From F.Guenther at t-systems.com Mon Aug 1 09:32:35 2011 From: F.Guenther at t-systems.com (F.Guenther at t-systems.com) Date: Mon, 1 Aug 2011 09:32:35 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Vom_Mailserver_zum_Relais_=28b?= =?iso-8859-1?q?zw=2E_Server_ohne_lokale_Postf=E4cher=29?= Message-ID: Hallo, wir betreiben seit einigen Jahren einen "echten" Mailserver. Nach dem Postfixbuch eingerichtet und stabil. Wir wollten unseren Server von Mail senden/empfangen -> zum Mailrelais umwandeln. Es sollen nur unsere Adressen / Netze senden dürfen, die in der main.cf als Bereich oder Adresse stehen. Es sollen dann auf dem "neuen Server" keine lokalen Postfächer mehr sein, außer dem postmaster at server.de Postfach. Allerdings sollen einige Mails über die alias - Datei z.B. abc at server.de immer weitergeleitet und nie lokal abgelegt werden. (Ich denke dass sind dann trotzdem Postfächer ??) ------------------------------------------------------------------------- Ich hatte dazu folgende Lösung probiert: In /etc/postfix/main.cf: smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_postmaster, reject In /etc/postfix/access_postmaster: postmaster@ permit_auth_destination abc@ permit_auth_destination Natürlich das 'postmap btree:/etc/postfix/access_postmaster' nicht vergessen. ------------------------------------------------------------------------- Das hat für die Adresse postmaster super geklappt. Aber die anderen Nutzer (aus unseren Netzen), die senden wollen (und nicht postmaster heißen) wurden auch rejected. Ich denke der Fehler war, das ein Relais auch erst einmal empfangen muss, bevor weitergeleitet wird. Vielleicht geht ja auch ein: @Netz permit_auth_destination ? in der access_postmaster?? Ich möchte nicht lange probieren, da abc at server.de wirklich gebraucht wird. Danke im voraus. Frank From heli at tzv.fal.de Mon Aug 1 13:25:06 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Mon, 1 Aug 2011 13:25:06 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden Message-ID: <20110801112505.GF15238@tzv.fal.de> Hallo, ich stehe vor folgendem Problem: Hintergrund: 1. private Emails sind auf der Arbeit ausdrücklich untersagt. 2. aufgrund eines aktuellen Hinweises des BSI wurde jetzt auch explizit untersagt, dienstliche Mails *automatisch* an einen privaten Mailaccount weiterzuleiten. Soweit noch ok. 3. Jetzt wird von den IT-Verantwortlichen verlangt, daß sie technische Maßnahmen ergreifen sollen, um Punkt 2., die automatische Umleitung, zu verhindern. 4. In Einzelfällen (und nach besonders sorgfältiger Prüfung) ist es *manuell* erlaubt, Mails an private Accounts weiterzusenden. Unsere Behörde besteht aus mehreren Standorten die meist MS-Windows-zentriert sind. Wir betreiben ein Linux-Netz mit Linux-, Windows- und Mac-Arbeitsplätzen, haben deshalb also eine breite Palette an MUAs (kmail, Thunderbird, mutt, jedoch kein Outlook). Mailserver ist Postfix (Debian 2.7.1-1~bpo50+1). Meine Fragen sind: a. Bedeutet Anforderung 3. nicht eine sicherheitspolitische Überspitzung (um es mal neutral zu formulieren :^), die eine normale Nutzung des Werkzeugs Email unzulässig einschränkt? b. Läßt sich das technisch überhaupt umsetzen? clientseitig: Nahezu jeder MUA kann über Filterregeln ein bounce/forward einstellen. Ich sehe keine Möglichkeit (von der Notwendigkeit ganz zu schweigen), dies zu ändern. serverseitig: Gibt es bei Postfix eine Möglichkeit dazu? Kann man überhaupt technisch eine automatische und eine manuelle Weiterleitung unterscheiden (Header oder so)? c. Unsere Zentrale, wo die Anweisung herkommt, hat eine reine MS-Windows- Installation mit Exchange-Servern und Outlook. Können die selbst sowas überhaupt umsetzen? Es wäre nett, hierzu mal ein paar Ansichten zu bekommen. Danke und viele Grüße Helmut -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From driessen at fblan.de Mon Aug 1 14:15:36 2011 From: driessen at fblan.de (Driessen) Date: Mon, 1 Aug 2011 14:15:36 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110801112505.GF15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> Message-ID: <002c01cc5044$b84bb7f0$0565a8c0@uwe> On Behalf Of Helmut Lichtenberg > > Hallo, > ich stehe vor folgendem Problem: > > Hintergrund: > 1. private Emails sind auf der Arbeit ausdrücklich untersagt. > 2. aufgrund eines aktuellen Hinweises des BSI wurde jetzt auch explizit > untersagt, dienstliche Mails *automatisch* an einen privaten > Mailaccount > weiterzuleiten. > > Soweit noch ok. > > 3. Jetzt wird von den IT-Verantwortlichen verlangt, daß sie technische > Maßnahmen ergreifen sollen, um Punkt 2., die automatische Umleitung, zu > verhindern. Eine automatische Umleitung müsste ja dann auf den annehmenden Mailservern passieren insoweit kann man schon nachschauen ob eine lokale oder eine "fremdzustellung" erfolgt. Im Header könnte ein "Originate to:" oder so ähnlich etwas drin stehen. Diese Mails müssten dann mit Header-check reject werden. Gefahr dabei sehe ich allerdings bei Mails dir "rechtmäßig" weitergeleitet werden. > > 4. In Einzelfällen (und nach besonders sorgfältiger Prüfung) > ist es *manuell* erlaubt, Mails an private Accounts weiterzusenden. Es muß zuerst mal definiert werden wo sind die privaten accounts und zu wem darf und zu wem darf nicht (ebay dürfte ja eigentlich nicht aber web.de könnte auch eine Adresse eines "Kunden" sein) > > Unsere Behörde besteht aus mehreren Standorten die meist MS-Windows- > zentriert > sind. Wir betreiben ein Linux-Netz mit Linux-, Windows- und > Mac-Arbeitsplätzen, haben deshalb also eine breite Palette an MUAs (kmail, > Thunderbird, mutt, jedoch kein Outlook). Mailserver ist Postfix > (Debian 2.7.1-1~bpo50+1). > > Meine Fragen sind: > > a. Bedeutet Anforderung 3. nicht eine sicherheitspolitische Überspitzung > (um > es mal neutral zu formulieren :^), die eine normale Nutzung des > Werkzeugs > Email unzulässig einschränkt? Politik ist nichts entgegenzusetzen. Was die wollen muß man schauen ob es erfüllbar ist und fertig. Wie du das realisierst wir denen die die Forderung gestellt haben egal sein. > > b. Läßt sich das technisch überhaupt umsetzen? Sicherlich lässt sich ein entsprechendes Regelwerk programmieren wenn man weis wonach man suchen muß wenn es nicht innerhalb von Postfix geht dann über einen zusätzlichen milter > clientseitig: Nahezu jeder MUA kann über Filterregeln ein > bounce/forward > einstellen. Ich sehe keine Möglichkeit (von der > Notwendigkeit Wer erwischt wird fliegt. Wenn es dazu eine Anweißung gibt muß der Verantwortliche halt ab und an Stichproben machen und kontrollieren. > ganz zu schweigen), dies zu ändern. > serverseitig: Gibt es bei Postfix eine Möglichkeit dazu? Kann man > überhaupt > technisch eine automatische und eine manuelle > Weiterleitung > unterscheiden (Header oder so)? > > c. Unsere Zentrale, wo die Anweisung herkommt, hat eine reine MS-Windows- > Installation mit Exchange-Servern und Outlook. Können die selbst sowas > überhaupt umsetzen? Zumindest sollten die Regelsätze welche innerhalb von Exchange definiert sind zu kontrollieren und über Einstellungen sollten auch bestimmte Möglichkeiten der Regelerstellung auszublenden sein. > > Es wäre nett, hierzu mal ein paar Ansichten zu bekommen. > > Danke und viele Grüße > Helmut > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From technoworx at gmx.de Mon Aug 1 14:29:14 2011 From: technoworx at gmx.de (Alexander Stoll) Date: Mon, 01 Aug 2011 14:29:14 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110801112505.GF15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> Message-ID: <4E369C1A.1090407@gmx.de> Am 01.08.2011 13:25, schrieb Helmut Lichtenberg: > b. Läßt sich das technisch überhaupt umsetzen? > clientseitig: Nahezu jeder MUA kann über Filterregeln ein bounce/forward > einstellen. Ich sehe keine Möglichkeit (von der Notwendigkeit > ganz zu schweigen), dies zu ändern. > serverseitig: Gibt es bei Postfix eine Möglichkeit dazu? Kann man überhaupt > technisch eine automatische und eine manuelle Weiterleitung > unterscheiden (Header oder so)? Server seitige Aliase, etc. sind sicher nicht das Problem, gegen die Weiterleitung per Client sehe ich keine praktikabel durchführbare Maßnahme. Eine Positivliste der Empfänger ist wohl kaum zumutbar, andere Ansätze via Filterung bestimmter Header sind problemlos zu unterlaufen, wo sich dann wieder die grundsätzliche Sinnfrage stellt. From Ralf.Hildebrandt at charite.de Mon Aug 1 14:37:50 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 1 Aug 2011 14:37:50 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110801112505.GF15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> Message-ID: <20110801123750.GH26933@charite.de> * Helmut Lichtenberg : > 4. In Einzelfällen (und nach besonders sorgfältiger Prüfung) > ist es *manuell* erlaubt, Mails an private Accounts weiterzusenden. Die automatische Weiterleitung ist m.E. nicht von einer manuellen zu Unterscheiden. Bei Exchange gibt es im Regelassistenten "umleiten" (aka "bounce" - envelope sender bleibt gleich) und weiterleiten (der envelope sender des empfängers wird genutzt). In mutt kann ich beides manuell machen, ich kann das also nicht wirklich von dem automatismus unterscheiden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From lists at xunil.at Mon Aug 1 16:50:39 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Mon, 01 Aug 2011 16:50:39 +0200 Subject: [Postfixbuch-users] Kosten zu Nutzen In-Reply-To: <201107290058.04692.p.heinlein@heinlein-support.de> References: <4E31E546.2070406@xunil.at> <201107290058.04692.p.heinlein@heinlein-support.de> Message-ID: <4E36BD3F.4040806@xunil.at> Am 29.07.2011 00:58, schrieb Peer Heinlein: > Sorry, aber anders kann ich Deine Frage nicht beantworten. Es lohnt > sich, wenn man Gewinn macht. [...] > Ergo, langer Rede kurzer Sinn: Ich halte Deine Frage für nicht klärbar. > Das geht nur mit klarem Konzept + betriebswirtschaftlichen Zahlen > dahinter. Wo Du mit 500 Kunden dicken Gewinn haben könntest, sind andere > noch dick im Minus. Kommt drauf an. Schon alles klar, danke für die Ausführungen. Anscheinend will sich sonst niemand dazu äussern, bzw. sehen es alle so wie Du ;-) Unterm Strich sehe ich eben für mich ein Minus, daher werde ich wohl mein Engagement in dieser Richtung beenden, die Komplexität des Themas und die Faszination daran wiegen die Verantwortung nicht auf, gerade in meinem kleinen Biz, das finanziell nicht viel abwirft. So schnell werde ich das aber nicht retour abwickeln können, also werde ich noch eine Zeit lang hier zu Gast sein ;-) Danke, Stefan From postfixbuch-users at drobic.de Mon Aug 1 17:24:21 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Mon, 01 Aug 2011 17:24:21 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110801123750.GH26933@charite.de> References: <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> Message-ID: <4E36C525.5070901@drobic.de> On 01.08.2011 14:37, Ralf Hildebrandt wrote: > * Helmut Lichtenberg : > >> 4. In Einzelfällen (und nach besonders sorgfältiger Prüfung) >> ist es *manuell* erlaubt, Mails an private Accounts weiterzusenden. > > Die automatische Weiterleitung ist m.E. nicht von einer manuellen zu > Unterscheiden. > > Bei Exchange gibt es im Regelassistenten > "umleiten" (aka "bounce" - envelope sender bleibt gleich) > und weiterleiten (der envelope sender des empfängers wird genutzt). > > In mutt kann ich beides manuell machen, ich kann das also nicht > wirklich von dem automatismus unterscheiden. Das Thema ist ziemlich vielschichtig und deshalb auch nicht allein auf mailtechnischer Ebene lösbar. Bei uns gibt es ein Script, welches die Anwender beim Einloggen in die Domäne in eine Anwesenheitsliste einträgt und beim Login wieder austrägt. Wenn Mails von einem Anwender verschickt werden, ohne dass dieser in der Liste als anwesend steht, wäre dies ein Hinweis für eine automatische Weiterleitung. Immer unter der Voraussetzung, dass der Anwender nicht von extern über Webmail, Blackberry usw. seine Emails auch außerhalb der Dienstzeiten bearbeiten kann. (^-^) Auch eine Statistik über die Zahl der versandten Emails kann Aufschluß geben. Wenn jedoch so rigide Anweisungen kommen, sollte der Postmaster seinerseits auch entsprechend vorsichtig sein und sich nicht zu weit aus dem Fenster lehnen, sonst geht der Schuß gegen ihn los. From postfixbuch-users at drobic.de Mon Aug 1 20:28:15 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Mon, 01 Aug 2011 20:28:15 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Vom_Mailserver_zum_Relais_=28bzw=2E?= =?utf-8?q?_Server_ohne_lokale_Postf=C3=A4cher=29?= In-Reply-To: References: Message-ID: <4E36F03F.20902@drobic.de> On 01.08.2011 09:32, F.Guenther at t-systems.com wrote: > Hallo, > > wir betreiben seit einigen Jahren einen "echten" Mailserver. Nach dem Postfixbuch eingerichtet und stabil. > Wir wollten unseren Server von Mail senden/empfangen -> zum Mailrelais umwandeln. Es sollen nur unsere > Adressen / Netze senden dürfen, die in der main.cf als Bereich oder Adresse stehen. Es sollen dann auf > dem "neuen Server" keine lokalen Postfächer mehr sein, außer dem postmaster at server.de Postfach. > Allerdings sollen einige Mails über die alias - Datei z.B. abc at server.de immer weitergeleitet > und nie lokal abgelegt werden. (Ich denke dass sind dann trotzdem Postfächer ??) Ehrlich gesagt verstehe ich deine Ausführungen nicht. Willst du den bestehenden in ein Relay umwandeln oder den neuen? Normalerweise nimmt man den neuen als Relay, dann muss man nicht die ganzen Postfächer umziehen. Bei dieser Konfiguration: Mailserver <-> Mailrelay <-> Internet würde der Mailserver die Mailboxen und die gültigen Adressen haben. Das Mailrelay würde am einfachsten per recipient_verification nachfragen, ob eine Adresse existiert, bevor eine Mail angenommen wird. > ------------------------------------------------------------------------- > Ich hatte dazu folgende Lösung probiert: > > In /etc/postfix/main.cf: > smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_postmaster, reject Ein sicherer Server, der keine Mails mehr entgegen nimmt. (^-^) Auf dem Mailrelay: /etc/postfix/main.cf: relay_domains = hash:/etc/postfix/relay_domains smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/clients_allowed_to_relay reject_unauth_destination check_recipient_access hash:/etc/postfix/role_accounts reject_unverified_recipients transport_maps = hash:/etc/postfix/transport /etc/postfix/clients_allowed_to_relay: ip.of.mail.server OK /etc/postfix/role_accounts abuse@ permit_auth_destination postmaster@ permit_auth_destination /etc/postfix/relay_domains: your.domain.tld OK your.other.domain OK /etc/postfix/transport: your.domain.tld relay:[ip.of.mail.server] your.other.domain relay:[ip.of.mail.server] Diese Konfig erfüllt folgende Aufgaben: - Mails vom Mailserver dürfen ins Internet geschickt werden - für alle anderen Clients gilt, dass die Mails nur für die eigenen Domains entgegen genommen werden - abuse und postmaster für die eigenen Domains werden immer angenommen - es wird geprüft (gegen den mailserver), ob die Adresse existiert. - Mails für die Relaydomains werden entgegen genommen und an den mailserver geschickt Dies ist eine absolute Minimalkonfiguration, die nur das Prinzip zeigen soll! Es sind noch etliche Optionen sinnvoll, aber so solltest du das Prinzip sehen können. > In /etc/postfix/access_postmaster: > postmaster@ permit_auth_destination > abc@ permit_auth_destination > Natürlich das 'postmap btree:/etc/postfix/access_postmaster' nicht vergessen. > ------------------------------------------------------------------------- > > Das hat für die Adresse postmaster super geklappt. Aber die anderen Nutzer (aus unseren Netzen), die senden wollen (und nicht postmaster heißen) > wurden auch rejected. Ich denke der Fehler war, das ein Relais auch erst einmal empfangen muss, bevor > weitergeleitet wird. Vielleicht geht ja auch ein: > > @Netz permit_auth_destination ? in der access_postmaster?? > > Ich möchte nicht lange probieren, da abc at server.de wirklich gebraucht wird. Danke im voraus. Da du keine Konfig gepostet hast, kann ich die keine Tipps für den Mailserver geben. Für eine präzisere Hilfe die Ausgabe des Befehls "postconf -n" notwendig. From p at state-of-mind.de Mon Aug 1 22:52:18 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 1 Aug 2011 22:52:18 +0200 Subject: [Postfixbuch-users] Kosten zu Nutzen In-Reply-To: <4E36BD3F.4040806@xunil.at> References: <4E31E546.2070406@xunil.at> <201107290058.04692.p.heinlein@heinlein-support.de> <4E36BD3F.4040806@xunil.at> Message-ID: <20110801205217.GB2304@state-of-mind.de> * Stefan G. Weichinger : > Am 29.07.2011 00:58, schrieb Peer Heinlein: > > > Sorry, aber anders kann ich Deine Frage nicht beantworten. Es lohnt > > sich, wenn man Gewinn macht. > > [...] > > > Ergo, langer Rede kurzer Sinn: Ich halte Deine Frage für nicht klärbar. > > Das geht nur mit klarem Konzept + betriebswirtschaftlichen Zahlen > > dahinter. Wo Du mit 500 Kunden dicken Gewinn haben könntest, sind andere > > noch dick im Minus. Kommt drauf an. > > Schon alles klar, danke für die Ausführungen. > Anscheinend will sich sonst niemand dazu äussern, bzw. sehen es alle so > wie Du ;-) Naja, es sind eben auch Wettbewerber auf der Liste und spontan fällt mir nicht ein, warum die sich in die Karten schauen lassen wollten. Ich gebe Peer hat Recht. Die Frage läßt sich nicht mit Software beantworten, sondern nur mit Produkten, Kundenportfolio und Aufwänden - alles Teile eines Business Plans. Und die Dinger können unterschiedlichst ausfallen. In jedem Fall wichtig: Nicht schön rechnen! > Unterm Strich sehe ich eben für mich ein Minus, daher werde ich wohl > mein Engagement in dieser Richtung beenden, die Komplexität des Themas > und die Faszination daran wiegen die Verantwortung nicht auf, gerade in > meinem kleinen Biz, das finanziell nicht viel abwirft. Henne-Ei-Problem: Wenn Du klein bist, traut man Dir nicht zu, viel zu stemmen. Dann verdienst Du nicht viel und kannst nicht wachsen ... > So schnell werde ich das aber nicht retour abwickeln können, also werde > ich noch eine Zeit lang hier zu Gast sein ;-) Das hoffe ich ja wohl! p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From lists at xunil.at Tue Aug 2 00:38:53 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 02 Aug 2011 00:38:53 +0200 Subject: [Postfixbuch-users] Kosten zu Nutzen In-Reply-To: <20110801205217.GB2304@state-of-mind.de> References: <4E31E546.2070406@xunil.at> <201107290058.04692.p.heinlein@heinlein-support.de> <4E36BD3F.4040806@xunil.at> <20110801205217.GB2304@state-of-mind.de> Message-ID: <4E372AFD.5040508@xunil.at> Am 2011-08-01 22:52, schrieb Patrick Ben Koetter: > * Stefan G. Weichinger : >> Anscheinend will sich sonst niemand dazu äussern, bzw. sehen es alle so >> wie Du ;-) > > Naja, es sind eben auch Wettbewerber auf der Liste und spontan fällt mir > nicht ein, warum die sich in die Karten schauen lassen wollten. Ich fragte ja auch nicht nach Zahlen, sondern nach der Herangehensweise. Aber vielleicht sind es ja wirklich Zahlen, denen ich folgen sollte. > Ich gebe Peer hat Recht. Die Frage läßt sich nicht mit Software beantworten, > sondern nur mit Produkten, Kundenportfolio und Aufwänden - alles Teile eines > Business Plans. Und die Dinger können unterschiedlichst ausfallen. In jedem > Fall wichtig: Nicht schön rechnen! Tue ich nicht, wie man wohl grade sieht! > Henne-Ei-Problem: Wenn Du klein bist, traut man Dir nicht zu, viel zu stemmen. > Dann verdienst Du nicht viel und kannst nicht wachsen ... Yep >> So schnell werde ich das aber nicht retour abwickeln können, also werde >> ich noch eine Zeit lang hier zu Gast sein ;-) > > Das hoffe ich ja wohl! Keine Sorge. Einige postfixes bei Kunden laufen weiter unter meiner bemühten Obhut, daher wird das hier subscribed bleiben. Nicht zuletzt wegen der oftmaligen kompetenten und schnellen Hilfestellung. Darin stimmen mir sicher viele hier zu. Danke, Stefan From Nomfundo.Ojok at gmx.de Tue Aug 2 09:22:55 2011 From: Nomfundo.Ojok at gmx.de (Nomfundo Ojok) Date: Tue, 02 Aug 2011 09:22:55 +0200 Subject: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln Message-ID: <20110802072255.231800@gmx.net> Hi, ich möchte die neue Funktion Postscreen unter Postfix ausprobieren und gleichzeitig nicht auf AmaVis verzichten. AmaVis habe ich bisher über "content_filter = smtp:[127.0.0.1]:10024" und den Eintrag in der master.cf gelöst. Wie verbinde ich jetzt postscreen mit der obigen Lösung? Oder geht das gar nicht mehr? main.cf: smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. append_dot_mydomain = no # Uncomment the next line to generate "delayed mail" warnings #delay_warning_time = 4h readme_directory = no # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = mail.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases #myorigin = /etc/mailname myorigin = $mydomain mydestination = $mydomain $myhostname localhost localhost.$mydomain example.de example.eu relayhost = mynetworks = 192.168.1.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_transport = cyrus mailbox_size_limit = 0 message_size_limit = 25971520 recipient_delimiter = + address_verify_sender = postmaster@$myorigin virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps smtpd_client_message_rate_limit = 50 anvil_rate_time_unit = 60s content_filter = smtp:[127.0.0.1]:10024 smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_security_options = noanonymous smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth smtpd_helo_required = yes smtpd_client_restrictions = permit_sasl_authenticated check_sender_access hash:/etc/postfix/access permit_mynetworks permit canonical_maps = hash:/etc/postfix/canonical smtpd_recipient_restrictions = reject_non_fqdn_recipient reject_non_fqdn_sender reject_unknown_sender_domain reject_unknown_recipient_domain permit_sasl_authenticated reject_unauth_destination permit_mynetworks reject_sender_login_mismatch check_recipient_access hash:/etc/postfix/roleaccount_exceptions reject_multi_recipient_bounce reject_non_fqdn_hostname reject_invalid_hostname inet_interfaces = all inet_protocols = all #### POLICYD-WEIGHT check_policy_service inet:127.0.0.1:12525 check_helo_access pcre:/etc/postfix/helo_checks check_sender_access hash:/etc/postfix/common_spam_senderdomains check_sender_access regexp:/etc/postfix/common_spam_senderdomain_keywords permit #### POSTSCREEN # Static Lists postscreen_access_list = permit_mynetworks, cdir:/etc/postfix/postscreen_access.cdir postscreen_blacklist_action = drop # DNS Blackhole Lists postscreen_dnsbl_threshold = 3 postscreen_dnsbl_sites = zen.spamhaus.org*2, bl.spamcop.net*1, postscreen_dnsbl_action = enforce # Postgreeting postscreen_greet_banner = $smtpd_banner postscreen_greet_action = enforce # Further Postscreen tests postscreen_bare_newline_enable = no postscreen_non_smtp_command_enable = yes postscreen_non_smtp_command_action = drop postscreen_pipelining_enable = no master.cf: smtpd pass - - n - - smtpd smtp inet n - n - 1 postscreen localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o mynetworks=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp -o smtp_fallback_relay= showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user} Grüße und vielen Dank Nomfundo -- Empfehlen Sie GMX DSL Ihren Freunden und Bekannten und wir belohnen Sie mit bis zu 50,- Euro! https://freundschaftswerbung.gmx.de From driessen at fblan.de Tue Aug 2 09:35:04 2011 From: driessen at fblan.de (Driessen) Date: Tue, 2 Aug 2011 09:35:04 +0200 Subject: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln In-Reply-To: <20110802072255.231800@gmx.net> References: <20110802072255.231800@gmx.net> Message-ID: <006701cc50e6$b204a210$0565a8c0@uwe> On Behalf Of Nomfundo Ojok > > ich möchte die neue Funktion Postscreen unter Postfix ausprobieren und > gleichzeitig nicht auf AmaVis verzichten. Das eine hat mit dem anderen nichts zutun Postscreen läuft weit vor dem Amavis. Postscreen macht nur zusätzliche Tests bzw. es können Tests zum Teil ganz nach vorne verlagert werden. > AmaVis habe ich bisher über "content_filter = smtp:[127.0.0.1]:10024" und > den Eintrag in der master.cf gelöst. Das bleibt auch so! > > Wie verbinde ich jetzt postscreen mit der obigen Lösung? Oder geht das gar > nicht mehr? > master.cf: > smtpd pass - - n - - smtpd > smtp inet n - n - 1 postscreen Schaut schon alles richtig aus. Lass es laufen und teste > > > > Grüße und vielen Dank > > Nomfundo > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From tobias at hachmer.de Tue Aug 2 09:49:48 2011 From: tobias at hachmer.de (Tobias Hachmer) Date: Tue, 02 Aug 2011 09:49:48 +0200 Subject: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln In-Reply-To: <20110802072255.231800@gmx.net> References: <20110802072255.231800@gmx.net> Message-ID: Hallo Nomfundo, On Tue, 02 Aug 2011 09:22:55 +0200, Nomfundo Ojok wrote: > master.cf: > smtpd pass - - n - - smtpd Hier könntest du mit -o content_filter=smtp:[127.0.0.1]:10024 den AMaViS direkt angeben In der master.cf fehlen ansonsten noch folgende Einträge: tlsproxy unix - - - - 0 tlsproxy dnsblog unix - - - - 0 dnsblog Viele Grüße, Tobias From F.Guenther at t-systems.com Tue Aug 2 10:00:09 2011 From: F.Guenther at t-systems.com (F.Guenther at t-systems.com) Date: Tue, 2 Aug 2011 10:00:09 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Vom_Mailserver_zum_Relais_=28b?= =?iso-8859-1?q?zw=2E_Server_ohne_lokale_Postf=E4cher=29?= In-Reply-To: <4E36F03F.20902@drobic.de> References: <4E36F03F.20902@drobic.de> Message-ID: Danke erst einmal.. hier die postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix content_filter = smtp-amavis:[127.0.0.1]:10024 home_mailbox = Maildir/ inet_interfaces = all mailbox_size_limit = 0 mydestination = mailer.server.de, localhost.server.de, localhost, server.de, andereDom.de myhostname = mailer.server.de mynetworks = 1.2.3..... myorigin = /etc/mailname readme_directory = no receive_override_options = no_address_mappings recipient_delimiter = + relayhost = smtp_sasl_password_maps = hash:/etc/passwd smtp_tls_CAfile = /etc/postfix/ssl/rootcert.cer smtp_tls_cert_file = /etc/postfix/ssl/cert.pem smtp_tls_key_file = /etc/postfix/ssl/priv-key.pem smtp_tls_note_starttls_offer = yes smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name smtpd_helo_required = yes smtpd_proxy_filter = [localhost]:10024 smtpd_recipient_restrictions = check_sender_access btree:/etc/postfix/reject_taiwan, check_client_access btree:/etc/postfix/reject_taiwan, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client list.dsbl.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client cbl.abuseat.org, reject_rbl_client proxies.blackholes.wirehub.net, reject_rbl_client opm.blitzed.org, reject_rhsbl_sender blackhole.securitysage.com, reject_rhsbl_client blackhole.securitysage.com, check_policy_service inet:127.0.0.1:12525, reject_unauth_destination, permit smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_local_domain = mailer.server.de,server.de,andereDom.de smtpd_sasl_security_options = noanonymous smtpd_sasl_tls_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/ssl/rootcert.cer smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/ssl/cert.pem smtpd_tls_key_file = /etc/postfix/ssl/priv-key.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom transport_maps = hash:/etc/postfix/transport virtual_alias_maps = hash:/etc/postfix/virtual-domains -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic Gesendet: Montag, 1. August 2011 20:28 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Vom Mailserver zum Relais (bzw. Server ohne lokale Postfächer) On 01.08.2011 09:32, F.Guenther at t-systems.com wrote: > Hallo, > > wir betreiben seit einigen Jahren einen "echten" Mailserver. Nach dem Postfixbuch eingerichtet und stabil. > Wir wollten unseren Server von Mail senden/empfangen -> zum Mailrelais umwandeln. Es sollen nur unsere > Adressen / Netze senden dürfen, die in der main.cf als Bereich oder Adresse stehen. Es sollen dann auf > dem "neuen Server" keine lokalen Postfächer mehr sein, außer dem postmaster at server.de Postfach. > Allerdings sollen einige Mails über die alias - Datei z.B. abc at server.de immer weitergeleitet > und nie lokal abgelegt werden. (Ich denke dass sind dann trotzdem Postfächer ??) Ehrlich gesagt verstehe ich deine Ausführungen nicht. Willst du den bestehenden in ein Relay umwandeln oder den neuen? Normalerweise nimmt man den neuen als Relay, dann muss man nicht die ganzen Postfächer umziehen. Bei dieser Konfiguration: Mailserver <-> Mailrelay <-> Internet würde der Mailserver die Mailboxen und die gültigen Adressen haben. Das Mailrelay würde am einfachsten per recipient_verification nachfragen, ob eine Adresse existiert, bevor eine Mail angenommen wird. > ------------------------------------------------------------------------- > Ich hatte dazu folgende Lösung probiert: > > In /etc/postfix/main.cf: > smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_postmaster, reject Ein sicherer Server, der keine Mails mehr entgegen nimmt. (^-^) Auf dem Mailrelay: /etc/postfix/main.cf: relay_domains = hash:/etc/postfix/relay_domains smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/clients_allowed_to_relay reject_unauth_destination check_recipient_access hash:/etc/postfix/role_accounts reject_unverified_recipients transport_maps = hash:/etc/postfix/transport /etc/postfix/clients_allowed_to_relay: ip.of.mail.server OK /etc/postfix/role_accounts abuse@ permit_auth_destination postmaster@ permit_auth_destination /etc/postfix/relay_domains: your.domain.tld OK your.other.domain OK /etc/postfix/transport: your.domain.tld relay:[ip.of.mail.server] your.other.domain relay:[ip.of.mail.server] Diese Konfig erfüllt folgende Aufgaben: - Mails vom Mailserver dürfen ins Internet geschickt werden - für alle anderen Clients gilt, dass die Mails nur für die eigenen Domains entgegen genommen werden - abuse und postmaster für die eigenen Domains werden immer angenommen - es wird geprüft (gegen den mailserver), ob die Adresse existiert. - Mails für die Relaydomains werden entgegen genommen und an den mailserver geschickt Dies ist eine absolute Minimalkonfiguration, die nur das Prinzip zeigen soll! Es sind noch etliche Optionen sinnvoll, aber so solltest du das Prinzip sehen können. > In /etc/postfix/access_postmaster: > postmaster@ permit_auth_destination > abc@ permit_auth_destination > Natürlich das 'postmap btree:/etc/postfix/access_postmaster' nicht vergessen. > ------------------------------------------------------------------------- > > Das hat für die Adresse postmaster super geklappt. Aber die anderen Nutzer (aus unseren Netzen), die senden wollen (und nicht postmaster heißen) > wurden auch rejected. Ich denke der Fehler war, das ein Relais auch erst einmal empfangen muss, bevor > weitergeleitet wird. Vielleicht geht ja auch ein: > > @Netz permit_auth_destination ? in der access_postmaster?? > > Ich möchte nicht lange probieren, da abc at server.de wirklich gebraucht wird. Danke im voraus. Da du keine Konfig gepostet hast, kann ich die keine Tipps für den Mailserver geben. Für eine präzisere Hilfe die Ausgabe des Befehls "postconf -n" notwendig. -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From Nomfundo.Ojok at gmx.de Tue Aug 2 10:11:33 2011 From: Nomfundo.Ojok at gmx.de (Nomfundo Ojok) Date: Tue, 02 Aug 2011 10:11:33 +0200 Subject: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln In-Reply-To: References: <20110802072255.231800@gmx.net> Message-ID: <20110802081133.21930@gmx.net> Vielen Dank! Ich probiere das mal mit Deinem Vorschlag aus. Das schaut logisch aus. Grüsse Nomfundo -------- Original-Nachricht -------- > Datum: Tue, 02 Aug 2011 09:49:48 +0200 > Von: Tobias Hachmer > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln > Hallo Nomfundo, > > On Tue, 02 Aug 2011 09:22:55 +0200, Nomfundo Ojok wrote: > > master.cf: > > smtpd pass - - n - - smtpd > > Hier könntest du mit -o content_filter=smtp:[127.0.0.1]:10024 den > AMaViS direkt angeben > > In der master.cf fehlen ansonsten noch folgende Einträge: > > tlsproxy unix - - - - 0 tlsproxy > dnsblog unix - - - - 0 dnsblog > > Viele Grüße, > > Tobias > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- NEU: FreePhone - 0ct/min Handyspartarif mit Geld-zurück-Garantie! Jetzt informieren: http://www.gmx.net/de/go/freephone From F.Guenther at t-systems.com Tue Aug 2 10:28:53 2011 From: F.Guenther at t-systems.com (F.Guenther at t-systems.com) Date: Tue, 2 Aug 2011 10:28:53 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Vom_Mailserver_zum_Relais_=28b?= =?iso-8859-1?q?zw=2E_Server_ohne_lokale_Postf=E4cher=29?= In-Reply-To: <4E36F03F.20902@drobic.de> References: <4E36F03F.20902@drobic.de> Message-ID: Sorry muss noch einmal was erläutern. In der Vergangenheit hatte viele Nutzer dort Postfächer und haben auch Mails empfangen. Das ist nicht mehr nötig. Der Server hat noch eine Adresse (ohne lokales Postfach um Mails anzunehmen und gleich weiter zu leiten (alias)) das haben wir so registriert und können dort nicht einfach ABNEHMEN blockieren. Für Server die für's Internet entwickelt werden, ist es aber sinnvoll E-Mail zu versenden. Der Server soll dafür das Relais sein und braucht nichts diesbezüglich empfangen. Die Nutzernamen dort können variieren. Postmaster Account ist für Probleme mit dem Server. So wollte ich das umbauen! Frank -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic Gesendet: Montag, 1. August 2011 20:28 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Vom Mailserver zum Relais (bzw. Server ohne lokale Postfächer) On 01.08.2011 09:32, F.Guenther at t-systems.com wrote: > Hallo, > > wir betreiben seit einigen Jahren einen "echten" Mailserver. Nach dem Postfixbuch eingerichtet und stabil. > Wir wollten unseren Server von Mail senden/empfangen -> zum Mailrelais umwandeln. Es sollen nur unsere > Adressen / Netze senden dürfen, die in der main.cf als Bereich oder Adresse stehen. Es sollen dann auf > dem "neuen Server" keine lokalen Postfächer mehr sein, außer dem postmaster at server.de Postfach. > Allerdings sollen einige Mails über die alias - Datei z.B. abc at server.de immer weitergeleitet > und nie lokal abgelegt werden. (Ich denke dass sind dann trotzdem Postfächer ??) Ehrlich gesagt verstehe ich deine Ausführungen nicht. Willst du den bestehenden in ein Relay umwandeln oder den neuen? Normalerweise nimmt man den neuen als Relay, dann muss man nicht die ganzen Postfächer umziehen. Bei dieser Konfiguration: Mailserver <-> Mailrelay <-> Internet würde der Mailserver die Mailboxen und die gültigen Adressen haben. Das Mailrelay würde am einfachsten per recipient_verification nachfragen, ob eine Adresse existiert, bevor eine Mail angenommen wird. > ------------------------------------------------------------------------- > Ich hatte dazu folgende Lösung probiert: > > In /etc/postfix/main.cf: > smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_postmaster, reject Ein sicherer Server, der keine Mails mehr entgegen nimmt. (^-^) Auf dem Mailrelay: /etc/postfix/main.cf: relay_domains = hash:/etc/postfix/relay_domains smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/clients_allowed_to_relay reject_unauth_destination check_recipient_access hash:/etc/postfix/role_accounts reject_unverified_recipients transport_maps = hash:/etc/postfix/transport /etc/postfix/clients_allowed_to_relay: ip.of.mail.server OK /etc/postfix/role_accounts abuse@ permit_auth_destination postmaster@ permit_auth_destination /etc/postfix/relay_domains: your.domain.tld OK your.other.domain OK /etc/postfix/transport: your.domain.tld relay:[ip.of.mail.server] your.other.domain relay:[ip.of.mail.server] Diese Konfig erfüllt folgende Aufgaben: - Mails vom Mailserver dürfen ins Internet geschickt werden - für alle anderen Clients gilt, dass die Mails nur für die eigenen Domains entgegen genommen werden - abuse und postmaster für die eigenen Domains werden immer angenommen - es wird geprüft (gegen den mailserver), ob die Adresse existiert. - Mails für die Relaydomains werden entgegen genommen und an den mailserver geschickt Dies ist eine absolute Minimalkonfiguration, die nur das Prinzip zeigen soll! Es sind noch etliche Optionen sinnvoll, aber so solltest du das Prinzip sehen können. > In /etc/postfix/access_postmaster: > postmaster@ permit_auth_destination > abc@ permit_auth_destination > Natürlich das 'postmap btree:/etc/postfix/access_postmaster' nicht vergessen. > ------------------------------------------------------------------------- > > Das hat für die Adresse postmaster super geklappt. Aber die anderen Nutzer (aus unseren Netzen), die senden wollen (und nicht postmaster heißen) > wurden auch rejected. Ich denke der Fehler war, das ein Relais auch erst einmal empfangen muss, bevor > weitergeleitet wird. Vielleicht geht ja auch ein: > > @Netz permit_auth_destination ? in der access_postmaster?? > > Ich möchte nicht lange probieren, da abc at server.de wirklich gebraucht wird. Danke im voraus. Da du keine Konfig gepostet hast, kann ich die keine Tipps für den Mailserver geben. Für eine präzisere Hilfe die Ausgabe des Befehls "postconf -n" notwendig. -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From driessen at fblan.de Tue Aug 2 11:06:41 2011 From: driessen at fblan.de (Driessen) Date: Tue, 2 Aug 2011 11:06:41 +0200 Subject: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln In-Reply-To: <20110802081133.21930@gmx.net> References: <20110802072255.231800@gmx.net> <20110802081133.21930@gmx.net> Message-ID: <007501cc50f3$7ec1d910$0565a8c0@uwe> On Behalf Of Nomfundo Ojok > > Vielen Dank! > > Ich probiere das mal mit Deinem Vorschlag aus. Das schaut logisch aus. > > Grüsse > > Nomfundo > > -------- Original-Nachricht -------- > > Datum: Tue, 02 Aug 2011 09:49:48 +0200 > > Von: Tobias Hachmer > > An: postfixbuch-users at listen.jpberlin.de > > Betreff: Re: [Postfixbuch-users] Postscreen mit AmaVisNew koppeln > > > Hallo Nomfundo, > > > > On Tue, 02 Aug 2011 09:22:55 +0200, Nomfundo Ojok wrote: > > > master.cf: > > > smtpd pass - - n - - smtpd > > > > Hier könntest du mit -o content_filter=smtp:[127.0.0.1]:10024 den > > AMaViS direkt angeben Für den contentfilter ist es unerheblich ob er über main.cf oder master.cf ins system eingebunden wird. Anders sieht es aus wenn Amavis bei eigenen Usern nach der Einlieferung und bei FREMDEN während der Einlieferung als proxy_filter laufen soll. Das müsste dann in der Master.cf auf den einzelnen Ports/IP's eingetragen werden. > > > > In der master.cf fehlen ansonsten noch folgende Einträge: > > > > tlsproxy unix - - - - 0 tlsproxy > > dnsblog unix - - - - 0 dnsblog > > > > Viele Grüße, > > > > Tobias Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From heli at tzv.fal.de Tue Aug 2 11:13:45 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Tue, 2 Aug 2011 11:13:45 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <002c01cc5044$b84bb7f0$0565a8c0@uwe> <4E369C1A.1090407@gmx.de> <4E36C525.5070901@drobic.de> <20110801123750.GH26933@charite.de> References: <20110801112505.GF15238@tzv.fal.de> <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> Message-ID: <20110802091345.GQ15238@tzv.fal.de> Hallo, danke für die Antworten und Hinweise. Ralf Hildebrandt schrieb am 01.08.2011 14:37: > Die automatische Weiterleitung ist m.E. nicht von einer manuellen zu > Unterscheiden. > > Bei Exchange gibt es im Regelassistenten > "umleiten" (aka "bounce" - envelope sender bleibt gleich) > und weiterleiten (der envelope sender des empfängers wird genutzt). Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? Ein bißchen fühle ich mich damit schon unter Druck gesetzt nach dem Motto: 'Schau mal, in der MS-Windows-Welt ist das doch so einfach und ihr mit eurem exotischen Linux/Postfix könnt das nicht.' Sandy Drobic schrieb am 01.08.2011 17:24: > Das Thema ist ziemlich vielschichtig und deshalb auch nicht allein auf > mailtechnischer Ebene lösbar. > > Bei uns gibt es ein Script, welches die Anwender beim Einloggen in die Domäne > in eine Anwesenheitsliste einträgt und beim Login wieder austrägt. Wenn Mails > von einem Anwender verschickt werden, ohne dass dieser in der Liste als > anwesend steht, wäre dies ein Hinweis für eine automatische Weiterleitung. > > Immer unter der Voraussetzung, dass der Anwender nicht von extern über > Webmail, Blackberry usw. seine Emails auch außerhalb der Dienstzeiten > bearbeiten kann. (^-^) > > Auch eine Statistik über die Zahl der versandten Emails kann Aufschluß geben. Das sind aber alles sehr indirekte Workarounds, die viel Arbeit machen und im Zweifelsfall leicht zu umgehen sind. Irgendwann würde ich dann schon vertreten, daß in einem standardisierten Mail-Setup solche Regeln nicht vorgesehen und deshalb auch nicht umsetzbar sind. Ein MTA soll die Mail annehmen und weitergeben und hat nichts mit der Userkonfiguration zu tun. Und proprietäre, monolithische Setups wie Exchange/Outlook können zwar solche Sachen mache, haben aber andere Schwächen. > Wenn jedoch so rigide Anweisungen kommen, sollte der Postmaster seinerseits > auch entsprechend vorsichtig sein und sich nicht zu weit aus dem Fenster > lehnen, sonst geht der Schuß gegen ihn los. Was meinst du damit konkret? Alexander Stoll schrieb am 01.08.2011 14:29: > Eine Positivliste der Empfänger ist wohl kaum zumutbar, andere > Ansätze via Filterung bestimmter Header sind problemlos zu unterlaufen, > wo sich dann wieder die grundsätzliche Sinnfrage stellt. Das sehe ich auch so. Driessen schrieb am 01.08.2011 14:15: > Eine automatische Umleitung müsste ja dann auf den annehmenden Mailservern > passieren insoweit kann man schon nachschauen ob eine lokale oder eine > "fremdzustellung" erfolgt. Das scheint ein Mißverständnis zu sein. Wenn z.B. der Nutzer in kmail oder Thunderbird per Filter bestimmte Mails automatisch weiterleitet wüßte ich nicht, wie unser Mailserver das erkennen soll, zumal manuelle Weiterleitung in Ausnahmen zulässig ist. > Politik ist nichts entgegenzusetzen. Was die wollen muß man schauen ob es > erfüllbar ist und fertig. > Wie du das realisierst wir denen die die Forderung gestellt haben egal sein. Ich fürchte, so wird es sein. Viele Grüße Helmut -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From mailing-lists at thomasschwenski.de Tue Aug 2 11:26:44 2011 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 02 Aug 2011 11:26:44 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802091345.GQ15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> Message-ID: <4E37C2D4.4050400@thomasschwenski.de> Hallo, Deine Anforderung ist schlicht und ergreifend _nicht_umsetzbar_. Klar gibt es Mittel uns Wege, die das angeblich können, aber all das ist letztendlich absolut Augenwischerei, weil sich dann auf eine angeblich funktionierende Lösung berufen wird, die wiederum aber löchriger ist als der berühmte Schweizer Käse. > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) Ja natürlich geht das mit Exchange und Outlook. Aber eben nur wenn beide verwendet werden und die Verwendung eines anderen MUA absolut, garantiert und 100%ig ausgeschlossen wird. Kann man das? Mit der notwendigen/geforderten Sicherheit von 100% eben nicht. Denn dann müsste auch sichergestellt werden, dass keine VBA-Scripte, Makros etc. auf Outlook zugreifen können um z.B. Serienmails etc. zu versenden. Meines Erachtens ist das nicht machbar bzw. bringt dann an anderer Stelle ungewollte Einschränkungen mit sich. > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? > Ein bißchen fühle ich mich damit schon unter Druck gesetzt nach dem Motto: > 'Schau mal, in der MS-Windows-Welt ist das doch so einfach und ihr mit eurem > exotischen Linux/Postfix könnt das nicht.' Wie gesagt: Augenwischerei! >> Das Thema ist ziemlich vielschichtig und deshalb auch nicht allein auf >> mailtechnischer Ebene lösbar. ... > Das sind aber alles sehr indirekte Workarounds, die viel Arbeit machen und im > Zweifelsfall leicht zu umgehen sind. Das Problem lässt sich nur auf (arbeits-)rechtlicher Ebene lösen. Entsprechende Rahmenbedingungen schaffen (Regelungen in Arbeitsverträgen/Betriebsvereinbarungen) und durchsetzen, regelmäßige stichprobenartige Überprüfungen und vor allem: Ahndung von Verstößen! Das ganze natürlich immer ordentlich rechtlich abgesichert. Anders wirst Du keine praktikable und rechtssichere Lösung umsetzen können. Thomas From Ralf.Hildebrandt at charite.de Tue Aug 2 11:30:07 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 11:30:07 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802091345.GQ15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> Message-ID: <20110802093007.GM3966@charite.de> * Helmut Lichtenberg : > Hallo, > danke für die Antworten und Hinweise. > > Ralf Hildebrandt schrieb am 01.08.2011 14:37: > > Die automatische Weiterleitung ist m.E. nicht von einer manuellen zu > > Unterscheiden. > > > > Bei Exchange gibt es im Regelassistenten > > "umleiten" (aka "bounce" - envelope sender bleibt gleich) > > und weiterleiten (der envelope sender des empfängers wird genutzt). > > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) > > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? Ich werde das mal prüfen lassen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Tue Aug 2 11:33:53 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 11:33:53 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802091345.GQ15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> Message-ID: <20110802093353.GN3966@charite.de> * Helmut Lichtenberg : > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) > > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? Ich habe das 2007er Dokument gelesen und finde in der Checkliste DEN Punkt eben NICHT! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From mailing-lists at thomasschwenski.de Tue Aug 2 11:38:19 2011 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 02 Aug 2011 11:38:19 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802093007.GM3966@charite.de> References: <20110801112505.GF15238@tzv.fal.de> <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <20110802093007.GM3966@charite.de> Message-ID: <4E37C58B.1080702@thomasschwenski.de> Hallo Ralf, >> Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: >> "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische >> Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" >> (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) >> >> Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? > > Ich werde das mal prüfen lassen. Die Arbeit würde ich mir sparen - denn wie soll bitte (praktikabel) unterbunden werden, das eine Weiterleitung nicht per Script/Makro durchgeführt wird, das im Userspace läuft und eingehende Mails (evtl. nötigenfalls leicht verändert) als Duplikat an einen neuen Empfänger sendet? Thomas From Ralf.Hildebrandt at charite.de Tue Aug 2 11:41:25 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 11:41:25 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <4E37C58B.1080702@thomasschwenski.de> References: <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <20110802093007.GM3966@charite.de> <4E37C58B.1080702@thomasschwenski.de> Message-ID: <20110802094125.GO3966@charite.de> * Thomas Schwenski : > Die Arbeit würde ich mir sparen - denn wie soll bitte (praktikabel) > unterbunden werden, das eine Weiterleitung nicht per Script/Makro > durchgeführt wird, das im Userspace läuft und eingehende Mails (evtl. > nötigenfalls leicht verändert) als Duplikat an einen neuen Empfänger sendet? Das ist mir auch unklar. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From heli at tzv.fal.de Tue Aug 2 11:44:14 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Tue, 2 Aug 2011 11:44:14 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <4E37C2D4.4050400@thomasschwenski.de> References: <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <4E37C2D4.4050400@thomasschwenski.de> Message-ID: <20110802094414.GR15238@tzv.fal.de> Thomas Schwenski schrieb am 02.08.2011 11:26: > Deine Anforderung ist schlicht und ergreifend _nicht_umsetzbar_. Leider ist die Situation so, daß an mich/uns als Admins die Anforderung gestellt wird, das so umzusetzen. > Klar gibt es Mittel uns Wege, die das angeblich können, aber all das ist > letztendlich absolut Augenwischerei, weil sich dann auf eine angeblich > funktionierende Lösung berufen wird, die wiederum aber löchriger ist als > der berühmte Schweizer Käse. > > > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) > > Ja natürlich geht das mit Exchange und Outlook. > Aber eben nur wenn beide verwendet werden und die Verwendung eines > anderen MUA absolut, garantiert und 100%ig ausgeschlossen wird. > > Kann man das? > Mit der notwendigen/geforderten Sicherheit von 100% eben nicht. > > Denn dann müsste auch sichergestellt werden, dass keine VBA-Scripte, > Makros etc. auf Outlook zugreifen können um z.B. Serienmails etc. zu > versenden. > > Meines Erachtens ist das nicht machbar bzw. bringt dann an anderer > Stelle ungewollte Einschränkungen mit sich. Da bin ich mir nicht so sicher. Leider kenne ich mich in dieser Welt gar nicht aus, aber ich denke, moderne Citrix/XenApp-Umgebungen mit virtualisierten Desktops können die MS-Windows-Arbeitsplätze zentral zur Verfügung stellen und einheitlich vorkonfigurieren, ohne daß der Benutzer dies ändern kann. Aber, wie gesagt: Stochern im Nebel Gruß Helmut -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From mailing-lists at thomasschwenski.de Tue Aug 2 11:49:36 2011 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 02 Aug 2011 11:49:36 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802094125.GO3966@charite.de> References: <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <20110802093007.GM3966@charite.de> <4E37C58B.1080702@thomasschwenski.de> <20110802094125.GO3966@charite.de> Message-ID: <4E37C830.1050001@thomasschwenski.de> >> Die Arbeit würde ich mir sparen - denn wie soll bitte (praktikabel) >> unterbunden werden, das eine Weiterleitung nicht per Script/Makro >> durchgeführt wird, das im Userspace läuft und eingehende Mails (evtl. >> nötigenfalls leicht verändert) als Duplikat an einen neuen Empfänger sendet? > Das ist mir auch unklar. Es lässt sich einschränken (bzw. ist standardmäßig schon eingeschränkt und muss ggf. freigeschaltet werden). Aber eben _nur_ einschränken und nicht 100%ig unterbinden. Und eben bei einer solchen Forderung das technisch zu unterbinden, sieht es am Ende so aus, dass eine absolute Unterbindung vom Fordernden angestrebt wird - ist die letztendlich nicht gegeben, dann muss der Umsetzende den Kopf hinhalten und kassiert den Ärger. Schlimmer noch - bei einer hinreichend löcherigen Absicherung kann das dann im daraus resultierenden (Arbeits-)Rechtsstreit ein Eigentor für die Firma werden, dass es eben nicht absolut (da nicht machbar) unterbunden war. Meines Erachtens hat derjenige, der auf eine technische Unterbindung pocht und davon auch nicht zugunsten der rechtlichen Variante abrücken will, das Gesamt-Problem nicht verstanden und geht mit Scheuklappen an den Augen vor. Thomas From anmeyer at anup.de Tue Aug 2 11:53:46 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 2 Aug 2011 11:53:46 +0200 Subject: [Postfixbuch-users] bcc-maps Message-ID: <20110802115346.7a327d9f@itx.bitcorner.intern> Hallo! Ich habe hier das Problem, dass ich meine sender_bcc_map und die recipient_bcc_map nicht verarbeitet wird. postconf -n |grep bcc recipient_bcc_maps = hash:/etc/postfix/archiv sender_bcc_maps = hash:/etc/postfix/archiv /etc/postfix/archiv sieht so aus: *@domain1.de archiv at domain1.de *@domain2.de archiv at domain2.de postmap archiv habe ich ausgeführt. postfix check ist ok. Kein Hinweis im logfile. Alle email wird an dovecot übergeben. Hat jemand einen Hinweis? Grüße Andreas From Ralf.Hildebrandt at charite.de Tue Aug 2 11:56:05 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 11:56:05 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <20110802115346.7a327d9f@itx.bitcorner.intern> References: <20110802115346.7a327d9f@itx.bitcorner.intern> Message-ID: <20110802095605.GP3966@charite.de> * Andreas Meyer : > Hallo! > > Ich habe hier das Problem, dass ich meine sender_bcc_map > und die recipient_bcc_map nicht verarbeitet wird. > > postconf -n |grep bcc > recipient_bcc_maps = hash:/etc/postfix/archiv > sender_bcc_maps = hash:/etc/postfix/archiv > > /etc/postfix/archiv sieht so aus: > *@domain1.de archiv at domain1.de > *@domain2.de archiv at domain2.de Also wirkt das nur für die Adressen *@domain1.de und *@domain2.de - für nichts anderes! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From mailing-lists at thomasschwenski.de Tue Aug 2 12:01:12 2011 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Tue, 02 Aug 2011 12:01:12 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802094414.GR15238@tzv.fal.de> References: <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <4E37C2D4.4050400@thomasschwenski.de> <20110802094414.GR15238@tzv.fal.de> Message-ID: <4E37CAE8.4080401@thomasschwenski.de> Am 02.08.11 11:44, schrieb Helmut Lichtenberg: > Thomas Schwenski schrieb am 02.08.2011 11:26: >> Deine Anforderung ist schlicht und ergreifend _nicht_umsetzbar_. > > Leider ist die Situation so, daß an mich/uns als Admins die Anforderung > gestellt wird, das so umzusetzen. > >> Klar gibt es Mittel uns Wege, die das angeblich können, aber all das ist >> letztendlich absolut Augenwischerei, weil sich dann auf eine angeblich >> funktionierende Lösung berufen wird, die wiederum aber löchriger ist als >> der berühmte Schweizer Käse. >> >>> Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: >>> "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische >>> Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" >>> (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) >> >> Ja natürlich geht das mit Exchange und Outlook. >> Aber eben nur wenn beide verwendet werden und die Verwendung eines >> anderen MUA absolut, garantiert und 100%ig ausgeschlossen wird. >> >> Kann man das? >> Mit der notwendigen/geforderten Sicherheit von 100% eben nicht. >> >> Denn dann müsste auch sichergestellt werden, dass keine VBA-Scripte, >> Makros etc. auf Outlook zugreifen können um z.B. Serienmails etc. zu >> versenden. >> >> Meines Erachtens ist das nicht machbar bzw. bringt dann an anderer >> Stelle ungewollte Einschränkungen mit sich. > > Da bin ich mir nicht so sicher. Leider kenne ich mich in dieser Welt gar nicht > aus, aber ich denke, moderne Citrix/XenApp-Umgebungen mit virtualisierten > Desktops können die MS-Windows-Arbeitsplätze zentral zur Verfügung stellen und > einheitlich vorkonfigurieren, ohne daß der Benutzer dies ändern kann. Natürlich geht das - und natürlich kann man die Nutzer im Streben sich an eine sagen wir 98%ige Lösung _anzunähern_ mit enormen technischem (und damit auch finanziellen) Aufwand so weit anschränken, dass sie am Ende entweder gar nicht mehr vernünftig arbeiten können oder alle Abläufer derart verkompliziert werden, dass Arbeitsprozesse unnötig verteuert werden. Aber auch dann hat man eben keine 100%ige Lösung, was schlicht und ergreifend in der Natur der Sache bzw. der Problematik liegt. Auch die Variante "Verbieten - Prüfen - Verstöße ahnden" bietet keinen 100%igen Schutz, aber sie setzt eine Stufe weiter vorn an als die technische Lösung. Denn sie beugt mit Strafmaßnahmen schon dem Vorhaben vor Mails weiterzuleiten, anstelle das Symptom (nämlich die Durchführung des Vorhabens) zu bekämpfen. Außerdem greift Sie gleichzeitig mit den Strafmaßnahmen die Konsequenz auf, die bei einer Umgehung einer technischen teilweisen Unterbindung gezogen würde. Es wird also schlicht und ergreifend ein kompletter Kostenverursachender Zwischenprozess eingespart. Wir können Dein Problem aber auch ganz einfach anders angehen: Was ist es Deinen Entscheidungsträgern finanziell wert, eine annähernde aber nicht 100%ige Umsetzung der Unterbindung zu erreichen? Der Einsatz von Citrix/XenApp und Co, sowie die Konsequenz daraus (Einschränkung bisher funktionierender Arbeitsprozesse, erhöhter Arbeitsaufwand, ...) bedingt einen enormen Einsatz von Finanzmitteln. Und wie gesagt: Die Folgekosten die durch die neuen Einschränkung entstehen, sind nicht total vorhersehbar aber absolut nicht vernachlässigbar. Thomas From heli at tzv.fal.de Tue Aug 2 12:03:02 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Tue, 2 Aug 2011 12:03:02 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802093353.GN3966@charite.de> References: <002c01cc5044$b84bb7f0$0565a8c0@uwe> <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <20110802093353.GN3966@charite.de> Message-ID: <20110802100302.GS15238@tzv.fal.de> Ralf Hildebrandt schrieb am 02.08.2011 11:33: > * Helmut Lichtenberg : > > > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) > > > > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? > > Ich habe das 2007er Dokument gelesen und finde in der Checkliste DEN > Punkt eben NICHT! Was findest du nicht, die von mir zitierte Stelle (Seite 9/10) oder die beschriebene Einstellung in Exchange? -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From anmeyer at anup.de Tue Aug 2 12:17:29 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 2 Aug 2011 12:17:29 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <20110802095605.GP3966@charite.de> References: <20110802115346.7a327d9f@itx.bitcorner.intern> <20110802095605.GP3966@charite.de> Message-ID: <20110802121729.6553ae45@itx.bitcorner.intern> Hallo Ralf! Ralf Hildebrandt wrote: > > postconf -n |grep bcc > > recipient_bcc_maps = hash:/etc/postfix/archiv > > sender_bcc_maps = hash:/etc/postfix/archiv > > > > /etc/postfix/archiv sieht so aus: > > *@domain1.de archiv at domain1.de > > *@domain2.de archiv at domain2.de > > Also wirkt das nur für die Adressen > *@domain1.de > und > *@domain2.de > > - für nichts anderes! Wenn es das denn nur täte. email an diese Adressen werden normal ins maildir einsortiert, das archiv (eine mbox) bleibt leer. Kein Hinweis im log, dass da ein bcc durchgeführt wurde. Oder steh ich jetzt total auf dem Schlauch? Andreas From driessen at fblan.de Tue Aug 2 12:21:24 2011 From: driessen at fblan.de (Driessen) Date: Tue, 2 Aug 2011 12:21:24 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <20110802121729.6553ae45@itx.bitcorner.intern> References: <20110802115346.7a327d9f@itx.bitcorner.intern><20110802095605.GP3966@charite.de> <20110802121729.6553ae45@itx.bitcorner.intern> Message-ID: <007e01cc50fd$eeb8d3e0$0565a8c0@uwe> > -----Original Message----- > From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- > users-bounces at listen.jpberlin.de] On Behalf Of Andreas Meyer > Sent: Tuesday, August 02, 2011 12:17 PM > To: postfixbuch-users at listen.jpberlin.de > Subject: Re: [Postfixbuch-users] bcc-maps > > Hallo Ralf! > > Ralf Hildebrandt wrote: > > > > postconf -n |grep bcc > > > recipient_bcc_maps = hash:/etc/postfix/archiv > > > sender_bcc_maps = hash:/etc/postfix/archiv > > > > > > /etc/postfix/archiv sieht so aus: > > > *@domain1.de archiv at domain1.de > > > *@domain2.de archiv at domain2.de > > > > Also wirkt das nur für die Adressen > > *@domain1.de Dann versuch es doch mal ohne "*" das ist auch als gültiges Zeichen in Mailadressen erlaubt (wenn ich jetzt nicht irre) > > und > > *@domain2.de > > > > - für nichts anderes! > > Wenn es das denn nur täte. email an diese Adressen werden normal > ins maildir einsortiert, das archiv (eine mbox) bleibt leer. > Kein Hinweis im log, dass da ein bcc durchgeführt wurde. Oder > steh ich jetzt total auf dem Schlauch? > > Andreas > -- Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From astoeb at axitcom.de Tue Aug 2 12:32:35 2011 From: astoeb at axitcom.de (=?iso-8859-1?Q?Alexander_St=F6brich?=) Date: Tue, 2 Aug 2011 12:32:35 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden Message-ID: <0LrKaC-1RX8TQ2PRE-0132tu@mrelayeu.kundenserver.de> Hallo zusammen, im Exchange Server ist es seit der 5.5 er (vorherige kenn ich nicht) möglich. Siehe auch http://www.msfaq.de/konzepte/regeln.htm. Damit diese Einstellungen greifen ist eine reine Exch. - Outlook Umgebung notwendig. (Mapi) Der Smtp Connect wird auf Exch.-Seite geschlossen. Damit kein anderer Client (Thunderb. usw.) senden kann. Mit dieser Einstellung ist der "normale" User abgesichert. In wie weit ein Progammierer auf der Mapi-Snit mittels VB o. ä. Regeln und Weiterleitungen realisieren und damit die gesetzte Richtlinie umgehen, kann entzieht sich meiner Kenntnis. Gruß Alex ----- Ursprüngliche Nachricht ----- Von: Ralf Hildebrandt Gesendet: Dienstag, 2. August 2011 11:33 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Automatische Weiterleitung unterbinden * Helmut Lichtenberg : > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) > > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? Ich habe das 2007er Dokument gelesen und finde in der Checkliste DEN Punkt eben NICHT! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From anmeyer at anup.de Tue Aug 2 12:45:38 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 2 Aug 2011 12:45:38 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <007e01cc50fd$eeb8d3e0$0565a8c0@uwe> References: <20110802115346.7a327d9f@itx.bitcorner.intern> <20110802095605.GP3966@charite.de> <20110802121729.6553ae45@itx.bitcorner.intern> <007e01cc50fd$eeb8d3e0$0565a8c0@uwe> Message-ID: <20110802124538.661b3d5e@itx.bitcorner.intern> "Driessen" wrote: > > > > /etc/postfix/archiv sieht so aus: > > > > *@domain1.de archiv at domain1.de > > > > *@domain2.de archiv at domain2.de > > > > > > Also wirkt das nur für die Adressen > > > *@domain1.de > > Dann versuch es doch mal ohne "*" das ist auch als gültiges Zeichen in > Mailadressen erlaubt (wenn ich jetzt nicht irre) aha, ohne den * scheint das zu greifen. Die recipient_bbc_maps funktioniert schonmal. Andreas From atann at alphasrv.net Tue Aug 2 12:34:02 2011 From: atann at alphasrv.net (Andre Tann) Date: Tue, 2 Aug 2011 12:34:02 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802091345.GQ15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> Message-ID: <201108021234.03389@inter.netz> Helmut Lichtenberg, Dienstag, 2. August 2011: > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? > Ein bißchen fühle ich mich damit schon unter Druck gesetzt nach dem Motto: > 'Schau mal, in der MS-Windows-Welt ist das doch so einfach und ihr mit > eurem exotischen Linux/Postfix könnt das nicht.' Das spricht doch eigentlich eher für das exotische Linux: Mit Outlook kriegst Du den Mailserver=Exchange so konfiguriert, daß er Mails sogleich irgendwo hin weiterleitet. Postfix/Dovecot/? dagegen kann der Normaluser mit seinem MUA gerade nicht dahingehend konfigurieren. Dann gebe ich ihm auch kein Sieve, und keinen Login auf die Shell, und schon leitet sich da gar nichts weiter. Wenn er dagegen im Outlook entsprechende Filter und/oder Makros hinterlegt, dann kriegt er es trotzdem weitergeleitet, aber dagegen ist man ohne großen Aufwand ohnehin machtlos. Das ganze hört sich für mich so an wie "wasch mir den Rücken, aber mach mich nicht naß". Manuelle Weiterleitung ja, automatische Weiterleitung nein, Anworten mit Zitat auch an andere als den ursprünglichen Absender ja, Out-of-Office-Replys evtl. mit Zitat der ursprünglichen Mail vermutlich nein (man weiß nicht, wohin der Empfänger=ursprüngliche Absender) weiterleitet, ohne Zitat aber ja. Ich neige zu der Ansicht, daß eine technische Lösung des Problems nicht machbar ist, es sei denn, man unterbindet Mails komplett. > Und proprietäre, monolithische Setups wie Exchange/Outlook können zwar > solche Sachen mache, haben aber andere Schwächen. Der Denkansatz ist falsch - daß eine Weiterleitung vom MUA aus überhaupt einrichtbar ist, ist (in eurem Kontext) an sich schon eine Schwäche, und daß man diese Möglichkeit serverseitig dann doch wieder abschalten kann, macht daraus keine Stärke. > Das scheint ein Mißverständnis zu sein. Wenn z.B. der Nutzer in kmail oder > Thunderbird per Filter bestimmte Mails automatisch weiterleitet wüßte ich > nicht, wie unser Mailserver das erkennen soll, zumal manuelle Weiterleitung > in Ausnahmen zulässig ist. Dann aber hast Du technisch auf jeden Fall verloren. Wie soll die Maschine entscheiden, wann so etwas zulässig ist, und wann nicht? Ich hatte schon überlegt, daß man eingehend irgendwie einen Hash über den Textbody bilden könnte, und wenn der Hash ausgehend innerhalb der nächsten Sekunden wieder vorbeikommt, dann war das eine unzulässige Automatik. Aber wenn es doch manchmal erlaubt ist, dann bringt das auch nichts. -- Andre Tann From heli at tzv.fal.de Tue Aug 2 13:10:06 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Tue, 2 Aug 2011 13:10:06 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <0LrKaC-1RX8TQ2PRE-0132tu@mrelayeu.kundenserver.de> References: <0LrKaC-1RX8TQ2PRE-0132tu@mrelayeu.kundenserver.de> Message-ID: <20110802111006.GT15238@tzv.fal.de> Alexander Stöbrich schrieb am 02.08.2011 12:32: > Siehe auch http://www.msfaq.de/konzepte/regeln.htm. Der Link ist wohl falsch: "Sie können die Domain msfaq.de kaufen" :^) -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From Ralf.Hildebrandt at charite.de Tue Aug 2 13:18:20 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 13:18:20 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110802100302.GS15238@tzv.fal.de> References: <20110801112505.GF15238@tzv.fal.de> <4E369C1A.1090407@gmx.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <4E36C525.5070901@drobic.de> <20110801112505.GF15238@tzv.fal.de> <20110801123750.GH26933@charite.de> <20110802091345.GQ15238@tzv.fal.de> <20110802093353.GN3966@charite.de> <20110802100302.GS15238@tzv.fal.de> Message-ID: <20110802111820.GQ3966@charite.de> * Helmut Lichtenberg : > Ralf Hildebrandt schrieb am 02.08.2011 11:33: > > * Helmut Lichtenberg : > > > > > Beim Suchen auf der BSI-Seite bin ich auf folgende Aussage gestoßen: > > > "Bei der Einbindung von Outlook in einen Exchange Server kann die automatische > > > Weiterleitung von E-Mails auch serverseitig unterbunden werden, [...]" > > > (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_client_checkliste_outlook2007_pdf.pdf?__blob=publicationFile) > > > > > > Das heißt doch, es scheint dort zu gehen. Kann das jemand bestätigen? > > > > Ich habe das 2007er Dokument gelesen und finde in der Checkliste DEN > > Punkt eben NICHT! > > Was findest du nicht, die von mir zitierte Stelle (Seite 9/10) oder die > beschriebene Einstellung in Exchange? In dem von dir angegebenen Dokument steht: Bei der Einbindung von Outlook in einen Exchange Server kann die automatische Weiterleitung von E-Mails auch serverseitig unterbunden werden, siehe [ISi-Check-Ex2003] und [ISi-Check-Ex2007].) Im ISi-Check-Ex2007 finde ich dazu nichts. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Tue Aug 2 13:20:43 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 13:20:43 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <20110802121729.6553ae45@itx.bitcorner.intern> References: <20110802115346.7a327d9f@itx.bitcorner.intern> <20110802095605.GP3966@charite.de> <20110802121729.6553ae45@itx.bitcorner.intern> Message-ID: <20110802112043.GR3966@charite.de> * Andreas Meyer : > Hallo Ralf! > > Ralf Hildebrandt wrote: > > > > postconf -n |grep bcc > > > recipient_bcc_maps = hash:/etc/postfix/archiv > > > sender_bcc_maps = hash:/etc/postfix/archiv > > > > > > /etc/postfix/archiv sieht so aus: > > > *@domain1.de archiv at domain1.de > > > *@domain2.de archiv at domain2.de > > > > Also wirkt das nur für die Adressen > > *@domain1.de > > und > > *@domain2.de > > > > - für nichts anderes! > > Wenn es das denn nur täte. email an diese Adressen werden normal > ins maildir einsortiert, das archiv (eine mbox) bleibt leer. Du schickst allen Ernstes Mails an die ADresse to=<*@domain1.de> ? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From driessen at fblan.de Tue Aug 2 13:23:47 2011 From: driessen at fblan.de (Driessen) Date: Tue, 2 Aug 2011 13:23:47 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <20110802124538.661b3d5e@itx.bitcorner.intern> References: <20110802115346.7a327d9f@itx.bitcorner.intern><20110802095605.GP3966@charite.de><20110802121729.6553ae45@itx.bitcorner.intern><007e01cc50fd$eeb8d3e0$0565a8c0@uwe> <20110802124538.661b3d5e@itx.bitcorner.intern> Message-ID: <008001cc5106$a5c7a540$0565a8c0@uwe> On Behalf Of Andreas Meyer > > "Driessen" wrote: > > > > > > /etc/postfix/archiv sieht so aus: > > > > > *@domain1.de archiv at domain1.de > > > > > *@domain2.de archiv at domain2.de > > > > > > > > Also wirkt das nur für die Adressen > > > > *@domain1.de > > > > Dann versuch es doch mal ohne "*" das ist auch als gültiges Zeichen in > > Mailadressen erlaubt (wenn ich jetzt nicht irre) > > aha, ohne den * scheint das zu greifen. Die recipient_bbc_maps > funktioniert schonmal. Jo Ralf hat "immer" recht aber man muß schon genau lesen was er schreibt *gg Ich glaube der denkt schon in nullen und einsen. > > Andreas > -- Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From astoeb at axitcom.de Tue Aug 2 13:27:24 2011 From: astoeb at axitcom.de (=?iso-8859-1?Q?Alexander_St=F6brich?=) Date: Tue, 2 Aug 2011 13:27:24 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden Message-ID: <0MIyEr-1Qq7zo3cdN-003DmH@mrelayeu.kundenserver.de> Sorry, www.msxfaq.de. Gruß Alex ----- Ursprüngliche Nachricht ----- Von: Helmut Lichtenberg Gesendet: Dienstag, 2. August 2011 13:10 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Automatische Weiterleitung unterbinden Alexander Stöbrich schrieb am 02.08.2011 12:32: > Siehe auch http://www.msfaq.de/konzepte/regeln.htm. Der Link ist wohl falsch: "Sie können die Domain msfaq.de kaufen" :^) -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From anmeyer at anup.de Tue Aug 2 15:58:25 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 2 Aug 2011 15:58:25 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <20110802112043.GR3966@charite.de> References: <20110802115346.7a327d9f@itx.bitcorner.intern> <20110802095605.GP3966@charite.de> <20110802121729.6553ae45@itx.bitcorner.intern> <20110802112043.GR3966@charite.de> Message-ID: <20110802155825.2f2d3cab@itx.bitcorner.intern> Ralf Hildebrandt wrote: > > > > /etc/postfix/archiv sieht so aus: > > > > *@domain1.de archiv at domain1.de > > > > *@domain2.de archiv at domain2.de > > > > > > Also wirkt das nur für die Adressen > > > *@domain1.de > > > und > > > *@domain2.de > > > > > > - für nichts anderes! > > > > Wenn es das denn nur täte. email an diese Adressen werden normal > > ins maildir einsortiert, das archiv (eine mbox) bleibt leer. > > Du schickst allen Ernstes Mails an die ADresse > > to=<*@domain1.de> ? Gnade! Ich hab's kapiert. Ich hab' das mit dem wildcard von Google irgendwoher. Ich dachte das Sternchen funktioniert als wildcard, aber das ist offenbar eine ganz reguläre email Adressse. Dank euch! Andreas From postfixbuch-users at drobic.de Tue Aug 2 17:42:10 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Tue, 02 Aug 2011 17:42:10 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Vom_Mailserver_zum_Relais_=28bzw=2E?= =?utf-8?q?_Server_ohne_lokale_Postf=C3=A4cher=29?= In-Reply-To: References: <4E36F03F.20902@drobic.de> Message-ID: <4E381AD2.8040707@drobic.de> On 02.08.2011 10:00, F.Guenther at t-systems.com wrote: > Danke erst einmal.. hier die postconf -n Von welchem System, dem Mailserver mit den Postfächern? Ich gehe jetzt davon aus, dass es der Backend-Server mit den Postfächern ist. > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > content_filter = smtp-amavis:[127.0.0.1]:10024 > home_mailbox = Maildir/ > inet_interfaces = all > mailbox_size_limit = 0 > mydestination = mailer.server.de, localhost.server.de, localhost, server.de, andereDom.de MyDestination = lokale Domains, Postfächer liegen auf dem Server hier. Gültige Adressen = Domains in mydestination + user in /etc/passwd und /etc/aliases. > myhostname = mailer.server.de > mynetworks = 1.2.3..... > myorigin = /etc/mailname > readme_directory = no > receive_override_options = no_address_mappings > recipient_delimiter = + > relayhost = Hier den Relayserver eintragen: relayhost = [ip.of.relay.host] > smtp_sasl_password_maps = hash:/etc/passwd > smtp_tls_CAfile = /etc/postfix/ssl/rootcert.cer > smtp_tls_cert_file = /etc/postfix/ssl/cert.pem > smtp_tls_key_file = /etc/postfix/ssl/priv-key.pem > smtp_tls_note_starttls_offer = yes > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name > smtpd_helo_required = yes > smtpd_proxy_filter = [localhost]:10024 Wieso gleichzeitig content_filter UND proxy_filter? Hier sollte entweder oder genutzt werden. Meistens setzt man diese Option in der master.cf auf dem Listener, welcher die Mails entgegennimmt. > smtpd_recipient_restrictions = check_sender_access btree:/etc/postfix/reject_taiwan, check_client_access btree:/etc/postfix/reject_taiwan, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.njabl.org, reject_rbl_client list.dsbl.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client cbl.abuseat.org, reject_rbl_client proxies.blackholes.wirehub.net, reject_rbl_client opm.blitzed.org, reject_rhsbl_sender blackhole.securitysage.com, reject_rhsbl_client blackhole.securitysage.com, check_policy_service inet:127.0.0.1:12525, reject_unauth_destination, permit Hier müsstest du mal etwas pflegen. Einige Blacklists sind seit Jahren schon gestorben und führen nur zu Verzögerungen bei DNS-Abfragen, andere sind in Sammel-RBLs enthalten. Wenn du die RBLs nutzen willst, solltest du auch die Policies dieser Listen kennen. Deshalb überlasse ich dir das Prüfen der Policies und das Entdecken, welche gestorben sind und welche überflüssig sind. Je nachdem, ob du auf deinem Server viele Mails empfängst, ist es auch sinnvoll, vor den RBLs zuerst ein reject_unlisted_recipients zu setzen, dann werden nicht alle RBLs abgefragt, wenn der Empfänger ohnehin nicht existiert und die Email abgewiesen wird. Sauberer ist es ohnehin, da viel resourcenschonender. Genauso auch das "reject_unauth_destination" vor dir RBLs. Insgesamt sollten die noch sinnvollen RBLs und die reject_taiwan natürlich auf dem Mailrelay dann geprüft werden, nicht mehr auf dem Backendserver. Auch der Policyserver (wenn es ein Greylisting implementiert). > smtpd_sasl_auth_enable = yes > smtpd_sasl_authenticated_header = no > smtpd_sasl_local_domain = mailer.server.de,server.de,andereDom.de > smtpd_sasl_security_options = noanonymous > smtpd_sasl_tls_security_options = noanonymous > smtpd_tls_CAfile = /etc/postfix/ssl/rootcert.cer > smtpd_tls_auth_only = no > smtpd_tls_cert_file = /etc/postfix/ssl/cert.pem > smtpd_tls_key_file = /etc/postfix/ssl/priv-key.pem > smtpd_tls_loglevel = 3 > smtpd_tls_received_header = yes > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_tls_session_cache_timeout = 3600s > smtpd_use_tls = yes > strict_rfc821_envelopes = no > tls_random_source = dev:/dev/urandom > transport_maps = hash:/etc/postfix/transport > virtual_alias_maps = hash:/etc/postfix/virtual-domains > > > From postfixbuch-users at drobic.de Tue Aug 2 17:44:24 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Tue, 02 Aug 2011 17:44:24 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Vom_Mailserver_zum_Relais_=28bzw=2E?