From p.heinlein at heinlein-support.de  Thu Sep  1 00:46:41 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 1 Sep 2011 00:46:41 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?=28OT=29_Leiter_Gesch=E4ftsber?=
	=?iso-8859-1?q?eich_Heinlein_Hosting_gesucht?=
Message-ID: <201109010046.41350.p.heinlein@heinlein-support.de>


Wir suchen einen neuen Ober-Administrator, bzw. gerne auch eigenständigen 
Leiter unseres Geschäftsbereichs Heinlein Hosting.

http://www.heinlein-support.de/jobs/leiter-heinlein-hosting

Falls aus diesem Kreise jemand interesse hat -- prima.

Falls jemand jemanden kennt, der jemanden kennt, der dafür passen würde: 
Auch gut... :-)

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfix at jpkessler.info  Thu Sep  1 08:30:38 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 01 Sep 2011 08:30:38 +0200
Subject: [Postfixbuch-users] Amavis Ramdisk Vserver
In-Reply-To: <000001cc6765$0999e460$0565a8c0@uwe>
References: <CAGMPgX0q1CjAiG5CS+pDhTvotjiWEa5CQvLq5hdvtRAbtxkuuw@mail.gmail.com><4E5BD471.7020500@aloah-from-hell.de>
	<4E5D515B.7090204@jpkessler.info>
	<000001cc6765$0999e460$0565a8c0@uwe>
Message-ID: <4E5F268E.9000509@jpkessler.info>

> Ich hab jetzt nicht den Hochlastungsserver aber Amavis kommt als preque mit
> ramdisk zum Einsatz ist einfach um faktor x schneller. 

Echt? Ist das wirklich messbar und v.a. der Unterschied in Deinem Umfeld
relevant? Ich hätte erwartet, dass Amavis 99% seiner Zeit auf der CPU
zwecks Spam- und Virenchecks verbringt. Mailumgebungen, in denen DiskIO
eine nennenswerte Kenngröße bildet, kenne ich eigentlich nur sehr große.

> Und da ich nicht für alles eine extra Maschine anmieten möchte da eben nicht
> benötigt ist alles per kvm virtualisiert und doch getrennt auf eigenen IP's
> und Speicherplatz.   

Ahh, ich dachte bei VServer an so eine kleine, mit anderen Kunden
gemeinsam genutzte 256MB Schnuddelkiste ;) Das ist natürlich was
anderes. Ich mache das gleiche (Trennung von Diensten aus
Sicherheitsgründen) seit knapp 15 Jahren (von GSX Server bis esxi5, xen
und solaris zonen). In dem Umfeld hast Du ja wahrscheinlich ausreichende
Ressourcen.

VG, Jan



From postfix at jpkessler.info  Thu Sep  1 08:31:45 2011
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 01 Sep 2011 08:31:45 +0200
Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL
	generiertfalse-positives
In-Reply-To: <CBD3A9DC8E594B4C99A0B266AB02836B@florian>
References: <B6DB66784D8F40649813511468DECB58@florian>
	<4E5D5057.6020600@jpkessler.info>
	<CBD3A9DC8E594B4C99A0B266AB02836B@florian>
Message-ID: <4E5F26D1.2010702@jpkessler.info>


> von IPv6-RBLs mal keinen Kommentar. Dass pw diese seit 2008
> abgeschaltete Blacklist aber weiterhin bis heute als
> Programmbestandteil ausliefert ist in meinen Augen problematisch. Hier
> scheint sich niemand mehr wirklich um das Programm zu kümmern - und
> die Maintainer (wenn es denn welche gibt) 

Nuja, 2008 ist in der Tat eine lange Zeit. Dem kann ich mich nicht ganz
entziehen...



From Ralf.Hildebrandt at charite.de  Thu Sep  1 10:09:38 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 1 Sep 2011 10:09:38 +0200
Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig
In-Reply-To: <201108312316.50462@tux.boltz.de.vu>
References: <1314527539.5563.36.camel@localhost>
	<201108292300.09863@tux.boltz.de.vu>
	<1314786060.5560.6.camel@localhost>
	<201108312316.50462@tux.boltz.de.vu>
Message-ID: <20110901080937.GD12911@charite.de>

* Christian Boltz <postfixbuch at cboltz.de>:
> Hallo Toni, hallo Leute,
> 
> Am Mittwoch, 31. August 2011 schrieb Toni Burger:
> > ok, erfolgreich überzeugt ;-). Werde ich mir mailman anschauen. Muss
> > die Mailaddressen halt irgendwie aus einem ldap auslesen ... aber
> > ich denke das wird schon irgendwie machbar sein *hoff* :).
> 
> Du brauchst irgendein[tm] Script, das Dir die Adressen aus dem ldap 
> ausliest und in eine Textdatei schreibt (eine Adresse pro Zeile).

Das ist SEHR einfach mit ldapsearch gemacht

> Diese Liste gibst Du dann an sync_members weiter, um den Mailman-
> Verteiler aktuell zu halten.

Korrekt. Dafür habe ich ein Script :)

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Thu Sep  1 10:10:57 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 1 Sep 2011 10:10:57 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110831232829.0ee8900c@itx.bitcorner.intern>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
Message-ID: <20110901081057.GE12911@charite.de>

* Andreas Meyer <anmeyer at anup.de>:
> Hallo!
> 
> Was macht eigentlich virtual_mailbox_limit genau, bzw. wo kann ich
> es einsetzen? Ich vermute, ich kann es nicht dafür benuzten, um auf
> einem dovecot 1.x eine Limitierung des Postfachgröße zu erreichen.

Mit dovecot solltest du für local delivery das "deliver" Programm
nutzen, nicht virtual
 
> The maximal size in bytes of an individual virtual(8) mailbox or
> maildir file, or zero (no limit).

Ist halt die Maximale Größe eines MBOX Files (== einer mbox mailbox)
oder einer EINZELNEN Mail in einem Maildir

> Was mir an der obigen Definition nicht klar ist, ist der Ausdruck
> "maildir file". Was ist damit gemeint? Kann postfix maildir handeln?

