From Hauke.Schacht at dspro.de  Mon May  2 12:56:00 2011
From: Hauke.Schacht at dspro.de (Schacht, Hauke)
Date: Mon, 2 May 2011 10:56:00 +0000
Subject: [Postfixbuch-users] Mails von Senderdomain nur an eine Email
Message-ID: <806DD9DD95C41F4DB8F33A0003770683049291@dssmail02.dsprodukte.de>

Peer Heinlein <p.heinlein <at> heinlein-support.de> writes:

> 
> Am Freitag, 29. April 2011, 14:18:29 schrieb Schacht, Hauke:
> 
> > Ich habe versucht das mit einem access_sender_check zu machen aber
> > REDIRECT wird nicht unter stützt wenn smtpd_proxy_filter an sind.
> 
> Na und? Wenn die Mail vom Spamfilter zurückkommt wird sie ja auf einem 
> nromalen SMTP-Port eingeliefert und dort greift das check_sender_access dann 
> doch ganz normal und alles geht.

Das konnte ich nicht feststellen
 
> (Aus diesem Grunde halte ich das leider sehr weit verbreitete Howto für 
> Unsinn, das erklärt, man solle in der master.cf ewig lange Konfig-Tüdeleien 
> auf Port 10025 einsetzen und das erklärt, man solle dort auch die 
> smtpd_recipient_restrictions kastrieren. Das ist Quatsch und macht einem 
> viel kaputt, wie hier bei Dir vermutlich auch?)

Ich habe die Einstellungen von Port 10025 dem im Buch jetzt angepasst aber
die Fehlermeldung bleibt.

Habt Ihr noch andere Idee?

Auszug master.cf:
127.0.0.1:10025 inet n    -       n       -       -     smtpd
    -o content_filter=
    -o smtpd_proxy_filter=
    -o smtpd_authorized_xforward_hosts=127.0.0.0/8
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=
    -o mynetworks=127.0.0.0/8
    -o receive_override_options=no_unknown_recipient_checks

Auszug Mail.log
May  2 12:40:26 dsspost01 postfix/smtpd[22258]: connect from mailout-de.gmx.net[213.165.64.22]
May  2 12:40:26 dsspost01 postfix/smtpd[22258]: warning: access table
hash:/etc/postfix/access_sender: with smtpd_proxy_filter specified, action
REDIRECT is unavailable
May  2 12:40:26 dsspost01 postfix/policyd-weight[7583]: decided action=PREPEND 
X-policyd-weight: using cached result; rate:hard: -8.5; <client=213.165.64.22> 
<helo=mailout-de.gmx.net> <from=Peter at gmx.de> <to=Paul at dspro.de>; delay: 0s 
May  2 12:40:26 dsspost01 postfix/smtpd[22258]: NOQUEUE:
client=mailout-de.gmx.net[213.165.64.22]
May  2 12:40:27 dsspost01 postfix/smtpd[23196]: connect from localhost[127.0.0.1]
May  2 12:40:27 dsspost01 postfix/smtpd[23196]: 9FC093B332:
client=mailout-de.gmx.net[213.165.64.22]
May  2 12:40:27 dsspost01 postfix/cleanup[23197]: 9FC093B332:
message-id=<20110502104021.48570 at gmx.net>
May  2 12:40:27 dsspost01 postfix/qmgr[21236]: 9FC093B332: from=<Peter at gmx.de>, 
size=1688, nrcpt=1 (queue active)
May  2 12:40:27 dsspost01 postfix/smtpd[23196]: disconnect from localhost[127.0.0.1]
May  2 12:40:27 dsspost01 amavis[18536]: (18536-16) Passed CLEAN,
[213.165.64.22] [87.193.147.130] <Peter at gmx.de> -> <Paul at dspro.de>, Message-ID: 
<20110502104021.48570 at gmx.net>, mail_id: Wv0DXZtjzhGX, Hits: -0.616, size: 1084, 
queued_as: 9FC093B332, 679 ms
May  2 12:40:27 dsspost01 postfix/smtpd[22258]: disconnect from
mailout-de.gmx.net[213.165.64.22]
May  2 12:40:27 dsspost01 postfix/smtp[23198]: 9FC093B332: to=<Paul at dspro.de>, 
relay=InternerMailServer:25, delay=0.06, delays=0/0/0/0.05, dsn=2.6.0, 
status=sent (250 2.6.0  <20110502104021.48570 at gmx.net> Queued mail for delivery) 
May  2 12:40:27 dsspost01 postfix/qmgr[21236]: 9FC093B332: removed

Mein Ziel ist es die Mails von Peter at gmx.de alle zum Admin umzuleiten.
Ich stehe irgendwie auf dem Schlauch, meine Tests mit der Virtual_Maps hat auch
nichts gebracht.

Habt ihr noch einen Tipp für mich vielleicht ist mein Ansatz ja falsch.

gruß
Hauke




From tobias.luithardt at r1net.de  Mon May  2 15:30:53 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Mon, 2 May 2011 13:30:53 +0000
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <4DBADAB3.80801@gmj.cjb.net>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>, 
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>, 
	<4DB67CC5.6050205@gmj.cjb.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>, 
	<4DB68C33.7000606@makomi.de>
	<351FF9D8043ED54E82D6B2D7ED0BA13799582E@R1-WIN2008-EX10.r1-net.local>,
	<4DBADAB3.80801@gmj.cjb.net>
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA137996784@R1-WIN2008-EX10.r1-net.local>

>Aber wie gesagt: Warum man der einen Verisign-CA nicht trauen kann,
>den anderen Verisign-CAs schon entzieht sich meinem Verständnis.
>(Wenn dann, würde ich ja eher _allen_ Verisign-CAs mistrauen.)

die einzelnen Sub-CAs geben teils verschieden stark validierte Zertifikate aus.
Ein Ziel kann zum Beispiel sein, nur (Sub-)CAs zu trauen, die nur EV Zertifkate ausstellen.


Aber dies wäre ja laut den vorangegangenen Tests nicht möglich,
da man ein Zertifkat nicht nur anhand einer Sub-Ca positiv prüfen kann,
wenn die ganze Kette mitgliefert wird.



From michael at nausch.org  Wed May  4 10:29:48 2011
From: michael at nausch.org (Michael Nausch)
Date: Wed, 04 May 2011 10:29:48 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?=
	=?iso-8859-1?q?MX?=
Message-ID: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>

Griaseichallemidananda!

Dass eine vertrauliche und verschlüsselte Kommunikation nur dann Sinn  
macht wenn von Ende zu Ende der Gesprächspartner verschlüsselt wird,  
braucht i.d.R. nicht weiter diskutiert werden.

Im privaten Umfeld ist dies sicherlich die erste Wahl, wenn Klaus der  
Spammer mir eine verschlüsselte Nachricht schickt, verschlüsselt er  
diese mit meinem public-key an seinem MUA und ich entschlüssle an  
meinem MUA mit meinem privat key.

Im geschäftlichen Umfeld ist dies jedoch nicht ganz so einfach. Denn  
hier wird ja unter Umständen auf Content und/oder Viren auf Systemen  
zwischen dem äußeren MX und dem BAckend-System(en) geprüft, da da  
fallen nunmal verschlüsselte Nachrichten per se durchs Raster.

Also wird man hier schlichtweg das Ende der "End to End"  
Verschlüsselung neu definieren müssen. Definiert man nun das äußere  
MAilrelay als Endpunkt, so könnte dort oder "kurz dahinter" abgehende  
Post ver- und ankommende Nachrichten bei Bedarf entschlüsselt werden.

Auf der Seite: http://www.postfix.org/addon.html#security-gateway habe  
ich nun zwei Links gefunden in Sachen PGP/SMIME Gateway. So richtig  
schlau, bin ich aber daraqus noch nicht geworden.

Hat hier jemand Erfahrungen mit derartigen Lösungen, so z.B. mit dem  
Z1 SecureMail Gateway, oder kann jemand positives über andere Ansätze  
berichten? Oder kann gar AMaViS gar hierzu verwendet werden - wäre  
doch der ultimative Ort, für die Ent-/Verschlüsselung. Bei DKIM macht  
er sowas ansatzweise ja schon, oder? ;)

Bin über jeden Input erfreut und dankbar!


Pfiadseich
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110504/02920cd3/attachment.sig>

From Hullen at t-online.de  Wed May  4 11:13:00 2011
From: Hullen at t-online.de (Helmut Hullen)
Date: 04 May 2011 11:13:00 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
Message-ID: <BlE8yQdi1uB@helmut.hullen.de>

Hallo, Michael,

Du meintest am 04.05.11:

> Dass eine vertrauliche und verschlüsselte Kommunikation nur dann Sinn
> macht wenn von Ende zu Ende der Gesprächspartner verschlüsselt wird,
> braucht i.d.R. nicht weiter diskutiert werden.

> Im privaten Umfeld ist dies sicherlich die erste Wahl, wenn Klaus der
> Spammer mir eine verschlüsselte Nachricht schickt, verschlüsselt er
> diese mit meinem public-key an seinem MUA und ich entschlüssle an
> meinem MUA mit meinem privat key.

> Im geschäftlichen Umfeld ist dies jedoch nicht ganz so einfach. Denn
> hier wird ja unter Umständen auf Content und/oder Viren auf Systemen
> zwischen dem äußeren MX und dem BAckend-System(en) geprüft, da da
> fallen nunmal verschlüsselte Nachrichten per se durchs Raster.

> Also wird man hier schlichtweg das Ende der "End to End"
> Verschlüsselung neu definieren müssen. Definiert man nun das äußere
> MAilrelay als Endpunkt, so könnte dort oder "kurz dahinter" abgehende
> Post ver- und ankommende Nachrichten bei Bedarf entschlüsselt werden.

Keine direkte Hilfe, aber im Thread, der mit

EMP: /de/comp/security/misc
ABS: woffi42 at nurfuerspam.de (Wolfgang Krietsch)
BET: SSL "Man-in-the-Middle-Attack"
MID: 92aaqbFe1U1 at mid.individual.net
EDA: 20110503123003W+02

beginnt, könntest Du einige weitere Informationen finden.

Viele Gruesse!
Helmut


From postfix at cebe.cc  Wed May  4 12:20:27 2011
From: postfix at cebe.cc (Carsten Brandt)
Date: Wed, 04 May 2011 12:20:27 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?PGP_und_S/MIME_am_=E4u=DFeren?=
 =?iso-8859-15?q?_MX?=
In-Reply-To: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
Message-ID: <4DC1286B.3010905@cebe.cc>

Am 04.05.2011 10:29, schrieb Michael Nausch:
> Im privaten Umfeld ist dies sicherlich die erste Wahl, wenn Klaus der
> Spammer mir eine verschlüsselte Nachricht schickt, verschlüsselt er
> diese mit meinem public-key an seinem MUA und ich entschlüssle an meinem
> MUA mit meinem privat key.

Machen Spammer sowas überhaupt? Würde ich erstmal als extrem
Rechen-Aufwändig ansehen so ein Verfahren, da jede Mail pro Empfänger
neu generiert werden muss...
Sicher, möglich wäre das, aber wenn es quasi nie Eintritt, lohnt sich
imo der Aufwand nicht wirklich das verhindern zu wollen...?

MfG
Carsten

-- 
mail:  mail at cebe.cc
mobil: 0176 / 96 52 999 7
www:   http://cebe.cc/
pgp:   http://cebe.cc/cebe_pub.asc


From michael at nausch.org  Wed May  4 13:10:31 2011
From: michael at nausch.org (Michael Nausch)
Date: Wed, 04 May 2011 13:10:31 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC1286B.3010905@cebe.cc>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
	<4DC1286B.3010905@cebe.cc>
Message-ID: <20110504131031.bl4ki7zfccgw4g0k@buero.nausch.org>

Ahoi!

Quoting Carsten Brandt <postfix at cebe.cc>:

> Machen Spammer sowas überhaupt?

"Klaus der Spammer", das ist _der_running-gag_ schlechthin! Klaus  
heißt mien Admin-Kollege, der auch das Prädikat "Bonnie & Clyde der  
Postmaster-Szene!" führen darf. ;)

> Sicher, möglich wäre das, aber wenn es quasi nie Eintritt, lohnt sich
> imo der Aufwand nicht wirklich das verhindern zu wollen...?

Was genau möchtest Du damit ausdrücken; ich kann Dir da leider gar  
nicht folgen.


ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3854 bytes
Beschreibung: S/MIME krytographische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110504/c1516dd0/attachment.p7s>

From michael at nausch.org  Wed May  4 13:15:11 2011
From: michael at nausch.org (Michael Nausch)
Date: Wed, 04 May 2011 13:15:11 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <BlE8yQdi1uB@helmut.hullen.de>
References: <BlE8yQdi1uB@helmut.hullen.de>
Message-ID: <20110504131511.oz27zgt60o0ogwco@buero.nausch.org>

HI!

Quoting Helmut Hullen <Hullen at t-online.de>:
> Keine direkte Hilfe, aber im Thread, der mit
>
> EMP:

Also da habe ich jede Menge geiler T-Shirt gefunden bei emp.de, aber  
Du hattest es ja bereits treffend beschrieben.


ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3854 bytes
Beschreibung: S/MIME krytographische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110504/abc2c92a/attachment.p7s>

From postfix at cebe.cc  Wed May  4 13:19:23 2011
From: postfix at cebe.cc (Carsten Brandt)
Date: Wed, 04 May 2011 13:19:23 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?PGP_und_S/MIME_am_=E4u=DFeren?=
 =?iso-8859-15?q?_MX?=
In-Reply-To: <20110504131031.bl4ki7zfccgw4g0k@buero.nausch.org>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC1286B.3010905@cebe.cc>
	<20110504131031.bl4ki7zfccgw4g0k@buero.nausch.org>
Message-ID: <4DC1363B.9030904@cebe.cc>

Am 04.05.2011 13:10, schrieb Michael Nausch:
> Quoting Carsten Brandt <postfix at cebe.cc>:
>> Sicher, möglich wäre das, aber wenn es quasi nie Eintritt, lohnt sich
>> imo der Aufwand nicht wirklich das verhindern zu wollen...?
> 
> Was genau möchtest Du damit ausdrücken; ich kann Dir da leider gar nicht
> folgen.

Mir war bisher kein Fall bekannt, indem ein Spammer Nachrichten mit PGP
Verschlüsselt um Spam- und Viren-Schutz zu umgehen. Meine Frage war, ob
du so ein Verhalten schon beobachtet hast, oder ob es deiner Fantasie
entspringt ;-)
Nach meiner Erfahrung wäre ein solches Verfahren zu aufwändig, als dass
Spammer es einsetzen würden.

MfG
Carsten

-- 
mail:  mail at cebe.cc
mobil: 0176 / 96 52 999 7
www:   http://cebe.cc/
pgp:   http://cebe.cc/cebe_pub.asc


From Hullen at t-online.de  Wed May  4 13:30:00 2011
From: Hullen at t-online.de (Helmut Hullen)
Date: 04 May 2011 13:30:00 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <20110504131511.oz27zgt60o0ogwco@buero.nausch.org>
Message-ID: <BlE9ANui1uB@helmut.hullen.de>

Hallo, Michael,

Du meintest am 04.05.11:

>> Keine direkte Hilfe, aber im Thread, der mit
>>
>> EMP:

> Also da habe ich jede Menge geiler T-Shirt gefunden bei emp.de, aber
> Du hattest es ja bereits treffend beschrieben.

Entschuldige, dass ich die Angaben nicht mausclickfähig umformuliert  
habe.

Du darfst den Rechnungsbetrag um 10% kürzen.

Viele Gruesse!
Helmut


From michael at nausch.org  Wed May  4 13:44:49 2011
From: michael at nausch.org (Michael Nausch)
Date: Wed, 04 May 2011 13:44:49 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC1363B.9030904@cebe.cc>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
	<4DC1286B.3010905@cebe.cc>
	<20110504131031.bl4ki7zfccgw4g0k@buero.nausch.org>
	<4DC1363B.9030904@cebe.cc>
Message-ID: <20110504134449.po4wq0gt7kk8ck0c@buero.nausch.org>

Habedieehre!

Quoting Carsten Brandt <postfix at cebe.cc>:

> Meine Frage war, ob du so ein Verhalten schon beobachtet hast, oder  
> ob es deiner Fantasie entspringt ;-)

Weder das eine noch das andere! Mir ist auch noch keiner  
untergekommen, der SPAM verschlüsselt verschickt. Die Problematik, die  
sich darstellt ist vielmehr folgende:

Nur Nachrichten, die den SPAM-Schutz überwinden _und_ die Viren- und  
Contentfilter überleben, werden hier (Hier = eine von mir betraute  
Mailserverinfrastruktur) zugestellt. Der Rest, also z.B. verdächtige  
Nachrichten "Content"  und vor allem "Nachrichten ohne Virenprüfung"  
dürfen bei einer Installation, die ich betreue, per Definition _nicht_  
zugestellt werden, sondern werden quarantiert und müssen dann händisch  
nachbearbeitet werden. Bei einem nicht erlaubten Attachment kann man  
ja noch nachvollziehen, warum die Nachricht angehalten und nicht  
zugestellt worden ist.
_A_B_E_R_: Sowohl S/MIME als auch PGP-verschlüsselte Nachrichten  
können aktuell nicht auf Inhalt und Viren hin überprüft werden, da die  
Entschlüsselung _nicht_ am äußeren MX stattfindet, sondern beim MUA  
des Empfängers.

> Nach meiner Erfahrung wäre ein solches Verfahren zu aufwändig, als dass
> Spammer es einsetzen würden.

Die Frage ist nicht der Spammer, sondern wie und mit welcher Lösung  
können die Nachrichten AM äußeren MX ver- und entschlüsselt werden, so  
dass die in den DMZn beheimateten Filter ihren Dienst tun können?

Die Links von der Postfix-Seite sind leider nicht gerade der hit! :-/


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110504/5292d267/attachment.sig>

From michael at nausch.org  Wed May  4 13:51:24 2011
From: michael at nausch.org (Michael Nausch)
Date: Wed, 04 May 2011 13:51:24 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <BlE9ANui1uB@helmut.hullen.de>
References: <BlE9ANui1uB@helmut.hullen.de>
Message-ID: <20110504135124.ib5x0vjew4k8scsk@buero.nausch.org>

Griasdedbou!

Quoting Helmut Hullen <Hullen at t-online.de>:

> Entschuldige, dass ich die Angaben nicht mausclickfähig umformuliert
> habe.

Also wenn schon, dann bitte das nächste mal gleich so:
http://tinyurl.com/3reuvtk  <ROFTL>

> Du darfst den Rechnungsbetrag um 10% kürzen.

Wenn wir etwas kürzen, dann die Beine oder Hälse der Deliquenten! ;)


Pfiade
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110504/f1ba2f36/attachment.sig>

From igor.sverkos at googlemail.com  Wed May  4 14:51:35 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 04 May 2011 14:51:35 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?PGP_und_S/MIME_am_=E4u=DFeren?=
 =?iso-8859-15?q?_MX?=
In-Reply-To: <20110504134449.po4wq0gt7kk8ck0c@buero.nausch.org>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC1286B.3010905@cebe.cc>	<20110504131031.bl4ki7zfccgw4g0k@buero.nausch.org>	<4DC1363B.9030904@cebe.cc>
	<20110504134449.po4wq0gt7kk8ck0c@buero.nausch.org>
Message-ID: <4DC14BD7.4060902@googlemail.com>

Hallo,

Michael Nausch schrieb:
> Im privaten Umfeld ist dies sicherlich die erste Wahl, wenn Klaus der
> Spammer mir eine verschlüsselte Nachricht schickt, verschlüsselt er
> diese mit meinem public-key an seinem MUA und ich entschlüssle an
> meinem MUA mit meinem privat key.

Definieren bzw. differenzieren wir an der Stelle SPAM:

SPAM-Mails sind ungewollte Nachrichten. Typischerweise kommen sie von
einer mir unbekannten Person bzw. unter falscher Identität. Der Absender
ist meistens egal - meistens "informiert" der Text bzw. fordert dazu
auf, irgendeine Handlung auf einer Internetseite auszuführen.
Ungewollte Nachrichten können aber auch von realen Kontakten kommen.
Bspw. die Mail des Kollegen, der ständig Powerpoint-Dateien ungefragt an
mich sendet oder die Nachbarin, welche meine E-Mailadresse hat und mich
ungefragt in den Verteiler ihrer Bürgerinitiative zur Rettung
irgendeines Ungeziefers gepackt hat.

Heutige SPAM-Lösungen zielen imho nur darauf ab, erstere ungewollte
Nachrichten zu erkennen. Gegen letztere Mails können sie in der Regel
kaum etwas tun - so klug sind sie nicht (ich kann natürlich individuelle
Regeln erstellen... kommt Mail von Kollege mit PPT im Anhang, dann...).
Dem steht auch das Konzept des Whitelistings gegenüber...

Ein ähnliches Problem sehe ich bei der Filterung von verschlüsselten
Nachrichten. Bei einer individuellen Verschlüsselung ist dies
schlichtweg nicht möglich.

Vergleiche es mit dem Sekretariat und der Poststelle: Diese öffnen in
der Regel alle Nachrichten für den, für den sie arbeiten. Sobald aber
eine Nachricht fett mit "PRIVAT" beschriftet ist, dürfen sie das nicht
mehr tun. Jetzt könnte also ein Unternehmen auf die Idee kommen, die
Werbung, welche bisweilen von der Poststelle und in letzter Instanz vom
Sekretariat entsorgt wurde, in einen neutralen Umschlag zu verpacken und
"PERSÖNLICH" drauf schreiben - Filter umgangen.
Genau diese Schiene fahren ja einige Gewinnspiel-Werbefirmen...

Insofern stellt sich die Frage, was das Unternehmen, welches nun
Verschlüsselung einführen möchte, denn eigentlich damit erreichen will.

Geht es nur darum, dass eine Nachricht, die irgendwo abgefangen wird,
unlesbar ist? Dann reicht es, wenn bei den MTAs alle ausgehenden Mails
für den Unternehmenskey des Empfängers verschlüsselt werden. Gleiches
auf Seiten des anderen Unternehmens... dieses sendet an uns adressierte
Nachrichten nun auch an für unseren Unternehmenskey verschlüsselt. Unser
MTA entschlüsselt und speist sie nun entschlüsselt in unser Mailsystem
ein und niemand merkt etwas davon. :)

Wenn es jetzt möglich sein soll, dass individuell verschlüsselt wird,
brauchen wir klare Richtlinien im Unternehmen:

Wenn ich zuvor bspw. alles dafür getan habe, dass MAs keine Daten
entwenden können (USB Laufwerke gesperrt bzw. mit Lösungen von Sophos
jeden USB-Stick direkt verschlüsselt habe; Anhänge blockiere;
Datei-Uploads blockiere...) kann ich mir alles aushebeln, wenn ich
verschlüsselte Nachrichten zulassen ;)

PGP-Keys ermöglichen es bspw., dass ich für sie "Recovery-Keys"
definiere. Technisch sorgt das nur dafür, dass alle für den Key
verschlüsselten Nachrichten, auch für und damit durch diesen
Recovery-Key entschlüsselt werden können.

Das gibt mir als Unternehmen die Möglichkeit und Sicherheit, bei Bedarf
noch an die Kommunikation zu kommen. Aber das bedarf klarer Regeln...
Stichwort private Nutzung von E-Mails am Arbeitsplatz.

Um noch auf eine kommerzielle Lösung zu sprechen zu kommen: PGP
Universal Gateway Email ist hier eine vollständige Lösung. Neben dem MTA
kann auch jedem Desktop, damit MUA, ein Client laufen, der für die
Durchsetzung von Richtlinien sorgt.

Im Prinzip wird man Verschlüsselung in Unternehmen also nie individuell
wollen. Wenn doch, dann nur wenn zusätzlich für einen
Unternehmens/Recovery-Key verschlüsselt wird. Doch ob man damit dann
nicht die gewonnen Sicherheit wieder aufbricht...

P.s.: Denke bei der ganzen Sache auch an die Speicherung. Wenn eine
verschlüsselte Nachricht anschließend entschlüsselt im Mailspeicher
liegt, dann ist der Mailspeicher das schwächste Glied. Somit diente die
vorherige Verschlüsselung also wirklich nur zur Absicherung des
Transports vor unbefugtem Zugriff Dritter...


-- 
Ich Grüße,
Igor



From janikev at googlemail.com  Wed May  4 15:59:25 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 15:59:25 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
Message-ID: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>

Hallo,

ich habe das Tempverzeichnis für Amavis in eine Ramdisk gelegt.
(/var/spool/amavis/tmp), 180 MB.

Aus unerfindlichen Gründen ist das tmp Verzeichnis seit einigen
Stunden voll und nun stellt Amavis plötzlich keine Mails mehr zu,
log:

May  4 15:25:58 amavis[13250]: (13250-01) TIMING [total 102 ms] - SMTP
greeting: 6 (6%)6, SMTP EHLO: 1 (1%)7, SMTP pre-MAIL: 1 (1%)8, mkdir
tempdir: 0 (0%)8, create email.txt: 0 (0%)9, SMTP pre-DATA-flush: 48
(47%)55, rundown: 45 (45%)100
May  4 15:25:58 amavis[13250]: (13250-01) (!)ESMTP: NOTICE: ABORTING
the session: Can't write to mail file: 28 at (eval 96) line 733,
<GEN7> chunk 130.
May  4 15:25:58 postfix/smtpd[12192]: warning: lost connection with
proxy localhost:10024

Alle Dienste laufen...im tmp Vz. liegen nun lauter Emails, wie kann
ich die Zustelllung erzwingen?


From p.heinlein at heinlein-support.de  Wed May  4 16:14:07 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 4 May 2011 16:14:07 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
Message-ID: <201105041614.07905.p.heinlein@heinlein-support.de>

Am Mittwoch, 4. Mai 2011, 15:59:25 schrieb jani kev:


> Alle Dienste laufen...im tmp Vz. liegen nun lauter Emails, wie kann
> ich die Zustelllung erzwingen?

Fehler beheben.  Daß das volläuft ist kein Bug, sondern ein feature.

greppe mal nach EVIDENCE im Logffile, lies dne Zusammenhang und behebe 
das Problem.

Peer


-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From janikev at googlemail.com  Wed May  4 16:30:04 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 16:30:04 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <201105041614.07905.p.heinlein@heinlein-support.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041614.07905.p.heinlein@heinlein-support.de>
Message-ID: <BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>

Am 4. Mai 2011 16:14 schrieb Peer Heinlein <p.heinlein at heinlein-support.de>:
> Am Mittwoch, 4. Mai 2011, 15:59:25 schrieb jani kev:
>
>
>> Alle Dienste laufen...im tmp Vz. liegen nun lauter Emails, wie kann
>> ich die Zustelllung erzwingen?
>
> Fehler beheben.  Daß das volläuft ist kein Bug, sondern ein feature.
>
> greppe mal nach EVIDENCE im Logffile, lies dne Zusammenhang und behebe
> das Problem.
>
> Peer
>
>
> --
>
> Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
> 26./27. Mai 2011 - http://www.heinlein-support.de/mk
>
> Heinlein Professional Linux Support GmbH
> Linux: Akademie - Support - Hosting
>
> http://www.heinlein-support.de
> Tel: 030 / 40 50 51 - 0
> Fax: 030 / 40 50 51 - 19
>
> Zwangsangaben lt. §35a GmbHG:
> HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

da sind Meldungen, im Prinzip listet er die Verzeichnisnamen aus
/var/spool/amais/tmp/ auf, das sagt mir nichts :-(

server:/ # grep EVIDENCE /var/log/mail
May  4 11:12:59 amavis[5180]: (05180-01) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T111247-05180
May  4 11:14:15 amavis[4899]: (04899-04) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T105513-04899
May  4 11:58:51 amavis[6843]: (06843-04) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T114242-06843
May  4 12:34:54 amavis[7541]: (07541-05) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T120712-07541
May  4 12:36:00 amavis[7722]: (07722-04) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T121817-07722
May  4 13:34:12 amavis[9921]: (09921-01) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T133412-09921
May  4 13:34:34 amavis[9951]: (09951-01) (!)PRESERVING EVIDENCE in
/var/spool/amavis/tmp/amavis-20110504T133434-09951

Im log ansonsten nur die o.g. Meckereien, dass er nicht schreiben kann
(weil voll ist)

Als "Akutlösung" habe ich nun die ganzen Ordner aus dem tmp-Vz.
erstmal verschoben, nun stellt er wieder zu - aber was ist mit den
verschobenen Verzeichnissen - sind da noch nicht zugestellte Emails
enthalten?


From p.heinlein at heinlein-support.de  Wed May  4 16:34:46 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 4 May 2011 16:34:46 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041614.07905.p.heinlein@heinlein-support.de>
	<BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>
Message-ID: <201105041634.46541.p.heinlein@heinlein-support.de>

Am Mittwoch, 4. Mai 2011, 16:30:04 schrieb jani kev:

> da sind Meldungen, im Prinzip listet er die Verzeichnisnamen aus
> /var/spool/amais/tmp/ auf, das sagt mir nichts :-(

Ich meinte mit "lies den Kontext": 

Lies den kompletten Vorgang. Der besteht aus mehreren Zeilen.

> server:/ # grep EVIDENCE /var/log/mail
> May  4 11:12:59 amavis[5180]: (05180-01) (!)PRESERVING EVIDENCE in
> /var/spool/amavis/tmp/amavis-20110504T111247-05180

Und nun

grep 05180-01 /var/log/mail


Peer


-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From Ralf.Hildebrandt at charite.de  Wed May  4 16:38:00 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 4 May 2011 16:38:00 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
Message-ID: <20110504143800.GM10205@charite.de>

* jani kev <janikev at googlemail.com>:
> Hallo,
> 
> ich habe das Tempverzeichnis für Amavis in eine Ramdisk gelegt.
> (/var/spool/amavis/tmp), 180 MB.
> 
> Aus unerfindlichen Gründen ist das tmp Verzeichnis seit einigen
> Stunden voll und nun stellt Amavis plötzlich keine Mails mehr zu,
> log:
> 
> May  4 15:25:58 amavis[13250]: (13250-01) TIMING [total 102 ms] - SMTP
> greeting: 6 (6%)6, SMTP EHLO: 1 (1%)7, SMTP pre-MAIL: 1 (1%)8, mkdir
> tempdir: 0 (0%)8, create email.txt: 0 (0%)9, SMTP pre-DATA-flush: 48
> (47%)55, rundown: 45 (45%)100
> May  4 15:25:58 amavis[13250]: (13250-01) (!)ESMTP: NOTICE: ABORTING
> the session: Can't write to mail file: 28 at (eval 96) line 733,
> <GEN7> chunk 130.
> May  4 15:25:58 postfix/smtpd[12192]: warning: lost connection with
> proxy localhost:10024
> 
> Alle Dienste laufen...im tmp Vz. liegen nun lauter Emails, wie kann
> ich die Zustelllung erzwingen?

amavis anhalten
verzeichnis leeren
amavis starten

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Wed May  4 16:39:07 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 4 May 2011 16:39:07 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041614.07905.p.heinlein@heinlein-support.de>
	<BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>
Message-ID: <20110504143907.GN10205@charite.de>

* jani kev <janikev at googlemail.com>:

> May  4 11:12:59 amavis[5180]: (05180-01) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T111247-05180
> May  4 11:14:15 amavis[4899]: (04899-04) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T105513-04899
> May  4 11:58:51 amavis[6843]: (06843-04) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T114242-06843
> May  4 12:34:54 amavis[7541]: (07541-05) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T120712-07541
> May  4 12:36:00 amavis[7722]: (07722-04) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T121817-07722
> May  4 13:34:12 amavis[9921]: (09921-01) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T133412-09921
> May  4 13:34:34 amavis[9951]: (09951-01) (!)PRESERVING EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T133434-09951

Genau, die Mails in den Verzeichnissen haben Probleme gemacht, daher
hat er die Mail liegengelassen

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From janikev at googlemail.com  Wed May  4 16:45:08 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 16:45:08 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <201105041634.46541.p.heinlein@heinlein-support.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041614.07905.p.heinlein@heinlein-support.de>
	<BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
Message-ID: <BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>

Am 4. Mai 2011 16:34 schrieb Peer Heinlein <p.heinlein at heinlein-support.de>:
> Am Mittwoch, 4. Mai 2011, 16:30:04 schrieb jani kev:
>
>> da sind Meldungen, im Prinzip listet er die Verzeichnisnamen aus
>> /var/spool/amais/tmp/ auf, das sagt mir nichts :-(
>
> Ich meinte mit "lies den Kontext":
>
> Lies den kompletten Vorgang. Der besteht aus mehreren Zeilen.
>
>> server:/ # grep EVIDENCE /var/log/mail
>> May  4 11:12:59 amavis[5180]: (05180-01) (!)PRESERVING EVIDENCE in
>> /var/spool/amavis/tmp/amavis-20110504T111247-05180
>
> Und nun
>
> grep 05180-01 /var/log/mail
>
>
> Peer
>
>
> --
>
> Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
> 26./27. Mai 2011 - http://www.heinlein-support.de/mk
>
> Heinlein Professional Linux Support GmbH
> Linux: Akademie - Support - Hosting
>
> http://www.heinlein-support.de
> Tel: 030 / 40 50 51 - 0
> Fax: 030 / 40 50 51 - 19
>
> Zwangsangaben lt. §35a GmbHG:
> HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

OK, das ist der entscheidende Tipp. Danke.

Überall im log der gleiche Grund:

 (!!)TROUBLE in check_mail: mime_decode-1 FAILED: MIME::Parser: can't
close: No space left on device at ...

Also war die ramdisk voll - warum, ist noch zu klären. Ich denke mal,
die Ramdisk ist zu klein (180 MB)? In master.cf habe ich 15 amavis
Instanzen (maxproc = 15) erlaubt. Ist das zuviel?

Und ganz vorsichtig nochmal nachgehakt - das ausmisten des tmp
Verzeichnisses - kann da etwas noch nicht zugestelltes gewesen sein,
eigentlich müsste doch jetzt vom einliefernden Mailserver neu
zugestellt werden, oder?

Gruß
JaniKev


From janikev at googlemail.com  Wed May  4 16:50:48 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 16:50:48 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <20110504143800.GM10205@charite.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<20110504143800.GM10205@charite.de>
Message-ID: <BANLkTikT2G1qNisAdcxL=QNdOjwkAyZVXg@mail.gmail.com>

Am 4. Mai 2011 16:38 schrieb Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
> * jani kev <janikev at googlemail.com>:
>> Hallo,
>>
>> ich habe das Tempverzeichnis für Amavis in eine Ramdisk gelegt.
>> (/var/spool/amavis/tmp), 180 MB.
>>
>> Aus unerfindlichen Gründen ist das tmp Verzeichnis seit einigen
>> Stunden voll und nun stellt Amavis plötzlich keine Mails mehr zu,
>> log:
>>
>> May  4 15:25:58 amavis[13250]: (13250-01) TIMING [total 102 ms] - SMTP
>> greeting: 6 (6%)6, SMTP EHLO: 1 (1%)7, SMTP pre-MAIL: 1 (1%)8, mkdir
>> tempdir: 0 (0%)8, create email.txt: 0 (0%)9, SMTP pre-DATA-flush: 48
>> (47%)55, rundown: 45 (45%)100
>> May  4 15:25:58 amavis[13250]: (13250-01) (!)ESMTP: NOTICE: ABORTING
>> the session: Can't write to mail file: 28 at (eval 96) line 733,
>> <GEN7> chunk 130.
>> May  4 15:25:58 postfix/smtpd[12192]: warning: lost connection with
>> proxy localhost:10024
>>
>> Alle Dienste laufen...im tmp Vz. liegen nun lauter Emails, wie kann
>> ich die Zustelllung erzwingen?
>
> amavis anhalten
> verzeichnis leeren
> amavis starten
>
> --
> Ralf Hildebrandt
>  Geschäftsbereich IT | Abteilung Netzwerk
>  Charité - Universitätsmedizin Berlin
>  Campus Benjamin Franklin
>  Hindenburgdamm 30 | D-12203 Berlin
>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>  ralf.hildebrandt at charite.de | http://www.charite.de
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

ja das habe ich (die Posts hier im Forum haben sich überschnitten)
gemacht, löppt.  - jetzt habe ich nur Sorge, dass dadurch "etwas" aus
dem tmp Vz. verloren gegangen ist?


From werner at aloah-from-hell.de  Wed May  4 17:04:20 2011
From: werner at aloah-from-hell.de (Werner)
Date: Wed, 04 May 2011 17:04:20 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTikT2G1qNisAdcxL=QNdOjwkAyZVXg@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>	<20110504143800.GM10205@charite.de>
	<BANLkTikT2G1qNisAdcxL=QNdOjwkAyZVXg@mail.gmail.com>
Message-ID: <4DC16AF4.5000005@aloah-from-hell.de>


> ja das habe ich (die Posts hier im Forum haben sich überschnitten)
> gemacht, löppt.  - jetzt habe ich nur Sorge, dass dadurch "etwas" aus
> dem tmp Vz. verloren gegangen ist?

"tmp"-Verzeichnis ...



From Ralf.Hildebrandt at charite.de  Wed May  4 17:07:35 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 4 May 2011 17:07:35 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041614.07905.p.heinlein@heinlein-support.de>
	<BANLkTim-Kmy=Et7FwFfA1EKs6eefOfnGHQ@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
Message-ID: <20110504150735.GP10205@charite.de>

* jani kev <janikev at googlemail.com>:

> OK, das ist der entscheidende Tipp. Danke.
> 
> Überall im log der gleiche Grund:
> 
>  (!!)TROUBLE in check_mail: mime_decode-1 FAILED: MIME::Parser: can't
> close: No space left on device at ...

Eiegtnlich müsste davor irgendwann mal einer einen anderen Grund haben

> Also war die ramdisk voll - warum, ist noch zu klären. Ich denke mal,
> die Ramdisk ist zu klein (180 MB)? In master.cf habe ich 15 amavis
> Instanzen (maxproc = 15) erlaubt. Ist das zuviel?

d.h. jede Instanz kann 180/15MB nutzen = 12MB. Das muss reichen für
Mail + ausgepackte Mail.
-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From p.heinlein at heinlein-support.de  Wed May  4 17:10:40 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 4 May 2011 17:10:40 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
Message-ID: <201105041710.40335.p.heinlein@heinlein-support.de>

Am Mittwoch, 4. Mai 2011, 16:45:08 schrieb jani kev:

>  (!!)TROUBLE in check_mail: mime_decode-1 FAILED: MIME::Parser: can't
> close: No space left on device at ...

Ja. Logisch.

Das ist das ENDE.

eben WEIL schon viele mails (wegen des eigentlichen problems) rumliegen, 
ist JETZT auch kein Platz mehr da. Das ist aber nicht das, was Du 
suchst.

Also nochmal:

a) Du suchst nach EVIDENCE nach dem *** ERSTEN *** Auftreten im logfile. 
Vielleicht auch gestern. zgrep/bzgrep läßt grüßen

b) Du holst Dir DAVON das Log

c) Alles andere sind Folgefehler und interessieren nicht.
 
> Also war die ramdisk voll - warum, ist noch zu klären. Ich denke mal,

Ja. Siehe erstes EVIDENCE. 

> die Ramdisk ist zu klein (180 MB)? In master.cf habe ich 15 amavis
> Instanzen (maxproc = 15) erlaubt. Ist das zuviel?

Nein. Sie ist voll weil Amavis Mails hat absichtlich liegen lassen und 
DAS ist die Frage.
 
> Und ganz vorsichtig nochmal nachgehakt - das ausmisten des tmp
> Verzeichnisses - kann da etwas noch nicht zugestelltes gewesen sein,
> eigentlich müsste doch jetzt vom einliefernden Mailserver neu
> zugestellt werden, oder?

Da geht nichts verloren. Keine Angst.

Peer


-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From Ralf.Hildebrandt at charite.de  Wed May  4 17:13:28 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 4 May 2011 17:13:28 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <201105041710.40335.p.heinlein@heinlein-support.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
	<201105041710.40335.p.heinlein@heinlein-support.de>
Message-ID: <20110504151328.GS10205@charite.de>

* Peer Heinlein <p.heinlein at heinlein-support.de>:

> a) Du suchst nach EVIDENCE nach dem *** ERSTEN *** Auftreten im logfile. 
> Vielleicht auch gestern. zgrep/bzgrep läßt grüßen

Oder noch länger her.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From janikev at googlemail.com  Wed May  4 17:48:00 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 17:48:00 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <20110504151328.GS10205@charite.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
	<201105041710.40335.p.heinlein@heinlein-support.de>
	<20110504151328.GS10205@charite.de>
Message-ID: <BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>

Am 4. Mai 2011 17:13 schrieb Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
> * Peer Heinlein <p.heinlein at heinlein-support.de>:
>
>> a) Du suchst nach EVIDENCE nach dem *** ERSTEN *** Auftreten im logfile.
>> Vielleicht auch gestern. zgrep/bzgrep läßt grüßen
>
> Oder noch länger her.
>
> --
> Ralf Hildebrandt
>  Geschäftsbereich IT | Abteilung Netzwerk
>  Charité - Universitätsmedizin Berlin
>  Campus Benjamin Franklin
>  Hindenburgdamm 30 | D-12203 Berlin
>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>  ralf.hildebrandt at charite.de | http://www.charite.de
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

So, alle logs sorgfältig durchgegraben. Der erste Vorfall sieht so aus:

amavis[5180]: (05180-01) (!!)TROUBLE in check_mail: mime_decode-1
FAILED: MIME::Parser: can't close: No space left on device at
/usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser.pm line 868.


Hinter der id (05180-01) verbirgt sich eine große Mail, also mit
irgendeinem Anhang:

May  4 11:12:47 h1791313 amavis[5180]: (05180-01) ESMTP::10024
/var/spool/amavis/tmp/amavis-20110504T111247-05180:
<ersetzt:absender-adresse> -> <ersetzt:empfaenger-adresse>
SIZE=71187356 Received: from dieser.mailserver.xx ([127.0.0.1]) by
localhost (dermailserver.xx [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP for <ersetzt:empfaenger-adresse>; Wed,  4 May 2011 11:12:47
+0200 (CEST)
May  4 11:12:55 h1791313 amavis[5180]: (05180-01) Checking:
69lPbmHp4EjO [81.169.146.162] <ersetzt:absender-adresse> ->
<ersetzt:empfaenger-adresse>
May  4 11:12:59 h1791313 amavis[5180]: (05180-01) (!!)TROUBLE in
check_mail: mime_decode-1 FAILED: MIME::Parser: can't close: No space
left on device at /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser.pm
line 868.
May  4 11:12:59 h1791313 amavis[5180]: (05180-01) (!)PRESERVING
EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T111247-05180


Wieso das Verzeichnis /usr/lib/perl5/vendor_perl/5.10.0/MIME/ voll
sein soll ist mir ein Rätsel,

# du /usr/lib/perl5/vendor_perl/5.10.0/MIME/

sagt:

44      /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser
32      /usr/lib/perl5/vendor_perl/5.10.0/MIME/Field
36      /usr/lib/perl5/vendor_perl/5.10.0/MIME/Decoder
364     /usr/lib/perl5/vendor_perl/5.10.0/MIME/

und

 # df

läßt auch keine Sorgen aufkommen:

Dateisystem          1K?Blöcke   Benutzt Verfügbar Ben% Eingehängt auf
/dev/xvda3            50565272   6921124  41075576  15% /
udev                    458208        92    458116   1% /dev
/dev/xvda1               52005     13042     36278  27% /boot
/dev/xvda4            36123168   1347772  32940372   4% /var
/dev/shm                184320       252    184068   1% /var/spool/amavis/tmp

Ich gehe also mal davon aus, dass sich das o.g. perl script irgendwie
verschluckt hat, vielleicht am zu großen Anhang. Jetzt läuft ja auch
alles wieder und die ramdisk(Amavis tmp) bleibt bis jetzt auch frei.