= =?utf-8?q?_Server_ohne_lokale_Postf=C3=A4cher=29?= In-Reply-To: References: <4E36F03F.20902@drobic.de> Message-ID: <4E381B58.9050305@drobic.de> On 02.08.2011 10:28, F.Guenther at t-systems.com wrote: > Sorry muss noch einmal was erläutern. In der Vergangenheit hatte viele Nutzer dort Postfächer und haben auch Mails empfangen. Das ist nicht mehr nötig. > Der Server hat noch eine Adresse (ohne lokales Postfach um Mails anzunehmen und gleich weiter zu leiten (alias)) das haben wir so registriert und können dort nicht einfach ABNEHMEN blockieren. > Für Server die für's Internet entwickelt werden, ist es aber sinnvoll E-Mail zu versenden. Der Server soll dafür das Relais sein und braucht nichts diesbezüglich empfangen. Die Nutzernamen dort können variieren. > > Postmaster Account ist für Probleme mit dem Server. > So wollte ich das umbauen! Sorry, das habe ich einfach nicht verstanden. Wenn der Server keine lokalen Postfächer mehr hat, dann ist er ein Relay. Zeige dies bitte mal in einer Struktur, wie mails reinkommen und behandelt werden und wo du etwas ändern möchstest. Wo genau landen die Mails jetzt eigentlich?!? From Ralf.Hildebrandt at charite.de Tue Aug 2 21:19:31 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 2 Aug 2011 21:19:31 +0200 Subject: [Postfixbuch-users] bcc-maps In-Reply-To: <008001cc5106$a5c7a540$0565a8c0@uwe> References: <20110802115346.7a327d9f@itx.bitcorner.intern> <20110802095605.GP3966@charite.de> <20110802121729.6553ae45@itx.bitcorner.intern> <007e01cc50fd$eeb8d3e0$0565a8c0@uwe> <20110802124538.661b3d5e@itx.bitcorner.intern> <008001cc5106$a5c7a540$0565a8c0@uwe> Message-ID: <20110802191931.GE20337@charite.de> * Driessen : > > aha, ohne den * scheint das zu greifen. Die recipient_bbc_maps > > funktioniert schonmal. > > Jo Ralf hat "immer" recht aber man muß schon genau lesen was er schreibt *gg > Ich glaube der denkt schon in nullen und einsen. Naja, IMMER nicht. Aber in so leichten Fällen sicher :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From F.Guenther at t-systems.com Wed Aug 3 08:08:37 2011 From: F.Guenther at t-systems.com (F.Guenther at t-systems.com) Date: Wed, 3 Aug 2011 08:08:37 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Vom_Mailserver_zum_Relais_=28b?= =?iso-8859-1?q?zw=2E_Server_ohne_lokale_Postf=E4cher=29?= In-Reply-To: <4E381B58.9050305@drobic.de> References: <4E36F03F.20902@drobic.de> <4E381B58.9050305@drobic.de> Message-ID: Hallo. Erst einmal Danke für die Antwort. Noch einmal zum Server: Lokale Postfächer sollen weg also auch imap und pop. Senderichtung -> Internet. Es werden idR von unseren Nutzer Statusinformationen Ihrer Server versandt (wie viele haben einen web-Server besucht oder ich (Server) habe ein Problem o.ä.). Das sind Meldungen auf keiner antworten muss. Empfang <- Internet. Eine Adresse die über die Aliasdatei zugestellt wird. Die Zustellung soll eine Weiterleitung sein. Postmaster und abuse Accout, falls ein anderer Mailserver / Nutzer mit unserem Probleme hat. Meine Frage: Das ganze Zeug "spamassasin, spamd, clamav und amavis , policyd" brauch ich doch eigentlich nicht mehr? Vielleicht ist es doch sinnvoll einen neuen Server aufzusetzen. Dort genau das einzutragen was du vorgeschlagen hattest: clients_allowed_to_relay: role_accounts relay_domains transport Ich werde erst einmal einen neuen vorbereiten, zumal ich dann auch "kleinere" Hardware benutzen werde. Nochmal Danke Frank -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic Gesendet: Dienstag, 2. August 2011 17:44 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Vom Mailserver zum Relais (bzw. Server ohne lokale Postfächer) On 02.08.2011 10:28, F.Guenther at t-systems.com wrote: > Sorry muss noch einmal was erläutern. In der Vergangenheit hatte viele Nutzer dort Postfächer und haben auch Mails empfangen. Das ist nicht mehr nötig. > Der Server hat noch eine Adresse (ohne lokales Postfach um Mails anzunehmen und gleich weiter zu leiten (alias)) das haben wir so registriert und können dort nicht einfach ABNEHMEN blockieren. > Für Server die für's Internet entwickelt werden, ist es aber sinnvoll E-Mail zu versenden. Der Server soll dafür das Relais sein und braucht nichts diesbezüglich empfangen. Die Nutzernamen dort können variieren. > > Postmaster Account ist für Probleme mit dem Server. > So wollte ich das umbauen! Sorry, das habe ich einfach nicht verstanden. Wenn der Server keine lokalen Postfächer mehr hat, dann ist er ein Relay. Zeige dies bitte mal in einer Struktur, wie mails reinkommen und behandelt werden und wo du etwas ändern möchstest. Wo genau landen die Mails jetzt eigentlich?!? -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From j.heidbuechel at fz-juelich.de Wed Aug 3 10:05:36 2011 From: j.heidbuechel at fz-juelich.de (=?iso-8859-1?Q?Heidb=FCchel=2C_Jens?=) Date: Wed, 3 Aug 2011 10:05:36 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <0MIyEr-1Qq7zo3cdN-003DmH@mrelayeu.kundenserver.de> References: <0MIyEr-1Qq7zo3cdN-003DmH@mrelayeu.kundenserver.de> Message-ID: Liebe Kollegen, Am 02.08.2011 um 13:27 schrieben alle: > [...] Ganze Diskussion [...] die Uni Heidelberg hat die Unterbindung von externen Weiterleitungen umgesetzt und eine nette Anwenderinfo unter http://www.urz.uni-heidelberg.de/mail/weiterdienst.html verfasst. Das ganze kann man eigentlich nur unter dem Aspekt 'Unterbindung einer "automatischen" Weiterleitung durch den Betreiber' sehen. Umgangen werden kann es in den meisten Fällen. Viele Grüße, Jens -- Jens Heidbüchel IT-Services Tel.: +49 2461 61-9218 Email: j.heidbuechel at fz-juelich.de Forschungszentrum Jülich GmbH 52425 Jülich Sitz der Gesellschaft: Jülich Eingetragen im Handelsregister des Amtsgerichts Düren Nr. HR B 3498 Vorsitzender des Aufsichtsrats: MinDirig. Dr. Karl Eugen Huthmacher Geschäftsführung: Prof. Dr. Achim Bachem (Vorsitzender), Dr. Ulrich Krafft (stellv. Vorsitzender), Prof. Dr.-Ing. Harald Bolt, Prof. Dr. Sebastian M. Schmidt -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4576 bytes Beschreibung: nicht verfügbar URL : From heli at tzv.fal.de Wed Aug 3 11:22:19 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Wed, 3 Aug 2011 11:22:19 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: References: <0MIyEr-1Qq7zo3cdN-003DmH@mrelayeu.kundenserver.de> Message-ID: <20110803092219.GB15238@tzv.fal.de> Heidbüchel, Jens schrieb am 03.08.2011 10:05: > die Uni Heidelberg hat die Unterbindung von externen Weiterleitungen > umgesetzt und eine nette Anwenderinfo unter > http://www.urz.uni-heidelberg.de/mail/weiterdienst.html verfasst. > > Das ganze kann man eigentlich nur unter dem Aspekt 'Unterbindung einer > "automatischen" Weiterleitung durch den Betreiber' sehen. Umgangen werden > kann es in den meisten Fällen. Das finde ich einen ganz interessanten Hinweis der Heidelberger: "Daher wird ab sofort nicht der Sender der E-Mail, sondern der Verursacher der Weiterleitung für etwaige Schäden als haftbar angesehen: also die Person, die ein automatisches Forwarding eingerichtet hat." Damit könnte ich das Problem auch zufriedenstellend lösen: Auf dem Server werden keine wie auch immer gearteten Weiterleitungen dieser Art eingerichtet und der Nutzer (via MUA) muß selbst entscheiden, wie er seine Sorgfaltspflicht umsetzt. Oder ist das zu naiv? Gruß Helmut -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From driessen at fblan.de Wed Aug 3 12:52:41 2011 From: driessen at fblan.de (Driessen) Date: Wed, 3 Aug 2011 12:52:41 +0200 Subject: [Postfixbuch-users] Automatische Weiterleitung unterbinden In-Reply-To: <20110803092219.GB15238@tzv.fal.de> References: <0MIyEr-1Qq7zo3cdN-003DmH@mrelayeu.kundenserver.de> <20110803092219.GB15238@tzv.fal.de> Message-ID: <002701cc51cb$77f13850$0565a8c0@uwe> On Behalf Of Helmut Lichtenberg > Heidbüchel, Jens schrieb am 03.08.2011 10:05: > > die Uni Heidelberg hat die Unterbindung von externen Weiterleitungen > > umgesetzt und eine nette Anwenderinfo unter > > http://www.urz.uni-heidelberg.de/mail/weiterdienst.html verfasst. > > > > Das ganze kann man eigentlich nur unter dem Aspekt 'Unterbindung einer > > "automatischen" Weiterleitung durch den Betreiber' sehen. Umgangen > werden > > kann es in den meisten Fällen. > > Das finde ich einen ganz interessanten Hinweis der Heidelberger: > > "Daher wird ab sofort nicht der Sender der E-Mail, sondern der Verursacher > der > Weiterleitung für etwaige Schäden als haftbar angesehen: also die Person, > die > ein automatisches Forwarding eingerichtet hat." > > Damit könnte ich das Problem auch zufriedenstellend lösen: Auf dem Server > werden keine wie auch immer gearteten Weiterleitungen dieser Art > eingerichtet > und der Nutzer (via MUA) muß selbst entscheiden, wie er seine > Sorgfaltspflicht > umsetzt. > > Oder ist das zu naiv? Es wird dir nichts anderes übrig bleiben weil technisch nicht zu 100% lösbar. Den MUA des Anwenders hast du nicht dauerhaft unter Kontrolle (es sei denn du sitzt selbst davor). > > Gruß > Helmut > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From t.schneider at tms-itdienst.at Wed Aug 3 17:03:37 2011 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Wed, 3 Aug 2011 17:03:37 +0200 Subject: [Postfixbuch-users] Body-Checks Message-ID: <201108031703.43556.t.schneider@tms-itdienst.at> Hallo allerseits. Wie muß ich das in den "Body-Checks" eintragen wenn ich folgenden Satz aus dieser Mail erkennen möchte? Guten Tag Kundennr. 45563, bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse zu teuer ist. Aktuell könnten Sie sich bereits ab 59,00 Euro im Monat privat versichern. Bitte nutzen Sie unseren kostenlosen Vergleich online: http://post.angebot59.com/c-12731795-1123.html Es dauert weniger als 1 Minute. So könnten wir Ihren Tarif aktualisieren, Sie erhalten bessere Leistungen für weniger Geld. Schauen Sie jetzt gleich nach, was Sie sparen könnten. Mit freudlichen Grüssen, Hanna Schneider Leiterin Kunden Care Center "bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse zu teuer ist. " Thx Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T.+43.720.501 078(kostenlos per ENUM erreichbar) T.+49.89.721010 77792 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From Ralf.Hildebrandt at charite.de Wed Aug 3 17:08:38 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 3 Aug 2011 17:08:38 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108031703.43556.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> Message-ID: <20110803150837.GA4190@charite.de> * Timm M.Schneider : > Hallo allerseits. > > Wie muß ich das in den "Body-Checks" eintragen wenn ich folgenden Satz aus > dieser Mail erkennen möchte? > > Guten Tag Kundennr. 45563, > > bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse zu > teuer ist. Aktuell könnten Sie sich bereits ab 59,00 Euro im Monat privat > versichern. > > Bitte nutzen Sie unseren kostenlosen Vergleich online: > http://post.angebot59.com/c-12731795-1123.html > > Es dauert weniger als 1 Minute. So könnten wir Ihren Tarif aktualisieren, Sie > erhalten bessere Leistungen für weniger Geld. > > Schauen Sie jetzt gleich nach, was Sie sparen könnten. > > Mit freudlichen Grüssen, > > Hanna Schneider > Leiterin Kunden Care Center > > > "bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse zu > teuer ist. " /bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse zu/ -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From t.schneider at tms-itdienst.at Wed Aug 3 17:21:23 2011 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Wed, 3 Aug 2011 17:21:23 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <20110803150837.GA4190@charite.de> References: <201108031703.43556.t.schneider@tms-itdienst.at> <20110803150837.GA4190@charite.de> Message-ID: <201108031721.28819.t.schneider@tms-itdienst.at> Hallo Ralf, also ohne den beiden "/"? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T.+43.720.501 078(kostenlos per ENUM erreichbar) T.+49.89.721010 77792 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm Am Mittwoch, 3. August 2011, 17:08:38 schrieb Ralf Hildebrandt: > * Timm M.Schneider : > > Hallo allerseits. > > > > Wie muß ich das in den "Body-Checks" eintragen wenn ich folgenden Satz > > aus dieser Mail erkennen möchte? > > > > Guten Tag Kundennr. 45563, > > > > bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse > > zu teuer ist. Aktuell könnten Sie sich bereits ab 59,00 Euro im Monat > > privat versichern. > > > > Bitte nutzen Sie unseren kostenlosen Vergleich online: > > http://post.angebot59.com/c-12731795-1123.html > > > > Es dauert weniger als 1 Minute. So könnten wir Ihren Tarif aktualisieren, > > Sie erhalten bessere Leistungen für weniger Geld. > > > > Schauen Sie jetzt gleich nach, was Sie sparen könnten. > > > > Mit freudlichen Grüssen, > > > > Hanna Schneider > > Leiterin Kunden Care Center > > > > > > "bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse > > zu teuer ist. " > > /bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse > zu/ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From michael at nausch.org Wed Aug 3 17:21:37 2011 From: michael at nausch.org (Michael Nausch) Date: Wed, 03 Aug 2011 17:21:37 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108031703.43556.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> Message-ID: <4E396781.9080305@nausch.org> Arrrrh! Am 03.08.2011 17:03, schrieb Timm M.Schneider: > Wie muß ich das in den "Body-Checks" eintragen wenn ... perl -e 'print pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);' Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From Ralf.Hildebrandt at charite.de Wed Aug 3 17:33:07 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 3 Aug 2011 17:33:07 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108031721.28819.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> <20110803150837.GA4190@charite.de> <201108031721.28819.t.schneider@tms-itdienst.at> Message-ID: <20110803153307.GC4190@charite.de> * Timm M.Schneider : > Hallo Ralf, > > also ohne den beiden "/"? Nö. Ich schrieb das so wie ich das meinte. > > /bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre Krankenkasse zu/ REJECT -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From t.schneider at tms-itdienst.at Wed Aug 3 17:40:03 2011 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Wed, 3 Aug 2011 17:40:03 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <20110803153307.GC4190@charite.de> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031721.28819.t.schneider@tms-itdienst.at> <20110803153307.GC4190@charite.de> Message-ID: <201108031740.09264.t.schneider@tms-itdienst.at> Hallo Ralf, so hatte ich es probiert, ging aber nicht. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T.+43.720.501 078(kostenlos per ENUM erreichbar) T.+49.89.721010 77792 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm Am Mittwoch, 3. August 2011, 17:33:07 schrieb Ralf Hildebrandt: > * Timm M.Schneider : > > Hallo Ralf, > > > > also ohne den beiden "/"? > > Nö. Ich schrieb das so wie ich das meinte. > > > > /bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre > > > Krankenkasse zu/ REJECT -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From driessen at fblan.de Wed Aug 3 17:40:11 2011 From: driessen at fblan.de (Driessen) Date: Wed, 3 Aug 2011 17:40:11 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <4E396781.9080305@nausch.org> References: <201108031703.43556.t.schneider@tms-itdienst.at> <4E396781.9080305@nausch.org> Message-ID: <005701cc51f3$a1c31040$0565a8c0@uwe> On Behalf Of Michael Nausch > Arrrrh! > > Am 03.08.2011 17:03, schrieb Timm M.Schneider: > > > Wie muß ich das in den "Body-Checks" eintragen wenn ... > > perl -e 'print pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);' Tztztz wie kann man so lange texte für so was kurzes schreiben.*gg Du kannst deine Schreibweise noch optimieren *g > > > > Django > -- Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From lists at dguhl.org Wed Aug 3 17:48:29 2011 From: lists at dguhl.org (Dennis Guhl) Date: Wed, 3 Aug 2011 17:48:29 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108031740.09264.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031721.28819.t.schneider@tms-itdienst.at> <20110803153307.GC4190@charite.de> <201108031740.09264.t.schneider@tms-itdienst.at> Message-ID: <20110803154829.GA30600@PC211.ikt.de> On Wed, Aug 03, 2011 at 05:40:03PM +0200, Timm M.Schneider wrote: > Hallo Ralf, > > so hatte ich es probiert, ging aber nicht. man 5 body_checks | less -p 'Body.*one line' [..] Dennis From t.schneider at tms-itdienst.at Wed Aug 3 18:19:30 2011 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Wed, 3 Aug 2011 18:19:30 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <20110803154829.GA30600@PC211.ikt.de> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031740.09264.t.schneider@tms-itdienst.at> <20110803154829.GA30600@PC211.ikt.de> Message-ID: <201108031819.36150.t.schneider@tms-itdienst.at> Hallo Denis, leider gibts bei mir kein manual von body_checks. Thx Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T.+43.720.501 078(kostenlos per ENUM erreichbar) T.+49.89.721010 77792 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm Am Mittwoch, 3. August 2011, 17:48:29 schrieb Dennis Guhl: > On Wed, Aug 03, 2011 at 05:40:03PM +0200, Timm M.Schneider wrote: > > Hallo Ralf, > > > > so hatte ich es probiert, ging aber nicht. > > man 5 body_checks | less -p 'Body.*one line' > > [..] > > Dennis -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From gregor at a-mazing.de Wed Aug 3 18:28:25 2011 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 3 Aug 2011 18:28:25 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108031819.36150.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> <20110803154829.GA30600@PC211.ikt.de> <201108031819.36150.t.schneider@tms-itdienst.at> Message-ID: <201108031828.25911@office.a-mazing.net> Hallo Timm, Am Mittwoch, 3. August 2011 schrieb Timm M.Schneider: > leider gibts bei mir kein manual von body_checks. header_- und body_checks haben eine gemeinsame man-Page: http://www.postfix.org/header_checks.5.html Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From michael at nausch.org Wed Aug 3 19:32:32 2011 From: michael at nausch.org (Michael Nausch) Date: Wed, 03 Aug 2011 19:32:32 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <005701cc51f3$a1c31040$0565a8c0@uwe> References: <201108031703.43556.t.schneider@tms-itdienst.at> <4E396781.9080305@nausch.org> <005701cc51f3$a1c31040$0565a8c0@uwe> Message-ID: <4E398630.2080709@nausch.org> HI! Am 03.08.2011 17:40, schrieb Driessen: >> perl -e 'print pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);' > > Tztztz wie kann man so lange texte für so was kurzes schreiben.*gg > Du kannst deine Schreibweise noch optimieren *g perl -le 'print map {chr(($|++?1:13)+ord)}split//,ESEL' ;) Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From michael at nausch.org Wed Aug 3 20:14:30 2011 From: michael at nausch.org (Michael Nausch) Date: Wed, 03 Aug 2011 20:14:30 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <005701cc51f3$a1c31040$0565a8c0@uwe> References: <201108031703.43556.t.schneider@tms-itdienst.at> <4E396781.9080305@nausch.org> <005701cc51f3$a1c31040$0565a8c0@uwe> Message-ID: <4E399006.8030907@nausch.org> Arrrrrh! Am 03.08.2011 17:40, schrieb Driessen: > Du kannst deine Schreibweise noch optimieren *g Klar doch, entweder so http://tinyurl.com/3ccnk78 oder so http://tinyurl.com/453qply So nun ist's aber genug! Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From Ralf.Hildebrandt at charite.de Wed Aug 3 22:38:18 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 3 Aug 2011 22:38:18 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108031740.09264.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031721.28819.t.schneider@tms-itdienst.at> <20110803153307.GC4190@charite.de> <201108031740.09264.t.schneider@tms-itdienst.at> Message-ID: <20110803203817.GA18722@charite.de> * Timm M.Schneider : > so hatte ich es probiert, ging aber nicht. Na dann ist der ROHTEXT der Mail nicht daß was Du glaubst! So eine Mail kann ja im Body BASE64 Codiert sein (sehe ich oft bei Outlook). Evtl. mal einfacher anfangen, also z.B. so: /./ WARN um die Rohdaten (vorsicht: gilt für alle Mails!) zu sehen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From t.schneider at tms-itdienst.at Thu Aug 4 07:56:42 2011 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Thu, 4 Aug 2011 07:56:42 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <20110803203817.GA18722@charite.de> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031740.09264.t.schneider@tms-itdienst.at> <20110803203817.GA18722@charite.de> Message-ID: <201108040756.43170.t.schneider@tms-itdienst.at> Hallo Ralf, wenn ich nur Krankenkasse schreibe, geht es, aber das ist mir zu ungenau. Das Problem ist auch da ich nicht weiss wie das als Plain steht(Zeilenumbruch) muß ich das stark abkürzen, mal sehn werde es testen. Habe jetzt mal /Krankenkasse zu ......./ REJECT stehen. Das teuer kann ich nicht schreiben, weil die Mail ja nicht verschickt wird. lol Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T.+43.720.501 078(kostenlos per ENUM erreichbar) T.+49.89.721010 77792 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm Am Mittwoch, 3. August 2011, 22:38:18 schrieb Ralf Hildebrandt: > * Timm M.Schneider : > > so hatte ich es probiert, ging aber nicht. > > Na dann ist der ROHTEXT der Mail nicht daß was Du glaubst! > So eine Mail kann ja im Body BASE64 Codiert sein (sehe ich oft bei > Outlook). Evtl. mal einfacher anfangen, also z.B. so: > > > /./ WARN > > um die Rohdaten (vorsicht: gilt für alle Mails!) zu sehen. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part. URL : From Ralf.Hildebrandt at charite.de Thu Aug 4 09:39:26 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 4 Aug 2011 09:39:26 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108040756.43170.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031740.09264.t.schneider@tms-itdienst.at> <20110803203817.GA18722@charite.de> <201108040756.43170.t.schneider@tms-itdienst.at> Message-ID: <20110804073926.GC21971@charite.de> * Timm M.Schneider : > Hallo Ralf, > > wenn ich nur Krankenkasse schreibe, geht es, aber das ist mir zu ungenau. Ja, das verstehe ich! > Das Problem ist auch da ich nicht weiss wie das als Plain steht(Zeilenumbruch) > muß ich das stark abkürzen, mal sehn werde es testen. > Habe jetzt mal /Krankenkasse zu ......./ REJECT stehen. > Das teuer kann ich nicht schreiben, weil die Mail ja nicht verschickt wird. > lol Du kannst ja auch statt REJECT einfach HOLD nutzen! Das ist in der Testphase sehr praktisch. > > > Grüße > Timm > -- > TMS IT-Dienst > Hinterstadt 2 > 4840 Vöcklabruck(VB) > Austria > T.+43.720.501 078(kostenlos per ENUM erreichbar) > T.+49.89.721010 77792 > F.+43.720.501 078 57 > Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm > > Am Mittwoch, 3. August 2011, 22:38:18 schrieb Ralf Hildebrandt: > > * Timm M.Schneider : > > > so hatte ich es probiert, ging aber nicht. > > > > Na dann ist der ROHTEXT der Mail nicht daß was Du glaubst! > > So eine Mail kann ja im Body BASE64 Codiert sein (sehe ich oft bei > > Outlook). Evtl. mal einfacher anfangen, also z.B. so: > > > > > > /./ WARN > > > > um die Rohdaten (vorsicht: gilt für alle Mails!) zu sehen. > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfixbuch-users at drobic.de Thu Aug 4 16:13:23 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Thu, 04 Aug 2011 16:13:23 +0200 Subject: [Postfixbuch-users] Body-Checks In-Reply-To: <201108040756.43170.t.schneider@tms-itdienst.at> References: <201108031703.43556.t.schneider@tms-itdienst.at> <201108031740.09264.t.schneider@tms-itdienst.at> <20110803203817.GA18722@charite.de> <201108040756.43170.t.schneider@tms-itdienst.at> Message-ID: <4E3AA903.6050905@drobic.de> On 04.08.2011 07:56, Timm M.Schneider wrote: > Hallo Ralf, > > wenn ich nur Krankenkasse schreibe, geht es, aber das ist mir zu ungenau. > Das Problem ist auch da ich nicht weiss wie das als Plain steht(Zeilenumbruch) > muß ich das stark abkürzen, mal sehn werde es testen. > Habe jetzt mal /Krankenkasse zu ......./ REJECT stehen. > Das teuer kann ich nicht schreiben, weil die Mail ja nicht verschickt wird. Dann solltest du vielleicht nicht die auf eine Zeile begrenzten body_checks von Postfix nutzen, sondern die vielseitigeren Möglichkeiten von Spamassassin. Wenn dein Server Amavisd-new als Pre-Queue-Filter verwendet, ist auch der Reject kein Problem. From ralf.prengel at rprengel.de Thu Aug 4 17:24:02 2011 From: ralf.prengel at rprengel.de (Ralf Prengel) Date: Thu, 04 Aug 2011 17:24:02 +0200 Subject: [Postfixbuch-users] Mailarchibv gesucht Message-ID: <4E3AB992.2090907@rprengel.de> Hallo, hat jemand Tips zu einem brauchbaren, möglicht kostenlosem, Mailarchiv? Es wäre kein Aufwand einfach Postfix alle Mails in Kopie in einen anderen Imap-Server schieben zu lassen aber die Gelegenheit wäre günstig das etwas besser zu machen: Nett wären: - eine Recherchemöglichkeit per Webinterface - statistische Funktionen - Monitoring per snmp/ nagios Hat da jemand etwas parat? Gruß From anmeyer at anup.de Thu Aug 4 17:51:22 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Thu, 4 Aug 2011 17:51:22 +0200 Subject: [Postfixbuch-users] Mailarchibv gesucht In-Reply-To: <4E3AB992.2090907@rprengel.de> References: <4E3AB992.2090907@rprengel.de> Message-ID: <20110804175122.368a3ac3@itx.bitcorner.intern> Ralf Prengel wrote: > Hallo, > > hat jemand Tips zu einem brauchbaren, möglicht kostenlosem, Mailarchiv? > Es wäre kein Aufwand einfach Postfix alle Mails in Kopie in einen > anderen Imap-Server schieben zu lassen aber die Gelegenheit wäre günstig > das etwas besser zu machen: > Nett wären: > - eine Recherchemöglichkeit per Webinterface > - statistische Funktionen > - Monitoring per snmp/ nagios > > Hat da jemand etwas parat? Ich bin gerade an openbenno dran. Muss mir aber erst eine Debian oder Ubuntu besorgen, da das mit einer openSUSE etwas komplizierter zu sein scheint. Braucht Tomcat und Java und hat ein Webinterface zum suchen und managen. > Gruß Andreas From p.heinlein at heinlein-support.de Fri Aug 5 08:39:20 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 5 Aug 2011 08:39:20 +0200 Subject: [Postfixbuch-users] Mailarchibv gesucht In-Reply-To: <4E3AB992.2090907@rprengel.de> References: <4E3AB992.2090907@rprengel.de> Message-ID: <201108050839.20970.p.heinlein@heinlein-support.de> Am Donnerstag, 4. August 2011, 17:24:02 schrieb Ralf Prengel: > Nett wären: > - eine Recherchemöglichkeit per Webinterface > - statistische Funktionen > - Monitoring per snmp/ nagios > > Hat da jemand etwas parat? http://www.heinlein-support.de/mail-archiv Erfüllt das (und noch viel mehr) und ermöglicht nebenbei auch noch die revisionssichere Archivierung. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From listacc at gmx.de Fri Aug 5 12:02:05 2011 From: listacc at gmx.de (listacc at gmx.de) Date: Fri, 05 Aug 2011 12:02:05 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran Message-ID: <20110805100205.325220@gmx.net> Hallo, Peer hat in seinen Vorträgen und Schulungen ja regelmäßig betont, daß Arbeitgeber keinen Zugriff auf die Postfächer von Mitarbeitern nehmen dürfen, wenn private Mailnutzung geduldet/erlaubt ist. Es gibt nun anscheinend ein aktuelles Urteil, nach dem der Zugriff in bestimmten Fällen doch rechtmäßig ist: http://www.heise.de/newsticker/meldung/Urteil-Arbeitgeber-darf-auf-dienstliche-E-Mails-eines-Arbeitnehmers-zugreifen-1287540.html Bei uns in der Firma gibt es gerade einen entsprechenden Fall, bei dem ein Mitarbeiter im Urlaub und nicht erreichbar ist und wegen eines dringend benötigten Lizenzschlüssels trotz geduldeter privater Postfachnutzung auf sein Postfach zugegriffen werden soll. Nach der Heise-Meldung habe ich nicht die beste Position, mich dagegen zur Wehr zu setzen... wie handhabt ihr denn solche Fälle? Viele Grüße, Andreas -- Empfehlen Sie GMX DSL Ihren Freunden und Bekannten und wir belohnen Sie mit bis zu 50,- Euro! https://freundschaftswerbung.gmx.de From mailing-lists at thomasschwenski.de Fri Aug 5 15:23:11 2011 From: mailing-lists at thomasschwenski.de (Thomas Schwenski) Date: Fri, 05 Aug 2011 15:23:11 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <20110805100205.325220@gmx.net> References: <20110805100205.325220@gmx.net> Message-ID: <4E3BEEBF.3020707@thomasschwenski.de> Moin, so brandaktuell ist die Meldung nicht und das Urteil ist meines Erachtens eher unglücklich. Ergo für Deine Argumentation: Ein unglücklicher Einzelfall, der derzeit nicht als Präzedenzfall verwendet werden sollte. Im zweifelsfall formuliere Deinen Protest und Widerspruch schriftlich und lass Dir zumindest per Unterschrift von der Geschäftsführung bestätigen, dass sie diesen und Deinen Hinweis, dass sie sich ggf. strafbar macht zur Kenntnis genommen hat und Dir dennoch entsprechende Anweisung gegegeben hat. Dazu dann nur Zugriff im Beisein eines Betriebsratsmitglieds. Nicht unbedingt wasserdicht, aber dürfte Deine Position etwas verbessern. Aber Peer kann sich da sicher deutlich fundierter zum Thema äußern Thomas Am 05.08.11 12:02, schrieb listacc at gmx.de: > Hallo, > > Peer hat in seinen Vorträgen und Schulungen ja regelmäßig betont, daß Arbeitgeber keinen Zugriff auf die Postfächer von Mitarbeitern nehmen dürfen, wenn private Mailnutzung geduldet/erlaubt ist. > > Es gibt nun anscheinend ein aktuelles Urteil, nach dem der Zugriff in bestimmten Fällen doch rechtmäßig ist: > > http://www.heise.de/newsticker/meldung/Urteil-Arbeitgeber-darf-auf-dienstliche-E-Mails-eines-Arbeitnehmers-zugreifen-1287540.html > > > Bei uns in der Firma gibt es gerade einen entsprechenden Fall, bei dem ein Mitarbeiter im Urlaub und nicht erreichbar ist und wegen eines dringend benötigten Lizenzschlüssels trotz geduldeter privater Postfachnutzung auf sein Postfach zugegriffen werden soll. Nach der Heise-Meldung habe ich nicht die beste Position, mich dagegen zur Wehr zu setzen... wie handhabt ihr denn solche Fälle? > > Viele Grüße, > > Andreas From postfixbuch-users at drobic.de Fri Aug 5 15:55:57 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Fri, 05 Aug 2011 15:55:57 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <20110805100205.325220@gmx.net> References: <20110805100205.325220@gmx.net> Message-ID: <4E3BF66D.9040309@drobic.de> On 05.08.2011 12:02, listacc at gmx.de wrote: > Hallo, > > Peer hat in seinen Vorträgen und Schulungen ja regelmäßig betont, daß > Arbeitgeber keinen Zugriff auf die Postfächer von Mitarbeitern nehmen > dürfen, wenn private Mailnutzung geduldet/erlaubt ist. > > Es gibt nun anscheinend ein aktuelles Urteil, nach dem der Zugriff in > bestimmten Fällen doch rechtmäßig ist: > > http://www.heise.de/newsticker/meldung/Urteil-Arbeitgeber-darf-auf-dienstliche-E-Mails-eines-Arbeitnehmers-zugreifen-1287540.html Es ist kein Urteil darüber, ob der Zugriff auf das Mailkonto rechtens ist, sondern nur, ob in einer Notlage der Zugriff das kleinere Übel ist und angesichts des drohenden Schadens für die Firma in Kauf genommen werden muss. Zusätzlich wurde viel Wert darauf gelegt, dass wirklich nur die eine benötigte Mail eingesehen und dies auch entsprechend mit Zeugen überprüft wurde. > Bei uns in der Firma gibt es gerade einen entsprechenden Fall, bei dem ein > Mitarbeiter im Urlaub und nicht erreichbar ist und wegen eines dringend > benötigten Lizenzschlüssels trotz geduldeter privater Postfachnutzung auf > sein Postfach zugegriffen werden soll. Nach der Heise-Meldung habe ich > nicht die beste Position, mich dagegen zur Wehr zu setzen... wie handhabt > ihr denn solche Fälle? Zuerst solltest du sicherstellen, dass alle anderen Methoden versucht wurden. - Den Absender bitten, die Email an eine andere Adresse zu schicken. - Den Abwesenden bitten, die Email weiterzuleiten (Wenn Zugriff von extern aus dem Urlaub z.B. möglich ist). - Workaround suchen, um den Zeitraum bis zur Rückkehr des Mitarbeiters einigermaßen zu überbrücken. Etwas seltsam ist es ja schon, wenn ein Mitarbeiter "dringend" eine Lizenz-Info braucht und der andere Mitarbeiter sie erhält und dann in Urlaub geht. Hat der abwesende Mitarbeiter dann wirklich ordnungsgemäß den Vorfall bearbeitet? Wenn all dies nichts hilft, dann dokumentieren, dass es sich tatsächlich um eine Notlage handelt und Schaden von der Firma abgewendet werden muss. Dies sollte dann auch für dich ersichtlich sein, dass es eine Notlage ist. Wenn hier kein offensichtlicher und beträchtlicher Schaden dargelegt werden kann, würde ich mir dies überlegen. From stse+postfixbuch at fsing.rootsland.net Fri Aug 5 16:05:29 2011 From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz) Date: Fri, 5 Aug 2011 16:05:29 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <4E3BEEBF.3020707@thomasschwenski.de> References: <20110805100205.325220@gmx.net> <4E3BEEBF.3020707@thomasschwenski.de> Message-ID: <20110805T155436.GA.1f6f9.stse@fsing.rootsland.net> On Fri, Aug 05, 2011 at 03:23:11PM +0200, Thomas Schwenski wrote: >so brandaktuell ist die Meldung nicht und das Urteil ist meines >Erachtens eher unglücklich. Warum? Es wurde versucht, die Dame zu erreichen, ohne Erfolg. Alle Mails mußten entsprechend im Betreff gekennzeichnet sein, und diese Mails wurden nicht angetastet. Es wurde im Beisein vom Betriebsrat und IIRC vom Datenschutzbeauftragten auf das Postfach zugegriffen, um an für das Unternehmen wichtige Informationen zu kommen, die im Postfach sind. Du kannst jetzt nicht dem Arbeitgeber einen Strick daraus drehen, daß er an seine Informationen will. Hätte die Frau Recht bekommen, hätte es am Ende darauf hinauslaufen müssen, daß es in Unternehmen keine Personenpostfächer mehr geben darf, nur Gruppenpostfächer wie vertrieb, marketing, etc. Bei Andreas ist der Fall doch noch klarer (IIRC war die Frau im Beispiel krank geworden, hier ist der Mitarbeiter im Urlaub). Der Mitarbeiter hat es verschlafen, den Lizenzschlüssel so abzulegen, daß andere Kollegen im Interesse des Unternehmens drankommen. Das ist sein Fehler. Wenn er nicht in seinem Urlaub erreichbar ist/sein will, was sein gutes Recht ist, muß er damit leben, daß eben andere an sein Postfach gehen, damit dem Unternehmen auch im Interesse des Arbeitnehmers, der seinen Job schließlich behalten will, kein Schaden entsteht. Shade and sweet water! Stephan -- | Stephan Seitz E-Mail: stse at fsing.rootsland.net | | PGP Public Keys: http://fsing.rootsland.net/~stse/pgp.html | -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: Digital signature URL : From driessen at fblan.de Fri Aug 5 16:49:27 2011 From: driessen at fblan.de (Driessen) Date: Fri, 5 Aug 2011 16:49:27 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <4E3BF66D.9040309@drobic.de> References: <20110805100205.325220@gmx.net> <4E3BF66D.9040309@drobic.de> Message-ID: <001501cc537e$e052a8c0$0565a8c0@uwe> On Behalf Of Sandy Drobic > > On 05.08.2011 12:02, listacc at gmx.de wrote: > > Hallo, > > > > Peer hat in seinen Vorträgen und Schulungen ja regelmäßig betont, daß > > Arbeitgeber keinen Zugriff auf die Postfächer von Mitarbeitern nehmen > > dürfen, wenn private Mailnutzung geduldet/erlaubt ist. > > > > Es gibt nun anscheinend ein aktuelles Urteil, nach dem der Zugriff in > > bestimmten Fällen doch rechtmäßig ist: > > > > http://www.heise.de/newsticker/meldung/Urteil-Arbeitgeber-darf-auf- > dienstliche-E-Mails-eines-Arbeitnehmers-zugreifen-1287540.html > > Es ist kein Urteil darüber, ob der Zugriff auf das Mailkonto rechtens ist, > sondern nur, ob in einer Notlage der Zugriff das kleinere Übel ist und > angesichts des drohenden Schadens für die Firma in Kauf genommen werden > muss. Wer als Mitarbeiter verhindern möchte das durch was auch immer private Mail Header oder Absender vom Arbeitgeber gesichtet werden könnten legt sich ein Privates Mailkonto wo auch immer zu. Ich kenn zumindest keinen Mitarbeiter der seine Private Post zwischen den Akten des Arbeitgebers aufbewahrt oder sogar darin abheftet. Wer so auf die informelle Selbstbestimmung pocht der hat auch die Pflicht alles so zu tun das er wirklich die Hoheit über seine Daten behält. Bei der Post ist ja so das man anhand der Anschrift erkennen kann an wen und ob privat oder geschäftlich. Dann müsste sogar das unterbunden werden Ob das Urteil jetzt gut, schlecht oder dem geltenden Recht entspricht oder was auch immer ist lasse ich außen vor. Ich lasse nichts im Zugriffsbereich eines dritten liegen wodurch ich wo auch immer in Verlegenheit kommen könnte oder was mir unangenehm wäre wenn unbeteiligte Dritte davon Kenntnis erlangen würden. Als Mitarbeiter habe ich an meinem Arbeitsplatz meine Arbeitskraft zu 100% meinem Arbeitgeber zur Verfügung zu stellen und mich nicht mit privaten Dingen zu beschäftigen(Notfälle wollen wir mal ausnehmen). Ein Arbeitgeber zahlt ja auch 100% des vereinbarten Lohns an den Mitarbeiter aus. Von daher ist die strikte Trennung Privat und Geschäft notwendig und ein Arbeitgeber tut gut daran private Nutzung nicht zu erlauben und bei Bedarf auch zu unterbinden. Ich finde da so manches ein bissel krank und nicht mit Verstand behandelt. Zu Not holt man sich eine einstweilige Verfügung vom Gericht und geht mit einem Gerichtsvollzieher an das Postfach dran (ob der Ahnung von der Materie hat ist wieder eine andere Frage). Ob das dann dadurch besser wird steht auch auf einem anderen Blatt. Zumindest hat ein unbeteiligter Dritter ein Auge drauf geworfen und es erlaubt oder auch nicht.