Ja

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From werner at aloah-from-hell.de  Thu Sep  1 10:30:19 2011
From: werner at aloah-from-hell.de (werner at aloah-from-hell.de)
Date: Thu, 01 Sep 2011 10:30:19 +0200
Subject: [Postfixbuch-users] Amavis Ramdisk Vserver
In-Reply-To: <4E5F268E.9000509@jpkessler.info>
References: <CAGMPgX0q1CjAiG5CS+pDhTvotjiWEa5CQvLq5hdvtRAbtxkuuw@mail.gmail.com><4E5BD471.7020500@aloah-from-hell.de>
	<4E5D515B.7090204@jpkessler.info>
	<000001cc6765$0999e460$0565a8c0@uwe>
	<4E5F268E.9000509@jpkessler.info>
Message-ID: <4E5F429B.5010801@aloah-from-hell.de>

Hi,

> Ahh, ich dachte bei VServer an so eine kleine, mit anderen Kunden
> gemeinsam genutzte 256MB Schnuddelkiste ;)

Eher Nervkiste weil: Speicher knapp und gesetztes OpenFile-Limit, dass
VServer (zumindest früher) immer gesetzt hatte (und das File-Limit war
deutlich zu gering für nen LAMP + MX) :)

Ciao,
WErner


From anmeyer at anup.de  Thu Sep  1 12:15:50 2011
From: anmeyer at anup.de (Andreas Meyer)
Date: Thu, 1 Sep 2011 12:15:50 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901081057.GE12911@charite.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
Message-ID: <20110901121550.6c36d25b@itx.bitcorner.intern>

Hallo Ralf!

Ralf Hildebrandt <Ralf.Hildebrandt at charite.de> wrote:
 
> > Was macht eigentlich virtual_mailbox_limit genau, bzw. wo kann ich
> > es einsetzen? Ich vermute, ich kann es nicht dafür benuzten, um auf
> > einem dovecot 1.x eine Limitierung des Postfachgröße zu erreichen.
> 
> Mit dovecot solltest du für local delivery das "deliver" Programm
> nutzen, nicht virtual

Momentan steht in der transport

anup.de   virtual
.anup.de  virtual

In der mastercf steht sowas:

cyrus     unix  -       n       n       -       -       pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}

Wie mach ich das mit dovecot?
  
> > The maximal size in bytes of an individual virtual(8) mailbox or
> > maildir file, or zero (no limit).
> 
> Ist halt die Maximale Größe eines MBOX Files (== einer mbox mailbox)
> oder einer EINZELNEN Mail in einem Maildir

Ok
 
> > Was mir an der obigen Definition nicht klar ist, ist der Ausdruck
> > "maildir file". Was ist damit gemeint? Kann postfix maildir handeln?
> 
> Ja

Ok, war ne blöde Frage. Vor allem weil ich maildir für mehrere domains
mit postfix selbst nutze ;) lol 

  Andreas


From Ralf.Hildebrandt at charite.de  Thu Sep  1 12:46:38 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 1 Sep 2011 12:46:38 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901121550.6c36d25b@itx.bitcorner.intern>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
Message-ID: <20110901104638.GQ12911@charite.de>

* Andreas Meyer <anmeyer at anup.de>:

> Momentan steht in der transport
> 
> anup.de   virtual
> .anup.de  virtual
> 
> In der mastercf steht sowas:
> 
> cyrus     unix  -       n       n       -       -       pipe
>   user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}

Das funktioniert nicht. virtual != cyrus
 
> Wie mach ich das mit dovecot?

Also ich würde die Domain als relay_domains definieren, dann via
transport_maps sagen:

anup.de    lmtp:[127.0.0.1]
.anup.de   lmtp:[127.0.0.1]

(dovecot kann lmtp!)

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From lists at dguhl.org  Thu Sep  1 13:17:59 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Thu, 1 Sep 2011 13:17:59 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901104638.GQ12911@charite.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
Message-ID: <20110901111759.GA7052@PC211.ikt.de>

On Thu, Sep 01, 2011 at 12:46:38PM +0200, Ralf Hildebrandt wrote:
> * Andreas Meyer <anmeyer at anup.de>:

[..]

> > Wie mach ich das mit dovecot?
> 
> Also ich würde die Domain als relay_domains definieren, dann via
> transport_maps sagen:
> 
> anup.de    lmtp:[127.0.0.1]
> .anup.de   lmtp:[127.0.0.1]
> 
> (dovecot kann lmtp!)

Das bedingt aber Dovecot 2, in der ersten Mail war aber von Dovecot
1.2 die Rede.

In Dovecot 1 würde ich die Domain als virtual_mailbox_domains
definieren und

virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

in die main.cf und

dovecot   unix  -       n       n       -       -       pipe
  flags=DORhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop} -n -m ${extension}

in die master.cf schreiben.

Dennis


From Ralf.Hildebrandt at charite.de  Thu Sep  1 13:19:33 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 1 Sep 2011 13:19:33 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901111759.GA7052@PC211.ikt.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
Message-ID: <20110901111933.GU12911@charite.de>

* Dennis Guhl <lists at dguhl.org>:
> On Thu, Sep 01, 2011 at 12:46:38PM +0200, Ralf Hildebrandt wrote:
> > * Andreas Meyer <anmeyer at anup.de>:
> 
> [..]
> 
> > > Wie mach ich das mit dovecot?
> > 
> > Also ich würde die Domain als relay_domains definieren, dann via
> > transport_maps sagen:
> > 
> > anup.de    lmtp:[127.0.0.1]
> > .anup.de   lmtp:[127.0.0.1]
> > 
> > (dovecot kann lmtp!)
> 
> Das bedingt aber Dovecot 2, in der ersten Mail war aber von Dovecot
> 1.2 die Rede.

Man kann sich ja verbessern!
 
> In Dovecot 1 würde ich die Domain als virtual_mailbox_domains
> definieren und
> 
> virtual_transport = dovecot
> dovecot_destination_recipient_limit = 1
> 
> in die main.cf und
> 
> dovecot   unix  -       n       n       -       -       pipe
>   flags=DORhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop} -n -m ${extension}
> 
> in die master.cf schreiben.

Wie verifiziert das die Empfänger?

