern
und bei positivem Befund ablehnen.


Viele Grüße
Florian

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux
Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From kai_postfix at fuerstenberg.ws  Thu Apr 28 09:05:48 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Thu, 28 Apr 2011 09:05:48 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
 =?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigene=29_Be?=
 =?iso-8859-1?q?nutzer=2C_f=FCr_alle_anderen_Rejects?=
In-Reply-To: <001501cc056b$64c91100$2e5b3300$@dannhauer.info>
References: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>	<7FBF7230B6BC4EABB4212169C5A47A55@florian>
	<001501cc056b$64c91100$2e5b3300$@dannhauer.info>
Message-ID: <4DB911CC.60003@fuerstenberg.ws>

Hi Torben,

Am 28.04.2011 08:13, schrieb Torben Dannhauer:
> Ich gebe dir Recht das Outlook dort patzt. Leider muss ich damit
> zurechtkommen dass die User diesen eMail Client nutzen. Daher sehe ich drei
> Optionen:
> a) Rausbekommen wie man Outlook 2010 dazu zwingt einen Fehler zu schmeißen.
> b) Ausgehenden Verkehr nicht zu scannen.
> c) ausgehenden Verkehr für meine SASL- User zwar zu scannen, aber ihnen
> einen Bounce anstelle eines Rejects zukommen lassen.

Schau mal hier:
http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-July/050797.html

Danach wird MYUSERS nur geladen, wenn $originating zuvor schon auf 1
gesetzt wurde. D.h. du wirst nicht umher kommen, deine SASL-User über
Submission einliefern zu lassen und $originating z.B. über

$interface_policy{'10026'} = 'ORIGINATING';
$policy_bank{'ORIGINATING'} = {
  originating => 1
}

zu setzen (alternativ natürlich eine separate IP). Dann kannst du aber
auch gleich dein D_BOUNCE hier mit reinsetzen. MYUSERS bräuchtest du
dann nicht mehr unbedingt.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From torben at dannhauer.info  Thu Apr 28 09:55:17 2011
From: torben at dannhauer.info (Torben Dannhauer)
Date: Thu, 28 Apr 2011 09:55:17 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
	=?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigen?=
	=?iso-8859-1?q?e=29_Benutzer=2C_f=FCr_alle_anderen_Rejects?=
In-Reply-To: <4DB911CC.60003@fuerstenberg.ws>
References: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>	<7FBF7230B6BC4EABB4212169C5A47A55@florian>	<001501cc056b$64c91100$2e5b3300$@dannhauer.info>
	<4DB911CC.60003@fuerstenberg.ws>
Message-ID: <001701cc0579$9d845960$d88d0c20$@dannhauer.info>

Hi Kai,

Danke für den Tip. 
Das mit der zusätzlichen IP war meine Idee im Fall dass es keine elegantere
Lösung für meine Problem gibt: Server IP für SMTP, Zugang nur für die SASL
Nutzer. eine weitere IP für den MX-Eintrag. Über die MX IP gibts rejects,
über die normale IP gibt’s bounces.
Ich denke das mit Submission auf Port 587 ist dann evtl. die sauberste
Lösung, vor allem da ich eh einen zusätzlichen nicht-Standard Port offen
haben wegen den ISPs..

Wegen MYUSERS: Irgendwie checke ich die Idee dieser speziellen policy_bank
nicht: Was hat es für eine Wert, wenn man diese policy_bank nur mittels
einer anderen policy_bank aktivieren kann ?
$interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = {
  originating => 1
}
-> Dann kann ich man sich  ja grundsätzlich MYUSERS sparen und einfach nur
eine Port-basierte policy_bank nutzen?!
Ursprünglich dachte ich dass diese Bank automatisch aktiviert wird wenn die
IP aus $mynetworks kommt, oder wenn der USER authentifiziert ist. *am Kopf
kratz*


Vielen Dank für die Hilfe,

Torben



-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de
[mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai
Fürstenberg
Gesendet: Donnerstag, 28. April 2011 09:06
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users] Amavis als smtpd_proxy_filter: Bounces für
sasl authentifizierte (eigene) Benutzer, für alle anderen Rejects