Vielen Dank an alle Helfer!!!


From Ralf.Hildebrandt at charite.de  Wed May  4 17:55:44 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 4 May 2011 17:55:44 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
	<201105041710.40335.p.heinlein@heinlein-support.de>
	<20110504151328.GS10205@charite.de>
	<BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
Message-ID: <20110504155544.GW10205@charite.de>

* jani kev <janikev at googlemail.com>:

> amavis[5180]: (05180-01) (!!)TROUBLE in check_mail: mime_decode-1
> FAILED: MIME::Parser: can't close: No space left on device at
> /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser.pm line 868.
> 
> 
> Hinter der id (05180-01) verbirgt sich eine große Mail, also mit
> irgendeinem Anhang:
> 
> May  4 11:12:47 h1791313 amavis[5180]: (05180-01) ESMTP::10024
> /var/spool/amavis/tmp/amavis-20110504T111247-05180:
> <ersetzt:absender-adresse> -> <ersetzt:empfaenger-adresse>
> SIZE=71 187 356 Received: from dieser.mailserver.xx ([127.0.0.1]) by

71MB

> Wieso das Verzeichnis /usr/lib/perl5/vendor_perl/5.10.0/MIME/ voll
> sein soll ist mir ein Rätsel,

Nein. Das sagt dass das Programm DORT in der Zeile gemerkt hat dass es nicht mehr
schreiben kann.

> Ich gehe also mal davon aus, dass sich das o.g. perl script irgendwie
> verschluckt hat, vielleicht am zu großen Anhang. Jetzt läuft ja auch
> alles wieder und die ramdisk(Amavis tmp) bleibt bis jetzt auch frei.

Na, deine Ramdisk ist viel zu klein für deine erlaubten Mailgrößen!!!
Du brauchts mindestens

2*maximale_mailgröße*15 an Platz (15 Amavis instanzen, jeweils mail+ausgepackte mail)
-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From jk at jkart.de  Wed May  4 17:52:12 2011
From: jk at jkart.de (Jim Knuth)
Date: Wed, 04 May 2011 17:52:12 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>	<201105041634.46541.p.heinlein@heinlein-support.de>	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>	<201105041710.40335.p.heinlein@heinlein-support.de>	<20110504151328.GS10205@charite.de>
	<BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
Message-ID: <4DC1762C.6010401@jkart.de>

am 04.05.11 17:48 schrieb jani kev <janikev at googlemail.com>:

> amavis[5180]: (05180-01) (!!)TROUBLE in check_mail: mime_decode-1
> FAILED: MIME::Parser: can't close: No space left on device at
> /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser.pm line 868.
>
>
> Hinter der id (05180-01) verbirgt sich eine große Mail, also mit
> irgendeinem Anhang:
>
> May  4 11:12:47 h1791313 amavis[5180]: (05180-01) ESMTP::10024
> /var/spool/amavis/tmp/amavis-20110504T111247-05180:
> <ersetzt:absender-adresse>  ->  <ersetzt:empfaenger-adresse>
> SIZE=71187356 Received: from dieser.mailserver.xx ([127.0.0.1]) by
> localhost (dermailserver.xx [127.0.0.1]) (amavisd-new, port 10024)
> with ESMTP for<ersetzt:empfaenger-adresse>; Wed,  4 May 2011 11:12:47
> +0200 (CEST)
> May  4 11:12:55 h1791313 amavis[5180]: (05180-01) Checking:
> 69lPbmHp4EjO [81.169.146.162]<ersetzt:absender-adresse>  ->
> <ersetzt:empfaenger-adresse>
> May  4 11:12:59 h1791313 amavis[5180]: (05180-01) (!!)TROUBLE in
> check_mail: mime_decode-1 FAILED: MIME::Parser: can't close: No space
> left on device at /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser.pm
> line 868.
> May  4 11:12:59 h1791313 amavis[5180]: (05180-01) (!)PRESERVING
> EVIDENCE in /var/spool/amavis/tmp/amavis-20110504T111247-05180
>
>
> Wieso das Verzeichnis /usr/lib/perl5/vendor_perl/5.10.0/MIME/ voll
> sein soll ist mir ein Rätsel,

nee, in Zeile 868 v. Parser.pm wird auf das Verzeichnis verwiesen :?

>
> # du /usr/lib/perl5/vendor_perl/5.10.0/MIME/
>
> sagt:
>
> 44      /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser
> 32      /usr/lib/perl5/vendor_perl/5.10.0/MIME/Field
> 36      /usr/lib/perl5/vendor_perl/5.10.0/MIME/Decoder
> 364     /usr/lib/perl5/vendor_perl/5.10.0/MIME/
>
> und
>
>   # df
>
> läßt auch keine Sorgen aufkommen:
>
> Dateisystem          1K?Blöcke   Benutzt Verfügbar Ben% Eingehängt auf
> /dev/xvda3            50565272   6921124  41075576  15% /
> udev                    458208        92    458116   1% /dev
> /dev/xvda1               52005     13042     36278  27% /boot
> /dev/xvda4            36123168   1347772  32940372   4% /var
> /dev/shm                184320       252    184068   1% /var/spool/amavis/tmp
>
> Ich gehe also mal davon aus, dass sich das o.g. perl script irgendwie
> verschluckt hat, vielleicht am zu großen Anhang. Jetzt läuft ja auch
> alles wieder und die ramdisk(Amavis tmp) bleibt bis jetzt auch frei.
>
> Vielen Dank an alle Helfer!!!


-- 
Mit freundlichen Grüßen,
Jim Knuth

P.S.: Bitte HTML-Mails!
Zufallszitat:
Das Publikum weiß erst dann, was es will,
wenn es das, was es will, zu sehen bekommt.
(Samuel Goldwyn)


From postfixbuch-users at gmj.cjb.net  Wed May  4 18:50:12 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 04 May 2011 18:50:12 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?PGP_und_S/MIME_am_=C3=A4u=C3=9Feren?= =?utf-8?q?_MX?=
In-Reply-To: <4DC14BD7.4060902@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC1286B.3010905@cebe.cc>	<20110504131031.bl4ki7zfccgw4g0k@buero.nausch.org>	<4DC1363B.9030904@cebe.cc>	<20110504134449.po4wq0gt7kk8ck0c@buero.nausch.org>
	<4DC14BD7.4060902@googlemail.com>
Message-ID: <4DC183C4.5020202@gmj.cjb.net>

Am 04.05.11 14:51, schrieb Igor Sverkos:

[...]

> Somit diente die vorherige Verschlüsselung also wirklich nur zur
> Absicherung des Transports vor unbefugtem Zugriff Dritter...

Du weißt aber schon, dass es für Transportverschlüsselung effizientere
Wege des Mailversands gibt als PGP (und das in vielen Fällen heute
auch schon per Default genutzt wird)?

PGP und S/MIME benutzt man gerade dann, wenn man eine
Ende-zu-Ende-Verschlüsselung haben will.

Falls Du das nicht haben willst, filtere es heraus!

Gruß,
Mathias


From janikev at googlemail.com  Wed May  4 20:24:19 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 20:24:19 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <4DC1762C.6010401@jkart.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
	<201105041710.40335.p.heinlein@heinlein-support.de>
	<20110504151328.GS10205@charite.de>
	<BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
	<4DC1762C.6010401@jkart.de>
Message-ID: <BANLkTi=ArxEhikjuGiqL1qWWEb4nMHkQzQ@mail.gmail.com>

,
>
> nee, in Zeile 868 v. Parser.pm wird auf das Verzeichnis verwiesen :?
>
> --
> Mit freundlichen Grüßen,
> Jim Knuth
>
> P.S.: Bitte HTML-Mails!
> Zufallszitat:
> Das Publikum weiß erst dann, was es will,
> wenn es das, was es will, zu sehen bekommt.
> (Samuel Goldwyn)
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

In /usr/lib/perl5/vendor_perl/5.10.0/MIME/Parser.pm

Zeile 868, da steht:
...
864    ### Decode and save the body (using the decoder):
865    my $DECODED = $body->open("w") or die "$ME: body not opened: $!";
866    eval { $decoder->decode($ENCODED, $DECODED); };
867    $@ and $self->error($@);
868    $DECODED->close or die "$ME: can't close: $!";
...

Nun bin ich absolut kein perl-profi, aber ich denke, das ist bloß die
Stelle wo er geplant stirbt... vielleicht ist die Meldung (no space on
device left / Platte ist voll)  ja auch nur ein Programmierfehler,
also einfach unzutreffend.


From janikev at googlemail.com  Wed May  4 20:42:10 2011
From: janikev at googlemail.com (jani kev)
Date: Wed, 4 May 2011 20:42:10 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <20110504155544.GW10205@charite.de>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
	<201105041710.40335.p.heinlein@heinlein-support.de>
	<20110504151328.GS10205@charite.de>
	<BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
	<20110504155544.GW10205@charite.de>
Message-ID: <BANLkTi=7ioFkJP=uc6ntQ0svm4XW8LS5tQ@mail.gmail.com>

> Na, deine Ramdisk ist viel zu klein für deine erlaubten Mailgrößen!!!
> Du brauchts mindestens
>
> 2*maximale_mailgröße*15 an Platz (15 Amavis instanzen, jeweils mail+ausgepackte mail)
> --
> Ralf Hildebrandt
>  Geschäftsbereich IT | Abteilung Netzwerk
>  Charité - Universitätsmedizin Berlin
>  Campus Benjamin Franklin
>  Hindenburgdamm 30 | D-12203 Berlin
>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>  ralf.hildebrandt at charite.de | http://www.charite.de
>
Ja - das passe ich jetzt an. Der server (virtuell) bekommt mehr Ram,
dan kann auch die Ramdisk größer werden. Aus Schaden wird man klug.
Obwohl die Konfiguration seit einem Jahr so läuft ... mit 71 MB Emails
rechnet man ja eigentlich auch nicht :). Ab jetzt gilt
message_size_limit=30720000


From Ralf.Hildebrandt at charite.de  Wed May  4 22:13:11 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 4 May 2011 22:13:11 +0200
Subject: [Postfixbuch-users] Amavis: Ramdisk (tmp-Verzeichnis) voll
In-Reply-To: <BANLkTi=7ioFkJP=uc6ntQ0svm4XW8LS5tQ@mail.gmail.com>
References: <BANLkTiksH1yrPSD7Nhf3-Ez-BugiRZspug@mail.gmail.com>
	<201105041634.46541.p.heinlein@heinlein-support.de>
	<BANLkTim2oSRj1MhS1F18e2Ki7_+z74gM9A@mail.gmail.com>
	<201105041710.40335.p.heinlein@heinlein-support.de>
	<20110504151328.GS10205@charite.de>
	<BANLkTikBpSwp_ch6NDsyj=AcgpmkGpSrhg@mail.gmail.com>
	<20110504155544.GW10205@charite.de>
	<BANLkTi=7ioFkJP=uc6ntQ0svm4XW8LS5tQ@mail.gmail.com>
Message-ID: <20110504201311.GC23747@charite.de>

* jani kev <janikev at googlemail.com>:

> Ja - das passe ich jetzt an. Der server (virtuell) bekommt mehr Ram,
> dan kann auch die Ramdisk größer werden. Aus Schaden wird man klug.
> Obwohl die Konfiguration seit einem Jahr so läuft ... mit 71 MB Emails
> rechnet man ja eigentlich auch nicht :). Ab jetzt gilt
> message_size_limit=30720000

Ja, das wäre die ALternative.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From pw at wk-serv.de  Thu May  5 13:44:52 2011
From: pw at wk-serv.de (Patrick Westenberg)
Date: Thu, 05 May 2011 13:44:52 +0200
Subject: [Postfixbuch-users] Wie sind eure Postausgangsserver konfiguriert?
Message-ID: <4DC28DB4.3070907@wk-serv.de>

Hallo zusammen,

mich würde interessieren wie ihr eure Postausgangsserver konfiguriert.

Speziell interessiert mich ob ihr dort auch schon Spamfilterung oder
sonstige Prüfungen vornehmen lasst oder ob ihr E-Mails an Empfänger,
die auch bei zu euch gehören, direkt von diesem Server in die Mailbox
einliefern lasst oder ist er ganz "dumm" und verschickt alles.

Gruß
Patrick


From driessen at fblan.de  Thu May  5 15:27:05 2011
From: driessen at fblan.de (Driessen)
Date: Thu, 5 May 2011 15:27:05 +0200
Subject: [Postfixbuch-users] Wie sind eure Postausgangsserver
	konfiguriert?
In-Reply-To: <4DC28DB4.3070907@wk-serv.de>
References: <4DC28DB4.3070907@wk-serv.de>
Message-ID: <001501cc0b28$20bdd190$0565a8c0@uwe>

On Behalf Of Patrick Westenberg
> 
> Hallo zusammen,
> 
> mich würde interessieren wie ihr eure Postausgangsserver konfiguriert.
> 
> Speziell interessiert mich ob ihr dort auch schon Spamfilterung oder
> sonstige Prüfungen vornehmen lasst oder ob ihr E-Mails an Empfänger,
> die auch bei zu euch gehören, direkt von diesem Server in die Mailbox
> einliefern lasst oder ist er ganz "dumm" und verschickt alles.
> 

Hier wird grundsätzlich alles geprüft ob rein oder raus.
Eigene User bekommen lediglich einen gewissen freiscore bei der Spamprüfung.

Würde über meinen Server von eigenen Usern Spam verschickt werden wäre es
auch nur eine Frage der Zeit bis das dieser auf Blacklist landet, von daher
auch eigene User haben sich an bestimmte Restriktionen zu halten. 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From tobias.luithardt at r1net.de  Thu May  5 15:44:59 2011
From: tobias.luithardt at r1net.de (Tobias Luithardt)
Date: Thu, 5 May 2011 13:44:59 +0000
Subject: [Postfixbuch-users]
	TLS:	Validierung	Zertifikat	bei	Zertifikatskette
In-Reply-To: <4DBADAB3.80801@gmj.cjb.net>
References: <351FF9D8043ED54E82D6B2D7ED0BA1379938F8@R1-WIN2008-EX10.r1-net.local>,
	<00ca01cc00e8$9157e110$b407a330$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137993E09@R1-WIN2008-EX10.r1-net.local>, 
	<001f01cc029d$0aa6b400$1ff41c00$@it-blog.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994DD5@R1-WIN2008-EX10.r1-net.local>, 
	<4DB67CC5.6050205@gmj.cjb.net>
	<351FF9D8043ED54E82D6B2D7ED0BA137994E4F@R1-WIN2008-EX10.r1-net.local>, 
	<4DB68C33.7000606@makomi.de>
	<351FF9D8043ED54E82D6B2D7ED0BA13799582E@R1-WIN2008-EX10.r1-net.local>,
	<4DBADAB3.80801@gmj.cjb.net>
Message-ID: <351FF9D8043ED54E82D6B2D7ED0BA137997B52@R1-WIN2008-EX10.r1-net.local>

>> Nehmen wir einmal das Fortune500 Unternehmen Daimler(mail-in.daimler.com)
>> Wenn ich hier die RootCA(70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf)
>> hinterlege bekomme ich "Verify return code: 0 (ok)"
>>
>> Sobald ich aber die RootCA entferne und beide SubCAs
>> (6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91 und 1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78)
>> hinterlege, bekomme ich ein "19 (self signed certificate in certificate chain)"
                                   ^^^^^^^^^^^^^^^^^^^^^^^

>Das Problem ist, dass der Server auch das Root-CA-Zertifikat
>in der Kette mitliefert, es nach dem Entfernen aus
>/etc/ssl/certs aber nicht mehr verifiziert werden kann.

>> Könnt Ihr das auch so nachstellen?

>Ja. Das Zertifikat als solches wird aber korrekt verifiziert
>(wenn die Root-CA nicht in der Kette ist).

>--------------------------------------------------------------
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
>     Verify return code: 0 (ok)
> root at datengrab:~# ls -l /etc/ssl/certs/7651b327.0
> lrwxrwxrwx 1 root root 59 29. Apr 16:41 /etc/ssl/certs/7651b327.0 -> Verisign_Class_3_Public_Primary_Certification_Authority.pem
> root at datengrab:~# rm /etc/ssl/certs/7651b327.0
> root at datengrab:~# echo quit | openssl s_client -CApath /etc/ssl/certs -starttls smtp -connect mail-in.daimler.com:25 2>&1 | grep 'Verify return code'
>     Verify return code: 19 (self signed certificate in certificate chain)
> root at datengrab:~# openssl verify -CAfile /tmp/VeriSign_Class_3_Secure_Server_CA.pem /tmp/mail-in.daimler.com.pem
> /tmp/mail-in.daimler.com.pem: OK
> root at datengrab:~# c_rehash
>--------------------------------------------------------------

ich habe mir mal ein Beispiel rausgesucht, bei dem die Kette nicht
mitgeliefert wird:
Ernst Young(em03.ey.com)

Folgende Kette ist hier gegeben:
em03.ey.com
73:65:12:bd:b5:53:eb:c2:62:63:88:1f:01:6e:f7:74

VeriSign Class 3 Secure Server CA - G3
6e:cc:7a:a5:a7:03:20:09:b8:ce:bc:f4:e9:52:d4:91

VeriSign Class 3 Public Primary Certification Authority - G5
1b:09:3b:78:60:96:da:37:bb:a4:51:94:46:c8:96:78

Class 3 Public Primary Certification Authority
70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf

Wenn ich jetzt hier die ROOT-CA in meinem Store entferne,
bekomme ich ein
Verify return code: 20 (unable to get local issuer certificate)

Dies würde doch bedeuten, dass es auch bei nicht mitgelieferte Kette es nicht möglich ist 
nur an Hand der Sub-CA(s) das Zertifkat em03.ey.com erfolgreich zu validieren?!


From michael at nausch.org  Thu May  5 17:01:07 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 05 May 2011 17:01:07 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
Message-ID: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>

HI!

Dank will ich Dir gleich mal zu Deinem ausführlichen und hilfreichen  
Beitrag entgegenbringen.

Quoting Igor Sverkos <igor.sverkos at googlemail.com>:

> Heutige SPAM-Lösungen zielen imho nur darauf ab, erstere ungewollte
> Nachrichten zu erkennen. Gegen letztere Mails können sie in der Regel
> kaum etwas tun

FULLACK!

> Ein ähnliches Problem sehe ich bei der Filterung von verschlüsselten
> Nachrichten. Bei einer individuellen Verschlüsselung ist dies
> schlichtweg nicht möglich.

Genau, um die geht es hier. Daher wird man im geschäftlichen Umfeld,  
wenn man eine verschlüsselte Kommunikation ein- und umsetzen will, nie  
eine Ende-zu-Ende-Verschlüsselung im Sinne von MUA zu MUA einsetzen  
können. Hier wird man nicht umhinkommen, das eine Ende am annehmende  
Mailgateway der Firma zu definieren. Nur so können Nachrichten, egal  
ob nun (un)verschlüsselt oder nicht, inhaltlich auf Viren, Anhänge  
oder sonstige Inhalte hin überprüft werden.

Erfahrungsgemäß ist dies aber i.d.R. alles theoretischer Natur, denn  
wer kann denn mit PGP und S/MIME-Zertifikaten und dem ganzen Zinober  
außen herum umgehen? Die wenigsten!

> Insofern stellt sich die Frage, was das Unternehmen, welches nun
> Verschlüsselung einführen möchte, denn eigentlich damit erreichen will.

In dem speziellen Fall um dem es mir geht, gibt es angeblich 1.000e  
Anfragen von guten Kunden, die nach "sicherer eMail" fragen. Wir haben  
mal geziel nachgefragt wieviele dieser Kundenanfragen es gibt und wir  
mussten leider feststellen, es sind erschreckend viele! Genaugenommen:  
Null, koaoanziga! Aber ich hab die Kacke am Hals, schließlich steht ja  
einer vor der Türe, der das für schlappe 7.800 ? pro Monat machen will.

> Geht es nur darum, dass eine Nachricht, die irgendwo abgefangen wird,
> unlesbar ist?

Nicht ganz, denn irgendwo ist etwas arg unscharf. Die gesicherte  
Übertragung von MTA zu MTA ist ja keine Kunst, machen die MXe ja unter  
einander eh schon. (Start/TLS ...)

> Um noch auf eine kommerzielle Lösung zu sprechen zu kommen:

So jetzt wird es schon/noch interessanter. ;)

> PGP Universal Gateway Email ist hier eine vollständige Lösung.

Also unter vollständig, stelle ich mir vor:

Das äußere Mailrelay ist in der Lage ankommende Nachrichten, zu  
entschlüsseln, egal ob PGP oder S/Mime zum Einsatz kommt! Die  
Zertifikate und keys sind dabei nicht personen- sondern  
stellenbezogen, also ohne Passphrase. Diese Nachrichten bekommen dann  
einen X-Haeder gesetzt oder zur Not wird die Nachricht im Subject  
getaggt, damit der Enduser an seinem MUA sieht, dass es sich um eine  
vertrauliche und gesicherte/verschlüsselte Nachricht handelt(e).

Die Richtung zum Endkunden/Partner sähe z.B. so aus. Der MUA ist in  
der Lage einen X-Haeder zu setzen, mit dem dem MTA, der die  
Nachrichten nach extern verschickt, und so ohne Probleme die Nachricht  
mit dem public-key bzw. Zertifikat zu verschlüsseln. Zur Not könnte  
man auch ein Schlüsselwort im Subject, wie z.B. "[secret]" verwenden.  
Der Empfänger kann dann wie gewohnt die verschlüsselten Nachrichten an  
seinem MUA mit seinem privat-key oder privat-certificate aufmachen.  
Also nix, verschlüsselte PDFs, Webmail oder WebCrypt in der Cloud.  
wuarg...

> Im Prinzip wird man Verschlüsselung in Unternehmen also nie individuell
> wollen.

Why not, würde/müsste doch in etwa so gehen, wie von mir beschrieben.  
Wird am Markt ja auch so ähnlich angeboten. Nur mach ich das hald  
nicht für 3.000 Accounts für 7.800 Euro pro Monat!

> P.s.: Denke bei der ganzen Sache auch an die Speicherung. Wenn eine
> verschlüsselte Nachricht anschließend entschlüsselt im Mailspeicher
> liegt, dann ist der Mailspeicher das schwächste Glied.

Ich bemühe hierzu mal einen einfachen Vergleich mit bder analogen Welt 1.0 ;)

Wenn ich meine geheimen Unterlagen im fest verschlossenem Umschlag,  
mit Unterschrift und Klarsichtklebestreifen darüber verschicke, dann  
kann der Empfänger recht einfach feststellen, dass der Umschlag  
unversehen ist und der Inhalt keinem Dritten in die Hände gefallen  
ist. Wie der Inhalt des Kuverts dann beim Empfänger weiterverarbeitet  
wird und dementsprechend behandelt wird, ist mir auch relativ egal und  
da vertraue ich auf die Integrität des Empfängers. Zurück zur  
elektronischen Variante. Ich schreibe eine Nachricht, verschlüssle  
dies mit dem public-key von rechnungsstelle at heinleion-support.de und  
schon ist sichergestellt, dass ausser mir und der Rechnungsstelle  
keiner die Nachricht lesen und verändern kann. Und wenn die Mail bei  
meinem Hoster (O.k: in dem Fall bin ich das selber) liegt, dann liegt  
sie dort auch verschlüsselt vor. Wo genau beim Empfänger die eMail  
entschlüsselt wird, also beim annehmenden MXer oder erst beim Client  
ist mir egal.

Solange ich als externer Partner/Kunde meine eigene Intfrastruktur und  
MUA weiterhin nutzen kann, ist mir quasi jedes Mittel recht. Was ich  
sicherlich nie machen werde, ist für die 36 Firmen mit denen ich  
regelmäßig Informationen austausche, jeweils einen Webmailer der  
Firmen nutzen. Das werde ich nie tun und das wird auch unschwehr einem  
Kunden oder Geschäftspartner zu vermitteln sein. Denkt man dann auch  
noch an die Archivierung von emails/Geschäfts- und Handelsbriefe, dann  
wird man mit der Webmailer und WebCrypt in der Cloud keinen Stich mehr  
machen können/dürfen.

> Ich Grüße,

a so viu, pfiade!
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110505/4c91ff78/attachment.sig>

From michael at nausch.org  Thu May  5 17:07:12 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 05 May 2011 17:07:12 +0200
Subject: [Postfixbuch-users] Wie sind eure
	Postausgangsserver	konfiguriert?
In-Reply-To: <001501cc0b28$20bdd190$0565a8c0@uwe>
References: <4DC28DB4.3070907@wk-serv.de> <001501cc0b28$20bdd190$0565a8c0@uwe>
Message-ID: <20110505170712.2zbvzyca8os44kgc@buero.nausch.org>

HI!

Quoting Driessen <driessen at fblan.de>:

> Hier wird grundsätzlich alles geprüft ob rein oder raus.
> Eigene User bekommen lediglich einen gewissen freiscore bei der Spamprüfung.

FULLACK, machen wir bei verschiedenen Installationen genauso.


ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110505/abad6397/attachment.sig>

From pw at wk-serv.de  Thu May  5 19:12:43 2011
From: pw at wk-serv.de (Patrick Westenberg)
Date: Thu, 05 May 2011 19:12:43 +0200
Subject: [Postfixbuch-users] Wie sind
	eure	Postausgangsserver	konfiguriert?
In-Reply-To: <20110505170712.2zbvzyca8os44kgc@buero.nausch.org>
References: <4DC28DB4.3070907@wk-serv.de> <001501cc0b28$20bdd190$0565a8c0@uwe>
	<20110505170712.2zbvzyca8os44kgc@buero.nausch.org>
Message-ID: <4DC2DA8B.6040803@wk-serv.de>

Michael Nausch schrieb:

> Quoting Driessen <driessen at fblan.de>:
>
>> Hier wird grundsätzlich alles geprüft ob rein oder raus.
>> Eigene User bekommen lediglich einen gewissen freiscore bei der
>> Spamprüfung.
>
> FULLACK, machen wir bei verschiedenen Installationen genauso.

Also eine identische Konfiguration wie auf dem MX?



From igor.sverkos at googlemail.com  Thu May  5 19:37:59 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Thu, 05 May 2011 19:37:59 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?PGP_und_S/MIME_am_=E4u=DFeren?=
 =?iso-8859-15?q?_MX?=
In-Reply-To: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>
Message-ID: <4DC2E077.6040400@googlemail.com>

Hallo,

Michael Nausch schrieb:
>> Insofern stellt sich die Frage, was das Unternehmen, welches nun 
>> Verschlüsselung einführen möchte, denn eigentlich damit erreichen 
>> will.
> 
> In dem speziellen Fall um dem es mir geht, gibt es angeblich 1.000e 
> Anfragen von guten Kunden, die nach "sicherer eMail" fragen. Wir 
> haben mal geziel nachgefragt wieviele dieser Kundenanfragen es gibt 
> und wir mussten leider feststellen, es sind erschreckend viele!

Das beantwortet noch nicht die Frage nach dem eigentliche Ziel.

Frage doch bitte einmal nach der Intention dieser Kundenwünsche: Was
verstehen die Leute unter "sicherer E-Mail"? Was fehlt ihnen derzeit?
Wollen Sie sich gegen etwas bestimmtes schützen?


>> Geht es nur darum, dass eine Nachricht, die irgendwo abgefangen 
>> wird, unlesbar ist?
> 
> Nicht ganz, denn irgendwo ist etwas arg unscharf. Die gesicherte 
> Übertragung von MTA zu MTA ist ja keine Kunst, machen die MXe ja 
> unter einander eh schon. (Start/TLS ...)
> 
> [...]
> 
> Also unter vollständig, stelle ich mir vor:
> 
> Das äußere Mailrelay ist in der Lage ankommende Nachrichten, zu 
> entschlüsseln, egal ob PGP oder S/Mime zum Einsatz kommt! Die 
> Zertifikate und keys sind dabei nicht personen- sondern 
> stellenbezogen, also ohne Passphrase. Diese Nachrichten bekommen
> dann einen X-Haeder gesetzt oder zur Not wird die Nachricht im
> Subject getaggt, damit der Enduser an seinem MUA sieht, dass es sich
> um eine vertrauliche und gesicherte/verschlüsselte Nachricht
> handelt(e).
> 
> Die Richtung zum Endkunden/Partner sähe z.B. so aus. Der MUA ist in 
> der Lage einen X-Haeder zu setzen, mit dem dem MTA, der die 
> Nachrichten nach extern verschickt, und so ohne Probleme die 
> Nachricht mit dem public-key bzw. Zertifikat zu verschlüsseln. Zur 
> Not könnte man auch ein Schlüsselwort im Subject, wie z.B.
> "[secret]" verwenden. Der Empfänger kann dann wie gewohnt die
> verschlüsselten Nachrichten an seinem MUA mit seinem privat-key oder 
> privat-certificate aufmachen. Also nix, verschlüsselte PDFs, Webmail 
> oder WebCrypt in der Cloud. wuarg...

Siehe oben - mir ist immer noch nicht klar, welches Ziel dadurch
erreicht werden soll.

Du sprichst zu erst von Gruppen-Keys und anschließend von
Privaten-Schlüsseln. D.h. die ausgehende Nachricht wird sowohl mit dem
Pub-Key der Empfänger-Gruppe, als auch mit dem individuellen Pub-Key des
Empfängers verschlüsselt, ja?

Also so wie ich es zuvor andeutete:
>> PGP-Keys ermöglichen es bspw., dass ich für sie "Recovery-Keys" 
>> definiere. Technisch sorgt das nur dafür, dass alle für den Key 
>> verschlüsselten Nachrichten, auch für und damit durch diesen 
>> Recovery-Key entschlüsselt werden können.
>> 
>> Das gibt mir als Unternehmen die Möglichkeit und Sicherheit, bei
>> Bedarf noch an die Kommunikation zu kommen. Aber das bedarf klarer
>> Regeln... Stichwort private Nutzung von E-Mails am Arbeitsplatz.

Ich erkenne wie gesagt keinen Sinn da drinnen... sobald eine Nachricht
in meinem Mailsystem ist, möchte ich doch fast, dass sie dort
entschlüsselt vorliegt. Es wäre viel zu umständlich, wenn alles was
darauf zugreift, die Entschlüsselung kennen müsste (denke dabei an die
Windows Suche, die das Postfach indiziert, ein Ticketsystem, dass sich
Mails aus einem Postfach holt...).

Aber ok... wenn ich will, dass auf MUA-Seite die Integrität verifiziert
werden kann, braucht es einen Privaten-Key. Den Gruppen-Key wirst du nie
herausgeben wollen, denn wenn jemand das Unternehmen verlässt, könnte er
ja weiterhin unter dem Key zeichnen. Austausch bei jeder MA-Fluktuation
also nicht machbar. Insofern wird deine Gruppen-Key Sache wohl der von
mir angesprochene Recovery-Key sein.

Ich halte es aber für naiv, dass auf MUA-Seite hier noch irgendetwas
überprüft wird :-)
Wenn, dann würde ich also nur beim MTA Aus- bzw. Eingang ver- bzw.
entschlüsseln. Aber wie bereits erwähnt, sehe ich dadurch nur das Ziel
"gesicherter Transport" erfüllt. Wie andere bereits erwähnt haben, gibt
es hierfür weitaus effektivere Wege... was mich wieder zur Frage kommen
lässt: Was soll erreicht werden?

Ansonsten: Ja, PGP arbeitet zwar imho nicht mit Headern... aber mit
Stichwörtern und der Integration der Desktop-Software in gängige MUAs.
Hier können sehr komplexe Regeln gebildet werden, die imho deine Wünsche
erfüllen. Somit wäre die "Sicherheit" auch bei Webmailern gewährleistet.
Inwieweit PGP mit nicht-PGP-S/Mime klar kommt, weiß ich nicht.


-- 
Ich Grüße,
Igor


From postfixbuch-users at gmj.cjb.net  Thu May  5 20:04:43 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Thu, 05 May 2011 20:04:43 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?PGP_und_S/MIME_am_=C3=A4u=C3=9Feren?= =?utf-8?q?_MX?=
In-Reply-To: <4DC2E077.6040400@googlemail.com>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>
	<4DC2E077.6040400@googlemail.com>
Message-ID: <4DC2E6BB.6000309@gmj.cjb.net>

Am 05.05.11 19:37, schrieb Igor Sverkos:

> Ansonsten: Ja, PGP arbeitet zwar imho nicht mit Headern...

Ich weiß ja nicht, was genau Du mit "Headern" meinst,
aber für PGP gibt es einen eigenen MIME-Type, siehe:

http://de.wikipedia.org/wiki/PGP/MIME

Dass den leider nicht alle MUAs bzw. Nutzer verwenden,
steht wie immer auf einem anderen Blatt ...

Gruß,
Mathias


From igor.sverkos at googlemail.com  Thu May  5 20:22:51 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Thu, 05 May 2011 20:22:51 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC2E6BB.6000309@gmj.cjb.net>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>	<4DC2E077.6040400@googlemail.com>
	<4DC2E6BB.6000309@gmj.cjb.net>
Message-ID: <4DC2EAFB.8040909@googlemail.com>

Hallo,

Mathias Jeschke schrieb:
>> Ansonsten: Ja, PGP arbeitet zwar imho nicht mit Headern...
> 
> Ich weiß ja nicht, was genau Du mit "Headern" meinst,
> aber für PGP gibt es einen eigenen MIME-Type, siehe:
> 
> [...]

Nein, ich meine keine MIME-Typen. :)

Wir sprachen von X-Headern... darüber könnte ein MUA bspw. einem MTA
mitteilen, dass er etwas bestimmtes mit der Nachricht machen soll (bspw.
diese Nachricht mit dem spezifizierten Pub-Key verschlüsseln...).


-- 
Ich Grüße,
Igor


From driessen at fblan.de  Thu May  5 20:50:05 2011
From: driessen at fblan.de (Driessen)
Date: Thu, 5 May 2011 20:50:05 +0200
Subject: [Postfixbuch-users] Wie
	sindeure	Postausgangsserver	konfiguriert?
In-Reply-To: <4DC2DA8B.6040803@wk-serv.de>
References: <4DC28DB4.3070907@wk-serv.de>
	<001501cc0b28$20bdd190$0565a8c0@uwe><20110505170712.2zbvzyca8os44kgc@buero.nausch.org>
	<4DC2DA8B.6040803@wk-serv.de>
Message-ID: <002501cc0b55$3fbd5480$0565a8c0@uwe>

On Behalf Of Patrick Westenberg
> 
> Michael Nausch schrieb:
> 
> > Quoting Driessen <driessen at fblan.de>:
> >
> >> Hier wird grundsätzlich alles geprüft ob rein oder raus.
> >> Eigene User bekommen lediglich einen gewissen freiscore bei der
> >> Spamprüfung.
> >
> > FULLACK, machen wir bei verschiedenen Installationen genauso.
> 
> Also eine identische Konfiguration wie auf dem MX?
> 

Ja. 
Ist in dem Fall zwar unter verschiedenen IP's angebunden aber in der selben
virtuellen Maschine betrieben.  


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From postfixbuch-users at gmj.cjb.net  Thu May  5 21:38:56 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Thu, 05 May 2011 21:38:56 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?PGP_und_S/MIME_am_=C3=A4u=C3=9Feren?= =?utf-8?q?_MX?=
In-Reply-To: <4DC2EAFB.8040909@googlemail.com>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>	<4DC2E077.6040400@googlemail.com>	<4DC2E6BB.6000309@gmj.cjb.net>
	<4DC2EAFB.8040909@googlemail.com>
Message-ID: <4DC2FCD0.1000805@gmj.cjb.net>

Am 05.05.11 20:22, schrieb Igor Sverkos:

> Wir sprachen von X-Headern... darüber könnte ein MUA bspw. einem MTA
> mitteilen, dass er etwas bestimmtes mit der Nachricht machen soll (bspw.
> diese Nachricht mit dem spezifizierten Pub-Key verschlüsseln...).

Aso. Das wäre aber leicht über ein Skript/Programm zu lösen, dass statt
"gpg" von Enigmail & Co. aufgerufen würde.

Ja ich weiß: Das ist dann keine Standard-Installation mehr.

Mathias.


From igor.sverkos at googlemail.com  Thu May  5 22:05:47 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Thu, 05 May 2011 22:05:47 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC2FCD0.1000805@gmj.cjb.net>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>	<4DC2E077.6040400@googlemail.com>	<4DC2E6BB.6000309@gmj.cjb.net>	<4DC2EAFB.8040909@googlemail.com>
	<4DC2FCD0.1000805@gmj.cjb.net>
Message-ID: <4DC3031B.7060807@googlemail.com>

Hi,

Mathias Jeschke schrieb:
> Aso. Das wäre aber leicht über ein Skript/Programm zu lösen, dass statt
> "gpg" von Enigmail & Co. aufgerufen würde.

Genau das ist hier Thema - welche Lösungen bieten sich an. :)

Sobald auf Seiten des MUAs etwas gemacht werden *muss*, sehe ich
persönlich Probleme: Wer traut seinen MUAs? Was ist bspw. mit
Webmailern? Mobiltelefonen?

Insofern braucht es ein Regelwerk auf den MTAs. Per X-Header ect. kann
man in meinen Augen lediglich zusätzlich eingreifen...


-- 
Ich Grüße,
Igor


From michael at nausch.org  Fri May  6 11:10:52 2011
From: michael at nausch.org (Michael Nausch)
Date: Fri, 06 May 2011 11:10:52 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC2E077.6040400@googlemail.com>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>
	<4DC2E077.6040400@googlemail.com>
Message-ID: <4DC3BB1C.4040103@nausch.org>

HI Igor!

Am 05.05.2011 19:37, schrieb Igor Sverkos:

> Das beantwortet noch nicht die Frage nach dem eigentliche Ziel.

Tja, da wird es schon sehr schwierig werden, denn hier gibt es erst
einmal grundlegend das Thema, dass man begriffen haben muss, wie eine
asymetrische Verschlüsselung funktioniert und was im Gegensatz bei einer
symetrischen Verschlüsselung abgeht.

Nur mal eine Anekdote aus dem wahren Leben. Ein Nullleiter, nennen wir
ihn mal Mr. Bean, hat mir vor Jahren mal freudestrahlend berichtet, dass
er sich nun auch ein x.509 Zertifikat besorgt hat und er nun auch
verschlüsselte Nachrichten verschicken könne! Nur für's Protokoll, der
gute Mann, verantwortet einen Bereich, der sich "security" auf die
Fahnen geschrieben hatte. :-/

Nicht nur dass es derartige Vollhonks gibt, die aus der technisch
versierten Ecke kommen und zum Thema "sichere eMail" ihre Klappe
aufreissen. Nein, i.d.R. schlägt man sich mit Leuten aus der Marketing,
Unternehmenskommunikation, Vertriebleitung, Geschäftsleitung etc. pp.
herum. Jeder hat in den einschlägigen Computerbildzeitungen,
Managementzirkeln, Businessgroups, Unternehmensberater, Expertenrunden
und/oder Newsletter irgendetwas gehört und sei es am Golfplatz. Meiner
Erfahrung nach denkt jeder er habe es voll begriffen und jeder müsse dem
anderen erklären, was "sichere eMail" denn nun genau bedeutet.

Zurück zu Deiner Frage: "die Frage nach dem eigentliche Ziel" wird mir
und dir keiner zufriedenstellend beantworten können. Schade, aber so ist
das Leben nun mal ... :-/

> Frage doch bitte einmal nach der Intention dieser Kundenwünsche: Was
> verstehen die Leute unter "sicherer E-Mail"? 

Jeder etwas anders!

> Was fehlt ihnen derzeit?

Nix, weil kein Bedarf von Kundenseite genannt wurde/wird. Meiner
Wahrnehmung nach wird hier lediglich die Argumente "das machen/bieten
andere auch", "unser großer IT-Dienstleister bietet das out-of-the-box"
herangeführt. Dass kaum ein Mensch begriffen hat, mit was er sich bei
dem Thema eMailverschlüsselung mit PGP und/oder S/MIME beschäftigen
muss, wird geflissentlich ignoriert. Frag' mal in deinem
Verwandten-/Bekannten-/Freundeskreis und Deinen (Fach)Kollegen nach, wer
alles ein x.509 Zertifikat und/oder PGP-key hat und auch nutzt. Würde
mich mal interessieren, auf wie viel Promille du da kommst! ;)

> Siehe oben - mir ist immer noch nicht klar, welches Ziel dadurch
> erreicht werden soll.

Bei (m)einen Folien, die ich bei Zeiten dem interessierten Publikum
vorlege, steht auf Seite 9:
=====================================================================

Ziele bei der Verschlüsselung von Daten und der Übertragung

Vertrauen in die Kommunikation ist erreicht, wenn folgende Punkte
erreicht sind:

 ° Vertraulichkeit
   Nachrichten durch Dritte _nicht_ entziffert werden können!

 ° Integrität der Nachricht:
   Nachrichten durch Dritte _nicht_ manipuliert werden können!

 ° Echtheit der Kommunikationspartner
   Absenderangaben _nicht_ durch Dritte manipuliert werden können!

=====================================================================

Meiner Wahrnehmung nach, ist es genau das, was viele haben wollen, wenn
man mal ein wenig tiefer in die Thematik einsteigt und die wahren
Beweggründe hinterfrägt.

> Du sprichst zu erst von Gruppen-Keys ...

Wo genau?

> und anschließend von
> Privaten-Schlüsseln. D.h. die ausgehende Nachricht wird sowohl mit dem
> Pub-Key der Empfänger-Gruppe, als auch mit dem individuellen Pub-Key des
> Empfängers verschlüsselt, ja?

Nö, eine Nachricht wird immer mit dem public-key des oder der Empfänger
verschlüsselt. Ob nun ein Empfänger in Besitz des zugehörigen privat-key
ist, ob es mehrere Empfänger gibt, die Zugriff auf diesen Schlüssel
haben, oder ob der privat-key auf einem Gateway liegt, kann und muss mir
egal sein. Das liegt im Verantwortungsbereich des Empfängers.

Von einem Gruppen-Pub-key, der mit einem individuellen Pub-Key und einem
privat key matheamtisch verboben ist, habe ich noch nichts mitbekommen.

> Ich erkenne wie gesagt keinen Sinn da drinnen... sobald eine Nachricht
> in meinem Mailsystem ist, möchte ich doch fast, dass sie dort
> entschlüsselt vorliegt. 

Ja, rein technisch betrachtet, würde ich als Postmaster auch gerne
Nachrichten unverschlüsselt haben wollen. Denn sonst kann ich weder eine
notwendig angeordnete Inhaltskontrolle noch eine Virenprüfung vornehmen.
Wenn jedoch der CEO eine end-to-end Verschlüsselung haben will, dann
werde ich einen Teufel tun, diese vorzugaukeln - ergo sehe ich unter
bestimmten Umständen durchwegs Sinn.

> Aber ok... wenn ich will, dass auf MUA-Seite die Integrität verifiziert
> werden kann, braucht es einen Privaten-Key.

Sicher? Ich könnte mir vorstellen, dass ein smtp_proxy_filter ev.
AMaViS, die Nachrichten annimmt und mit Hilfe der passenden
keys/certificates die Signaturen prüfen kann, so ala DKIM.

> Den Gruppen-Key wirst du nie
> herausgeben wollen, denn wenn jemand das Unternehmen verlässt, könnte er
> ja weiterhin unter dem Key zeichnen. 