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From anmeyer at anup.de  Thu Sep  1 13:41:42 2011
From: anmeyer at anup.de (Andreas Meyer)
Date: Thu, 1 Sep 2011 13:41:42 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901111759.GA7052@PC211.ikt.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
Message-ID: <20110901134142.6a30a93b@itx.bitcorner.intern>

Dennis Guhl <lists at dguhl.org> wrote:

> On Thu, Sep 01, 2011 at 12:46:38PM +0200, Ralf Hildebrandt wrote:

> > Also ich würde die Domain als relay_domains definieren, dann via
> > transport_maps sagen:
> > 
> > anup.de    lmtp:[127.0.0.1]
> > .anup.de   lmtp:[127.0.0.1]
> > 
> > (dovecot kann lmtp!)
> 
> Das bedingt aber Dovecot 2, in der ersten Mail war aber von Dovecot
> 1.2 die Rede.

# dovecot --version
1.0.5

Also mir ging es in erster Linie bei dem Thema um quota für dovecot.
Nun habe ich gestern Abend festegestellt, dass dovecot selbst mit
dieser alten Version quota kann, zumindest für IMAP. Ich habe quota
zwar auch für POP3 (einige Postfächer laufen noch auf POP3) aktiviert,
aber es scheint, als würden die nicht greifen.

> In Dovecot 1 würde ich die Domain als virtual_mailbox_domains
> definieren und
> 
> virtual_transport = dovecot

# postconf |grep virtual_transport
address_verify_virtual_transport = $virtual_transport
virtual_transport = virtual

Ich habe in virtual schon was anderes definiert.

> dovecot_destination_recipient_limit = 1

# postconf dovecot_destination_recipient_limit
postconf: warning: dovecot_destination_recipient_limit: unknown parameter

> in die main.cf und
> 
> dovecot   unix  -       n       n       -       -       pipe
>   flags=DORhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop} -n -m ${extension}
> 
> in die master.cf schreiben.
> 
> Dennis

  Andreas


From Ralf.Hildebrandt at charite.de  Thu Sep  1 13:49:39 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 1 Sep 2011 13:49:39 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901134142.6a30a93b@itx.bitcorner.intern>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
Message-ID: <20110901114939.GA12911@charite.de>

* Andreas Meyer <anmeyer at anup.de>:

> # postconf |grep virtual_transport
> address_verify_virtual_transport = $virtual_transport
> virtual_transport = virtual
> 
> Ich habe in virtual schon was anderes definiert.

OK
 
> > dovecot_destination_recipient_limit = 1
> 
> # postconf dovecot_destination_recipient_limit
> postconf: warning: dovecot_destination_recipient_limit: unknown parameter

Normal. Postfix Fehler bei dieser Art von frei vergebenen Parametern.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From lists at dguhl.org  Thu Sep  1 14:14:22 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Thu, 1 Sep 2011 14:14:22 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901134142.6a30a93b@itx.bitcorner.intern>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
Message-ID: <20110901121420.GB7052@PC211.ikt.de>

On Thu, Sep 01, 2011 at 01:41:42PM +0200, Andreas Meyer wrote:
> Dennis Guhl <lists at dguhl.org> wrote:
> > On Thu, Sep 01, 2011 at 12:46:38PM +0200, Ralf Hildebrandt wrote:

[..]

> # dovecot --version
> 1.0.5

OK, Du _*solltest*_ updaten -- und zwar bald. Der 1.0er-Zweig wird
schon seit 2009 nicht mehr gepflegt und hat einige Sichezheitslücken
für die Timo Sirinen den Patch nicht portieren konnte und die Lücke
offen gelassen hat.

> Also mir ging es in erster Linie bei dem Thema um quota für dovecot.
> Nun habe ich gestern Abend festegestellt, dass dovecot selbst mit
> dieser alten Version quota kann, zumindest für IMAP. Ich habe quota
> zwar auch für POP3 (einige Postfächer laufen noch auf POP3) aktiviert,
> aber es scheint, als würden die nicht greifen.

Quota greifen prinzipiell auch bei POP, da gibt es aber im Allgemeinen
keine Probleme, weil die User ihre Mails nach dem Empfang vom Server
löschen.

> > In Dovecot 1 würde ich die Domain als virtual_mailbox_domains
> > definieren und

Mit virtual_mailbox_maps und virtual_alias_maps solltest Du auch noch
festlegen wen Du in Deiner virtuellen Domain kennst und Mails annimmst
bzw. weiterleitest.

> > virtual_transport = dovecot
> 
> # postconf |grep virtual_transport
> address_verify_virtual_transport = $virtual_transport
> virtual_transport = virtual

Das sind die Standardwerte von Postfix.

> Ich habe in virtual schon was anderes definiert.

Wenn Du Deine konkrete Konfiguration zeigst (postconf -n und main.cf
ohne Kommentare), dann kann man auch konkrete Hinweise geben was wie
verändert werden müsste. Bis dahin sind das nur prinzipielle Hinweise
auf Parameter.

> > dovecot_destination_recipient_limit = 1
> 
> # postconf dovecot_destination_recipient_limit
> postconf: warning: dovecot_destination_recipient_limit: unknown parameter

Das ist normal. Den Parameter gibt es so dezidiert nicht (siehe
http://www.postfix.org/postconf.5.html#transport_destination_recipient_limit).

Dennis

[..]


From Ralf.Hildebrandt at charite.de  Thu Sep  1 14:17:41 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 1 Sep 2011 14:17:41 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901121420.GB7052@PC211.ikt.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
Message-ID: <20110901121741.GD12911@charite.de>

> Quota greifen prinzipiell auch bei POP, da gibt es aber im Allgemeinen
> keine Probleme, weil die User ihre Mails nach dem Empfang vom Server
> löschen.

Außer den Spezis die IMAP nicht verstanden haben und mit POP + "leave
mail on server" operieren. Hilfe!

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From lists at dguhl.org  Thu Sep  1 14:28:56 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Thu, 1 Sep 2011 14:28:56 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901121741.GD12911@charite.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
Message-ID: <20110901122855.GC7052@PC211.ikt.de>

On Thu, Sep 01, 2011 at 02:17:41PM +0200, Ralf Hildebrandt wrote:
> > Quota greifen prinzipiell auch bei POP, da gibt es aber im Allgemeinen
> > keine Probleme, weil die User ihre Mails nach dem Empfang vom Server
> > löschen.
> 
> Außer den Spezis die IMAP nicht verstanden haben und mit POP + "leave
> mail on server" operieren. Hilfe!