Hi Torben,

Am 28.04.2011 08:13, schrieb Torben Dannhauer:
> Ich gebe dir Recht das Outlook dort patzt. Leider muss ich damit 
> zurechtkommen dass die User diesen eMail Client nutzen. Daher sehe ich 
> drei
> Optionen:
> a) Rausbekommen wie man Outlook 2010 dazu zwingt einen Fehler zu
schmeißen.
> b) Ausgehenden Verkehr nicht zu scannen.
> c) ausgehenden Verkehr für meine SASL- User zwar zu scannen, aber 
> ihnen einen Bounce anstelle eines Rejects zukommen lassen.

Schau mal hier:
http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-July/050797.html

Danach wird MYUSERS nur geladen, wenn $originating zuvor schon auf 1 gesetzt
wurde. D.h. du wirst nicht umher kommen, deine SASL-User über Submission
einliefern zu lassen und $originating z.B. über

$interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = {
  originating => 1
}

zu setzen (alternativ natürlich eine separate IP). Dann kannst du aber auch
gleich dein D_BOUNCE hier mit reinsetzen. MYUSERS bräuchtest du dann nicht
mehr unbedingt.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux
Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From kai_postfix at fuerstenberg.ws  Thu Apr 28 10:04:48 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Thu, 28 Apr 2011 10:04:48 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
 =?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigene=29_Be?=
 =?iso-8859-1?q?nutzer=2C_f=FCr_alle_anderen_Rejects?=
In-Reply-To: <001701cc0579$9d845960$d88d0c20$@dannhauer.info>
References: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>	<7FBF7230B6BC4EABB4212169C5A47A55@florian>	<001501cc056b$64c91100$2e5b3300$@dannhauer.info>	<4DB911CC.60003@fuerstenberg.ws>
	<001701cc0579$9d845960$d88d0c20$@dannhauer.info>
Message-ID: <4DB91FA0.8030000@fuerstenberg.ws>

Am 28.04.2011 09:55, schrieb Torben Dannhauer:
> Wegen MYUSERS: Irgendwie checke ich die Idee dieser speziellen policy_bank
> nicht: Was hat es für eine Wert, wenn man diese policy_bank nur mittels
> einer anderen policy_bank aktivieren kann ?
> $interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = {
>   originating => 1
> }
> -> Dann kann ich man sich  ja grundsätzlich MYUSERS sparen und einfach nur
> eine Port-basierte policy_bank nutzen?!

Das muss so sein, da der Absender ja gefälscht sein könnte. MYUSERS ist
sinnvoll zusammen mit MYNETS.

> Ursprünglich dachte ich dass diese Bank automatisch aktiviert wird wenn die
> IP aus $mynetworks kommt, oder wenn der USER authentifiziert ist. *am Kopf
> kratz*

## the name 'MYNETS' has special semantics: this policy bank gets loaded
## whenever MTA supplies the original SMTP client IP address (Postfix
## XFORWARD extension or a new AM.PDP protocol) and that address
## matches @mynetworks.

## the name 'MYUSERS' has special semantics: this policy bank gets
## loaded whenever the sender matches @local_domains_maps. This only
## makes sense if local sender addresses can be trusted -- for example
## by requiring authentication before letting users send with their
## local address.

(aus der amavisd.conf-sample)

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From torben at dannhauer.info  Thu Apr 28 10:15:10 2011
From: torben at dannhauer.info (Torben Dannhauer)
Date: Thu, 28 Apr 2011 10:15:10 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Amavis_als_smtpd=5Fproxy=5Ffil?=
	=?iso-8859-1?q?ter=3A_Bounces_f=FCr_sasl_authentifizierte_=28eigen?=
	=?iso-8859-1?q?e=29_Benutzer=2C_f=FCr_alle_anderen_Rejects?=
In-Reply-To: <4DB91FA0.8030000@fuerstenberg.ws>
References: <007101cc04e3$5cab4fc0$1601ef40$@dannhauer.info>	<7FBF7230B6BC4EABB4212169C5A47A55@florian>	<001501cc056b$64c91100$2e5b3300$@dannhauer.info>	<4DB911CC.60003@fuerstenberg.ws>	<001701cc0579$9d845960$d88d0c20$@dannhauer.info>
	<4DB91FA0.8030000@fuerstenberg.ws>
Message-ID: <001901cc057c$64b0be50$2e123af0$@dannhauer.info>

Hi Kai,

## the name 'MYUSERS' has special semantics: this policy bank gets ## loaded
whenever the sender matches @local_domains_maps. This only ## makes sense if
local sender addresses can be trusted -- for example ## by requiring
authentication before letting users send with their ## local address.