*g Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From atann at alphasrv.net Fri Aug 5 18:00:46 2011 From: atann at alphasrv.net (Andre Tann) Date: Fri, 5 Aug 2011 18:00:46 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <001501cc537e$e052a8c0$0565a8c0@uwe> References: <20110805100205.325220@gmx.net> <4E3BF66D.9040309@drobic.de> <001501cc537e$e052a8c0$0565a8c0@uwe> Message-ID: <201108051800.46842@inter.netz> Driessen, Freitag, 5. August 2011: > Wer als Mitarbeiter verhindern möchte das durch was auch immer private Mail > Header oder Absender vom Arbeitgeber gesichtet werden könnten legt sich ein > Privates Mailkonto wo auch immer zu. > Ich kenn zumindest keinen Mitarbeiter der seine Private Post zwischen den > Akten des Arbeitgebers aufbewahrt oder sogar darin abheftet. > Wer so auf die informelle Selbstbestimmung pocht der hat auch die Pflicht > alles so zu tun das er wirklich die Hoheit über seine Daten behält. Das seh ich aber auch so. Wäre ja noch schöner, wenn man den Ablauf beim Arbeitgeber dadurch blockieren könnte, indem man auch nur eine private Mail im Konto abspeichert, und dann Gott und die Welt damit befaßt, die eigene Privatsphäre zu wahren. Die Rechtslage scheint zwar anders zu sein, aber nachdem es Freemailer wie Sand am Meer gibt, kann man es dem Mitarbeiter auch zumuten, für Trennung zu sorgen. Bei den Läden, die ich so von innen kenne, ist das auch nie ein Problem. Es ist stillschweigend akzeptiert, daß a) die Leute den Account auch für Privates benutzen, daß b) der Arbeitgeber jederzeit reinschauen darf, ob was wichtiges angekommen ist, daß c) Backups über Jahre aufgehoben werden, und noch niemand hat damit ein Problem gehabt. > Ich lasse nichts im Zugriffsbereich eines dritten liegen wodurch ich wo > auch immer in Verlegenheit kommen könnte oder was mir unangenehm wäre wenn > unbeteiligte Dritte davon Kenntnis erlangen würden. Jep. (oder +1, wie das neuerdings wohl heißt ;) ) > Als Mitarbeiter habe ich an meinem Arbeitsplatz meine Arbeitskraft zu 100% > meinem Arbeitgeber zur Verfügung zu stellen und mich nicht mit privaten > Dingen zu beschäftigen(Notfälle wollen wir mal ausnehmen). > Ein Arbeitgeber zahlt ja auch 100% des vereinbarten Lohns an den > Mitarbeiter aus. Seh ich nicht ganz so. Ich denke in meiner Freizeit auch oft über die Abläufe beim Arbeitgeber nach, und was man verbessern könnte. Also darf ich während der Arbeitszeit auch mal über Privates nachdenken. Solange unter dem Strich Leistung und Gegenleistung übereinstimmt, ist es doch OK. -- Andre Tann From w.flamme at web.de Fri Aug 5 20:19:54 2011 From: w.flamme at web.de (Werner Flamme) Date: Fri, 05 Aug 2011 20:19:54 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <201108051800.46842@inter.netz> References: <20110805100205.325220@gmx.net> <4E3BF66D.9040309@drobic.de> <001501cc537e$e052a8c0$0565a8c0@uwe> <201108051800.46842@inter.netz> Message-ID: <4E3C344A.40806@web.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 05.08.2011 18:00, schrieb Andre Tann: > Driessen, Freitag, 5. August 2011: > > Das seh ich aber auch so. Wäre ja noch schöner, wenn man den Ablauf beim > Arbeitgeber dadurch blockieren könnte, indem man auch nur eine private > Mail im Konto abspeichert, und dann Gott und die Welt damit befaßt, die > eigene Privatsphäre zu wahren. Die Rechtslage scheint zwar anders zu > sein, aber nachdem es Freemailer wie Sand am Meer gibt, kann man es dem > Mitarbeiter auch zumuten, für Trennung zu sorgen. Dem Mitarbeiter kann ich es vielleicht zumuten. Er kann vielleicht einen MUA mit zwei Mailkonten bedienen. Davon kann ich nicht in jedem Fall ausgehen. Kann ich es denn auch den Bekannten des Mitarbeiters zumuten, die vielleicht unabsichtlich (nur der Name, nicht die eigentliche Mailadresse wird angezeigt, wie das bei vielen MUA leider Standard geworden ist) eine Mail mit privatem Inhalt an den Firmenaccount schicken? Oder demjenigen, der jemanden denunzieren will, ihm "vielen Dank für Deine Bilder" schreibt, und dass er sich nun mit ein paar anderen Kinderpornos revanchieren will? Kleine Meldung an den Chef und der Mitarbeiter hat rote Ohren... > Bei den Läden, die ich so von innen kenne, ist das auch nie ein Problem. > Es ist stillschweigend akzeptiert, daß a) die Leute den Account auch für > Privates benutzen, daß b) der Arbeitgeber jederzeit reinschauen darf, ob > was wichtiges angekommen ist, daß c) Backups über Jahre aufgehoben > werden, und noch niemand hat damit ein Problem gehabt. Schön, dass Du nur Läden kennst, die Datenschutz in keiner Weise ernst nehmen. >> Ich lasse nichts im Zugriffsbereich eines dritten liegen wodurch ich wo >> auch immer in Verlegenheit kommen könnte oder was mir unangenehm wäre wenn >> unbeteiligte Dritte davon Kenntnis erlangen würden. > > Jep. (oder +1, wie das neuerdings wohl heißt ;) ) Ihr seid vielleicht 366 Tage im Schaltjahr online. Andere sind das nicht. Nicht mal allen Kollegen (IT-Abteilung eines Forschungszentrums) ist es zumutbar, an den Wochenende nach Mail zu sehen - sie wohnen auf dem Land, nix DSL, nix UMTS, selbst GPRS ist Glückssache. BTST. >> Als Mitarbeiter habe ich an meinem Arbeitsplatz meine Arbeitskraft zu 100% >> meinem Arbeitgeber zur Verfügung zu stellen und mich nicht mit privaten >> Dingen zu beschäftigen(Notfälle wollen wir mal ausnehmen). >> Ein Arbeitgeber zahlt ja auch 100% des vereinbarten Lohns an den >> Mitarbeiter aus. > > Seh ich nicht ganz so. Ich denke in meiner Freizeit auch oft über die > Abläufe beim Arbeitgeber nach, und was man verbessern könnte. Also darf > ich während der Arbeitszeit auch mal über Privates nachdenken. Solange > unter dem Strich Leistung und Gegenleistung übereinstimmt, ist es doch > OK. Zumal wenn es eine Betriebsvereinbarung gibt, die das Nutzen des Dienst-PCs zu privaten Zwecken in geringem Umfang ermöglicht... Gruß Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJOPDRIAAoJEOfJ7bNoiiCNOboH/R8aUmQDkVkrUB+KMD0hZIPX v91sI7PpVUbaui/QFz9EWEJ1rQnI3GKqeCC2Rphhg7aDhA4D+h/pTZmjFATg2Esj JCELvfJrFWQAO/ncGCSpbTIg+4Ui+JNG60wL6lsUaVEuR02Gy2oXGlNfJskycpJW Bbt1TdHksxl9KGZnxithV5IlaKRAW4H7uWaxKDy0PBMfLQ/nfD4fu888Kuom8BgD aeqW0tvax5gwAlrj6tBDHXwEVm9hjDZ08CskeIs26fMw6+Dxp/c3vD2d2Nxcxzpp W1Vw/K3eiRijCuepVDtddElC0WIayv02D/E5dLbOYIAMoBF43rxESj0+3N5odGo= =ps4s -----END PGP SIGNATURE----- From driessen at fblan.de Fri Aug 5 21:34:12 2011 From: driessen at fblan.de (Driessen) Date: Fri, 5 Aug 2011 21:34:12 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <4E3C344A.40806@web.de> References: <20110805100205.325220@gmx.net><4E3BF66D.9040309@drobic.de> <001501cc537e$e052a8c0$0565a8c0@uwe><201108051800.46842@inter.netz> <4E3C344A.40806@web.de> Message-ID: <001701cc53a6$a7bade60$0565a8c0@uwe> On Behalf Of Werner Flamme > Am 05.08.2011 18:00, schrieb Andre Tann: > > Driessen, Freitag, 5. August 2011: > > > > Das seh ich aber auch so. Wäre ja noch schöner, wenn man den Ablauf beim > > Arbeitgeber dadurch blockieren könnte, indem man auch nur eine private > > Mail im Konto abspeichert, und dann Gott und die Welt damit befaßt, die > > eigene Privatsphäre zu wahren. Die Rechtslage scheint zwar anders zu > > sein, aber nachdem es Freemailer wie Sand am Meer gibt, kann man es dem > > Mitarbeiter auch zumuten, für Trennung zu sorgen. > > Dem Mitarbeiter kann ich es vielleicht zumuten. Er kann vielleicht einen > MUA mit zwei Mailkonten bedienen. Davon kann ich nicht in jedem Fall > ausgehen. Holla, ist das das Problem des Arbeitgebers ob sein Mitarbeiter weiß wie er an ein "PRIVATES" Mailkonto kommt? Stell dir vor der Arbeitgeber hat ein striktes Verbot zur privaten Mailnutzung ausgesprochen. > Kann ich es denn auch den Bekannten des Mitarbeiters zumuten, die > vielleicht unabsichtlich (nur der Name, nicht die eigentliche > Mailadresse wird angezeigt, wie das bei vielen MUA leider Standard > geworden ist) eine Mail mit privatem Inhalt an den Firmenaccount > schicken? Oder demjenigen, der jemanden denunzieren will, ihm "vielen > Dank für Deine Bilder" schreibt, und dass er sich nun mit ein paar > anderen Kinderpornos revanchieren will? Kleine Meldung an den Chef und > der Mitarbeiter hat rote Ohren... Sorry woher hat der Bekannte denn die Firmenmailadresse? Bei solch einer linken Nummer mit KIPO's bekomme ich keine roten Ohren. Das geht an die Kripo die wissen mit so was umzugehen. Eine Hausdurchsuchung ist was feines wenn man sie nicht selber erlebt *gg (als ISP kann man auch schon mal in den Genuss kommen) > > > Bei den Läden, die ich so von innen kenne, ist das auch nie ein Problem. > > Es ist stillschweigend akzeptiert, daß a) die Leute den Account auch für > > Privates benutzen, daß b) der Arbeitgeber jederzeit reinschauen darf, ob > > was wichtiges angekommen ist, daß c) Backups über Jahre aufgehoben > > werden, und noch niemand hat damit ein Problem gehabt. > > Schön, dass Du nur Läden kennst, die Datenschutz in keiner Weise ernst > nehmen. Die Frage ist wer hat hier geschlampt. Wenn ich als (Arbeitgeber|Mitarbeiter) nicht möchte...... > > >> Ich lasse nichts im Zugriffsbereich eines dritten liegen wodurch ich wo > >> auch immer in Verlegenheit kommen könnte oder was mir unangenehm wäre > wenn > >> unbeteiligte Dritte davon Kenntnis erlangen würden. > > > > Jep. (oder +1, wie das neuerdings wohl heißt ;) ) > > Ihr seid vielleicht 366 Tage im Schaltjahr online. Andere sind das > nicht. Nicht mal allen Kollegen (IT-Abteilung eines Forschungszentrums) > ist es zumutbar, an den Wochenende nach Mail zu sehen - sie wohnen auf > dem Land, nix DSL, nix UMTS, selbst GPRS ist Glückssache. BTST. s.o. ist nicht Problem des Arbeitgebers und stellt den Arbeitnehmer auch nicht von der Verantwortung frei Privat und Geschäft zu trennen. > > >> Als Mitarbeiter habe ich an meinem Arbeitsplatz meine Arbeitskraft zu > 100% > >> meinem Arbeitgeber zur Verfügung zu stellen und mich nicht mit privaten > >> Dingen zu beschäftigen(Notfälle wollen wir mal ausnehmen). > >> Ein Arbeitgeber zahlt ja auch 100% des vereinbarten Lohns an den > >> Mitarbeiter aus. > > > > Seh ich nicht ganz so. Ich denke in meiner Freizeit auch oft über die > > Abläufe beim Arbeitgeber nach, und was man verbessern könnte. Also darf > > ich während der Arbeitszeit auch mal über Privates nachdenken. Solange > > unter dem Strich Leistung und Gegenleistung übereinstimmt, ist es doch > > OK. > > Zumal wenn es eine Betriebsvereinbarung gibt, die das Nutzen des > Dienst-PCs zu privaten Zwecken in geringem Umfang ermöglicht... > Wir haben nun mal dieses Datenschutzgesetz und alle müssen sich dran halten. In diese Vereinbahrung gehört auch ein "Der Arbeitgeber hat das Recht auf die Firmenmails innerhalb des Accounts bei Krankheit, Urlaub, mehrtägiger (4 Tage) nicht Erreichbarkeit des Arbeitnehmers zuzugreifen" "Der Mitarbeiter erklärt sich unter der Wahrung seiner Interessen und unter der Bedingung das dieser Zugriff nur unter der Hinzuziehung von Betriebsrat und .. und.. erfolgt" " Ist der Mitarbeiter nicht damit einverstanden hat er selbst die Pflicht dafür Sorge zu tragen das keine Private Nutzung seiner Firmenmailadresse statt findet. Er haftet in einem solchen Fall für die aus der privaten Nutzung entstehenden Folgen (Aufzählung der möglichen Folgen)" Ich sehe ein Grundsätzliches Problem im Umgang vieler Privat und Geschäftsleute mit dem Medium Internet. Die meisten schreien wenn es um den gläsernen Bürger geht aber selbst verhalten sie sich am wenigsten danach (sozial Networks usw. usw.) bzw. so als ob das verteilen von Flugblätter auf der Frankfurter Zeile inkl. Ihrer persönlichen Lebensverhältnissen Pflicht wäre. Da ist das was evtl. unter der Prämisse der Arbeitgeber benötigt nur eine ganz bestimmte Mail aus dem Account (weil alle anderen Wege ausgeschöpft sind) ansonsten noch bekannt werden könnte fast nebensächlich. Wie heist es so schön "willst du deinen neuen Mitarbeiter kennenlernen dann schau bei facebook, wkw usw. nach" (Ihr braucht die jetzt nicht alle löschen das bringt jetzt eh nichts mehr das Internet vergisst nichts)*gg Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From p at state-of-mind.de Fri Aug 5 21:53:33 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Fri, 5 Aug 2011 21:53:33 +0200 Subject: [Postfixbuch-users] [OT] Arbeitgeber darf an Postfach ran In-Reply-To: <20110805100205.325220@gmx.net> References: <20110805100205.325220@gmx.net> Message-ID: <20110805195333.GA14456@state-of-mind.de> * listacc at gmx.de : > Peer hat in seinen Vorträgen und Schulungen ja regelmäßig betont, daß > Arbeitgeber keinen Zugriff auf die Postfächer von Mitarbeitern nehmen > dürfen, wenn private Mailnutzung geduldet/erlaubt ist. > > Es gibt nun anscheinend ein aktuelles Urteil, nach dem der Zugriff in > bestimmten Fällen doch rechtmäßig ist: > > http://www.heise.de/newsticker/meldung/Urteil-Arbeitgeber-darf-auf-dienstliche-E-Mails-eines-Arbeitnehmers-zugreifen-1287540.html > > > Bei uns in der Firma gibt es gerade einen entsprechenden Fall, bei dem ein > Mitarbeiter im Urlaub und nicht erreichbar ist und wegen eines dringend > benötigten Lizenzschlüssels trotz geduldeter privater Postfachnutzung auf > sein Postfach zugegriffen werden soll. Nach der Heise-Meldung habe ich nicht > die beste Position, mich dagegen zur Wehr zu setzen... wie handhabt ihr denn > solche Fälle? Wir fragen einen ordentlich zugelassenen Anwalt. ;) p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From tobster at brain-force.ch Sun Aug 7 19:31:27 2011 From: tobster at brain-force.ch (Tobi) Date: Sun, 07 Aug 2011 19:31:27 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter Message-ID: <4E3ECBEF.2040703@brain-force.ch> Hallo zusammen wollte mir bei meinem Postfix mal dkim-filter installieren und einbinden. Hat anhand der Beschreibungen im Web auch funktioniert. In den Logs sehe ich dass Postfix den dkim-filter involviert. Aber in den Headern kann ich keine Angabe von dkim finden und auch Tests mit check-auth at verifier.port25.com ergeben nur dass die Mail nicht signiert wurde. Das Maillog sagt << Aug 7 19:15:23 mail-web dkim-filter[15378]: BB0C72F4025 mode select: signing >> Hat irgendjemand eine Idee woran das liegen könnte? Danke für jeden Tipp tobi From postfixbuch-users at makomi.de Sun Aug 7 19:53:56 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 7 Aug 2011 19:53:56 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <4E3ECBEF.2040703@brain-force.ch> References: <4E3ECBEF.2040703@brain-force.ch> Message-ID: Hallo Tobi, Am 07.08.2011 um 19:31 schrieb Tobi: > wollte mir bei meinem Postfix mal dkim-filter installieren und einbinden. Hat anhand der Beschreibungen im Web auch funktioniert. In den Logs sehe ich dass Postfix den dkim-filter involviert. Aber in den Headern kann ich keine Angabe von dkim finden und auch Tests mit check-auth at verifier.port25.com ergeben nur dass die Mail nicht signiert wurde. Das Maillog sagt > << > Aug 7 19:15:23 mail-web dkim-filter[15378]: BB0C72F4025 mode select: signing > >> > Hat irgendjemand eine Idee woran das liegen könnte? 1. Wie hast Du es eingebunden (Ausgabe postconf -n und Master.cf) 2. Wie lauten die kompletten Log-Enträge der Mail (vom Eingang der Mail bis zur Bestätigung des gegnerischen Mail-Servers? 3. Wie sieht ein Beispiel-Header dann aus? Gruß, Michael From p at state-of-mind.de Sun Aug 7 21:40:54 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sun, 7 Aug 2011 21:40:54 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <4E3ECBEF.2040703@brain-force.ch> References: <4E3ECBEF.2040703@brain-force.ch> Message-ID: <20110807194054.GB4125@state-of-mind.de> * Tobi : > wollte mir bei meinem Postfix mal dkim-filter installieren und > einbinden. Hat anhand der Beschreibungen im Web auch funktioniert. dkim-filter ist tot. Bugs etc. werden nicht mehr nachgepflegt. Es wurde geforked lebt als opendkim weiter. Du kannst dkim-filter nutzen, aber auf Dauer fährst besser wenn Du gleich umsteigst. Der Umstieg ist einfach, denn das conf-File ist IIRC identisch. Falls Du amavis einsetzt, rate ich Dir, DKIM-Signaturen mit amavis anbringen zu lassen. Wenn Du das machen willst, dann frag hier auf der Liste nochmal nach und wir sagen Dir wie das geht. > In den Logs sehe ich dass Postfix den dkim-filter involviert. Aber > in den Headern kann ich keine Angabe von dkim finden und auch Tests > mit check-auth at verifier.port25.com ergeben nur dass die Mail nicht > signiert wurde. Das Maillog sagt > << > Aug 7 19:15:23 mail-web dkim-filter[15378]: BB0C72F4025 mode > select: signing > >> > Hat irgendjemand eine Idee woran das liegen könnte? Laß den Milter verbose laufen und sieh dann mal ins Log. Ein Klassiker wäre, Du sendest Mail nicht als Sender der Domain für die der dkim-Milter signieren soll. Ein anderer, der Milter weiß nicht das Interface ist ORIGINATING (Port 587 solltest Du immer so setzen). Ebenso beliebt ist auch: Der Key zum signieren darf vom Milter-Owner nicht gelesen werden. Wenn das alles nicht paßt, dann reich mal ordentlich Log ein ... p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From postfixbuch-users at gmj.cjb.net Mon Aug 8 10:49:56 2011 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 08 Aug 2011 10:49:56 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen Message-ID: <4E3FA334.90603@gmj.cjb.net> Hallo Postmaster, eine Frage, auf die ich nach dem Lesen des Buchs nicht beantworten kann, stelle ich hiermit einmal an die Runde: Wie geht Ihr mit Spam an die RFC-Adressen abuse@ und postmaster@ um? - Klar ist, die Adressen sollten erreichbar sein, insbesondere auch von "fehlekonfigurierten" Kundensystemen. - Blacklisting geht daher schon einmal nicht (z.B. Mail von Dialup-IPs ohne SMTP-AUTH an Port 25). - Greylisting auch nicht - der MUA/Nutzer würde wohl kaum in 5 Minuten wiederkommen. - Inhaltsbasierte Filter erzeugen False Positives. Ich habe meine Adressen per Sieve auf einen separaten IMAP-Folder umgeleitet, in den ich 1x pro Tag reinschaue. Wenn ich aber alleine 20-30 Spam-Mails bei ein paar Domains erhalte, wie macht ich Ihr das im ISP-Betrieb mit sehr vielen Domains? Habt einen eigenen Mitarbeiter, der die Masse an Mails sichtet? (Kann ich mir eigentlich nicht vorstellen.) Gruß und Danke im vorab für Eure Ideen, Mathias From driessen at fblan.de Mon Aug 8 11:06:45 2011 From: driessen at fblan.de (Driessen) Date: Mon, 8 Aug 2011 11:06:45 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <4E3FA334.90603@gmj.cjb.net> References: <4E3FA334.90603@gmj.cjb.net> Message-ID: <001801cc55aa$7fc1f280$0565a8c0@uwe> On Behalf Of Mathias Jeschke > Hallo Postmaster, > > eine Frage, auf die ich nach dem Lesen des Buchs nicht beantworten kann, > stelle ich hiermit einmal an die Runde: > > Wie geht Ihr mit Spam an die RFC-Adressen abuse@ und postmaster@ um? Spam an diese Adressen habe ich noch nicht (viel) gesehen und ein Spamer der an diese Adressen Spam sendet hat seinen Beruf verfehlt. Wenn dann kann man auch solche Clients blocken. Das wird in der Regel kein echter Mailserver sein. > > - Klar ist, die Adressen sollten erreichbar sein, insbesondere auch > von "fehlekonfigurierten" Kundensystemen. > > - Blacklisting geht daher schon einmal nicht > (z.B. Mail von Dialup-IPs ohne SMTP-AUTH an Port 25). > > - Greylisting auch nicht - der MUA/Nutzer würde wohl kaum in 5 Minuten > wiederkommen. > > - Inhaltsbasierte Filter erzeugen False Positives. > > Ich habe meine Adressen per Sieve auf einen separaten IMAP-Folder > umgeleitet, in den ich 1x pro Tag reinschaue. > Wenn ich aber alleine 20-30 Spam-Mails bei ein paar Domains erhalte, > wie macht ich Ihr das im ISP-Betrieb mit sehr vielen Domains? > Habt einen eigenen Mitarbeiter, der die Masse an Mails sichtet? > (Kann ich mir eigentlich nicht vorstellen.) > > Gruß und Danke im vorab für Eure Ideen, > Mathias Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From p at state-of-mind.de Mon Aug 8 11:13:23 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Mon, 08 Aug 2011 11:13:23 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <4E3FA334.90603@gmj.cjb.net> References: <4E3FA334.90603@gmj.cjb.net> Message-ID: <4E3FA8B3.6010300@state-of-mind.de> Hi, Am 08.08.2011 10:49, schrieb Mathias Jeschke: > eine Frage, auf die ich nach dem Lesen des Buchs nicht beantworten kann, > stelle ich hiermit einmal an die Runde: > > Wie geht Ihr mit Spam an die RFC-Adressen abuse@ und postmaster@ um? > > - Klar ist, die Adressen sollten erreichbar sein, insbesondere auch > von "fehlekonfigurierten" Kundensystemen. > > - Blacklisting geht daher schon einmal nicht > (z.B. Mail von Dialup-IPs ohne SMTP-AUTH an Port 25). > > - Greylisting auch nicht - der MUA/Nutzer würde wohl kaum in 5 Minuten > wiederkommen. > > - Inhaltsbasierte Filter erzeugen False Positives. wir filtern Mail an Postmaster und Abuse auf Basis von Connection und SMTP-Session und legen leichte Content-Filter an. Im Ganzen sind wir was diese Accounta angeht also sehr permissiv. Einerseits tun wir das, weil ja gerade diese Accounts zur Behandlung von Problemfällen vorgesehen sind und die Filter das nicht unterbinden dürfen und andererseits ist Spam an Postmaster ein guter Pulsmesser, für das was "da draussen" so los ist - bei den anderen Konten kriegt man in einer "sauber" aufgebauten Filter-Architektur zum Glück nichts mit > Ich habe meine Adressen per Sieve auf einen separaten IMAP-Folder > umgeleitet, in den ich 1x pro Tag reinschaue. > Wenn ich aber alleine 20-30 Spam-Mails bei ein paar Domains erhalte, > wie macht ich Ihr das im ISP-Betrieb mit sehr vielen Domains? > Habt einen eigenen Mitarbeiter, der die Masse an Mails sichtet? > (Kann ich mir eigentlich nicht vorstellen.) Wir nutzen den eingehenden Spam, um die Filter zu optimieren. Ein kontinuierlicher Vorgang, der IMO einfach zum Alltag gehört. p at rick -- state of mind () Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5372 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postfix at cebe.cc Mon Aug 8 11:02:16 2011 From: postfix at cebe.cc (Carsten Brandt) Date: Mon, 08 Aug 2011 11:02:16 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <4E3FA334.90603@gmj.cjb.net> References: <4E3FA334.90603@gmj.cjb.net> Message-ID: <4E3FA618.30909@cebe.cc> Moin! Am 08.08.2011 10:49, schrieb Mathias Jeschke: > eine Frage, auf die ich nach dem Lesen des Buchs nicht beantworten kann, > stelle ich hiermit einmal an die Runde: > > Wie geht Ihr mit Spam an die RFC-Adressen abuse@ und postmaster@ um? Ist das eine theoretische Überlegung, oder bekommst du viel Spam an diese Adressen? Ich bekomme eigentlich garkeinen Spam an postmaster- und abuse-Adressen, sollte ich mir sorgen machen? Hab meine recipient-rfc map: postmaster at brandt-henke.de permit_auth_destination postmaster@ permit_auth_destination abuse at brandt-henke.de permit_auth_destination abuse@ permit_auth_destination die ich so an erste Stelle in smtpd_recipient_restrictions eingetragen hab: check_recipient_access btree:/etc/postfix/accesstables/recipient-rfc MfG Carsten -- mail: mail at cebe.cc mobil: 0176 / 96 52 999 7 www: http://cebe.cc/ pgp: http://cebe.cc/cebe_pub.asc From postfixbuch-users at gmj.cjb.net Mon Aug 8 11:27:02 2011 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Mon, 08 Aug 2011 11:27:02 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <4E3FA618.30909@cebe.cc> References: <4E3FA334.90603@gmj.cjb.net> <4E3FA618.30909@cebe.cc> Message-ID: <4E3FABE6.5060904@gmj.cjb.net> Am 08.08.2011 11:02, schrieb Carsten Brandt: > Ist das eine theoretische Überlegung, oder bekommst du viel Spam an > diese Adressen? Ich bekomme eigentlich garkeinen Spam an postmaster- und > abuse-Adressen, sollte ich mir sorgen machen? An sich natürlich eher eine theoretische Überlegung, weil bei 20-30 Mails pro Tag bei ca. 30 Domains ist jetzt nicht so viel, dass sich der Aufwand für weitere Maßnahmen lohnen dürfte. Aber die Postmaster der ISPs (hier auf der Liste) haben da vielleicht clevere Maßnahmen auf Lager, die mich interessieren würden. Gruß, Mathias From tobster at brain-force.ch Mon Aug 8 22:22:14 2011 From: tobster at brain-force.ch (Tobi) Date: Mon, 08 Aug 2011 22:22:14 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110807194054.GB4125@state-of-mind.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> Message-ID: <4E404576.9020504@brain-force.ch> Am 07.08.2011 21:40, schrieb Patrick Ben Koetter: > * Tobi: >> wollte mir bei meinem Postfix mal dkim-filter installieren und >> einbinden. Hat anhand der Beschreibungen im Web auch funktioniert. > dkim-filter ist tot. Bugs etc. werden nicht mehr nachgepflegt. Es wurde > geforked lebt als opendkim weiter. Du kannst > dkim-filter nutzen, aber auf Dauer fährst besser wenn Du gleich umsteigst. > Der Umstieg ist einfach, denn das conf-File ist IIRC identisch. > > Falls Du amavis einsetzt, rate ich Dir, DKIM-Signaturen mit amavis anbringen > zu lassen. Wenn Du das machen willst, dann frag hier auf der Liste nochmal > nach und wir sagen Dir wie das geht. > > >> In den Logs sehe ich dass Postfix den dkim-filter involviert. Aber >> in den Headern kann ich keine Angabe von dkim finden und auch Tests >> mit check-auth at verifier.port25.com ergeben nur dass die Mail nicht >> signiert wurde. Das Maillog sagt >> << >> Aug 7 19:15:23 mail-web dkim-filter[15378]: BB0C72F4025 mode >> select: signing >> Hat irgendjemand eine Idee woran das liegen könnte? > > Laß den Milter verbose laufen und sieh dann mal ins Log. Ein Klassiker wäre, > Du sendest Mail nicht als Sender der Domain für die der dkim-Milter signieren > soll. Ein anderer, der Milter weiß nicht das Interface ist ORIGINATING (Port > 587 solltest Du immer so setzen). Ebenso beliebt ist auch: Der Key zum > signieren darf vom Milter-Owner nicht gelesen werden. > > Wenn das alles nicht paßt, dann reich mal ordentlich Log ein ... > > p at rick > Hallo nur eine kurze Rückmeldung: War ein 40cm-Problem :-) Habe bei den Resultaten des Tests irgendwie gemeint DomainKey wäre gleich dkim. Und beim DomainKey hats gefailed. Logisch wenns ned installiert ist. dkim hat die ganze Zeit gefunzt, hab nur die Header zu wenig genau angeschaut... Das mit openmilter guck ich mir auf jeden Fall mal an. Gruss tobi p.s. Euer Postfix-Buch ist echt spitze. Habe es seit heute und konnte schon kaum davon lassen From max at grobecker-wtal.de Tue Aug 9 15:00:23 2011 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Tue, 09 Aug 2011 15:00:23 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <4E3FA334.90603@gmj.cjb.net> References: <4E3FA334.90603@gmj.cjb.net> Message-ID: <4E412F67.4030306@grobecker-wtal.de> Hallo, wir haben hauptsächlich an hostmaster eine Menge Spam bekommen - vermutlich deshalb, weil diese Adresse bei DENIC, RIPE NCC etc... in den WHOIS-Daten steht. Zur etwas besseren Spamabwehr haben wir dem Spamassassin beigebracht, einige DNSBLs und PBLs abzufragen und entsprechend ein paar Punkte zu vergeben. Die Listung in einer PBL oder einer DNSBL alleine reicht aber punktetechnisch nicht aus, um die Mail als Spam zu kennzeichnen. Der Mailserver muss in einer DNSBL oder PBL gelistet sein und zugleich auch über den Inhaltsfilter noch ca. 4-5 Punkte zusammentragen, damit der Filter soweit aktiv wird, dass im Betreff das Spam-Tag auftaucht . Zudem wird bei mehr als 15 Punkten die Mail garnicht mehr angenommen sondern mit einem 500er-Code direkt abgelehnt - sollte es zu solch krassen false positives kommen, erhält der Absender immerhin eine Benachrichtigung (wobei die Benachrichtigung nicht in unserer Macht steht). Und 15 Spamassassin-Punkte verdient man sich nicht alleine durch den Versand von einer Dialup-IP und einem komischen Betreff... Bis jetzt stapeln sich am Tag ca. 10-15 Spam-Mails im Ordner, die man Abends oder am nächsten Tag schnell überfliegen kann und bisher hat sich auch keiner darüber beschwert, dass Mails an diese Adressen nicht ankämen ;-) Max Grobecker max at grobecker-wtal.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 259 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at anup.de Wed Aug 10 08:31:50 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Wed, 10 Aug 2011 08:31:50 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110807194054.GB4125@state-of-mind.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> Message-ID: <20110810083150.18e53484@itx.bitcorner.intern> Patrick Ben Koetter

wrote: > * Tobi : > > wollte mir bei meinem Postfix mal dkim-filter installieren und > > einbinden. Hat anhand der Beschreibungen im Web auch funktioniert. > > dkim-filter ist tot. Bugs etc. werden nicht mehr nachgepflegt. Es wurde > geforked lebt als opendkim weiter. Du kannst > dkim-filter nutzen, aber auf Dauer fährst besser wenn Du gleich umsteigst. > Der Umstieg ist einfach, denn das conf-File ist IIRC identisch. > > Falls Du amavis einsetzt, rate ich Dir, DKIM-Signaturen mit amavis anbringen > zu lassen. Wenn Du das machen willst, dann frag hier auf der Liste nochmal > nach und wir sagen Dir wie das geht. Ich würde das gerne mit amavis einsetzen. gibt es ein HOWTO datzu? DKIM ist für mich komplettes Neuland. Ich habe ein paar Anleitungen zum Einsatz mit Postfix gelesen. Warum ist das mit amavis besser? Grüße Andreas From p at state-of-mind.de Wed Aug 10 09:38:14 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Wed, 10 Aug 2011 09:38:14 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110810083150.18e53484@itx.bitcorner.intern> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> Message-ID: <20110810073814.GB2815@state-of-mind.de> * Andreas Meyer : > Patrick Ben Koetter

wrote: > > > * Tobi : > > > wollte mir bei meinem Postfix mal dkim-filter installieren und > > > einbinden. Hat anhand der Beschreibungen im Web auch funktioniert. > > > > dkim-filter ist tot. Bugs etc. werden nicht mehr nachgepflegt. Es wurde > > geforked lebt als opendkim weiter. Du kannst > > dkim-filter nutzen, aber auf Dauer fährst besser wenn Du gleich umsteigst. > > Der Umstieg ist einfach, denn das conf-File ist IIRC identisch. > > > > Falls Du amavis einsetzt, rate ich Dir, DKIM-Signaturen mit amavis anbringen > > zu lassen. Wenn Du das machen willst, dann frag hier auf der Liste nochmal > > nach und wir sagen Dir wie das geht. > > Ich würde das gerne mit amavis einsetzen. gibt es ein HOWTO datzu? DKIM > ist für mich komplettes Neuland. Ich habe ein paar Anleitungen zum Einsatz > mit Postfix gelesen. Warum ist das mit amavis besser? Technisch gesehen sind mit amavis erstellte DKIM-Signaturen nicht besser als solche, die mit anderer Software erstellt wurden. "Besser" sind sie dann, wenn Du ohnehin schon amavis einsetzt und Du, indem Du die DKIM-Signaturen in amavis erstellen und verarbeiten läßt, weniger verarbeitende Komponenten nutzen mußt. Das System bleibt weniger komplex, weniger fehleranfällig. Durch die Konzentration der Aufgaben in eine Software (hier: amavis) steigt natürlich auch die Abhängigkeit von dieser Komponente. Steht sie nicht zur Verfügung kann das Dein Gesamtsystem vollständig aus dem Verkehr ziehen. Die Bewertung der Vor- und Nachteile kannst nur Du in Bezug auf den Kontext in dem das "Mailsystem" betrieben wird vornehmen. Nur Du kannst sagen, ob Ihr Euch so eine Abhängigkeit leisten könnt. Das klingt jetzt irre dramatisch, ist es in der Realität aber nur sehr selten. Sieh Dir bitte den Abschnitt "Setting up DKIM mail signing and verification" auf amavis.org an und arbeite Dich auf jeden Fall mal durch "For the impatient - signing from scratch". Das bringt die Meisten an den Start. Wenn Du dann Fragen hast, gerne hier. :) p at rick -- state of mind () Digitale Kommunikation http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From p.heinlein at heinlein-support.de Wed Aug 10 09:43:18 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 10 Aug 2011 09:43:18 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110810083150.18e53484@itx.bitcorner.intern> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> Message-ID: <201108100943.18988.p.heinlein@heinlein-support.de> Am Mittwoch, 10. August 2011, 08:31:50 schrieb Andreas Meyer: > Ich würde das gerne mit amavis einsetzen. gibt es ein HOWTO datzu? > DKIM ist für mich komplettes Neuland. Ich habe ein paar Anleitungen > zum Einsatz mit Postfix gelesen. Warum ist das mit amavis besser? http://www.heinlein-support.de/vortraege und dort im SPF/DKIM/Greylisting-Vortrag ist eine Folie mit 1:1 den notwendigen Schritten -- und nebenbei wird DKIM auch erklärt. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From bjoern.meier at googlemail.com Thu Aug 11 09:19:36 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Thu, 11 Aug 2011 09:19:36 +0200 Subject: [Postfixbuch-users] Logdatei auswerten Message-ID: Hi, ich habe da ein Problem: mein Kollege ist derzeit nicht in der Lage Logauswertungen vorzunehmen, dennoch soll er in meiner Abwesenheit Informationen aus den Logs entnehmen können. Gibt es ein webbased-tool das Mail.info aufbereiten und den Status des Mailverkehr (am besten in Babysprache *genervt blickt*) anzeigen kann. Ich stell mir das so vor: Suchmaske für adresse: "Jo ist raus oder rein" oder halt "nö ... weil das Empfängerpostfach war voll". Für Exchange gibt es sowas ja und für Postfix? Grüße von einem latent genervten, Björn. From heli at tzv.fal.de Thu Aug 11 10:01:45 2011 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Thu, 11 Aug 2011 10:01:45 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <201108100943.18988.p.heinlein@heinlein-support.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <201108100943.18988.p.heinlein@heinlein-support.de> Message-ID: <20110811080143.GG23289@tzv.fal.de> Peer Heinlein schrieb am 10.08.2011 09:43: > http://www.heinlein-support.de/vortraege Zitat Browser: "Die Seite wurde nicht gefunden. Die angeforderte Seite konnte nicht gefunden werden." Gruß Helmut -- ------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany ------------------------------------------------------------------------- From tobias at hachmer.de Thu Aug 11 10:07:58 2011 From: tobias at hachmer.de (Tobias Hachmer) Date: Thu, 11 Aug 2011 10:07:58 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110811080143.GG23289@tzv.fal.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <201108100943.18988.p.heinlein@heinlein-support.de> <20110811080143.GG23289@tzv.fal.de> Message-ID: On Thu, 11 Aug 2011 10:01:45 +0200, Helmut Lichtenberg wrote: > Peer Heinlein schrieb am 10.08.2011 09:43: >> http://www.heinlein-support.de/vortraege > > Zitat Browser: > "Die Seite wurde nicht gefunden. > Die angeforderte Seite konnte nicht gefunden werden." http://www.heinlein-support.de/vortrag/spf-dkim-greylisting-der-neue-spamschutz Gruß, Tobias From klaus at tachtler.net Thu Aug 11 10:22:15 2011 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 11 Aug 2011 10:22:15 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: <20110811102215.71321z0ha4e2w30g@buero.tachtler.net> Hallo Zusammen, > Hi, > > ich habe da ein Problem: mein Kollege ist derzeit nicht in der Lage > Logauswertungen vorzunehmen, dennoch soll er in meiner Abwesenheit > Informationen aus den Logs entnehmen können. Gibt es ein webbased-tool > das Mail.info aufbereiten und den Status des Mailverkehr (am besten in > Babysprache *genervt blickt*) anzeigen kann. wie wäre es mit AWStats, schau mal hier: http://awstats.org bzw. speziell für e-Mail http://awstats.org/awstats.mail.html > Ich stell mir das so vor: Suchmaske für adresse: "Jo ist raus oder > rein" oder halt "nö ... weil das Empfängerpostfach war voll". > > Für Exchange gibt es sowas ja und für Postfix? ist generell für e-Mail-Auswertungen auf Basis deren Logs geeignet, habe damit auch schon eine e-Mail-Log-Auswertung bei uns gemacht... :-) > Grüße von einem latent genervten, > Björn. Grüße Klaus. -- ------------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------------ From matthiasebner at yahoo.de Thu Aug 11 13:33:11 2011 From: matthiasebner at yahoo.de (Matthias Ebner) Date: Thu, 11 Aug 2011 13:33:11 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: Am 11. August 2011 09:19 schrieb Bjoern Meier : > Für Exchange gibt es sowas ja und für Postfix? Pflogsumm - mehr braucht imho kein Mensch. LG From bjoern.meier at googlemail.com Thu Aug 11 13:35:27 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Thu, 11 Aug 2011 13:35:27 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: hi, Am 11. August 2011 13:33 schrieb Matthias Ebner : > Am 11. August 2011 09:19 schrieb Bjoern Meier : > >> Für Exchange gibt es sowas ja und für Postfix? > > Pflogsumm - mehr braucht imho kein Mensch. *seufz* Zitat: "Pflogsumm ist ein PERL Skript, dass Logeinträge des Mailservers Postfix übersichtlich zusammenfasst" Ich brauch ein Tool für Einzelfälle. Scheint doch schwerer zu sein als ich annahm. Gruß, Björn From michael at nausch.org Thu Aug 11 14:41:08 2011 From: michael at nausch.org (Michael Nausch) Date: Thu, 11 Aug 2011 14:41:08 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: <4E43CDE4.60104@nausch.org> Ahoi! Am 11.08.2011 13:35, schrieb Bjoern Meier: > *seufz* Zitat: "Pflogsumm ist ein PERL Skript, dass Logeinträge des > Mailservers Postfix übersichtlich zusammenfasst" > > Ich brauch ein Tool für Einzelfälle. Scheint doch schwerer zu sein als > ich annahm. Nö wieso, dann nimm doch einfach grep und gut ists. ;) ttyl Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From bjoern.meier at googlemail.com Thu Aug 11 14:45:11 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Thu, 11 Aug 2011 14:45:11 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <4E43CDE4.60104@nausch.org> References: <4E43CDE4.60104@nausch.org> Message-ID: hi, > Nö wieso, dann nimm doch einfach grep und gut ists. ;) Irgendwie habe ich das Gefühl einige lesen gar nicht warum es geht. Ich komme gut mit dem Log klar, darum geht es nicht. From michael at nausch.org Thu Aug 11 15:13:25 2011 From: michael at nausch.org (Michael Nausch) Date: Thu, 11 Aug 2011 15:13:25 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: <4E43CDE4.60104@nausch.org> Message-ID: <4E43D575.1060303@nausch.org> Servus, Am 11.08.2011 14:45, schrieb Bjoern Meier: > Irgendwie habe ich das Gefühl einige lesen gar nicht warum es geht. Geht mir ähnlich, ich habe immer mehr den Eindruck mancher kann seine Frage(n) nicht so zu "Papier bringen", dass er dann auch eine Antwort bekommt, nach die er ev. sucht. > Ich komme gut mit dem Log klar, darum geht es nicht. In deinem Posting von 13:55 Uhr war aber nur die Rede von: >>Ich brauch ein Tool für Einzelfälle.