Denen ist aber so oder so nicht zu helfen.


From anmeyer at anup.de  Thu Sep  1 15:54:41 2011
From: anmeyer at anup.de (Andreas Meyer)
Date: Thu, 1 Sep 2011 15:54:41 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901122855.GC7052@PC211.ikt.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
	<20110901122855.GC7052@PC211.ikt.de>
Message-ID: <20110901155441.317bc2e0@itx.bitcorner.intern>

Dennis Guhl <lists at dguhl.org> wrote:

> On Thu, Sep 01, 2011 at 02:17:41PM +0200, Ralf Hildebrandt wrote:
> > > Quota greifen prinzipiell auch bei POP, da gibt es aber im Allgemeinen
> > > keine Probleme, weil die User ihre Mails nach dem Empfang vom Server
> > > löschen.

Aber in der dovetcot.conf muss ich bei
protocol imap {
...
mail_plugins = quota imap_quota
mail_plugin_dir = /usr/lib/dovecot/modules/imap
...

und bei
protocol pop3 {
...
mail_plugins = quota
mail_plugin_dir = /usr/lib/dovecot/modules/pop3
...

angeben.

> > Außer den Spezis die IMAP nicht verstanden haben und mit POP + "leave
> > mail on server" operieren. Hilfe!
> 
> Denen ist aber so oder so nicht zu helfen.

Also ich muss gestehen, ich habe mit dovecot und POP3 auch meine
Verständnisprobleme.
Ich habe z.B. einen Benutzer, der bekommt von postfix sein Postfach
per pop3 in einer virtuellen domaine gefüttert. Dieser Benutzer
ruft sein Postfach schon immer mit nichts anderem als Squirrelmail ab.

Nun legt Squirrelmail aber wie bei IMAP eine INBOX und Sent und Trash
usw. an. Wie ist das mit pop3 in Einklang zu bringen? Ein einzelnes
mbox-file, wie ich das von pop3 kenne, ist damit nicht mehr vorhanden.
Und somit ein Problem mit der Einrichtung von quota. Welche quota
greifen in dovecot, die von IMAP oder die von POP3?

Der Benutzer sich einen Ordner angelegt und darin mittlerweile 100 MB
email abegelegt. Standard wären 20 MB wobei bei 40 MB keiner meckern
würde.

  Andreas


From werner at aloah-from-hell.de  Thu Sep  1 16:02:42 2011
From: werner at aloah-from-hell.de (werner at aloah-from-hell.de)
Date: Thu, 01 Sep 2011 16:02:42 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901155441.317bc2e0@itx.bitcorner.intern>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
	<20110901122855.GC7052@PC211.ikt.de>
	<20110901155441.317bc2e0@itx.bitcorner.intern>
Message-ID: <4E5F9082.1020307@aloah-from-hell.de>

Hi,

> Nun legt Squirrelmail aber wie bei IMAP eine INBOX und Sent und Trash
> usw. an. Wie ist das mit pop3 in Einklang zu bringen? Ein einzelnes

ich wusste gar nicht, das Squirrelmail POP macht ;)





From anmeyer at anup.de  Thu Sep  1 16:58:17 2011
From: anmeyer at anup.de (Andreas Meyer)
Date: Thu, 1 Sep 2011 16:58:17 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <4E5F9082.1020307@aloah-from-hell.de>
References: <20110831232829.0ee8900c@itx.bitcorner.intern>
	<20110901081057.GE12911@charite.de>
	<20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
	<20110901122855.GC7052@PC211.ikt.de>
	<20110901155441.317bc2e0@itx.bitcorner.intern>
	<4E5F9082.1020307@aloah-from-hell.de>
Message-ID: <20110901165817.366a970a@itx.bitcorner.intern>

werner at aloah-from-hell.de wrote:

> Hi,
> 
> > Nun legt Squirrelmail aber wie bei IMAP eine INBOX und Sent und Trash
> > usw. an. Wie ist das mit pop3 in Einklang zu bringen? Ein einzelnes
> 
> ich wusste gar nicht, das Squirrelmail POP macht ;)

Ich habe mich nur kurz damals mit dovecot beschäftigt und folgendes
ausgetüftelt:

mail_location = mbox:/var/spool/vhosts/%d/dovecotprivate/%n:INBOX=/var/spool/vhosts/%d/%n

postfix füttert ein mbox file für den Benutzer in der entsprechenden domain
in /var/spool/vhosts/anup.de/usera und dovecot hat in dovecotprivate
für jeden Benutzer einen Ordner angelegt mit den Unterordnern drin.

# delta:/var/spool/vhosts/anup.de # ll

-rw-r--r--  1    5000 5000        0 11. Jun 2008  usera
-rw-r--r--  1    5000 5000   606921 22. Feb 2011  userb
drwxrwxrwx  8 dovecot root     4096  7. Aug 08:21 dovecotprivate
-rw-r--r--  1    5000 5000      559  1. Sep 14:27 userc
-rw-r--r--  1    5000 5000  5405548  1. Sep 16:45 userd
-rw-------  1    5000 5000 14166054  1. Sep 05:00 usere
....

# delta:/var/spool/vhosts/anup.de/dovecotprivate # ll

drwx------ 3 5000 5000 4096  1. Sep 14:27 usera
drwx------ 3 5000 5000 4096  1. Sep 13:43 userb
drwx------ 3 5000 5000 4096 22. Mär 2009  userc
drwx------ 3 5000 5000 4096 31. Aug 22:17 userd
drwx------ 3 5000 5000 4096 21. Jul 2010  usere
....

entsprechener Ausscnnitt aus der main.cf von postfix:

virtual_mailbox_domains = abcd.de efgh.de ijkl.de mnop.de usw.de
virtual_mailbox_base = /var/spool/vhosts
virtual_mailbox_maps = hash:/etc/postfix/vmailbox
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

# cat /etc/postfix/vmailbox
....
anup.de                         number9
postmaster at anup.de              anup.de/anmeyer/
abuse at anup.de                   anup.de/anmeyer/
webmaster at anup.de               anup.de/anmeyer/
usera at anup.de                   anup.de/usera
userb at anup.de                   anup.de/userb
userc at anup.de                   anup.de/userc
....

postfix liefert problemlos in die mbox ein und der Benutzer popt
mit seinem MUA oder per Squirrelmail. usera, userb und userc sind
mboxen. Die anup.de hat sowohl maildirs als auch mboxen. Es
funktioniert. ;) Ich krieg das nur mit den quota und den mboxen
im Zusammenspiel mit dovecotprivate nicht gebacken.
Mein altes script, das die Größe der mboxen ausgewertet hat, funktioniert
mit den Unterordnern in dovecotprivate nicht mehr.