Wäre in meinem skiziertem Fall auch gar nicht notwendig, dass ein
Mitarbeiter ein key mitnimmt, da er diesen nicht hat. Er - der key bzw.
das certifikate - liegt ja an zentraler Stelle. Das x.509 Zertifikat
unseres Postfix nutzt auch jeder Mitarbeiter, aht aber weder das
Zertifikat noch den zugehörigen key.

> Insofern wird deine Gruppen-Key Sache wohl der von
> mir angesprochene Recovery-Key sein.

Das Thema Recovery-Key hat aber mit einer Nutzung eines gemeinsamen
private-key IMHO wenig am Hut, das sind wie ich mal lernen durfte zwei
verschiedene Schuhe.

> Hier können sehr komplexe Regeln gebildet werden, die imho deine Wünsche
> erfüllen. Somit wäre die "Sicherheit" auch bei Webmailern gewährleistet.

Bei meinem Webmailhoster (o.k., bin ich selber) liegt auch einer meiner
Schlüssel, klar da kann ich das Thema "Sicherheit" bei der Kommunikation
erschlagen. Im geschäftlichen eMailverkehr kann man aber die Nutzung von
webmailer IMHO grundlegend wegen der Thematik "eMailarchivierung" vergessen.

> Inwieweit PGP mit nicht-PGP-S/Mime klar kommt, weiß ich nicht.

PGP und S/MIME nutzen vom Grundsatz her beide asymetrische Schlüssel.
Sie unterscheiden sich aber im dahinterliegenden Vertrauensnetzwerk bzw.
zentraler Zertifizierungsstelle. "Kompatibel" im eigentlichen Sinne sind
jedoch beide Verfahren definitiv nicht!


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org/doku.php/centos:openpgp_beim_mua <- ;)
http://wiki.piratenpartei.de/Benutzer:Django

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3644 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110506/a43168b4/attachment.p7s>

From michael at nausch.org  Fri May  6 11:13:40 2011
From: michael at nausch.org (Michael Nausch)
Date: Fri, 06 May 2011 11:13:40 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC3031B.7060807@googlemail.com>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>	<4DC2E077.6040400@googlemail.com>	<4DC2E6BB.6000309@gmj.cjb.net>	<4DC2EAFB.8040909@googlemail.com>	<4DC2FCD0.1000805@gmj.cjb.net>
	<4DC3031B.7060807@googlemail.com>
Message-ID: <4DC3BBC4.6090608@nausch.org>

Habedieehre!

Am 05.05.2011 22:05, schrieb Igor Sverkos:

> Genau das ist hier Thema - welche Lösungen bieten sich an. :)

Jepp! FULLACK

> Insofern braucht es ein Regelwerk auf den MTAs. Per X-Header ect. kann
> man in meinen Augen lediglich zusätzlich eingreifen...

dito FULLACK

ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3644 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110506/df791427/attachment.p7s>

From rene at rauchberger.co.at  Sat May  7 12:48:51 2011
From: rene at rauchberger.co.at (Rene Rauchberger)
Date: Sat, 07 May 2011 12:48:51 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
Message-ID: <4DC52393.2080908@rauchberger.co.at>

Hallo liebe Leute,

ich habe mir vor kurzen das Postfixbuch gekauft und möchte den Autor 
mein großes Lob aussprechen, ein sehr super und informatives Buch!

Aktuell bin ich am "nachbauen" eines Postfix Relay und es funktioniert 
bis jetzt alles super, bis auf eine Kleinigkeit.
Ich habe eine Domäne die am Schluss im Namen ein z hat (ZB. 
mailnetz.at). Alle anderen funktionieren Problemlos, nur diese eine 
nicht! Wenn ich das r rausnehme geht alles wieder.

Fehlermeldung:
NOQUEUE: reject: RCPT from Computer01.home[10.0.0.1]: 450 4.1.2 
<rene at mailnetz.at> <mailto:rene at mailnetz.at>: Recipient address 
rejected: Domain not found; from=<markus at test.at> 
<mailto:markus at test.at> to=<rene at mailnetz.at> <mailto:rene at mailnetz.at> 
proto=SMTP helo=<mail01.mailnetz.at>

Auszug aus relay_domains
mailnetz.at    OK

System Ubuntu Server 10.04.2 LTS, Installationssprache Englisch, 
Tastatur German, German

Hat wer eine Idee für mich?

DANKE!

LG Rene

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110507/a4905293/attachment.htm>

From kai_postfix at fuerstenberg.ws  Sat May  7 13:15:40 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-15?Q?Kai_F=FCrstenberg?=)
Date: Sat, 07 May 2011 13:15:40 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <4DC52393.2080908@rauchberger.co.at>
References: <4DC52393.2080908@rauchberger.co.at>
Message-ID: <4DC529DC.8080002@fuerstenberg.ws>

Am 07.05.2011 12:48, schrieb Rene Rauchberger:
> Hallo liebe Leute,

Hallo Rene,

> Aktuell bin ich am "nachbauen" eines Postfix Relay und es funktioniert
> bis jetzt alles super, bis auf eine Kleinigkeit.
> Ich habe eine Domäne die am Schluss im Namen ein z hat (ZB.
> mailnetz.at). Alle anderen funktionieren Problemlos, nur diese eine
> nicht! Wenn ich das r rausnehme geht alles wieder.

In "mailnetz.at" gibt es kein "r", und es hat garantiert auch nichts mit 
dem "z" zu tun ...

> Fehlermeldung:
> NOQUEUE: reject: RCPT from Computer01.home[10.0.0.1]: 450 4.1.2
> <rene at mailnetz.at> <mailto:rene at mailnetz.at>: Recipient address
> rejected: Domain not found; from=<markus at test.at>
> <mailto:markus at test.at> to=<rene at mailnetz.at> <mailto:rene at mailnetz.at>
> proto=SMTP helo=<mail01.mailnetz.at>
>
> Auszug aus relay_domains
> mailnetz.at    OK

Einfacher wäre zunächst mal die Ausgabe von postconf -n.

Im übrigen müsstst du mal deine DNS-Einträge überprüfen:

root at linuxserver:~# dig any mailnetz.at

; <<>> DiG 9.7.2-P3 <<>> any mailnetz.at
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1125
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mailnetz.at.                   IN      ANY

;; ANSWER SECTION:
mailnetz.at.            43200   IN      SOA     ns9.domreg.ws. 
robot.domreg.ws. 1 10800 3600 604800 3600
mailnetz.at.            43200   IN      A       127.0.0.1
mailnetz.at.            43200   IN      NS      ns10.domreg.ws.
mailnetz.at.            43200   IN      NS      ns9.domreg.ws.

;; Query time: 20 msec
;; SERVER: 195.50.140.116#53(195.50.140.116)
;; WHEN: Sat May  7 13:01:29 2011
;; MSG SIZE  rcvd: 133



root at linuxserver:~# dig mx mailnetz.at

; <<>> DiG 9.7.2-P3 <<>> mx mailnetz.at
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39303
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mailnetz.at.                   IN      MX

;; Query time: 20 msec
;; SERVER: 195.50.140.116#53(195.50.140.116)
;; WHEN: Sat May  7 13:05:22 2011
;; MSG SIZE  rcvd: 29

-- 
Kai Fürstenberg

PM an kai at fuerstenberg punkt ws


From rene at rauchberger.co.at  Sat May  7 13:26:07 2011
From: rene at rauchberger.co.at (Rene Rauchberger)
Date: Sat, 07 May 2011 13:26:07 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <4DC529DC.8080002@fuerstenberg.ws>
References: <4DC52393.2080908@rauchberger.co.at>
	<4DC529DC.8080002@fuerstenberg.ws>
Message-ID: <4DC52C4F.3090201@rauchberger.co.at>

Am 07.05.2011 13:15, schrieb Kai Fürstenberg:
>
> Hallo Rene,
>

Hallo Kai,

>
> In "mailnetz.at" gibt es kein "r", und es hat garantiert auch nichts 
> mit dem "z" zu tun ...
>

mailnetz.at ist nicht die echte Domain, habe diese nur für die E-Mail 
genommen und die gehört auch nicht mir!
werde ab jetzt domainz.local verwenden.

>
> Einfacher wäre zunächst mal die Ausgabe von postconf -n.
>
>

root at mail01:~# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
delay_warning_time = 4h
inet_interfaces = all
mailbox_size_limit = 0
mydestination =
myhostname = mail01.domainz.local
mynetworks = 127.0.0.0/8 10.0.0.0/24 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = $myhostname
readme_directory = no
recipient_delimiter = +
relay_domains = btree:/etc/postfix/relay_domains
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_recipient_restrictions = check_recipient_access 
btree:/etc/postfix/access_recipient-rfc,  reject_non_fqdn_sender, 
reject_non_fqdn_recipient,      reject_unknown_sender_domain,   
reject_unknown_recipient_domain,       permit_sasl_authenticated,      
permit_mynetworks,      reject_rbl_client zen.spamhaus.org,     
reject_rbl_client ix.dnsbl.manitu.net,  reject_rbl_client 
bl.spamcop.net,       reject_rbl_client dnsbl.njabl.org,     
reject_rhsbl_client blackhole.securitysage.com, 
reject_unverified_recipient,    permit_mx_backup,       
reject_unauth_destination,      permit
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = btree:/etc/postfix/transport, 
btree:/etc/postfix/relay_domains

Komisch ist nur sobald ich das "z" im Domänennamen am Schluss weg nehme 
funktioniert alles.

LG René

>
> -- 
> Kai Fürstenberg
>
> PM an kai at fuerstenberg punkt ws
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From klaus at tachtler.net  Sat May  7 13:53:05 2011
From: klaus at tachtler.net (Klaus Tachtler)
Date: Sat, 07 May 2011 13:53:05 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <4DC52393.2080908@rauchberger.co.at>
References: <4DC52393.2080908@rauchberger.co.at>
Message-ID: <20110507135305.51156hlhhfwkct4w@buero.tachtler.net>

Hallo Zusammen,

> Ich habe eine Domäne die am Schluss im Namen ein z hat (ZB.  
> mailnetz.at). Alle anderen funktionieren Problemlos, nur diese eine  
> nicht! Wenn ich das r rausnehme geht alles wieder.

geh doch mal in dein Postfix Verzeichnis z.B. /etc/postfix oder wo  
auch immer Du es hast und mach mal zwei grep -->

   grep -R <Domain die Du nicht sagen willst MIT z> *

UND vergleiche Deine Treffer mit

   grep -R <Domain die Du nicht sagen willst OHNE z> *

ich denke Du hast irgendwo einmal die Domain mit und ohne "z" konfiguriert...

Es ist etwas schwierig, wenn DU Deine Konfigurationsdateien  
"manipulierst" und dann hier einstellst...


Grüße
Klaus.

--

------------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------------



From postfixbuch at cboltz.de  Sat May  7 14:35:09 2011
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Sat, 7 May 2011 14:35:09 +0200
Subject: [Postfixbuch-users] PostfixAdmin @LinuxTag
Message-ID: <201105071435.09850@tux.boltz.de.vu>

Hallo zusammen,

mal wieder etwas Spam von mir ;-)

PostfixAdmin ist dieses Jahr auf dem LinuxTag (11.-14. Mai) vertreten - 
und zwar mit einem Teilzeit-Stand oder auf neudeutsch "Project Meeting 
Point".

Nach derzeitiger Planung [1] bin ich zu folgenden Zeiten am Stand:
(Halle 7.2a, Stand 115)
- Donnerstag 13:00-14:00  (eine Stunde nach Peers Dovecot-Vortrag)
- Samstag 11:00-12:00

Wer Lust hat, kann einfach mal vorbeikommen und sich PostfixAdmin 
ansehen. Die aktuelle SVN-Version hat einige Neuerungen, beispielsweise 
ein Commandline-Interface zur Nutzung von PostfixAdmin aus der Shell, 
größere Umstrukturierungen "unter der Haube", Vacation hat eine 
Zeitsteuerung (aktiv von...bis), ...
Die genannten Dinge sind zwar noch nicht alle komplett umgesetzt, aber 
als Preview zeige ich sie gern.

Wer lieber vi (oder $whatever) als Admintool nutzt, darf natürlich auch 
gern mal vorbeikommen und Hallo sagen ;-)

(Falls jemand zu den genannten Zeiten nicht kann, findet sich auch ein 
anderer Zeitpunkt - in diesem Fall bitte eine Mail zwecks 
Terminabsprache und/oder Austausch der Handynummer an mich. Oder am 
openSUSE-Stand vorbeisehen - da bin ich auch des öfteren.)

Ich kann auch ein paar Eintrittskarten für den LinuxTag anbieten - bei 
Bedarf schickt mir bitte eine Mail.

Außerdem kann ich meinen Vortrag "Wine is not only an emulator"
(Sa. 17:00) empfehlen. Untertitel "it is also something to drink" ;-)
Vom Titel abgesehen ist das Ganze in deutsch - und definitiv kein 
trockenes Thema *g*


Gruß

Christian Boltz

[1] den aktuellen Stand gibt es unter
    http://wiki.linuxtag.org/w/fp:ProjectMeetingPoints
-- 
If you break it, you own both parts.


From rene at rauchberger.co.at  Sat May  7 14:48:19 2011
From: rene at rauchberger.co.at (Rene Rauchberger)
Date: Sat, 07 May 2011 14:48:19 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <20110507135305.51156hlhhfwkct4w@buero.tachtler.net>
References: <4DC52393.2080908@rauchberger.co.at>
	<20110507135305.51156hlhhfwkct4w@buero.tachtler.net>
Message-ID: <4DC53F93.3000404@rauchberger.co.at>

Hallo Klaus,

ich fasse meinen Post nochmals zusammen mit den richtigen Daten 
zusammen, vielleicht kommen wir dann auf die Lösung:

Das Ziel von mir ist ein Mailgateway welches Spam und Virenfilterung 
vornimmt und dann an einen Exchange Server weiterleitet.

Aktueller Auszug aus Postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
delay_warning_time = 4h
inet_interfaces = all
mailbox_size_limit = 0
mydestination =
myhostname = mail01.servernetz.at
mynetworks = 127.0.0.0/8
myorigin = $myhostname
readme_directory = no
recipient_delimiter = +
relay_domains = btree:/etc/postfix/relay_domains
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_recipient_restrictions = check_recipient_access 
btree:/etc/postfix/access_recipient-rfc,  reject_non_fqdn_sender, 
reject_non_fqdn_recipient,      reject_unknown_sender_domain,   
reject_unknown_recipient_domain,       permit_sasl_authenticated,      
permit_mynetworks,      reject_rbl_client zen.spamhaus.org,     
reject_rbl_client ix.dnsbl.manitu.net,  reject_rbl_client 
bl.spamcop.net,       reject_rbl_client dnsbl.njabl.org,     
reject_rhsbl_client blackhole.securitysage.com, check_policy_service 
inet:127.0.0.1:10023,      reject_unverified_recipient,    
permit_mx_backup,       reject_unauth_destination,    permit
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = btree:/etc/postfix/transport, 
btree:/etc/postfix/relay_domains

Folgenden Eintarg habe ich in der relay_domains definiert

servernetz.at           :[exchange01.servernetz.local]

laut Empfehlung aus dem Postfixbuch.

Kann das Problem mit unter zusammenhängen da der Eintrag myhostname 
(myhostname = mail01.servernetz.at) auch auf die Domäne .servernetz.at 
zeigt?

grep hat auch keine auffälligkeiten gezeit, finden neu den Domänennamen 
servernetz.at

LG René


Am 07.05.2011 13:53, schrieb Klaus Tachtler:
> Hallo Zusammen,
>
>> Ich habe eine Domäne die am Schluss im Namen ein z hat (ZB. 
>> mailnetz.at). Alle anderen funktionieren Problemlos, nur diese eine 
>> nicht! Wenn ich das r rausnehme geht alles wieder.
>
> geh doch mal in dein Postfix Verzeichnis z.B. /etc/postfix oder wo 
> auch immer Du es hast und mach mal zwei grep -->
>
>   grep -R <Domain die Du nicht sagen willst MIT z> *
>
> UND vergleiche Deine Treffer mit
>
>   grep -R <Domain die Du nicht sagen willst OHNE z> *
>
> ich denke Du hast irgendwo einmal die Domain mit und ohne "z" 
> konfiguriert...
>
> Es ist etwas schwierig, wenn DU Deine Konfigurationsdateien 
> "manipulierst" und dann hier einstellst...
>
>
> Grüße
> Klaus.
>
> -- 
>
> ------------------------------------------------
> e-Mail  : klaus at tachtler.net
> Homepage: http://www.tachtler.net
> DokuWiki: http://www.dokuwiki.tachtler.net
> ------------------------------------------------
>
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From kai_postfix at fuerstenberg.ws  Sat May  7 18:38:18 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Sat, 07 May 2011 18:38:18 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <4DC52C4F.3090201@rauchberger.co.at>
References: <4DC52393.2080908@rauchberger.co.at>	<4DC529DC.8080002@fuerstenberg.ws>
	<4DC52C4F.3090201@rauchberger.co.at>
Message-ID: <4DC5757A.4050908@fuerstenberg.ws>

Am 07.05.2011 13:26, schrieb Rene Rauchberger:
> Am 07.05.2011 13:15, schrieb Kai Fürstenberg:
> mailnetz.at ist nicht die echte Domain, habe diese nur für die E-Mail
> genommen und die gehört auch nicht mir!
> werde ab jetzt domainz.local verwenden.

Dann sehe ich das wohl richtig, dass die Kiste nur lokal ansprechbar ist 
und nicht "offiziell" im Netz steht, oder?

> smtpd_recipient_restrictions = check_recipient_access
> btree:/etc/postfix/access_recipient-rfc, reject_non_fqdn_sender,
> reject_non_fqdn_recipient, reject_unknown_sender_domain,
> reject_unknown_recipient_domain, permit_sasl_authenticated,
> permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client
> ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client
> dnsbl.njabl.org, reject_rhsbl_client blackhole.securitysage.com,
> reject_unverified_recipient, permit_mx_backup,
> reject_unauth_destination, permit

Wofür benötigst du dann diesen ganzen Klumpatsch an recipient_restrictions?

Um es aber mal ein wenig aufzusplitten:
Du blockst unbekannte Absender- und Empfängerdomains 
(reject_unknown_sender_domain, reject_unknown_recipient_domain). Welcher 
DNS wird dafür abgefragt? Läuft der DNS lokal und ist die Domain dort 
eingerichtet (die, an die du senden willst)? Wenn sie nicht existiert, 
bringt dir das permit_sasl_authenticated _danach_ nichts mehr, weil die 
Mail vorher schon geblockt wird, da die Domain ja keinen MX und keinen 
A-Record hat.

Die Reihenfolge dürfte dein Problem sein, oder die fehlenden DNS-Einträge.

-- 
Kai Fürstenberg

PM an kai at fuerstenberg punkt ws


From gstepken at googlemail.com  Sun May  8 06:59:03 2011
From: gstepken at googlemail.com (Guido Stepken)
Date: Sun, 8 May 2011 06:59:03 +0200
Subject: [Postfixbuch-users] gstepken
Message-ID: <BANLkTiki0=De2KnZP6LT37fdAGTEL_GdVg@mail.gmail.com>

http://vibracon.com.br/bdf.html


From tobias at koopmann-mail.de  Sun May  8 18:32:39 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Sun, 08 May 2011 18:32:39 +0200
Subject: [Postfixbuch-users] =?utf-8?q?body=5Fchecks_von_postfixbuch=2Ede?=
Message-ID: <5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>

Guten Abend Liste,

ich habe soeben testweise die body_ sowie header_checks, die von 
postfixbuch.de bereitgestellt werden über die main.cf eingebunden.

In mail.info ist folgendes warning zu beobachten:

May  8 18:23:21 winnetou postfix/cleanup[14714]: warning: pcre map 
/etc/postfix/body_checks, line 60: unknown regexp option "/": skipping 
this rule

Laut vi befindet sich in der besagten Zeile jedoch eine leere Zeile.
Weiß hier jemand, worin das liegen könnte?

-- 
Mit freundlichen Grüßen,

Tobias Koopmann




From postfix at cebe.cc  Sun May  8 18:49:55 2011
From: postfix at cebe.cc (Carsten Brandt)
Date: Sun, 08 May 2011 18:49:55 +0200
Subject: [Postfixbuch-users] body_checks von postfixbuch.de
In-Reply-To: <5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>
References: <5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>
Message-ID: <4DC6C9B3.9080008@cebe.cc>

Am 08.05.2011 18:32, schrieb Tobias Koopmann:
> In mail.info ist folgendes warning zu beobachten:
> 
> May  8 18:23:21 winnetou postfix/cleanup[14714]: warning: pcre map
> /etc/postfix/body_checks, line 60: unknown regexp option "/": skipping
> this rule
> 
> Laut vi befindet sich in der besagten Zeile jedoch eine leere Zeile.
> Weiß hier jemand, worin das liegen könnte?

Wär interessant, was so um die Zeile 60 herum steht...
So 55-65 z.B. :-)

MfG
Carsten

-- 
mail:  mail at cebe.cc
mobil: 0176 / 96 52 999 7
www:   http://cebe.cc/
pgp:   http://cebe.cc/cebe_pub.asc


From tobias at koopmann-mail.de  Sun May  8 18:57:57 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Sun, 08 May 2011 18:57:57 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?body=5Fchecks_von_postfixbuch=2Ede?=
In-Reply-To: <4DC6C9B3.9080008@cebe.cc>
References: <5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>
	<4DC6C9B3.9080008@cebe.cc>
Message-ID: <6ae34719effedbf0f7b6ffad1c97d4c3@koopmann-mail.de>

On Sun, 08 May 2011 18:49:55 +0200, Carsten Brandt wrote:

> Wär interessant, was so um die Zeile 60 herum steht...
> So 55-65 z.B. :-)

Das File ist unter http://www.postfixbuch.de/upload/body_checks zu 
finden.
Tut mir Leid. Den direkten Inhalt kann ich hier nicht einfügen. Wird 
rejected.

Grüße,

Tobias


From postfix at cebe.cc  Sun May  8 19:23:00 2011
From: postfix at cebe.cc (Carsten Brandt)
Date: Sun, 08 May 2011 19:23:00 +0200
Subject: [Postfixbuch-users] body_checks von postfixbuch.de
In-Reply-To: <6ae34719effedbf0f7b6ffad1c97d4c3@koopmann-mail.de>
References: <5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>	<4DC6C9B3.9080008@cebe.cc>
	<6ae34719effedbf0f7b6ffad1c97d4c3@koopmann-mail.de>
Message-ID: <4DC6D174.2050602@cebe.cc>

Am 08.05.2011 18:57, schrieb Tobias Koopmann:
> On Sun, 08 May 2011 18:49:55 +0200, Carsten Brandt wrote:
> 
>> Wär interessant, was so um die Zeile 60 herum steht...
>> So 55-65 z.B. :-)
> 
> Das File ist unter http://www.postfixbuch.de/upload/body_checks zu finden.
> Tut mir Leid. Den direkten Inhalt kann ich hier nicht einfügen. Wird
> rejected.

Die Regel in Zeile 51 Scheint mir das Problem zu verursachen:

/http://www.rocktonchamber.com/		REJECT

Da müssten imo die beiden // escaped werden.
Also:
/http:\/\/www.rocktonchamber.com/		REJECT

Kann mich aber auch irren, habs mir nicht soo genau angeschaut :-)

MfG
Carsten

-- 
mail:  mail at cebe.cc
mobil: 0176 / 96 52 999 7
www:   http://cebe.cc/
pgp:   http://cebe.cc/cebe_pub.asc


From tobias at koopmann-mail.de  Sun May  8 19:30:08 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Sun, 08 May 2011 19:30:08 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?body=5Fchecks_von_postfixbuch=2Ede?=
In-Reply-To: <4DC6D174.2050602@cebe.cc>
References: "<5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>"
	<4DC6C9B3.9080008@cebe.cc>
	<6ae34719effedbf0f7b6ffad1c97d4c3@koopmann-mail.de>
	<4DC6D174.2050602@cebe.cc>
Message-ID: <1e42c701b2a0de174e83b597e927ab3a@koopmann-mail.de>

On Sun, 08 May 2011 19:23:00 +0200, Carsten Brandt wrote:

> Die Regel in Zeile 51 Scheint mir das Problem zu verursachen:
>
> /http://www.rocktonchamber.com/		REJECT
>
> Da müssten imo die beiden // escaped werden.
> Also:
> /http:\/\/www.rocktonchamber.com/		REJECT
>
> Kann mich aber auch irren, habs mir nicht soo genau angeschaut :-)

Die warnings bleiben nun aus. Vielen Dank für die schnelle Hilfe.

Das File sollte dann evtl. von Herrn Heinlein korrigiert werden.
Bzw. müsste er die warnings doch auch in seinem Log haben...

Grüße, Tobias


From p.heinlein at heinlein-support.de  Mon May  9 01:52:12 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 9 May 2011 01:52:12 +0200
Subject: [Postfixbuch-users] body_checks von postfixbuch.de
In-Reply-To: <1e42c701b2a0de174e83b597e927ab3a@koopmann-mail.de>
References: <5f2abd11f792f07986a50aa7ae1ae969@koopmann-mail.de>
	<4DC6D174.2050602@cebe.cc>
	<1e42c701b2a0de174e83b597e927ab3a@koopmann-mail.de>
Message-ID: <201105090152.13261.p.heinlein@heinlein-support.de>

Am Sonntag, 8. Mai 2011, 19:30:08 schrieb Tobias Koopmann:

> Das File sollte dann evtl. von Herrn Heinlein korrigiert werden.
> Bzw. müsste er die warnings doch auch in seinem Log haben...

Ja, habe ich auch, wissen wir auch. Ist jetzt aber auch nicht soooo 
wichtig und darum hat's noch keiner gefixt. 

Peer



-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From igor.sverkos at googlemail.com  Mon May  9 10:48:44 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 09 May 2011 10:48:44 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?PGP_und_S/MIME_am_=E4u=DFere?=
 =?windows-1252?q?n_MX?=
In-Reply-To: <4DC3BB1C.4040103@nausch.org>
References: <20110505170107.m8axgappc0sos0k8@buero.nausch.org>	<4DC2E077.6040400@googlemail.com>
	<4DC3BB1C.4040103@nausch.org>
Message-ID: <4DC7AA6C.7090802@googlemail.com>

Hallo,

Michael Nausch schrieb:
>> Das beantwortet noch nicht die Frage nach dem eigentliche Ziel.
> 
> Tja, da wird es schon sehr schwierig werden, denn hier gibt es erst 
> einmal grundlegend das Thema, dass man begriffen haben muss, wie eine
> asymetrische Verschlüsselung funktioniert und was im Gegensatz bei
> einer symetrischen Verschlüsselung abgeht.

Das verstehe ich nicht. Verschlüsselung ist doch bereits ein Mittel, um
etwas zu erreichen. Quasi die Medizin. Doch bevor ich zu irgendeiner
Behandlung/Medizin greife, sollte ich doch erst einmal ein Problem
diagnostiziert haben... oder zumindest in der Lage sein, Symptome die
ich bekämpfen will, klar zu benennen.


> Nicht nur dass es derartige Vollhonks gibt, die aus der technisch 
> versierten Ecke kommen und zum Thema "sichere eMail" ihre Klappe 
> aufreissen. Nein, i.d.R. schlägt man sich mit Leuten aus der 
> Marketing, Unternehmenskommunikation, Vertriebleitung, 
> Geschäftsleitung etc. pp. herum. Jeder hat in den einschlägigen 
> Computerbildzeitungen, Managementzirkeln, Businessgroups, 
> Unternehmensberater, Expertenrunden und/oder Newsletter irgendetwas 
> gehört und sei es am Golfplatz. Meiner Erfahrung nach denkt jeder er 
> habe es voll begriffen und jeder müsse dem anderen erklären, was 
> "sichere eMail" denn nun genau bedeutet.

Ja, ich selber habe mit Leuten zu tun, welche von der Marketingabteilung
der Deutschen Post AG zuvor eingeladen worden sind und nun glauben, man
müsse unbedingt auf ePost umstellen. Ich habe es schon erlebt, dass nach
so einem Wochenende in Unternehmen der Mailserver abgeschaltet werden
sollte, weil man erfahren habe, dass alles unsicher sei. :)

Übrigens schwirren auch Marketing-Drohnen einzelner DE-Mail
Service-Provider bereits herum... Vorsicht ;-)

Die Werbung scheint bei den Produkten also zumindest zu funktionieren. :]


> Zurück zu Deiner Frage: "die Frage nach dem eigentliche Ziel" wird 
> mir und dir keiner zufriedenstellend beantworten können. Schade,
> aber so ist das Leben nun mal ... :-/

Ohne zu wissen, was ich erreichen ("bekämpfen") will, ist es sehr
sinnfrei überhaupt in den Kampf zu ziehen ;)


> Nix, weil kein Bedarf von Kundenseite genannt wurde/wird.

Ähm... kein Bedarf? Weswegen dann dieses Thema? Es dreht sich gerade bei
mir einiges...


> Meiner Wahrnehmung nach wird hier lediglich die Argumente "das 
> machen/bieten andere auch", "unser großer IT-Dienstleister bietet
> das out-of-the-box" herangeführt.

Ja da hätten wir ja schon einmal so etwas wie einen Bedarf. Du bist bei
einem Serviceprovider tätig und ihr wollte irgendetwas was zu "sichere
E-Mail" passt in euer Portfolio aufnehmen - kann man das so sagen?


> Dass kaum ein Mensch begriffen hat, mit was er sich bei dem Thema 
> eMailverschlüsselung mit PGP und/oder S/MIME beschäftigen muss, wird
>  geflissentlich ignoriert. Frag' mal in deinem 
> Verwandten-/Bekannten-/Freundeskreis und Deinen (Fach)Kollegen nach,
>  wer alles ein x.509 Zertifikat und/oder PGP-key hat und auch nutzt.
>  Würde mich mal interessieren, auf wie viel Promille du da kommst!
> ;)

Schlechtes Beispiel. Würdest du mich kennen, würdest du mich das nicht
fragen. :-)

Ansonsten stimme ich dir da aber zu: Kennt kaum jemand und
haben und oder gar nutzen tut es erst recht niemand...
Wobei hier auch die Frage der Notwendigkeit und damit nach der
eigentlich Absicht gestellt werden muss: Wenn ich meinen Eltern neue
Bilder ihrer Enkel via E-Mail zukommen lasse, so halte ich eine
Verschlüsselung selber für nicht notwendig. Ich weiß auch nicht ob ich
meiner Frau vorwerfen sollte, dass sie Rezepte unverschlüsselt durch das
Internet sendet...

Anders sieht es wiederum aus, wenn ich bspw. einem Geschäftspartner
Zugangsdaten zukommen lassen möchte: Wenn ich hier einem Kollegen ein
Kennwort mailen muss, kann ich mich auf unsere Policy verlassen. Ich
weiß, dass nur nach unseren definierten Regeln vertrauenswürdige Rechner
Zugriff auf das Netzwerk und damit den Mailserver haben. Sollte der
geschätzte Kollege gerade in irgendeinem Internetcafé eines
Urlaubsparadieses sitzen, kann ich mich darauf verlassen, dass der
Zugriff durch den One-Time-Password Token sicher authentifiziert wurde
und danach innerhalb der Browser-Anwendung eine sichere Verbindung hat,
worüber er auf die Daten zugreift...
Sobald es aber an einen Partner geht, verlassen die Daten unsere
gesicherte Festung. Ob der Partner ähnliche Sicherheitsstandards hat,
weiß ich nicht. Folglich würde ich dann beispielsweise als quasi
Mindeststandard wollen, dass ich ihm die Daten verschlüsselt an seinen
PGP-Key zukommen lasse.

Tada... damit hätten wir soeben ein erstes Ziel definiert. :)


> Bei (m)einen Folien, die ich bei Zeiten dem interessierten Publikum 
> vorlege, steht auf Seite 9: 
> =====================================================================
>
>
>
>
> 
Ziele bei der Verschlüsselung von Daten und der Übertragung
> 
> Vertrauen in die Kommunikation ist erreicht, wenn folgende Punkte 
> erreicht sind:
> 
> ° Vertraulichkeit Nachrichten durch Dritte _nicht_ entziffert werden 
> können!
> 
> ° Integrität der Nachricht: Nachrichten durch Dritte _nicht_ 
> manipuliert werden können!
> 
> ° Echtheit der Kommunikationspartner Absenderangaben _nicht_ durch 
> Dritte manipuliert werden können!
> 
> =====================================================================

Ich kenne das jetzt etwas anders:
a) Authentizität
b) Privatheit
c) Unabstreitbarkeit

Vermutlich meinen wir das gleiche, benennen es nur etwas anders. Mich
stört jetzt speziell die Formulierung "Echtheit der
Kommunikationspartner Absenderangaben". Bei PGP bzw. S/MIME
interessieren mich diese Angaben nicht.
Die Daten des Umschlages werden einen möglichen DKIM-Check ect.
interessieren, aber bei PGP bzw. S/MIME schaue ich nur noch auf den
Body. Wenn dieser mit dem mir bekannten Key desjenigen signiert ist, den
ich als Kommunikationspartner bezeichne, reicht mir das.


> Meiner Wahrnehmung nach, ist es genau das, was viele haben wollen, 
> wenn man mal ein wenig tiefer in die Thematik einsteigt und die 
> wahren Beweggründe hinterfrägt.

Da habe ich ganz vergessen, dass wir noch immer nach einem Ziel suchen.
Aber ich stimme dir zu: Unter sicherer Kommunikation würde ich die drei
Punkte erwarten.

Im Geschäftsumfeld würde ich womöglich auf Privatheit verzichten wollen.
Auch wenn hier ein Brief adressiert an "Zu Händen Herrn Sverkos"
eintrifft, liest womöglich mein Kollege diesen Brief. Das kann mehrere
Ursachen haben:

1) Wir arbeiten beide in der gleichen Abteilung. Jeder ist für diese
Abteilung Ansprechpartner. Somit muss eh jeder wissen was los ist.

2) Vertretung

...niemand möchte schließlich, dass etwas liegen bleibt, nur weil ein
Kollege verhindert ist. Das kann ganze Betriebe lahmlegen.


>> Du sprichst zu erst von Gruppen-Keys ...
> 
> Wo genau?

In deiner Nachricht vom 05.05.2011 17:01. Dort habe ich den Satz

> Die Zertifikate und keys sind dabei nicht personen- sondern 
> stellenbezogen, also ohne Passphrase.

zumindest so verstanden. Denn später schreibst du noch

> Der Empfänger kann dann wie gewohnt die verschlüsselten Nachrichten 
> an seinem MUA mit seinem privat-key oder privat-certificate 
> aufmachen.

Wenn der Empfänger in der Lage sein soll, an seinem MUA Mittels
*eigenem* Key irgendetwas zu verifizieren, dann muss die Nachricht auch
an den Pub-Key desjenigen adressiert gewesen sein.

Somit wären also zwei Keys im Spiel: Die Gruppe und einzelne Empfänger.


>> und anschließend von Privaten-Schlüsseln. D.h. die ausgehende 
>> Nachricht wird sowohl mit dem Pub-Key der Empfänger-Gruppe, als 
>> auch mit dem individuellen Pub-Key des Empfängers verschlüsselt, 
>> ja?
> 
> Nö, eine Nachricht wird immer mit dem public-key des oder der 
> Empfänger verschlüsselt. Ob nun ein Empfänger in Besitz des 
> zugehörigen privat-key ist, ob es mehrere Empfänger gibt, die
> Zugriff auf diesen Schlüssel haben, oder ob der privat-key auf einem
> Gateway liegt, kann und muss mir egal sein. Das liegt im 
> Verantwortungsbereich des Empfängers.

Und genau hier liegt das Problem:
Sobald ich individuelle Verschlüsselung zulasse, d.h. das der MUA neben
der Anweisung für den MTA noch weiteres können soll, würde ich an der
Stelle eben den MTA ausnehmen. Dazu später mehr...


> Von einem Gruppen-Pub-key, der mit einem individuellen Pub-Key und 
> einem privat key matheamtisch verboben ist, habe ich noch nichts 
> mitbekommen.

Mir auch nicht - so war es von mir auch nie gemeint.


>> Aber ok... wenn ich will, dass auf MUA-Seite die Integrität 
>> verifiziert werden kann, braucht es einen Privaten-Key.
> 
> Sicher? Ich könnte mir vorstellen, dass ein smtp_proxy_filter ev. 
> AMaViS, die Nachrichten annimmt und mit Hilfe der passenden 
> keys/certificates die Signaturen prüfen kann, so ala DKIM.

Stopp. Hier sind wir wieder bei der Frage des Ziels: Was genau soll der
MTA prüfen können? ;)

Das tolle an PKI ist, dass jeder zu jeder Zeit die Authentizität
überprüfen kann. Das wäre also auch hier kein Problem.

Du wolltest aber Anfangs bspw. auch den möglichen Anhang prüfen. Da
dieser aber wie der Nachrichtentext selber verschlüsselt ist, kann der
MTA das nur, wenn er entschlüsseln kann.

Gleiches gilt für eine mögliche Inhaltsanalyse, bspw. auf SPAM.

Eine MIM-Lösung wie bei heutigen Internet-Gateway-Lösungen, die auch in
SSL-Verkehr schauen können, ist hier (grundsätzlich) nicht möglich.


>> Den Gruppen-Key wirst du nie herausgeben wollen, denn wenn jemand 
>> das Unternehmen verlässt, könnte er ja weiterhin unter dem Key 
>> zeichnen.
> 
> Wäre in meinem skiziertem Fall auch gar nicht notwendig, dass ein 
> Mitarbeiter ein key mitnimmt, da er diesen nicht hat. Er - der key 
> bzw. das certifikate - liegt ja an zentraler Stelle. Das x.509 
> Zertifikat unseres Postfix nutzt auch jeder Mitarbeiter, aht aber 
> weder das Zertifikat noch den zugehörigen key.

Dann ist keine echte End-to-End Verschlüsselung möglich. Du selbst
hattest ja das Beispiel mit dem CEO gebracht. Sobald alle Schlüssel -
auch die privaten - beim Server sind, hast du keine End-to-End
Verschlüsselung mehr. Dann war es das auch mit der Privatheit. Weshalb
du dann überhaupt noch unterteilst, statt nur einen einzelnen Hauptkey
zu nutzen, ist mir ein Rätsel. Bedenke, dass bei deiner
Passphrase-freien Lösung nur einmal jemand deinen MTA kompromittieren
brauch - dann hat er alles, denn dort liegt alles an einem Platz :-)

Um kurz noch etwas richtig zu stellen: Was ich bislang als Recovery-Key
bezeichnet habe, heißt im PGP-Fachausdruck "Additional Decryption Key"
(ADK). Im Handbuch heißt es:

> An additional decryption key (ADK) is a key generally used by
> security officers of an organization to decrypt messages that have
> been sent to or from employees within the organization.
> 
> Messages encrypted by a key with an ADK are encrypted to the public
> key of the recipient and to the ADK, which means the holder of the
> ADK can also decrypt the message.
> 
> ADKs are rarely used or needed outside of a PGP Universal
> Server-managed environment. Although your PGP administrator should
> not ordinarily need to use the additional decryption keys, there may
> be circumstances when it is necessary to recover someone?s email. For
> example, if someone is injured and out of work for some time, or if
> email records are subpoenaed by a law enforcement agency and the
> corporation must decrypt mail as evidence for a court case.

Der Vorteil des ADKs ist einfach, dass man wirklich nur noch eigentlich
Empfänger auswählt. Dadurch wird automatisch auch für den ADK
verschlüsselt. Ich hoffe jetzt, dass das zu GPG auch transparent ist ;-)

Bislang hatte ich also folgende Idee:
Wir: firmaA.tld
Partner: partnerA.tld

Ich (ich at firmaA.tld) will nun an Peter Partner (peter at partnerA.tld) eine
sichere Nachricht senden. Echte sichere End-to-End Kommunikation.

Unsere Policy erlaubt es aber nicht, dass bestimmte Anhänge unser Haus
verlassen.

Ich schreibe nun die Nachricht und sage meinem MUA "verschlüssle bitte
für Pater Partner!". Jetzt sollte neben dem Key von Peter Partner
automatisch auch der Key mailscanner at firmaA.tld ausgewählt werden. Ich
sehe das Ergebnis, gebe die Passphrase meines privaten Keys ein und die
Mail wird durch unseren MTA entgegen genommen.

Dieser prüft nun die Nachricht. Er stellt fest, dass sie verschlüsselt
ist. Deswegen probiert er sie nun zu entschlüsseln. Siehe da - klappt.
Keine bösen Anhänge gefunden... original Mail darf das Haus verlassen.

Hätte ich jetzt einen unzulässigen Anhang angefügt oder es irgendwie
geschafft, die Nachricht nicht auch für mailscanner at firmaA.tld zu
verschlüsseln, würde unser MTA die Mail ablehnen. Entweder weil

a) der MTA nicht reinschauen konnte. Somit kann die Policy nicht
gewährleistet werden.

b) Es wurde ein unzulässiger Anhang gefunden.

Ich habe also das Ziel "sichere End-To-End Kommunikation" erreicht.
Problem: Mein Partner wird ein ähnliches Setup benötigen. Eigentlich
müsste ich an mindestens drei Empfänger senden:

- Peter Partner persönlich
- mailscanner at firmaA.tld
- mailscanner at partnerA.tld

...und mein Partner muss gleiches in andere Richtung tun. Ob das
praktikabel ist?

Rekapitulieren wir noch einmal: Wir wollten echte sichere End-To-End
Kommunikation. Haben wir die wirklich? Nein! Der Mailserver und damit
dessen Admin kann die eigentlich vertrauliche Nachricht einsehen.
Lediglich wenn er sie auch verändert, würde dies auffallen. Aber unser
Ziel haben wir klar verfehlt.

Im Ergebnis haben wir einen riesen Aufwand betrieben, brauchen bei jedem
Teilnehmer ein identisches Setup, und haben eigentlich nur das erreicht,
was wir Mittels TLS bei SMTP schon lange problemlos nutzen können.

Das führt uns zurück zum Anfang: Definiere das Ziel. Wenn es sichere
End-to-End Kommunikation sein soll, so ist die derzeitige Antwort: Nicht
erreichbar, da es es keine End-To-End Verbindung gibt - ein MTA ist
dazwischen.

Wenn du alle Keys, auch die privaten, auf den MTA legen möchtest,
erkläre mir bitte den Mehrwert gegenüber der heutigen Lösung, wo TLS bei
SMTP den Verkehr zweier Server gegen das Abhören sichert.


>> Hier können sehr komplexe Regeln gebildet werden, die imho deine 
>> Wünsche erfüllen. Somit wäre die "Sicherheit" auch bei Webmailern 
>> gewährleistet.
> 
> Bei meinem Webmailhoster (o.k., bin ich selber) liegt auch einer 
> meiner Schlüssel, klar da kann ich das Thema "Sicherheit" bei der 
> Kommunikation erschlagen.

Du hast bei einem Hoster einen Key hinterlegt? Ich hoffe doch nicht
deinen privaten Schlüssel... - wozu überhaupt?


>> Inwieweit PGP mit nicht-PGP-S/Mime klar kommt, weiß ich nicht.
> 
> PGP und S/MIME nutzen vom Grundsatz her beide asymetrische Schlüssel.
> Sie unterscheiden sich aber im dahinterliegenden Vertrauensnetzwerk
> bzw. zentraler Zertifizierungsstelle. "Kompatibel" im eigentlichen
> Sinne sind jedoch beide Verfahren definitiv nicht!