Klingt für mich, als ob @local_domains_maps ausreicht, dass MYUSERS
aktiviert wird, ich selber aber zu meiner eigen Sicherheit SASL-auth vorher
aktivieren sollte. -> dies ist aber nicht der fall, weder mit der Domain in
@local_domains_maps, noch wenn ich @local_domains_maps über SQL ermittle.

Naja, dann mach ich mal die Lösung über die extra IP und über submission.

Danke Dir,

Torben

-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de
[mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai
Fürstenberg
Gesendet: Donnerstag, 28. April 2011 10:05
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users] Amavis als smtpd_proxy_filter: Bounces für
sasl authentifizierte (eigene) Benutzer, für alle anderen Rejects

Am 28.04.2011 09:55, schrieb Torben Dannhauer:
> Wegen MYUSERS: Irgendwie checke ich die Idee dieser speziellen 
> policy_bank
> nicht: Was hat es für eine Wert, wenn man diese policy_bank nur 
> mittels einer anderen policy_bank aktivieren kann ?
> $interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} =
{
>   originating => 1
> }
> -> Dann kann ich man sich  ja grundsätzlich MYUSERS sparen und einfach 
> -> nur
> eine Port-basierte policy_bank nutzen?!

Das muss so sein, da der Absender ja gefälscht sein könnte. MYUSERS ist
sinnvoll zusammen mit MYNETS.

> Ursprünglich dachte ich dass diese Bank automatisch aktiviert wird 
> wenn die IP aus $mynetworks kommt, oder wenn der USER authentifiziert 
> ist. *am Kopf
> kratz*

## the name 'MYNETS' has special semantics: this policy bank gets loaded ##
whenever MTA supplies the original SMTP client IP address (Postfix ##
XFORWARD extension or a new AM.PDP protocol) and that address ## matches
@mynetworks.

## the name 'MYUSERS' has special semantics: this policy bank gets ## loaded
whenever the sender matches @local_domains_maps. This only ## makes sense if
local sender addresses can be trusted -- for example ## by requiring
authentication before letting users send with their ## local address.

(aus der amavisd.conf-sample)

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux
Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From max at grobecker-wtal.de  Fri Apr 29 00:32:36 2011
From: max at grobecker-wtal.de (Max Grobecker)
Date: Fri, 29 Apr 2011 00:32:36 +0200
Subject: [Postfixbuch-users] reject_unverified_recipient und IPv6
Message-ID: <4DB9EB04.50402@grobecker-wtal.de>

Hallo zusammen,

ich habe ein seltsames Problem, dessen Ursache ich irgendwie nicht auf
die Spur komme...

Auf meinem Backup-MX nutze ich reject_unverified_recipient um
Backscattering zu verhindern oder zumindest so gut wie möglich zu
minimieren.
Das funktionierte bisher immer sehr zufriedenstellend, nun bin ich von
der Debian Lenny-Maschine allerdings auf eine Squeeze-Maschine umgezogen.
Prinzipiell hat sich außer der Postfix-Version nichts geändert, die
IPv6-Konfiguration ist immer noch die selbe wie vorher (also die Adresse
ist die Selbe).