  Andreas


From lists at dguhl.org  Thu Sep  1 17:31:19 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Thu, 1 Sep 2011 17:31:19 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901165817.366a970a@itx.bitcorner.intern>
References: <20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
	<20110901122855.GC7052@PC211.ikt.de>
	<20110901155441.317bc2e0@itx.bitcorner.intern>
	<4E5F9082.1020307@aloah-from-hell.de>
	<20110901165817.366a970a@itx.bitcorner.intern>
Message-ID: <20110901153118.GD7052@PC211.ikt.de>

On Thu, Sep 01, 2011 at 04:58:17PM +0200, Andreas Meyer wrote:

[..]

Bevor Du Dich weiter mit Quota, POP(3), IMAP, Mbox, Maildir und
ähnlichem beschäftigst, solltest Du Dir die BAsics noch einmal
ansehen. POP ist weder Maildir noch Mbox, sondern ein Weg um E-Mails
von einem Server abzuholen (ähnlich wie IMAP). Mbox und Maildir
hingegen beschreiben die Art wie E-Mails gespeichert werden -- bei
Mbox wird alles hintereinander in eine Datei geschrieben, im Maildir
hingegen bekommt jede einzelne E-Mail eine eigene Datei. Quota
beschränken die Größe der Mbox oder des Maildirs (bei Dovecot), bzw.
der einzelnen Mail im Maildir (bei Postfix).

Siehe z.B. auch (die Links sind jeweils auch interessant):
http://de.wikipedia.org/wiki/Post_Office_Protocol
http://en.wikipedia.org/wiki/Internet_Message_Access_Protocol
http://de.wikipedia.org/wiki/Maildir
http://de.wikipedia.org/wiki/Mbox


From anmeyer at anup.de  Thu Sep  1 19:46:44 2011
From: anmeyer at anup.de (Andreas Meyer)
Date: Thu, 1 Sep 2011 19:46:44 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901153118.GD7052@PC211.ikt.de>
References: <20110901121550.6c36d25b@itx.bitcorner.intern>
	<20110901104638.GQ12911@charite.de>
	<20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
	<20110901122855.GC7052@PC211.ikt.de>
	<20110901155441.317bc2e0@itx.bitcorner.intern>
	<4E5F9082.1020307@aloah-from-hell.de>
	<20110901165817.366a970a@itx.bitcorner.intern>
	<20110901153118.GD7052@PC211.ikt.de>
Message-ID: <20110901194644.2af441d8@itx.bitcorner.intern>

Dennis Guhl <lists at dguhl.org> wrote:
 
> Bevor Du Dich weiter mit Quota, POP(3), IMAP, Mbox, Maildir und
> ähnlichem beschäftigst, solltest Du Dir die BAsics noch einmal
> ansehen. POP ist weder Maildir noch Mbox, sondern ein Weg um E-Mails
> von einem Server abzuholen (ähnlich wie IMAP). Mbox und Maildir

Ich habe nirgends behauptet, dass POP Maildir oder Mbox ist. Ich habe
lediglich gesagt, dass postfix die Postfächer einer Domaine per maildir
und per mbox beliefert und speichert. Und Squirrelmail mit Hilfe von
dovecot per IMAP eine mbox abruft.
Ok, ich habe mich wahrscheinlich stellenweise unglücklich ausgedrückt.
Aber danke, ich weis jetzt, dass ich das differenzierter betrachten
muss.

> hingegen beschreiben die Art wie E-Mails gespeichert werden -- bei
> Mbox wird alles hintereinander in eine Datei geschrieben, im Maildir
> hingegen bekommt jede einzelne E-Mail eine eigene Datei. Quota

Darüber gibt es bei mir kein Verständnisproblem. Es wundert mich
lediglich, das dovecot Unterordner anlegt, die per IMAP abgerufen
werden können, obwohl das Postfach im Format  Mbox vorliegt. Dafür
ist die gepostete Zeile in der dovecot.conf verantwortlich. Bei
Gelegenheit werde ich mich mit der Materie MBox und dovecot nochmal
beschäftigen.

> beschränken die Größe der Mbox oder des Maildirs (bei Dovecot), bzw.
> der einzelnen Mail im Maildir (bei Postfix).
> 
> Siehe z.B. auch (die Links sind jeweils auch interessant):
> http://de.wikipedia.org/wiki/Post_Office_Protocol
> http://en.wikipedia.org/wiki/Internet_Message_Access_Protocol
> http://de.wikipedia.org/wiki/Maildir
> http://de.wikipedia.org/wiki/Mbox

  Andreas


From lists at dguhl.org  Fri Sep  2 01:15:55 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Fri, 2 Sep 2011 01:15:55 +0200
Subject: [Postfixbuch-users] virtual_mailbox_limit
In-Reply-To: <20110901194644.2af441d8@itx.bitcorner.intern>
References: <20110901111759.GA7052@PC211.ikt.de>
	<20110901134142.6a30a93b@itx.bitcorner.intern>
	<20110901121420.GB7052@PC211.ikt.de>
	<20110901121741.GD12911@charite.de>
	<20110901122855.GC7052@PC211.ikt.de>
	<20110901155441.317bc2e0@itx.bitcorner.intern>
	<4E5F9082.1020307@aloah-from-hell.de>
	<20110901165817.366a970a@itx.bitcorner.intern>
	<20110901153118.GD7052@PC211.ikt.de>
	<20110901194644.2af441d8@itx.bitcorner.intern>
Message-ID: <20110901231555.GA8241@laptop-dg.leere.eu>

On Thu, Sep 01, 2011 at 07:46:44PM +0200, Andreas Meyer wrote:
> Dennis Guhl <lists at dguhl.org> wrote:

[Basics_fehlen]

> Ich habe nirgends behauptet, dass POP Maildir oder Mbox ist. Ich habe

 Andreas Meyer am Thu, 1 Sep 2011 15:54:41 +0200

 [..]