<< Und da gibt es nur das Tool schlechthin für Einzelfälle, nämlich "grep maillog" Ich habe mir aber die Mühe gemacht, noch weiter zu recherchieren: Wenn Dein Kollege nicht mittels grep nach einer eMail im Maillog suchen kann/will, dann würde ich pers. vorschlagen, dann soll er das auch besser lassen. IMHO sollte man, wenn man die einfachsten Dinge in einem Logfile nicht suchen will oder versteht was ein 250er ein 400er oder ein 500er ist, lieber die Griffel davon lassen. Und wenn man mal ehrlich ist, dann ist so ein "grep maillog" auch wirklich nicht schwer, oder etwa doch? Servus Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From driessen at fblan.de Thu Aug 11 15:18:19 2011 From: driessen at fblan.de (Driessen) Date: Thu, 11 Aug 2011 15:18:19 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: <005401cc5829$23655a50$0565a8c0@uwe> On Behalf Of Bjoern Meier > Am 11. August 2011 13:33 schrieb Matthias Ebner : > > Am 11. August 2011 09:19 schrieb Bjoern Meier > : > > > >> Für Exchange gibt es sowas ja und für Postfix? > > > > Pflogsumm - mehr braucht imho kein Mensch. > > *seufz* Zitat: "Pflogsumm ist ein PERL Skript, dass Logeinträge des > Mailservers Postfix übersichtlich zusammenfasst" > > Ich brauch ein Tool für Einzelfälle. Scheint doch schwerer zu sein als > ich annahm. > In Österreich hat ein Anbieter solch ein Tool entwickelt (ich komme nicht auf seinen Namen aber er list garantiert hier auf der Liste mit). Logt in eine database aber ist soviel ich weiß nicht freigegeben. Von daher wirst du pech haben das da einer einfach Klicki Bunti ein paar buttons anwählt und ein Ergebnis bekommt. "Administratoren" machen so was nun mal in "Einzelfällen" mit grep, vi, awk, perl, python... Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From bjoern.meier at googlemail.com Thu Aug 11 15:52:47 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Thu, 11 Aug 2011 15:52:47 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <4E43D575.1060303@nausch.org> References: <4E43CDE4.60104@nausch.org> <4E43D575.1060303@nausch.org> Message-ID: hi, > Geht mir ähnlich, ich habe immer mehr den Eindruck mancher kann seine > Frage(n) nicht so zu "Papier bringen", dass er dann auch eine Antwort > bekommt, nach die er ev. sucht. Schlimm sowas, oder? >> Ich komme gut mit dem Log klar, darum geht es nicht. > > In deinem Posting von 13:55 Uhr war aber nur die Rede von: > >>>Ich brauch ein Tool für Einzelfälle.<< > > Und da gibt es nur das Tool schlechthin für Einzelfälle, nämlich "grep > maillog" In meinem ersten Post: "Gibt es ein webbased-tool das Mail.info aufbereiten und den Status des Mailverkehr (am besten in Babysprache *genervt blickt*) anzeigen kann." > Ich habe mir aber die Mühe gemacht, noch weiter zu recherchieren: > > Wenn Dein Kollege nicht mittels grep nach einer eMail im Maillog suchen > kann/will, dann würde ich pers. vorschlagen, dann soll er das auch > besser lassen. IMHO sollte man, wenn man die einfachsten Dinge in einem > Logfile nicht suchen will oder versteht was ein 250er ein 400er oder ein > 500er ist, lieber die Griffel davon lassen. Und wenn man mal ehrlich > ist, dann ist so ein "grep maillog" auch wirklich nicht > schwer, oder etwa doch? Wie erkläre ich das, der Sachverhalt ist kompiliziert? Ok, mein Kollege ist jemand der für alle administrativen Aufgaben GUIs in seiner Sprache gewöhnt ist. Natürlich ist mir bewusst, dass Linux da so seine Grenzen hat. Folgende Situation würde ich in Zukunft vermeiden: Das er dem Vorstand einfach sagt:"Ja, also Herr Meier nutzt Systeme die viel zu kompliziert sind und nur er beherrscht diese.". Ich möchte einfach nicht in die Situation kommen, dass es heißt, ich würde Wissen unter Verschluss halten. Ich habe mir die Mühe gemacht eine Datenbank für Knowledge-Management aufzubauen und zudem gehe ich nach dem Postfixbuch vor, welches im Schrank steht. Natürlich kann man von Außen leicht sagen:"Na, dann weiß er ja wo er schauen muss!". Fakt ist aber, er sagt den Usern er könne es nicht. Leider wird es toleriert und ich habe die Arbeit. Was mich betrifft: ich will den User nicht im Regen stehen lassen und suche von daher einen Kompromiss. Ich war der Meinung was MS schafft, dass die Postfix Community erst recht. Gruß, Björn From Ralf.Hildebrandt at charite.de Thu Aug 11 15:59:40 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 11 Aug 2011 15:59:40 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: <4E43CDE4.60104@nausch.org> <4E43D575.1060303@nausch.org> Message-ID: <20110811135940.GD12748@charite.de> * Bjoern Meier : > Wie erkläre ich das, der Sachverhalt ist kompiliziert? Ok, mein > Kollege ist jemand der für alle administrativen Aufgaben GUIs in > seiner Sprache gewöhnt ist. Excuse me, but is he from the past? (leider kenne ich da auch nix schönes) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From driessen at fblan.de Thu Aug 11 16:30:42 2011 From: driessen at fblan.de (Driessen) Date: Thu, 11 Aug 2011 16:30:42 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: <4E43CDE4.60104@nausch.org><4E43D575.1060303@nausch.org> Message-ID: <005601cc5833$40389c50$0565a8c0@uwe> On Behalf Of Bjoern Meier > > Wie erkläre ich das, der Sachverhalt ist kompiliziert? Ok, mein > Kollege ist jemand der für alle administrativen Aufgaben GUIs in > seiner Sprache gewöhnt ist. Natürlich ist mir bewusst, dass Linux da Freie Software heißt "man kann alles machen!!, aber man muß es auch tun" Wenn er eine GUI braucht um glücklich zu sein dann mach Ihm halt eine Webseite die per script im Hintergrund das Logfile durchsucht und Ihm das Ergebnis liefert. Linux kann so was *gg nur fertig wird es das nicht geben in genau der Art wie dein Kollege es gerne hätte. EDV-Sprache ist nun mal englisch und manchmal auch denglisch. Wer sich Admin schimpft sollte sich auch in der Richtung weiterbilden ansonsten es gibt genügend "gute Admins" und manchmal auch für weniger Geld. > so seine Grenzen hat. Folgende Situation würde ich in Zukunft > vermeiden: Das er dem Vorstand einfach sagt:"Ja, also Herr Meier nutzt > Systeme die viel zu kompliziert sind und nur er beherrscht diese.". Wer sich nicht weiterbilden möchte dem kann man in der Richtung leider nicht helfen aber das ist ein Betriebsinternes Problem. ich nehme sogar an er könnte das sogar wenn er wollte.... > Ich möchte einfach nicht in die Situation kommen, dass es heißt, ich > würde Wissen unter Verschluss halten. Ich habe mir die Mühe gemacht > eine Datenbank für Knowledge-Management aufzubauen und zudem gehe ich Naja dann muß er doch nur lesen (ich nehme mal an du hast das sogar in Deutsch gemacht) > nach dem Postfixbuch vor, welches im Schrank steht. Natürlich kann man > von Außen leicht sagen:"Na, dann weiß er ja wo er schauen muss!". Fakt > ist aber, er sagt den Usern er könne es nicht. Leider wird es > toleriert und ich habe die Arbeit. Weise Ihn in das System ein und dokumentiere es das du Ihn eingewiesen hast. Den Rest muß dann die Firmenleitung mit Ihm verhacken. > > Was mich betrifft: ich will den User nicht im Regen stehen lassen und > suche von daher einen Kompromiss. Ich war der Meinung was MS schafft, > dass die Postfix Community erst recht. > > Gruß, > Björn > -- Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From bjoern.meier at googlemail.com Thu Aug 11 17:14:53 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Thu, 11 Aug 2011 17:14:53 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <005601cc5833$40389c50$0565a8c0@uwe> References: <4E43CDE4.60104@nausch.org> <4E43D575.1060303@nausch.org> <005601cc5833$40389c50$0565a8c0@uwe> Message-ID: hi, Am 11. August 2011 16:30 schrieb Driessen : [ ... Dinge die ich weiß, tue und bereits getan habe ... ] es läuft genau so, es ist alles dokumentiert. Es hilft nur leider nichts und ist auch nicht Gegenstand dieses Threads. Ok es gibt nichts. Das war mir irgendwie klar (Ihr habt Recht: wozu auch). Gruß, Björn From Ralf.Hildebrandt at charite.de Thu Aug 11 17:23:54 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 11 Aug 2011 17:23:54 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <4E3FABE6.5060904@gmj.cjb.net> References: <4E3FA334.90603@gmj.cjb.net> <4E3FA618.30909@cebe.cc> <4E3FABE6.5060904@gmj.cjb.net> Message-ID: <20110811152354.GI12748@charite.de> * Mathias Jeschke : > An sich natürlich eher eine theoretische Überlegung, weil bei 20-30 > Mails pro Tag bei ca. 30 Domains ist jetzt nicht so viel, dass sich der > Aufwand für weitere Maßnahmen lohnen dürfte. > > Aber die Postmaster der ISPs (hier auf der Liste) haben da vielleicht > clevere Maßnahmen auf Lager, die mich interessieren würden. Ich habe extrem viel chin. Spam an postmaster bekommen, den ich mit: /name=\"=\?(GB|gb)2312\?/ HOLD # chinesischer Unfug nulle -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Thu Aug 11 17:25:43 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 11 Aug 2011 17:25:43 +0200 Subject: [Postfixbuch-users] Spam an RFC-Adressen In-Reply-To: <20110811152354.GI12748@charite.de> References: <4E3FA334.90603@gmj.cjb.net> <4E3FA618.30909@cebe.cc> <4E3FABE6.5060904@gmj.cjb.net> <20110811152354.GI12748@charite.de> Message-ID: <20110811152543.GJ12748@charite.de> * Ralf Hildebrandt : > * Mathias Jeschke : > > > An sich natürlich eher eine theoretische Überlegung, weil bei 20-30 > > Mails pro Tag bei ca. 30 Domains ist jetzt nicht so viel, dass sich der > > Aufwand für weitere Maßnahmen lohnen dürfte. > > > > Aber die Postmaster der ISPs (hier auf der Liste) haben da vielleicht > > clevere Maßnahmen auf Lager, die mich interessieren würden. > > Ich habe extrem viel chin. Spam an postmaster bekommen, den ich mit: > > /name=\"=\?(GB|gb)2312\?/ HOLD > # chinesischer Unfug Geht auch kürzer mit: /name=\"=\?GB2312\?/ HOLD # chinesischer Unfug -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From klaus at tachtler.net Thu Aug 11 17:32:17 2011 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 11 Aug 2011 17:32:17 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <005401cc5829$23655a50$0565a8c0@uwe> References: <005401cc5829$23655a50$0565a8c0@uwe> Message-ID: <20110811173217.62500an2bfh29b0g@buero.tachtler.net> Hallo Björn, ich denke bevor Du mit Deinem Kollegen-Problem gegenüber Euren Chefs richtig blöd da stehst, lass rsyslog oder syslog-ng alles in eine Datenbank schreiben und nehme phplogcon bzw. heisst jetzt LogAnalyzer als Web-Gui und erkläre Ihm ein bischen, wie man im Eingabefeld *filter* setzt. Dann hast Du Deine Schuldigkeit getan und keiner kann Dir was, Du hast Ihm ja eine Web-GUI gegeben! Grüße Klaus. -- ------------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------------ From bjoern.meier at googlemail.com Thu Aug 11 19:30:18 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Thu, 11 Aug 2011 19:30:18 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <20110811173217.62500an2bfh29b0g@buero.tachtler.net> References: <005401cc5829$23655a50$0565a8c0@uwe> <20110811173217.62500an2bfh29b0g@buero.tachtler.net> Message-ID: hi, Am 11. August 2011 17:32 schrieb Klaus Tachtler : > Hallo Björn, > > ich denke bevor Du mit Deinem Kollegen-Problem gegenüber Euren Chefs richtig > blöd da stehst, lass > > rsyslog oder syslog-ng > > alles in eine Datenbank schreiben und nehme > > phplogcon bzw. heisst jetzt LogAnalyzer Danke, dennoch eine Frage: wo ist der Unterschied? Es ist nach wievor der gleiche Loginhalt, jetzt halt nur als HTML Tabelle. Ja, ok er muss nicht mehr greppen, das war aber auch. Ihr habt mir dennoch sehr geholfen. Denn ich habe so selbst gemerkt, dass es nicht möglich ist. Man MUSS die Fehlernummern und man MUSS englisch können. Schließlich kann ich auch folgendes Ausgeben lassen: "5.5.2: Visit Disneyland!" Man sieht das die Fehlermeldung quatsch ist, dass "5.5.2" aber Speichergröße überschritten heißt und das die Einlieferung abgebrochen wurde, dass muss man als Postmaster schon wissen. Und DAS ist noch ein einfacher Fall, ich habe schon ganz andere Dinge gesehen. Wie gesagt: Danke. Ich denke, ich werde es anders lösen und ihn auf Fortbildung schicken, denn wenn es Geld kostet, kümmert sich der Vorstand anders darum, dass dabei auch effektiv was rum kommt. Gruß, Björn PS: Mittlere Ebene ist Scheiße ;) From rudi.floren at googlemail.com Thu Aug 11 20:30:38 2011 From: rudi.floren at googlemail.com (Rudi Floren) Date: Thu, 11 Aug 2011 20:30:38 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: <005401cc5829$23655a50$0565a8c0@uwe> <20110811173217.62500an2bfh29b0g@buero.tachtler.net> Message-ID: Zur Not sagen, er solle den Fehler Code doch googlen. Am 11.08.2011 19:30 schrieb "Bjoern Meier" : > hi, > > Am 11. August 2011 17:32 schrieb Klaus Tachtler : >> Hallo Björn, >> >> ich denke bevor Du mit Deinem Kollegen-Problem gegenüber Euren Chefs richtig >> blöd da stehst, lass >> >> rsyslog oder syslog-ng >> >> alles in eine Datenbank schreiben und nehme >> >> phplogcon bzw. heisst jetzt LogAnalyzer > > Danke, dennoch eine Frage: wo ist der Unterschied? Es ist nach wievor > der gleiche Loginhalt, jetzt halt nur als HTML Tabelle. Ja, ok er muss > nicht mehr greppen, das war aber auch. > > Ihr habt mir dennoch sehr geholfen. Denn ich habe so selbst gemerkt, > dass es nicht möglich ist. Man MUSS die Fehlernummern und man MUSS > englisch können. Schließlich kann ich auch folgendes Ausgeben lassen: > "5.5.2: Visit Disneyland!" Man sieht das die Fehlermeldung quatsch > ist, dass "5.5.2" aber Speichergröße überschritten heißt und das die > Einlieferung abgebrochen wurde, dass muss man als Postmaster schon > wissen. > Und DAS ist noch ein einfacher Fall, ich habe schon ganz andere Dinge gesehen. > > Wie gesagt: Danke. > Ich denke, ich werde es anders lösen und ihn auf Fortbildung schicken, > denn wenn es Geld kostet, kümmert sich der Vorstand anders darum, dass > dabei auch effektiv was rum kommt. > > Gruß, > Björn > > PS: Mittlere Ebene ist Scheiße ;) > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From news at amaltea.de Thu Aug 11 20:58:56 2011 From: news at amaltea.de (PV) Date: Thu, 11 Aug 2011 20:58:56 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: <4E442670.9040506@amaltea.de> Am 11.08.2011 09:19, schrieb Bjoern Meier: > Hi, > > ich habe da ein Problem: mein Kollege ist derzeit nicht in der Lage > Logauswertungen vorzunehmen, dennoch soll er in meiner Abwesenheit > Informationen aus den Logs entnehmen können. Gibt es ein webbased-tool > das Mail.info aufbereiten und den Status des Mailverkehr (am besten in > Babysprache *genervt blickt*) anzeigen kann. > > Ich stell mir das so vor: Suchmaske für adresse: "Jo ist raus oder > rein" oder halt "nö ... weil das Empfängerpostfach war voll". > > Für Exchange gibt es sowas ja und für Postfix? http://www.heinlein-support.de/heinlein-elements/mailtrace Viele Grüße Paul > > Grüße von einem latent genervten, > Björn. From p.heinlein at heinlein-support.de Fri Aug 12 10:52:25 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 12 Aug 2011 10:52:25 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: <201108121052.26154.p.heinlein@heinlein-support.de> Am Donnerstag, 11. August 2011, 09:19:36 schrieb Bjoern Meier: > ich habe da ein Problem: mein Kollege ist derzeit nicht in der Lage > Logauswertungen vorzunehmen, dennoch soll er in meiner Abwesenheit > Informationen aus den Logs entnehmen können. Gibt es ein > webbased-tool das Mail.info aufbereiten und den Status des > Mailverkehr (am besten in Babysprache *genervt blickt*) anzeigen > kann. Unser "Mailtrace" bietet genau das (und noch viel mehr). Webbasierte suchmaske, schnelle Suche auch bei > 20 Millionen Datensätzen. Der Clou: Das ganze ist nicht nur für Admins zugänglich, sondern kann an die üblichen Authentifizierungs-Backends angebunden werden, so daß sich auch normale End-User einloggen und damit arbeiten können. Die Ergebnis-Codes der Mailserver sind in Endanwender-Sprache übersetzt und das Helpdesk spart sich die ganze Arbeit. Wenn Teststellung gewünscht, dann Mail an mich. > Ich stell mir das so vor: Suchmaske für adresse: "Jo ist raus oder > rein" oder halt "nö ... weil das Empfängerpostfach war voll". > > Für Exchange gibt es sowas ja und für Postfix? Heißt: "Mailtrace" von uns. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Fri Aug 12 10:53:31 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 12 Aug 2011 10:53:31 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110811080143.GG23289@tzv.fal.de> References: <4E3ECBEF.2040703@brain-force.ch> <201108100943.18988.p.heinlein@heinlein-support.de> <20110811080143.GG23289@tzv.fal.de> Message-ID: <201108121053.32206.p.heinlein@heinlein-support.de> Am Donnerstag, 11. August 2011, 10:01:45 schrieb Helmut Lichtenberg: > > http://www.heinlein-support.de/vortraege > > Zitat Browser: > "Die Seite wurde nicht gefunden. > Die angeforderte Seite konnte nicht gefunden werden." Sorry, habe ich offline aus dem Kopf heraus im Urlaub geschrieben. Dann eben http://www.heinlein-support.de/vortrag außerdem habe ich eben 'nen Redirect gesetzt. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Fri Aug 12 10:55:35 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 12 Aug 2011 10:55:35 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <005401cc5829$23655a50$0565a8c0@uwe> References: <005401cc5829$23655a50$0565a8c0@uwe> Message-ID: <201108121055.36071.p.heinlein@heinlein-support.de> Am Donnerstag, 11. August 2011, 15:18:19 schrieb Driessen: > Von daher wirst du pech haben das da einer einfach Klicki Bunti ein > paar buttons anwählt und ein Ergebnis bekommt. Doch, Mailtrace. genau das macht Mailtrace, genau dafür ist es entwickelt worden. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From bjoern.meier at googlemail.com Fri Aug 12 10:54:04 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Fri, 12 Aug 2011 10:54:04 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: <201108121055.36071.p.heinlein@heinlein-support.de> References: <005401cc5829$23655a50$0565a8c0@uwe> <201108121055.36071.p.heinlein@heinlein-support.de> Message-ID: hi, Am 12. August 2011 10:55 schrieb Peer Heinlein : > Am Donnerstag, 11. August 2011, 15:18:19 schrieb Driessen: > > >> Von daher wirst du pech haben das da einer einfach Klicki Bunti ein >> paar buttons anwählt und ein Ergebnis bekommt. > > Doch, Mailtrace. genau das macht Mailtrace, genau dafür ist es > entwickelt worden. > > Peer Du durchkreuzt gerade meine Pläne *ggg*. Mein Kollege ruft dich gleich mal an. Gruß, Björn From bjoern.meier at googlemail.com Fri Aug 12 11:10:06 2011 From: bjoern.meier at googlemail.com (Bjoern Meier) Date: Fri, 12 Aug 2011 11:10:06 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: <005401cc5829$23655a50$0565a8c0@uwe> <201108121055.36071.p.heinlein@heinlein-support.de> Message-ID: hi, ich habe mir gerade mal den Screenshot angesehen. Lustig, genau SO habe ich mir das vorgestellt: grün bei gesendet und übersetzt. So, euer Herr Pressel ist wirklich nett, sehr sympathisch. Ja, wir werden es testen! Danke, Peer! Gruß, Björn From p.heinlein at heinlein-support.de Fri Aug 12 11:25:56 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 12 Aug 2011 11:25:56 +0200 Subject: [Postfixbuch-users] Logdatei auswerten In-Reply-To: References: Message-ID: <201108121125.56300.p.heinlein@heinlein-support.de> Am Freitag, 12. August 2011, 11:10:06 schrieb Bjoern Meier: > ich habe mir gerade mal den Screenshot angesehen. Lustig, genau SO > habe ich mir das vorgestellt: grün bei gesendet und übersetzt. > So, euer Herr Pressel ist wirklich nett, sehr sympathisch. Ja, wir > werden es testen! Die Screenshots und das, was in der Online-Teststellung drin ist, ist nich Mailtrace Version 1.0. Ich bin ab Montag aus dem Urlaub zurück und hoffe, daß mir meine Jungs dann die fertige Version 2.0 zeigen können... :-) Also nicht wundern: In der 1er-Version ist vieles noch nicht drin (die ist eineinhalb Jahre alt), was aber die 2er Version in aller Kürze dann massiv neu mitbringt. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Fri Aug 12 23:08:46 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Fri, 12 Aug 2011 23:08:46 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110810073814.GB2815@state-of-mind.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <20110810073814.GB2815@state-of-mind.de> Message-ID: <20110812230846.0f1d0b19@itx.bitcorner.intern> Patrick Ben Koetter

wrote: > > Ich würde das gerne mit amavis einsetzen. gibt es ein HOWTO datzu? DKIM > > ist für mich komplettes Neuland. Ich habe ein paar Anleitungen zum Einsatz > > mit Postfix gelesen. Warum ist das mit amavis besser? .... > Sieh Dir bitte den Abschnitt "Setting up DKIM mail signing and verification" > auf amavis.org an und > arbeite Dich auf jeden Fall mal durch "For the impatient - signing from > scratch". > > Das bringt die Meisten an den Start. Wenn Du dann Fragen hast, gerne hier. :) Allright, Sir. Ich habe jetzt auch mal das amavis auf 2.7.0 aktualisiert und DKIM angeschaltet. Bis das im DNS erscheint, braucht es wohl noch ein paar Stunden. Eine Frage im Moment. Wenn ich Mail::DKIM installiert habe als Perl-Modul, dann brauch ich doch opendkim-2.4.2.tar.gz von opendkim.org nicht zu installieren, oder? > > p at rick Andreas From p at state-of-mind.de Sat Aug 13 01:29:21 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sat, 13 Aug 2011 01:29:21 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110812230846.0f1d0b19@itx.bitcorner.intern> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <20110810073814.GB2815@state-of-mind.de> <20110812230846.0f1d0b19@itx.bitcorner.intern> Message-ID: <20110812232919.GD4011@state-of-mind.de> * Andreas Meyer : > Patrick Ben Koetter

wrote: > > > > Ich würde das gerne mit amavis einsetzen. gibt es ein HOWTO datzu? DKIM > > > ist für mich komplettes Neuland. Ich habe ein paar Anleitungen zum Einsatz > > > mit Postfix gelesen. Warum ist das mit amavis besser? > > .... > > > Sieh Dir bitte den Abschnitt "Setting up DKIM mail signing and verification" > > auf amavis.org an und > > arbeite Dich auf jeden Fall mal durch "For the impatient - signing from > > scratch". > > > > Das bringt die Meisten an den Start. Wenn Du dann Fragen hast, gerne hier. :) > > Allright, Sir. Ich habe jetzt auch mal das amavis auf 2.7.0 aktualisiert > und DKIM angeschaltet. Bis das im DNS erscheint, braucht es wohl noch ein > paar Stunden. Ob amavis den DKIM-Header einbaut und ob der passende public Key im DNS steht stehen IIRC nicht in Zusammenhang. In anderen Worten: Eine DKIM-Signatur könnte jetzt schon in dieser Mail sein - sie wäre halt nur nicht verifizierbar durch meinen amavis-Server. > Eine Frage im Moment. Wenn ich Mail::DKIM installiert habe als Perl-Modul, > dann brauch ich doch opendkim-2.4.2.tar.gz von opendkim.org nicht zu > installieren, oder? Yep. opendkim-2.4.2.tar.gz ist nicht notwendig. p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From anmeyer at anup.de Sat Aug 13 11:01:05 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 13 Aug 2011 11:01:05 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110812232919.GD4011@state-of-mind.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <20110810073814.GB2815@state-of-mind.de> <20110812230846.0f1d0b19@itx.bitcorner.intern> <20110812232919.GD4011@state-of-mind.de> Message-ID: <20110813110105.3b7d963e@itx.bitcorner.intern> Patrick Ben Koetter

wrote: > > > Sieh Dir bitte den Abschnitt "Setting up DKIM mail signing and verification" > > > auf amavis.org an und > > > arbeite Dich auf jeden Fall mal durch "For the impatient - signing from > > > scratch". > > > > > > Das bringt die Meisten an den Start. Wenn Du dann Fragen hast, gerne hier. :) > > > > Allright, Sir. Ich habe jetzt auch mal das amavis auf 2.7.0 aktualisiert > > und DKIM angeschaltet. Bis das im DNS erscheint, braucht es wohl noch ein > > paar Stunden. > > Ob amavis den DKIM-Header einbaut und ob der passende public Key im DNS steht > stehen IIRC nicht in Zusammenhang. In anderen Worten: Eine DKIM-Signatur > könnte jetzt schon in dieser Mail sein - sie wäre halt nur nicht > verifizierbar durch meinen amavis-Server. Also ich habe folgendes: # amavisd testkeys TESTING#1: sax._domainkey.bitcorner.eu => pass # dig sax._domainkey.bitcorner.eu TXT +short "v=DKIM1\; t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDoje83gklnH36lxHoyK/E0Ys4ToYLqZWRjvkESkgjGP+aDHt5AmoIFj3J/kTFYpAYpDMYgb32F9C4cQ/fLyinSEiDwgAJHpIIsVfkJ91r11+IbxejXNOAAhysc7S2mvN2kXFX1x8BIpXW6wGmTpOg0up/loD547FbS5LOXAGxwOQIDAQAB" und in der amavis.conf $enable_dkim_verification = 1; # enable DKIM signatures verification $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key dkim_key('bitcorner.eu', 'sax', '/var/dkim/bitcorner.eu.key.pem'); @dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } ); @mynetworks = qw(0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16); # list your internal networks DKIM wird auch geladen: /usr/sbin/amavisd[4661]: Module Mail::DKIM::Signer 0.39 /usr/sbin/amavisd[4661]: Module Mail::DKIM::Verifier 0.39 nur wird anscheinend kein Header eingefügt. What's wrong? > > Eine Frage im Moment. Wenn ich Mail::DKIM installiert habe als Perl-Modul, > > dann brauch ich doch opendkim-2.4.2.tar.gz von opendkim.org nicht zu > > installieren, oder? > > Yep. opendkim-2.4.2.tar.gz ist nicht notwendig. > > p at rick Andreas From postfixbuch-users at makomi.de Sat Aug 13 12:48:58 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sat, 13 Aug 2011 12:48:58 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110813110105.3b7d963e@itx.bitcorner.intern> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <20110810073814.GB2815@state-of-mind.de> <20110812230846.0f1d0b19@itx.bitcorner.intern> <20110812232919.GD4011@state-of-mind.de> <20110813110105.3b7d963e@itx.bitcorner.intern> Message-ID: <70152304-800E-4F32-AC1B-C9E0EA9903AB@makomi.de> Hallo Andreas, Am 13.08.2011 um 11:01 schrieb Andreas Meyer: >>> Allright, Sir. Ich habe jetzt auch mal das amavis auf 2.7.0 aktualisiert >>> und DKIM angeschaltet. Bis das im DNS erscheint, braucht es wohl noch ein >>> paar Stunden. >> >> Ob amavis den DKIM-Header einbaut und ob der passende public Key im DNS steht >> stehen IIRC nicht in Zusammenhang. In anderen Worten: Eine DKIM-Signatur >> könnte jetzt schon in dieser Mail sein - sie wäre halt nur nicht >> verifizierbar durch meinen amavis-Server. > > Also ich habe folgendes: > # amavisd testkeys > TESTING#1: sax._domainkey.bitcorner.eu => pass > > # dig sax._domainkey.bitcorner.eu TXT +short > "v=DKIM1\; t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDoje83gklnH36lxHoyK/E0Ys4ToYLqZWRjvkESkgjGP+aDHt5AmoIFj3J/kTFYpAYpDMYgb32F9C4cQ/fLyinSEiDwgAJHpIIsVfkJ91r11+IbxejXNOAAhysc7S2mvN2kXFX1x8BIpXW6wGmTpOg0up/loD547FbS5LOXAGxwOQIDAQAB" > > und in der amavis.conf > > $enable_dkim_verification = 1; # enable DKIM signatures verification > $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key > dkim_key('bitcorner.eu', 'sax', '/var/dkim/bitcorner.eu.key.pem'); > @dkim_signature_options_bysender_maps = ( > { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } ); > @mynetworks = qw(0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 > 192.168.0.0/16); # list your internal networks Ich habe nur folgendes in die 50-users eingetragen: # DKIM # $enable_dkim_verification = 1; $enable_dkim_signing = 1; dkim_key('DOMAIN.de', 'main', '/etc/amavis/ssl/dkim-key.pem'); @dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } ); und damit geht es. Gruß, Michael From anmeyer at anup.de Sat Aug 13 13:13:45 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 13 Aug 2011 13:13:45 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <70152304-800E-4F32-AC1B-C9E0EA9903AB@makomi.de> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <20110810073814.GB2815@state-of-mind.de> <20110812230846.0f1d0b19@itx.bitcorner.intern> <20110812232919.GD4011@state-of-mind.de> <20110813110105.3b7d963e@itx.bitcorner.intern> <70152304-800E-4F32-AC1B-C9E0EA9903AB@makomi.de> Message-ID: <20110813131345.04cdec29@itx.bitcorner.intern> Michael Köhler wrote: > > Also ich habe folgendes: > > # amavisd testkeys > > TESTING#1: sax._domainkey.bitcorner.eu => pass > > > > # dig sax._domainkey.bitcorner.eu TXT +short > > "v=DKIM1\; t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDoje83gklnH36lxHoyK/E0Ys4ToYLqZWRjvkESkgjGP+aDHt5AmoIFj3J/kTFYpAYpDMYgb32F9C4cQ/fLyinSEiDwgAJHpIIsVfkJ91r11+IbxejXNOAAhysc7S2mvN2kXFX1x8BIpXW6wGmTpOg0up/loD547FbS5LOXAGxwOQIDAQAB" > > > > und in der amavis.conf > > > > $enable_dkim_verification = 1; # enable DKIM signatures verification > > $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key > > dkim_key('bitcorner.eu', 'sax', '/var/dkim/bitcorner.eu.key.pem'); > > @dkim_signature_options_bysender_maps = ( > > { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } ); > > @mynetworks = qw(0.0.0.0/8 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 > > 192.168.0.0/16); # list your internal networks > > Ich habe nur folgendes in die 50-users eingetragen: eine 50-users gibt es bei mit nicht. Ist das spamassassin? > # DKIM > # > $enable_dkim_verification = 1; > $enable_dkim_signing = 1; > dkim_key('DOMAIN.de', 'main', '/etc/amavis/ssl/dkim-key.pem'); > @dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } ); > > und damit geht es. Ich habe die IP des mailservers in @mynetworks eingefügt und habe nun folgendes im log: Aug 13 13:00:02 mail.bitcorner.eu /usr/sbin/amavisd[10492]: (10492-01) dkim: candidate originators: From: Aug 13 13:00:02 mail.bitcorner.eu /usr/sbin/amavisd[10492]: (10492-01) dkim: not signing, empty signing domain, From: Aug 13 13:00:02 mail.bitcorner.eu /usr/sbin/amavisd[10492]: (10492-01) smtp session: setting up a new session amavis signiert nicht. not signing, empty signing domain. Ich schließe daraus, dass zum Signieren nicht die Domaine des mailservers herangezogen wird, sondern die des Senders From: Dann werde ich mal keys für die bitcorner.de erzweugen und in den DNS bringen. > > Gruß, > Michael Andreas From postfixbuch-users at makomi.de Sat Aug 13 13:39:15 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sat, 13 Aug 2011 13:39:15 +0200 Subject: [Postfixbuch-users] Postfix und dkim-filter In-Reply-To: <20110813131345.04cdec29@itx.bitcorner.intern> References: <4E3ECBEF.2040703@brain-force.ch> <20110807194054.GB4125@state-of-mind.de> <20110810083150.18e53484@itx.bitcorner.intern> <20110810073814.GB2815@state-of-mind.de> <20110812230846.0f1d0b19@itx.bitcorner.intern> <20110812232919.GD4011@state-of-mind.de> <20110813110105.3b7d963e@itx.bitcorner.intern> <70152304-800E-4F32-AC1B-C9E0EA9903AB@makomi.de> <20110813131345.04cdec29@itx.bitcorner.intern> Message-ID: Hallo Andreas, Am 13.08.2011 um 13:13 schrieb Andreas Meyer: >> Ich habe nur folgendes in die 50-users eingetragen: > > eine 50-users gibt es bei mit nicht. Ist das spamassassin? Neee, das ist Debian - die haben für amavisd-new ein conf.d Verzeichnis. > Ich habe die IP des mailservers in @mynetworks eingefügt und habe nun > folgendes im log: > > Aug 13 13:00:02 mail.bitcorner.eu /usr/sbin/amavisd[10492]: (10492-01) dkim: candidate originators: From: > Aug 13 13:00:02 mail.bitcorner.eu /usr/sbin/amavisd[10492]: (10492-01) dkim: not signing, empty signing domain, From: > Aug 13 13:00:02 mail.bitcorner.eu /usr/sbin/amavisd[10492]: (10492-01) smtp session: setting up a new session > > amavis signiert nicht. not signing, empty signing domain. > > Ich schließe daraus, dass zum Signieren nicht die Domaine des mailservers > herangezogen wird, sondern die des Senders From: > > Dann werde ich mal keys für die bitcorner.de erzweugen und in den DNS bringen. Ja, das stimmt auf jeden Fall. Aber wo ich gerade bei mir mal nachgeschaut habe, habe ich gleich mal gemerkt, das es bei mir auch nicht geht - das ist aber ein anderes Problem :). Gruß, Michael From postfixbuch-users at makomi.de Sat Aug 13 15:16:27 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sat, 13 Aug 2011 15:16:27 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?dkim=5Fsigning=2C_amavisd-new_?= =?iso-8859-1?q?und_SASL_=FCber_Port_25?= Message-ID: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> Hallo, ich musste feststellen, das "dkim_signing" bei mir nicht funktioniert, da die Clients Ihre Mails bei meinem Server über Port 25 mit SASL einliefern. Die entsprechende Zeile im Log lautet: dkim: not signing mail which is not originating from inside (about to connect to [127.0.0.1]:10025) FWD via SMTP: -> Die allgemeine Empfehlung lautet: SASL über Submission einliefern lassen, extra policy_bank in amavisd-new für Submission einrichten und dort "originating = 1;" setzen - richtig? Gibt es denn keine andere Möglichkeit amavisd-new von postfix aus den Status "authentifizierter Benutzer einer eigene Domain" mit zu übergeben? Gruß, Michael (der gerne mal um die Ecke denkt :)) From anmeyer at anup.de Sat Aug 13 15:47:47 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 13 Aug 2011 15:47:47 +0200 Subject: [Postfixbuch-users] =?utf-8?q?dkim=5Fsigning=2C_amavisd-new_und_S?= =?utf-8?q?ASL_=C3=BCber_Port_25?= In-Reply-To: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> References: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> Message-ID: <20110813154747.279fc083@itx.bitcorner.intern> Michael Köhler wrote: > Hallo, > > ich musste feststellen, das "dkim_signing" bei mir nicht funktioniert, da die Clients Ihre Mails bei meinem Server über Port 25 mit SASL einliefern. Die entsprechende Zeile im Log lautet: > > dkim: not signing mail which is not originating from inside > (about to connect to [127.0.0.1]:10025) FWD via SMTP: -> hm, also meine clients liefern per SASL auch auf port 25 ein und da wird jetzt signiert. > Die allgemeine Empfehlung lautet: SASL über Submission einliefern lassen, extra policy_bank in amavisd-new für Submission einrichten und dort "originating = 1;" setzen - richtig? > > Gibt es denn keine andere Möglichkeit amavisd-new von postfix aus den Status "authentifizierter Benutzer einer eigene Domain" mit zu übergeben? # @local_domains_maps = ( [".$mydomain"] ); # list of all local domains read_hash(\%local_domains, '/var/spool/amavis/local_domains'); hast Du diese maps gesetzt? > > Gruß, > Michael > > (der gerne mal um die Ecke denkt :)) Andreas From postfixbuch-users at makomi.de Sat Aug 13 20:52:17 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sat, 13 Aug 2011 20:52:17 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?dkim=5Fsigning=2C_amavisd-new_?= =?iso-8859-1?q?und_SASL_=FCber_Port_25?= In-Reply-To: <20110813154747.279fc083@itx.bitcorner.intern> References: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> <20110813154747.279fc083@itx.bitcorner.intern> Message-ID: <24183A11-C8A8-4C75-A5AB-0866E7228727@makomi.de> Hallo Andreas, Am 13.08.2011 um 15:47 schrieb Andreas Meyer: >> ich musste feststellen, das "dkim_signing" bei mir nicht funktioniert, da die Clients Ihre Mails bei meinem Server über Port 25 mit SASL einliefern. Die entsprechende Zeile im Log lautet: >> >> dkim: not signing mail which is not originating from inside >> (about to connect to [127.0.0.1]:10025) FWD via SMTP: -> > > hm, also meine clients liefern per SASL auch auf port 25 ein und da wird jetzt signiert. Komisch, da werde ich nochmal meine Konfigurationsdateien wälzen. >> Die allgemeine Empfehlung lautet: SASL über Submission einliefern lassen, extra policy_bank in amavisd-new für Submission einrichten und dort "originating = 1;" setzen - richtig? >> >> Gibt es denn keine andere Möglichkeit amavisd-new von postfix aus den Status "authentifizierter Benutzer einer eigene Domain" mit zu übergeben? > > # @local_domains_maps = ( [".$mydomain"] ); # list of all local domains > read_hash(\%local_domains, '/var/spool/amavis/local_domains'); > > hast Du diese maps gesetzt? Ja, frage ich per SQL aus der Postfixadmin-DB ab. Gruß, Michael -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Sat Aug 13 21:13:35 2011 From: driessen at fblan.de (Driessen) Date: Sat, 13 Aug 2011 21:13:35 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?dkim=5Fsigning=2C_amavisd-new_?= =?iso-8859-1?q?und_SASL_=FCber_Port_25?= In-Reply-To: <24183A11-C8A8-4C75-A5AB-0866E7228727@makomi.de> References: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de><20110813154747.279fc083@itx.bitcorner.intern> <24183A11-C8A8-4C75-A5AB-0866E7228727@makomi.de> Message-ID: <00df01cc59ed$19d89f90$0565a8c0@uwe> On Behalf Of Michael Köhler > Gibt es denn keine andere Möglichkeit amavisd-new von postfix > aus den Status "authentifizierter Benutzer einer eigene Domain" mit zu > übergeben? Schon mal mit smtpd_sasl_authenticated_header = yes in der main.cf versucht > > > > # @local_domains_maps = ( [".$mydomain"] ); # list of all local > domains > read_hash(\%local_domains, '/var/spool/amavis/local_domains'); > > hast Du diese maps gesetzt? > > > > Ja, frage ich per SQL aus der Postfixadmin-DB ab. > Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From anmeyer at anup.de Sat Aug 13 22:11:14 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 13 Aug 2011 22:11:14 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay Message-ID: <20110813221114.72817c2b@itx.bitcorner.intern> Hallo! Ich beobachte gerade das log von amavis erschrecke ein wenig über folgende Zeilen: Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Open relay? Nonlocal recips but not originating: users at lists.claws-mail.org Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Passed CLEAN {RelayedOpenRelay}, [46.115.0.64] [46.115.0.64] -> , Message-ID: <20110813215934.4e34382f at itx.bitcorner.intern>, mail_id: 4P1npJKf4kHv, Hits: -3.866, size: 1057, queued_as: DBD1036DCA52, 1741 ms Was will mir das mit dem {RelayedOpenRelay} sagen? Andreas From p at state-of-mind.de Sat Aug 13 23:33:05 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sat, 13 Aug 2011 23:33:05 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813221114.72817c2b@itx.bitcorner.intern> References: <20110813221114.72817c2b@itx.bitcorner.intern> Message-ID: <20110813213304.GA2506@state-of-mind.de> * Andreas Meyer : > Ich beobachte gerade das log von amavis erschrecke ein wenig über folgende > Zeilen: > > Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Open relay? Nonlocal recips but not originating: users at lists.claws-mail.org > Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Passed CLEAN {RelayedOpenRelay}, [46.115.0.64] [46.115.0.64] -> , Message-ID: <20110813215934.4e34382f at itx.bitcorner.intern>, mail_id: 4P1npJKf4kHv, Hits: -3.866, size: 1057, queued_as: DBD1036DCA52, 1741 ms > > Was will mir das mit dem {RelayedOpenRelay} sagen? Das passiert immer dann wenn jemand claws nimmt, um Mails zu senden. Mit mutt passiert das nicht ... ;) Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und der Absender nicht als lokaler (originating) Sender identifiziert werden kann. Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen kann und es somit ein Open Relay {RelayedOpenRelay} ist. Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank zugeordnet wird die das ORIGINATING Flag setzt. Statische IP Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks hinzu. Dynamische IP Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf Port 25 rein. Konfigurier Dir für lokale Sender den submission-Dienst in Postfix und sende von dort alles auf einen dedizierten Port in amavis, den Du dann einer $policy_bank zuordnest, die ORIGINATING setzt. Eine Konfig könnte etwa so aussehen: # Postfix submission inet n - n - 32 smtpd -o smtpd_proxy_filter=[127.0.0.1]:10026 -o smtpd_client_connection_count_limit=16 -o smtpd_delay_reject=yes -o smtpd_sasl_auth_enable=yes -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject -o smtpd_tls_security_level=may -o milter_macro_daemon_name=ORIGINATING # amavis $inet_socket_port = [9998,10024,10026]; $interface_policy{'10026'} = 'LOCAL'; $policy_bank{'LOCAL'} = { originating => 1, final_spam_destiny => D_BOUNCE, final_virus_destiny => D_REJECT, final_banned_destiny=> D_PASS, final_bad_header_destiny => D_PASS, banned_filename_maps => ['MYNETS-DEFAULT'], warnbadhsender => 1, }; p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From anmeyer at anup.de Sun Aug 14 00:13:33 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 14 Aug 2011 00:13:33 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813213304.GA2506@state-of-mind.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> Message-ID: <20110814001333.1fd2bc6b@itx.bitcorner.intern> Patrick Ben Koetter