Das war anders gemeint... PGP selber kann auch S/MIME. Du kannst auch
beides mischen. Folglich kann das angesprochene PGP Produkt auch etwas
S/MIME. Der Hinweis war so gemeint, dass ich nicht weiß, wieviel und es
nur den PGP S/MIME Kram kann oder S/MIME Grundsätzlich und wie es dann
hier mit dem Regelwerk aussieht. Anders gesagt: Ich kann nichts zur
Qualität der S/MIME Unterstützung in PGP Universal sagen...

Ups... ist doch etwas länger geworden die Antwort ;-)


-- 
Ich Grüße,
Igor


From postfixbuch-users at drobic.de  Mon May  9 11:42:58 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Mon, 09 May 2011 11:42:58 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <4DC52393.2080908@rauchberger.co.at>
References: <4DC52393.2080908@rauchberger.co.at>
Message-ID: <4DC7B722.8010208@drobic.de>

On 07.05.2011 12:48, Rene Rauchberger wrote:
> Hallo liebe Leute,
> 
> ich habe mir vor kurzen das Postfixbuch gekauft und möchte den Autor mein
> großes Lob aussprechen, ein sehr super und informatives Buch!
> 
> Aktuell bin ich am "nachbauen" eines Postfix Relay und es funktioniert bis
> jetzt alles super, bis auf eine Kleinigkeit.
> Ich habe eine Domäne die am Schluss im Namen ein z hat (ZB. mailnetz.at). Alle
> anderen funktionieren Problemlos, nur diese eine nicht!  Wenn ich das r
> rausnehme geht alles wieder.
> 
> Fehlermeldung:
> NOQUEUE: reject: RCPT from Computer01.home[10.0.0.1]: 450 4.1.2
> <rene at mailnetz.at> <mailto:rene at mailnetz.at>: Recipient address rejected:
> Domain not found; from=<markus at test.at> <mailto:markus at test.at>
> to=<rene at mailnetz.at> <mailto:rene at mailnetz.at> proto=SMTP
> helo=<mail01.mailnetz.at>
> 
> Auszug aus relay_domains
> mailnetz.at    OK
> 
> System Ubuntu Server 10.04.2 LTS, Installationssprache Englisch, Tastatur
> German, German
> 

Ich vermute, dass Ubuntu wie Debian Postfix im Chroot laufen lässt und im
chroot die DNS-Auflösung nicht funktioniert.

Wenn dem so ist, dann ersetze mal den Strich durch ein "n":

# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================

#smtp      inet  n       -       n       -       2       smtpd -
                                ^^^

Steht bei dir ein Bindestrich hier? Wenn ja, durch "n" ersetzen und Postfix
neu starten.

Außerdem auf der Kommandozeile mal die DNS-Auflösung testen mit dig.

Gruß
Sandy


From carsten.delellis at delellis.net  Mon May  9 13:21:27 2011
From: carsten.delellis at delellis.net (Carsten Laun-De Lellis)
Date: Mon, 09 May 2011 13:21:27 +0200
Subject: [Postfixbuch-users] Frage zu Postfix
In-Reply-To: <4DC53F93.3000404@rauchberger.co.at>
Message-ID: <2ea0-4dc7ce00-11-1b2b4d60@68336438>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110509/d917e6b0/attachment.htm>

From postfix_ml at rirasoft.de  Mon May  9 17:18:37 2011
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Mon, 9 May 2011 17:18:37 +0200 (CEST)
Subject: [Postfixbuch-users] =?utf-8?q?OT=3A_Suche_Postfix-Admin_zur_Unter?=
	=?utf-8?b?c3TDvHR6dW5n?=
Message-ID: <24668.194.99.122.193.1304954317.squirrel@www.rirasoft.de>

Hallo zusammen,
ich betreibe (zusammen mit einem Kollegen) bei uns in der Firma 2
Postfix-Mailserver (HA-Lösung) mit einem Software-Paket von zertificon
(Securemail-Gateway), sowie ein paar Mailhubs. Alles auf Debian-Basis. Zur
Unterstützung suchen wir einen Admin, der uns stundenweise nach Bedarf
aushilft (Update der Software, Update Debian, Konfigurationsänderung am
postfix). Arbeitsplatz ist Stuttgart-Nord, Arbeitszeit und Bezahlung nach
Vereinbarung.

Aufwand: ca. 20 Stunden pro Jahr.

Weitere Infos per PM.

Gruß
Andreas Reschke
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft?schen Viren.

E-Mail: andreas at rirasoft.de



From michael at nausch.org  Tue May 10 09:22:39 2011
From: michael at nausch.org (Michael Nausch)
Date: Tue, 10 May 2011 09:22:39 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?OT=3A_Suche_Postfix-Admin_zur_?=
 =?iso-8859-1?q?Unterst=FCtzung?=
In-Reply-To: <24668.194.99.122.193.1304954317.squirrel@www.rirasoft.de>
References: <24668.194.99.122.193.1304954317.squirrel@www.rirasoft.de>
Message-ID: <4DC8E7BF.7010003@nausch.org>

Griasde Andreas,

Am 09.05.2011 17:18, schrieb Andreas Reschke:

> ich betreibe (zusammen mit einem Kollegen) bei uns in der Firma 2
> Postfix-Mailserver (HA-Lösung) mit einem Software-Paket von zertificon
> (Securemail-Gateway), 

Kannst Du zu Securemail-Gateway etwas aus der Westentasche plaudern? Aus
der zertificon Seite werde ich nicht so recht schlau?

Wie sieht das Lizensierungsmodell bei gewerblicher Nutzung aus?
Wie wird das System eingebunden? Geht das über smtp_proxy_filter
 oder als content_filter?
"Bezieht" man das System als Appliance oder kann man dieses auch
 auf eigenem Blech betreiben?

Vielleicht kannst Du mir da ja etwas erklären?! Gerne auch per pers.-Post.

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From tobias at koopmann-mail.de  Tue May 10 09:55:47 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Tue, 10 May 2011 09:55:47 +0200
Subject: [Postfixbuch-users] address not listed for hostname
Message-ID: <8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>

Hallo zusammen,

ich habe ein kleines Problem mit Postfix und bin mit meinem latein am 
Ende.

Folgendes Szenario.
Ganz kurz OT, aber zur Vollständigkeit:
Ich arbeite mit Roundcube(läuft nativ auf dem Postfix-System). Wenn ich 
Roundcube anweise sich über localhost:25 mit Postfix zu verbinden, darf 
es aufgrund mynetworks einfach relayen.
Ich möchte aber gerne, dass sich Roundcube über SASL mit dem aktuell 
angemeldeten Benutzer authentifiziert.
Nun erhalte ich jedoch eine Warnung von postfix, dass die IP nicht für 
meinen Hostnamen gelistet ist:

May  9 22:23:19 winnetou postfix/tlsmgr[6759]: open smtp TLS cache 
btree:/var/lib/postfix/smtp_scache
May  9 22:23:19 winnetou postfix/tlsmgr[6759]: tlsmgr_cache_run_event: 
start TLS smtp session cache cleanup
May  9 22:23:19 winnetou postfix/smtpd[6757]: warning: 
2a01:4f8:63:11c2::2: address not listed for hostname 
winnetou.kokelnet.de
May  9 22:23:19 winnetou postfix/smtpd[6757]: connect from 
unknown[2a01:4f8:63:11c2::2]
May  9 22:23:19 winnetou postfix/smtpd[6757]: NOQUEUE: 
client=unknown[2a01:4f8:63:11c2::2], sasl_method=LOGIN, 
sasl_username=tobias at koopmann-mail.de
May  9 22:23:19 winnetou postfix/smtpd[6763]: connect from 
localhost[127.0.0.1]
May  9 22:23:19 winnetou postfix/smtpd[6763]: B9B4C1ED7: 
client=localhost[127.0.0.1]
May  9 22:23:19 winnetou postfix/cleanup[6764]: B9B4C1ED7: 
message-id=<82d2730d141d920ecbf2ee04b0d81fdd at koopmann-mail.de>
May  9 22:23:19 winnetou postfix/qmgr[6739]: B9B4C1ED7: 
from=<tobias at koopmann-mail.de>, size=1865, nrcpt=1 (queue active)
May  9 22:23:19 winnetou postfix/smtpd[6763]: disconnect from 
localhost[127.0.0.1]

In /etc/hosts ist aber meiner Meinung nach alles ok:
127.0.0.1 localhost
88.198.36.2 winnetou.kokelnet.de winnetou
::1 ip6-localhost ip6-loopback
2a01:4f8:63:11c2::2 winnetou.kokelnet.de winnetou
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

und mein Server kann den DNS-Namen auch korrekt auflösen.

Ich verstehe nicht, warum Postfix sagt die IP wäre nicht gelistet für 
meinen Hostnamen.
Ich hoffe, hier kann mir jemand weiterhelfen und alle dafür nötigen 
Informationen stehen zur Verfügung.
Wenn nicht, sagt was ihr braucht, das ist kein Problem.

hier die Postfix-Config:

main.cf:
smtpd_banner = $myhostname ESMTP $mail_name
biff = no
readme_directory = /usr/share/doc/postfix
delay_warning_time = 24h
myhostname = winnetou.kokelnet.de
mydomain = kokelnet.de
myorigin = $mydomain
mynetworks_style = host
alias_maps = proxy:btree:/etc/aliases
alias_database = proxy:btree:/etc/aliases
mydestination = localhost.$mydomain, $myhostname, lists.$mydomain
mailbox_size_limit = 0
recipient_delimiter = +
inet_protocols = all
html_directory = /usr/share/doc/postfix/html
mail_owner = postfix
bounce_queue_lifetime = 5d
message_size_limit = 51200000
mailman_destination_recipient_limit = 1
default_database_type = btree
header_checks = pcre:/etc/postfix/header_checks
body_checks = pcre:/etc/postfix/body_checks
# TLS parameters
smtpd_tls_cert_file = /etc/ssl/certs/kokelnet_cert.pem
smtpd_tls_key_file = /etc/ssl/private/kokelnet_private.pem
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_auth_only = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_timeout = 3600s
smtp_tls_cert_file = /etc/ssl/certs/kokelnet_cert.pem
smtp_tls_key_file = /etc/ssl/private/kokelnet_private.pem
tls_random_source = dev:/dev/urandom
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
address_verify_map = btree:${data_directory}/verify
# Virtual mailbox settings
virtual_mailbox_domains = 
proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps =
     proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf,
     
proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_mailbox_maps.cf,
     
proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_catchall_maps.cf
virtual_alias_maps =
     proxy:btree:/var/lib/mailman/data/virtual-mailman,
     proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf,
     proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_maps.cf
virtual_mailbox_limit = 
proxy:mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = Sorry, the user's maildir has overdrawn 
his diskspace quota, please try again later.
virtual_overquota_bounce = yes
virtual_minimum_uid = 150
virtual_uid_maps = static:150
virtual_gid_maps = static:8
virtual_transport = dovecot
transport_maps = proxy:btree:/etc/postfix/transport
dovecot_destination_recipient_limit = 1
# SASL Authentication
smtpd_sasl_auth_enable = yes
#smtpd_sasl_exceptions_networks = $mynetworks
#smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_recipient_restrictions =
# Postmaster, abuse und andere Role-Accounts whitelisten
         check_recipient_access btree:/etc/postfix/access_recipient-rfc,
# White- und Blacklisting
         check_client_access cidr:/etc/postfix/access_client,
         check_helo_access btree:/etc/postfix/access_helo,
         check_sender_access btree:/etc/postfix/access_sender,
         check_recipient_access btree:/etc/postfix/access_recipient,
# Keine unsauberen Mails annehmen!
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
# Eigene Nutzer erlauben!
         permit_sasl_authenticated,
         permit_mynetworks,
# RBL checken
         reject_rbl_client zen.spamhaus.org,
         reject_rbl_client ix.dnsbl.manitu.net,
         reject_rbl_client bl.spamcop.net,
         reject_rbl_client dnsbl.njabl.org,
         reject_rbl_client dnsbl.sorbs.net,
         reject_rhsbl_sender blackhole.securitysage.com,
         reject_rhsbl_client blackhole.securitysage.com,
# Policyd-Weight
         check_policy_service inet:127.0.0.1:12525,
# Greylisting checken!
         check_policy_service inet:127.0.0.1:10023,
# Wir pruefen dynamisch auf existente Relay-Empfaenger
         reject_unverified_recipient,
# Backup MX erlauben!
#       permit_mx_backup,
# Alles andere Relaying verbieten!
         reject_unauth_destination,
# Was bisher ueberlebt hat darf durch!
         permit
default_rbl_reply = $rbl_code We're fighting against spam activities!
smtpd_delay_reject = yes
smtpd_helo_required = yes
# AMaViS Daemon
content_filter = smtp-amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

master.cf:
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# 
==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# 
==========================================================================
smtp      inet  n       -       -       -       -       smtpd
    -o smtpd_proxy_filter=127.0.0.1:10024
    -o smtpd_proxy_timeout=200
smtps     inet  n       -       -       -       -       smtpd
   -o smtpd_tls_wrappermode=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject
   -o smtpd_proxy_filter=127.0.0.1:10024
dovecot   unix  -       n       n       -       -       pipe
   flags=DRhu user=vmail:mail argv=/usr/lib/dovecot/deliver -f ${sender} 
-d ${recipient}
mailman   unix  -       n       n       -       -       pipe
   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py 
${nexthop} ${user}
vacation  unix  -       n       n       -       -       pipe
   flags=DRhu user=vacation argv=/usr/bin/perl 
/var/spool/vacation/vacation.pl -f ${sender} -- ${recipient}
smtp-amavis unix -      -       n       -       2       smtp
     -o smtp_data_done_timeout=1200
     -o smtp_send_xforward_command=yes
     -o disable_dns_lookups=yes
     -o max_use=20
127.0.0.1:10025 inet n  -       -       -       -       smtpd
     -o content_filter=
     -o local_recipient_maps=
     -o relay_recipient_maps=
     -o smtpd_restriction_classes=
     -o smtpd_delay_reject=no
     -o smtpd_client_restrictions=permit_mynetworks,reject
     -o smtpd_helo_restrictions=
     -o smtpd_sender_restrictions=
     -o smtpd_recipient_restrictions=permit_mynetworks,reject
     -o smtpd_data_restrictions=reject_unauth_pipelining
     -o smtpd_end_of_data_restrictions=
     -o mynetworks=127.0.0.0/8
     -o smtpd_error_sleep_time=0
     -o smtpd_soft_error_limit=1001
     -o smtpd_hard_error_limit=1000
     -o smtpd_client_connection_count_limit=0
     -o smtpd_client_connection_rate_limit=0
     -o 
receive_override_options=no_header_body_checks,no_unknown_recipient_checks
     -o local_header_rewrite_clients=
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
         -o smtp_fallback_relay=
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
   flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
($recipient)
ifmail    unix  -       n       n       -       -       pipe
   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender 
$recipient
scalemail-backend unix  -       n       n       -       2       pipe
   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store 
${nexthop} ${user} ${extension}

postconf -n:
address_verify_map = btree:${data_directory}/verify
alias_database = proxy:btree:/etc/aliases
alias_maps = proxy:btree:/etc/aliases
biff = no
body_checks = pcre:/etc/postfix/body_checks
bounce_queue_lifetime = 5d
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
default_database_type = btree
default_rbl_reply = $rbl_code We're fighting against spam activities!
delay_warning_time = 24h
header_checks = pcre:/etc/postfix/header_checks
html_directory = /usr/share/doc/postfix/html
inet_protocols = all
mail_owner = postfix
mailbox_size_limit = 0
message_size_limit = 51200000
mydestination = localhost.$mydomain, $myhostname, lists.$mydomain
mydomain = kokelnet.de
myhostname = winnetou.kokelnet.de
mynetworks_style = host
myorigin = $mydomain
readme_directory = /usr/share/doc/postfix
receive_override_options = no_address_mappings
recipient_delimiter = +
smtp_tls_cert_file = /etc/ssl/certs/kokelnet_cert.pem
smtp_tls_key_file = /etc/ssl/private/kokelnet_private.pem
smtp_tls_loglevel = 2
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_session_cache_timeout = 3600s
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_recipient_restrictions = check_recipient_access 
btree:/etc/postfix/access_recipient-rfc,  check_client_access 
cidr:/etc/postfix/access_client,    check_helo_access 
btree:/etc/postfix/access_helo,       check_sender_access 
btree:/etc/postfix/access_sender,        check_recipient_access 
btree:/etc/postfix/access_recipient,     reject_non_fqdn_sender, 
reject_non_fqdn_recipient,      reject_unknown_sender_domain,   
reject_unknown_recipient_domain,        permit_sasl_authenticated,   
permit_mynetworks,      reject_rbl_client zen.spamhaus.org,     
reject_rbl_client ix.dnsbl.manitu.net,  reject_rbl_client 
bl.spamcop.net,       reject_rbl_client dnsbl.njabl.org,      
reject_rbl_client dnsbl.sorbs.net,  reject_rhsbl_sender 
blackhole.securitysage.com,  reject_rhsbl_client 
blackhole.securitysage.com, check_policy_service inet:127.0.0.1:12525,   
   check_policy_service inet:127.0.0.1:10023,      
reject_unverified_recipient,    reject_unauth_destination,   permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/kokelnet_cert.pem
smtpd_tls_key_file = /etc/ssl/private/kokelnet_private.pem
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
transport_maps = proxy:btree:/etc/postfix/transport
virtual_alias_maps = proxy:btree:/var/lib/mailman/data/virtual-mailman, 
   proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf,    
proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_maps.cf
virtual_gid_maps = static:8
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = 
proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 
proxy:mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_mailbox_maps = 
proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf,    
proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_mailbox_maps.cf,    
proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_catchall_maps.cf
virtual_minimum_uid = 150
virtual_transport = dovecot
virtual_uid_maps = static:150

Mfg,

Tobias Koopmann

------------------------------------------------------------------
...and I will promise to go on as long as you want me to,
    and I will dream along and help to make it real for you, too...
              (the mirror & the lie - Motorpsycho)
------------------------------------------------------------------




From p.heinlein at heinlein-support.de  Tue May 10 10:16:38 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 10 May 2011 10:16:38 +0200
Subject: [Postfixbuch-users] Letzter Aufruf: Mailserver-Konferenz 26./27. Mai
Message-ID: <201105101016.38427.p.heinlein@heinlein-support.de>


In rund zwei Wochen findet in Berlin die mittlerweile 5. Mailserver-
Konferenz statt.

Wie immer prominent besetzt und mit (so denke ich) vielen spannenden Themen 
und Referenten.

http://www.heinlein-support.de/mk

Anmeldungen sind noch möglich, aber je eher, desto besser.

Und wie immer gilt: Wir wollen hier die Leute zusammenbringen udn 
vernetzten. Wer Schwierigkeiten mit dem Preis hat, muß einfach mal 
kurzerhand das Gespräch / den Mailkontakt mit mir suchen und einfach mal ein 
Gegenangebot machen, dann wird man sich da schon unkompliziert einig werden. 
Am Preis lassen wir es bekanntlich nie scheitern.

Schönen Gruß

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfixbuch-users at drobic.de  Tue May 10 11:50:05 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Tue, 10 May 2011 11:50:05 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>
References: <8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>
Message-ID: <4DC90A4D.4020301@drobic.de>

On 10.05.2011 09:55, Tobias Koopmann wrote:

> 
> In /etc/hosts ist aber meiner Meinung nach alles ok:
> 127.0.0.1 localhost
> 88.198.36.2 winnetou.kokelnet.de winnetou
> ::1 ip6-localhost ip6-loopback
> 2a01:4f8:63:11c2::2 winnetou.kokelnet.de winnetou
> fe00::0 ip6-localnet
> ff00::0 ip6-mcastprefix
> ff02::1 ip6-allnodes
> ff02::2 ip6-allrouters
> ff02::3 ip6-allhosts
> 
> und mein Server kann den DNS-Namen auch korrekt auflösen.

Auch im chroot?

> # ==========================================================================
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> # ==========================================================================
> smtp      inet  n       -       -       -       -       smtpd
>    -o smtpd_proxy_filter=127.0.0.1:10024
>    -o smtpd_proxy_timeout=200

Teste mal ohne chroot, ob dann plötzlich alles sauber läuft.



From tobias at koopmann-mail.de  Tue May 10 13:09:15 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Tue, 10 May 2011 13:09:15 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <4DC90A4D.4020301@drobic.de>
References: <8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>
	<4DC90A4D.4020301@drobic.de>
Message-ID: <18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>


On Tue, 10 May 2011 11:50:05 +0200, Sandy Drobic wrote:
> Auch im chroot?
>
>> # 
>> ==========================================================================
>> # service type  private unpriv  chroot  wakeup  maxproc command + 
>> args
>> #               (yes)   (yes)   (yes)   (never) (100)
>> # 
>> ==========================================================================
>> smtp      inet  n       -       -       -       -       smtpd
>>    -o smtpd_proxy_filter=127.0.0.1:10024
>>    -o smtpd_proxy_timeout=200
>
> Teste mal ohne chroot, ob dann plötzlich alles sauber läuft.

Danke, hat funktioniert. Allerdings reichte es aus smtps nicht im 
chroot laufen zu lassen:

smtps     inet  n       -       n       -       -       smtpd
   -o smtpd_tls_wrappermode=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject
   -o smtpd_proxy_filter=127.0.0.1:10024

Nur wieso kann er den Hostnamen im chroot nicht auflösen?
Die Dateien etc/resolv.conf & etc/hosts habe ich im chroot Verzeichnis 
/var/spool/postfix überprüft. Die sind identisch mit denen unter "/".

Der smtp hat im chroot bisher auch keine Probleme gemacht. Habe ich 
etwas an der TLS Config verkehrt?

Grüße, Tobias


From postfixbuch-users at drobic.de  Tue May 10 14:06:03 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Tue, 10 May 2011 14:06:03 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>
References: <8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>	<4DC90A4D.4020301@drobic.de>
	<18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>
Message-ID: <4DC92A2B.4070503@drobic.de>

On 10.05.2011 13:09, Tobias Koopmann wrote:
> 
> On Tue, 10 May 2011 11:50:05 +0200, Sandy Drobic wrote:
>> Auch im chroot?
>>
>>> # ==========================================================================
>>> # service type  private unpriv  chroot  wakeup  maxproc command + args
>>> #               (yes)   (yes)   (yes)   (never) (100)
>>> # ==========================================================================
>>> smtp      inet  n       -       -       -       -       smtpd
>>>    -o smtpd_proxy_filter=127.0.0.1:10024
>>>    -o smtpd_proxy_timeout=200
>>
>> Teste mal ohne chroot, ob dann plötzlich alles sauber läuft.
> 
> Danke, hat funktioniert. Allerdings reichte es aus smtps nicht im chroot
> laufen zu lassen:
> 
> smtps     inet  n       -       n       -       -       smtpd
>   -o smtpd_tls_wrappermode=yes
>   -o smtpd_sasl_auth_enable=yes
>   -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>   -o smtpd_proxy_filter=127.0.0.1:10024
> 
> Nur wieso kann er den Hostnamen im chroot nicht auflösen?
> Die Dateien etc/resolv.conf & etc/hosts habe ich im chroot Verzeichnis
> /var/spool/postfix überprüft. Die sind identisch mit denen unter "/".
> 
> Der smtp hat im chroot bisher auch keine Probleme gemacht. Habe ich etwas an
> der TLS Config verkehrt?

Ich kann mir nicht vorstellen, dass TLS etwas damit zu tun hat. Die
Namensauflösung geschieht durch das OS, nicht durch interne Routinen von Postfix.
Vielleicht ein Eintrag im DNS? In /etc/nsswitch.conf sollte die Reihenfolge
stehen, wie die Namensauflösung abläuft. Was steht dort für "hosts:"?




From tobias at koopmann-mail.de  Tue May 10 14:18:01 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Tue, 10 May 2011 14:18:01 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <4DC92A2B.4070503@drobic.de>
References: "<8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>"
	<4DC90A4D.4020301@drobic.de>
	<18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>
	<4DC92A2B.4070503@drobic.de>
Message-ID: <67cc44cf4838867cab02fccd3ed5c724@koopmann-mail.de>

On Tue, 10 May 2011 14:06:03 +0200, Sandy Drobic wrote:
> Ich kann mir nicht vorstellen, dass TLS etwas damit zu tun hat. Die
> Namensauflösung geschieht durch das OS, nicht durch interne Routinen
> von Postfix.
> Vielleicht ein Eintrag im DNS? In /etc/nsswitch.conf sollte die 
> Reihenfolge
> stehen, wie die Namensauflösung abläuft. Was steht dort für "hosts:"?

Unter /etc/nsswitch sowie /var/spool/postfix/etc/nsswitch ist für 
hosts:

files dns gelistet.

Grüße, Tobias


From postfix at jpkessler.info  Tue May 10 19:35:35 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Tue, 10 May 2011 19:35:35 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?PGP_und_S/MIME_am_=E4u=DFeren?=
 =?iso-8859-15?q?_MX?=
In-Reply-To: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
Message-ID: <4DC97767.1040309@jpkessler.info>

Am 04.05.2011 10:29, schrieb Michael Nausch:
> Hat hier jemand Erfahrungen mit derartigen Lösungen, so z.B. mit dem
> Z1 SecureMail Gateway, oder kann jemand positives über andere Ansätze
> berichten? Oder kann gar AMaViS gar hierzu verwendet werden - wäre
> doch der ultimative Ort, für die Ent-/Verschlüsselung. Bei DKIM macht
> er sowas ansatzweise ja schon, oder? ;)

Ich versuche es zur Abwechselung mal mit einer konkreten Antwort:

Ja, wir setzen eine Z1 für verschiedene Unternehmen ein. Relevant zu
dieser Entscheidung war allerdings weniger, dass wir verschlüsselte
Nachrichten auch Scannen wollten, sondern folgende Punkte:

- Keine Zusatzsoftware auf den PCs der Anwender erforderlich (sind hier
einige zehntausend). S/Mime sprechen die meisten MUAs ja, aber
spätestens bei PGP werden idR PlugIns benötigt.

- Richtlinien zur Verschlüsselung können an zentraler Stelle festgelegt
werden (durch uns, die Admins). So geben wir zu bestimmten Partnern per
Policy vor, dass jede Nachricht automatisch vom System verschlüsselt
wird. Das schützt gegen das Vergessen durch den AW.

- Die AW müssen sich nicht mit Verschlüsselungsverfahren und
Keymanagement auskennen ("welches Teil soll ich jetzt wohin schicken?
wieso public und private? wieso braucht der was von MIR, damit ER
verschlüsseln kann?" usw usf).

- Sämtliche Schlüssel liegen an zentraler Stelle auf dem Gateway (durch
ein HSM gesichert). Das erlaubt nicht nur ein einfaches Backup - man
schläft auch besser, wenn ein Notebook abhanden kommt.

- Stellvertreterregelungen und die Bearbeitung von Gruppenbriefkästen
bleiben möglich ohne dass man zig Keys an alle möglichen AW verteilen muss.

- Eine Z1 (und auch die meisten Alternativprodukte) erlaubt ja nicht nur
PKI basierte Verfahren sondern kennt auch Alternativen für AW, die das
nicht können. Stellt unsere Z1 beispielsweise fest, dass zu einem
Partner kein Key vorliegt, die Policy aber Verschlüsselung vorgibt,
hinterlegt sie die NAchricht automatisch in einem Webmailer bei uns
(https natürlich). Über ein Initialisierungsverfahren erhält der Externe
ein Kennwort und kann die Nachricht lesen. Alternativ kann die Z1 nicht
nur das, sondern die Mail auch in ein (AES-)verschlüsseltes PDF packen,
dass der Externe mit seinem Kennwort lesen kann.

- Die internen Keys können automatisch von einem Trustcenter via
SOAP-API bezogen werden. Beispiel: Eine Mail kommt an unserer Z1 an und
die Policy sagt "Signiere". Der User hat aber noch kein S/Mime
Zertifikat. Das stellt das GW fest und baut automatisch eine
(verschlüsselte und bidirektional authentisierte) Verbindung zur TC
Trustcenter auf, schickt einen CSR dorthin und erhält daraufhin das vom
TC signierte Zertifikat. Erst dann wird die Mail signiert und von der Z1
verschickt. Das klappt nicht nur, wenn kein Key existiert, sondern uB
auch, wenn das S/Mime Cert abgelaufen ist.

- Zu guter letzt einer der meist-unterschätzten Vorteile: Das
Keymanagement der externen Schlüssel. Wenn Du zB mit a at b.de
kommunizieren möchtest, benötigst Du ja den PublicKey von ihm. Den
tauscht Ihr aus und es klappt. Jetzt möchte aber vll auch Dein Kollege
mit a at b.de mailen - er muss den Key also wieder austauschen. Das ganze
kannst Du ja nun mal auf mehrere tausend interne AW und externe Partner
hochrechnen. Bei der Z1 wird der Key des Externen automatisch im
Schlüsselspeicher hinterlegt und steht somit sofort allen internen AW
zur Verfügung.

Sprich: Es gibt eine Reihe von guten Argumenten für ein solches System.
Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
Anregung...

An Produkten kenne ich folgende:

- Zertificon Z1 http://www.zertificon.com/ (kennste ja schon)
- Totemo Trustmail http://www.totemo.ch/ (nicht ganz günstig, aber mit
dem meiner Meinung nach besten Policy Editor)
- Julia Mailoffice (kenne ich kaum. Wird das noch gepflegt?)
- Ultimaco Mailgateway (inzwischen von Sophos gekauft)

Meine Favoriten sind die ersten beiden. Zertificon ist es bei uns
geworden, da die Mandantenfähigkeit hier sehr stark ausgeprägt ist.
Sämtliche Features werden unterhalb des jeweiligen Mandanten eingestellt
- so z.B. das Layout des Webmailers und der PDFs, die SChnittstelle zum
Trustcenter, sämtliche Texte, usw usf

Cheers, Jan



From postfixbuch-users at gmj.cjb.net  Tue May 10 20:08:06 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Tue, 10 May 2011 20:08:06 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?PGP_und_S/MIME_am_=C3=A4u=C3=9Feren?= =?utf-8?q?_MX?=
In-Reply-To: <4DC97767.1040309@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
	<4DC97767.1040309@jpkessler.info>
Message-ID: <4DC97F06.20301@gmj.cjb.net>

Am 10.05.11 19:35, schrieb Jan P. Kessler:

> Sprich: Es gibt eine Reihe von guten Argumenten für ein solches System.
> Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
> bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
> Anregung...

Apropos Selbstreflexion: Wie wir in Eurem "Konzept" eigentlich
verhindert, dass eine Dritter z.B. nach einem Verlust eines Notebooks
Zugriff auf die (nun entschlüsselten) Nachrichten erlangt?
(Ich denke da z.B. an Offline-Kopien von IMAP-Foldern.)

Aus meiner Sicht setzt Ihr da nur eine "Transportverschlüsselung" sehr
umständlich (und wahrscheinlich teuer) um und zerstört die Semantik von
"Ende-zu-Ende-Verschlüsselung".

Wenn ich als Euer Geschäftspartner etwas so vertrauliches schicke würde,
dass es S/MIME oder PGP erfordert, möchte ich eben _nicht_ dass von der
Mail unverschlüsselte Kopien irgendwo rumliegen!
(Und ob damit erfolgte Zertifizierungen/Auditierungen umsonst wären,
steht auch noch im Raum.)


Gruß,
Mathias


From igor.sverkos at googlemail.com  Tue May 10 21:40:49 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Tue, 10 May 2011 21:40:49 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC97F06.20301@gmj.cjb.net>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>
	<4DC97F06.20301@gmj.cjb.net>
Message-ID: <4DC994C1.5030606@googlemail.com>

Hallo,

Mathias Jeschke schrieb::
> Apropos Selbstreflexion: Wie wir in Eurem "Konzept" eigentlich
> verhindert, dass eine Dritter z.B. nach einem Verlust eines Notebooks
> Zugriff auf die (nun entschlüsselten) Nachrichten erlangt?
> (Ich denke da z.B. an Offline-Kopien von IMAP-Foldern.)
> 
> Aus meiner Sicht setzt Ihr da nur eine "Transportverschlüsselung" sehr
> umständlich (und wahrscheinlich teuer) um und zerstört die Semantik von
> "Ende-zu-Ende-Verschlüsselung".

Letzteres ist es in meinen Augen auch.

Gegen ersteres kann nur eine Vollverschlüsselung schützen. Wer so eine
E-Mail-Lösung nutzt, wird hier hoffentlich nicht gespart haben, oder?


> Wenn ich als Euer Geschäftspartner etwas so vertrauliches schicke würde,
> dass es S/MIME oder PGP erfordert, möchte ich eben _nicht_ dass von der
> Mail unverschlüsselte Kopien irgendwo rumliegen!

Von dem Gedanken solltest du Dich verabschieden. Sobald eine Nachricht
deine Hände verlassen hat, war es das. Früher war es der vertrauliche
Brief, der nicht sofort verbrannt wurde... heute liegen irgendwo
entschlüsselte Versionen herum.

Davon abgesehen:
Stelle dir vor, du bist so ein Empfänger. Du wirst die Daten nicht immer
verschlüsselt herumliegen haben wollen, nur weil der Sender sich das so
vorgestellt hat ;)


-- 
Ich Grüße,
Igor


From igor.sverkos at googlemail.com  Tue May 10 21:52:51 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Tue, 10 May 2011 21:52:51 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC97767.1040309@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
	<4DC97767.1040309@jpkessler.info>
Message-ID: <4DC99793.7060709@googlemail.com>

Hallo,

Jan P. Kessler schrieb:
> - Richtlinien zur Verschlüsselung können an zentraler Stelle festgelegt
> werden (durch uns, die Admins). So geben wir zu bestimmten Partnern per
> Policy vor, dass jede Nachricht automatisch vom System verschlüsselt
> wird. Das schützt gegen das Vergessen durch den AW.

Verschlüsselt ihr an euren Ausgängen? Entschlüsselt ihr an euren Eingängen?

Habt ihr Richtlinien bzgl. Anhängen? Wenn ja, kann diese trotz der
Verschlüsselung erzwungen werden?


> - Sämtliche Schlüssel liegen an zentraler Stelle auf dem Gateway (durch
> ein HSM gesichert). Das erlaubt nicht nur ein einfaches Backup - man
> schläft auch besser, wenn ein Notebook abhanden kommt.

Die privaten Schlüssel auch? Wie wird denn sichergestellt, dass Hans
nicht als Peter zeichnen kann?

Könnt ihr Admins im Zweifel jede Nachricht öffnen?


> - Stellvertreterregelungen und die Bearbeitung von Gruppenbriefkästen
> bleiben möglich ohne dass man zig Keys an alle möglichen AW verteilen muss.

Kannst du dazu etwas im Detail sagen, wie das funktioniert? Der Sender
wählt ja bestimmt nur einen Key aus, für den er verschlüsselt... er wird
nichts von einem möglichen Stellvertreter wissen. Oder ist das eben kein
Problem, weil zentral am Eingang geöffnet wird?

> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
> Keymanagement der externen Schlüssel. Wenn Du zB mit a at b.de
> kommunizieren möchtest, benötigst Du ja den PublicKey von ihm. Den
> tauscht Ihr aus und es klappt. Jetzt möchte aber vll auch Dein Kollege
> mit a at b.de mailen - er muss den Key also wieder austauschen. Das ganze
> kannst Du ja nun mal auf mehrere tausend interne AW und externe Partner
> hochrechnen. Bei der Z1 wird der Key des Externen automatisch im
> Schlüsselspeicher hinterlegt und steht somit sofort allen internen AW
> zur Verfügung.

Klingt auf einer Seite gut. Aber besorgt sich das Teil automatisch den
Schlüssel? Wenn ja, worauf basiert die Vertrauenswürdigkeit? Das du der
verwendeten CA vertraust? Woher weiß Z1, woher er für a at b.de den Key
bekommt?

Klappt das Zusammenspiel nur, wenn alle Seiten bspw. auf Z1 setzen?
Liegen den Produkten Standards zu Grunde, damit ich bspw. auch mit einem
Partner zusammenarbeiten kann, der auf eine andere PKI-Lösung setzt?

Kannst du auch etwas zu der Unterstellung sagen, dass das nur eine teure
Transportsicherung ist und eigentlich nichts mit echter End-to-End
Kommunikation zu tun hat?

Ansonsten war das bislang sehr interessant zu lesen. Vielen Dank für die
Links.


-- 
Ich Grüße,
Igor


From postfixbuch-users at gmj.cjb.net  Tue May 10 22:18:39 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Tue, 10 May 2011 22:18:39 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?PGP_und_S/MIME_am_=C3=A4u=C3=9Feren?= =?utf-8?q?_MX?=
In-Reply-To: <4DC994C1.5030606@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>
	<4DC994C1.5030606@googlemail.com>
Message-ID: <4DC99D9F.2000107@gmj.cjb.net>

Am 10.05.11 21:40, schrieb Igor Sverkos:

>> Wenn ich als Euer Geschäftspartner etwas so vertrauliches schicke würde,
>> dass es S/MIME oder PGP erfordert, möchte ich eben _nicht_ dass von der
>> Mail unverschlüsselte Kopien irgendwo rumliegen!
> 
> Von dem Gedanken solltest du Dich verabschieden. Sobald eine Nachricht
> deine Hände verlassen hat, war es das. Früher war es der vertrauliche
> Brief, der nicht sofort verbrannt wurde... heute liegen irgendwo
> entschlüsselte Versionen herum.

Ja, ich weiß - es gibt den Auslagerungsspeicher (swap/Paging) und
je nach Implementierung legt der MUA-Plugin ein tempfile an,
statt Pipes zu benutzen.

Meiner Erfahrung nach entschlüsseln die Plugins aber eben nicht auf
Vorrat, d.h. beim Neustart des MUAs muss man die Mail zum _Betrachten_
erneut entschlüsseln.

Es ist aber definitiv ein Unterschied, ob ein zentraler Mailserver alle
Mails unverschlüsselt im Dateisystem ablegt bzw. zu den Clients hin
offenbart, als wenn ein MUA das temporär tut - was dann immer noch als
"Bug" zu bezeichnen ist.
Gegen Paging kritischer Speicherseiten kann der MUA-Programmierer IIRC
auch etwas tun, ein ordentliches OS vorausgesetzt. Stichwort: mlock()

> Davon abgesehen:
> Stelle dir vor, du bist so ein Empfänger. Du wirst die Daten nicht immer
> verschlüsselt herumliegen haben wollen, nur weil der Sender sich das so
> vorgestellt hat ;)

Ich kann durchaus damit leben, dass mein Webmailer für den mobilen
Zugriff mangels Plugin nicht alle vertraulichen Daten anzeigen kann.

Was ich damit verdeutlichen will: Es ist die Sematik hinter S/MIME und
PGP (Ende-zu-Ende) die dabei entscheidend ist.
Dafür muss man (leider) die Nutzer schulen, um den Unterschied klar zu
machen.

Alles andere ist Snakeoil (TM).

Gruß,
Mathias


From postfix at jpkessler.info  Wed May 11 01:08:51 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Wed, 11 May 2011 01:08:51 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC97F06.20301@gmj.cjb.net>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>
	<4DC97F06.20301@gmj.cjb.net>
Message-ID: <4DC9C583.2040403@jpkessler.info>


> Apropos Selbstreflexion: Wie wir in Eurem "Konzept" eigentlich
> verhindert, dass eine Dritter z.B. nach einem Verlust eines Notebooks
> Zugriff auf die (nun entschlüsselten) Nachrichten erlangt?
> (Ich denke da z.B. an Offline-Kopien von IMAP-Foldern.)

Der lokale Nachrichtenspeicher ist auch verschlüsselt
(Plattenverschlüsselung) - ebenso wie der interne Transportweg.

> Aus meiner Sicht setzt Ihr da nur eine "Transportverschlüsselung" sehr
> umständlich (und wahrscheinlich teuer) um und zerstört die Semantik von
> "Ende-zu-Ende-Verschlüsselung".

Für uns sind es einfach weitere zu unterstützende Verfahren (neben TLS,
Routing via VPN, u.ä.). Der Vorteil liegt für uns darin, dass die
Benutzer es selbst steuern und auf einfache Weise erkennen können. Neben
Richtlinien wurden Schaltflächen in die Groupware zur opportunistischen
Steuerung integriert. Bei entschlüsselten/verifizierten Nachrichten
erfolgt eine entsprechende Markierung.

Außerdem ist es im Gegensatz zu den klassischen Transportsicherungen
auch mit Partnern sinnvoll einsetzbar, die Freemailer verwenden.

> Wenn ich als Euer Geschäftspartner etwas so vertrauliches schicke würde,
> dass es S/MIME oder PGP erfordert, möchte ich eben _nicht_ dass von der
> Mail unverschlüsselte Kopien irgendwo rumliegen!

Auch Backups werden hier verschlüsselt und nicht einfach im Schrank
aufbewahrt. Das übrigens nicht nur wg evtl vertraulicher Mails ;-)

Keine Frage, bei einem "Insider-Angriff" (z.B. durch einen Kollegen oder
Admin) entspricht das Sicherheitsniveau nicht 100%ig dem einer lokalen
Implementation. Dem entgegen stehen eben Abwägungen zu Praktikabilität
und Wirtschaftlichkeit, wie immer.

Und Du hast natürlich auch recht damit, dass die Gesamtbetrachtung
(Backups, etc.) wichtig ist.

> (Und ob damit erfolgte Zertifizierungen/Auditierungen umsonst wären,
> steht auch noch im Raum.)

Sind übrigens auch "nur" Class-2 Zertifikate.

Gruss, Jan




From postfix at jpkessler.info  Wed May 11 01:39:48 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Wed, 11 May 2011 01:39:48 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC99793.7060709@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>
	<4DC99793.7060709@googlemail.com>
Message-ID: <4DC9CCC4.6030701@jpkessler.info>

Hi, puh viele Fragen ;-)

>> - Richtlinien zur Verschlüsselung können an zentraler Stelle festgelegt
>> werden (durch uns, die Admins). So geben wir zu bestimmten Partnern per
>> Policy vor, dass jede Nachricht automatisch vom System verschlüsselt
>> wird. Das schützt gegen das Vergessen durch den AW.
> Verschlüsselt ihr an euren Ausgängen? Entschlüsselt ihr an euren Eingängen?

Grob sieht das so aus:

INET -> MTA(tls) -> Z1 -> AV/Spamscan -> Groupware -> MUA

    bzw:

MUA -> Groupware -> AV Scan -> Z1 -> MTA(tls) -> INET

Die Steuerung erfolgt per zentraler Policy oder durch eine Schaltfläche
im MUA.

> Habt ihr Richtlinien bzgl. Anhängen? Wenn ja, kann diese trotz der
> Verschlüsselung erzwungen werden?

Jep. Die wirken beim Ausgang bevor verschlüsselt und beim Eingang
nachdem entschlüsselt wurde. Einer der Vorteile der GW basierten
Implementation. Selbiges gilt für den Virenscanner. Spam scannen wir nur
eingehend (unsere Mails sind grundsätzlich und immer gewollt ;)).

>> - Sämtliche Schlüssel liegen an zentraler Stelle auf dem Gateway (durch
>> ein HSM gesichert). Das erlaubt nicht nur ein einfaches Backup - man
>> schläft auch besser, wenn ein Notebook abhanden kommt.
> Die privaten Schlüssel auch? Wie wird denn sichergestellt, dass Hans
> nicht als Peter zeichnen kann?