 Ich habe z.B. einen Benutzer, der bekommt von postfix sein Postfach
 per pop3 in einer virtuellen domaine gefüttert. Dieser Benutzer ruft
 sein Postfach schon immer mit nichts anderem als Squirrelmail ab.

Kein Postfach wird per POP gefüttert. Ganz im Gegenteil, es wird per
POP entleert.

Postfächer werden mit Squirrelmail nicht abgerufen (im Sinne von Mails
per POP abholen). Das Eichhörnchen ist ein ganz gewöhnlicher 
IMAP-Client, mit dem man sein Postfach auf dem Server bearbeitet -- 
was übrigens auch der Grund ist, warum die IMAP-typische
Ordnerstruktur anlegt wird.

 [..]

 Nun legt Squirrelmail aber wie bei IMAP eine INBOX und Sent und Trash

S.o, das hängt damit zusammen, dass Squirrelmail IMAP benutzt.

 usw. an. Wie ist das mit pop3 in Einklang zu bringen? Ein einzelnes
 mbox-file, wie ich das von pop3 kenne, ist damit nicht mehr

Wie gesagt, POP und Mbox haben nix miteinander zu tun. Ich kann auch
meine E-Mails aus einem Maildir per POP abholen, ebenso wie ich ich
per IMAP auf eine (bzw. dann mehrere) Mbox(en) zugreifen kann.

 vorhanden. Und somit ein Problem mit der Einrichtung von quota.
 Welche quota greifen in dovecot, die von IMAP oder die von POP3?

 [..]

In Dovecot werden die Quota nur separat für POP und IMAP aktiviert,
die Definition erfolgt zentral in der Sektion für die Plugins (oder
LDAP, oder der Datenbank -- dann aber vermutlich je Benutzer; siehe
http://wiki.dovecot.org/Quota und http://wiki.dovecot.org/Quota/1.0).

> lediglich gesagt, dass postfix die Postfächer einer Domaine per maildir
> und per mbox beliefert und speichert. Und Squirrelmail mit Hilfe von

Es wird nix per {Maildir,Mbox} ausgeliefert. Das sind jeweils
Strukturen, in denen die E-Mails vorgehalten werden.

> dovecot per IMAP eine mbox abruft.

[..]

> Darüber gibt es bei mir kein Verständnisproblem. Es wundert mich
> lediglich, das dovecot Unterordner anlegt, die per IMAP abgerufen
> werden können, obwohl das Postfach im Format  Mbox vorliegt. Dafür
> ist die gepostete Zeile in der dovecot.conf verantwortlich. Bei

Ja und Nein. Ja, weil Dovecot natürlich keine Kristallkugel hat die
ihm sagt wie die E-Mails gespeichert werden, das folglich mit einem
Konfigurationsparameter erledigt werden muss. Nein, weil es irrelevant
ist wie der Zugang zu einer Mbox per IMAP angewiesen wird. Der MUA
möchte gerne seine Mails in verschiedene Ordner sortieren, je nachdem
ob sie angekommen sind, verschickt wurden oder im Müll gelandet sind.
Dafür werden verschiedene Speicher benötigt. Ob sie nun verschiedene
Unterordner in einer Maildirhierarchie sind oder ob es mehrere Mboxen
sind ist dem MUA dabei völlig gleich.


 Andreas Meyer am Thu, 1 Sep 2011 16:58:17 +0200

 mail_location = mbox:/var/spool/vhosts/%d/dovecotprivate/%n:INBOX=/var/spool/vhosts/%d/%n

 postfix füttert ein mbox file für den Benutzer in der entsprechenden
 domain in /var/spool/vhosts/anup.de/usera und dovecot hat in
 dovecotprivate für jeden Benutzer einen Ordner angelegt mit den
 Unterordnern drin.

 [..]

Das ist doch genau das, was Du Dovecot gesagt hast: Der Ordner für die
Mboxen ist var/spool/vhosts/anup.de/dovecotprivate/usera, die Inbox
(also der 'Ordner' den man bei POP als einzigen 'sieht') hingegen ist
/var/spool/vhosts/anup.de/usera. Ich kann nicht ganz nachvollziehen wo
dabei was unklar ist. Nützliche Hinweise zu diesem Problem finden sich
auch unter http://wiki.dovecot.org/MailLocation und
http://wiki.dovecot.org/MailLocation/Mbox.

> Gelegenheit werde ich mich mit der Materie MBox und dovecot nochmal
> beschäftigen.

Die Beschränkung auf Mbox und Dovecot greift offensichtlich ein wenig
zu kurz.

Gute Nacht
Dennis


From mailinglisten at it-blog.net  Fri Sep  2 09:36:51 2011
From: mailinglisten at it-blog.net (Pascal)
Date: Fri, 02 Sep 2011 09:36:51 +0200
Subject: [Postfixbuch-users] Konfig-Parameter aus Datei auslesen
Message-ID: <4E608793.3070702@it-blog.net>

Hallo!

Ich erstelle momentan für einen Kunden ein Mailsystem u.a. mit Postfix. 
Dabei gibt es aufgrund einer speziellen Anforderung des Kunden die 
Notwendigkeit, den Parameter "myhostname" automatisiert zu ändern. 
Prinzipiell ist dies natürlich auch mittels "postconf -e 
myhostname=neuer.hostname.de" möglich. Da dies dann aber für alle 
Postfix-Prozesse gilt, ich es aber nur für einen benötige, müsste ich 
den Wert folglich bei allen anderen in der master.cf setzen.
Um dieses Problem zu lösen, wäre es sehr hilfreich, wenn man eine Datei 
angeben könnte, aus der der entsprechende Wert dann ausgelesen wird. Die 
Datei direkt (so wie bei "myorigin") anzugeben, funktioniert jedoch 
leider nicht. Gibt es denn sonst noch eine derartige Möglichkeit?