wrote: > > Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Open relay? Nonlocal recips but not originating: users at lists.claws-mail.org > > Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Passed CLEAN {RelayedOpenRelay}, [46.115.0.64] [46.115.0.64] -> , Message-ID: <20110813215934.4e34382f at itx.bitcorner.intern>, mail_id: 4P1npJKf4kHv, Hits: -3.866, size: 1057, queued_as: DBD1036DCA52, 1741 ms > > > > Was will mir das mit dem {RelayedOpenRelay} sagen? > > Das passiert immer dann wenn jemand claws nimmt, um Mails zu senden. Mit mutt > passiert das nicht ... ;) ah, ok, natürlich, wie konnte ich das nur übersehen ;) > Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und > der Absender nicht als lokaler (originating) Sender identifiziert werden kann. > > Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen > kann und es somit ein Open Relay {RelayedOpenRelay} ist. > > Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein > Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank > zugeordnet wird die das ORIGINATING Flag setzt. > > Statische IP > Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks > hinzu. > > Dynamische IP > Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote > Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu > trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf > Port 25 rein. Aber sende ich von meiner privaten Kiste aus wie auch die Kunden nicht immer remote? local wären eigentlich nur die, die das Webinterface zum mailen benutzen. > Konfigurier Dir für lokale Sender den submission-Dienst in Postfix und sende > von dort alles auf einen dedizierten Port in amavis, den Du dann einer > $policy_bank zuordnest, die ORIGINATING setzt. > > Eine Konfig könnte etwa so aussehen: > > # Postfix > submission inet n - n - 32 smtpd > -o smtpd_proxy_filter=[127.0.0.1]:10026 > -o smtpd_client_connection_count_limit=16 > -o smtpd_delay_reject=yes > -o smtpd_sasl_auth_enable=yes > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o smtpd_tls_security_level=may > -o milter_macro_daemon_name=ORIGINATING > > > # amavis > $inet_socket_port = [9998,10024,10026]; > $interface_policy{'10026'} = 'LOCAL'; > > $policy_bank{'LOCAL'} = { > originating => 1, > final_spam_destiny => D_BOUNCE, > final_virus_destiny => D_REJECT, > final_banned_destiny=> D_PASS, > final_bad_header_destiny => D_PASS, > banned_filename_maps => ['MYNETS-DEFAULT'], > warnbadhsender => 1, > }; > Danke für die Erklärung! > > p at rick > Andreas From postfixbuch-users at makomi.de Sun Aug 14 00:20:20 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 14 Aug 2011 00:20:20 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110814001333.1fd2bc6b@itx.bitcorner.intern> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <20110814001333.1fd2bc6b@itx.bitcorner.intern> Message-ID: Hallo Andreas, Am 14.08.2011 um 00:13 schrieb Andreas Meyer: >> Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und >> der Absender nicht als lokaler (originating) Sender identifiziert werden kann. >> >> Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen >> kann und es somit ein Open Relay {RelayedOpenRelay} ist. >> >> Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein >> Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank >> zugeordnet wird die das ORIGINATING Flag setzt. >> >> Statische IP >> Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks >> hinzu. >> >> Dynamische IP >> Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote >> Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu >> trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf >> Port 25 rein. > > Aber sende ich von meiner privaten Kiste aus wie auch die Kunden nicht > immer remote? local wären eigentlich nur die, die das Webinterface zum > mailen benutzen. Mit "Lokale" meinte Patrick Deine User, die über SASL kommen, mit "Remote" alle fremden SMTP-Server, die Mails einliefern wollen. Gruß, Michael From postfixbuch-users at makomi.de Sun Aug 14 00:24:34 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 14 Aug 2011 00:24:34 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813213304.GA2506@state-of-mind.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> Message-ID: <1B50631C-476E-40A9-9261-C0FBFE975370@makomi.de> Hallo Patrick, Am 13.08.2011 um 23:33 schrieb Patrick Ben Koetter: > Dynamische IP > Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote > Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu > trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf > Port 25 rein. > > Konfigurier Dir für lokale Sender den submission-Dienst in Postfix und sende > von dort alles auf einen dedizierten Port in amavis, den Du dann einer > $policy_bank zuordnest, die ORIGINATING setzt. > > Eine Konfig könnte etwa so aussehen: > > # Postfix > submission inet n - n - 32 smtpd > -o smtpd_proxy_filter=[127.0.0.1]:10026 > -o smtpd_client_connection_count_limit=16 > -o smtpd_delay_reject=yes > -o smtpd_sasl_auth_enable=yes > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o smtpd_tls_security_level=may > -o milter_macro_daemon_name=ORIGINATING Was aber bedeutet, das ich die permit_sasl_authenticated aus der main.cf rausnehmen muss, oder? > # amavis > $inet_socket_port = [9998,10024,10026]; > $interface_policy{'10026'} = 'LOCAL'; > > $policy_bank{'LOCAL'} = { > originating => 1, > final_spam_destiny => D_BOUNCE, > final_virus_destiny => D_REJECT, > final_banned_destiny=> D_PASS, > final_bad_header_destiny => D_PASS, > banned_filename_maps => ['MYNETS-DEFAULT'], > warnbadhsender => 1, > }; Dazu noch eine Frage: Die Einstellungen, die ich in einer policy_bank mache, überschreiben die die Einstellungen, die ausserhalb der policy, also global, gesetzt sind? Gruß, Michael From postfixbuch-users at makomi.de Sun Aug 14 00:27:57 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 14 Aug 2011 00:27:57 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?dkim=5Fsigning=2C_amavisd-new_?= =?iso-8859-1?q?und_SASL_=FCber_Port_25?= In-Reply-To: <00df01cc59ed$19d89f90$0565a8c0@uwe> References: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de><20110813154747.279fc083@itx.bitcorner.intern> <24183A11-C8A8-4C75-A5AB-0866E7228727@makomi.de> <00df01cc59ed$19d89f90$0565a8c0@uwe> Message-ID: <7E489129-0CB8-4EAC-BB93-35351F93334A@makomi.de> Hallo Uwe, Am 13.08.2011 um 21:13 schrieb Driessen: > On Behalf Of Michael Köhler >> Gibt es denn keine andere Möglichkeit amavisd-new von postfix >> aus den Status "authentifizierter Benutzer einer eigene Domain" mit zu >> übergeben? > > Schon mal mit > smtpd_sasl_authenticated_header = yes > > in der main.cf versucht Ja, diese Einstellung ist gesetzt - sorry, ohne postconf -n ist das natürlich dumm von mir gewesen, da ja keiner sehen konnte, was ich schon gesetzt habe. Da ich, wie auch in den anderen Themen von heute angesprochen, ähnliche Probleme habe, werde ich das Thema erstmal auf Eis legen und mich mit Submission versuchen. Gruß, Michael From p at state-of-mind.de Sun Aug 14 01:06:12 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sun, 14 Aug 2011 01:06:12 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110814001333.1fd2bc6b@itx.bitcorner.intern> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <20110814001333.1fd2bc6b@itx.bitcorner.intern> Message-ID: <20110813230611.GC2506@state-of-mind.de> * Andreas Meyer : > > Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und > > der Absender nicht als lokaler (originating) Sender identifiziert werden kann. > > > > Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen > > kann und es somit ein Open Relay {RelayedOpenRelay} ist. > > > > Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein > > Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank > > zugeordnet wird die das ORIGINATING Flag setzt. > > > > Statische IP > > Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks > > hinzu. > > > > Dynamische IP > > Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote > > Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu > > trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf > > Port 25 rein. > > Aber sende ich von meiner privaten Kiste aus wie auch die Kunden nicht > immer remote? local wären eigentlich nur die, die das Webinterface zum > mailen benutzen. Ich gebe Dir recht, der Begriff "lokal" trägt hier nicht weit. Vielleicht kriege ich das mit einer Umschreibung verständlicher in den Griff: "Ein Sender, der das System legitim nutzt, um eine Nachricht in den Umlauf zu bringen." Wichtig sind dabei "legitim" und "in den Umlauf (...) bringen", denn es bedeutet: - Der Sender konnte sich legitieren indem er/sein Client über die IP oder über seine SASL-Identität erkannt (authentifiziert) und zum Senden berechtigt (autorisiert) wurde - Die Nachricht betritt hier den Transportweg. Aus Sicht aller nachgelagerten, mailverarbeitenden Instanzen ist der Mailserver, der die Nachricht zum Versand vom Client (MUA) annahm der "originator" - ihm "entspringt" die Nachricht. Beides kann amavis nicht wissen. Amavis weiß nicht, dass der sendende Client sich per SMTP AUTH bei Postfix authentifiziert hatte (und header sind Schall und Rauch) und er kann den sendenden Client bei dynamischen IPs nicht einer legitimen Gruppe (IP ist in @mynetworks) zuordnen. Wir helfen amavis (und schützen es vor Mißbrauch) indem wir eine spezielle $policy_bank schaffen, die nur angesprochen wird wenn wir sicherstellen können, dass der Sender mit der dynamischen IP legitim sendet. Das erreichen wir indem wir Mails über den submission-Port RFC-gerecht nutzen und sendenden Clients zwingend (!) SMTP AUTH abfordern. Wer diese Hürde schafft, hat sich erfolgreich legitimiert - er gehört zu uns, ist 'local'. Von diesem Port aus routen wir Nachrichten an die spezielle $policy_bank in amavis und dort sagen wir amavis, das alles was da reinkommt ORIGINATING ist. Ist ORIGINATING gesetzt, bedeutet das für amavis folgendes: - Legitimität Diese Nachricht stammt von einem legitimen Sender. - Senderichtung Diese Nachricht geht von mir weg (Sender) zu einem Anderen (Recipient) hin. Diese Bedingungen sind Voraussetzung für folgende, mögliche Aktionen: DKIM-Signaturen Sind Legitimität und Senderichtung gegeben, wird amavis DKIM-Signaturen anbringen, wenn DKIM-Signaturen für die Domain des Senders konfiguriert wurde. (Die Nachricht ist ausgehend ...) Sender-Notifikationen Um Backscatter und andere Formen der Zwangsbeglückung für Fremde zu vermeiden ("Sie haben ein Virus gesendet ...") notifiziert amavis nur lokale (lies: systemgehörige) Sender und Empfänger. "Nur lokal" wird über den Parameter $warn_offsite (default: 0) geregelt. Legitimer Sender wird über @mynetworks oder ORIGINATING festgelegt und zum System gehörende Empfänger, also lokale Empfänger legt @local_domains_maps fest. Status-Header amavis kann sich selbst, das Ergebnis von Virenscans, DKIM-Verifizierung und Resultate von SpamAssassin in Header einfügen. Das tut es nur für lokale Empfänger. Wer in @local_domains_maps steht, ist lokal. In dem Sinne also: - Pack das Webinterface in @mynetworks - Laß die Clients von Kunden über submission senden - Laß die Server von Kunden über Port 25 senden und ordne ihre statische IP @mynetworks zu. Wenn Du die Kunden-IPs einer speziellen Policy in amavis zuführen willst, dann route ihre IPs bestimmten $policy_banks zu: @client_ipaddr_policy = ( [qw( 0.0.0.0/8 127.0.0.1/8 [::] [::1] )] => 'LOCALHOST', [qw( !172.16.1.0/24 172.16.0.0/12 192.168.0.0/16 )] => 'PRIVATENETS', [qw( 192.0.2.0/25 192.0.2.129 192.0.2.130 )] => 'PARTNER', [qw( 88.217.225.250/32 )] => 'CUSTOMERS', \@mynetworks => 'MYNETS', ); So. Und jetzt fallen mir die Finger ab. ;) p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From p at state-of-mind.de Sun Aug 14 01:09:43 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Sun, 14 Aug 2011 01:09:43 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <1B50631C-476E-40A9-9261-C0FBFE975370@makomi.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <1B50631C-476E-40A9-9261-C0FBFE975370@makomi.de> Message-ID: <20110813230943.GD2506@state-of-mind.de> * Michael Köhler : > > # Postfix > > submission inet n - n - 32 smtpd > > -o smtpd_proxy_filter=[127.0.0.1]:10026 > > -o smtpd_client_connection_count_limit=16 > > -o smtpd_delay_reject=yes > > -o smtpd_sasl_auth_enable=yes > > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > > -o smtpd_tls_security_level=may > > -o milter_macro_daemon_name=ORIGINATING > > Was aber bedeutet, das ich die permit_sasl_authenticated aus der main.cf > rausnehmen muss, oder? Müssen nicht. Du kannst es. Wir machen das in der Regel so. Auf Port 25 kommen nur Mails von remote MTAs ein. Mailclients, die ausgehend senden wollen, müssen bei uns 587 nutzen. Da gibt es keinen Grund mehr SMTP AUTH auf 25 anzubieten. > > # amavis > > $inet_socket_port = [9998,10024,10026]; > > $interface_policy{'10026'} = 'LOCAL'; > > > > $policy_bank{'LOCAL'} = { > > originating => 1, > > final_spam_destiny => D_BOUNCE, > > final_virus_destiny => D_REJECT, > > final_banned_destiny=> D_PASS, > > final_bad_header_destiny => D_PASS, > > banned_filename_maps => ['MYNETS-DEFAULT'], > > warnbadhsender => 1, > > }; > > Dazu noch eine Frage: Die Einstellungen, die ich in einer policy_bank mache, > überschreiben die die Einstellungen, die ausserhalb der policy, also global, > gesetzt sind? Sie setzen Optionen, die nicht gesetzt waren und überschreiben Optionen, die bereits (global) gesetzt worden waren. p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From anmeyer at anup.de Sun Aug 14 01:23:38 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 14 Aug 2011 01:23:38 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813230943.GD2506@state-of-mind.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <1B50631C-476E-40A9-9261-C0FBFE975370@makomi.de> <20110813230943.GD2506@state-of-mind.de> Message-ID: <20110814012338.256122e8@itx.bitcorner.intern> Patrick Ben Koetter

wrote: > * Michael Köhler : > > Dazu noch eine Frage: Die Einstellungen, die ich in einer policy_bank mache, > > überschreiben die die Einstellungen, die ausserhalb der policy, also global, > > gesetzt sind? > > Sie setzen Optionen, die nicht gesetzt waren und überschreiben Optionen, die > bereits (global) gesetzt worden waren. Guck mal: Authentication-Results: mail.bitcorner.eu (amavisd-new); dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=state-of-mind.de > p at rick > Andreas From p.heinlein at heinlein-support.de Sun Aug 14 10:14:38 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 14 Aug 2011 10:14:38 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?dkim=5Fsigning=2C_amavisd-new_?= =?iso-8859-1?q?und_SASL_=FCber_Port_25?= In-Reply-To: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> References: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> Message-ID: <201108141014.38302.p.heinlein@heinlein-support.de> Am Samstag, 13. August 2011, 15:16:27 schrieb Michael Köhler: > ich musste feststellen, das "dkim_signing" bei mir nicht > funktioniert, da die Clients Ihre Mails bei meinem Server über Port > 25 mit SASL einliefern. Die entsprechende Zeile im Log lautet: > > dkim: not signing mail which is not originating from inside > (about to connect to [127.0.0.1]:10025) FWD via SMTP: > -> Das passiert, wenn die Client-IP nicht in $mynetworks in Amavis steht oder nicht manuell ORGINATING gesetzt wurde. Ist im Prinzip das gleiche Probleme wie in dem gerade aufgekommenen ROpenRelay-Problem. > Die allgemeine Empfehlung lautet: SASL über Submission einliefern > lassen, extra policy_bank in amavisd-new für Submission einrichten > und dort "originating = 1;" setzen - richtig? Alternativ eben auch $mynetworks richtig setzen, wenn sich das bestimmen läßt. Meine Empfehlung ist übrigens auch, ewinfach dne Port25 mit SASL von Port 25 der MXer zu trennen -- siehe Buch. Das ganze hat ja nichts mit Submission und der Port-Nummer zu tun, sondern einfach nur damit, daß die Verbindungen an einen anderen Amavis-Port gehen müssen. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Sun Aug 14 10:32:13 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 14 Aug 2011 10:32:13 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813230611.GC2506@state-of-mind.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <20110814001333.1fd2bc6b@itx.bitcorner.intern> <20110813230611.GC2506@state-of-mind.de> Message-ID: <20110814103213.6ebc062b@itx.bitcorner.intern> Patrick Ben Koetter

wrote: > * Andreas Meyer : > > > Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und > > > der Absender nicht als lokaler (originating) Sender identifiziert werden kann. > > > > > > Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen > > > kann und es somit ein Open Relay {RelayedOpenRelay} ist. > > > > > > Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein > > > Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank > > > zugeordnet wird die das ORIGINATING Flag setzt. > > > > > > Statische IP > > > Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks > > > hinzu. > > > > > > Dynamische IP > > > Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote > > > Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu > > > trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf > > > Port 25 rein. > > > > Aber sende ich von meiner privaten Kiste aus wie auch die Kunden nicht > > immer remote? local wären eigentlich nur die, die das Webinterface zum > > mailen benutzen. > > Ich gebe Dir recht, der Begriff "lokal" trägt hier nicht weit. Vielleicht > kriege ich das mit einer Umschreibung verständlicher in den Griff: > > "Ein Sender, der das System legitim nutzt, um eine Nachricht in den Umlauf > zu bringen." > > Wichtig sind dabei "legitim" und "in den Umlauf (...) bringen", denn es > bedeutet: > > - Der Sender konnte sich legitieren indem er/sein Client über die IP oder über > seine SASL-Identität erkannt (authentifiziert) und zum Senden berechtigt > (autorisiert) wurde > > - Die Nachricht betritt hier den Transportweg. Aus Sicht aller nachgelagerten, > mailverarbeitenden Instanzen ist der Mailserver, der die Nachricht zum > Versand vom Client (MUA) annahm der "originator" - ihm "entspringt" die > Nachricht. > > Beides kann amavis nicht wissen. Amavis weiß nicht, dass der sendende Client > sich per SMTP AUTH bei Postfix authentifiziert hatte (und header sind Schall > und Rauch) und er kann den sendenden Client bei dynamischen IPs nicht einer > legitimen Gruppe (IP ist in @mynetworks) zuordnen. > > Wir helfen amavis (und schützen es vor Mißbrauch) indem wir eine spezielle > $policy_bank schaffen, die nur angesprochen wird wenn wir sicherstellen > können, dass der Sender mit der dynamischen IP legitim sendet. > > Das erreichen wir indem wir Mails über den submission-Port RFC-gerecht nutzen > und sendenden Clients zwingend (!) SMTP AUTH abfordern. Wer diese Hürde > schafft, hat sich erfolgreich legitimiert - er gehört zu uns, ist 'local'. > > Von diesem Port aus routen wir Nachrichten an die spezielle $policy_bank in > amavis und dort sagen wir amavis, das alles was da reinkommt ORIGINATING ist. > > Ist ORIGINATING gesetzt, bedeutet das für amavis folgendes: > > - Legitimität > Diese Nachricht stammt von einem legitimen Sender. > > - Senderichtung > Diese Nachricht geht von mir weg (Sender) zu einem Anderen (Recipient) hin. > > Diese Bedingungen sind Voraussetzung für folgende, mögliche Aktionen: > > DKIM-Signaturen > Sind Legitimität und Senderichtung gegeben, wird amavis DKIM-Signaturen > anbringen, wenn DKIM-Signaturen für die Domain des Senders konfiguriert wurde. > (Die Nachricht ist ausgehend ...) > > Sender-Notifikationen > Um Backscatter und andere Formen der Zwangsbeglückung für Fremde zu vermeiden > ("Sie haben ein Virus gesendet ...") notifiziert amavis nur lokale (lies: > systemgehörige) Sender und Empfänger. "Nur lokal" wird über den Parameter > $warn_offsite (default: 0) geregelt. Legitimer Sender wird über @mynetworks > oder ORIGINATING festgelegt und zum System gehörende Empfänger, also lokale > Empfänger legt @local_domains_maps fest. > > Status-Header > amavis kann sich selbst, das Ergebnis von Virenscans, DKIM-Verifizierung und > Resultate von SpamAssassin in Header einfügen. Das tut es nur für lokale > Empfänger. Wer in @local_domains_maps steht, ist lokal. > > > In dem Sinne also: > > - Pack das Webinterface in @mynetworks > - Laß die Clients von Kunden über submission senden > - Laß die Server von Kunden über Port 25 senden und ordne ihre statische IP > @mynetworks zu. > > Wenn Du die Kunden-IPs einer speziellen Policy in amavis zuführen willst, dann > route ihre IPs bestimmten $policy_banks zu: > > @client_ipaddr_policy = ( > [qw( 0.0.0.0/8 127.0.0.1/8 [::] [::1] )] => 'LOCALHOST', > [qw( !172.16.1.0/24 172.16.0.0/12 192.168.0.0/16 )] => 'PRIVATENETS', > [qw( 192.0.2.0/25 192.0.2.129 192.0.2.130 )] => 'PARTNER', > [qw( 88.217.225.250/32 )] => 'CUSTOMERS', > \@mynetworks => 'MYNETS', > ); Ich danke Dir vielmals für diese Erklärung! Jetzt ist mir doch einiges klarer geworden. Ich werde das mal angehen. Mir fällt auf, dass amavis eine DKIM-Signatur anbringt, wenn ich von einer dynamischen IP (so wie jetzt) eine email an eine Adresse bei GMX schicke. Es wird keine Signatur angebracht bei email an die Postbuch-Liste. Hmm ... warum, weis ich noch nicht. Die Umstände sind doch gleich. Ich liefere auf Port 25 mit einer dynamischen IP ein. Einmal geht's an GMX, das andere mal an postfixbuch-users. Keiner der Empfänger ist in mynetworks. Mal schaun, ob da jetzt eine Signatur eingefügt wurde. > So. Und jetzt fallen mir die Finger ab. ;) > > p at rick Schönen Sonntag noch! Andreas From postfixbuch-users at makomi.de Sun Aug 14 11:28:53 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 14 Aug 2011 11:28:53 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813230611.GC2506@state-of-mind.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <20110814001333.1fd2bc6b@itx.bitcorner.intern> <20110813230611.GC2506@state-of-mind.de> Message-ID: <1A20DF09-8949-4FDC-B917-62430E3200F3@makomi.de> Hallo Patrick, Am 14.08.2011 um 01:06 schrieb Patrick Ben Koetter: > Ich gebe Dir recht, der Begriff "lokal" trägt hier nicht weit. Vielleicht > kriege ich das mit einer Umschreibung verständlicher in den Griff: > > "Ein Sender, der das System legitim nutzt, um eine Nachricht in den Umlauf > zu bringen." > > Wichtig sind dabei "legitim" und "in den Umlauf (...) bringen", denn es > bedeutet: > > - Der Sender konnte sich legitieren indem er/sein Client über die IP oder über > seine SASL-Identität erkannt (authentifiziert) und zum Senden berechtigt > (autorisiert) wurde > > - Die Nachricht betritt hier den Transportweg. Aus Sicht aller nachgelagerten, > mailverarbeitenden Instanzen ist der Mailserver, der die Nachricht zum > Versand vom Client (MUA) annahm der "originator" - ihm "entspringt" die > Nachricht. > > Beides kann amavis nicht wissen. Amavis weiß nicht, dass der sendende Client > sich per SMTP AUTH bei Postfix authentifiziert hatte (und header sind Schall > und Rauch) und er kann den sendenden Client bei dynamischen IPs nicht einer > legitimen Gruppe (IP ist in @mynetworks) zuordnen. > > Wir helfen amavis (und schützen es vor Mißbrauch) indem wir eine spezielle > $policy_bank schaffen, die nur angesprochen wird wenn wir sicherstellen > können, dass der Sender mit der dynamischen IP legitim sendet. > > Das erreichen wir indem wir Mails über den submission-Port RFC-gerecht nutzen > und sendenden Clients zwingend (!) SMTP AUTH abfordern. Wer diese Hürde > schafft, hat sich erfolgreich legitimiert - er gehört zu uns, ist 'local'. > > Von diesem Port aus routen wir Nachrichten an die spezielle $policy_bank in > amavis und dort sagen wir amavis, das alles was da reinkommt ORIGINATING ist. > > Ist ORIGINATING gesetzt, bedeutet das für amavis folgendes: > > - Legitimität > Diese Nachricht stammt von einem legitimen Sender. > > - Senderichtung > Diese Nachricht geht von mir weg (Sender) zu einem Anderen (Recipient) hin. > > Diese Bedingungen sind Voraussetzung für folgende, mögliche Aktionen: > > DKIM-Signaturen > Sind Legitimität und Senderichtung gegeben, wird amavis DKIM-Signaturen > anbringen, wenn DKIM-Signaturen für die Domain des Senders konfiguriert wurde. > (Die Nachricht ist ausgehend ...) > > Sender-Notifikationen > Um Backscatter und andere Formen der Zwangsbeglückung für Fremde zu vermeiden > ("Sie haben ein Virus gesendet ...") notifiziert amavis nur lokale (lies: > systemgehörige) Sender und Empfänger. "Nur lokal" wird über den Parameter > $warn_offsite (default: 0) geregelt. Legitimer Sender wird über @mynetworks > oder ORIGINATING festgelegt und zum System gehörende Empfänger, also lokale > Empfänger legt @local_domains_maps fest. > > Status-Header > amavis kann sich selbst, das Ergebnis von Virenscans, DKIM-Verifizierung und > Resultate von SpamAssassin in Header einfügen. Das tut es nur für lokale > Empfänger. Wer in @local_domains_maps steht, ist lokal. > > > In dem Sinne also: > > - Pack das Webinterface in @mynetworks > - Laß die Clients von Kunden über submission senden > - Laß die Server von Kunden über Port 25 senden und ordne ihre statische IP > @mynetworks zu. > > Wenn Du die Kunden-IPs einer speziellen Policy in amavis zuführen willst, dann > route ihre IPs bestimmten $policy_banks zu: > > @client_ipaddr_policy = ( > [qw( 0.0.0.0/8 127.0.0.1/8 [::] [::1] )] => 'LOCALHOST', > [qw( !172.16.1.0/24 172.16.0.0/12 192.168.0.0/16 )] => 'PRIVATENETS', > [qw( 192.0.2.0/25 192.0.2.129 192.0.2.130 )] => 'PARTNER', > [qw( 88.217.225.250/32 )] => 'CUSTOMERS', > \@mynetworks => 'MYNETS', > ); > > > So. Und jetzt fallen mir die Finger ab. ;) Das hast Du schön und verständlich geschrieben - Du solltest ein Buch schreiben :) Gruß, Michael From postfixbuch-users at makomi.de Sun Aug 14 11:31:34 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 14 Aug 2011 11:31:34 +0200 Subject: [Postfixbuch-users] RelayedOpenRelay In-Reply-To: <20110813230943.GD2506@state-of-mind.de> References: <20110813221114.72817c2b@itx.bitcorner.intern> <20110813213304.GA2506@state-of-mind.de> <1B50631C-476E-40A9-9261-C0FBFE975370@makomi.de> <20110813230943.GD2506@state-of-mind.de> Message-ID: Hallo Patrick, Am 14.08.2011 um 01:09 schrieb Patrick Ben Koetter: >>> # Postfix >>> submission inet n - n - 32 smtpd >>> -o smtpd_proxy_filter=[127.0.0.1]:10026 >>> -o smtpd_client_connection_count_limit=16 >>> -o smtpd_delay_reject=yes >>> -o smtpd_sasl_auth_enable=yes >>> -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject >>> -o smtpd_tls_security_level=may >>> -o milter_macro_daemon_name=ORIGINATING >> >> Was aber bedeutet, das ich die permit_sasl_authenticated aus der main.cf >> rausnehmen muss, oder? > > Müssen nicht. Du kannst es. Wir machen das in der Regel so. Auf Port 25 kommen > nur Mails von remote MTAs ein. Mailclients, die ausgehend senden wollen, > müssen bei uns 587 nutzen. Da gibt es keinen Grund mehr SMTP AUTH auf 25 > anzubieten. Perfekt! Da ich dem Mail-Server keine weitere IP zuteilen möchte/kann, werde ich es ebenfalls so lösen. Der ganze SASL-Kram aus der main.cf wird dann via "-o" an Submission gebunden und fertig. >> Dazu noch eine Frage: Die Einstellungen, die ich in einer policy_bank mache, >> überschreiben die die Einstellungen, die ausserhalb der policy, also global, >> gesetzt sind? > > Sie setzen Optionen, die nicht gesetzt waren und überschreiben Optionen, die > bereits (global) gesetzt worden waren. Prima, jetzt habe ich es verstanden. Vielen Dank dafür. Gruß, Michael From postfixbuch-users at makomi.de Sun Aug 14 11:38:18 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Sun, 14 Aug 2011 11:38:18 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?dkim=5Fsigning=2C_amavisd-new_?= =?iso-8859-1?q?und_SASL_=FCber_Port_25?= In-Reply-To: <201108141014.38302.p.heinlein@heinlein-support.de> References: <8634E209-5653-43D5-89E6-A958FBDA1846@makomi.de> <201108141014.38302.p.heinlein@heinlein-support.de> Message-ID: <87744758-1658-4CD7-8FD5-D65C3F1417AD@makomi.de> Hallo Peer, Am 14.08.2011 um 10:14 schrieb Peer Heinlein: >> Die allgemeine Empfehlung lautet: SASL über Submission einliefern >> lassen, extra policy_bank in amavisd-new für Submission einrichten >> und dort "originating = 1;" setzen - richtig? > > Alternativ eben auch $mynetworks richtig setzen, wenn sich das bestimmen > läßt. Was bei dynamischen Clients via SASL nicht geht :(. > Meine Empfehlung ist übrigens auch, ewinfach dne Port25 mit SASL von > Port 25 der MXer zu trennen -- siehe Buch. Das ganze hat ja nichts mit > Submission und der Port-Nummer zu tun, sondern einfach nur damit, daß > die Verbindungen an einen anderen Amavis-Port gehen müssen. Jepp, auch durch die Erklärungen von Patrick ist das nun klar. Da ich meinem Mail-Server keine weitere IP zuteilen möchte/kann, werde ich es über Submission lösen. Am Rande: Apple Mail ist, was die SMTP-Ports angeht, reichlich undurchsichtig. Dort gibt es die Option "Standard-Ports (25, 465, 587)" oder "Eigener Port verwenden". Man geht als User also davon aus, das die erste Option die richtige ist. Dem ist aber nicht so: Apple Mail versucht zuerst auf Port 25 - wird dort abgelehnt, dann werden nicht 465 und 587 versucht sondern ein Fehler gesetzt. Gruß, Michael From mailinglisten at it-blog.net Mon Aug 15 17:38:58 2011 From: mailinglisten at it-blog.net (Pascal) Date: Mon, 15 Aug 2011 17:38:58 +0200 Subject: [Postfixbuch-users] Weiterleitung und Mailbox-Zustellung Message-ID: <4E493D92.6010505@it-blog.net> Hallo! Ich habe momentan folgendes Problem, zu dem ich noch keine funktionierende Lösung gefunden habe: In einem ziemlich komplexen Mail-System mit MySQL-Backend gibt es für jede Adresse folgende Funktions-Varianten, von denen mindestens eine verwendet wird: 1) Weiterleitung an eine oder mehrere andere Adressen (virtual_alias_maps) 2) Weiterleitung an eine mittels SQL-Query generierte Adresse für einen Sonderfall (recipient_bcc_maps) 3) Weitertransport zu Zustellung in eine Mailbox an einen didizierten Mailbox-Server (transport_maps) Das heißt, eine Adresse soll so konfigurierbar sein, dass eingehende Mails 1) an eine oder mehrere andere Adressen und 2) an eine speziell generierte Adresse weitergeleitet werden und an den Mailbox-Server weitertransportiert werden. Nun ist es aber so, dass sobald 1) und 3) zutreffen, eingehende Mails nur an die Weiterleitungsziele geschickt, nicht jedoch an den Mailbox-Server weitertransportiert werden. Prinzipiell könnten die Weiterleitungen möglicherweise mittels recipient_bcc_maps realisiert werden, doch das wird ja bereits für 2) verwendet und würde daher nur in den Fällen funktionieren, in denen 2) auf die Adresse nicht zutrifft. Hat jemand eine Idee, wie sich alle drei Varianten umsetzen lassen? MfG Pascal From driessen at fblan.de Tue Aug 16 00:05:44 2011 From: driessen at fblan.de (Driessen) Date: Tue, 16 Aug 2011 00:05:44 +0200 Subject: [Postfixbuch-users] Weiterleitung und Mailbox-Zustellung In-Reply-To: <4E493D92.6010505@it-blog.net> References: <4E493D92.6010505@it-blog.net> Message-ID: <000701cc5b97$7ad5e810$0565a8c0@uwe> On Behalf Of Pascal > > Ich habe momentan folgendes Problem, zu dem ich noch keine > funktionierende Lösung gefunden habe: In einem ziemlich komplexen > Mail-System mit MySQL-Backend gibt es für jede Adresse folgende > Funktions-Varianten, von denen mindestens eine verwendet wird: > > 1) Weiterleitung an eine oder mehrere andere Adressen (virtual_alias_maps) > 2) Weiterleitung an eine mittels SQL-Query generierte Adresse für einen > Sonderfall (recipient_bcc_maps) > 3) Weitertransport zu Zustellung in eine Mailbox an einen didizierten > Mailbox-Server (transport_maps) > > Das heißt, eine Adresse soll so konfigurierbar sein, dass eingehende > Mails 1) an eine oder mehrere andere Adressen und 2) an eine speziell > generierte Adresse weitergeleitet werden und an den Mailbox-Server > weitertransportiert werden. > > Nun ist es aber so, dass sobald 1) und 3) zutreffen, eingehende Mails > nur an die Weiterleitungsziele geschickt, nicht jedoch an den > Mailbox-Server weitertransportiert werden. Prinzipiell könnten die > Weiterleitungen möglicherweise mittels recipient_bcc_maps realisiert > werden, doch das wird ja bereits für 2) verwendet und würde daher nur in > den Fällen funktionieren, in denen 2) auf die Adresse nicht zutrifft. > > Hat jemand eine Idee, wie sich alle drei Varianten umsetzen lassen? always_bcc (default: empty) Optional address that receives a "blind carbon copy" of each message that is received by the Postfix mail system. Note: if mail to the BCC address bounces it will be returned to the sender. Note: automatic BCC recipients are produced only for new mail. To avoid mailer loops, automatic BCC recipients are not generated after Postfix forwards mail internally, or after Postfix generates mail itself. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From mailinglisten at it-blog.net Tue Aug 16 09:29:20 2011 From: mailinglisten at it-blog.net (Pascal) Date: Tue, 16 Aug 2011 09:29:20 +0200 Subject: [Postfixbuch-users] Weiterleitung und Mailbox-Zustellung In-Reply-To: <000701cc5b97$7ad5e810$0565a8c0@uwe> References: <4E493D92.6010505@it-blog.net> <000701cc5b97$7ad5e810$0565a8c0@uwe> Message-ID: <4E4A1C50.7090704@it-blog.net> Am 16.08.2011 00:05, schrieb Driessen: > On Behalf Of Pascal >> Ich habe momentan folgendes Problem, zu dem ich noch keine >> funktionierende Lösung gefunden habe: In einem ziemlich komplexen >> Mail-System mit MySQL-Backend gibt es für jede Adresse folgende >> Funktions-Varianten, von denen mindestens eine verwendet wird: >> >> 1) Weiterleitung an eine oder mehrere andere Adressen (virtual_alias_maps) >> 2) Weiterleitung an eine mittels SQL-Query generierte Adresse für einen >> Sonderfall (recipient_bcc_maps) >> 3) Weitertransport zu Zustellung in eine Mailbox an einen didizierten >> Mailbox-Server (transport_maps) >> >> Das heißt, eine Adresse soll so konfigurierbar sein, dass eingehende >> Mails 1) an eine oder mehrere andere Adressen und 2) an eine speziell >> generierte Adresse weitergeleitet werden und an den Mailbox-Server >> weitertransportiert werden. >> >> Nun ist es aber so, dass sobald 1) und 3) zutreffen, eingehende Mails >> nur an die Weiterleitungsziele geschickt, nicht jedoch an den >> Mailbox-Server weitertransportiert werden. Prinzipiell könnten die >> Weiterleitungen möglicherweise mittels recipient_bcc_maps realisiert >> werden, doch das wird ja bereits für 2) verwendet und würde daher nur in >> den Fällen funktionieren, in denen 2) auf die Adresse nicht zutrifft. >> >> Hat jemand eine Idee, wie sich alle drei Varianten umsetzen lassen? > always_bcc (default: empty) > > Optional address that receives a "blind carbon copy" of each message > that is received by the Postfix mail system. > > Note: if mail to the BCC address bounces it will be returned to the > sender. > > Note: automatic BCC recipients are produced only for new mail. To avoid > mailer loops, automatic BCC recipients are not generated after Postfix > forwards mail internally, or after Postfix generates mail itself. > > > > > > Mit freundlichen Grüßen > > Drießen > Diese Option hilft mir leider nicht weiter, da die Weiterleitung einerseits nicht für jede Adresse und andererseits nicht an eine einzige fix definierte Ziel-Adresse erfolgen soll. In allen Varianten muss das Weiterleitungsziel in Abhängigkeit vom Empfänger ermittelt werden. From driessen at fblan.de Tue Aug 16 09:50:47 2011 From: driessen at fblan.de (Driessen) Date: Tue, 16 Aug 2011 09:50:47 +0200 Subject: [Postfixbuch-users] Weiterleitung und Mailbox-Zustellung In-Reply-To: <4E4A1C50.7090704@it-blog.net> References: <4E493D92.6010505@it-blog.net> <000701cc5b97$7ad5e810$0565a8c0@uwe> <4E4A1C50.7090704@it-blog.net> Message-ID: <001101cc5be9$35afc100$0565a8c0@uwe> On Behalf Of Pascal > Diese Option hilft mir leider nicht weiter, da die Weiterleitung > einerseits nicht für jede Adresse und andererseits nicht an eine einzige > fix definierte Ziel-Adresse erfolgen soll. In allen Varianten muss das > Weiterleitungsziel in Abhängigkeit vom Empfänger ermittelt werden. > -- Dann musst du dir die SQL abfragen so schreiben das diese als Ergebnis alle Weiterleitungen je original Empfänger liefern. Select adresse from xy where adresseorg = %s Der returnwert kann auch ein komma separiertes Feld sein (adresse1, adresse2, adresse3) Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From tobster at brain-force.ch Tue Aug 16 23:55:17 2011 From: tobster at brain-force.ch (Tobi) Date: Tue, 16 Aug 2011 23:55:17 +0200 Subject: [Postfixbuch-users] Restrictions so okay? Message-ID: <4E4AE745.2090906@brain-force.ch> Hallo ich wollte mal fragen ob meine Restrictions so okay sind oder ob ich einen kapitalen Bock drinn habe: << smtpd_helo_required = yes smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_multi_recipient_bounce, check_helo_access pcre:/etc/postfix/helo_check, check_sender_mx_access cidr:/etc/postfix/bogus_mx, check_sender_access hash:/etc/postfix/sender_access, check_recipient_access hash:/etc/postfix/access, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, check_policy_service inet:127.0.0.1:10040, permit smtpd_data_restrictions = reject_unauth_pipelining >> dazu muss ich sagen, dass ich via diesen Port nur Mails empfange. Meine clients gehen via submission. helo_check und bogus_mx dürfte den Buchlesern bekannt vorkommen ;-) In sender_access erlaube ich einige Domains von Mailinglisten damit die nachher nichts ins greylisting kommen. In access selber verbiete ich den Zugriff auf zwei Adressen, die nur im LAN angesprochen werden dürfen und erlaube postmaster, webmaster und abuse (auch wieder damits nichts davon ins greylisting kommt). Der policy_service ist postfwd, der dann die Prüfung bei den rbl im Netz macht und zum Schluss an greylisting übergibt. Kann man das verantworten so einen Postfix laufen zu lassen? danke für alle Tipps tobi From postfixbuch-users at drobic.de Wed Aug 17 12:39:59 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Wed, 17 Aug 2011 12:39:59 +0200 Subject: [Postfixbuch-users] Restrictions so okay? In-Reply-To: <4E4AE745.2090906@brain-force.ch> References: <4E4AE745.2090906@brain-force.ch> Message-ID: <4E4B9A7F.8050509@drobic.de> On 16.08.2011 23:55, Tobi wrote: > Hallo > > ich wollte mal fragen ob meine Restrictions so okay sind oder ob ich einen > kapitalen Bock drinn habe: > << > smtpd_helo_required = yes > smtpd_recipient_restrictions = > reject_non_fqdn_recipient, > reject_non_fqdn_sender, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > reject_unauth_destination, reject_unlisted_recipient # sollte auf jeden Fall vor dem Policy-Service abgerufen werden. # Setze am besten direkt einen Whitelist-Eintrag, dann sparst du dir die # Mühe der Überlegung später in Hektik. Dieser dann natürlich nach # reject_unlisted_recipient, damit man keine Bounces verursacht. check_client_access hash:/etc/postfix/client_whitelist > reject_multi_recipient_bounce, # Sprechende Namen machen die Übersicht erheblich leichter Bei helo_check und bogux_mx hast du dies bereits gemacht... > check_helo_access pcre:/etc/postfix/helo_check, > check_sender_mx_access cidr:/etc/postfix/bogus_mx, > check_sender_access hash:/etc/postfix/sender_access, # ... aber ein access ist nicht sehr hilfreich. # besser : recipients_internal_only > check_recipient_access hash:/etc/postfix/access, > reject_non_fqdn_helo_hostname, > reject_invalid_helo_hostname, > check_policy_service inet:127.0.0.1:10040, > permit > > smtpd_data_restrictions = reject_unauth_pipelining >>> > dazu muss ich sagen, dass ich via diesen Port nur Mails empfange. Meine > clients gehen via submission. helo_check und bogus_mx dürfte den Buchlesern > bekannt vorkommen ;-) > In sender_access erlaube ich einige Domains von Mailinglisten damit die > nachher nichts ins greylisting kommen. In access selber verbiete ich den > Zugriff auf zwei Adressen, die nur im LAN angesprochen werden dürfen und > erlaube postmaster, webmaster und abuse (auch wieder damits nichts davon ins > greylisting kommt). Der policy_service ist postfwd, der dann die Prüfung bei > den rbl im Netz macht und zum Schluss an greylisting übergibt. > Kann man das verantworten so einen Postfix laufen zu lassen? Ansonsten sehe ich keine besonderen Probleme. Sandy From invite+kr4mrq2m4q4n at facebookmail.com Fri Aug 19 15:09:09 2011 From: invite+kr4mrq2m4q4n at facebookmail.com (Ojok Nomfundo) Date: Fri, 19 Aug 2011 06:09:09 -0700 Subject: [Postfixbuch-users] Ojok Nomfundo hat dich zu Facebook eingeladen! Message-ID: Hallo Postfixbuch-users, Ich habe ein Facebook-Profil erstellt, in dem ich meine Bilder, Videos und Veranstaltungen posten kann, und möchte dich als FreundIn hinzufügen, damit du diese sehen kannst. Zuerst musst du Facebook beitreten! Sobald du dich registriert hast, kannst du ebenfalls dein eigenes Profil erstellen. Grüße, Ojok Um dich für Facebook zu registrieren, folge dem untenstehenden Link: http://www.facebook.com/p.php?i=100002697259179&k=AQB3Y-Dz2GmeftAoU6GklFRDG0ef60AoS4_xwuBad2DczvCmQNV_s1eW_tw1jhJsc82sMR5KTCN3cXT-jh9d_Jt7jyo&r Du hast bereits ein Konto? Füge diese E-Mail-Adresse zu deinem Konto hinzu: http://www.facebook.com/n/?merge_accounts.php&e=postfixbuch-users%40listen.jpberlin.de&c=AQBW9rl9dCAq-u46VAZrRJmxctuHuoSSWFQmEhfRlJCx1A ======================================= postfixbuch-users at listen.jpberlin.de wurde von Ojok Nomfundo zu Facebook eingeladen. Wenn du diese E-Mails von Facebook in Zukunft nicht mehr erhalten möchtest, folge bitte dem Link unten, um sie zu abzubestellen. http://www.facebook.com/o.php?k=75c8ed&u=100002871962718&mid=4b85da3G5af3bba8ec5eG0G8 Erfahre mehr über diese E-Mail: http://www.facebook.com/help/?faq=17151\nFacebook, Inc. P.O. Box 10005, Palo Alto, CA 94303 -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Thomas.Best at freenet.de Tue Aug 23 12:39:32 2011 From: Thomas.Best at freenet.de (Thomas Best) Date: Tue, 23 Aug 2011 12:39:32 +0200 Subject: [Postfixbuch-users] leere absender <> dennoch akzeptieren Message-ID: hallo zusammen, ich habe das problem dass mails von meinem server abgewießen werden weil der absender irgendwie leer ist. wie kann ich dieses dennoch gewähren? Aug 23 11:50:26 mailserver postfix/smtpd[37146]: NOQUEUE: reject: RCPT from mail1.bwl.de[193.197.148.18]: 550 5.7.1 <>: Sender address rejected: denied: source-error; from=<> to= proto=ESMTP helo= erlaube_absender.pcre sieht so aus: /polizei.bwl.de$/ DUNNO /bwl.de$/ DUNNO /.*/ 550 denied: source-error Grüße Thomas From kai_postfix at fuerstenberg.ws Tue Aug 23 12:44:56 2011 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 23 Aug 2011 12:44:56 +0200 Subject: [Postfixbuch-users] leere absender <> dennoch akzeptieren In-Reply-To: References: Message-ID: <4E5384A8.9040305@fuerstenberg.ws> Am 23.08.2011 12:39, schrieb Thomas Best: > hallo zusammen, Hallo, > ich habe das problem dass mails von meinem server abgewießen werden weil > der absender irgendwie leer ist. > wie kann ich dieses dennoch gewähren? > > > Aug 23 11:50:26 mailserver postfix/smtpd[37146]: NOQUEUE: reject: RCPT > from mail1.bwl.de[193.197.148.18]: 550 5.7.1 <>: Sender address rejected: > denied: source-error; from=<> to= proto=ESMTP > helo= > > > > > erlaube_absender.pcre sieht so aus: > > /polizei.bwl.de$/ DUNNO > /bwl.de$/ DUNNO > /.*/ 550 denied: source-error und wie sieht die restliche Config aus? Bitte postconf -n. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From Ralf.Hildebrandt at charite.de Tue Aug 23 12:50:00 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 23 Aug 2011 12:50:00 +0200 Subject: [Postfixbuch-users] leere absender <> dennoch akzeptieren In-Reply-To: References: Message-ID: <20110823105000.GU7202@charite.de> * Thomas Best : > hallo zusammen, > > ich habe das problem dass mails von meinem server abgewießen werden > weil der absender irgendwie leer ist. > wie kann ich dieses dennoch gewähren? > > > Aug 23 11:50:26 mailserver postfix/smtpd[37146]: NOQUEUE: reject: > RCPT from mail1.bwl.de[193.197.148.18]: 550 5.7.1 <>: Sender address > rejected: denied: source-error; from=<> to= > proto=ESMTP helo= > > > > > erlaube_absender.pcre sieht so aus: > > /polizei.bwl.de$/ DUNNO > /bwl.de$/ DUNNO > /.*/ 550 denied: source-error Die letzte Zeile muss weg. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From lists at xunil.at Tue Aug 23 16:29:41 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 23 Aug 2011 16:29:41 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <201107131652.18127@tux.boltz.de.vu> References: <4E1C73BF.1040905@xunil.at> <4E1CBB19.2080909@gmj.cjb.net> <4E1D450C.8050008@xunil.at> <201107131652.18127@tux.boltz.de.vu> Message-ID: <4E53B955.4020502@xunil.at> Am 13.07.2011 16:52, schrieb Christian Boltz: > Für PostfixAdmin ist ein entsprechender Feature Request offen (in > Form einer RegEx, die neue Passwörter überprüft - die RegEx selbst wäre > eine Config-Option, damit jeder selbst den Schwierigkeitsgrad justieren > kann). > > Wirklich schwierig ist das nicht zu implementieren, es hatte nur noch > keiner Zeit dafür ;-) > > Am Besten wäre wohl (in functions.inc.php) eine zentrale > function is_password_secure($password) {...} > die dann min_password_length und die RegEx checkt und an diversen > Stellen aufgerufen werden kann. Ich freue mich immer über Patches ;-) > > Siehe dazu auch: > https://sourceforge.net/tracker/?func=detail&aid=1785513&group_id=191583&atid=937967 > https://sourceforge.net/tracker/?func=detail&aid=2752992&group_id=191583&atid=937967 Ich nehme an, da hat sich nichts getan seither? Ich brauche das Feature asap, der besagte Kunde ist säumig mit dem Ändern der PW ... :-( Wie kann ich beitragen? S From lists at xunil.at Tue Aug 23 16:29:41 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 23 Aug 2011 16:29:41 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <201107131652.18127@tux.boltz.de.vu> References: <4E1C73BF.1040905@xunil.at> <4E1CBB19.2080909@gmj.cjb.net> <4E1D450C.8050008@xunil.at> <201107131652.18127@tux.boltz.de.vu> Message-ID: <4E53B955.4020502@xunil.at> Am 13.07.2011 16:52, schrieb Christian Boltz: > Für PostfixAdmin ist ein entsprechender Feature Request offen (in > Form einer RegEx, die neue Passwörter überprüft - die RegEx selbst wäre > eine Config-Option, damit jeder selbst den Schwierigkeitsgrad justieren > kann). > > Wirklich schwierig ist das nicht zu implementieren, es hatte nur noch > keiner Zeit dafür ;-) > > Am Besten wäre wohl (in functions.inc.php) eine zentrale > function is_password_secure($password) {...} > die dann min_password_length und die RegEx checkt und an diversen > Stellen aufgerufen werden kann. Ich freue mich immer über Patches ;-) > > Siehe dazu auch: > https://sourceforge.net/tracker/?func=detail&aid=1785513&group_id=191583&atid=937967 > https://sourceforge.net/tracker/?func=detail&aid=2752992&group_id=191583&atid=937967 Ich nehme an, da hat sich nichts getan seither? Ich brauche das Feature asap, der besagte Kunde ist säumig mit dem Ändern der PW ... :-( Wie kann ich beitragen? S From rudi.floren at googlemail.com Tue Aug 23 16:34:42 2011 From: rudi.floren at googlemail.com (Rudi Floren) Date: Tue, 23 Aug 2011 16:34:42 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <4E53B955.4020502@xunil.at> References: <4E1C73BF.1040905@xunil.at> <4E1CBB19.2080909@gmj.cjb.net> <4E1D450C.8050008@xunil.at> <201107131652.18127@tux.boltz.de.vu> <4E53B955.4020502@xunil.at> Message-ID: Du könntest uns die regex geben die ein sicheres Passwort definiert. Dann ist es.nur noch ein katzensprung die Implementierung vor zu nehmen. Am 23.08.2011 16:30 schrieb "Stefan G. Weichinger" : > Am 13.07.2011 16:52, schrieb Christian Boltz: > >> Für PostfixAdmin ist ein entsprechender Feature Request offen (in >> Form einer RegEx, die neue Passwörter überprüft - die RegEx selbst wäre >> eine Config-Option, damit jeder selbst den Schwierigkeitsgrad justieren >> kann). >> >> Wirklich schwierig ist das nicht zu implementieren, es hatte nur noch >> keiner Zeit dafür ;-) >> >> Am Besten wäre wohl (in functions.inc.php) eine zentrale >> function is_password_secure($password) {...} >> die dann min_password_length und die RegEx checkt und an diversen >> Stellen aufgerufen werden kann. Ich freue mich immer über Patches ;-) >> >> Siehe dazu auch: >> https://sourceforge.net/tracker/?func=detail&aid=1785513&group_id=191583&atid=937967 >> https://sourceforge.net/tracker/?func=detail&aid=2752992&group_id=191583&atid=937967 > > Ich nehme an, da hat sich nichts getan seither? > > Ich brauche das Feature asap, der besagte Kunde ist säumig mit dem > Ändern der PW ... :-( > > Wie kann ich beitragen? > > S > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From janikev at googlemail.com Tue Aug 23 16:46:15 2011 From: janikev at googlemail.com (jani kev) Date: Tue, 23 Aug 2011 16:46:15 +0200 Subject: [Postfixbuch-users] Amavis Ramdisk Vserver Message-ID: Hallo liebe Liste, ist der Einsatz einer Ramdisk für das Amavis Temp Filesystem also (/dev/shm /var/amavis tmpfs und so weiter in fstab) auch bei einem V-Server (XEN Paravirtualisierung) möglich / sinnvoll? Oder könnte es Probleme aufgrund der Virtualisierung geben? Vielen Dank für Eure Antworten. From postfixbuch at cboltz.de Tue Aug 23 17:18:48 2011 From: postfixbuch at cboltz.de (Christian Boltz) Date: Tue, 23 Aug 2011 17:18:48 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> Message-ID: <201108231718.48744@tux.boltz.de.vu> Hallo Rudi, hallo Stefan, hallo Leute, Am Dienstag, 23. August 2011 schrieb Rudi Floren: > Du könntest uns die regex geben die ein sicheres Passwort definiert. > Dann ist es.nur noch ein katzensprung die Implementierung vor zu > nehmen. Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich ein Array mit (potenziell) mehreren RegEx brauchen. Damit kann man dann gleich mehrere Dinge erschlagen: /......../ - Mindestlänge 8 Zeichen (könnte $CONF[min_password_length] ersetzen) /[a-zA-Z]/ - muss mindestens einen Buchstaben enthalten /[0-9]/ - muss mindestens eine Ziffer enthalten /^[^¿¡]*$/ - darf kein ¿ oder ¡ enthalten [1] usw. Wenn man da noch ein paar Bedingungen dazupackt und es mit einer einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx ;-) daher sind mehrere RegEx wohl die bessere Lösung. Das Ganze muss dann wohl in ein Array: $CONF['password_validation'] = array( '/......../' => 'Fehlermeldung, wenn nicht erfüllt', [...] ); und das Array muss dann in einer foreach-Schleife ausgewertet werden. Mit etwas Glück komme ich in den nächsten Tagen dazu, das zu implementieren. Die Theorie (siehe oben) steht ja jetzt. Die Fehlermeldung sollte möglichst aus $PALANG kommen - was die Sache nochmal interessanter macht, weil ich dann auch noch den Hook für die $PALANG-Texte einbauen muss ;-) Gruß Christian Boltz [1] "¿¡" ist jetzt ein willkürlich gewähltes Beispiel, aber es gab tatsäclich mal eine Anfrage, wie man bestimmte Zeichen im Passwort verbieten kann. Hintergrund war, dass es für die betreffende Sprache (IIRC russisch) 3 verschiedene Zeichensätze gibt und es daher einem Lottospiel gleicht, ob das Passwort in der richtigen Codierung ankommt oder wegen falscher Codierung als "falsch" angesehen wird. -- NEVER use bad english as an excuse for anything with me :D cuz my english SUCKED when I got involved with FOSS. Now I can give talks to hundereds of ppl in english and not worry about my language anymore - thanks to Free Software! [jospoortvliet in #opensuse-project] From lists at xunil.at Tue Aug 23 18:05:46 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 23 Aug 2011 18:05:46 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <201108231718.48744@tux.boltz.de.vu> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> <201108231718.48744@tux.boltz.de.vu> Message-ID: <4E53CFDA.6030405@xunil.at> Am 2011-08-23 17:18, schrieb Christian Boltz: > Hallo Rudi, hallo Stefan, hallo Leute, Hey, Christian, hallo, alle ... > Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich ein > Array mit (potenziell) mehreren RegEx brauchen. Damit kann man dann > gleich mehrere Dinge erschlagen: > /......../ - Mindestlänge 8 Zeichen (könnte $CONF[min_password_length] > ersetzen) > /[a-zA-Z]/ - muss mindestens einen Buchstaben enthalten > /[0-9]/ - muss mindestens eine Ziffer enthalten > /^[^¿¡]*$/ - darf kein ¿ oder ¡ enthalten [1] > usw. > > Wenn man da noch ein paar Bedingungen dazupackt und es mit einer > einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx ;-) > daher sind mehrere RegEx wohl die bessere Lösung. Klingt sehr plausibel für mich. > Das Ganze muss dann wohl in ein Array: > > $CONF['password_validation'] = array( > '/......../' => 'Fehlermeldung, wenn nicht erfüllt', > [...] > ); > > und das Array muss dann in einer foreach-Schleife ausgewertet werden. > > Mit etwas Glück komme ich in den nächsten Tagen dazu, das zu > implementieren. Die Theorie (siehe oben) steht ja jetzt. > > Die Fehlermeldung sollte möglichst aus $PALANG kommen - was die Sache > nochmal interessanter macht, weil ich dann auch noch den Hook für die > $PALANG-Texte einbauen muss ;-) Wäre grossartig, das bald umgesetzt zu sehen, ja. Bin bereit, das zu testen, zum Programmieren fehlt es mir dann doch an Knowhow und Übung. Ich erwäge derweilen, den Kunden-Server vorerst mal in seinen Möglichkeiten einzuschränken, und dränge weiter vehement auf durchgängiges Setzen ordentlicher PWs ... habe mir heute die Table aus postfixadmin extrahiert, da sind leider noch immer ein paar faule Eier drin. > [1] "¿¡" ist jetzt ein willkürlich gewähltes Beispiel, aber es gab > tatsäclich mal eine Anfrage, wie man bestimmte Zeichen im Passwort > verbieten kann. Hintergrund war, dass es für die betreffende Sprache > (IIRC russisch) 3 verschiedene Zeichensätze gibt und es daher einem > Lottospiel gleicht, ob das Passwort in der richtigen Codierung > ankommt oder wegen falscher Codierung als "falsch" angesehen wird. Ach, wie einfach unser Leben doch durch die IT geworden ist ;-) Danke, Grüße, Stefan From lists at xunil.at Tue Aug 23 18:05:46 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 23 Aug 2011 18:05:46 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <201108231718.48744@tux.boltz.de.vu> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> <201108231718.48744@tux.boltz.de.vu> Message-ID: <4E53CFDA.6030405@xunil.at> Am 2011-08-23 17:18, schrieb Christian Boltz: > Hallo Rudi, hallo Stefan, hallo Leute, Hey, Christian, hallo, alle ... > Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich ein > Array mit (potenziell) mehreren RegEx brauchen. Damit kann man dann > gleich mehrere Dinge erschlagen: > /......../ - Mindestlänge 8 Zeichen (könnte $CONF[min_password_length] > ersetzen) > /[a-zA-Z]/ - muss mindestens einen Buchstaben enthalten > /[0-9]/ - muss mindestens eine Ziffer enthalten > /^[^¿¡]*$/ - darf kein ¿ oder ¡ enthalten [1] > usw. > > Wenn man da noch ein paar Bedingungen dazupackt und es mit einer > einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx ;-) > daher sind mehrere RegEx wohl die bessere Lösung. Klingt sehr plausibel für mich. > Das Ganze muss dann wohl in ein Array: > > $CONF['password_validation'] = array( > '/......../' => 'Fehlermeldung, wenn nicht erfüllt', > [...] > ); > > und das Array muss dann in einer foreach-Schleife ausgewertet werden. > > Mit etwas Glück komme ich in den nächsten Tagen dazu, das zu > implementieren. Die Theorie (siehe oben) steht ja jetzt. > > Die Fehlermeldung sollte möglichst aus $PALANG kommen - was die Sache > nochmal interessanter macht, weil ich dann auch noch den Hook für die > $PALANG-Texte einbauen muss ;-) Wäre grossartig, das bald umgesetzt zu sehen, ja. Bin bereit, das zu testen, zum Programmieren fehlt es mir dann doch an Knowhow und Übung. Ich erwäge derweilen, den Kunden-Server vorerst mal in seinen Möglichkeiten einzuschränken, und dränge weiter vehement auf durchgängiges Setzen ordentlicher PWs ... habe mir heute die Table aus postfixadmin extrahiert, da sind leider noch immer ein paar faule Eier drin. > [1] "¿¡" ist jetzt ein willkürlich gewähltes Beispiel, aber es gab > tatsäclich mal eine Anfrage, wie man bestimmte Zeichen im Passwort > verbieten kann. Hintergrund war, dass es für die betreffende Sprache > (IIRC russisch) 3 verschiedene Zeichensätze gibt und es daher einem > Lottospiel gleicht, ob das Passwort in der richtigen Codierung > ankommt oder wegen falscher Codierung als "falsch" angesehen wird. Ach, wie einfach unser Leben doch durch die IT geworden ist ;-) Danke, Grüße, Stefan From rudi.floren at googlemail.com Tue Aug 23 18:19:10 2011 From: rudi.floren at googlemail.com (Rudi Floren) Date: Tue, 23 Aug 2011 18:19:10 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <4E53CFDA.6030405@xunil.at> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> <201108231718.48744@tux.boltz.de.vu> <4E53CFDA.6030405@xunil.at> Message-ID: <4E53D2FE.3020701@googlemail.com> Halo Stefan, Du hast die Passwörter doch wohl nicht als Plaintext in deiner DB stehen. Siehe Gema Hack. ;) Gruß Rudi Am 23.08.2011 18:05, schrieb Stefan G. Weichinger: > Am 2011-08-23 17:18, schrieb Christian Boltz: >> Hallo Rudi, hallo Stefan, hallo Leute, > Hey, Christian, > hallo, alle ... > >> Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich ein >> Array mit (potenziell) mehreren RegEx brauchen. Damit kann man dann >> gleich mehrere Dinge erschlagen: >> /......../ - Mindestlänge 8 Zeichen (könnte $CONF[min_password_length] >> ersetzen) >> /[a-zA-Z]/ - muss mindestens einen Buchstaben enthalten >> /[0-9]/ - muss mindestens eine Ziffer enthalten >> /^[^¿¡]*$/ - darf kein ¿ oder ¡ enthalten [1] >> usw. >> >> Wenn man da noch ein paar Bedingungen dazupackt und es mit einer >> einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx ;-) >> daher sind mehrere RegEx wohl die bessere Lösung. > Klingt sehr plausibel für mich. > >> Das Ganze muss dann wohl in ein Array: >> >> $CONF['password_validation'] = array( >> '/......../' => 'Fehlermeldung, wenn nicht erfüllt', >> [...] >> ); >> >> und das Array muss dann in einer foreach-Schleife ausgewertet werden. >> >> Mit etwas Glück komme ich in den nächsten Tagen dazu, das zu >> implementieren. Die Theorie (siehe oben) steht ja jetzt. >> >> Die Fehlermeldung sollte möglichst aus $PALANG kommen - was die Sache >> nochmal interessanter macht, weil ich dann auch noch den Hook für die >> $PALANG-Texte einbauen muss ;-) > Wäre grossartig, das bald umgesetzt zu sehen, ja. > Bin bereit, das zu testen, zum Programmieren fehlt es mir dann doch an > Knowhow und Übung. > > Ich erwäge derweilen, den Kunden-Server vorerst mal in seinen > Möglichkeiten einzuschränken, und dränge weiter vehement auf > durchgängiges Setzen ordentlicher PWs ... habe mir heute die Table aus > postfixadmin extrahiert, da sind leider noch immer ein paar faule Eier drin. > >> [1] "¿¡" ist jetzt ein willkürlich gewähltes Beispiel, aber es gab >> tatsäclich mal eine Anfrage, wie man bestimmte Zeichen im Passwort >> verbieten kann. Hintergrund war, dass es für die betreffende Sprache >> (IIRC russisch) 3 verschiedene Zeichensätze gibt und es daher einem >> Lottospiel gleicht, ob das Passwort in der richtigen Codierung >> ankommt oder wegen falscher Codierung als "falsch" angesehen wird. > Ach, wie einfach unser Leben doch durch die IT geworden ist ;-) > > Danke, Grüße, Stefan From postfix_ml at rirasoft.de Tue Aug 23 18:23:40 2011 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Tue, 23 Aug 2011 18:23:40 +0200 Subject: [Postfixbuch-users] Amavis Ramdisk Vserver In-Reply-To: References: Message-ID: <4E53D40C.7050104@rirasoft.de> Am 23.08.2011 16:46, schrieb jani kev: > Hallo liebe Liste, > > ist der Einsatz einer Ramdisk für das Amavis Temp Filesystem also > (/dev/shm /var/amavis tmpfs und so weiter in fstab) auch bei einem > V-Server (XEN Paravirtualisierung) möglich / sinnvoll? Oder könnte es > Probleme aufgrund der Virtualisierung geben? > > Vielen Dank für Eure Antworten. Warum nicht? Ich betreibe fast alle meine Server virtuell. Die meisten davon unter KVM (so wie dieser Mailserver, von dem ich diese Mail schicke). Der Virtualisierung ist dies vollkommen egal. meine fstab: none /var/spool/amavisd/ tmpfs defaults,size=180m,mode=750,uid=496,gid=496,noatime 0 0 Gruß Andreas From lists at xunil.at Tue Aug 23 19:15:33 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 23 Aug 2011 19:15:33 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <4E53D2FE.3020701@googlemail.com> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> <201108231718.48744@tux.boltz.de.vu> <4E53CFDA.6030405@xunil.at> <4E53D2FE.3020701@googlemail.com> Message-ID: <4E53E035.9090804@xunil.at> Am 23.08.2011 18:19, schrieb Rudi Floren: > Halo Stefan, > > Du hast die Passwörter doch wohl nicht als Plaintext in deiner DB > stehen. Siehe Gema Hack. ;) Schande über mich ... eine Altlast der Phase "testen wir das mal". TODO, geht vielleicht in einem Rutsch mit dem Upgrade bezgl. Regex-Patches. Seufz. S From fk at florian-kaiser.net Tue Aug 23 19:18:50 2011 From: fk at florian-kaiser.net (Florian Kaiser) Date: Tue, 23 Aug 2011 19:18:50 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <4E53E035.9090804@xunil.at> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at><201108231718.48744@tux.boltz.de.vu><4E53CFDA.6030405@xunil.at> <4E53D2FE.3020701@googlemail.com> <4E53E035.9090804@xunil.at> Message-ID: <13536804ACFD4401AE168B0179217CBF@florian> > Schande über mich ... eine Altlast der Phase "testen wir das mal". > TODO, geht vielleicht in einem Rutsch mit dem Upgrade bezgl. Regex-Patches. Jungs, euch ist schon bewusst, dass Ihr damit dann Verbindungen nur noch über SSL anbieten könnt - oder wollt ihr tatsächlich, dass der User gezwungen wird, sein Passwort im Klartext durch die Welt zu schicken? Nur PLAIN und LOGIN sind mit Hashes in der DB möglich, Varianten von CRAM etc. benötigen das Plaintext-Passwort in der DB. Wenn man auf SSL-Only setzt braucht man natürlich keine Plaintext-Passwörter in der DB, ansonsten ists nunmal anders nicht möglich. Grüße Florian From lists at xunil.at Tue Aug 23 19:50:09 2011 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 23 Aug 2011 19:50:09 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <13536804ACFD4401AE168B0179217CBF@florian> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at><201108231718.48744@tux.boltz.de.vu><4E53CFDA.6030405@xunil.at> <4E53D2FE.3020701@googlemail.com> <4E53E035.9090804@xunil.at> <13536804ACFD4401AE168B0179217CBF@florian> Message-ID: <4E53E851.7070209@xunil.at> Am 23.08.2011 19:18, schrieb Florian Kaiser: >> Schande über mich ... eine Altlast der Phase "testen wir das mal". >> TODO, geht vielleicht in einem Rutsch mit dem Upgrade bezgl. > Regex-Patches. > > Jungs, euch ist schon bewusst, dass Ihr damit dann Verbindungen nur > noch über SSL anbieten könnt - oder wollt ihr tatsächlich, dass der > User gezwungen wird, sein Passwort im Klartext durch die Welt zu > schicken? Nur PLAIN und LOGIN sind mit Hashes in der DB möglich, > Varianten von CRAM etc. benötigen das Plaintext-Passwort in der DB. > > Wenn man auf SSL-Only setzt braucht man natürlich keine > Plaintext-Passwörter in der DB, ansonsten ists nunmal anders nicht > möglich. Zu meiner versuchten Ehrenrettung: Das ist dort SSL-only ... From postfixbuch-users at makomi.de Tue Aug 23 22:20:48 2011 From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=) Date: Tue, 23 Aug 2011 22:20:48 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <13536804ACFD4401AE168B0179217CBF@florian> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at><201108231718.48744@tux.boltz.de.vu><4E53CFDA.6030405@xunil.at> <4E53D2FE.3020701@googlemail.com> <4E53E035.9090804@xunil.at> <13536804ACFD4401AE168B0179217CBF@florian> Message-ID: <7B9B11BE-8BA5-4171-9396-AFDF5582BEC4@makomi.de> Hallo, Am 23.08.2011 um 19:18 schrieb Florian Kaiser: > Wenn man auf SSL-Only setzt braucht man natürlich keine Plaintext-Passwörter > in der DB, ansonsten ists nunmal anders nicht möglich. Sollte man das nicht sowieso nur machen? Oder gibt es heutzutage einen gewichtigen Grund auch SMTP/IMAP ohne SSL für Clients anzubieten? Gruß, Michael From p at state-of-mind.de Tue Aug 23 22:30:04 2011 From: p at state-of-mind.de (Patrick Ben Koetter) Date: Tue, 23 Aug 2011 22:30:04 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <7B9B11BE-8BA5-4171-9396-AFDF5582BEC4@makomi.de> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> <201108231718.48744@tux.boltz.de.vu> <4E53CFDA.6030405@xunil.at> <4E53D2FE.3020701@googlemail.com> <4E53E035.9090804@xunil.at> <13536804ACFD4401AE168B0179217CBF@florian> <7B9B11BE-8BA5-4171-9396-AFDF5582BEC4@makomi.de> Message-ID: <20110823203004.GF3481@state-of-mind.de> * Michael Köhler : > Hallo, > > Am 23.08.2011 um 19:18 schrieb Florian Kaiser: > > > Wenn man auf SSL-Only setzt braucht man natürlich keine Plaintext-Passwörter > > in der DB, ansonsten ists nunmal anders nicht möglich. > > Sollte man das nicht sowieso nur machen? Oder gibt es heutzutage einen > gewichtigen Grund auch SMTP/IMAP ohne SSL für Clients anzubieten? PKI? Viele scheuen dann doch die Kosten für Zertifikate, deren CAs in den OSen bereits im Stammspeicher vorhanden sind. Die Wenigsten haben die Kontrolle, diesen Stammspeicher automatisiert mit den 'richtigen CAs' zu bestücken. Also meiden sie TLS, weil sie damit sonst das Thema PKI an der Backe haben. Lieber bauen sie gleich eine verschlüsselte Strecke zum Server auf Router-Ebene auf. Das minimiert die Schmerzen ... p at rick -- state of mind () http://www.state-of-mind.de Franziskanerstraße 15 Telefon +49 89 3090 4664 81669 München Telefax +49 89 3090 4666 Amtsgericht München Partnerschaftsregister PR 563 From driessen at fblan.de Tue Aug 23 23:09:54 2011 From: driessen at fblan.de (Driessen) Date: Tue, 23 Aug 2011 23:09:54 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <201108231718.48744@tux.boltz.de.vu> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at> <201108231718.48744@tux.boltz.de.vu> Message-ID: <007a01cc61d9$01e0d0d0$0565a8c0@uwe> Christian Boltz > > Hallo Rudi, hallo Stefan, hallo Leute, > > Am Dienstag, 23. August 2011 schrieb Rudi Floren: > > Du könntest uns die regex geben die ein sicheres Passwort definiert. > > Dann ist es.nur noch ein katzensprung die Implementierung vor zu > > nehmen. > > Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich ein > Array mit (potenziell) mehreren RegEx brauchen. Damit kann man dann > gleich mehrere Dinge erschlagen: > /......../ - Mindestlänge 8 Zeichen (könnte $CONF[min_password_length] > ersetzen) > /[a-zA-Z]/ - muss mindestens einen Buchstaben enthalten > /[0-9]/ - muss mindestens eine Ziffer enthalten > /^[^¿¡]*$/ - darf kein ¿ oder ¡ enthalten [1] > usw. > > Wenn man da noch ein paar Bedingungen dazupackt und es mit einer > einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx ;-) > daher sind mehrere RegEx wohl die bessere Lösung. > Naja so schlimm sollte das nicht sein /^[a-zA-Z]{1,4}[a-zA-Z0-9]{1,15}[-/\(\)\[\]\*\/&²³]{1,15}[a-zA-Z0-9]{1,15}$/ Muss mit Buchstaben beginnen min 1 Kann dann bis zu 15 Buchstaben oder Ziffern haben Dann kommen 1-15 Sonderzeichen Gefolgt wieder von Buchstaben und Ziffern min 1 höchtens 15 Geht garantiert noch besser geschachtelt und allgemeiner. Und lieber die erlaubten Zeichen definieren das ist weniger Aufwand wie alle unerwünschten zu filtern. safe-characters = "@abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789.-_: /" Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From Thomas.Best at freenet.de Tue Aug 23 23:16:38 2011 From: Thomas.Best at freenet.de (Thomas Best) Date: Tue, 23 Aug 2011 23:16:38 +0200 Subject: [Postfixbuch-users] leere absender <> dennoch akzeptieren In-Reply-To: <20110823105000.GU7202@charite.de> References: <20110823105000.GU7202@charite.de> Message-ID: dann kann ich mir das ge-checke doch gleich sparen?! ich erreiche damit, dass an bestimmte empfämngeradressen nur bestimmte absender aus bestimmten netzen (wo die mailgate*.bwl.de drin stehen) senden dürfen. hmm eigentlich würde es ja reichen, nur die quellen-netz-beschränkung aufrecht zu erhalten, dann passt das auch mit den absendern.. sofern die pol-mailserver nicht gehijacked werden On Tue, 23 Aug 2011 12:50:00 +0200, Ralf Hildebrandt wrote: > * Thomas Best : >> hallo zusammen, >> >> ich habe das problem dass mails von meinem server abgewießen werden >> weil der absender irgendwie leer ist. >> wie kann ich dieses dennoch gewähren? >> >> >> Aug 23 11:50:26 mailserver postfix/smtpd[37146]: NOQUEUE: reject: >> RCPT from mail1.bwl.de[193.197.148.18]: 550 5.7.1 <>: Sender address >> rejected: denied: source-error; from=<> to= >> proto=ESMTP helo= >> >> >> >> >> erlaube_absender.pcre sieht so aus: >> >> /polizei.bwl.de$/ DUNNO >> /bwl.de$/ DUNNO >> /.