Nun schmeißt mir Postfix jedoch immer diese Fehlermeldung:

RCPT TO: testheimer at domain.tld
450 4.1.1 <testheimer at domain.tld>: Recipient address rejected:
unverified address: connect to
2a02:a00:e000:b:xxxxxxx[2a02:a00:e000:b:xxxxxxx]:25: No route to host


Kann ich so nicht bestätigen. Ping und sogar Telnet auf Port 25 geht von
dieser Maschine zum angegebenen Ziel wunderbar.
Nehme ich reject_unverified_recipient raus, funktioniert auch die
Mailzustellung über eben diese IPv6-Adresse.

to=<testheimer at domain.tld>,
relay=2a02:a00:e000:b:xxxxxxx[2a02:a00:e000:b:xxxxxxx]:25, delay=36,
delays=20/0/0.29/16, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=19651-18,
from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as A7C0628AC982)

Geht also doch :-)
Postfix habe ich bereits neugestartet, sogar die ganze Maschine
durchgebootet - reject_unverified_recipient und IPv6 können scheinbar
nicht mehr miteinander.
Vorher unter Lenny (ich weiß leider nicht mehr welche Postfix-Version da
lief) funktionierte das problemlos.
Nun habe ich auf jeden Fall Version 2.7.1

Hat jemand anderes dieses Verhalten auch oder bin ich eventuell alleine
damit?


Vielen Dank und viele Grüße aus dem Tal
Max

-- 
Max Grobecker

If you see an attachment called "signature.asc" - just ignore it,
it's a digital PGP/GPG signature.
As PGP/GPG user you can import my public key from
pgp.mit.edu keyserver.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 259 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110429/5ce3a6de/attachment.asc>

From Hauke.Schacht at dspro.de  Fri Apr 29 14:18:29 2011
From: Hauke.Schacht at dspro.de (Schacht, Hauke)
Date: Fri, 29 Apr 2011 12:18:29 +0000
Subject: [Postfixbuch-users] Mails von Senderdomain nur an eine Email
Message-ID: <806DD9DD95C41F4DB8F33A0003770683046BDF@dssmail02.dsprodukte.de>

Hallo

wir setzen einen Postfix zwischen dem Netz und unserem Exchange ein.
Jetzt gibt es einen Sender franz at xy.de der uns mails schickt die nicht alle
oder mehrere empfänger bekommen soll sondern nur peter at wir.de

Ich habe versucht das mit einem access_sender_check zu machen aber
REDIRECT wird nicht unter stützt wenn smtpd_proxy_filter an sind.

Apr 29 13:45:20 postfix/smtpd[9937]: warning: access table hash:/etc/postfix/access_sender: with smtpd_proxy_filter specified, action REDIRECT is unavailable

Wo kann ich noch einstellen das z.b. alle Mails von
@xy.de nur an peter at wir.de gehen?

Gruß
Hauke



From p.heinlein at heinlein-support.de  Fri Apr 29 14:51:51 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 29 Apr 2011 14:51:51 +0200
Subject: [Postfixbuch-users] Mails von Senderdomain nur an eine Email
In-Reply-To: <806DD9DD95C41F4DB8F33A0003770683046BDF@dssmail02.dsprodukte.de>
References: <806DD9DD95C41F4DB8F33A0003770683046BDF@dssmail02.dsprodukte.de>
Message-ID: <201104291451.51723.p.heinlein@heinlein-support.de>

Am Freitag, 29. April 2011, 14:18:29 schrieb Schacht, Hauke:


> Ich habe versucht das mit einem access_sender_check zu machen aber
> REDIRECT wird nicht unter stützt wenn smtpd_proxy_filter an sind.

Na und? Wenn die Mail vom Spamfilter zurückkommt wird sie ja auf einem 
nromalen SMTP-Port eingeliefert und dort greift das check_sender_access dann 
doch ganz normal und alles geht.

(Aus diesem Grunde halte ich das leider sehr weit verbreitete Howto für 
Unsinn, das erklärt, man solle in der master.cf ewig lange Konfig-Tüdeleien 
auf Port 10025 einsetzen und das erklärt, man solle dort auch die 
smtpd_recipient_restrictions kastrieren. Das ist Quatsch und macht einem 
viel kaputt, wie hier bei Dir vermutlich auch?)