Die Groupware erlaubt es Hans nicht als Peter zu mailen. Die
Kommunikation zum GW ist auf diese beschränkt.

> Könnt ihr Admins im Zweifel jede Nachricht öffnen?

Technisch klar. Eben weil die Nachricht intern ja entschlüsselt
vorliegt. Praktisch ist das nicht so einfach (nur über
Datenschutzbeauftragten und Betriebsrat). Wir sind da sehr strikt. Und
das ist gut so.


>> - Stellvertreterregelungen und die Bearbeitung von Gruppenbriefkästen
>> bleiben möglich ohne dass man zig Keys an alle möglichen AW verteilen muss.
> Kannst du dazu etwas im Detail sagen, wie das funktioniert? Der Sender
> wählt ja bestimmt nur einen Key aus, für den er verschlüsselt... er wird
> nichts von einem möglichen Stellvertreter wissen. Oder ist das eben kein
> Problem, weil zentral am Eingang geöffnet wird?

Der Sender wählt gar nichts aus. Das wäre hier bei der Menge und
IT-Qualifikation der Nutzer kaum umzusetzen. Er schickt einfach nur
seine Mail und wählt ggf noch ein Verfahren (PKI oder Webmail).

Die Groupware stellt sicher, dass der Benutzer nur mit bestimmten
Identitäten senden kann - also seiner eigenen, die der Kollegen, die ihn
im Vorfeld als Stellvertreter zugelassen haben und diverse
Gruppenbriefkästen.

>> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
>> Keymanagement der externen Schlüssel. Wenn Du zB mit a at b.de
>> kommunizieren möchtest, benötigst Du ja den PublicKey von ihm. Den
>> tauscht Ihr aus und es klappt. Jetzt möchte aber vll auch Dein Kollege
>> mit a at b.de mailen - er muss den Key also wieder austauschen. Das ganze
>> kannst Du ja nun mal auf mehrere tausend interne AW und externe Partner
>> hochrechnen. Bei der Z1 wird der Key des Externen automatisch im
>> Schlüsselspeicher hinterlegt und steht somit sofort allen internen AW
>> zur Verfügung.
> Klingt auf einer Seite gut. Aber besorgt sich das Teil automatisch den
> Schlüssel? Wenn ja, worauf basiert die Vertrauenswürdigkeit? Das du der

Zum einen die bereits hinterlegten CAs (ich weiß, über die kann man
streiten). Auf Wunsch auch via ldaps zu diversen Trustcentern und von
PGP Keyservern. Außerdem ist es in der Lage angehängte PGP und S/Mime
Zerts automatisch aus Mails zu extrahieren. Kommen die von einer
vertrauten CA oder wurden bei PGP von einer vertrauten Person
beglaubigt, werden sie automatisch ohne jeden Eingriff verwendet.
Andernfalls müssen wir (Admins) sie einmalig verifizieren.

Das Tolle ist aber vor allem, dass das nicht jedesmal neu für
hans at unserefirma.local, horst at unserefirma.local,
hanne at unserefirma.local, ... gemacht werden muss. Sondern bei S/Mime nur
eine einzige, eingehende signierte Mail braucht.

> Klappt das Zusammenspiel nur, wenn alle Seiten bspw. auf Z1 setzen?
> Liegen den Produkten Standards zu Grunde, damit ich bspw. auch mit einem
> Partner zusammenarbeiten kann, der auf eine andere PKI-Lösung setzt?

Verstehe ich die Frage nicht? Klar. Es geht ja um die offenen Verfahren
S/Mime und PGP.

Die Alternativverfahren Webmail und PDF-Mail setzen einen Browser bzw
PDF-Reader voraus ;-)

> Kannst du auch etwas zu der Unterstellung sagen, dass das nur eine teure
> Transportsicherung ist und eigentlich nichts mit echter End-to-End
> Kommunikation zu tun hat?

Nun ja, wie in der anderen Mail ausführlicher beschrieben ist es aus
Sicht des Endanwenders zum einen besser zu steuern und zu erkennen.
Außerdem wird es teilweise schlicht angefragt und wir möchten unsere
Partner und vor allem das Ansinnen einer gesicherten elektronischen
Kommunikation unterstützen.

Außerdem ist es im Gegensatz zu den klassischen Transportsicherungen
auch mit Partnern sinnvoll einsetzbar, die Freemailer verwenden.

Wichtig ist, wie in der anderen Mail beschrieben, dass die sonstigen
Voraussetzungen stimmen, also z.B.

- Die Platten der Notebooks sind verschlüsselt.
- Die Kommunikation mit der Groupware ist verschlüsselt.
- Die Komm zw Groupware und GW ebenfalls.
- Backups sowieso. Bänder werden sicher aufbewahrt.

> Ansonsten war das bislang sehr interessant zu lesen. Vielen Dank für die
> Links.




From postfix at jpkessler.info  Wed May 11 01:51:32 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Wed, 11 May 2011 01:51:32 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?OT=3A_Suche_Postfix-Admin_zur_?=
 =?iso-8859-1?q?Unterst=FCtzung?=
In-Reply-To: <4DC8E7BF.7010003@nausch.org>
References: <24668.194.99.122.193.1304954317.squirrel@www.rirasoft.de>
	<4DC8E7BF.7010003@nausch.org>
Message-ID: <4DC9CF84.6010201@jpkessler.info>


> Wie sieht das Lizensierungsmodell bei gewerblicher Nutzung aus?
> Wie wird das System eingebunden? Geht das über smtp_proxy_filter
>  oder als content_filter?

content_filter

> "Bezieht" man das System als Appliance oder kann man dieses auch
>  auf eigenem Blech betreiben?

Sowohl als auch. Die Software ist für Linux und Solaris erhältlich. Die
Appliances gibt es als Hardware und VM.




From postfixbuch-users at drobic.de  Wed May 11 10:31:18 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Wed, 11 May 2011 10:31:18 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <67cc44cf4838867cab02fccd3ed5c724@koopmann-mail.de>
References: "<8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>"	<4DC90A4D.4020301@drobic.de>	<18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>	<4DC92A2B.4070503@drobic.de>
	<67cc44cf4838867cab02fccd3ed5c724@koopmann-mail.de>
Message-ID: <4DCA4956.8060804@drobic.de>

On 10.05.2011 14:18, Tobias Koopmann wrote:
> On Tue, 10 May 2011 14:06:03 +0200, Sandy Drobic wrote:
>> Ich kann mir nicht vorstellen, dass TLS etwas damit zu tun hat. Die
>> Namensauflösung geschieht durch das OS, nicht durch interne Routinen
>> von Postfix.
>> Vielleicht ein Eintrag im DNS? In /etc/nsswitch.conf sollte die Reihenfolge
>> stehen, wie die Namensauflösung abläuft. Was steht dort für "hosts:"?
> 
> Unter /etc/nsswitch sowie /var/spool/postfix/etc/nsswitch ist für hosts:
> 
> files dns gelistet.

Dann sollte auch die Hostauflösung durch die /etc/hosts erfolgen. Dadurch
lässt sich nicht erklären, warum dies nicht geschieht. Dann kann ich im
Augenblick nicht helfen.



From tobias at koopmann-mail.de  Wed May 11 10:56:32 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Wed, 11 May 2011 10:56:32 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <4DCA4956.8060804@drobic.de>
References: "\"\\\"<8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>\\\"	<4DC90A4D.4020301@drobic.de>"
	<18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>"
	<4DC92A2B.4070503@drobic.de>
	<67cc44cf4838867cab02fccd3ed5c724@koopmann-mail.de>
	<4DCA4956.8060804@drobic.de>
Message-ID: <a23f9173837588374d53e626a003da71@koopmann-mail.de>

On Wed, 11 May 2011 10:31:18 +0200, Sandy Drobic wrote:
>> Unter /etc/nsswitch sowie /var/spool/postfix/etc/nsswitch ist für 
>> hosts:
>>
>> files dns gelistet.
>
> Dann sollte auch die Hostauflösung durch die /etc/hosts erfolgen. 
> Dadurch
> lässt sich nicht erklären, warum dies nicht geschieht. Dann kann ich 
> im
> Augenblick nicht helfen.

Gestern habe ich von Postfix 2.7.1 auf 2.8.2 upgedated.
Seit dem funktioniert es und der Hostname wird korrekt aufgelöst, auch 
wenn smtpd im chroot läuft.

---
Mit freundlichen Grüßen,

Tobias Koopmann

------------------------------------------------------------------
...and I will promise to go on as long as you want me to,
    and I will dream along and help to make it real for you, too...
              (the mirror & the lie - Motorpsycho)
------------------------------------------------------------------


From postfixbuch-users at gmj.cjb.net  Wed May 11 11:15:45 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 11 May 2011 11:15:45 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <4DCA4956.8060804@drobic.de>
References: "<8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>"	<4DC90A4D.4020301@drobic.de>	<18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>	<4DC92A2B.4070503@drobic.de>	<67cc44cf4838867cab02fccd3ed5c724@koopmann-mail.de>
	<4DCA4956.8060804@drobic.de>
Message-ID: <4DCA53C1.2010506@gmj.cjb.net>

Am 11.05.2011 10:31, schrieb Sandy Drobic:

> Dann sollte auch die Hostauflösung durch die /etc/hosts erfolgen. Dadurch
> lässt sich nicht erklären, warum dies nicht geschieht. Dann kann ich im
> Augenblick nicht helfen.

Meine Vermutung ist ja, dass es wegen dem Default-Parameter von
$smtp_host_lookup nicht geht. Zitat:

> smtp_host_lookup (default: dns)
>     What mechanisms the Postfix SMTP client uses to look up a host's IP address. This parameter is ignored when DNS lookups are disabled (see: disable_dns_lookups).
>     Specify one of the following:
> 
>     dns
>         Hosts can be found in the DNS (preferred). 
>     native
>         Use the native naming service only (nsswitch.conf, or equivalent mechanism). 
>     dns, native
>         Use the native service for hosts not found in the DNS. 
> 
>     This feature is available in Postfix 2.1 and later.

Auf meinen Systemen hilft daher (wenn ein Hostname wirklich nur lokal
bekannt ist):

$ postconf smtp_host_lookup
smtp_host_lookup = native
$ grep host /etc/nsswitch.conf
hosts:          files dns

Gruß,
Mathias


From tobias at koopmann-mail.de  Wed May 11 11:59:53 2011
From: tobias at koopmann-mail.de (Tobias Koopmann)
Date: Wed, 11 May 2011 11:59:53 +0200
Subject: [Postfixbuch-users] address not listed for hostname
In-Reply-To: <4DCA53C1.2010506@gmj.cjb.net>
References: "\"\\\"<8dfa8b5fd59c78a79e14f15c4b0b771c@koopmann-mail.de>\\\"	<4DC90A4D.4020301@drobic.de>	<18567eef1665e0fe2c7b8adf8f861fbb@koopmann-mail.de>"
	<4DC92A2B.4070503@drobic.de>"
	<67cc44cf4838867cab02fccd3ed5c724@koopmann-mail.de>
	<4DCA4956.8060804@drobic.de> <4DCA53C1.2010506@gmj.cjb.net>
Message-ID: <83765b7a2d0942e73e553781487d0dad@koopmann-mail.de>

On Wed, 11 May 2011 11:15:45 +0200, Mathias Jeschke wrote:
> Auf meinen Systemen hilft daher (wenn ein Hostname wirklich nur lokal
> bekannt ist):
>
> $ postconf smtp_host_lookup
> smtp_host_lookup = native
> $ grep host /etc/nsswitch.conf
> hosts:          files dns

Danke für den Hinweis! Habe ich nicht gewusst, dass er standardmäßig 
nur dns nutzt.
Allerdings ist der Hostname sowohl über /etc/hosts als auch über das 
globale DNS auflösbar (A- & AAAA-Record).
Und: Nach dem Upgrade auf v2.8.2 funktioniert die Auflösung ja, auch 
übers globale DNS.
Würd meine hand jetzt nicht dafür ins Feuer legen, dass es an v2.7.1 
lag, aber möglich ist es. Muss mir mal die release notes durchlesen.

---
Mit freundlichen Grüßen,

Tobias Koopmann

------------------------------------------------------------------
...and I will promise to go on as long as you want me to,
    and I will dream along and help to make it real for you, too...
              (the mirror & the lie - Motorpsycho)
------------------------------------------------------------------


From atann at alphasrv.net  Wed May 11 17:49:32 2011
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 11 May 2011 17:49:32 +0200
Subject: [Postfixbuch-users] Spamassassin - welche Regel trifft?
Message-ID: <201105111749.33173@inter.netz>

Servus zusammen,

wie kriegt man denn heraus, welche der Spamassassin-Regeln beteiligt
war, wenn im Logfile auftaucht: 

May 11 17:30:01 mail amavis[10720]: (10720-06) Blocked SPAM,
[IP] [IP2] <x at y> -> <a at b>,
Message-ID: <201105111729.47698>, mail_id: w2Oa3gMjb+Fg,
Hits: 1001.767, size: 1127, 5597 ms


Und noch nebenbei: welche Channels werden hier so verwendet für
sa-update?

Danke+Gruß!

-- 
Andre Tann



From werner at aloah-from-hell.de  Wed May 11 17:52:33 2011
From: werner at aloah-from-hell.de (Werner)
Date: Wed, 11 May 2011 17:52:33 +0200
Subject: [Postfixbuch-users] Spamassassin - welche Regel trifft?
In-Reply-To: <201105111749.33173@inter.netz>
References: <201105111749.33173@inter.netz>
Message-ID: <4DCAB0C1.8080202@aloah-from-hell.de>

Am 11.05.11 17:49, schrieb Andre Tann:
> Servus zusammen,
> 
> wie kriegt man denn heraus, welche der Spamassassin-Regeln beteiligt
> war, wenn im Logfile auftaucht: 
> 
> May 11 17:30:01 mail amavis[10720]: (10720-06) Blocked SPAM,
> [IP] [IP2] <x at y> -> <a at b>,
> Message-ID: <201105111729.47698>, mail_id: w2Oa3gMjb+Fg,
> Hits: 1001.767, size: 1127, 5597 ms

Schraub den Debug-Level von Amavis hoch oder starte Amavis im
Debug-Mode.

Ciao,
Werner


From werner at aloah-from-hell.de  Wed May 11 17:53:11 2011
From: werner at aloah-from-hell.de (Werner)
Date: Wed, 11 May 2011 17:53:11 +0200
Subject: [Postfixbuch-users] Spamassassin - welche Regel trifft?
In-Reply-To: <201105111749.33173@inter.netz>
References: <201105111749.33173@inter.netz>
Message-ID: <4DCAB0E7.4020602@aloah-from-hell.de>

Am 11.05.11 17:49, schrieb Andre Tann:
> Servus zusammen,
> 
> wie kriegt man denn heraus, welche der Spamassassin-Regeln beteiligt
> war, wenn im Logfile auftaucht: 
> 
> May 11 17:30:01 mail amavis[10720]: (10720-06) Blocked SPAM,
> [IP] [IP2] <x at y> -> <a at b>,
> Message-ID: <201105111729.47698>, mail_id: w2Oa3gMjb+Fg,
> Hits: 1001.767, size: 1127, 5597 ms

Und Hit > 1000 sieht nach Gtube aus ;)

Ciao,
Werner


From atann at alphasrv.net  Wed May 11 18:04:59 2011
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 11 May 2011 18:04:59 +0200
Subject: [Postfixbuch-users] Spamassassin - welche Regel trifft?
In-Reply-To: <4DCAB0C1.8080202@aloah-from-hell.de>
References: <201105111749.33173@inter.netz>
	<4DCAB0C1.8080202@aloah-from-hell.de>
Message-ID: <201105111805.00246@inter.netz>

Werner, Mittwoch 11 Mai 2011: 

> Schraub den Debug-Level von Amavis hoch oder starte Amavis im
> Debug-Mode.

# grep syslog_priority /etc/amavisd.conf 
$syslog_priority = 'debug';

Das stand schon ursprünglich so, und trotzdem kann ich im Log nichts
erkennen. Und ja, da war gtube im Spiel, nicht Superviagra ;)

-- 
Andre Tann



From werner at aloah-from-hell.de  Wed May 11 18:19:49 2011
From: werner at aloah-from-hell.de (Werner)
Date: Wed, 11 May 2011 18:19:49 +0200
Subject: [Postfixbuch-users] Spamassassin - welche Regel trifft?
In-Reply-To: <201105111805.00246@inter.netz>
References: <201105111749.33173@inter.netz>	<4DCAB0C1.8080202@aloah-from-hell.de>
	<201105111805.00246@inter.netz>
Message-ID: <4DCAB725.304@aloah-from-hell.de>

Am 11.05.11 18:04, schrieb Andre Tann:
> Werner, Mittwoch 11 Mai 2011: 
> 
>> Schraub den Debug-Level von Amavis hoch oder starte Amavis im
>> Debug-Mode.
> 
> # grep syslog_priority /etc/amavisd.conf 
> $syslog_priority = 'debug';

Setz mal:

$log_level = 3;

Ciao,
Werner




From foobar at web.de  Wed May 11 21:16:20 2011
From: foobar at web.de (FooBar)
Date: Wed, 11 May 2011 21:16:20 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
Message-ID: <4DCAE084.7060200@web.de>


hi @all,

ich steh irgendwie auf dem schlauch ... eventuell kann mir
jemand einen tip geben wo ich suchen soll ...

postfix, ldap, cyrus

wenn eine vacation-msg raus geht, schickt der locale
postfix alles zu seinem relay, der schickt die mail
weiter zum nächsten ... und der lehnt die mail ab und
sagt mir das der user from: <> nicht relayen darf,
stimmt ja auch ... nur warum ist der from leer ... hää
wo kann das denn verschwinden ?



cu
-- 
bevor mich der teufel holt, trinkt er sich mut an ...


From igor.sverkos at googlemail.com  Wed May 11 21:32:55 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 11 May 2011 21:32:55 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC99D9F.2000107@gmj.cjb.net>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>	<4DC994C1.5030606@googlemail.com>
	<4DC99D9F.2000107@gmj.cjb.net>
Message-ID: <4DCAE467.4000502@googlemail.com>

Hallo,

Mathias Jeschke schrieb:
>> Von dem Gedanken solltest du Dich verabschieden. Sobald eine
>> Nachricht deine Hände verlassen hat, war es das. Früher war es der
>> vertrauliche Brief, der nicht sofort verbrannt wurde... heute
>> liegen irgendwo entschlüsselte Versionen herum.
> 
> Ja, ich weiß - es gibt den Auslagerungsspeicher (swap/Paging) und je
> nach Implementierung legt der MUA-Plugin ein tempfile an, statt Pipes
> zu benutzen.

Das meine ich jetzt gar nicht. Es geht mir um den Gedanken, den Inhalt
der Nachricht in irgendeiner Form noch nachträglich beim Empfänger zu
schützen, gar zu kontrollieren. Das geht einfach nicht. Darüber muss man
sich klar sein.

Nicht umsonst gibt es daher wirklich Geräte, die Dinge nur ein einziges
Mal wiedergeben können. :-)

Natürlich sind auch diese nicht perfekt... weißt du das beispielsweise,
könntest du dann ja die Ausgabe in irgendeiner Form versuchen
aufzuzeichnen...

=> Einfach zur Kenntnis nehmen, dass sobald Informationen - auch
verschlüsselt - im Umlauf sind, diese in gewisser Form als
kompromittiert betrachtet werden sollten.

Evtl. wird es an dem simplen Beispiel klar:
Du veranstaltest eine exklusive Veranstaltung. Jedem deiner Gäste
sendest du verschlüsselt ein Code-Wort zu, welches sie beim Einlass dem
Türsteher mitteilen sollen. Meinetwegen bekommt auch jeder sein
individuelles Kennwort.

Jetzt kann es aber passieren, dass auf deiner Veranstaltung weit mehr
Personen auftauchen, als von dir eingeladen. Die Türsteher haben sie
auch alle durchgelassen, denn alle kannten ein gültiges Code-Wort ;-)

Man merke: Alles ist so stark, wie das schwächste Glied. Natürlich hätte
man abhaken können, welches Code-Wort schon verwendet wurde. Allerdings
könnten dann dennoch Leute auf deiner Veranstaltung sein, die du nicht
eingeladen hast, während gewollte Gäste vor der Tür stehen und nicht
herein gelassen werden, weil ihr Code-Wort schon verwendet wurde ;-)


> Ich kann durchaus damit leben, dass mein Webmailer für den mobilen 
> Zugriff mangels Plugin nicht alle vertraulichen Daten anzeigen kann.

Das ist jetzt eben die Detailfrage der Implementierung. Wenn du alles am
Eingang öffnest und unverschlüsselt weiterverarbeitest, ermöglicht du
allen weiteren Anwendungen den Zugriff, riskierst aber unter Umständen
die Sicherheit, wenn dadurch bspw. die Mails unverschlüsselt auf einem
Mobiltelefon im Cache liegen ;-)

Öffnest du hingegen die Nachrichten nicht zentral, hast du die Gefahr
mit dem Mobiltelefon nicht. Wenn du und deine Partner aber alle Policies
aktiv haben, wodurch eigentlich jede Nachricht verschlüsselt wird,
sperrst du dir auf einen Streich sehr viele Anwendungen, weil diese die
Nachrichten nicht mehr öffnen können. Dann kannst du deinen Webmailer
und die mobilen Endgeräte auch in die Tonne kloppen ;-)


> Was ich damit verdeutlichen will: Es ist die Sematik hinter S/MIME
> und PGP (Ende-zu-Ende) die dabei entscheidend ist. Dafür muss man
> (leider) die Nutzer schulen, um den Unterschied klar zu machen.
> 
> Alles andere ist Snakeoil (TM).

*FULLACK*

Insofern bin ich ein Gegner von solchen voll automatischen, für den
Nutzer transparenten Systemen. Klar, es führt dazu dass wirklich jeder
irgendwie die Sache nutzt... aber Sicherheitssysteme, die ein Nutzer
nicht versteht, bringen in meinen Augen auf Dauer gar nichts.

=> Pro Schulung! Auch wenn zu erst teuer...


-- 
Ich Grüße,
Igor


From igor.sverkos at googlemail.com  Wed May 11 21:44:32 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 11 May 2011 21:44:32 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC9CCC4.6030701@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC99793.7060709@googlemail.com>
	<4DC9CCC4.6030701@jpkessler.info>
Message-ID: <4DCAE720.7010306@googlemail.com>

Hallo,

Jan P. Kessler schrieb:
> Hi, puh viele Fragen ;-)

Hehe - ja. Danke, dass du dir die Zeit genommmen hast, auf alle einzugehen!


>> Habt ihr Richtlinien bzgl. Anhängen? Wenn ja, kann diese trotz der
>> Verschlüsselung erzwungen werden?
> 
> Jep. Die wirken beim Ausgang bevor verschlüsselt und beim Eingang
> nachdem entschlüsselt wurde. Einer der Vorteile der GW basierten
> Implementation. Selbiges gilt für den Virenscanner. Spam scannen wir nur
> eingehend (unsere Mails sind grundsätzlich und immer gewollt ;)).

OK... um somit die Eingangsfrage dieses Themas zu klären: Weil ihr
zentral öffnen könnt, ist das möglich.


>> Könnt ihr Admins im Zweifel jede Nachricht öffnen?
> 
> Technisch klar. Eben weil die Nachricht intern ja entschlüsselt
> vorliegt. Praktisch ist das nicht so einfach (nur über
> Datenschutzbeauftragten und Betriebsrat). Wir sind da sehr strikt. Und
> das ist gut so.

Das habe ich mir so gedacht. Ich bedauere das - für mich persönlich ist
es damit keine wirkliche End-To-End Kommunikation mehr (wird imho aber
auch nicht als solche bezeichnet!). Aber anders wird man alles (Filter,
Unternehmensrichtlinien ect.) nicht unter einen Hut bringen können...


> Die Groupware stellt sicher, dass der Benutzer nur mit bestimmten
> Identitäten senden kann - also seiner eigenen, die der Kollegen, die ihn
> im Vorfeld als Stellvertreter zugelassen haben und diverse
> Gruppenbriefkästen.

Kollege A geht nun in den Urlaub. Er setzt Kollege B als seinen
Stellvertreter ein.

Kollege B muss nun auf eine Kundenanfrage adressiert an Kollege A als
Vertretung antworten.

Erhält der Kunde die Antwort von A oder B? Wenn A, ist die Nachricht von
B signiert, d.h. kann der Kunde erkennen, dass A nicht gezeichnet hat?


>> Klappt das Zusammenspiel nur, wenn alle Seiten bspw. auf Z1 setzen?
>> Liegen den Produkten Standards zu Grunde, damit ich bspw. auch mit einem
>> Partner zusammenarbeiten kann, der auf eine andere PKI-Lösung setzt?
> 
> Verstehe ich die Frage nicht? Klar. Es geht ja um die offenen Verfahren
> S/Mime und PGP.

Ich ziehe die Frage zurück! ;)


>> Kannst du auch etwas zu der Unterstellung sagen, dass das nur eine teure
>> Transportsicherung ist und eigentlich nichts mit echter End-to-End
>> Kommunikation zu tun hat?
> 
> Nun ja, wie in der anderen Mail ausführlicher beschrieben ist es aus
> Sicht des Endanwenders zum einen besser zu steuern und zu erkennen.
> Außerdem wird es teilweise schlicht angefragt und wir möchten unsere
> Partner und vor allem das Ansinnen einer gesicherten elektronischen
> Kommunikation unterstützen.

...wird angefragt. Das las man hier ja schon von anderer Seite. ;)

Sind dir genauere Definitionen von "sicherer elektronischer
Kommunikation" bekannt? Also konkrete Ziele, die durch diese Lösung für
eure Kunden erreicht scheinen?


-- 
Ich Grüße,
Igor


From igor.sverkos at googlemail.com  Wed May 11 21:46:45 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 11 May 2011 21:46:45 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC9C583.2040403@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>
	<4DC9C583.2040403@jpkessler.info>
Message-ID: <4DCAE7A5.1030302@googlemail.com>

Hallo,

Jan P. Kessler schrieb:
> Für uns sind es einfach weitere zu unterstützende Verfahren (neben TLS,
> Routing via VPN, u.ä.). Der Vorteil liegt für uns darin, dass die
> Benutzer es selbst steuern und auf einfache Weise erkennen können. Neben
> Richtlinien wurden Schaltflächen in die Groupware zur opportunistischen
> Steuerung integriert. Bei entschlüsselten/verifizierten Nachrichten
> erfolgt eine entsprechende Markierung.

Hast du mal geprüft, wie die Kennzeichnung erfolgt? Wenn per Header wäre
interessant zu sehen wie das System reagiert, wenn eine eingehende
Nachricht bereits diese Markierungen aufweist.


-- 
Ich Grüße,
Igor


From postfix at jpkessler.info  Thu May 12 00:55:54 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 12 May 2011 00:55:54 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCAE720.7010306@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC99793.7060709@googlemail.com>	<4DC9CCC4.6030701@jpkessler.info>
	<4DCAE720.7010306@googlemail.com>
Message-ID: <4DCB13FA.5020201@jpkessler.info>


>>> Könnt ihr Admins im Zweifel jede Nachricht öffnen?
>> Technisch klar. Eben weil die Nachricht intern ja entschlüsselt
>> vorliegt. Praktisch ist das nicht so einfach (nur über
>> Datenschutzbeauftragten und Betriebsrat). Wir sind da sehr strikt. Und
>> das ist gut so.
> Das habe ich mir so gedacht. Ich bedauere das - für mich persönlich ist
> es damit keine wirkliche End-To-End Kommunikation mehr (wird imho aber
> auch nicht als solche bezeichnet!). Aber anders wird man alles (Filter,
> Unternehmensrichtlinien ect.) nicht unter einen Hut bringen können...

Jep, wie zuvor geschrieben:

> Keine Frage, bei einem "Insider-Angriff" (z.B. durch einen Kollegen oder
> Admin) entspricht das Sicherheitsniveau nicht 100%ig dem einer lokalen
> Implementation. Dem entgegen stehen eben Abwägungen zu Praktikabilität
> und Wirtschaftlichkeit, wie immer.



> Kollege A geht nun in den Urlaub. Er setzt Kollege B als seinen
> Stellvertreter ein.
>
> Kollege B muss nun auf eine Kundenanfrage adressiert an Kollege A als
> Vertretung antworten.
>
> Erhält der Kunde die Antwort von A oder B? Wenn A, ist die Nachricht von
> B signiert, d.h. kann der Kunde erkennen, dass A nicht gezeichnet hat?

Kurz gesagt wird das Signatur-Zert von der Z1 durch die SMTP Adresse
ausgewählt. Die Groupware stellt (via Auth gegen das
Benutzerverzeichnis) sicher, dass A nur als A senden kann. Wenn A
Kollegen B berechtigt in dessen Namen zu senden, würde das Zert von A
verwendet. Siehe Anmerkung zum "Insider-Angriff".

> Sind dir genauere Definitionen von "sicherer elektronischer
> Kommunikation" bekannt? Also konkrete Ziele, die durch diese Lösung für
> eure Kunden erreicht scheinen?

Naja, vor allem das, was Dir vermutlich selbst bekannt ist:
Vertraulichkeit, Authentizität und Integrität. Zum einen bieten wir
Kunden durch Veröffentlichung von PublicKeys bzw S/Mime Zertifikaten die
Möglichkeit, die Kommunikation mit uns bis zur Unternehmensgrenze
abzusichern, ohne dass sie das zuvor mit uns Verabreden müssten.

Des weiteren haben unsere Kunden zahlreiche Partner, mit denen sensible
Daten ausgetauscht werden - oft per Mail. Früher wurde diesen Partnern
ein Tool zur proprietären Verschlüsselung von Dateien aufgezwungen. Das
gab nicht nur zahlreiche Probleme und Widerstände sondern sicherte auch
eben keinen Messgebody. Gerade kleinere Partner haben ihre Mail
Infrastrukur oft unter externer Betreuung (Outsourcing) und wir können
dort kein Verfahren wie z.B. TLS sinnvoll einsetzen. Heute können die
Standardverfahren nutzen und, wenn selbst das nicht geht, Web- oder
PDF-Mail nutzen.

Gruss, Jan



From postfix at jpkessler.info  Thu May 12 01:04:50 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 12 May 2011 01:04:50 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCAE7A5.1030302@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>	<4DC9C583.2040403@jpkessler.info>
	<4DCAE7A5.1030302@googlemail.com>
Message-ID: <4DCB1612.9010003@jpkessler.info>


>> Für uns sind es einfach weitere zu unterstützende Verfahren (neben TLS,
>> Routing via VPN, u.ä.). Der Vorteil liegt für uns darin, dass die
>> Benutzer es selbst steuern und auf einfache Weise erkennen können. Neben
>> Richtlinien wurden Schaltflächen in die Groupware zur opportunistischen
>> Steuerung integriert. Bei entschlüsselten/verifizierten Nachrichten
>> erfolgt eine entsprechende Markierung.
> Hast du mal geprüft, wie die Kennzeichnung erfolgt? Wenn per Header wäre
> interessant zu sehen wie das System reagiert, wenn eine eingehende
> Nachricht bereits diese Markierungen aufweist.

Ich wollte es eingangs schon schreiben - hätte ich mir das Porto für
diese Mail sparen können ;) Klar stellen wir sicher, dass die
Kennzeichnung nicht "von außen" erfolgen kann. Wir betreiben solche
Themen schon mit einer gewissen Ernsthaftigkeit, sowas wird hier evtl
auch mal auditiert.

Die Markierung kann seitens der Z1 über einen Header, direkte
Modifikation des Subject oder MessageBody und als separater Anhang
erfolgen. Die Steuerung kann neben den zentralen Policies über Header
oder Subject Kommandos erfolgen.



From michael at nausch.org  Thu May 12 08:33:01 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 12 May 2011 08:33:01 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?PGP_und_S/MIME_am_=E4u=DFeren?=
 =?iso-8859-15?q?_MX?=
In-Reply-To: <4DC97767.1040309@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
	<4DC97767.1040309@jpkessler.info>
Message-ID: <4DCB7F1D.6020003@nausch.org>

Griasdebou!

Am 10.05.2011 19:35, schrieb Jan P. Kessler:

> Ich versuche es zur Abwechselung mal mit einer konkreten Antwort:

Wieso nur zur Abwechslung?

> - Keine Zusatzsoftware auf den PCs der Anwender erforderlich (sind hier
> einige zehntausend).

Wenn Du damit den internen Anwender meinst, stimme ich dir hier voll zu.
Ich gehe mal davon aus, dass Du mit AW den internen Anwender meinst und
nicht den Kunden, also den externen Anwender? Oder etwa doch?

> - Die AW müssen sich nicht mit Verschlüsselungsverfahren und
> Keymanagement auskennen ("welches Teil soll ich jetzt wohin schicken?
> wieso public und private? wieso braucht der was von MIR, damit ER
> verschlüsseln kann?" usw usf).

Meiner Erfahrung nach ist es zwingend notwendig, dass man sich mit dem
Thema grundlegend befasst um zu verstehen, was bei einer Verschlüsselung
passiert.

> man schläft auch besser, wenn ein Notebook abhanden kommt.

Die Platten sind verschlüsselt, also wenn da quasi (m)ein key abhanden
kommen sollte, ist das aus zweifachen Gründen wertlos. Einmal die
Plattenverschlüsselung und zweitens die passphrase.

> - Eine Z1 (und auch die meisten Alternativprodukte) erlaubt ja nicht nur
> PKI basierte Verfahren sondern kennt auch Alternativen für AW, die das
> nicht können. Stellt unsere Z1 beispielsweise fest, dass zu einem
> Partner kein Key vorliegt, die Policy aber Verschlüsselung vorgibt,
> hinterlegt sie die NAchricht automatisch in einem Webmailer bei uns
> (https natürlich).

O.K., das scheidet in meinen Fall hier aus, da es um geschäftsrelevante
eMails geht und da macht kein Businesskunde mit. Er ist ja verpflichtet
die Nachrichten bei sich zu archivieren und da scheidet ein Webmailer
grundsätzlich aus. Und bei meinen Anfragen, wurde mir _immer_ genannt,
dass jeder seine gewohnte Umgebung beibehalten und weiternutzen möchte.
Übertrieben gesagt: 27 Webmailaccounts zu bearbeiten, wer will/macht das
denn?

> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
> Keymanagement der externen Schlüssel.

Ja, das sehe ich klar als Vorteil, vor allem wenn es dann um das ganze
Handling mit den Rückrufzertifikaten & Co. geht.

> Sprich: Es gibt eine Reihe von guten Argumenten für ein solches System.

Sehe ich ähnlich, wenn ich mir die Rahmenbedingungen zur Terminierung
des Komunikationsendpunktes zum ent-/verschlüsseln ansehen.

> Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
> bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
> Anregung...

Aha, und was genau willst Du hiermit ausdrücken? Ich stehe da etwas auf
dem Schlauch? Wer verwirft hier was? Und was genau wäre die
Informationsklassifizierung "ein paar lapidaren Sätze"?

> - Zertificon Z1 http://www.zertificon.com/ (kennste ja schon)

ja

> - Totemo Trustmail http://www.totemo.ch/ (nicht ganz günstig, aber mit
> dem meiner Meinung nach besten Policy Editor)

O.K. werd' ich mir mal genauer ansehen, die anderen beiden auch. Wenn es
denn mal soweit ist, werde ich da wohl verstärkt einsteigen.

Bedanken möchte ich mich an dieser Stelle für Deine Ausführungen.

-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From michael at nausch.org  Thu May 12 09:02:05 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 12 May 2011 09:02:05 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC99D9F.2000107@gmj.cjb.net>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>	<4DC994C1.5030606@googlemail.com>
	<4DC99D9F.2000107@gmj.cjb.net>
Message-ID: <4DCB85ED.1080303@nausch.org>

Griasde Matthias!

Am 10.05.2011 22:18, schrieb Mathias Jeschke:

> Was ich damit verdeutlichen will: Es ist die Sematik hinter S/MIME und
> PGP (Ende-zu-Ende) die dabei entscheidend ist.
> Dafür muss man (leider) die Nutzer schulen, um den Unterschied klar zu
> machen.

FULLACK! Das hätte ich nicht besser beschreiben können und ist auch das,
was ich immer versuche den Leuten klar zu machen.

Pfiade
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3644 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110512/3ad352da/attachment.p7s>

From michael at nausch.org  Thu May 12 09:28:44 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 12 May 2011 09:28:44 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DC9C583.2040403@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>
	<4DC9C583.2040403@jpkessler.info>
Message-ID: <4DCB8C2C.8010903@nausch.org>

HI!

Am 11.05.2011 01:08, schrieb Jan P. Kessler:

> Der lokale Nachrichtenspeicher ist auch verschlüsselt
> (Plattenverschlüsselung) - ebenso wie der interne Transportweg.

Mal ehrlich, das geht doch so, ohne den ganzen Aufwand mit der Z1, oder?

ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From michael at nausch.org  Thu May 12 10:42:56 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 12 May 2011 10:42:56 +0200
Subject: [Postfixbuch-users] mein Lieblingsthema :-[ - private eMail im
	Unternehmen
Message-ID: <4DCB9D90.30303@nausch.org>

HI Peer,

ich weiß ich geh' Dir vermutlich furchtbar auf den Senkel, aber ich
wurde von einem Postpasterkollegen gebeten, (d)eine werte Einschätzung
zu einem sehr misslichen Thema einzuholen.

Folgende Formulierung gibt es in einer Anstalt:

"Das Medium eMail in der Anstalt dient ausschließlich der dienstlichen
Kommunikation der Kollegen untereinander, mit Verbundanstalten,
Geschäftspartnern, Behörden und unseren Kunden. Eine private Nutzung
(auch insbesondere auch über Webmailer, wie z.B. www.googlemail.de) ist
nicht erlaubt. Davon ausgenommen sind private eMails aus dienstlichem
Anlass (Abstimmung Arztbesuch, Urlaubsplanung, etc.).

Was sagt den Oma zu der Formulierung? ;) Speziell der letzte Satz bringt
meinen Tinitus auf ordendliche Schwingungen. Mit solch einer
Formulierung würde ich IMHO sagen, wird die geübte betriebliche
Vorgehensweise - jeder macht was er will in Sachen eMail, denn im
Zweifelsfall war es unter "etc." definiert - manisfestiert. Was nun
privat und/oder dienstlich ist, kann nicht mehr unterschieden werden.
Ergo würde ich bzw. meine Oma sagen: Junge, lass die Finger vom
inhaltlichen Bewerten (Spam, Viren, ...) von derartigen Nachrichten, du
weißt ja nicht ob das nun privat ist oder nicht.

Was würde denn Deine Oma sagen? ;)

Ggf. können wir uns auch am 26./27. in Berlin kurz austauschen.

Bis dahin wünshe ich eine schöne Zeit!


Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3644 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110512/c723ce54/attachment.p7s>

From igor.sverkos at googlemail.com  Thu May 12 10:51:41 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Thu, 12 May 2011 10:51:41 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCB13FA.5020201@jpkessler.info>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC99793.7060709@googlemail.com>	<4DC9CCC4.6030701@jpkessler.info>	<4DCAE720.7010306@googlemail.com>
	<4DCB13FA.5020201@jpkessler.info>
Message-ID: <4DCB9F9D.3000206@googlemail.com>

Hallo,

Jan P. Kessler schrieb:
>> Kollege A geht nun in den Urlaub. Er setzt Kollege B als seinen
>> Stellvertreter ein.
>>
>> Kollege B muss nun auf eine Kundenanfrage adressiert an Kollege A als
>> Vertretung antworten.
>>
>> Erhält der Kunde die Antwort von A oder B? Wenn A, ist die Nachricht von
>> B signiert, d.h. kann der Kunde erkennen, dass A nicht gezeichnet hat?
> 
> Kurz gesagt wird das Signatur-Zert von der Z1 durch die SMTP Adresse
> ausgewählt. Die Groupware stellt (via Auth gegen das
> Benutzerverzeichnis) sicher, dass A nur als A senden kann. Wenn A
> Kollegen B berechtigt in dessen Namen zu senden, würde das Zert von A
> verwendet. Siehe Anmerkung zum "Insider-Angriff".

OK... das würde mir sehr große Bauschmerzen bereiten. Wäre mit dem
Signaturgesetz so auch gar nicht vereinbar. Allerdings scheint
Rechtssicherheit keine Anforderung an eure "sichere elektronische
Kommunikation" zu sein.


>> Sind dir genauere Definitionen von "sicherer elektronischer
>> Kommunikation" bekannt? Also konkrete Ziele, die durch diese Lösung für
>> eure Kunden erreicht scheinen?
> 
> Naja, vor allem das, was Dir vermutlich selbst bekannt ist:
> Vertraulichkeit, Authentizität und Integrität. Zum einen bieten wir
> Kunden durch Veröffentlichung von PublicKeys bzw S/Mime Zertifikaten die
> Möglichkeit, die Kommunikation mit uns bis zur Unternehmensgrenze
> abzusichern, ohne dass sie das zuvor mit uns Verabreden müssten.

Es freut mich, dass du selber schreibst, "...bis zur Unternehmensgrenze".


Vielen Dank für deine ausführlichen Schilderungen. Sie zeigt mir aber
klar, dass heutige verfügbare Lösungen nichts mit meiner Vorstellung
sicherer elektronischen Kommunikation zu tun haben. Es ist eher der
kleinste Nenner, welcher nach der Berücksichtigung unternehmerischer
Aspekte übrig bleibt:

Eine teure Transportsicherung mit einem einem Authentizitätsgehalt,
knapp über einer normalen elektronischen Nachricht, dessen
Nutzen/Mehrwert sich mir kaum erschließen mag.

Da schließe ich mich Michael Nausch an:
> Mal ehrlich, das geht doch so, ohne den ganzen Aufwand mit der Z1, oder?

Welchen Sinn seht ihr da drinnen, dem Anwender im Client dann noch
Hinweise wie, "Diese Nachricht war verschlüsselt/gültig signiert von
XXX" anzuzeigen?


-- 
Ich Grüße,
Igor


From w.flamme at web.de  Thu May 12 12:23:18 2011
From: w.flamme at web.de (Werner Flamme)
Date: Thu, 12 May 2011 12:23:18 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCB9F9D.3000206@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>
	<4DC97767.1040309@jpkessler.info> <4DC99793.7060709@googlemail.com>
	<4DC9CCC4.6030701@jpkessler.info> <4DCAE720.7010306@googlemail.com>
	<4DCB13FA.5020201@jpkessler.info> <4DCB9F9D.3000206@googlemail.com>
Message-ID: <4DCBB516.9030403@web.de>

Igor Sverkos [12.05.2011 10:51]:
> 
> Welchen Sinn seht ihr da drinnen, dem Anwender im Client dann noch
> Hinweise wie, "Diese Nachricht war verschlüsselt/gültig signiert von
> XXX" anzuzeigen?

Hallo Igor,

das ist der gleiche Sinn, wie ich ihn bei der Papierpost habe, wenn ich
(als Poststelle) dem Empfänger innerhalb der Firma den Umschlag mitgebe,
auf dem "Einschreiben" steht. Bis zu dem Moment, in dem die Poststelle
das Teil zu Registrierungszwecken geöffnet hat, war es vermutlich vor
Kenntnisnahme durch Dritte geschützt.

In meinem Betrieb verschließt zwar der Mitarbeiter den Brief, aber
Vermerke wie "Einschreiben" (also Transportsicherung) werden durch die
Poststelle angebracht. Ebenso wie der Versand ist auch der Empfang von
Post geregelt...