*/ 550 denied: source-error > > Die letzte Zeile muss weg. From postfixbuch-users at gmj.cjb.net Tue Aug 23 23:34:08 2011 From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke) Date: Tue, 23 Aug 2011 23:34:08 +0200 Subject: [Postfixbuch-users] leere absender <> dennoch akzeptieren In-Reply-To: References: <20110823105000.GU7202@charite.de> Message-ID: <4E541CD0.5090002@gmj.cjb.net> Am 23.08.11 23:16, schrieb Thomas Best: > dann kann ich mir das ge-checke doch gleich sparen?! > > ich erreiche damit, dass an bestimmte empfämngeradressen nur bestimmte > absender aus bestimmten netzen (wo die mailgate*.bwl.de drin stehen) > senden dürfen. Warum prüfst Du überhaupt auf Absender-Adressen (check_sender_access?) statt auf "IP-Adressen" bzw. Gegenstellen? (check_client_access) Das Prüfen auf Absenderadressen ist i.d.R. sowieso nicht ratsam, da Absenderadressen beliebig fälschbar sind. Aber wie gesagt - ohne Config ist das alles Spekulation. (Wie bereits schon geschrieben: "postconf -n" brächte Klarheit ...) Gruß, Mathias From fk at florian-kaiser.net Wed Aug 24 08:57:31 2011 From: fk at florian-kaiser.net (Florian Kaiser) Date: Wed, 24 Aug 2011 08:57:31 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: <20110823203004.GF3481@state-of-mind.de> References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at><201108231718.48744@tux.boltz.de.vu> <4E53CFDA.6030405@xunil.at><4E53D2FE.3020701@googlemail.com> <4E53E035.9090804@xunil.at><13536804ACFD4401AE168B0179217CBF@florian><7B9B11BE-8BA5-4171-9396-AFDF5582BEC4@makomi.de> <20110823203004.GF3481@state-of-mind.de> Message-ID: <6E60A3B240AC48EC885BC878C1FD523D@florian> > Sollte man das nicht sowieso nur machen? Oder gibt es heutzutage einen > gewichtigen Grund auch SMTP/IMAP ohne SSL für Clients anzubieten? Es scheint in der Welt da draußen (zumindest im Shared-Hosting Bereich) genügend "Kunden" zu geben, die keine Verschlüsselung wollen "ich hab doch eh nichts zu verbergen wat brauch ich den scheiss". Auch scheint es Clients zu geben, die mit TLS nicht gut klarkommen. Und dann gibt es noch diese ganzen Applikationen auf Scriptebene, die mit TLS nicht klarkommen oder mangels eingebauter Unterstützung der Sprache bei gleichzeitiger Unfähigkeit des "Programmierers" halt aus welchen Gründen auch immer keine TLS-Verbindungen aufbauen können- Und wenn man diese Fälle alle abdecken will (muss..), kommt man wohl im Klartext-Passwörter in der Datenbank nicht rum. > PKI? .. Das kommt dann auch noch dazu. Ich hätte auch gerne eine andere Lösung, aber TLS überall (SMTP, IMAP, POP) zum Zwang zu machen halte ich in dem angesprochenen Bereich (noch) nicht für einen gehbaren Weg. Zur Umstellung hatte ich schon die Idee, wenigstens bei IMAP und POP über non-SSL jedesmal eine Hinweis an den Client auszugeben, der dann (hoffentlich) in einem Popup für den Benutzer resultiert in dem sinngemäß steht "Sie verwenden einen veralteten und unsicheren E-Mail-Zugang. Bitte stellen Sie auf veschlüsselte Verbindung um (+ Link zu einer FAQ)". Mit Dovecot müsste das wohl technisch möglich sein, mit Postfix bei SMTP wüsste ich aktuell nicht wie. Was haltet Ihr von so einer Idee? Oder habt ihr bessere Ideen, wie man so eine Umstellung zum TLS-Zwang ohne zuviel Verwirrung realiseren kann? Grüße Florian From dieter.ringen at polizei.niedersachsen.de Wed Aug 24 09:42:40 2011 From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Infrastruktur)) Date: Wed, 24 Aug 2011 09:42:40 +0200 Subject: [Postfixbuch-users] Kundenserver filzen In-Reply-To: References: <4E1C73BF.1040905@xunil.at> <4E53B955.4020502@xunil.at><201108231718.48744@tux.boltz.de.vu> <4E53CFDA.6030405@xunil.at><4E53D2FE.3020701@googlemail.com> <4E53E035.9090804@xunil.at><13536804ACFD4401AE168B0179217CBF@florian><7B9B11BE-8BA5-4171-9396-AFDF5582BEC4@makomi.de> <20110823203004.GF3481@state-of-mind.de> Message-ID: <4E54AB70.9040207@polizei.niedersachsen.de> Hallo. Serverseitig bei Postfix smtp_tls_security_level = encrypt smtpd_tls_security_level = encrypt =Zwangsverschlüsselung für eingehenden und ausdgehenden Mailverkehr smtpd_tls_mandatory_ciphers = high smtp_tls_mandatory_ciphers = high tls_high_cipherlist = DHE-RSA-AES256-SHA:DHE-DSS-AES256-SHA:AES256-SHA:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA:AES128-SHA:EDH-RSA-DES-CBC3-SHA:EDH-DSS-DES-CBC3-SHA:DES-CBC3-SHA Dann hast du Postfix schon umgestellt: Beim cyrus in der /etc/cyrus.conf einfach den Eintrag imap cmd="imapd" listen="127.0.0.1:imap" prefork=0 und pop3 cmd="pop3d" listen="127.0.0.1:pop3" prefork=0 einstellen. Damit sperrst du alle aus, die unverschlüsselt abrufen wollen. Florian Kaiser schrieb: >> Sollte man das nicht sowieso nur machen? Oder gibt es heutzutage einen >> gewichtigen Grund auch SMTP/IMAP ohne SSL für Clients anzubieten? > > Es scheint in der Welt da draußen (zumindest im Shared-Hosting Bereich) > genügend "Kunden" zu geben, die keine Verschlüsselung wollen "ich hab doch > eh nichts zu verbergen wat brauch ich den scheiss". Auch scheint es Clients > zu geben, die mit TLS nicht gut klarkommen. Und dann gibt es noch diese > ganzen Applikationen auf Scriptebene, die mit TLS nicht klarkommen oder > mangels eingebauter Unterstützung der Sprache bei gleichzeitiger Unfähigkeit > des "Programmierers" halt aus welchen Gründen auch immer keine > TLS-Verbindungen aufbauen können- Und wenn man diese Fälle alle abdecken > will (muss..), kommt man wohl im Klartext-Passwörter in der Datenbank nicht > rum. > >> PKI? .. > Das kommt dann auch noch dazu. > > Ich hätte auch gerne eine andere Lösung, aber TLS überall (SMTP, IMAP, POP) > zum Zwang zu machen halte ich in dem angesprochenen Bereich (noch) nicht für > einen gehbaren Weg. Zur Umstellung hatte ich schon die Idee, wenigstens bei > IMAP und POP über non-SSL jedesmal eine Hinweis an den Client auszugeben, > der dann (hoffentlich) in einem Popup für den Benutzer resultiert in dem > sinngemäß steht "Sie verwenden einen veralteten und unsicheren > E-Mail-Zugang. Bitte stellen Sie auf veschlüsselte Verbindung um (+ Link zu > einer FAQ)". Mit Dovecot müsste das wohl technisch möglich sein, mit Postfix > bei SMTP wüsste ich aktuell nicht wie. Was haltet Ihr von so einer Idee? > Oder habt ihr bessere Ideen, wie man so eine Umstellung zum TLS-Zwang ohne > zuviel Verwirrung realiseren kann? > > > Grüße > Florian > -- mit freundlichem Gruß Dieter Ringen Zentrale Polizeidirektion ( ZPD ) Dezernat 42.5.4 - IT - Infrastruktur Tel: 0511 9695 -7653 Fax: 0511 9695697653 mailto:dieter.ringen at polizei.niedersachsen.de From Ralf.Hildebrandt at charite.de Wed Aug 24 10:20:09 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 24 Aug 2011 10:20:09 +0200 Subject: [Postfixbuch-users] leere absender <> dennoch akzeptieren In-Reply-To: References: <20110823105000.GU7202@charite.de> Message-ID: <20110824082009.GI31751@charite.de> * Thomas Best : > dann kann ich mir das ge-checke doch gleich sparen?! Der tiefere Sinn ist mir auch nicht ganz klar :) Was genau soll denn dein Test bringen? > ich erreiche damit, dass an bestimmte empfämngeradressen nur > bestimmte absender aus bestimmten netzen (wo die mailgate*.bwl.de > drin stehen) senden dürfen. AH! In dem Fall: /polizei\.bwl\.de$/ DUNNO /bwl\.de$/ DUNNO /<>/ DUNNO /./ 550 denied: source-error -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From tobias at hachmer.de Sat Aug 27 12:49:56 2011 From: tobias at hachmer.de (Tobias Hachmer) Date: Sat, 27 Aug 2011 12:49:56 +0200 Subject: [Postfixbuch-users] Postfix + Dovecot -> separate Maschinen Message-ID: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> Hallo Liste, ich würde gerne mein E-Mail Setup insofern trennen, dass der MTA Postfix auf einer anderen Maschine läuft als der Dovecot Daemon. Da stellt sich für mich die Frage wie ich den Transport von Postfix zu Dovecot hinbekomme?! Wenn beides auf einer Maschine läuft ist es ja sehr simpler: master.cf -> dovecot transport methode über pipe. Ist das überhaupt möglich oder benötige ich auf der Dovecot-Maschine trotzallem eine Postfix instanz, die die E-Mails vom MTA entgegennimmt nach Dovecot lokal einliefert? Gruß, Tobias From p.heinlein at heinlein-support.de Sat Aug 27 14:14:20 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 27 Aug 2011 14:14:20 +0200 Subject: [Postfixbuch-users] Postfix + Dovecot -> separate Maschinen In-Reply-To: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> References: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> Message-ID: <201108271414.20894.p.heinlein@heinlein-support.de> Am Samstag, 27. August 2011, 12:49:56 schrieb Tobias Hachmer: > ich würde gerne mein E-Mail Setup insofern trennen, dass der MTA > Postfix auf einer anderen Maschine läuft als der Dovecot Daemon. Da > stellt sich für mich die Frage wie ich den Transport von Postfix zu > Dovecot hinbekomme?! Wenn beides auf einer Maschine läuft ist es ja > sehr simpler: master.cf -> dovecot transport methode über pipe. Wenn dort Dovecot2 läuft (und es gibt keinen Grund, warum man den nicht nehmen sollte), dann kann der seinen LMTP-Socket auch für Verbindungen von außen öffnen. Also statt Port25 SMTP dann eben Port 24 LMTP. > Ist das überhaupt möglich oder benötige ich auf der Dovecot-Maschine > trotzallem eine Postfix instanz, die die E-Mails vom MTA > entgegennimmt nach Dovecot lokal einliefert? So macht man das und so empfehle ich das trotzdem, egal ob LMTP oder nicht. Einen lokalen MT A brauchst Du sowieso, mindestens, um die auf dem Dovect-Server erzeugten Mails (Sieve?) wieder zu versenden. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From tobias at hachmer.de Sat Aug 27 14:22:37 2011 From: tobias at hachmer.de (Tobias Hachmer) Date: Sat, 27 Aug 2011 14:22:37 +0200 Subject: [Postfixbuch-users] Postfix + Dovecot -> separate Maschinen In-Reply-To: <201108271414.20894.p.heinlein@heinlein-support.de> References: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> <201108271414.20894.p.heinlein@heinlein-support.de> Message-ID: Danke für die schnelle Antwort! On Sat, 27 Aug 2011 14:14:20 +0200, Peer Heinlein wrote: > Wenn dort Dovecot2 läuft (und es gibt keinen Grund, warum man den > nicht > nehmen sollte), dann kann der seinen LMTP-Socket auch für > Verbindungen > von außen öffnen. Also statt Port25 SMTP dann eben Port 24 LMTP. Ja, Dovecot2 soll darauf laufen. Im jetzigen Setup ist noch v1.2 im Einsatz. >> Ist das überhaupt möglich oder benötige ich auf der Dovecot-Maschine >> trotzallem eine Postfix instanz, die die E-Mails vom MTA >> entgegennimmt nach Dovecot lokal einliefert? > > So macht man das und so empfehle ich das trotzdem, egal ob LMTP oder > nicht. Einen lokalen MT A brauchst Du sowieso, mindestens, um die auf > dem Dovect-Server erzeugten Mails (Sieve?) wieder zu versenden. So hatte ich mir das gedacht, war mir aber nicht ganz sicher. Ich nehme an mit (Sieve?) meinst du die davon erzeugten redirects, forwardings, vacations aus den user scripts. Ja, wird dann auch benutzt werden. Also auf dem MTA, der Mails für meine Domain annimmt, muss ich transports zum MTA, der auf der Dovecot Maschine läuft, einrichten und dem MTA, der auf der Dovecot Maschine läuft, anweisen Mails über den äußeren MTA zu relayen. Ist es nicht möglich Dovecot anzuweisen einen MTA zu verwenden, der nicht lokal auf demselben Server läuft? Gruß, Tobias From p.heinlein at heinlein-support.de Sat Aug 27 14:32:43 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 27 Aug 2011 14:32:43 +0200 Subject: [Postfixbuch-users] Postfix + Dovecot -> separate Maschinen In-Reply-To: References: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> <201108271414.20894.p.heinlein@heinlein-support.de> Message-ID: <201108271432.44052.p.heinlein@heinlein-support.de> Am Samstag, 27. August 2011, 14:22:37 schrieb Tobias Hachmer: > Ist es nicht möglich Dovecot anzuweisen einen MTA zu verwenden, der > nicht lokal auf demselben Server läuft? a) Das hat keinen Vorteil b) Das macht's nicht stabiler/robuster c) Nein, m.W.n. geht das nur mit Tricks wie mini_sendmail & Co. Aber warum sollte man das tun wollen? Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From tobias at hachmer.de Sat Aug 27 14:38:25 2011 From: tobias at hachmer.de (Tobias Hachmer) Date: Sat, 27 Aug 2011 14:38:25 +0200 Subject: [Postfixbuch-users] Postfix + Dovecot -> separate Maschinen In-Reply-To: <201108271432.44052.p.heinlein@heinlein-support.de> References: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> <201108271414.20894.p.heinlein@heinlein-support.de> <201108271432.44052.p.heinlein@heinlein-support.de> Message-ID: On Sat, 27 Aug 2011 14:32:43 +0200, Peer Heinlein wrote: > Am Samstag, 27. August 2011, 14:22:37 schrieb Tobias Hachmer: > >> Ist es nicht möglich Dovecot anzuweisen einen MTA zu verwenden, der >> nicht lokal auf demselben Server läuft? > > a) Das hat keinen Vorteil > b) Das macht's nicht stabiler/robuster > c) Nein, m.W.n. geht das nur mit Tricks wie mini_sendmail & Co. > > Aber warum sollte man das tun wollen? Ich habe mich nur gefragt ob das möglich wäre. Mein Gedanke war, warum noch einen lokalen MTA wenn ich den zentralen nutzen kann. Aber die Antwort liegt eigentlich auf der Hand. Wenn der zentrale grad aus welchen Gründen auch immer mal nicht erreichbar ist. queued der lokale die mails natürlich. Gruß, Tobias From toni.burger at fuwa.eu Sun Aug 28 12:32:19 2011 From: toni.burger at fuwa.eu (Toni Burger) Date: Sun, 28 Aug 2011 12:32:19 +0200 Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig Message-ID: <1314527539.5563.36.camel@localhost> Guten Mittag zusammen, wir benötigen hier eine kleine Verteilerliste bzw eine mini-Mailingliste für ungefähr 20 Empfänger. Jetzt wollte ich das ganz einfach mit virtual_alias_maps machen und habe dazu folgende ldap Abfrage eingebaut: query_filter = (&(mail=%s)(objectclass=mailGroup)) result_attribute = mailRoutingAddress Soweit funktioniert das nun auch, mit ein paar Schönheitsfehlern. Beim Antworte (komischerweise nur aus Outlook heraus, Evolution scheint es zu verstehen) wird nun als Empänger die Verteileradresse + Absenderadresse eingetragen. Auch logisch, daher die Frage, kann ich postfix dazu bekommen den Header so zu verändern dass ein Reply-To eingefügt wird? Zweites Problem: Ich sende eine Mail an den Verteiler, stehe aber selbst mit der gleichen Adresse im Verteiler. Resultat: toni.burger at fuwa.eu SMTP error from remote mail server after RCPT TO:: host toflo.homeunix.org [79.239.227.233]: 553 5.7.1 : Sender address rejected: not logged in Klingt auch logisch. Nur hier bei der Postfix-Liste funktionierts ja auch ;-) Muss ich nun den Absender vom Envelope ändern? Und wenn ja wie geht ich das an? Besten Dank schonmal. Toni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part URL : From Axel.Riedel at x-case.de Mon Aug 29 18:07:04 2011 From: Axel.Riedel at x-case.de (Axel Riedel) Date: Mon, 29 Aug 2011 18:07:04 +0200 Subject: [Postfixbuch-users] Lokale Mailkopie im maildir Message-ID: <9006F844EF5FFA46A38D4BFD5056F10BBD1366B986@SONNE.x-case.local> Hallo, ich habe einen Mailserver mit Postfix, der als Smarthost für unseren Exchange fungiert, sprich alle ein- und ausgehenden Mails gehen über diesen Server. Funktioniert soweit sehr gut. Nun sollen alle Mails in einem Maildir der jeweiligen Absender- (für ausgehende Mails) bzw. Empfängeradresse (für ankommende Mails) gespeichert werden. Das dient einmal zur Mailarchivierung und zum anderen als Notfallsystem, wenn der Exchange mal (wieder) nicht will. Für ausgehende Mails funktioniert ein always_bcc mit Anschluss an maildrop bereits (Dabei ist ja nur der From-Header interessant - und es gibt nur einen Absender...). Always_bcc funktioniert leider nicht für die eingehenden Mails, da dabei das envelop to umgeschrieben wird und ich bei mehreren Empfängern nicht mehr sehe, an wen diese Mail jetzt ging. Ganz besonders blöd ist es, wenn es Empfänger im To und im BCC gibt. Gibt es eine Möglichkeit, Mails an einer Stelle zu duplizieren und an 2 Pipes zu geben? In den Aliases scheint es keine Möglichkeit zu geben, ganze Domains generisch umzuleiten, wie @domain.tld: @host.domain.tld, \@domain.tld Oder muss das anders ausssehen? (Eine komplette Liste der Mailadressen scheidet aus Wartungsgründen aus.) Mir gehen so langsam die Ideen aus... Vielen Dank schon mal axel From werner at aloah-from-hell.de Mon Aug 29 20:03:29 2011 From: werner at aloah-from-hell.de (werner at aloah-from-hell.de) Date: Mon, 29 Aug 2011 20:03:29 +0200 Subject: [Postfixbuch-users] Amavis Ramdisk Vserver In-Reply-To: References: Message-ID: <4E5BD471.7020500@aloah-from-hell.de> Am 23.08.11 16:46, schrieb jani kev: > Hallo liebe Liste, > > ist der Einsatz einer Ramdisk für das Amavis Temp Filesystem also > (/dev/shm /var/amavis tmpfs und so weiter in fstab) auch bei einem > V-Server (XEN Paravirtualisierung) möglich / sinnvoll? Oder könnte es > Probleme aufgrund der Virtualisierung geben? Ramdisk für Amavis habe ich überall am Start, egal ob physikalische Hardware oder virtualisierte Hardware ... Ciao, Werner From p.heinlein at heinlein-support.de Mon Aug 29 20:47:09 2011 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 29 Aug 2011 20:47:09 +0200 Subject: [Postfixbuch-users] Lokale Mailkopie im maildir In-Reply-To: <9006F844EF5FFA46A38D4BFD5056F10BBD1366B986@SONNE.x-case.local> References: <9006F844EF5FFA46A38D4BFD5056F10BBD1366B986@SONNE.x-case.local> Message-ID: <201108292047.10698.p.heinlein@heinlein-support.de> Am Montag, 29. August 2011, 18:07:04 schrieb Axel Riedel: > Nun sollen alle Mails in einem Maildir der jeweiligen Absender- (für > ausgehende Mails) bzw. Empfängeradresse (für ankommende Mails) > gespeichert werden. Das dient einmal zur Mailarchivierung und zum > anderen als Notfallsystem, wenn der Exchange mal (wieder) nicht > will. Ja, haben wir schon ein paar mal so gebaut. > maildrop bereits (Dabei ist ja nur der From-Header interessant - und > es gibt nur einen Absender...). Always_bcc funktioniert leider nicht > für die eingehenden Mails, da dabei das envelop to umgeschrieben > wird und ich bei mehreren Empfängern nicht mehr sehe, an wen diese > Mail jetzt ging. Ganz besonders blöd ist es, wenn es Empfänger im To > und im BCC gibt. Nimm die virtual-Maps und binde die als PCRE/REGEXP ein. Da drin steht dann sowas wie (.*)@example.com \$1 at example.com, $1 at backup.example.com Genauen RegExp-Syntax mußt Du ggf. noch ausklamüsern, bin gerade im Zug in der Greifswalder Pampa und nicht richtig online. > generisch umzuleiten, wie @domain.tld: @host.domain.tld, > \@domain.tld Doch, gibt es. Siehe oben. Im Prinzip hast Du das Rätsels Lösung richtig erkannt. Peer -- Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Tel: 030 / 40 50 51 - 0 Fax: 030 / 40 50 51 - 19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Mon Aug 29 21:17:08 2011 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 29 Aug 2011 21:17:08 +0200 Subject: [Postfixbuch-users] Lokale Mailkopie im maildir In-Reply-To: <9006F844EF5FFA46A38D4BFD5056F10BBD1366B986@SONNE.x-case.local> References: <9006F844EF5FFA46A38D4BFD5056F10BBD1366B986@SONNE.x-case.local> Message-ID: <20110829191708.GC32170@charite.de> * Axel Riedel : > Always_bcc funktioniert leider nicht für die eingehenden Mails, da > dabei das envelop to umgeschrieben wird und ich bei mehreren > Empfängern nicht mehr sehe, an wen diese Mail jetzt ging. Ganz > besonders blöd ist es, wenn es Empfänger im To und im BCC gibt. Och das geht schon: http://www.arschkrebs.de/postfix/postfix_archive.shtml > Gibt es eine Möglichkeit, Mails an einer Stelle zu duplizieren und an 2 Pipes zu geben? > > In den Aliases scheint es keine Möglichkeit zu geben, ganze Domains generisch umzuleiten, wie > @domain.tld: @host.domain.tld, \@domain.tld Nein, das geht nicht. Das geht nur mit einer Zieldomain > (Eine komplette Liste der Mailadressen scheidet aus Wartungsgründen aus.) Schreib halt ein Script :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfixbuch at cboltz.de Mon Aug 29 23:00:09 2011 From: postfixbuch at cboltz.de (Christian Boltz) Date: Mon, 29 Aug 2011 23:00:09 +0200 Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig In-Reply-To: <1314527539.5563.36.camel@localhost> References: <1314527539.5563.36.camel@localhost> Message-ID: <201108292300.09863@tux.boltz.de.vu> Hallo Toni, hallo Leute, Am Sonntag, 28. August 2011 schrieb Toni Burger: > wir benötigen hier eine kleine Verteilerliste bzw eine > mini-Mailingliste für ungefähr 20 Empfänger. Jetzt wollte ich das > ganz einfach mit virtual_alias_maps machen und habe dazu folgende > ldap Abfrage eingebaut: Was spricht gegen Mailman? Deine Mini-Mailingliste braucht wohl in etwa die gleichen Features wie jede "große" Mailingliste auch, daher würde ich auch zu Mailman greifen. Anders ausgedrückt: siehe Signatur ;-) Oder willst Du unbedingt das Rad neu erfinden? Na dann, bitteschön: http://www.flickr.com/photos/vrogy/514733529/ > Auch logisch, daher die Frage, kann ich postfix dazu > bekommen den Header so zu verändern dass ein Reply-To eingefügt wird? Überleg Dir bitte nochmal, ob Du das wirklich willst. IMHO schadet es mehr als es nützt. Lesetipp: http://marc.merlins.org/netrants/listreplyto.html Gruß Christian Boltz -- Wenn man keine Vögel mag, ist es völlig in Ordnung, mit Kanonen auf Spatzen zu schiessen. [Ratti in suse-linux] From fk at florian-kaiser.net Tue Aug 30 17:24:54 2011 From: fk at florian-kaiser.net (Florian Kaiser) Date: Tue, 30 Aug 2011 17:24:54 +0200 Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL generiert false-positives Message-ID: Hallo Liste, ich habe vor kurzem das Problem bemerkt, dass policyd-weight jedem Client ein IN_IPv6_RBL angedichtet hat (immerhin 4.25 Punkte default). Das führt dann dazu, dass pw weitere Regeln feuer, die es sonst lässt. Zum Beispiel CLIENT_NOT_MX/A_FROM_DOMAIN und CLIENT/24_NOT_MX/A_FROM_DOMAIN. Die besteht nur kaum ein Shared-Hoster, was die Score dann meist auf über 11 schaukelt und zur Ablehnung führt. Absolut unverständlich, denn ohne die IN_IPv6_RBL würden die Clients negative Scores erhalten (weil eigentlich alles korrekt). Zum Beispiel alle Clients der Hosted-Exchange-Farm von Microsoft sind betroffen und werden abgelehnt. Nach Recherche habe ich bemerkt, dass die von pw benutzte RBL (rbl.ipv6-world.net) scheinbar schon lange nicht mehr existiert und wohl seit einigen Tagen "andere" Resultate zurückliefert als bisher. Ich kann nicht nachvollziehen, wie eine tote Blackliste so lange in einem so häufig eingesetztem Tool überleben kann. Auch verstehe ich nicht, warum der Programmcode von pw das nicht merkt und bei einer toten Liste trotzdem die volle Score liefert. Wir haben die Liste nun manuell rausgenommen. Ich möchte anderen Menschen die Sucherei ersparen, da diese Liste bei Google relativ fix gefunden wird und zum Stichwort IN_IPv6_RBL keine sinnvollen Resultate erscheinen. Viele Grüße Florian From postfix at jpkessler.info Tue Aug 30 23:04:23 2011 From: postfix at jpkessler.info (Jan P. Kessler) Date: Tue, 30 Aug 2011 23:04:23 +0200 Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL generiert false-positives In-Reply-To: References: Message-ID: <4E5D5057.6020600@jpkessler.info> > Nach Recherche habe ich bemerkt, dass die von pw benutzte RBL > (rbl.ipv6-world.net) scheinbar schon lange nicht mehr existiert und wohl > seit einigen Tagen "andere" Resultate zurückliefert als bisher. Ich kann > nicht nachvollziehen, wie eine tote Blackliste so lange in einem so häufig > eingesetztem Tool überleben kann. Auch verstehe ich nicht, warum der > Programmcode von pw das nicht merkt Da hat pw leider keine Chance. Die Blacklist Betreiber haben sich entschlossen, alle Anfragen mit einem positiven Resultat zu beantworten. Wie sollte ein Programm das von einem "echten" Blacklisting auf einer noch gepflegten Liste unterscheiden? Die Betreiber hätten die Liste ja auch wirklich komplett stilllegen können. Haben sie aber aus verständlichem Egoismus nicht. Die wollen nämlich ganz explizit, dass Du die Stilllegung bemerkst und Deine Konfiguration entsprechend anpasst. Sonst wird die IP nie mehr frei. Gruss, Jan From postfix at jpkessler.info Tue Aug 30 23:08:43 2011 From: postfix at jpkessler.info (Jan P. Kessler) Date: Tue, 30 Aug 2011 23:08:43 +0200 Subject: [Postfixbuch-users] Amavis Ramdisk Vserver In-Reply-To: <4E5BD471.7020500@aloah-from-hell.de> References: <4E5BD471.7020500@aloah-from-hell.de> Message-ID: <4E5D515B.7090204@jpkessler.info> Am 29.08.2011 20:03, schrieb werner at aloah-from-hell.de: > Am 23.08.11 16:46, schrieb jani kev: >> Hallo liebe Liste, >> >> ist der Einsatz einer Ramdisk für das Amavis Temp Filesystem also >> (/dev/shm /var/amavis tmpfs und so weiter in fstab) auch bei einem >> V-Server (XEN Paravirtualisierung) möglich / sinnvoll? Oder könnte es >> Probleme aufgrund der Virtualisierung geben? > Ramdisk für Amavis habe ich überall am Start, egal ob physikalische > Hardware oder virtualisierte Hardware ... Probleme wohl nicht solange genügend RAM da ist, aber ist das an sich denn sinnvoll? Eine Ramdisk setze ich doch dann ein, wenn der Disk-IO zum Bottleneck wird - also in Hochlastumgebungen. In einer solchen Situation würdest aber wohl kaum einen VServer einsetzen, oder? From fk at florian-kaiser.net Tue Aug 30 23:56:08 2011 From: fk at florian-kaiser.net (Florian Kaiser) Date: Tue, 30 Aug 2011 23:56:08 +0200 Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL generiertfalse-positives In-Reply-To: <4E5D5057.6020600@jpkessler.info> References: <4E5D5057.6020600@jpkessler.info> Message-ID: Hallo Jan, > Da hat pw leider keine Chance. Die Blacklist Betreiber haben sich > entschlossen, alle Anfragen mit einem positiven Resultat zu beantworten. > Wie sollte ein Programm das von einem "echten" Blacklisting auf einer > noch gepflegten Liste unterscheiden? Das ist natürlich richtig, hier trifft pw keine Schuld > Die Betreiber hätten die Liste ja auch wirklich komplett stilllegen > können. Haben sie aber aus verständlichem Egoismus nicht. Die wollen > nämlich ganz explizit, dass Du die Stilllegung bemerkst und Deine > Konfiguration entsprechend anpasst. Sonst wird die IP nie mehr frei. Und hier sehe ich pw doch etwas in Rückstand. Ich muss ehrlich gestehen, dass mir als Anwender gar nicht bewusst war, dass pw in der Standardeinstellung eine ipv6-Blacklist prüft. Zur Sinnhaftigkeit generell von IPv6-RBLs mal keinen Kommentar. Dass pw diese seit 2008 abgeschaltete Blacklist aber weiterhin bis heute als Programmbestandteil ausliefert ist in meinen Augen problematisch. Hier scheint sich niemand mehr wirklich um das Programm zu kümmern - und die Maintainer (wenn es denn welche gibt) setzen Ihr eigenes Programm wohl selbst nicht ein, sonst hätten die das ebenso wie ich bemerkt. Aber gut, ist wohl Off-List - ich wende mich da mal lieber an die Distributionsmaintainer, da erreiche ich wohl mehr als im Bugtracker von pws Source-Forge-Seite. Grüße Florian From driessen at fblan.de Wed Aug 31 00:34:53 2011 From: driessen at fblan.de (Driessen) Date: Wed, 31 Aug 2011 00:34:53 +0200 Subject: [Postfixbuch-users] Amavis Ramdisk Vserver In-Reply-To: <4E5D515B.7090204@jpkessler.info> References: <4E5BD471.7020500@aloah-from-hell.de> <4E5D515B.7090204@jpkessler.info> Message-ID: <000001cc6765$0999e460$0565a8c0@uwe> On Behalf Of Jan P. Kessler > Am 29.08.2011 20:03, schrieb werner at aloah-from-hell.de: > > Am 23.08.11 16:46, schrieb jani kev: > >> Hallo liebe Liste, > >> > >> ist der Einsatz einer Ramdisk für das Amavis Temp Filesystem also > >> (/dev/shm /var/amavis tmpfs und so weiter in fstab) auch bei einem > >> V-Server (XEN Paravirtualisierung) möglich / sinnvoll? Oder könnte es > >> Probleme aufgrund der Virtualisierung geben? > > Ramdisk für Amavis habe ich überall am Start, egal ob physikalische > > Hardware oder virtualisierte Hardware ... > > Probleme wohl nicht solange genügend RAM da ist, aber ist das an sich > denn sinnvoll? Eine Ramdisk setze ich doch dann ein, wenn der Disk-IO > zum Bottleneck wird - also in Hochlastumgebungen. In einer solchen > Situation würdest aber wohl kaum einen VServer einsetzen, oder? > Ich hab jetzt nicht den Hochlastungsserver aber Amavis kommt als preque mit ramdisk zum Einsatz ist einfach um faktor x schneller. Und da ich nicht für alles eine extra Maschine anmieten möchte da eben nicht benötigt ist alles per kvm virtualisiert und doch getrennt auf eigenen IP's und Speicherplatz. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 From andreas.schulze at datev.de Wed Aug 31 07:20:31 2011 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 31 Aug 2011 07:20:31 +0200 Subject: [Postfixbuch-users] wann werden alias_recipient_maps gefragt ? Message-ID: <20110831052031.GA8511@spider.services.datevnet.de> Moin, ich baste derzeit an einem neuen Setup: relay_domains und virtual_alias_domains kommen aus einem LDAP-Server. datev.de ist eine relay_domain, datev.com eine virtual_alias_domain. ( einige datev.com Adressen sollen auf datev.de weitergeleitet werden ) kommt nun eine Mail rein für foo at bar.datev.de, zeigt postfix diesen Empfänger als Adresseklasse default. Soweit OK... Dennoch macht der einen Lookup in die *alias_recipient_maps*. Dort hat er dummerweise einen Treffer und schreibt die Empfängeradresse um. Das war so nicht geplant. eigentlich sollten doch alias_recipient_maps nur für alias_domains befragt werden !? Was mache ich da falsch ? -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From andreas.schulze at datev.de Wed Aug 31 07:44:44 2011 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 31 Aug 2011 07:44:44 +0200 Subject: [Postfixbuch-users] Postfix + Dovecot -> separate Maschinen In-Reply-To: References: <4fc3fa0f80e013c282c6546eb2bc6304@hachmer.de> <201108271414.20894.p.heinlein@heinlein-support.de> <201108271432.44052.p.heinlein@heinlein-support.de> Message-ID: <20110831054444.GA8868@spider.services.datevnet.de> Am 27.08.2011 14:38 schrieb Tobias Hachmer: > On Sat, 27 Aug 2011 14:32:43 +0200, Peer Heinlein wrote: > >Am Samstag, 27. August 2011, 14:22:37 schrieb Tobias Hachmer: > > > >>Ist es nicht möglich Dovecot anzuweisen einen MTA zu verwenden, der > >>nicht lokal auf demselben Server läuft? > > > >a) Das hat keinen Vorteil > >b) Das macht's nicht stabiler/robuster > >c) Nein, m.W.n. geht das nur mit Tricks wie mini_sendmail & Co. > > > >Aber warum sollte man das tun wollen? > > Ich habe mich nur gefragt ob das möglich wäre. > Mein Gedanke war, warum noch einen lokalen MTA wenn ich den > zentralen nutzen kann. > Aber die Antwort liegt eigentlich auf der Hand. Wenn der zentrale > grad aus welchen Gründen auch immer mal nicht erreichbar ist. > queued der lokale die mails natürlich. seit Februar kennt dovecot2 eine Option "submission_host" in der dovecot.conf. Dort kannst Du Mails, die dovecot erzeugt, auf einen externen SMTP-Server leiten. -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From werner at aloah-from-hell.de Wed Aug 31 10:18:01 2011 From: werner at aloah-from-hell.de (werner at aloah-from-hell.de) Date: Wed, 31 Aug 2011 10:18:01 +0200 Subject: [Postfixbuch-users] Amavis Ramdisk Vserver In-Reply-To: <4E5D515B.7090204@jpkessler.info> References: <4E5BD471.7020500@aloah-from-hell.de> <4E5D515B.7090204@jpkessler.info> Message-ID: <4E5DEE39.6060001@aloah-from-hell.de> Hi, > > Probleme wohl nicht solange genügend RAM da ist, aber ist das an sich > denn sinnvoll? Eine Ramdisk setze ich doch dann ein, wenn der Disk-IO > zum Bottleneck wird - also in Hochlastumgebungen. Nein, auch als Pre-Queue-Filter ist ne RamDisk auch in kleinen Umgebungen von Vorteil. From toni.burger at fuwa.eu Wed Aug 31 12:21:00 2011 From: toni.burger at fuwa.eu (Toni Burger) Date: Wed, 31 Aug 2011 12:21:00 +0200 Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig In-Reply-To: <201108292300.09863@tux.boltz.de.vu> References: <1314527539.5563.36.camel@localhost> <201108292300.09863@tux.boltz.de.vu> Message-ID: <1314786060.5560.6.camel@localhost> Hallo Christian, ok, erfolgreich überzeugt ;-). Werde ich mir mailman anschauen. Muss die Mailaddressen halt irgendwie aus einem ldap auslesen ... aber ich denke das wird schon irgendwie machbar sein *hoff* :). Besten Dank. Toni Am Montag, den 29.08.2011, 23:00 +0200 schrieb Christian Boltz: > Hallo Toni, hallo Leute, > > Am Sonntag, 28. August 2011 schrieb Toni Burger: > > wir benötigen hier eine kleine Verteilerliste bzw eine > > mini-Mailingliste für ungefähr 20 Empfänger. Jetzt wollte ich das > > ganz einfach mit virtual_alias_maps machen und habe dazu folgende > > ldap Abfrage eingebaut: > > Was spricht gegen Mailman? > Deine Mini-Mailingliste braucht wohl in etwa die gleichen Features wie > jede "große" Mailingliste auch, daher würde ich auch zu Mailman greifen. > Anders ausgedrückt: siehe Signatur ;-) > > Oder willst Du unbedingt das Rad neu erfinden? Na dann, bitteschön: > http://www.flickr.com/photos/vrogy/514733529/ > > > Auch logisch, daher die Frage, kann ich postfix dazu > > bekommen den Header so zu verändern dass ein Reply-To eingefügt wird? > > Überleg Dir bitte nochmal, ob Du das wirklich willst. IMHO schadet es > mehr als es nützt. Lesetipp: > http://marc.merlins.org/netrants/listreplyto.html > > > Gruß > > Christian Boltz > -- > Wenn man keine Vögel mag, ist es völlig in Ordnung, mit Kanonen auf > Spatzen zu schiessen. [Ratti in suse-linux] -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: This is a digitally signed message part URL : From postfixbuch-users at drobic.de Wed Aug 31 12:38:34 2011 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Wed, 31 Aug 2011 12:38:34 +0200 Subject: [Postfixbuch-users] wann werden alias_recipient_maps gefragt ? In-Reply-To: <20110831052031.GA8511@spider.services.datevnet.de> References: <20110831052031.GA8511@spider.services.datevnet.de> Message-ID: <4E5E0F2A.4040500@drobic.de> On 31.08.2011 07:20, Andreas Schulze wrote: > Moin, > > ich baste derzeit an einem neuen Setup: > relay_domains und virtual_alias_domains kommen aus einem LDAP-Server. > > datev.de ist eine relay_domain, datev.com eine virtual_alias_domain. > ( einige datev.com Adressen sollen auf datev.de weitergeleitet werden ) > > kommt nun eine Mail rein für foo at bar.datev.de, zeigt postfix diesen Empfänger als > Adresseklasse default. Soweit OK... > > Dennoch macht der einen Lookup in die *alias_recipient_maps*. > Dort hat er dummerweise einen Treffer und schreibt die Empfängeradresse um. > Das war so nicht geplant. > > eigentlich sollten doch alias_recipient_maps nur für alias_domains befragt werden !? > > Was mache ich da falsch ? Grins! Das fängt schon bei der Fehlerbeschreibung an. Ich kenne eine alias_maps, eine virtual_alias_maps eine ,relay_recipient_maps, aber deninitiv KEINE alias_recipient_maps!! Bitte eine präzise Fehlerbeschreibung, am besten mit Ausgabe von "postconf -n" und dem Logauszug, wo der Fehler auftritt. Sandy From postfixbuch at cboltz.de Wed Aug 31 23:16:50 2011 From: postfixbuch at cboltz.de (Christian Boltz) Date: Wed, 31 Aug 2011 23:16:50 +0200 Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig In-Reply-To: <1314786060.5560.6.camel@localhost> References: <1314527539.5563.36.camel@localhost> <201108292300.09863@tux.boltz.de.vu> <1314786060.5560.6.camel@localhost> Message-ID: <201108312316.50462@tux.boltz.de.vu> Hallo Toni, hallo Leute, Am Mittwoch, 31. August 2011 schrieb Toni Burger: > ok, erfolgreich überzeugt ;-). Werde ich mir mailman anschauen. Muss > die Mailaddressen halt irgendwie aus einem ldap auslesen ... aber > ich denke das wird schon irgendwie machbar sein *hoff* :). Du brauchst irgendein[tm] Script, das Dir die Adressen aus dem ldap ausliest und in eine Textdatei schreibt (eine Adresse pro Zeile). Diese Liste gibst Du dann an sync_members weiter, um den Mailman- Verteiler aktuell zu halten. Beides sollte regelmäßig per Cronjob laufen ;-) Gruß Christian Boltz -- > Wenn Du so willst... make RM="rm -rf /" clean > Bin ich dann für die gelöschte Festplatte verantwortlich? ;-) Du hast gerade erkannt, warum es vorteilhaft sein kann, keine Shell/ Make-Variablen zu verwenden und Dinge stattdessen hart zu codieren ;-) [> Christian Boltz und Ralf Corsepius in suse-programming] From anmeyer at anup.de Wed Aug 31 23:28:29 2011 From: anmeyer at anup.de (Andreas Meyer) Date: Wed, 31 Aug 2011 23:28:29 +0200 Subject: [Postfixbuch-users] virtual_mailbox_limit Message-ID: <20110831232829.0ee8900c@itx.bitcorner.intern> Hallo! Was macht eigentlich virtual_mailbox_limit genau, bzw. wo kann ich es einsetzen? Ich vermute, ich kann es nicht dafür benuzten, um auf einem dovecot 1.x eine Limitierung des Postfachgröße zu erreichen. The maximal size in bytes of an individual virtual(8) mailbox or maildir file, or zero (no limit). Was mir an der obigen Definition nicht klar ist, ist der Ausdruck "maildir file". Was ist damit gemeint? Kann postfix maildir handeln? Grüße Andreas From lists at dguhl.org Wed Aug 31 23:57:25 2011 From: lists at dguhl.org (Dennis Guhl) Date: Wed, 31 Aug 2011 23:57:25 +0200 Subject: [Postfixbuch-users] virtual_mailbox_limit In-Reply-To: <20110831232829.0ee8900c@itx.bitcorner.intern> References: <20110831232829.0ee8900c@itx.bitcorner.intern> Message-ID: <20110831215725.GA3884@laptop-dg.leere.eu> On Wed, Aug 31, 2011 at 11:28:29PM +0200, Andreas Meyer wrote: > Hallo! > > Was macht eigentlich virtual_mailbox_limit genau, bzw. wo kann ich > es einsetzen? Ich vermute, ich kann es nicht dafür benuzten, um auf > einem dovecot 1.x eine Limitierung des Postfachgröße zu erreichen. Nein, dafür sind die Quota in Dovecot zuständig (siehe http://wiki.dovecot.org/Quota). > The maximal size in bytes of an individual virtual(8) mailbox or > maildir file, or zero (no limit). Der Satz ist doch eigentlich an Einfachheit und Klarheit nicht zu überbieten. Gibst Du eine belibige positive Zahl größer Null an (vorzeichenbehaftetes Integer), stellt dies die maximale Größe in Bytes einer einzelnen Datei dar. Diese ist eintweder eine Mailbox oder eine einzelne E-Mail in einem Maildir. Ein Limit von Null deaktiviert die Limitierung. > Was mir an der obigen Definition nicht klar ist, ist der Ausdruck > "maildir file". Was ist damit gemeint? Kann postfix maildir handeln? Ja, wenn mail_spool_directory oder home_mailbox mit einem / abgeschlossen werden behandelt Postfix das Verzeichnis als Maildir (siehe auch local.8). Dennis