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfixbuch at spam-hosting.com  Fri Apr 29 16:13:40 2011
From: postfixbuch at spam-hosting.com (postfixbuch at spam-hosting.com)
Date: Fri, 29 Apr 2011 16:13:40 +0200
Subject: [Postfixbuch-users] Fuer ein Transport bei Fehler keine Bounce
	generieren
Message-ID: <4DBAC794.4060207@spam-hosting.com>

Hallo,

ich hab ein Transport, welcher die Mail an ein PHP-Skript übergibt:

tname unix  -   n   n   -   - pipe
  flags= user=xxxx argv=/pfad/skript.php ${sender}


Wenn nun das Skript z.B. gekillt wird oder einen Skript-Fehler ausgibt,
bounced Postfix dies mit:

-----------------------------
Apr 27 12:02:38 xxx postfix/pipe[25109]: B1xxxxDE: to=<xxx>,
relay=tname, delay=0.06, ...,
status=bounced (Command died with status 255: "/pfad/skript.php".
Command output:PHP Fatal error: Msg... in /pfad/skript.php on line 1704)
-----------------------------

Ich hab schon gesucht, aber evtl. die falschen Wörter verwendet.

Kann ich bei der master.cf für diesen Transport sagen, das er alle
Bounces nur loggen oder an postmaster und nicht an den Absender senden
soll? Aber nur für den Transport tname?


Vielen Dank für eure Tipps und Hilfe.

Mfg Martin


From tobias.luithardt at r1net.de  Fri Apr 29 16:24:19 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Fri, 29 Apr 2011 14:24:19 +0000
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <4DB68C33.7000606@makomi.de>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>, 
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>, 
	<4DB67CC5.6050205@gmj.cjb.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>,
	<4DB68C33.7000606@makomi.de>
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA13799582E@R1-WIN2008-EX10.r1-net.local>

Hi Michael,

>>> kann man dieses Verhalten mit Postfix Mitteln verhindern?
>>> Also dass er nur einem Zertifikat vertraut, wenn auch die
>>> passende Sub-Ca hinterlegt ist?
>> D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
>> ausgestellt hat.
>>
>> Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
>> (oder wo auch immer Deine libssl die Zertifikate aufbewahrt).
--> schrieb Mathias.
>> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
>> ROOT-CA ->  Sub-CA1 ->  Zertifikat(starke Validierung)
>> ROOT-CA ->  Sub-CA2 ->  Zertifikat(schwache Validierung)
>>
>> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
>> Dies möchte ich aber nicht.
>>
>> Ich möchte eigentlich nur der Kette
>> ROOT-CA ->  Sub-CA1
>> vertrauen.
>>
>> Ist dies möglich?
>Wie Mathias oben schon geschrieben hat: Vertrau nur Sub-CA1, aber nicht
>ROOT-CA. Eine Zertifikatskette kann man m.E. nicht unterbrechen.
können  wir dies vielleicht an einem Beispiel mal durchexerzieren?

Nehmen wir einmal das Fortune500 Unternehmen Daimler(mail-in.daimler.com)
Wenn ich hier die RootCA(70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf)
hinterlege bekomme ich "Verify return code: 0 (ok)"

Sobald ich aber die RootCA entferne und beide SubCAs 
(6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91 und 1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78)
hinterlege, bekomme ich ein "19 (self signed certificate in certificate chain)"

Könnt Ihr das auch so nachstellen?

Danke&Grüssle
Tobi


From mailing-lists at thomasschwenski.de  Fri Apr 29 17:05:35 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Fri, 29 Apr 2011 17:05:35 +0200
Subject: [Postfixbuch-users] Fuer ein Transport bei Fehler keine Bounce
 generieren
In-Reply-To: <4DBAC794.4060207@spam-hosting.com>
References: <4DBAC794.4060207@spam-hosting.com>
Message-ID: <4DBAD3BF.1060806@thomasschwenski.de>

Hallo,

> ich hab ein Transport, welcher die Mail an ein PHP-Skript übergibt:
> 
> tname unix  -   n   n   -   - pipe
>   flags= user=xxxx argv=/pfad/skript.php ${sender}
> 
> 
> Wenn nun das Skript z.B. gekillt wird oder einen Skript-Fehler ausgibt,
> bounced Postfix dies mit:
> 
> -----------------------------
> Apr 27 12:02:38 xxx postfix/pipe[25109]: B1xxxxDE: to=<xxx>,
> relay=tname, delay=0.06, ...,
> status=bounced (Command died with status 255: "/pfad/skript.php".
> Command output:PHP Fatal error: Msg... in /pfad/skript.php on line 1704)
> -----------------------------

Modifizier doch einfach das Skript, dass es immer den Exit-Code 0
liefert und selbst loggt.
Oder bau Dir einen Wrapper-Script was das übernimmt.