MfG

Pascal


From driessen at fblan.de  Fri Sep  2 09:54:22 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 2 Sep 2011 09:54:22 +0200
Subject: [Postfixbuch-users] Konfig-Parameter aus Datei auslesen
In-Reply-To: <4E608793.3070702@it-blog.net>
References: <4E608793.3070702@it-blog.net>
Message-ID: <00b501cc6945$86fae030$0565a8c0@uwe>

On Behalf Of Pascal
> 
> Hallo!
> 
> Ich erstelle momentan für einen Kunden ein Mailsystem u.a. mit Postfix.
> Dabei gibt es aufgrund einer speziellen Anforderung des Kunden die
> Notwendigkeit, den Parameter "myhostname" automatisiert zu ändern.
> Prinzipiell ist dies natürlich auch mittels "postconf -e
> myhostname=neuer.hostname.de" möglich. Da dies dann aber für alle
> Postfix-Prozesse gilt, ich es aber nur für einen benötige, müsste ich
> den Wert folglich bei allen anderen in der master.cf setzen.
> Um dieses Problem zu lösen, wäre es sehr hilfreich, wenn man eine Datei
> angeben könnte, aus der der entsprechende Wert dann ausgelesen wird. Die
> Datei direkt (so wie bei "myorigin") anzugeben, funktioniert jedoch
> leider nicht. Gibt es denn sonst noch eine derartige Möglichkeit?

myorigin = $myhostname bezieht sich auf eine Systemvariable


du kannst aber in der Master.cf auf Werte in der main.cf verweisen 

-o myorigin=${anderesmyorigin}

In der main.cf

anderesmyorigin = xyz

damit kann man dann komplette restrictionenblöcke aus der main.cf in der
master.cf  einbinden.



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From mailinglisten at it-blog.net  Fri Sep  2 11:31:59 2011
From: mailinglisten at it-blog.net (Pascal)
Date: Fri, 02 Sep 2011 11:31:59 +0200
Subject: [Postfixbuch-users] Konfig-Parameter aus Datei auslesen
In-Reply-To: <00b501cc6945$86fae030$0565a8c0@uwe>
References: <4E608793.3070702@it-blog.net> <00b501cc6945$86fae030$0565a8c0@uwe>
Message-ID: <4E60A28F.9070209@it-blog.net>

Wunderbar, damit lässt sich mein Problem optimal lösen. Vielen Dank für 
den Hinweis!

MfG
Pascal



Am 02.09.2011 09:54, schrieb Driessen:
> On Behalf Of Pascal
>> Hallo!
>>
>> Ich erstelle momentan für einen Kunden ein Mailsystem u.a. mit Postfix.
>> Dabei gibt es aufgrund einer speziellen Anforderung des Kunden die
>> Notwendigkeit, den Parameter "myhostname" automatisiert zu ändern.
>> Prinzipiell ist dies natürlich auch mittels "postconf -e
>> myhostname=neuer.hostname.de" möglich. Da dies dann aber für alle
>> Postfix-Prozesse gilt, ich es aber nur für einen benötige, müsste ich
>> den Wert folglich bei allen anderen in der master.cf setzen.
>> Um dieses Problem zu lösen, wäre es sehr hilfreich, wenn man eine Datei
>> angeben könnte, aus der der entsprechende Wert dann ausgelesen wird. Die
>> Datei direkt (so wie bei "myorigin") anzugeben, funktioniert jedoch
>> leider nicht. Gibt es denn sonst noch eine derartige Möglichkeit?
> myorigin = $myhostname bezieht sich auf eine Systemvariable
>
>
> du kannst aber in der Master.cf auf Werte in der main.cf verweisen
>
> -o myorigin=${anderesmyorigin}
>
> In der main.cf
>
> anderesmyorigin = xyz
>
> damit kann man dann komplette restrictionenblöcke aus der main.cf in der
> master.cf  einbinden.
>
>
>
> Mit freundlichen Grüßen
>
> Drießen
>



From Ralf.Hildebrandt at charite.de  Fri Sep  2 11:39:46 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 2 Sep 2011 11:39:46 +0200
Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig
In-Reply-To: <20110901080937.GD12911@charite.de>
References: <1314527539.5563.36.camel@localhost>
	<201108292300.09863@tux.boltz.de.vu>
	<1314786060.5560.6.camel@localhost>
	<201108312316.50462@tux.boltz.de.vu>
	<20110901080937.GD12911@charite.de>
Message-ID: <20110902093946.GO16497@charite.de>

> Korrekt. Dafür habe ich ein Script :)

Anbei

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    
-------------- nächster Teil --------------
#!/bin/bash
# $1 sollte so aussehen: ou=50001723,ou=50002583,dc=Charite.de

for thing in "$@"
do
   FILE_TMP="`/bin/mktemp /tmp/ldapsearch.XXXXXX`"
   # temporaeres File generieren
   trap 'rm -f "$FILE_TMP" >/dev/null 2>&1' 0
   # exit code 0 trappen

   emailadresse=`expr index $thing "@"`
   # wenn der Kommandozeilenparameter ein @ enhaelt
   # dann einfach ausgeben, sonst LDAP Abfrage machen!
   if [ $emailadresse != "0" ]; then
      echo $thing
   else
      ldapsearch -h 127.0.0.1 -p 489 -x -b "cn=Personen,dc=charite.de" -D \
         "cn=rootuser,dc=charite.de" -w topsecret -LLL \
         "(&(adresse=*$thing)(|(!(stopInformation=true))(!(stopInformation=*))))" mail > $FILE_TMP && \
      awk '/mail:/ {print $2}' $FILE_TMP
   fi
done

From robtone at ek-muc.de  Sat Sep  3 15:38:10 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Sat, 3 Sep 2011 15:38:10 +0200
Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL
 generiertfalse-positives
In-Reply-To: <CBD3A9DC8E594B4C99A0B266AB02836B@florian>
References: <B6DB66784D8F40649813511468DECB58@florian>
	<4E5D5057.6020600@jpkessler.info>
	<CBD3A9DC8E594B4C99A0B266AB02836B@florian>
Message-ID: <20110903133809.GA22935@rz.ek-muc.de>