Wenn ich bei dieser Analogie bleibe, wäre die Entsprechung zum
Einschreiben der verschlüsselte Versand zwischen den Mailservern. Der
Absender gibt nur an "bitte sichern", der eigentliche Empfänger bekommt
durch den Umschlag zu sehen, dass der Versand gesichert war.

Dass das nicht mit Deinen Vorstellungen harmoniert, ... ;-)

Gruß
Werner


From Thomas.Best at freenet.de  Thu May 12 13:05:52 2011
From: Thomas.Best at freenet.de (Thomas Best)
Date: Thu, 12 May 2011 13:05:52 +0200
Subject: [Postfixbuch-users] kleine Frage zu Sieve
Message-ID: <op.vvc7r211s7f1bs@ws12>

hallo,

ich lasse mails gerne an alias-adressen schicken, mit der idee, diese dann  
auch leicht in verschiedene orner sortieren zu lassen.

allerdings, da es sich um verteiler-listen handelt, steht meine  
alias-adresse nicht im To-Header, somit scheidet


if allof (header :contains "to" "news-firmaax at example.net") {
  fileinto "newsletter.firma-a"; }

aus.

Delivered-To  erhält die haupt-adresse der mailbox.


Nur in einem einzigen Received-Eintrag findet sich die entsprechende  
Alias-Adresse, nämlich in der ersten von meinem Postfix:


Received: from mail.exmaple.net (----)
	(using TLSv1 with cipher RC4-SHA (128/128 bits))
	(No client certificate requested)
	by meinserver (Postfix) with ESMTPS id 8F2F03F3B4C6
	for <news-firmaax at example.net>; Thu, 12 May 2011 12:44:21 +0200 (CEST)



Meine Frage: Wie kann ich nach news-firmaax at example.net filtern?


Grüße, Thomas


From igor.sverkos at googlemail.com  Thu May 12 16:22:32 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Thu, 12 May 2011 16:22:32 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCBB516.9030403@web.de>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>
	<4DC99793.7060709@googlemail.com>	<4DC9CCC4.6030701@jpkessler.info>
	<4DCAE720.7010306@googlemail.com>	<4DCB13FA.5020201@jpkessler.info>
	<4DCB9F9D.3000206@googlemail.com> <4DCBB516.9030403@web.de>
Message-ID: <4DCBED28.7010306@googlemail.com>

Hallo,

Werner Flamme schrieb:
>> Welchen Sinn seht ihr da drinnen, dem Anwender im Client dann noch
>> Hinweise wie, "Diese Nachricht war verschlüsselt/gültig signiert von
>> XXX" anzuzeigen?
> 
> das ist der gleiche Sinn, wie ich ihn bei der Papierpost habe, wenn ich
> (als Poststelle) dem Empfänger innerhalb der Firma den Umschlag mitgebe,
> auf dem "Einschreiben" steht. Bis zu dem Moment, in dem die Poststelle
> das Teil zu Registrierungszwecken geöffnet hat, war es vermutlich vor
> Kenntnisnahme durch Dritte geschützt.
> 
> In meinem Betrieb verschließt zwar der Mitarbeiter den Brief, aber
> Vermerke wie "Einschreiben" (also Transportsicherung) werden durch die
> Poststelle angebracht. Ebenso wie der Versand ist auch der Empfang von
> Post geregelt...
> 
> Wenn ich bei dieser Analogie bleibe, wäre die Entsprechung zum
> Einschreiben der verschlüsselte Versand zwischen den Mailservern. Der
> Absender gibt nur an "bitte sichern", der eigentliche Empfänger bekommt
> durch den Umschlag zu sehen, dass der Versand gesichert war.

Nein. Ich glaube da verwechselst du etwas. Was du beschreibst klingt für
mich eher nach einem Siegel. Ein (echter) Briefsiegel ist übrigens durch
Rechtswege geschützt.

Ein Einschreiben soll nur den Nachweis einer Ein- und ggf. Auslieferung
erbringen.

Dadurch, dass ein Briefsiegel eben wirklich rechtlich anerkannt ist,
würde es dem Verwender des Briefes ein unter Umständen wertvoller
Hinweis sein, wenn die Poststelle ihn darauf aufmerksam macht.
Die hier verwendete Signatur hat rechtlich gar keine Bedeutung. Auch
wissen wir spätestens jetzt, dass der scheinbare Zeichner gar nicht der
eigentliche Zeichner gewesen sein muss (sprich wenn man sich später mal
trifft, "Aber sie haben doch die Mail unterschrieben!" -"Ich? Ich weiß
von nichts...").
Somit könnte ich maximal noch dem Hinweis, "Nachricht war verschlüsselt"
(=kam transportgesichert an) etwas abgewinnen.


> Dass das nicht mit Deinen Vorstellungen harmoniert, ... ;-)

Hehe - ja, bitte keine falschen Schlüsse ziehen. ;)


-- 
Ich Grüße,
Igor


From mailing-lists at thomasschwenski.de  Thu May 12 17:11:00 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Thu, 12 May 2011 17:11:00 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCAE084.7060200@web.de>
References: <4DCAE084.7060200@web.de>
Message-ID: <4DCBF884.2080701@thomasschwenski.de>

Hallo FooBar,

Am 11.05.11 21:16, schrieb FooBar:
> 
> wenn eine vacation-msg raus geht, schickt der locale
> postfix alles zu seinem relay, der schickt die mail
> weiter zum nächsten ... und der lehnt die mail ab und
> sagt mir das der user from: <> nicht relayen darf,
> stimmt ja auch ... nur warum ist der from leer ... hää
> wo kann das denn verschwinden ?

Sicher das wir vom "From:"-Header reden und nicht vom Envelope-Sender?
Letzteres kann durchaus berechtigt der Null-Sender sein, wenn der
Sieve-Prozess als Root läuft.
"From:" bliebe dabei gesetzt.

Thomas


From foobar at web.de  Fri May 13 00:02:29 2011
From: foobar at web.de (FooBar)
Date: Fri, 13 May 2011 00:02:29 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCBF884.2080701@thomasschwenski.de>
References: <4DCAE084.7060200@web.de> <4DCBF884.2080701@thomasschwenski.de>
Message-ID: <4DCC58F5.3060104@web.de>

On 05/12/2011 05:11 PM, Thomas Schwenski wrote:
> Hallo FooBar,
> 
> Am 11.05.11 21:16, schrieb FooBar:
>>
>> wenn eine vacation-msg raus geht, schickt der locale
>> postfix alles zu seinem relay, der schickt die mail
>> weiter zum nächsten ... und der lehnt die mail ab und
>> sagt mir das der user from: <> nicht relayen darf,
>> stimmt ja auch ... nur warum ist der from leer ... hää
>> wo kann das denn verschwinden ?
> 
> Sicher das wir vom "From:"-Header reden und nicht vom Envelope-Sender?
> Letzteres kann durchaus berechtigt der Null-Sender sein, wenn der
> Sieve-Prozess als Root läuft.
> "From:" bliebe dabei gesetzt.

ok, der sieve läuft als cyrus, aber warum setzt er env-from
dann nicht einfach auf den usernamen für den er das sieve-script
ausfürt oder from-header=env-from ?
und warum setzt auch keinen return-path ... das ist doch scheiß
... wenn eine vacation raus geht und der out-server nur relayed
wenn ein env-from gesetzt ist, krieg ich keine vacation raus ;(

oder hab ich da was komplett falsch verstanden ?


cu
-- 
ich habe nichts gegen gott,
nur manche seiner fanclubs gehen mir auf den sack !
... bevor mich der teufel holt, trinkt er sich mut an ...


From mailing-lists at thomasschwenski.de  Fri May 13 07:26:47 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Fri, 13 May 2011 07:26:47 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCC58F5.3060104@web.de>
References: <4DCAE084.7060200@web.de> <4DCBF884.2080701@thomasschwenski.de>
	<4DCC58F5.3060104@web.de>
Message-ID: <4DCCC117.90705@thomasschwenski.de>

Am 13.05.11 00:02, schrieb FooBar:
>> Sicher das wir vom "From:"-Header reden und nicht vom Envelope-Sender?
>> Letzteres kann durchaus berechtigt der Null-Sender sein, wenn der
>> Sieve-Prozess als Root läuft.
>> "From:" bliebe dabei gesetzt.
> 
> ok, der sieve läuft als cyrus, aber warum setzt er env-from
> dann nicht einfach auf den usernamen für den er das sieve-script
> ausfürt oder from-header=env-from ?

Du misverstehst immernoch:
Deine Mail wird abgelehent, weil der Envelope-Sender der Null-Sender ist
und nicht der From-Header leer.
Den leeren From-Header dürfte ein Postfix-System auch absolut nicht
interessieren (außer der Postmaster des Systems hat explizit einen
header_check gesetzt oder bindet einen Content-Filter ein den das stört).

> und warum setzt auch keinen return-path ... das ist doch scheiß
> ... wenn eine vacation raus geht und der out-server nur relayed
> wenn ein env-from gesetzt ist, krieg ich keine vacation raus ;(

1. Kann man das mit ziemlicher Sicherheit konfigurieren.
2. Ist der Envelope-Sender doch gesetzt: auf <>

Und <> zu blocken ist unter Umständen nicht sehr optimal.
Denn damit stört man auch andere berechtigte Kommunikation
(Zustellbenachrichtigungen und Mailor-Daemons).

Vielleicht solltest Du mal über eine Vertrauensstellung für Deinen
Sieve-Server auf dem Relayserver nachdenken.

Thomas


From foobar at web.de  Fri May 13 08:07:36 2011
From: foobar at web.de (FooBar)
Date: Fri, 13 May 2011 08:07:36 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCCC117.90705@thomasschwenski.de>
References: <4DCAE084.7060200@web.de>
	<4DCBF884.2080701@thomasschwenski.de>	<4DCC58F5.3060104@web.de>
	<4DCCC117.90705@thomasschwenski.de>
Message-ID: <4DCCCAA8.6000801@web.de>

On 05/13/2011 07:26 AM, Thomas Schwenski wrote:
> Am 13.05.11 00:02, schrieb FooBar:
>>> Sicher das wir vom "From:"-Header reden und nicht vom Envelope-Sender?
>>> Letzteres kann durchaus berechtigt der Null-Sender sein, wenn der
>>> Sieve-Prozess als Root läuft.
>>> "From:" bliebe dabei gesetzt.
>>
>> ok, der sieve läuft als cyrus, aber warum setzt er env-from
>> dann nicht einfach auf den usernamen für den er das sieve-script
>> ausfürt oder from-header=env-from ?
> 
> Du misverstehst immernoch:
> Deine Mail wird abgelehent, weil der Envelope-Sender der Null-Sender ist
> und nicht der From-Header leer.
> Den leeren From-Header dürfte ein Postfix-System auch absolut nicht
> interessieren (außer der Postmaster des Systems hat explizit einen
> header_check gesetzt oder bindet einen Content-Filter ein den das stört).
> 
>> und warum setzt auch keinen return-path ... das ist doch scheiß
>> ... wenn eine vacation raus geht und der out-server nur relayed
>> wenn ein env-from gesetzt ist, krieg ich keine vacation raus ;(
> 
> 1. Kann man das mit ziemlicher Sicherheit konfigurieren.

na das wär doch die lösung, aber ich find nix ;(

> 2. Ist der Envelope-Sender doch gesetzt: auf <>

genau, auf <>, also null oder leer ...

> Und <> zu blocken ist unter Umständen nicht sehr optimal.
> Denn damit stört man auch andere berechtigte Kommunikation
> (Zustellbenachrichtigungen und Mailor-Daemons).
> 
> Vielleicht solltest Du mal über eine Vertrauensstellung für Deinen
> Sieve-Server auf dem Relayserver nachdenken.

würde ich gern, liegt aber leider nicht in meiner macht ;(

ein netz wo ich intern alles machen kann, nur der externe
mail-relay ist nicht in meinem zugriff, die stehen auf dem
standpunkt das auch interne mail-server böse sind und haben
extreme relay-beschränkungen, ist wohl auch gut so, weil die
haben auch exchange im internen netz und die haben schonmal
1000ende spams nach einem trojaner-befall rausgeblasen,
dass fanden sie nicht lustig ... also relayen sie nur
nach sender-verify beim absenden mailserver und dazu
muß halt die sieve-mail auch ein from und einen return-path
gesetz haben ... behörden sind komische leute




cu
-- 
bevor mich der teufel holt, trinkt er sich mut an ...


From foobar at web.de  Fri May 13 08:23:15 2011
From: foobar at web.de (FooBar)
Date: Fri, 13 May 2011 08:23:15 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCCCAA8.6000801@web.de>
References: <4DCAE084.7060200@web.de>	<4DCBF884.2080701@thomasschwenski.de>	<4DCC58F5.3060104@web.de>	<4DCCC117.90705@thomasschwenski.de>
	<4DCCCAA8.6000801@web.de>
Message-ID: <4DCCCE53.9010706@web.de>

On 05/13/2011 08:07 AM, FooBar wrote:
> On 05/13/2011 07:26 AM, Thomas Schwenski wrote:
>> Am 13.05.11 00:02, schrieb FooBar:
>>>> Sicher das wir vom "From:"-Header reden und nicht vom Envelope-Sender?
>>>> Letzteres kann durchaus berechtigt der Null-Sender sein, wenn der
>>>> Sieve-Prozess als Root läuft.
>>>> "From:" bliebe dabei gesetzt.
>>>
>>> ok, der sieve läuft als cyrus, aber warum setzt er env-from
>>> dann nicht einfach auf den usernamen für den er das sieve-script
>>> ausfürt oder from-header=env-from ?
>>
>> Du misverstehst immernoch:
>> Deine Mail wird abgelehent, weil der Envelope-Sender der Null-Sender ist
>> und nicht der From-Header leer.
>> Den leeren From-Header dürfte ein Postfix-System auch absolut nicht
>> interessieren (außer der Postmaster des Systems hat explizit einen
>> header_check gesetzt oder bindet einen Content-Filter ein den das stört).

gibt es eine rfc wo das drin steht, ich hab in der sieve-rfc
gefunden das <> drin stehen kann, für den rest da steht überall
should, ist auch ok so, gibt es das auch für null-sender,
steht irgendwo das das so sein muß, soll, darf ???

>>> und warum setzt auch keinen return-path ... das ist doch scheiß
>>> ... wenn eine vacation raus geht und der out-server nur relayed
>>> wenn ein env-from gesetzt ist, krieg ich keine vacation raus ;(
>>
>> 1. Kann man das mit ziemlicher Sicherheit konfigurieren.
> 
> na das wär doch die lösung, aber ich find nix ;(
> 
>> 2. Ist der Envelope-Sender doch gesetzt: auf <>
> 
> genau, auf <>, also null oder leer ...
> 
>> Und <> zu blocken ist unter Umständen nicht sehr optimal.
>> Denn damit stört man auch andere berechtigte Kommunikation
>> (Zustellbenachrichtigungen und Mailor-Daemons).
>>
>> Vielleicht solltest Du mal über eine Vertrauensstellung für Deinen
>> Sieve-Server auf dem Relayserver nachdenken.
> 
> würde ich gern, liegt aber leider nicht in meiner macht ;(
> 
> ein netz wo ich intern alles machen kann, nur der externe
> mail-relay ist nicht in meinem zugriff, die stehen auf dem
> standpunkt das auch interne mail-server böse sind und haben
> extreme relay-beschränkungen, ist wohl auch gut so, weil die
> haben auch exchange im internen netz und die haben schonmal
> 1000ende spams nach einem trojaner-befall rausgeblasen,
> dass fanden sie nicht lustig ... also relayen sie nur
> nach sender-verify beim absenden mailserver und dazu
> muß halt die sieve-mail auch ein from und einen return-path
> gesetz haben ... behörden sind komische leute


cu
-- 
bevor mich der teufel holt, trinkt er sich mut an ...


From mailing-lists at thomasschwenski.de  Fri May 13 08:26:44 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Fri, 13 May 2011 08:26:44 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCCCAA8.6000801@web.de>
References: <4DCAE084.7060200@web.de>	<4DCBF884.2080701@thomasschwenski.de>	<4DCC58F5.3060104@web.de>	<4DCCC117.90705@thomasschwenski.de>
	<4DCCCAA8.6000801@web.de>
Message-ID: <4DCCCF24.4010701@thomasschwenski.de>

Hallo nochmal,

> behörden sind komische leute

Stimmt gelegentlich, aber Deine Kritikpunkte sprechen meiner Meinung
nach eher für deren IT-Abteilungen.

>> Vielleicht solltest Du mal über eine Vertrauensstellung für Deinen
>> Sieve-Server auf dem Relayserver nachdenken.
> 
> würde ich gern, liegt aber leider nicht in meiner macht ;(

> ein netz wo ich intern alles machen kann, nur der externe
> mail-relay ist nicht in meinem zugriff, die stehen auf dem
> standpunkt das auch interne mail-server böse sind 

Eine gute Einstellung.
Insbesondere wenn die internen Systeme nicht unter deren alleiniger
Fuchtel stehen, sondern von Dritten administriert werden (können).

> und haben extreme relay-beschränkungen, ist wohl auch gut so, 
> weil die haben auch exchange im internen netz und die haben 
> schonmal 1000ende spams nach einem trojaner-befall rausgeblasen,
> dass fanden sie nicht lustig ... 

Verständlich und wenig verwunderlich.

> also relayen sie nur nach sender-verify beim absenden mailserver 
> und dazu muß halt die sieve-mail auch ein from und einen return-path
> gesetz haben ... 

DAS ist absolut gar kein Sender-Verify!
From, Return-Path und auch Envelope-Sender sind problemlos fälschbar.
Wer da drauf vertraut, der geht das Problem sehr blauäugig an.
(Das wiederum spräche nicht unbedingt für die Behörden.)

Thomas


From mailing-lists at thomasschwenski.de  Fri May 13 08:38:15 2011
From: mailing-lists at thomasschwenski.de (Thomas Schwenski)
Date: Fri, 13 May 2011 08:38:15 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCCCE53.9010706@web.de>
References: <4DCAE084.7060200@web.de>	<4DCBF884.2080701@thomasschwenski.de>	<4DCC58F5.3060104@web.de>	<4DCCC117.90705@thomasschwenski.de>	<4DCCCAA8.6000801@web.de>
	<4DCCCE53.9010706@web.de>
Message-ID: <4DCCD1D7.6080107@thomasschwenski.de>



> gibt es eine rfc wo das drin steht, ich hab in der sieve-rfc
> gefunden das <> drin stehen kann, für den rest da steht überall
> should, ist auch ok so, gibt es das auch für null-sender,
> steht irgendwo das das so sein muß, soll, darf ???

Ich würde mal in den SMTP-RFCs nach dem grundlegenden Problem suchen:
Welche Funktion hat der Null-Sender und ist es zulässig/sinnvoll diesen
zu blocken?

Anfangen kannst Du im RFC 2821 - zum Beispiel Sektion 6.1,
Sektion 3.7 ist übrigens auch ziemlich interessant für Dich:

   As discussed in section 2.4.1, a relay SMTP has no need to inspect or
   act upon the headers or body of the message data and MUST NOT do so
   except to add its own "Received:" header (section 4.4) and,
   optionally, to attempt to detect looping in the mail system (see
   section 6.2).

Aber eventuell kann Peer ja auch mal noch ein Wort zum Thema Null-Sender
blocken äußern.

Thomas


From udo at udosa.com  Fri May 13 12:17:29 2011
From: udo at udosa.com (udo at udosa.com)
Date: Fri, 13 May 2011 12:17:29 +0200
Subject: [Postfixbuch-users] SASL authentication problem: unknown password
 verifier / no mechanism available
Message-ID: <4DCD0539.3000102@udosa.com>

Hallo Zusammen,

hab auf einem frischen Debian Squeeze ein Postfix/Cyrus System mit sasl 
auxprox über Mysql aufgesetzt.
Installation verlief dabei als Netboot. Die weiteren Pakete habe ich 
ausschließlich per apt-get nachinstalliert. SMTP/IMAP alles drum und 
drann lief einwandfrei!

Nun hab ich erneut unter Debian Squeeze ein gleiches System installiert. 
Hierbei habe ich alle Pakete mit aptitude installiert. Leider bekomme 
ich hier nun smtp nicht zum laufen. Bzw. scheitert laut Log die 
Authentifizierung.

Anfangs habe ich mit auxprop gearbeitet. Allerdings kommen die 
SQL-Querys über smtp laut mysql-log nicht an.
Im Mail-Log steht:

May 12 19:34:00 server postfix/smtpd[10347]: warning: SASL 
authentication problem: unknown password verifier
May 12 19:34:00 server postfix/smtpd[10347]: warning: host-XXXXX[XXXX]: 
SASL LOGIN authentication failed: no mechanism available

Testweise habe ich nun saslauthd mit sasldb auth eingerichtet. Ergebnis 
auf der Console:
root at server:~# testsaslauthd -u abc -p test -s smtp
0: OK "Success."

Smpt klappt ebenso nicht - Maillog sagt:
May 13 11:40:09 server postfix/smtpd[27759]: warning: 
host-XXXXX[XXXX]:SASL LOGIN authentication failed: authentication failure
May 13 11:40:09 server postfix/smtpd[27759]: > host-XXXXX[XXXX]: 535 
5.7.8 Error: authentication failed: authentication failure

Nachdem ich jetzt schon einiges getestet (master.cf - chrooted cpl. 
aus/an, usw.) habe stelle ich mir die Frage, ob nicht ein Softwarepaket 
fehlt welches mit aptitude nicht installiert wurde.

Auf der Maschine ist aktuell folgendes installiert:

postfix-mysql
cyrus-admin-2.2
cyrus-clients-2.2
cyrus-common-2.2
cyrus-imapd-2.2
libauthen-sasl-cyrus-perl
libauthen-sasl-perl
libsasl2-modules-sql
libsasl2-modules
libsasl2-2
sasl2-bin









From udo at udosa.com  Fri May 13 12:13:40 2011
From: udo at udosa.com (udo at udosa.com)
Date: Fri, 13 May 2011 12:13:40 +0200
Subject: [Postfixbuch-users] SASL authentication problem: unknown password
 verifier / no mechanism available
Message-ID: <4DCD0454.6030906@udosa.com>

Hallo Zusammen,

hab auf einem frischen Debian Squeeze ein Postfix/Cyrus System mit sasl 
auxprox über Mysql aufgesetzt.
Installation verlief dabei als Netboot. Die weiteren Pakete habe ich 
ausschließlich per apt-get nachinstalliert. SMTP/IMAP alles drum und 
drann lief einwandfrei!

Nun hab ich erneut unter Debian Squeeze ein gleiches System installiert. 
Hierbei habe ich alle Pakete mit aptitude installiert. Leider bekomme 
ich hier nun smtp nicht zum laufen. Bzw. scheitert laut Log die 
Authentifizierung.

Anfangs habe ich mit auxprop gearbeitet. Allerdings kommen die 
SQL-Querys über smtp laut mysql-log nicht an.
Im Mail-Log steht:

May 12 19:34:00 server postfix/smtpd[10347]: warning: SASL 
authentication problem: unknown password verifier
May 12 19:34:00 server postfix/smtpd[10347]: warning: host-XXXXX[XXXX]: 
SASL LOGIN authentication failed: no mechanism available

Testweise habe ich nun saslauthd mit sasldb auth eingerichtet. Ergebnis 
auf der Console:
root at server:~# testsaslauthd -u abc -p test -s smtp
0: OK "Success."

Smpt klappt ebenso nicht - Maillog sagt:
May 13 11:40:09 server postfix/smtpd[27759]: warning: 
host-XXXXX[XXXX]:SASL LOGIN authentication failed: authentication failure
May 13 11:40:09 server postfix/smtpd[27759]: > host-XXXXX[XXXX]: 535 
5.7.8 Error: authentication failed: authentication failure

Nachdem ich jetzt schon einiges getestet (master.cf - chrooted cpl. 
aus/an, usw.) habe stelle ich mir die Frage, ob nicht ein Softwarepaket 
fehlt welches mit aptitude nicht installiert wurde.

Auf der Maschine ist aktuell folgendes installiert:

postfix-mysql
cyrus-admin-2.2
cyrus-clients-2.2
cyrus-common-2.2
cyrus-imapd-2.2
libauthen-sasl-cyrus-perl
libauthen-sasl-perl
libsasl2-modules-sql
libsasl2-modules
libsasl2-2
sasl2-bin









From foobar at web.de  Fri May 13 15:47:08 2011
From: foobar at web.de (FooBar)
Date: Fri, 13 May 2011 15:47:08 +0200
Subject: [Postfixbuch-users] sieve setzt kein from ?
In-Reply-To: <4DCCCF24.4010701@thomasschwenski.de>
References: <4DCAE084.7060200@web.de>	<4DCBF884.2080701@thomasschwenski.de>	<4DCC58F5.3060104@web.de>	<4DCCC117.90705@thomasschwenski.de>	<4DCCCAA8.6000801@web.de>
	<4DCCCF24.4010701@thomasschwenski.de>
Message-ID: <4DCD365C.7090909@web.de>

On 05/13/2011 08:26 AM, Thomas Schwenski wrote:
> Hallo nochmal,
> 
>> behörden sind komische leute
> 
> Stimmt gelegentlich, aber Deine Kritikpunkte sprechen meiner Meinung
> nach eher für deren IT-Abteilungen.
> 
>>> Vielleicht solltest Du mal über eine Vertrauensstellung für Deinen
>>> Sieve-Server auf dem Relayserver nachdenken.
>>
>> würde ich gern, liegt aber leider nicht in meiner macht ;(
> 
>> ein netz wo ich intern alles machen kann, nur der externe
>> mail-relay ist nicht in meinem zugriff, die stehen auf dem
>> standpunkt das auch interne mail-server böse sind 
> 
> Eine gute Einstellung.
> Insbesondere wenn die internen Systeme nicht unter deren alleiniger
> Fuchtel stehen, sondern von Dritten administriert werden (können).
> 
>> und haben extreme relay-beschränkungen, ist wohl auch gut so, 
>> weil die haben auch exchange im internen netz und die haben 
>> schonmal 1000ende spams nach einem trojaner-befall rausgeblasen,
>> dass fanden sie nicht lustig ... 
> 
> Verständlich und wenig verwunderlich.
> 
>> also relayen sie nur nach sender-verify beim absenden mailserver 
>> und dazu muß halt die sieve-mail auch ein from und einen return-path
>> gesetz haben ... 
> 
> DAS ist absolut gar kein Sender-Verify!
> From, Return-Path und auch Envelope-Sender sind problemlos fälschbar.
> Wer da drauf vertraut, der geht das Problem sehr blauäugig an.
> (Das wiederum spräche nicht unbedingt für die Behörden.)

ok, es kann gut sein das ich es komplett falch verstehe,
folgende sieve-vacation-mail

Return-Path:<>
Received: from XXX.de ([unix socket])
    by mail1 (Cyrus v2.2.3) with LMTP; Wed, 11 May 2011 14:32:26 +0200
X-Sieve: CMU Sieve 2.2
Received: from localhost (localhost [127.0.0.1])
    by XXX.de (Postfix) with ESMTP id 579432226C9
    for<XXX at XXX.de>; Wed, 11 May 2011 14:32:26 +0200 (CEST)
Received: from XXX.de (localhost [127.0.0.1])
    by localhost (AvMailGate-2.1.0-19) id 4176-5gjciN;
    Wed, 11 May 2011 14:32:26 +0200
Received: by XXX.de (Postfix, from userid 96)
    id 010202226C6; Wed, 11 May 2011 14:32:25 +0200 (CEST)
Message-ID:<cmu-sieve-588-1305117145-1 at mail1>
Date: Wed, 11 May 2011 14:32:25 +0200
X-Sieve: CMU Sieve 2.2
From:<XXX at XXX.de>
To:<XXX at XXX.de>
Subject: Abwesend
In-Reply-To:<4DCA81DA.60803 at XXX.de>
Auto-Submitted: auto-replied (vacation)
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
X-AntiVirus: checked by AntiVir MailGate (version: 2.1.0-19; AVE:
7.9.4.228; VDF: 7.11.7.229; host: mail1)


führt zu folgendem fehler

May 11 17:03:32 mx1 postfix/smtp[20587]: 6ECEB3E0042: to=<XXX at XXX.de>,
relay=XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX], delay=0, status=bounced (host
XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX] said: 554 <>: Sender address rejected:
Access denied (in reply to RCPT TO command))*



cu
--
bevor mich der teufel holt, trinkt er sich mut an ...


From werner at aloah-from-hell.de  Fri May 13 17:40:14 2011
From: werner at aloah-from-hell.de (Werner)
Date: Fri, 13 May 2011 17:40:14 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
Message-ID: <4DCD50DE.8040804@aloah-from-hell.de>

Hi zusammen,

hat jemand ein ähnliches Verhalten von policyd-weight auf Debian Squeeze? Alle paar Sekunden wird der Cache
vom policyd-weight neu gespawned() .... Das Verhalten tritt aber offensichtlich nur bei Verwendung des
Debian INIT-Skriptes auf (starte ich den policyd-weight ohne das INIT-Skript besteht das Problem nicht).

Ciao,
Werner



May 13 17:31:12 mail01 postfix/policyd-weight[3918]: policyd-weight 0.1.15 devel-1 started and daemonized. conf:default settings; GID:115 115 EGID:115
115 UID:110 EUID:110; taint mode: 1
May 13 17:31:12 mail01 postfix/policyd-weight[3918]: warning: cache_query: $csock couln't be created: connect: No such file or directory, calling
spawn_cache()
May 13 17:31:12 mail01 postfix/policyd-weight[3919]: cache spawned

May 13 17:31:27 mail01 postfix/policyd-weight[3919]: cache killed
May 13 17:31:28 mail01 postfix/policyd-weight[4425]: policyd-weight 0.1.15 devel-1 started and daemonized. conf:default settings; GID:115 115 EGID:115
115 UID:110 EUID:110; taint mode: 1
May 13 17:31:28 mail01 postfix/policyd-weight[4425]: warning: cache_query: $csock couln't be created: connect: No such file or directory, calling
spawn_cache()

May 13 17:31:28 mail01 postfix/policyd-weight[4426]: cache spawned
May 13 17:31:43 mail01 postfix/policyd-weight[4426]: cache killed
May 13 17:31:43 mail01 postfix/policyd-weight[4425]: master: child 4426 exited
May 13 17:31:43 mail01 postfix/policyd-weight[4986]: policyd-weight 0.1.15 devel-1 started and daemonized. conf:default settings; GID:115 115 EGID:115
115 UID:110 EUID:110; taint mode: 1
May 13 17:31:43 mail01 postfix/policyd-weight[4986]: warning: cache_query: $csock couln't be created: connect: No such file or directory, calling
spawn_cache()
May 13 17:31:43 mail01 postfix/policyd-weight[4987]: cache spawned







-- 
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From rudi.floren at googlemail.com  Fri May 13 18:29:02 2011
From: rudi.floren at googlemail.com (Rudi Floren)
Date: Fri, 13 May 2011 18:29:02 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DCD50DE.8040804@aloah-from-hell.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>
Message-ID: <4DCD5C4E.1070408@googlemail.com>

Hallo Werner,


Liegt es vll an:
> May 13 17:31:12 mail01 postfix/policyd-weight[3918]: warning: cache_query: $csock couln't be created: connect: No such file or directory, calling
> spawn_cache()

Hast du mal deine config übeprüft bzgl des $csock?

Wäre gut wenn du die config hier anfügen könntest, damit wir mehr sagen 
können.

Gruß,
Rudi


From torben at dannhauer.info  Fri May 13 19:15:31 2011
From: torben at dannhauer.info (Torben Dannhauer)
Date: Fri, 13 May 2011 19:15:31 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DCD5C4E.1070408@googlemail.com>
References: <4DCD50DE.8040804@aloah-from-hell.de>
	<4DCD5C4E.1070408@googlemail.com>
Message-ID: <006c01cc1191$5d6c4ad0$1844e070$@dannhauer.info>

Hi Werner,

ich hab das gleiche Problem, hab diesem aber bisher keine Bedeutung
zugemessen. Wenn du eine Lösung hast lass es mich wissen :)

Danke!

-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de
[mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Rudi
Floren
Gesendet: Freitag, 13. Mai 2011 18:29
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze

Hallo Werner,


Liegt es vll an:
> May 13 17:31:12 mail01 postfix/policyd-weight[3918]: warning: 
> cache_query: $csock couln't be created: connect: No such file or 
> directory, calling
> spawn_cache()

Hast du mal deine config übeprüft bzgl des $csock?

Wäre gut wenn du die config hier anfügen könntest, damit wir mehr sagen
können.

Gruß,
Rudi
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux
Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From werner at aloah-from-hell.de  Fri May 13 19:52:14 2011
From: werner at aloah-from-hell.de (Werner)
Date: Fri, 13 May 2011 19:52:14 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DCD5C4E.1070408@googlemail.com>
References: <4DCD50DE.8040804@aloah-from-hell.de>
	<4DCD5C4E.1070408@googlemail.com>
Message-ID: <4DCD6FCE.3020504@aloah-from-hell.de>

Hi,

> Hast du mal deine config übeprüft bzgl des $csock?

Es gibt kein Config bzw. das Perlskript ist die Config - also alles Standard  :)

Grüsse,
Werner


From werner at aloah-from-hell.de  Fri May 13 19:54:38 2011
From: werner at aloah-from-hell.de (Werner)
Date: Fri, 13 May 2011 19:54:38 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <006c01cc1191$5d6c4ad0$1844e070$@dannhauer.info>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DCD5C4E.1070408@googlemail.com>
	<006c01cc1191$5d6c4ad0$1844e070$@dannhauer.info>
Message-ID: <4DCD705E.4010103@aloah-from-hell.de>

Hi Torben,

> ich hab das gleiche Problem, hab diesem aber bisher keine Bedeutung
> zugemessen. Wenn du eine Lösung hast lass es mich wissen :)

Quickfix:
cd /etc/init.d; rm policyd-weight; ln -s /usr/sbin/policyd-weight .
/etc/init.d/policyd-weight restart

Ich schau mir das nächste Woche mal näher an woran's denn wirklich liegt =)
Nervt halt nur so ...

Grüsse und schöne Woende,
Werner




From postfixmail at dncom.de  Sat May 14 09:48:30 2011
From: postfixmail at dncom.de (=?iso-8859-1?Q?Philipp_N=F6bauer?=)
Date: Sat, 14 May 2011 09:48:30 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?=28kein_Betreff=29?=
Message-ID: <80256A422C8E6B448A5F52BADBA043CE037CC596D9@MAIL.dncom.de>




From postfix at jpkessler.info  Sat May 14 11:08:39 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Sat, 14 May 2011 11:08:39 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCB7F1D.6020003@nausch.org>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>
	<4DCB7F1D.6020003@nausch.org>
Message-ID: <4DCE4697.3010205@jpkessler.info>

Servus,

>> Ich versuche es zur Abwechselung mal mit einer konkreten Antwort:
> Wieso nur zur Abwechslung?

Weil man hier manchmal auf eine konkrete Frage eine abschweifende
Antwort erhält. Ich kann mich irren und bin sicher auch gegen Maulkörbe
oder Denkverbote. Wenn mich aber jemand nach konkreten Erfahrungen mit
bestimmten Produkten fragt und die Antworten sich auf das prinzipielle
Ablehnen der Technologie beziehen, halte ich das für nicht so furchtbar
hilfreich. Wobei ich allerdings auch jedem zustimme, der mir nun
entgegnet, dass es aber auch wichtig ist, über den Tellerrand zu schauen.

Nimm's als Floskel ;)

>> - Keine Zusatzsoftware auf den PCs der Anwender erforderlich (sind hier
>> einige zehntausend).
> Wenn Du damit den internen Anwender meinst, stimme ich dir hier voll zu.

Jep. Zur Vereinfachung spreche ich bei den Zugehörigen des eigenen
Unternehmens (bzw einem von uns betreuten) von "MA" oder "AW" und bei
den Externen von "Partnern".

>> - Die AW müssen sich nicht mit Verschlüsselungsverfahren und
>> Keymanagement auskennen ("welches Teil soll ich jetzt wohin schicken?
>> wieso public und private? wieso braucht der was von MIR, damit ER
>> verschlüsseln kann?" usw usf).
> Meiner Erfahrung nach ist es zwingend notwendig, dass man sich mit dem
> Thema grundlegend befasst um zu verstehen, was bei einer Verschlüsselung
> passiert.

Ich will einen Job bei Euch ;)  Ohne jetzt zu sehr ins Detail zu gehen:
Wir betreuen Kunden aus dem Umfeld großer Banken und Versicherungen mit
tausenden, bundesweit verteilt sitzenden MA. Die samt und sonders zu
schulen halte ich für unrealistisch - nicht nur, weil dazu Personal und
Geld fehlt. Viel wichtiger ist, dass die das größtenteils auch gar nicht
wissen wollen. Die haben andere Aufgaben (u.a. mein Gehalt zu
erwirtschaften).

Glaub' mir, wenn ich schreibe, dass ich mir auch mehr Verständnis für
unsere Anliegen wünschen würde (wir betreiben ja auch Firewalls,
Proxies, IDS/IDP, usw). Würde mein Leben oft einfacher machen. Das ist
aber in der Praxis nicht durchzusetzen - jdf bei uns.

>> man schläft auch besser, wenn ein Notebook abhanden kommt.
> Die Platten sind verschlüsselt, also wenn da quasi (m)ein key abhanden
> kommen sollte, ist das aus zweifachen Gründen wertlos. Einmal die
> Plattenverschlüsselung und zweitens die passphrase.

Ja, der Widerspruch ist mir beim Schreiben auch aufgefallen. Klar, die
Keys würden natürlich ebenfalls auf der verschlüsselten Platte liegen.
Pennen kann ich also in jedem Fall ;-)

>> - Eine Z1 (und auch die meisten Alternativprodukte) erlaubt ja nicht nur
>> PKI basierte Verfahren sondern kennt auch Alternativen für AW, die das
>> nicht können. Stellt unsere Z1 beispielsweise fest, dass zu einem
>> Partner kein Key vorliegt, die Policy aber Verschlüsselung vorgibt,
>> hinterlegt sie die NAchricht automatisch in einem Webmailer bei uns
>> (https natürlich).
> O.K., das scheidet in meinen Fall hier aus, da es um geschäftsrelevante
> eMails geht und da macht kein Businesskunde mit. Er ist ja verpflichtet
> die Nachrichten bei sich zu archivieren und da scheidet ein Webmailer
> grundsätzlich aus. Und bei meinen Anfragen, wurde mir _immer_ genannt,
> dass jeder seine gewohnte Umgebung beibehalten und weiternutzen möchte.
> Übertrieben gesagt: 27 Webmailaccounts zu bearbeiten, wer will/macht das
> denn?

Korrekt. Daher gibt es ja auch die zweite Alternative per
verschlüsseltem PDF. Da kommt alles in der Mailbox des Partners an. Btw
erlaubt aber auch der Webmailer ein Exportieren der Mails im EML oder im
MSG Format. Diese Alternativerfahren sind auch eher für kleine
Gutachterbüros, Kanzleien oder Endkunden gedacht. Im B2B Umfeld kommen
bei uns vorwiegend TLS, S/Mime, PGP, VPNs oder DDVs zum Einsatz. Die
beiden letzten Verfahren allerdings nur ungern und idR nur dann, wenn
auch auch andere Verbindungen den Einsatz einer solchen Netzkopplung
erfordern. Das Problem liegt nämlich darin, dass man manuell routen
muss, was grundsätzlich beim nächsten Umzug auf Partnerseite knallt. So
etwas wird nämlich gerne vergessen.

>> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
>> Keymanagement der externen Schlüssel.
> Ja, das sehe ich klar als Vorteil, vor allem wenn es dann um das ganze
> Handling mit den Rückrufzertifikaten & Co. geht.

Jep, CRLs werden von der Z1 natürlich geprüft und entsprechend
berücksichtigt.

>> Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
>> bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
>> Anregung...
> Aha, und was genau willst Du hiermit ausdrücken? Ich stehe da etwas auf
> dem Schlauch? Wer verwirft hier was? Und was genau wäre die
> Informationsklassifizierung "ein paar lapidaren Sätze"?

Begründung oben - allerdings hätte ich mir diesen Spruch auch
zugegebenermaßen sparen können. Zum einen wird es ja nun doch
differenziert, so dass ich mir nun selbst vorwerfen muss, vorschnell
gewesen zu sein. Zum anderen sind solche Sprüche idR immer
kontraproduktiv, wenn man ernsthaft diskutieren möchte. Würde mich
freuen, wenn Ihr's unter "Jan hatte seine 5 Minuten" verbuchen könntet...

> O.K. werd' ich mir mal genauer ansehen, die anderen beiden auch. Wenn es
> denn mal soweit ist, werde ich da wohl verstärkt einsteigen.

Jep, mein Tipp: Mach eine Evaluierung und hol' Dir Demos ins Haus. Der
Teufel liegt oft im Detail (Handling, Support, ...).

Danke, dass Ihr trotz einiger etwas polemischer Sprüche sachlich
geantwortet habt!



From postfix at jpkessler.info  Sat May 14 11:11:53 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Sat, 14 May 2011 11:11:53 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCB8C2C.8010903@nausch.org>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC97F06.20301@gmj.cjb.net>	<4DC9C583.2040403@jpkessler.info>
	<4DCB8C2C.8010903@nausch.org>
Message-ID: <4DCE4759.1060508@jpkessler.info>


>> Der lokale Nachrichtenspeicher ist auch verschlüsselt
>> (Plattenverschlüsselung) - ebenso wie der interne Transportweg.
> Mal ehrlich, das geht doch so, ohne den ganzen Aufwand mit der Z1, oder?

Klar. Ich wollte auch nur darauf hinaus, dass wir natürlich eine
Gesamtbetrachtung vorgenommen haben. Es macht natürlich wenig Sinn, sich
um Verschlüsselung am Perimeter Gedanken zu machen, aber dann
Datenablage, Backups und weitere Transportwege unberücksichtigt zu lassen.

War also eigentlich anders gemeint: Wenn Ihr ein GW einsetzt, denkt an
den Rest!




From postfix at jpkessler.info  Sat May 14 11:31:35 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Sat, 14 May 2011 11:31:35 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PGP_und_S/MIME_am_=E4u=DFeren_?= =?iso-8859-1?q?MX?=
In-Reply-To: <4DCB9F9D.3000206@googlemail.com>
References: <20110504102948.gutjwjt34008ggcw@buero.nausch.org>	<4DC97767.1040309@jpkessler.info>	<4DC99793.7060709@googlemail.com>	<4DC9CCC4.6030701@jpkessler.info>	<4DCAE720.7010306@googlemail.com>	<4DCB13FA.5020201@jpkessler.info>
	<4DCB9F9D.3000206@googlemail.com>
Message-ID: <4DCE4BF7.40902@jpkessler.info>


>>> Kollege A geht nun in den Urlaub. Er setzt Kollege B als seinen
>>> Stellvertreter ein.
>>>
>>> Kollege B muss nun auf eine Kundenanfrage adressiert an Kollege A als
>>> Vertretung antworten.
>>>
>>> Erhält der Kunde die Antwort von A oder B? Wenn A, ist die Nachricht von
>>> B signiert, d.h. kann der Kunde erkennen, dass A nicht gezeichnet hat?
>> Kurz gesagt wird das Signatur-Zert von der Z1 durch die SMTP Adresse
>> ausgewählt. Die Groupware stellt (via Auth gegen das
>> Benutzerverzeichnis) sicher, dass A nur als A senden kann. Wenn A
>> Kollegen B berechtigt in dessen Namen zu senden, würde das Zert von A
>> verwendet. Siehe Anmerkung zum "Insider-Angriff".
> OK... das würde mir sehr große Bauschmerzen bereiten. Wäre mit dem
> Signaturgesetz so auch gar nicht vereinbar. Allerdings scheint
> Rechtssicherheit keine Anforderung an eure "sichere elektronische
> Kommunikation" zu sein.