Thomas


From postfixbuch-users at gmj.cjb.net  Fri Apr 29 17:35:15 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 29 Apr 2011 17:35:15 +0200
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <351FF9D8043ED54E82D6B2D7ED0BA13799582E@R1-WIN2008-EX10.r1-net.local>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>,
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>,
	<4DB67CC5.6050205@gmj.cjb.net>	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>,
	<4DB68C33.7000606@makomi.de>
	<351FF9D8043ED54E82D6B2D7ED0BA13799582E@R1-WIN2008-EX10.r1-net.local>
Message-ID: <4DBADAB3.80801@gmj.cjb.net>

Am 29.04.11 16:24, schrieb Tobias Luithardt:

> Nehmen wir einmal das Fortune500 Unternehmen Daimler(mail-in.daimler.com)
> Wenn ich hier die RootCA(70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf)
> hinterlege bekomme ich "Verify return code: 0 (ok)"
> 
> Sobald ich aber die RootCA entferne und beide SubCAs 
> (6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91 und 1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78)
> hinterlege, bekomme ich ein "19 (self signed certificate in certificate chain)"
                                   ^^^^^^^^^^^^^^^^^^^^^^^

Das Problem ist, dass der Server auch das Root-CA-Zertifikat
in der Kette mitliefert, es nach dem Entfernen aus
/etc/ssl/certs aber nicht mehr verifiziert werden kann.

Aber wie gesagt: Warum man der einen Verisign-CA nicht trauen kann,
den anderen Verisign-CAs schon entzieht sich meinem Verständnis.
(Wenn dann, würde ich ja eher _allen_ Verisign-CAs mistrauen.)

> Könnt Ihr das auch so nachstellen?

Ja. Das Zertifikat als solches wird aber korrekt verifiziert
(wenn die Root-CA nicht in der Kette ist).

--------------------------------------------------------------
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
>     Verify return code: 0 (ok)
> root at datengrab:~# ls -l /etc/ssl/certs/7651b327.0
> lrwxrwxrwx 1 root root 59 29. Apr 16:41 /etc/ssl/certs/7651b327.0 -> Verisign_Class_3_Public_Primary_Certification_Authority.pem
> root at datengrab:~# rm /etc/ssl/certs/7651b327.0
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
>     Verify return code: 19 (self signed certificate in certificate chain)
> root at datengrab:~# openssl verify -CAfile /tmp/VeriSign_Class_3_Secure_Server_CA.pem /tmp/mail-in.daimler.com.pem 
> /tmp/mail-in.daimler.com.pem: OK
> root at datengrab:~# c_rehash
--------------------------------------------------------------

Mathias.


From postfixbuch-users at gmj.cjb.net  Fri Apr 29 17:46:01 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 29 Apr 2011 17:46:01 +0200
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <4DBADAB3.80801@gmj.cjb.net>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>,
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>,
	<4DB67CC5.6050205@gmj.cjb.net>	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>,
	<4DB68C33.7000606@makomi.de>	<351FF9D8043ED54E82D6B2D7ED0BA13799582E@R1-WIN2008-EX10.r1-net.local>
	<4DBADAB3.80801@gmj.cjb.net>
Message-ID: <4DBADD39.8080909@gmj.cjb.net>

Am 29.04.11 17:35, schrieb Mathias Jeschke:

> Das Problem ist, dass der Server auch das Root-CA-Zertifikat
> in der Kette mitliefert, ...

Sorry, auch wenn das jetzt schon wieder zu OT tendiert, aber
ergibt es überhaupt irgendeinen Sinn das Root-CA-Zertifikat
mitzuliefern?

Irgendwie fällt mir gerade keiner ein.

Ein erholsames Wochenende wünscht
Mathias.