Jep, wie beschrieben geht es um Class-2 Zerts. Die Z1 hat allerdings
inzwischen Mechanismen, die vor einer Signatur die Zustimmung des
Zert-Owners sicherstellen. Setzen wir aber zzt nicht ein.

Btw hindert die Z1 nicht daran, in besonderen Fällen auch Clients mit
lokal hinterlegten Class-3 Zertifikaten auszustatten. Hier geht es nur
um die grobe Masse. Leider haben viele unserer kleineren Partner
(Kanzleien, Gutachter, ...) keine Möglichkeit, sinnvoll TLS o.ä.
einzusetzen. Manche verwenden auch bereits PGP oder S/Mime und möchten
von diesem Verfahren nicht abweichen.

> Welchen Sinn seht ihr da drinnen, dem Anwender im Client dann noch
> Hinweise wie, "Diese Nachricht war verschlüsselt/gültig signiert von
> XXX" anzuzeigen?

- Unser AW weiß, wie die Nachricht übertragen wurde und vom wem sie
stammt. Vielleicht teilweise sicherer als beim lokalem Ansatz. Wir
wissen nämlich wessen self-signed CA Zertifikate wir einspielen (und
welche nicht) und haben bestimmte Verfahren, die uns eine entsprechende
Entscheidung erleichtern. Unsere AW können damit idR nichts anfangen.

- Man kann einen Partner, der die Verschlüsselung vergisst, darauf
hinweisen.

- Unser AW (jdf die wenigen technik-affinen) wissen, dass somit ein
PublicKey in unserem System vorliegt, den sie widerum zur
Verschlüsselung nutzen können.

- Die Leute sehen, dass die Investition, die zum Aufbau des Systems
getätigt wurden, genutzt wird.

Ganz ehrlich: Wenn die AW uns (also den Admins) nicht mehr vertrauen,
dann haben die ganz andere Probleme als am GW terminierte
Pseudo-Ende-zu-Ende Verschlüsselung. Das fängt beim SSL Proxy an und
zieht sich weiter durch die Groupware, Netzlaufwerke und Backups und
endet bei bösartiger Intention bei Sniffern (inkl MITM), "always_bcc",
Trojanern und Keyloggern - Techniken mit denen wir berufsbedingt
vertraut wären. Es ist natürlich auch so, dass wir den Kunden auf den
Umstand, dass die PKI-Verschlüsselung am Perimeter endet, deutlich
hingewiesen haben - bzw es so beauftragt wurde.



From p.heinlein at heinlein-support.de  Sat May 14 16:13:43 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Sat, 14 May 2011 16:13:43 +0200
Subject: [Postfixbuch-users] mein Lieblingsthema :-[ - private eMail im
	Unternehmen
In-Reply-To: <4DCB9D90.30303@nausch.org>
References: <4DCB9D90.30303@nausch.org>
Message-ID: <201105141613.43242.p.heinlein@heinlein-support.de>

Am Donnerstag, 12. Mai 2011, 10:42:56 schrieb Michael Nausch:

> "Das Medium eMail in der Anstalt dient ausschließlich der
> dienstlichen Kommunikation der Kollegen untereinander, mit
> Verbundanstalten, Geschäftspartnern, Behörden und unseren Kunden.

Soweit ja mal eine klare Ansage. 

Erfreulicherweise wurde auch das wort "ausschließlich" (=100%, keine 
Ausnahme) gewählt, statt wie so oft sowas wie "grundsätzlich" (=eben 
nicht 100%, Ausnahmen sind die Regel) zu wählen.

> Eine private Nutzung (auch insbesondere auch über Webmailer, wie
> z.B. www.googlemail.de) ist nicht erlaubt. 

Auch das ist eigentlich 'ne klare Aussage zur Klarstellung, denn 
denklogisch ergibt sich das ja bereits aus obigem Satz. :-)

Wieso jetzt allerdings die Nutzung von beliebigen Webseiten (!) 
(=www.googlemail.de) in eine Nutzung von e-Mail einschleicht, ist 
unklar. Webmaildienste sind WEBseiten nicht E-Mails.  (Das webseiten 
irgendwo auf der Welt zufällig E-Mails generieren hat ja nix damit zu 
tun, daß man in Wirklichkeit nur surft.

Das Verbot von externen Webmail-Diensten müßte man also ggf, genauer 
hinterfragen und sich anschauen, wie es allgemein mit dem surfen (!) 
gehandhabt wird. Das hat hier schlichtweg nichts zu suchen.

> Davon ausgenommen sind
> private eMails aus dienstlichem Anlass (Abstimmung Arztbesuch,
> Urlaubsplanung, etc.).

Auch dieser Satz ist überflüssig, weil reine Klarstellung. es ist 
anerkannt, daß "private" Anrufe aus dienstlichem Anlaß ("Schatz, ich 
mache Überstunden, geh Du bitte noch Tomaten kaufen") natürlich eine 
DIENSTLICHE Nutzung sind. Derartige E-Mails (und Telefonanrufe) sind 
also per se als erlaubte dienstliche Nutzung anzusehen.

Ich würde raten die Aufzählung in Klammern wegzulassen (kann nur 
schaden, oder restriktiver zu setzen. Was an Arztbesuch oder 
Urlaubsplanung nun "dienstliche" Nutzung sein soll, erschließt sich mir 
nicht.

Wenn ich aus dienstlichen Gründen (!) den Arztbesuch verschieben muß 
(Überstunden, spontane Dienstreise, Verletzung im Dienst), dann ist das 
natürlich ein dienstlicher Anlaß. Wenn ich aber allgemein mal einen 
Arztbesuch vereinbaren will, dann ist das natürlich kein dienstlicher 
Anlaß.

Insofern ist diese Klammern-Aufzählung "unglücklich", weil sie den 
Knackpunkt nicht klarmacht. Trotzdem lege ich diesen Satz als klipp und 
klar aus: Private Gespärche sind verboten. Dienstliche (natürlich) 
erlaubt.  reine Klarstellung und an sich nichts, was nicht schon ganz 
oben aus dem allerersten Satz herzuleiten gewesen wäre.

> Was sagt den Oma zu der Formulierung? ;) 

Oma sagt da doch selbstverständlich: Na, wenn der im Meeting sitzt und 
das länger dauert,  kann ihm ja wohl kaum verboten werden, die Nachbarin 
zu bitten die Kinder aus der Kita abzuholen.  Eben. Und Oma findet dann 
auch, daß das natürlich trotzdem Telefonate aus dienstlichem Anlaß sind.

> Speziell der letzte Satz
> bringt meinen Tinitus auf ordendliche Schwingungen. 

Nö, der entspricht geltender und etablierter Rechtssprechung. Das hat 
man am Beispiel entsprechender Telefonanrufe schon lange durch.

> Mit solch einer
> Formulierung würde ich IMHO sagen, wird die geübte betriebliche
> Vorgehensweise - jeder macht was er will in Sachen eMail, denn im
> Zweifelsfall war es unter "etc." definiert - manisfestiert. 

Nö, das sind hier sehr klare zweifelsfreie Aussagen, wenn auch unklare 
Beispiele.


Peer

-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From michael at nausch.org  Sat May 14 23:57:59 2011
From: michael at nausch.org (Michael Nausch)
Date: Sat, 14 May 2011 23:57:59 +0200
Subject: [Postfixbuch-users] mein Lieblingsthema :-[ - private eMail im
 Unternehmen
In-Reply-To: <201105141613.43242.p.heinlein@heinlein-support.de>
References: <4DCB9D90.30303@nausch.org>
	<201105141613.43242.p.heinlein@heinlein-support.de>
Message-ID: <4DCEFAE7.6090701@nausch.org>

Heiliger Sankt Peer! <= insider Witz ROFTL

Am 14.05.2011 16:13, schrieb Peer Heinlein:

> Erfreulicherweise wurde auch das wort "ausschließlich" (=100%, keine 
> Ausnahme) gewählt, statt wie so oft sowas wie "grundsätzlich" (=eben 
> nicht 100%, Ausnahmen sind die Regel) zu wählen.

Jepp hätte und habe ich so auch gesagt.

> Auch das ist eigentlich 'ne klare Aussage zur Klarstellung, denn 
> denklogisch ergibt sich das ja bereits aus obigem Satz. :-)

Vermutlich ein Versuch nach dem Motto "doppelt genäht hält besser".

>> Davon ausgenommen sind
>> private eMails aus dienstlichem Anlass (Abstimmung Arztbesuch,
>> Urlaubsplanung, etc.).
> 
> Auch dieser Satz ist überflüssig, weil reine Klarstellung.

Mein gesunder Menschenverstand, sagt hierzu folgendes. Klar ist ein
dienstlicher Anlaß hier maßgebend und nichts konstruiertes.

> es ist 
> anerkannt, daß "private" Anrufe aus dienstlichem Anlaß ("Schatz, ich 
> mache Überstunden, geh Du bitte noch Tomaten kaufen") natürlich eine 
> DIENSTLICHE Nutzung sind. Derartige E-Mails (und Telefonanrufe) sind 
> also per se als erlaubte dienstliche Nutzung anzusehen.

Ja, hätte ich auch so gesagt, würde meiner Meinung nach auch keiner
gesonderten schriftlichen Regelung bedürfen.

> Ich würde raten die Aufzählung in Klammern wegzulassen (kann nur 
> schaden, oder restriktiver zu setzen. Was an Arztbesuch oder 
> Urlaubsplanung nun "dienstliche" Nutzung sein soll, erschließt sich mir 
> nicht.

FULLACK, das verwirrt nur, bzw. weckt Begehrlichkeiten. Im Zweifel würde
ich somit keinerlei Skrupel haben, meine 750 Urlaubsphotos von meinem
letzten Italienurlaub an meine Kollegin zu schicken. Sie muss ja
schließlich Ihren Urlaub planen. Fällt ja unter den Punkt Urlaubsplanung
bzw im totalen Zweifelsfall unter "etc.". :-/

> Wenn ich aber allgemein mal einen
> Arztbesuch vereinbaren will, dann ist das natürlich kein dienstlicher 
> Anlaß.

Wieder bemühe ich meinen gesunden Menschenverstand: ja klar. Aber wenn
es so detailliert in dieser Regelung "erlaubt" ist, würde ich doch dazu
tendieren, s als O.K. zu sehen.

> Nö, das sind hier sehr klare zweifelsfreie Aussagen, wenn auch unklare 
> Beispiele.

Echt? ;) Aus dienstlichen Anlaß muss ich doch meinen Urlaub planen,
damit ich wieder voll einsatzbereit bin, ergo würde ich mein 750
Bildermail auch verschicken oder annehmen. Ist aber eh' wurscht, weils
mich nicht betrifft. Meine Meinung nach hätte ich den letzten Satz
weggelassen; da er mehr verwirrt als klarstellt und vermeintliche
Hintertürchen öffnet.

Ich danke Dir für Deine Einschätzungen und werde sie weiterreichen.


Servus
Django
--
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3644 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110514/f98941b2/attachment.p7s>

From postfixbuch-users at makomi.de  Sun May 15 13:08:16 2011
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Sun, 15 May 2011 13:08:16 +0200
Subject: [Postfixbuch-users] OT: Logrotate und Pflogsumm in Debian Squeeze
Message-ID: <4A7A1934-CDAA-4A92-A387-D04E4D5F9068@makomi.de>

Hallo,

mit der Installation eines neues Mailservers auf Debian Squeeze hat sich eine komische Konstellation ergeben (die bei Debian Lenny noch nicht war), bei der ich aufm Schlauch stehe. Ich lass mir täglich von Pflogsumm eine Statistik schicken, was auch wunderbar funktioniert. Nur Sonntags, wenn Pflogsumm die tägliche und wöchentliche Statistik verschickt, ist die tägliche (also die Statistik vom Samstag) leer. Ich nehme stark an, das dies mit Logrotate zusammenhängt, da das mail.log wöchentlich (also Sonntags) rotiert und anscheinend erst rotiert und anschliessend die tägliche Statistik generiert wird - da das Logfile dann leer ist, bekomme ich auch nur eine leere Statistik. 
Nun ist es so, das Logrotate wie auch Pflogsumm beide in /etc/cron.daily aufgerufen werden und dabei die Abhängigkeiten nicht definiert sind.

Hat jemand von Euch auch schon das Problem (gehabt) und es (wie?) gelöst?

Gruß,
Michael




From kai_postfix at fuerstenberg.ws  Sun May 15 13:28:38 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Sun, 15 May 2011 13:28:38 +0200
Subject: [Postfixbuch-users] OT: Logrotate und Pflogsumm in Debian
	Squeeze
In-Reply-To: <4A7A1934-CDAA-4A92-A387-D04E4D5F9068@makomi.de>
References: <4A7A1934-CDAA-4A92-A387-D04E4D5F9068@makomi.de>
Message-ID: <4DCFB8E6.4020007@fuerstenberg.ws>

Am 15.05.2011 13:08, schrieb Michael Köhler:
> Hallo,
>
> mit der Installation eines neues Mailservers auf Debian Squeeze hat sich eine komische Konstellation ergeben (die bei Debian Lenny noch nicht war), bei der ich aufm Schlauch stehe. Ich lass mir täglich von Pflogsumm eine Statistik schicken, was auch wunderbar funktioniert. Nur Sonntags, wenn Pflogsumm die tägliche und wöchentliche Statistik verschickt, ist die tägliche (also die Statistik vom Samstag) leer. Ich nehme stark an, das dies mit Logrotate zusammenhängt, da das mail.log wöchentlich (also Sonntags) rotiert und anscheinend erst rotiert und anschliessend die tägliche Statistik generiert wird - da das Logfile dann leer ist, bekomme ich auch nur eine leere Statistik.
> Nun ist es so, das Logrotate wie auch Pflogsumm beide in /etc/cron.daily aufgerufen werden und dabei die Abhängigkeiten nicht definiert sind.
>
> Hat jemand von Euch auch schon das Problem (gehabt) und es (wie?) gelöst?

durch eine passende Namensgebung:
00pflogsumm
0logrotate

Die Skripte werden nach der Reihenfolge der Dateinamen abgearbeitet.
Außerdem in /etc/crontab nachsehen, dass die Daily- und Weekly-Skripte 
ein paar Minuten versetzt bearbeitet werden.

-- 
Kai Fürstenberg

PM an kai at fuerstenberg punkt ws


From wieland.chmielewski at weihenstephan.org  Sun May 15 14:37:38 2011
From: wieland.chmielewski at weihenstephan.org (Wieland Chmielewski)
Date: Sun, 15 May 2011 14:37:38 +0200
Subject: [Postfixbuch-users] OT: Logrotate und Pflogsumm in Debian
	Squeeze
In-Reply-To: <4A7A1934-CDAA-4A92-A387-D04E4D5F9068@makomi.de>
References: <4A7A1934-CDAA-4A92-A387-D04E4D5F9068@makomi.de>
Message-ID: <4DCFC912.9040401@weihenstephan.org>

Am 15.05.2011 13:08, schrieb Michael Köhler:
> Hallo,
>
> mit der Installation eines neues Mailservers auf Debian Squeeze hat sich eine komische Konstellation ergeben (die bei Debian Lenny noch nicht war), bei der ich aufm Schlauch stehe. Ich lass mir täglich von Pflogsumm eine Statistik schicken, was auch wunderbar funktioniert. Nur Sonntags, wenn Pflogsumm die tägliche und wöchentliche Statistik verschickt, ist die tägliche (also die Statistik vom Samstag) leer. Ich nehme stark an, das dies mit Logrotate zusammenhängt, da das mail.log wöchentlich (also Sonntags) rotiert und anscheinend erst rotiert und anschliessend die tägliche Statistik generiert wird - da das Logfile dann leer ist, bekomme ich auch nur eine leere Statistik.
> Nun ist es so, das Logrotate wie auch Pflogsumm beide in /etc/cron.daily aufgerufen werden und dabei die Abhängigkeiten nicht definiert sind.
>
> Hat jemand von Euch auch schon das Problem (gehabt) und es (wie?) gelöst?
>
> Gruß,
> Michael
>
>

Hallo,

das Problem kann man lösen, indem man pflogsumm nicht nur die aktuelle, 
sondern auch die davor liegende Logdatei zur Analyse anbietet, z.B.:

[SuSE] cat /var/log/mail.1 /var/log/mail | pflogsumm ...

[Ubuntu] cat /var/log/mail.log.0 /var/log/mail.log | pflogsumm ...

Unter Umständen muß die Logrotate-Konfigurationsdatei so angepaßt 
werden, daß kein Datum als Erweiterung des Dateinamens "mail", bzw. 
"mail.log" verwendet wird und daß die Komprimierung verzögert erfolgt.

Einen schönen Sonntag noch,

Wieland


From postfixbuch-users at makomi.de  Sun May 15 15:10:07 2011
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Sun, 15 May 2011 15:10:07 +0200
Subject: [Postfixbuch-users] OT: Logrotate und Pflogsumm in Debian
	Squeeze
In-Reply-To: <4DCFC912.9040401@weihenstephan.org>
References: <4A7A1934-CDAA-4A92-A387-D04E4D5F9068@makomi.de>
	<4DCFC912.9040401@weihenstephan.org>
Message-ID: <55A26827-F975-4E50-A2F8-586EFE61AF2B@makomi.de>

Hallo Wieland,

On 15.05.2011, at 14:37, Wieland Chmielewski wrote:

>> mit der Installation eines neues Mailservers auf Debian Squeeze hat sich eine komische Konstellation ergeben (die bei Debian Lenny noch nicht war), bei der ich aufm Schlauch stehe. Ich lass mir täglich von Pflogsumm eine Statistik schicken, was auch wunderbar funktioniert. Nur Sonntags, wenn Pflogsumm die tägliche und wöchentliche Statistik verschickt, ist die tägliche (also die Statistik vom Samstag) leer. Ich nehme stark an, das dies mit Logrotate zusammenhängt, da das mail.log wöchentlich (also Sonntags) rotiert und anscheinend erst rotiert und anschliessend die tägliche Statistik generiert wird - da das Logfile dann leer ist, bekomme ich auch nur eine leere Statistik.
>> Nun ist es so, das Logrotate wie auch Pflogsumm beide in /etc/cron.daily aufgerufen werden und dabei die Abhängigkeiten nicht definiert sind.
>> 
>> Hat jemand von Euch auch schon das Problem (gehabt) und es (wie?) gelöst?
> 
> das Problem kann man lösen, indem man pflogsumm nicht nur die aktuelle, sondern auch die davor liegende Logdatei zur Analyse anbietet, z.B.:
> 
> [SuSE] cat /var/log/mail.1 /var/log/mail | pflogsumm ...
> 
> [Ubuntu] cat /var/log/mail.log.0 /var/log/mail.log | pflogsumm ...
> 
> Unter Umständen muß die Logrotate-Konfigurationsdatei so angepaßt werden, daß kein Datum als Erweiterung des Dateinamens "mail", bzw. "mail.log" verwendet wird und daß die Komprimierung verzögert erfolgt.

Danke, ich denke die Version gefällt mir deutlich besser, also das Umbenennen der Dateien in /etc/cron.daily

Ich habe die Datei /etc/cron.daily/pflogsumm folgendermassen angepasst:

/usr/sbin/pflogsumm -d yesterday --problems_first /var/log/mail.log /var/log/mail.log.1 2>&1 |/usr/bin/mailx -s "`hostname -A` - Taegliche Mailstatistik" postmaster at DOMAIN

Gruß,
Michael

From jg at softjury.de  Mon May 16 08:38:36 2011
From: jg at softjury.de (Jan Phillip Greimann)
Date: Mon, 16 May 2011 08:38:36 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DCD50DE.8040804@aloah-from-hell.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>
Message-ID: <4DD0C66C.6030208@softjury.de>

Hi Werner,

> Debian INIT-Skriptes auf (starte ich den policyd-weight ohne das INIT-Skript besteht das Problem nicht).
Ich betreibe selbst policyd-weight auf einem Debian-Squeeze-Server und 
habe das Problem nicht, kann jedoch sein das sich in letzter Zeit was 
geändert hat. Guck mal nach ob in deinem System die Datei
   /etc/default/policyd-weight
existiert.

In meinem Init-Script wird diese Datei eingebunden und die Variable 
$DAEMON_OPTS bei Start, Stop, etc. eingebunden.

Vll. liegt da ja das Problem.

MfG Jan



From werner at aloah-from-hell.de  Mon May 16 10:12:06 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 10:12:06 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD0C66C.6030208@softjury.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>
	<4DD0C66C.6030208@softjury.de>
Message-ID: <4DD0DC56.20103@aloah-from-hell.de>

Hi,

>   /etc/default/policyd-weight
> existiert.
> 
> In meinem Init-Script wird diese Datei eingebunden und die Variable $DAEMON_OPTS bei Start, Stop, etc. eingebunden.

Hab gesehen, dass Debian die Datei einbinden möchte. Wurde aber bei der Installation von
policyd-weight nicht erzeugt.

Was hast du in $DAEMON_OPTS stehen?

Grüsse,
Werner





From jg at softjury.de  Mon May 16 10:47:03 2011
From: jg at softjury.de (Jan Phillip Greimann)
Date: Mon, 16 May 2011 10:47:03 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD0DC56.20103@aloah-from-hell.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DD0C66C.6030208@softjury.de>
	<4DD0DC56.20103@aloah-from-hell.de>
Message-ID: <4DD0E487.5050409@softjury.de>

Am 16.05.2011 10:12, schrieb Werner:
> Hi,
>
>>    /etc/default/policyd-weight
>> existiert.
>>
>> In meinem Init-Script wird diese Datei eingebunden und die Variable $DAEMON_OPTS bei Start, Stop, etc. eingebunden.
>
> Hab gesehen, dass Debian die Datei einbinden möchte. Wurde aber bei der Installation von
> policyd-weight nicht erzeugt.
Ja, bei mir genauso wenig

>
> Was hast du in $DAEMON_OPTS stehen?
Da dürfte nichts drin stehen.

Naja, hier mal mein init-Script, vll. gibt es ja Unterschiede.
   http://pastebin.com/xNPyV95y

MfG Jan



From werner at aloah-from-hell.de  Mon May 16 10:51:05 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 10:51:05 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD0E487.5050409@softjury.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DD0C66C.6030208@softjury.de>	<4DD0DC56.20103@aloah-from-hell.de>
	<4DD0E487.5050409@softjury.de>
Message-ID: <4DD0E579.3050706@aloah-from-hell.de>

Hi,

ist das gleiche INIT-Skript :) - /etc/default/policyd-weight
ist bei dir leer ?

Ich schau mir das später genauer an alles.

Ciao,
Werner



From jg at softjury.de  Mon May 16 11:17:16 2011
From: jg at softjury.de (Jan Phillip Greimann)
Date: Mon, 16 May 2011 11:17:16 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD0E579.3050706@aloah-from-hell.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DD0C66C.6030208@softjury.de>	<4DD0DC56.20103@aloah-from-hell.de>	<4DD0E487.5050409@softjury.de>
	<4DD0E579.3050706@aloah-from-hell.de>
Message-ID: <4DD0EB9C.10509@softjury.de>

Am 16.05.2011 10:51, schrieb Werner:
> Hi,
>
> ist das gleiche INIT-Skript :)

 > /etc/default/policyd-weight
> ist bei dir leer ?
Ist, wie bei dir, nicht vorhanden.

Das ist wirklich merkwürdig, wenn alles das gleiche ist sollten ja keine 
Probleme auftreten.

Merkwürdig...

MfG Jan



From werner at aloah-from-hell.de  Mon May 16 15:20:45 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 15:20:45 +0200
Subject: [Postfixbuch-users] SASL authentication problem: unknown
 password verifier / no mechanism available
In-Reply-To: <4DCD0454.6030906@udosa.com>
References: <4DCD0454.6030906@udosa.com>
Message-ID: <4DD124AD.90405@aloah-from-hell.de>

Hi,

> Nachdem ich jetzt schon einiges getestet (master.cf - chrooted cpl. aus/an, usw.) habe stelle ich mir die Frage, ob nicht ein Softwarepaket fehlt
> welches mit aptitude nicht installiert wurde.

Schau doch ob du auf dem neuen System Pakete fehlen indem du die Paketliste abgleichst.

source# dpkg --get-selections \* > source.pkgs
dest# 	dpkg --get-selections \* > dest.pkgs

Und jetzt mit einem kleinen Helper überprüfen, welche Pakete nicht auf dest sind.

#!/bin/sh
z=0;
for i in $(cat source.pkgs)
do
((++z));
zeile=`cat dest.pkgs | grep "$i" | wc -l`;
if [ "$zeile" == "0" ]
then echo $i >> toinstall.txt
fi

Ciao,
Werner




From postfixbuch-users at gmj.cjb.net  Mon May 16 15:32:43 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Mon, 16 May 2011 15:32:43 +0200
Subject: [Postfixbuch-users] SASL authentication problem: unknown
 password verifier / no mechanism available
In-Reply-To: <4DD124AD.90405@aloah-from-hell.de>
References: <4DCD0454.6030906@udosa.com> <4DD124AD.90405@aloah-from-hell.de>
Message-ID: <4DD1277B.7060904@gmj.cjb.net>

Am 16.05.2011 15:20, schrieb Werner:

> #!/bin/sh
> z=0;
> for i in $(cat source.pkgs)
> do
> ((++z));
> zeile=`cat dest.pkgs | grep "$i" | wc -l`;
> if [ "$zeile" == "0" ]
> then echo $i >> toinstall.txt
> fi

Interessante Implementierung von "diff" ;-)
(Vor allem wofür ist die Variable "z"?)

Gruß,
Mathias


From werner at aloah-from-hell.de  Mon May 16 15:39:58 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 15:39:58 +0200
Subject: [Postfixbuch-users] SASL authentication problem: unknown
 password verifier / no mechanism available
In-Reply-To: <4DD1277B.7060904@gmj.cjb.net>
References: <4DCD0454.6030906@udosa.com> <4DD124AD.90405@aloah-from-hell.de>
	<4DD1277B.7060904@gmj.cjb.net>
Message-ID: <4DD1292E.6030402@aloah-from-hell.de>

Hi,

> (Vor allem wofür ist die Variable "z"?)
War nur mal für die Statistik ...




From werner at aloah-from-hell.de  Mon May 16 15:44:20 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 15:44:20 +0200
Subject: [Postfixbuch-users] SASL authentication problem: unknown
 password verifier / no mechanism available
In-Reply-To: <4DD1277B.7060904@gmj.cjb.net>
References: <4DCD0454.6030906@udosa.com> <4DD124AD.90405@aloah-from-hell.de>
	<4DD1277B.7060904@gmj.cjb.net>
Message-ID: <4DD12A34.7010101@aloah-from-hell.de>

Hi,

besser, man erstellt die Paketliste so:
dpkg --get-selections | grep '\Winstall' | cut -f1 > source.pkgs

> Interessante Implementierung von "diff" ;-)
So kann ich easy die fehlenden Dateien auf der Konsole mit ner Schleife einspielen ....
for i in $(cat toinstall.txt); do aptitude install --reinstall $i -y; done

Gruß,
Werner


From gerald at stepman.com  Mon May 16 16:13:05 2011
From: gerald at stepman.com (Gerald Erdmann)
Date: Mon, 16 May 2011 16:13:05 +0200
Subject: [Postfixbuch-users] Mail an mehrere Mailboxen will nicht mehr
Message-ID: <A354E84B-83C8-41CF-912E-E74BDE460085@stepman.com>

Hallo zusammen!

Irgendwie stehe ich gerade auf dem berühmt berüchtigten Schlauch, vielleicht jemandem von euch dazu was ein.

virtual_maps-Tabelle beinhaltet einige Einträge der From:

email	maildirbox1/,maildirbox2/

Bisher war das noch nie ein Problem, Mails an email wurden stets an beide Maildir-Mailboxen zugestellt. Durch Zufall habe gerade vorhin festgestellt, dass jetzt nur noch die erste Mailbox befüllt wird, die zweite Mailbox einfach ignoriert wird.

Postfix-Version ist 2.5.5 (2.5.5-1.1+lenny1) und Debian. 

Gibt es irgendeinen geheimen Schalter, den ich noch nicht kenne, das nur noch exklusiv zugestellt wird oder ist das ein Bug in dieser Version?

Für sachdienliche Hinweise dankbar.

Gruß, Gerald
-- 
Gerald Erdmann   gerald at stepman.com

STEPMAN SOLUTIONS
+49 30 39731400  -401 (Fax)
Berlin - Germany - Earth




-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3765 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110516/537d34e9/attachment.p7s>

From kai_postfix at fuerstenberg.ws  Mon May 16 16:42:42 2011
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Mon, 16 May 2011 16:42:42 +0200
Subject: [Postfixbuch-users] Mail an mehrere Mailboxen will nicht mehr
In-Reply-To: <A354E84B-83C8-41CF-912E-E74BDE460085@stepman.com>
References: <A354E84B-83C8-41CF-912E-E74BDE460085@stepman.com>
Message-ID: <4DD137E2.1@fuerstenberg.ws>

Hallo Gerald,

Am 16.05.2011 16:13, schrieb Gerald Erdmann:
> Irgendwie stehe ich gerade auf dem berühmt berüchtigten Schlauch,
> vielleicht jemandem von euch dazu was ein.
> 
> virtual_maps-Tabelle beinhaltet einige Einträge der From:
> 
> email	maildirbox1/,maildirbox2/
> 
> Bisher war das noch nie ein Problem, Mails an email wurden stets an
> beide Maildir-Mailboxen zugestellt. Durch Zufall habe gerade vorhin
> festgestellt, dass jetzt nur noch die erste Mailbox befüllt wird, die
> zweite Mailbox einfach ignoriert wird.
> 
> Postfix-Version ist 2.5.5 (2.5.5-1.1+lenny1) und Debian.
> 
> Gibt es irgendeinen geheimen Schalter, den ich noch nicht kenne, das
> nur noch exklusiv zugestellt wird oder ist das ein Bug in dieser
> Version?
> 
> Für sachdienliche Hinweise dankbar.

Bitte erst mal ein Log schicken, aus dem das Verhalten ersichtlich wird
(bitte vollständig von "connect" bis "disconnect"). Am besten gleich
zusammen mit 'postconf -n'.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From werner at aloah-from-hell.de  Mon May 16 16:50:33 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 16:50:33 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD0EB9C.10509@softjury.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DD0C66C.6030208@softjury.de>	<4DD0DC56.20103@aloah-from-hell.de>	<4DD0E487.5050409@softjury.de>	<4DD0E579.3050706@aloah-from-hell.de>
	<4DD0EB9C.10509@softjury.de>
Message-ID: <4DD139B9.4010401@aloah-from-hell.de>

Hi,

also beim tracen des policy-weight-Prozesses auf Squeeze ist mir das
ins Auge gestochen:

--- SIGTERM (Terminated) @ 0 (0) ---
rt_sigreturn(0)                         = -1 EINTR (Interrupted system call)
rt_sigprocmask(SIG_BLOCK, [TERM], NULL, 8) = 0
rt_sigaction(SIGTERM, NULL, {0x7f2989065120, [], SA_RESTORER, 0x7f2988937f60}, 8) = 0
unlink("/var/run/policyd-weight.pid")   = -1 EACCES (Permission denied)

Ich hab das INIT-Skript modifziert, sodass "/var/run/policyd-weight.pid" als polw:polw
angelegt wird. Seit dem schaut's gut aus :-)

Ciao,
Werner

root at mail01:/var/run# diff /etc/init.d/policyd-weight /home/werner/policyd-weight
24,26d23
< USER=polw
< GROUP=polw
<
41d37
< 		chown $USER:$GROUP $PIDFILE
46c42
< 		$DAEMON -k && start-stop-daemon --stop --quiet --oknodo --user $USER --pidfile $PIDFILE && rm -rf $PIDFILE
---
> 		$DAEMON -k && start-stop-daemon --stop --quiet --oknodo --pidfile $PIDFILE && rm -rf $PIDFILE







From gerald at stepman.com  Mon May 16 16:50:59 2011
From: gerald at stepman.com (Gerald Erdmann)
Date: Mon, 16 May 2011 16:50:59 +0200
Subject: [Postfixbuch-users] Mail an mehrere Mailboxen will nicht mehr
In-Reply-To: <4DD137E2.1@fuerstenberg.ws>
References: <A354E84B-83C8-41CF-912E-E74BDE460085@stepman.com>
	<4DD137E2.1@fuerstenberg.ws>
Message-ID: <8C08DD8E-E83C-4A36-999A-CB3884FB5F34@stepman.com>

Hallo Kai!

Am 16.05.2011 um 16:42 schrieb Kai Fürstenberg:

>> Für sachdienliche Hinweise dankbar.
> 
> Bitte erst mal ein Log schicken, aus dem das Verhalten ersichtlich wird
> (bitte vollständig von "connect" bis "disconnect"). Am besten gleich
> zusammen mit 'postconf -n'.


Da steht keine Fehlermeldung drin, nur eben dass es nur an die eine Adresse zugestellt wird:

May 16 16:02:40 root postfix/smtpd[23932]: connect from office.stepman.de[XX.XX.XX.XX]
May 16 16:02:41 root postfix/smtpd[23932]: 394F456C044: client=office.stepman.de[XX.XX.XX.XX], sasl_method=PLAIN, sasl_username=XXXXX
May 16 16:02:41 root postfix/cleanup[23935]: 394F456C044: message-id=<BA2FA332-2038-4BB0-A6B1-C50A180857AD at stepman.com>
May 16 16:02:41 root postfix/qmgr[22784]: 394F456C044: from=<gerald at stepman.com>, size=6249, nrcpt=1 (queue active)
May 16 16:02:53 root postfix/pipe[23936]: 394F456C044: to=<fritzbox at erdmann.name>, relay=maildeliver, delay=12, delays=0.39/0/0/12, dsn=2.0.0, status=sent (delivered via maildeliver service)
May 16 16:02:53 root postfix/qmgr[22784]: 394F456C044: removed

virtual_mails-Eintrag:

fritzbox at erdmann.name                  MBOX1/,MBOX2/


Hier sollte eigentlich eine zweite Zustellung erfolgen.

address_verify_map = btree:/var/lib/postfix/verify
address_verify_transport_maps = hash:/etc/postfix/transport
alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
append_at_myorigin = yes
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
home_mailbox = Maildir/
inet_interfaces = 127.0.0.1, XX.XX.XX.XX
inet_protocols = all
luser_relay = postmaster@$mydomain
mailbox_size_limit = 0
message_size_limit = 67108864
mydestination = $myhostname, $mydomain, localhost
mydomain = root.stepman.net
myhostname = mail.stepman.net
mynetworks = 127.0.0.1, XX.XX.XX.XX
myorigin = $mydomain
recipient_delimiter = +
relayhost = 
smtp_bind_address = XX.XX.XX.XX
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache
smtpd_banner = $myhostname ESMTP
smtpd_client_new_tls_session_rate_limit = 15
smtpd_data_restrictions = check_client_access hash:/etc/postfix/access,    warn_if_reject reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_enforce_tls = no
smtpd_helo_required = yes
smtpd_recipient_restrictions = reject_invalid_helo_hostname    reject_non_fqdn_recipient,    reject_non_fqdn_sender,    reject_unknown_recipient_domain,    reject_unknown_sender_domain,    permit_mynetworks,    permit_sasl_authenticated,    check_client_access cidr:/etc/postfix/spamhaus-drop.cidr,    check_sender_mx_access cidr:/etc/postfix/spamhaus-drop.cidr,    check_sender_ns_access cidr:/etc/postfix/spamhaus-drop.cidr,    check_helo_access pcre:/etc/postfix/helo_checks,    check_client_access hash:/etc/postfix/access,    check_sender_mx_access cidr:/etc/postfix/bogus_mx,    check_client_access hash:/etc/postfix/sa-whitelist,    check_sender_access hash:/etc/postfix/sa-blacklist,    warn_if_reject reject_unauthenticated_sender_login_mismatch,    reject_unauth_destination,    reject_multi_recipient_bounce,    reject_unlisted_recipient,    reject_invalid_hostname,    reject_non_fqdn_helo_hostname,    reject_rbl_client ix.dnsbl.manitu.net,    reject_rbl_client bl.spamcop.net,    reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2,    reject_rbl_client zen.spamhaus.org,    reject_rhsbl_sender dsn.rfc-ignorant.org
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = 
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_cert_file = /etc/ssl/mail.stepman.net.crt
smtpd_tls_key_file = /etc/ssl/mail.stepman.net.key
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtpd_use_tls = yes
strict_rfc821_envelopes = no
syslog_facility = local1
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual_aliases
virtual_gid_maps = static:115
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = hash:/etc/postfix/virtual_domains,                          hash:/etc/postfix/relay_domains
virtual_mailbox_maps = hash:/etc/postfix/virtual_mails,                       hash:/etc/postfix/relay_mails
virtual_transport = maildeliver
virtual_uid_maps = static:115

Gruß und Dank, Gerald
-- 
Gerald Erdmann   gerald at stepman.com

STEPMAN SOLUTIONS
+49 30 39731400  -401 (Fax)
Berlin - Germany - Earth




-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3765 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110516/3bdd3e29/attachment.p7s>

From gerald at stepman.com  Mon May 16 17:02:26 2011
From: gerald at stepman.com (Gerald Erdmann)
Date: Mon, 16 May 2011 17:02:26 +0200
Subject: [Postfixbuch-users] Mail an mehrere Mailboxen will nicht mehr
In-Reply-To: <8C08DD8E-E83C-4A36-999A-CB3884FB5F34@stepman.com>
References: <A354E84B-83C8-41CF-912E-E74BDE460085@stepman.com>
	<4DD137E2.1@fuerstenberg.ws>
	<8C08DD8E-E83C-4A36-999A-CB3884FB5F34@stepman.com>
Message-ID: <C82DF297-4332-4F38-AA95-D751DCECC43B@stepman.com>

Problem gefixt, die Zustellung in die Postfächer wird bei mir in einem anderen Logfile abgelegt, deshalb hab ich es in mail.info nicht gesehen ? sorry für die Störung. :-)

Gerald

Am 16.05.2011 um 16:50 schrieb Gerald Erdmann:

> Da steht keine Fehlermeldung drin, nur eben dass es nur an die eine Adresse zugestellt wird:

-- 
Gerald Erdmann   gerald at stepman.com

STEPMAN SOLUTIONS
+49 30 39731400  -401 (Fax)
Berlin - Germany - Earth




-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3765 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110516/cffe0b5f/attachment.p7s>

From jg at softjury.de  Mon May 16 17:03:18 2011
From: jg at softjury.de (Jan Phillip Greimann)
Date: Mon, 16 May 2011 17:03:18 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD139B9.4010401@aloah-from-hell.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DD0C66C.6030208@softjury.de>	<4DD0DC56.20103@aloah-from-hell.de>	<4DD0E487.5050409@softjury.de>	<4DD0E579.3050706@aloah-from-hell.de>	<4DD0EB9C.10509@softjury.de>
	<4DD139B9.4010401@aloah-from-hell.de>
Message-ID: <4DD13CB6.4060503@softjury.de>

Ja, scheint daran zu liegen, kann aber auch an deiner Umask liegen, 
oder? Bei mir liegt die Datei als root:root und hat folgende Berechtigungen:
   -rw-r--r-- 1 root root 5 May 16 08:30 /var/run/policyd-weight.pid

Vll. kann dein Policyd-weight nur nicht lesend drauf zu greifen.

MfG Jan



From werner at aloah-from-hell.de  Mon May 16 17:14:48 2011
From: werner at aloah-from-hell.de (Werner)
Date: Mon, 16 May 2011 17:14:48 +0200
Subject: [Postfixbuch-users] dolicyd-weight auf Debian Squeeze
In-Reply-To: <4DD13CB6.4060503@softjury.de>
References: <4DCD50DE.8040804@aloah-from-hell.de>	<4DD0C66C.6030208@softjury.de>	<4DD0DC56.20103@aloah-from-hell.de>	<4DD0E487.5050409@softjury.de>	<4DD0E579.3050706@aloah-from-hell.de>	<4DD0EB9C.10509@softjury.de>	<4DD139B9.4010401@aloah-from-hell.de>
	<4DD13CB6.4060503@softjury.de>
Message-ID: <4DD13F68.7050107@aloah-from-hell.de>

Am 16.05.11 17:03, schrieb Jan Phillip Greimann:
> Ja, scheint daran zu liegen, kann aber auch an deiner Umask liegen, oder? Bei mir liegt die Datei als root:root und hat folgende Berechtigungen:
>   -rw-r--r-- 1 root root 5 May 16 08:30 /var/run/policyd-weight.pid

die gleichen Rechte hatte ich vor den Modifikationen, jetzt tut's. Umask ist Standard 0022.


From ulrich.kautz at googlemail.com  Tue May 17 12:14:11 2011
From: ulrich.kautz at googlemail.com (Ulrich Kautz)
Date: Tue, 17 May 2011 12:14:11 +0200
Subject: [Postfixbuch-users] Anti SPAM policy server / content filter
Message-ID: <4DD24A73.4010602@googlemail.com>

Hallo allerseits

ich habe fuer unsere Firma einen eigen policy server bzw content filter implementiert. Das ganze heisst Decency, ist in Perl geschrieben (was sonst;)), open source und hat seit ein paar Tagen auch eine eigene Website (English). Vom Produktivbetrieb (fuer andere ausser mich) ist Decency noch ein paar Wochen entfernt. Derzeit schreibe ich die Tutorials, Dokumentation, baue Pakete und raeume auf.

Vielleicht interessiert das ja den ein oder anderen. In jedem Falle wuerde ich mich ueber Feedback freuen. Kur eine Zusammenfassung was das ganze soll (ausfuehrlich auf der Website, s.u.):
* Eine Loesung, die gleichermassen policy server und content filter vereint (big picture..)
* Relativ einfache Konfiguration (finde ich)
* Modulares, stabiles Design (erweiterbar von Dritten)
* Anbindung an existierende anti SPAM Loesungen (im content filter zB ClamAV, SpamAssassin, Bogofilter, etc)

Das Projekt ist hier zu finden:
  http://www.decency-antispam.org/ (wie gesagt, schreibe grade noch an Tutorials etc, ist also noch nicht alles online)
Quellcode ist auf Github (und CPAN, aber der ist out of date und wird bald erneuert):
  https://github.com/ukautz/decency

Gruss
Ulrich Kautz


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 262 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110517/b3c5e3ef/attachment.asc>

From Thomas.Best at freenet.de  Wed May 18 00:00:42 2011
From: Thomas.Best at freenet.de (Thomas Best)
Date: Wed, 18 May 2011 00:00:42 +0200
Subject: [Postfixbuch-users] kleine Frage zu Sieve
In-Reply-To: <op.vvc7r211s7f1bs@ws12>
References: <op.vvc7r211s7f1bs@ws12>
Message-ID: <op.vvnbfg2js7f1bs@ws12>

Hallo!

kennt sich keiner aus mit sieve?

Würde mich über eine Antwort sehr freuen :)

Grüße
Thomas


On Thu, 12 May 2011 13:05:52 +0200, Thomas Best <Thomas.Best at freenet.de>  
wrote:

> hallo,
>
> ich lasse mails gerne an alias-adressen schicken, mit der idee, diese  
> dann auch leicht in verschiedene orner sortieren zu lassen.
>
> allerdings, da es sich um verteiler-listen handelt, steht meine  
> alias-adresse nicht im To-Header, somit scheidet
>
>
> if allof (header :contains "to" "news-firmaax at example.net") {
>   fileinto "newsletter.firma-a"; }
>
> aus.
>
> Delivered-To  erhält die haupt-adresse der mailbox.
>
>
> Nur in einem einzigen Received-Eintrag findet sich die entsprechende  
> Alias-Adresse, nämlich in der ersten von meinem Postfix:
>
>
> Received: from mail.exmaple.net (----)
> 	(using TLSv1 with cipher RC4-SHA (128/128 bits))
> 	(No client certificate requested)
> 	by meinserver (Postfix) with ESMTPS id 8F2F03F3B4C6
> 	for <news-firmaax at example.net>; Thu, 12 May 2011 12:44:21 +0200 (CEST)
>
>
>
> Meine Frage: Wie kann ich nach news-firmaax at example.net filtern?
>
>
> Grüße, Thomas


From p.heinlein at heinlein-support.de  Wed May 18 07:06:34 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 18 May 2011 07:06:34 +0200
Subject: [Postfixbuch-users] kleine Frage zu Sieve
In-Reply-To: <op.vvnbfg2js7f1bs@ws12>
References: <op.vvc7r211s7f1bs@ws12> <op.vvnbfg2js7f1bs@ws12>
Message-ID: <201105180706.34819.p.heinlein@heinlein-support.de>

Am Mittwoch, 18. Mai 2011, 00:00:42 schrieb Thomas Best:

> > if allof (header :contains "to" "news-firmaax at example.net") {
> >   fileinto "newsletter.firma-a"; }

> > Received: from mail.exmaple.net (----)
> > 	(using TLSv1 with cipher RC4-SHA (128/128 bits))
> > 	(No client certificate requested)
> > 	by meinserver (Postfix) with ESMTPS id 8F2F03F3B4C6
> > 	for <news-firmaax at example.net>; Thu, 12 May 2011 12:44:21 +0200
> > 	(CEST)
> > 
> > Meine Frage: Wie kann ich nach news-firmaax at example.net filtern?

if anyof (header :contains "Received" "news-firmaax at example.net")
{
	fileinto "newsletter.firma-a";
}

Tut das nicht? Müßte eigentlich ganz normal gehen.

Peer



-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From c+postfixbuch at roessner-network-solutions.com  Wed May 18 09:43:05 2011
From: c+postfixbuch at roessner-network-solutions.com (Christian Roessner)
Date: Wed, 18 May 2011 09:43:05 +0200
Subject: [Postfixbuch-users] kleine Frage zu Sieve
In-Reply-To: <op.vvc7r211s7f1bs@ws12>
References: <op.vvc7r211s7f1bs@ws12>
Message-ID: <4DD37889.2020307@roessner-network-solutions.com>

Hi,

> Meine Frage: Wie kann ich nach news-firmaax at example.net filtern?

nur für den mini-mini-Fall, dass Du vielleicht rein zufällog einen
Webmailer - konkret Roundcube - einsetzt: für den gibt es ein wirklich
sehr gutes sieve-Plugin, mit dem ich mir aus reiner Bequemlichkeit immer
die Sieveregeln baue.

LG
Christian
-- 
Roessner-Network-Solutions
Bachelor of Science Informatik
50°34.725'N, 08°40.904'O, Nahrungsberg 81, 35390 Giessen
F: +49 641 5879091, M: +49 176 93118939
USt-IdNr.: DE225643613
http://www.roessner-network-solutions.com

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 554 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110518/f6d2b538/attachment.asc>

From hanns at hannsmattes.de  Mon May 23 15:35:27 2011
From: hanns at hannsmattes.de (Hanns Mattes)
Date: Mon, 23 May 2011 15:35:27 +0200
Subject: [Postfixbuch-users] Postscreen und mehrere IP-Adressen
Message-ID: <t7wei3py1y5.fsf@mail.bruecko.de>

Hi,

ich habe jetzt aus Neugier einmal postscreen kurz ausprobiert, geht gut.

Aber: In meinem eigentlichen Setup habe ich in der master.cf Einträge
nach unterschiedlichen IP-Adressen angelegt, also in der Art:

### Standard ###
213.239.197.36:smtp     inet  n       -       y       -       100     smtpd
                                                        -o smtpd_proxy_filter=localhost:10024
                                                        -o content_filter=
[...]

### Einlieferung eigene Nutzer
88.198.91.238:smtp     inet  n       -       y       -       100     smtpd
                                                        -o
                                                        smtpd_proxy_filter=localhost:10028
[...]

Wie kann ich nun postscreen einbinden? Irgendwie stehe ich auf dem
Schlauch.

Regards Hanns


From andreas.schulze at datev.de  Mon May 23 21:16:33 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Mon, 23 May 2011 21:16:33 +0200
Subject: [Postfixbuch-users] Postscreen und mehrere IP-Adressen
In-Reply-To: <t7wei3py1y5.fsf@mail.bruecko.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de>
Message-ID: <20110523191633.GA27848@spider.services.datevnet.de>

Am 23.05.2011 15:35 schrieb Hanns Mattes:
> Aber: In meinem eigentlichen Setup habe ich in der master.cf Einträge
> nach unterschiedlichen IP-Adressen angelegt, also in der Art:
> 
> Wie kann ich nun postscreen einbinden? Irgendwie stehe ich auf dem
> Schlauch.

Ich vermute, du willst postscreen auch nur für die IP aktivieren, die
bei Dir Standard heisst. Die eigenen User braucht man nicht mit postscreen
zu gängeln ...

geht bei mir so:

# MX auf IP1, Port 25
192.0.2.25:smtp                        inet  n - - -     1 postscreen
smtpd                                  pass  - - - -     - smtpd
  -o syslog_name=postfix/mx
  -o smtpd_foobar = buz

# Submission auf IP2, Port 587
192.0.3.35:587                         inet  n - - -     - smtpd
  -o syslog_name=postfix/submission
 

Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



From hanns at hannsmattes.de  Mon May 23 21:50:15 2011
From: hanns at hannsmattes.de (Hanns Mattes)
Date: Mon, 23 May 2011 21:50:15 +0200
Subject: [Postfixbuch-users] Postscreen und mehrere IP-Adressen
In-Reply-To: <20110523191633.GA27848@spider.services.datevnet.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de>
	<20110523191633.GA27848@spider.services.datevnet.de>
Message-ID: <4DDABA77.80108@hannsmattes.de>

Hei, Andreas,

Am 23.05.2011 21:16, schrieb Andreas Schulze:
> [...]
> Ich vermute, du willst postscreen auch nur für die IP aktivieren, die
> bei Dir Standard heisst. 

Yep, so ist es.

> Die eigenen User braucht man nicht mit postscreen
> zu gängeln ...

... führe mich nicht in Versuchung ... :-)

> geht bei mir so:
> 
> # MX auf IP1, Port 25
> 192.0.2.25:smtp                        inet  n - - -     1 postscreen
> smtpd                                  pass  - - - -     - smtpd
>   -o syslog_name=postfix/mx
>   -o smtpd_foobar = buz
> 
> # Submission auf IP2, Port 587
> 192.0.3.35:587                         inet  n - - -     - smtpd
>   -o syslog_name=postfix/submission

Damit renne ich in den Fehler "postfix/postscreen[21182]: warning:
cannot connect to service private/smtpd: Connection refused". Hatten wir
schon 'mal auf der Liste, aber irgendwie finde ich die Lösung nicht.

Dankende Grüße

Hanns


From jk at jkart.de  Mon May 23 22:01:36 2011
From: jk at jkart.de (Jim Knuth)
Date: Mon, 23 May 2011 22:01:36 +0200
Subject: [Postfixbuch-users] Postscreen und mehrere IP-Adressen
In-Reply-To: <4DDABA77.80108@hannsmattes.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de>	<20110523191633.GA27848@spider.services.datevnet.de>
	<4DDABA77.80108@hannsmattes.de>
Message-ID: <4DDABD20.8030403@jkart.de>

am 23.05.11 21:50 schrieb Hanns Mattes <hanns at hannsmattes.de>:

> Hei, Andreas,
>
> Am 23.05.2011 21:16, schrieb Andreas Schulze:
>> [...]
>> Ich vermute, du willst postscreen auch nur für die IP aktivieren, die
>> bei Dir Standard heisst.
>
> Yep, so ist es.
>
>> Die eigenen User braucht man nicht mit postscreen
>> zu gängeln ...
>
> ... führe mich nicht in Versuchung ... :-)
>
>> geht bei mir so:
>>
>> # MX auf IP1, Port 25
>> 192.0.2.25:smtp                        inet  n - - -     1 postscreen
>> smtpd                                  pass  - - - -     - smtpd
>>    -o syslog_name=postfix/mx
>>    -o smtpd_foobar = buz
>>
>> # Submission auf IP2, Port 587
>> 192.0.3.35:587                         inet  n - - -     - smtpd
>>    -o syslog_name=postfix/submission
>
> Damit renne ich in den Fehler "postfix/postscreen[21182]: warning:
> cannot connect to service private/smtpd: Connection refused". Hatten wir
> schon 'mal auf der Liste, aber irgendwie finde ich die Lösung nicht.
>
> Dankende Grüße
>
> Hanns

ja, war bei mir. ;) Hatte mit chroot zu tun. Ergo:
3. Option auf n setzen.

-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------

If you're going through hell, keep going! (Churchill)


From hanns at hannsmattes.de  Tue May 24 00:00:12 2011
From: hanns at hannsmattes.de (Hanns Mattes)
Date: Tue, 24 May 2011 00:00:12 +0200
Subject: [Postfixbuch-users] Postscreen und mehrere IP-Adressen
In-Reply-To: <4DDABD20.8030403@jkart.de> (Jim Knuth's message of "Mon, 23 May
	2011 22:01:36 +0200")
References: <t7wei3py1y5.fsf@mail.bruecko.de>
	<20110523191633.GA27848@spider.services.datevnet.de>
	<4DDABA77.80108@hannsmattes.de> <4DDABD20.8030403@jkart.de>
Message-ID: <87r57pw00j.fsf@hannsmattes.de>

Jim Knuth <jk at jkart.de> schrieb:

>am 23.05.11 21:50 schrieb Hanns Mattes <hanns at hannsmattes.de>:
>
>> Damit renne ich in den Fehler "postfix/postscreen[21182]: warning:
>> cannot connect to service private/smtpd: Connection refused". Hatten wir
>> schon 'mal auf der Liste, aber irgendwie finde ich die Lösung nicht.
>
>ja, war bei mir. ;) Hatte mit chroot zu tun. Ergo:
>3. Option auf n setzen.

Das war's wohl nicht. Anbei eine Test-master.cf, mit der es nicht
geht. Sieht einer etwas, was ich mittlerweile nicht mehr sehe und sind
weitere Konfigurations-Infos nötig?

#
# Postfix master process configuration file.  For details on the format
# of the file, see the Postfix master(5) manual page.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
### Standard ###
213.239.197.36:smtp      inet  n       -       n       -       1       postscreen

213.239.197.36:smtpd     pass  -       -       n       -       -       smtpd
 							-o smtpd_proxy_filter=localhost:10024
 							-o content_filter=

dnsblog   		 unix  -       -       n       -       0       dnsblog
tlsproxy  		 unix  -       -       n       -       0       tlsproxy

# ### Einlieferung eigene Nutzer
88.198.91.238:smtp      inet  n       -       n       -       100     smtpd  
							-o smtpd_proxy_filter=localhost:10028
							-o smtpd_etrn_restrictions=reject
							-o smtpd_client_restrictions=permit_sasl_authenticated,reject
							-o smtpd_sasl_auth_enable=yes 
							-o content_filter=
88.198.91.238:smtps    inet  n       -       n       -       100       smtpd  
							-o smtpd_etrn_restrictions=reject
							-o smtpd_client_restrictions=permit_sasl_authenticated,reject
							-o smtpd_tls_wrappermode=yes 
							-o smtpd_proxy_filter=localhost:10028
							-o smtpd_sasl_auth_enable=yes
							-o content_filter=
88.198.91.238:submission   inet    n       -       n       -      50  smtpd 
							-o smtpd_etrn_restrictions=reject
							-o smtpd_client_restrictions=permit_sasl_authenticated,reject
							-o smtpd_sasl_auth_enable=yes 
							-o smtpd_proxy_filter=localhost:10028
							-o content_filter=


#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       y       60      1       pickup
#	  -o content_filter=smtp:[localhost]:10028
cleanup   unix  n       -       y       -       0       cleanup
qmgr      fifo  n       -       y       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       y       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
	-o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       y       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
localhost:10025 inet	n	-	y	-	-	smtpd
							-o content_filter=
							-o smtpd_proxy_filter=
							-o smtpd_authorized_xforward_hosts=127.0.0.0/8
							-o smtpd_client_restrictions=
							-o smtpd_helo_restrictions=
							-o smtpd_sender_restrictions=
							-o smtpd_recipient_restrictions=permit_mynetworks,reject
							-o smtpd_data_restrictions=
							-o mynetworks=127.0.0.0/8
							-o receive_override_options=no_unknown_recipient_checks
scache	  unix	-	-	n	-	1	scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -w 90 -d ${recipient}
cyrus	  unix	-	n	n	-	-	pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp	  unix	-	n	n	-	-	pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}
retry     unix  -       -       n       -       -       error
# gnarwl autoresponder
# gnarwl    unix  -       n       n       -       -       pipe
# flags=F  user=gnarwl argv=/usr/local/bin/gnarwl -a ${user}@${nexthop} -s ${sender}
gnarwl    unix  -       n       n       -       -       pipe
  flags=F  user=gnarwl argv=/usr/bin/gnarwl -a $(user) -s $sender 
# dovecot  unix  -       n       n       -       10       pipe
#   flags=DDRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}
dovecot  unix  -       n       n       -       10       pipe
  flags=DDRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${user}@${domain} -n -m ${extension}
proxywrite unix -       -       n       -       1       proxymap


Ratlose Grüße

Hanns

-- 
A: Weil es die Lesbarkeit des Textes verschlechtert.
F: Warum ist TOFU so schlimm?
A: TOFU
F: Was ist das groesste Aergernis im Usenet?


From postfix at polnik.de  Tue May 24 09:48:52 2011
From: postfix at polnik.de (thomas polnik)
Date: Tue, 24 May 2011 09:48:52 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in der
 master.cf statt postmulti (was: Postscreen und mehrere IP-Adressen)
In-Reply-To: <t7wei3py1y5.fsf@mail.bruecko.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de>
Message-ID: <4DDB62E4.5000902@polnik.de>

Hallo,

ich lese auf der Liste eher nur mit, zu der eigentlichen Frage kann ich 
nicht viel sagen.

> ### Standard ###
> 213.239.197.36:smtp     inet  n       -       y       -       100     smtpd
>                                                          -o smtpd_proxy_filter=localhost:10024
>                                                          -o content_filter=
> [...]
>
> ### Einlieferung eigene Nutzer
> 88.198.91.238:smtp     inet  n       -       y       -       100     smtpd
>                                                          -o
>                                                          smtpd_proxy_filter=localhost:10028


Ich frage mich immer - wenn ich solche Konfigurationen sehe -, warum in 
der master.cf immer noch soetwas definiert wird, seitdem es postmulti 
[1] gibt.
Wenn es Probleme in einer solchen postmulti-Instanz gibt, berührt es die 
anderen Instanzen nicht, die laufen problemlos weiter. Jede Instanz hat 
ihre eigene master/main.cf.  Ralf Hildebrandt, Patrick Koetter hatten in 
[2] mal einen sehr guten Artikel dazu geschrieben.

Ist dieses Feature von postfix einfach nur nicht bekannt genug, oder 
gibt es Vorteile, alles in einer Instanz mit beliebig vielen IP-Adressen 
zu machen?

Viele Grüße,
thomas p.


[1] http://www.postfix.org/postmulti.1.html
[2] http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/09/Ueberholspuren/


From p at state-of-mind.de  Tue May 24 10:02:52 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Tue, 24 May 2011 10:02:52 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in der
 master.cf statt postmulti (was: Postscreen und mehrere IP-Adressen)
In-Reply-To: <4DDB62E4.5000902@polnik.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de>
 <4DDB62E4.5000902@polnik.de>
Message-ID: <20110524080252.GK4448@state-of-mind.de>

* thomas polnik <postfixbuch-users at listen.jpberlin.de>:
> Ich frage mich immer - wenn ich solche Konfigurationen sehe -, warum
> in der master.cf immer noch soetwas definiert wird, seitdem es
> postmulti [1] gibt.
> Wenn es Probleme in einer solchen postmulti-Instanz gibt, berührt es
> die anderen Instanzen nicht, die laufen problemlos weiter. Jede
> Instanz hat ihre eigene master/main.cf.  Ralf Hildebrandt, Patrick
> Koetter hatten in [2] mal einen sehr guten Artikel dazu geschrieben.

Dankeschön. :)

> Ist dieses Feature von postfix einfach nur nicht bekannt genug, oder
> gibt es Vorteile, alles in einer Instanz mit beliebig vielen
> IP-Adressen zu machen?

Ich denke in der Regel ist es Gewohnheit. amavis kann man auch längst anders
konfigurieren, als das gemeinhin auf den MLs gezeigt wird.

Wann das eine oder das andere? Es gibt Features, die sind global aktiv. Wenn
Du die aber individuell gestalten willst, dann geht das nur mit multiple
instance. Diese Flexibilität erkaufst Du Dir mit Komplexität (und das postfix
Start Skript unter Debian ist br0ken, aber der Maintainer will das nicht
wahrnehmen...).

p at rick

> Viele Grüße,
> thomas p.
> 
> 
> [1] http://www.postfix.org/postmulti.1.html
> [2] http://www.linux-magazin.de/Heft-Abo/Ausgaben/2009/09/Ueberholspuren/
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



From p.heinlein at heinlein-support.de  Tue May 24 10:06:54 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 24 May 2011 10:06:54 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in der
	master.cf statt postmulti (was: Postscreen und mehrere IP-Adressen)
In-Reply-To: <4DDB62E4.5000902@polnik.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de> <4DDB62E4.5000902@polnik.de>
Message-ID: <201105241006.54493.p.heinlein@heinlein-support.de>

Am Dienstag, 24. Mai 2011, 09:48:52 schrieb thomas polnik:


> Ist dieses Feature von postfix einfach nur nicht bekannt genug, oder
> gibt es Vorteile, alles in einer Instanz mit beliebig vielen IP-Adressen
> zu machen?

Nun, mehrfache Instanzen gibt's ja quasi schon immer, das geht ja auch alles 
ohne postmulti und ist insofern ja nichts neues.

Ich mag Multi-Instanzen nicht, bzw. vermeide sie nach Möglichkeit, da diese 
dann auch entsprechend aufwändiger zu pflegen und zu monitoren sind. Es ist 
dann eben nicht eine Queue sondern es sind <n> Queues zu verwalten.  Es gibt 
dann nicht ein Config-Verzeichnis, sondern viele. Und und und. Das macht es 
eben auch komplexer und unübersichtlicher -- und damit auch 
fehleranfälliger, inbs. wenn damit auch Leute arbeiten, die nicht täglich 
dran sind und das alles durchschauen.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From p.heinlein at heinlein-support.de  Tue May 24 10:08:11 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 24 May 2011 10:08:11 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in der
	master.cf statt postmulti (was: Postscreen und mehrere IP-Adressen)
In-Reply-To: <20110524080252.GK4448@state-of-mind.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de> <4DDB62E4.5000902@polnik.de>
	<20110524080252.GK4448@state-of-mind.de>
Message-ID: <201105241008.12237.p.heinlein@heinlein-support.de>

Am Dienstag, 24. Mai 2011, 10:02:52 schrieb Patrick Ben Koetter:

> (und das postfix Start Skript unter Debian ist br0ken, aber der
> Maintainer will das nicht wahrnehmen...).

s/postfix/dovecot/

Seufz.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From andreas.schulze at datev.de  Tue May 24 11:21:04 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 24 May 2011 11:21:04 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in
	der	master.cf statt postmulti (was: Postscreen und mehrere
	IP-Adressen)
In-Reply-To: <201105241006.54493.p.heinlein@heinlein-support.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de> <4DDB62E4.5000902@polnik.de>
	<201105241006.54493.p.heinlein@heinlein-support.de>
Message-ID: <20110524092104.GA16401@spider.services.datevnet.de>

Am 24.05.2011 10:06 schrieb Peer Heinlein:
> Ich mag Multi-Instanzen nicht, bzw. vermeide sie nach Möglichkeit, da diese 
> dann auch entsprechend aufwändiger zu pflegen und zu monitoren sind. Es ist 
> dann eben nicht eine Queue sondern es sind <n> Queues zu verwalten.  Es gibt 
> dann nicht ein Config-Verzeichnis, sondern viele. Und und und. Das macht es 
> eben auch komplexer und unübersichtlicher -- und damit auch 
> fehleranfälliger, inbs. wenn damit auch Leute arbeiten, die nicht täglich 
> dran sind und das alles durchschauen.
Da muß ich Peer wiedermal zustimmen.

In Zeiten der Virtualisierung gönne ich mir lieber für jede Instanz eine eigene VM...
Das ist zwar auch Mehraufwand, aber dieser ist für viele Adminkollegen bei und kein "Neuland".
Ich würde meinen Kollegen keine so komplexe Kiste ins Netz bauen, bei der nur ich den Überblick
habe. Da tue ich mir selbst keinen Gefallen.

Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



From hanns at hannsmattes.de  Tue May 24 11:42:28 2011
From: hanns at hannsmattes.de (Hanns Mattes)
Date: Tue, 24 May 2011 11:42:28 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in
 der	master.cf statt postmulti
In-Reply-To: <201105241006.54493.p.heinlein@heinlein-support.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de> <4DDB62E4.5000902@polnik.de>
	<201105241006.54493.p.heinlein@heinlein-support.de>
Message-ID: <4DDB7D84.50306@hannsmattes.de>

Am 24.05.2011 10:06, schrieb Peer Heinlein:
> [postmulti]
> Ich mag Multi-Instanzen nicht, bzw. vermeide sie nach Möglichkeit, da diese 
> dann auch entsprechend aufwändiger zu pflegen und zu monitoren sind. Es ist 
> dann eben nicht eine Queue sondern es sind <n> Queues zu verwalten.  Es gibt 
> dann nicht ein Config-Verzeichnis, sondern viele. Und und und. Das macht es 
> eben auch komplexer und unübersichtlicher -- und damit auch 
> fehleranfälliger, inbs. wenn damit auch Leute arbeiten, die nicht täglich 
> dran sind und das alles durchschauen.

Das trifft ziemlich genau auf mich zu: Ich kümmere mich um genau einen
Mailserver, und Postfix verrichtet auf ihm seit Jahren so zuverlässig
seine Arbeit, dass ich mich eigentlich kaum noch damit befassen muss.
Entsprechend erlahmt die Detailkenntnis.

Durch EINE Konfiguration blicke ich dann noch halbwegs durch, bei
mehreren wird's schwer. Und eigentlich finde ich die Aufteilung auf
mehrere IP-Adressen in der master.cf ganz übersichtlich (auch wenn
postscreen nicht so will wie ich, aber für mich ist postscreen erst
einmal nur ein nice to have).

Grüße Hanns


From postfix at polnik.de  Tue May 24 11:58:44 2011
From: postfix at polnik.de (thomas polnik)
Date: Tue, 24 May 2011 11:58:44 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in der
 master.cf statt postmulti
In-Reply-To: <20110524080252.GK4448@state-of-mind.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de> <4DDB62E4.5000902@polnik.de>
	<20110524080252.GK4448@state-of-mind.de>
Message-ID: <4DDB8154.6090607@polnik.de>

Am 24.05.2011 10:02, schrieb Patrick Ben Koetter:

> Wann das eine oder das andere? Es gibt Features, die sind global aktiv. Wenn
> Du die aber individuell gestalten willst, dann geht das nur mit multiple
> instance. Diese Flexibilität erkaufst Du Dir mit Komplexität (und das postfix
> Start Skript unter Debian ist br0ken, aber der Maintainer will das nicht
> wahrnehmen...).
>

nun gut, ich verwende gentoo - was ganz gewiß auch so seine Macken hat - 
da bin ich es gewöhnt, Initskripte u.ä. anzupassen, damit es so 
funktioniert, wie es soll, besonders wenn man auf ebuilds aus 
Overlayzweigen angewiesen ist.

So komplex empfinde ich postmulti nicht. Ich habe hier 4 Instanzen zu 
laufen, Euer Artikel im Linux Magazin hat mir den Einstieg sehr leicht 
gemacht.

Daß jede Instanz seine eigene Queue hat, empfinde ich eher als Segen, da 
Massenmails über eine andere Queue laufen als z.B. die Passwortresetmails.
Eine Passwortresetmail will ein Kunde "sofort" erhalten, ob nun der 
Newsletter "sofort" oder erst in drei Stunden beim Kunden ankommt, ist 
herzlich egal. Wenn allerdings bei Verwendung einer Queue noch einige 
tausend Newslettermails vor der Passwortresetmail  auf Bearbeitung 
warten ...

Für mich ist es weiterhin sehr hilfreich - da ich nun auch nicht jeden 
Tag an der Konfiguration rumschraube - daß, wenn ich durch einen Fehler 
eine Instanz an den Baum fahre, nicht das ganze Mailsystem zum Erliegen 
kommt, was der Fall wäre, wenn das alles über eine Instanz liefe. Die 
anderen Instanzen laufen einfach weiter.

Einen weiteren Vorteil sehe ich _für mich_ darin, daß ich mir weniger 
Gedanken um die Abhängigkeiten verschiedener Anforderungen machen muß.
Der Eingangsserverinstanz (=MXer) hat andere Anforderungen, als die 
Instanz, die für den Versand der Mails der MA verantwortlich ist. Die 
Instanz für Massenmails hat andere Anforderungen, als die Instanz, die 
normale Mails der Plattform verschickt.

Mit pacemaker und drbd bekommt man zudem eine Lastverteilung und HA 
reicht einfach hin, ich wüßte nicht, wie man das ohne postmulti 
erledigen könnte.

Es ist also eher eine Sache der Vorlieben, ob man nun alles in eine 
Instanz packt oder über postmulti verschiedene Instanzen verwaltet.

Viele Grüße,
thomas p.


From postfix at polnik.de  Tue May 24 12:22:16 2011
From: postfix at polnik.de (thomas polnik)
Date: Tue, 24 May 2011 12:22:16 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen in
 der	master.cf statt postmulti
In-Reply-To: <201105241006.54493.p.heinlein@heinlein-support.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de> <4DDB62E4.5000902@polnik.de>
	<201105241006.54493.p.heinlein@heinlein-support.de>
Message-ID: <4DDB86D8.3030209@polnik.de>

Am 24.05.2011 10:06, schrieb Peer Heinlein:

> Nun, mehrfache Instanzen gibt's ja quasi schon immer, das geht ja auch alles
> ohne postmulti und ist insofern ja nichts neues.

postmulti vereinfacht _aus meiner Sicht _ nur das Handling, indem es die 
verschiedenen Instanzen voneinander abschottet.

> Ich mag Multi-Instanzen nicht, bzw. vermeide sie nach Möglichkeit, da diese
> dann auch entsprechend aufwändiger zu pflegen und zu monitoren sind. Es ist
> dann eben nicht eine Queue sondern es sind<n>  Queues zu verwalten.  Es gibt
> dann nicht ein Config-Verzeichnis, sondern viele. Und und und. Das macht es
> eben auch komplexer und unübersichtlicher -- und damit auch
> fehleranfälliger, inbs. wenn damit auch Leute arbeiten, die nicht täglich
> dran sind und das alles durchschauen.

Gerade letzterem Argument kann ich aus meiner Erfahrung nicht folgen.

Alles in einer Instanz, Fehler in der Konfiguration => Das gesamte 
Mailsystem steigt aus.

Verteilung auf verschiedene Instanzen, Fehler in einer 
Instanzkonfiguration => nur die eine Instanz steigt aus, der Rest läuft 
weiter. Das sorgt für deutlich weniger Stress bei der Fehlerbehebung. 
Wenn man natürlich die Masterinstanz an die Wand fährt, dann wird's 
recht schnell stressig.

Überwachung:
In Zeiten von nagios und Co ist es aus meiner Sicht egal, wieviele 
Instanzen man nun überwachen muß.

Es ist einfach eine Sache der Dokumentation, ob Kollegen, die bei einer 
Urlaubsvertretung am Mailsystem etwas ändern möchten/müssen, im 
Konfigurationssumpf untergehen oder nicht.
Egal, welchen Unterbau man nun hat, ohne eine gute Dokumentation ist die 
Urlaubsvertretung u.U. so oder so aufgeschmissen.

Soviel komplexer wird es auch nicht, da ich dafür sehr viel 
übersichtlichere Konfigurationsdateien bekomme, die nicht u.U. 
"irgendwie" gegensätzliche Anforderungen unter einen Hut bringen müssen.

btw:
Es ist einfach schön zu sehen, daß postfix nicht nur einen Weg anbietet, 
eine Aufgabe zu lösen, sondern sich jeder den für ihn besten Weg 
raussuchen kann.


Viele Grüße,
thomas p.


From postfix at polnik.de  Tue May 24 12:57:40 2011
From: postfix at polnik.de (thomas polnik)
Date: Tue, 24 May 2011 12:57:40 +0200
Subject: [Postfixbuch-users] OT: warum viele IP-Adressen
 in	der	master.cf statt postmulti
In-Reply-To: <20110524092104.GA16401@spider.services.datevnet.de>
References: <t7wei3py1y5.fsf@mail.bruecko.de>
	<4DDB62E4.5000902@polnik.de>	<201105241006.54493.p.heinlein@heinlein-support.de>
	<20110524092104.GA16401@spider.services.datevnet.de>
Message-ID: <4DDB8F24.8040306@polnik.de>

Am 24.05.2011 11:21, schrieb Andreas Schulze:

> In Zeiten der Virtualisierung gönne ich mir lieber für jede Instanz eine eigene VM...
> Das ist zwar auch Mehraufwand, aber dieser ist für viele Adminkollegen bei und kein "Neuland".
> Ich würde meinen Kollegen keine so komplexe Kiste ins Netz bauen, bei der nur ich den Überblick
> habe. Da tue ich mir selbst keinen Gefallen.

Ich will auf gar keinen Fall irgend jemanden von postmulti überzeugen - 
aber hast Du Dir postmulti schon mal angesehen?
Der zusätzliche Lernaufwand beschränkt sich auf "man postmulti" und das 
Durchlesen des eingangs erwähnten Artikels aus dem Linux Magazin. Da 
sind Restriktionsklassen und all das ganze Zeugs deutlich 
lernintensiver. :-)

mailq vs. postmulti -i <instanz> -x mailq
postconf vs. postmulti -i <instanz> -x postconf
postfix reload vs postmulti -i <instanz> -x postfix reload
u.s.w.

... und wie schon an anderer Stelle geschrieben: Welchen Weg man auch 
wählt, ohne gute Doku sind die Kollegen so oder so aufgeschmissen, wenn 
der zuständige Admin im Urlaub ist.

Viele Grüße,
thomas p.


From postfix-liste-de at srs-sys.de  Tue May 24 16:43:32 2011
From: postfix-liste-de at srs-sys.de (Danny Richter)
Date: Tue, 24 May 2011 16:43:32 +0200
Subject: [Postfixbuch-users] Postscreen und mehrere IP-Adressen
References: <t7wei3py1y5.fsf@mail.bruecko.de><20110523191633.GA27848@spider.services.datevnet.de><4DDABA77.80108@hannsmattes.de>
	<4DDABD20.8030403@jkart.de> <87r57pw00j.fsf@hannsmattes.de>
Message-ID: <934503EADFA02D4D8E4D2149FC8F38A232C46B@mainserver2.srs-sys.local>

Hallo Hanns,

versuche mal:

213.239.197.36:smtp      inet  n       -       n       -       1       postscreen
		-o smtpd_service_name=213.239.197.36:smtpd
		-o postscreen_cache_map=btree:${data_directory}/ps_cache-213.239.197.36	(falls du mehrere postscreen-Instanzen einsetzen willst)

213.239.197.36:smtpd     pass  -       -       n       -       -       smtpd
 		-o smtpd_proxy_filter=localhost:10024
 		-o content_filter=



Viele Grüße

Danny


From willi.fehler at t-online.de  Fri May 27 20:12:35 2011
From: willi.fehler at t-online.de (Willi Fehler)
Date: Fri, 27 May 2011 20:12:35 +0200
Subject: [Postfixbuch-users] Fragen zur E-Mailarchivierung
Message-ID: <4DDFE993.1000609@t-online.de>

Hallo liebe Liste, Hallo Peer,

ich habe für einen Kunden einen SMTP/POP/IMAP-Server aus Postfix, 
Dovecot, MySQL, Postfixadmin aufgesetzt und soweit läuft das System. Da 
ich mich längere Zeit beruflich nicht mit Mailservern auseinandergesetzt 
habe möchte ich mir einen aktuellen Status in Sachen E-Mailarchivierung 
holen. Da wir selber Managed Hosting Lösungen anbieten und seit längerer 
Zeit jetzt auch ein Kundenprojekt mit einem Mailserver planen und das 
System gerade in der Testphase ist habe ich folgende Fragen:

1. Sind wir als Provider verpflichtet dem Kunden eine 
E-Mailarchivierungslösung anzubieten oder
reicht es den Kunden darauf hinzuweisen?
2. Welche OpenSource Lösungen gibt und welche habt Ihr im Einsatz?
3. Wie landen die E-Mails in der E-Mailarchivierungssoftware? (z.B. 
always BCC im Postfix?)

Zu den technischen Daten:

1 Server
OS: Debian 6.0.1 i386
Postfix
MySQL
SpamAssassin/Amavis
Postgrey
Dovecot(IMAP/POP)
Postfixadmin

Ich hoffe mir kann jemand bei meinen Fragen helfen und mir eine gute 
OpenSource Lösung empfehlen welche rechtssicher ist.

@Peer: ist schon ein neues Postfixbuch mit den Themen E-Mailarchivierung 
geplant oder würde das Thema den Rahmen des Buches sprengen?

Lieben Gruß,
Willi


From klaus at tachtler.net  Fri May 27 20:35:20 2011
From: klaus at tachtler.net (Klaus Tachtler)
Date: Fri, 27 May 2011 20:35:20 +0200
Subject: [Postfixbuch-users] Fragen zur E-Mailarchivierung
In-Reply-To: <4DDFE993.1000609@t-online.de>
References: <4DDFE993.1000609@t-online.de>
Message-ID: <20110527203520.53576avdrkn4quww@buero.tachtler.net>

Hallo Liste,
hallo Willi,

> 2. Welche OpenSource Lösungen gibt und welche habt Ihr im Einsatz?

Schau mal hier, http://www.openbenno.org

Grüße
Klaus.

--

------------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------------



From p.heinlein at heinlein-support.de  Sat May 28 07:55:57 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Sat, 28 May 2011 07:55:57 +0200
Subject: [Postfixbuch-users] Fragen zur E-Mailarchivierung
In-Reply-To: <4DDFE993.1000609@t-online.de>
References: <4DDFE993.1000609@t-online.de>
Message-ID: <201105280755.58370.p.heinlein@heinlein-support.de>

Am Freitag, 27. Mai 2011, 20:12:35 schrieb Willi Fehler:



Moin,


> 1. Sind wir als Provider verpflichtet dem Kunden eine
> E-Mailarchivierungslösung anzubieten oder
> reicht es den Kunden darauf hinzuweisen?

Weder noch. Du mußt es nicht anbieten und du mußt ihn auch nicht darauf 
hinweisen (wieso solltes Du dazu auch verpflichtet sein?).

Sprich: Dir kann das egal sein. Das muß dein Kunde wissen.

> 2. Welche OpenSource Lösungen gibt und welche habt Ihr im Einsatz?

Wir haben natürlich unsere Lösung im Einsatz 
http://www.heinlein-support.de/mail-archiv

Ansonsten kenne ich jedoch keine einsetzbare OpenSource-Lösung.

> 3. Wie landen die E-Mails in der E-Mailarchivierungssoftware? (z.B.
> always BCC im Postfix?)

Wir unterstützen sowas wie always-BCC und daß das Archiv als SMTP-Relay 
in die Mitte reingehängt wird.

Aus Gründen der Rechtssicherheit empfehle ich die Variante als SMTP-
Relay und Rate von den BCC-Varianten ab.
 
> Ich hoffe mir kann jemand bei meinen Fragen helfen und mir eine gute
> OpenSource Lösung empfehlen welche rechtssicher ist.

Es gibt -- ganz ehrlich -- meines Erachtens nach KEINE rechtssichere 
OpenSource-Lösung. Was es da gibt es m.E.n. rechtlich unzureichend weil 
nicht wirklich revisionssicher.

> @Peer: ist schon ein neues Postfixbuch mit den Themen
> E-Mailarchivierung geplant oder würde das Thema den Rahmen des
> Buches sprengen?

Es wird da sicherlich mit reinkommen, eine neue Buchversion ist geplant, 
aber noch ohne Termin. Aber für eine vollständige Beandlung dort würde 
es in der Tat den Rahmen sprengen.

Aber um das ganze Thema inhaltlich anzugehen empfehle ich

http://www.heinlein-support.de/vortrag/die-pflicht-zur-
revisionssicheren-e-mailarchivierung

mit dem dortigen Vortrags-PDF.


Peer
-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From matthiasebner at yahoo.de  Sat May 28 15:26:48 2011
From: matthiasebner at yahoo.de (Matthias Ebner)
Date: Sat, 28 May 2011 15:26:48 +0200
Subject: [Postfixbuch-users] Fragen zur E-Mailarchivierung
In-Reply-To: <4DDFE993.1000609@t-online.de>
Message-ID: <005601cc1d3a$e6afeea0$0601a8c0@emnpc2>

Willi Fehler schrieb am Freitag, den 27. Mai 2011:

> Da ich mich längere Zeit beruflich nicht mit Mailservern 
> auseinandergesetzt habe möchte ich mir einen aktuellen Status 
> in Sachen E-Mailarchivierung holen.

In der aktuellen iX 06/2011 gibt's auch was zu dem Thema:
http://www.heise.de/ix/inhalt.html

"...E-Mail gesetzeskonform archivieren
Wie andere Geschäfts-korrespondenz müssen E-Mails mindestens sechs Jahre
lang aufbewahrt werden. Mit Archivierungssystemen lässt sich diese Aufgabe
gesetzestreu und mit wenig manuellem Aufwand erledigen.."


Evtl. ist ja was hilfreiches dabei.


LG
matthias



From willi.fehler at t-online.de  Sun May 29 15:11:41 2011
From: willi.fehler at t-online.de (Willi Fehler)
Date: Sun, 29 May 2011 15:11:41 +0200
Subject: [Postfixbuch-users] Fragen zur E-Mailarchivierung
In-Reply-To: <20110527203520.53576avdrkn4quww@buero.tachtler.net>
References: <4DDFE993.1000609@t-online.de>
	<20110527203520.53576avdrkn4quww@buero.tachtler.net>
Message-ID: <4DE2460D.1080000@t-online.de>

Am 27.05.2011 20:35, schrieb Klaus Tachtler:
> Hallo Liste,
> hallo Willi,
>
>> 2. Welche OpenSource Lösungen gibt und welche habt Ihr im Einsatz?
>
> Schau mal hier, http://www.openbenno.org
>
> Grüße
> Klaus.
>
> -- 
>
> ------------------------------------------------
> e-Mail  : klaus at tachtler.net
> Homepage: http://www.tachtler.net
> DokuWiki: http://www.dokuwiki.tachtler.net
> ------------------------------------------------
>
Hi Klaus,

ich habe Openbenno testweise in einer VM installiert und das Produkt 
macht bisher einen ganz guten Eindruck. Wie sichert Ihr das 
E-Mailarchive , hat die Software eine Dumpfunktion oder reicht es das 
Verzeichnis zu sichern und beim Restore einfach in das Verzeichnis 
zurückzukopieren und dann die Indexgenerierung anzuschubsen? Ich würde 
dem Kunden dann anbieten einen Backup Share zu bestellen, worauf wir das 
E-Mailarchive sichern können.

Lieben Gruß,
Willi


From atann at alphasrv.net  Mon May 30 23:28:52 2011
From: atann at alphasrv.net (Andre Tann)
Date: Mon, 30 May 2011 23:28:52 +0200
Subject: [Postfixbuch-users] OT: Dovecot Sieve filtert nicht
Message-ID: <201105302328.52551@inter.netz>

Servus zusammen,

etwas OT, aber ich hoffe nicht zuviel: 

Auf einem Server mit postfix/dovecot möchte ich Sieve zum Laufen
bringen. Alles geht, nur filtert Dovecot trotzdem nicht.


LDA ist der von Dovecot:

# postconf mailbox_command
mailbox_command = /usr/lib/dovecot/deliver


Im Dovecot ist Sieve aktiviert:

[...]
protocols = imap imaps managesieve
protocol managesieve {
	listen = *:2000
	}
protocol imap {
	mail_plugin_dir = /usr/lib/dovecot/modules/imap
	# Hier liegt das Sieve-Plugin drin.
}
protocol managesieve {
}
[...]


Mit einem Sieve-Client wie Kmail kann ich ein Sieve-Skript erstellen und
hochladen. Ist es fehlerhaft, dann weist der Server es zurück. Es
entsteht auch brav eine Datei ~/.dovecot.sieve ->
Maildir/sieve/filter.sieve.

# cat Maildir/sieve/filter.sieve 
require ["fileinto"];
# rule:[filter]
if anyof (true)
{
        fileinto "Test";
}


Allein - Dovecot filtert nicht. Alles landet in der Inbox. Wieso?

-- 
Andre Tann



From p.heinlein at heinlein-support.de  Mon May 30 23:49:14 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 30 May 2011 23:49:14 +0200
Subject: [Postfixbuch-users] OT: Dovecot Sieve filtert nicht
In-Reply-To: <201105302328.52551@inter.netz>
References: <201105302328.52551@inter.netz>
Message-ID: <201105302349.14280.p.heinlein@heinlein-support.de>

Am Montag, 30. Mai 2011, 23:28:52 schrieb Andre Tann:

> Im Dovecot ist Sieve aktiviert:

Nö. Da ist der MANAGEsieve aktiviert.

Aber im deliver-Prozess ist kein Sieve zum filtern.


protocol lda {
  mail_plugins = $mail_plugins sieve
}

Peer


-- 

Die Mailserver-Konferenz: Das Know-how-Update für Postmaster
26./27. Mai 2011 - http://www.heinlein-support.de/mk

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From atann at alphasrv.net  Tue May 31 00:12:28 2011
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 31 May 2011 00:12:28 +0200
Subject: [Postfixbuch-users] OT: Dovecot Sieve filtert nicht
In-Reply-To: <201105302349.14280.p.heinlein@heinlein-support.de>
References: <201105302328.52551@inter.netz>
	<201105302349.14280.p.heinlein@heinlein-support.de>
Message-ID: <201105310012.28835@inter.netz>

Peer Heinlein, Montag 30 Mai 2011: 

> Nö. Da ist der MANAGEsieve aktiviert.
> 
> Aber im deliver-Prozess ist kein Sieve zum filtern.
> 
> 
> protocol lda {
>   mail_plugins = $mail_plugins sieve
> }

Danke, jetzt gehts. Ich hatte das so verstanden, daß mail_plugins und
mail_plugin_dir alternative Notationen sind. Entweder einzelne Plugins,
oder alle, die im Verzeichnis sind.

Vielen Dank.
-- 
Andre Tann