On Tue, Aug 30, 2011 at 11:56:08PM +0200, Florian Kaiser wrote:
> Hallo Jan,
> 
> > Da hat pw leider keine Chance. Die Blacklist Betreiber haben sich
> > entschlossen, alle Anfragen mit einem positiven Resultat zu beantworten.
> > Wie sollte ein Programm das von einem "echten" Blacklisting auf einer
> > noch gepflegten Liste unterscheiden?
> 
> Das ist natürlich richtig, hier trifft pw keine Schuld
> 
> > Die Betreiber hätten die Liste ja auch wirklich komplett stilllegen
> > können. Haben sie aber aus verständlichem Egoismus nicht. Die wollen
> > nämlich ganz explizit, dass Du die Stilllegung bemerkst und Deine
> > Konfiguration entsprechend anpasst. Sonst wird die IP nie mehr frei.
> 
> Und hier sehe ich pw doch etwas in Rückstand. Ich muss ehrlich gestehen,
> dass mir als Anwender gar nicht bewusst war, dass pw in der
> Standardeinstellung eine ipv6-Blacklist prüft. Zur Sinnhaftigkeit generell
> von IPv6-RBLs mal keinen Kommentar. Dass pw diese seit 2008 abgeschaltete
> Blacklist aber weiterhin bis heute als Programmbestandteil ausliefert ist in
> meinen Augen problematisch.


Das erste Auftreten von IN_IPv6_RBL=4.25 habe ich hier vom
Tue Aug 30 17:26:33 2011

Da war ich uebrigens noch im Urlaub und ja, auch so lese ich die Header/Logs
aktuell eher selten (da von meiner Seite her aktuell kein grosses Aufkommen
mehr bewaeltigt werden muss).

Ein Version ohne IPV6 RBL wird hochgeladen. 

Von wegen SF - es funktionierte mal, dass die Mail vom BT direkt an die
ML weitergeleitet wurde. Scheint wohl nicht mehr der Fall zu sein.

Darueber hinaus waere es nett, wenn ich einen oeffentlich erreichbaren IPv6 MX haette,
an dem ich Aenderungen an der IPV6-Behandlung testen kann.

> Hier scheint sich niemand mehr wirklich um das
> Programm zu kümmern - und die Maintainer (wenn es denn welche gibt) setzen
> Ihr eigenes Programm wohl selbst nicht ein, sonst hätten die das ebenso wie
> ich bemerkt. Aber gut, ist wohl Off-List - ich wende mich da mal lieber an
> die Distributionsmaintainer, da erreiche ich wohl mehr als im Bugtracker von
> pws Source-Forge-Seite.
> 
> 
> Grüße
> Florian
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From atann at alphasrv.net  Mon Sep  5 14:08:27 2011
From: atann at alphasrv.net (Andre Tann)
Date: Mon, 5 Sep 2011 14:08:27 +0200
Subject: [Postfixbuch-users] OT: Dovecot-Module
Message-ID: <201109051408.27982@inter.netz>

Servus zusammen,

ich möchte gerne Mails mit Dovecots deliver ausliefern, aber ich steh
grad etwas auf dem Schlauch:

Sep  5 14:00:18 mail dovecot: deliver(mailbackup): Fatal:
opendir(/usr/lib/dovecot/modules/lda) failed: No such file or directory

In der Tat, das Directory gibts nicht. Woher könnte es kommen? Ich
befrage eine Maschine (SuSE 11.3), auf der deliver funktioniert, zB so:

# rpm -qf /usr/lib/dovecot/modules/lda/lib90_sieve_plugin.so 
dovecot12-1.2.17-2.2.1.i586


Auf der Maschine, wo es nicht funktioniert (SuSE 11.4_64):

# rpm -qa | grep dovecot
dovecot12-backend-pgsql-1.2.17-2.3.1.x86_64
dovecot12-1.2.17-2.3.1.x86_64
dovecot12-backend-sqlite-1.2.17-2.3.1.x86_64
dovecot12-devel-1.2.17-2.3.1.x86_64
dovecot12-backend-mysql-1.2.17-2.3.1.x86_64

dovecot12-1.2.17 ist also hier wie da installiert, aber offenbar sind
nicht in beiden Fällen die gleichen Dateien enthalten.

Woher kriege ich mein .../modules-Verzeichnis?

-- 
Andre Tann



From w.flamme at web.de  Mon Sep  5 15:35:06 2011
From: w.flamme at web.de (Werner Flamme)
Date: Mon, 05 Sep 2011 15:35:06 +0200
Subject: [Postfixbuch-users] OT: Dovecot-Module
In-Reply-To: <201109051408.27982@inter.netz>
References: <201109051408.27982@inter.netz>
Message-ID: <4E64D00A.4000506@web.de>

Andre Tann [05.09.2011 14:08]:
> Servus zusammen,
> 
> ich möchte gerne Mails mit Dovecots deliver ausliefern, aber ich steh
> grad etwas auf dem Schlauch:
> 
> Sep  5 14:00:18 mail dovecot: deliver(mailbackup): Fatal:
> opendir(/usr/lib/dovecot/modules/lda) failed: No such file or directory
> 
> In der Tat, das Directory gibts nicht. Woher könnte es kommen? Ich
> befrage eine Maschine (SuSE 11.3), auf der deliver funktioniert, zB so:
> 
> # rpm -qf /usr/lib/dovecot/modules/lda/lib90_sieve_plugin.so 
> dovecot12-1.2.17-2.2.1.i586
> 
> 
> Auf der Maschine, wo es nicht funktioniert (SuSE 11.4_64):
> 
> # rpm -qa | grep dovecot
> dovecot12-backend-pgsql-1.2.17-2.3.1.x86_64
> dovecot12-1.2.17-2.3.1.x86_64
> dovecot12-backend-sqlite-1.2.17-2.3.1.x86_64
> dovecot12-devel-1.2.17-2.3.1.x86_64
> dovecot12-backend-mysql-1.2.17-2.3.1.x86_64
> 
> dovecot12-1.2.17 ist also hier wie da installiert, aber offenbar sind
> nicht in beiden Fällen die gleichen Dateien enthalten.
> 
> Woher kriege ich mein .../modules-Verzeichnis?

Hallo Andre,

mit YaST das Paket (oder die Pakete) "erneuern", also nochmal
drüberinstallieren, sollte helfen. Mir sind auf einem SLES auch schon
mal Teile von rpm-Inhalten verschütt gegangen (CUPS, LDAP).

Oder nimm stattdessen die dovecot20-Pakete ;-)

HTH
Werner
-- 
Werner Flamme, Abt. WKDV
Helmholtz-Zentrum für Umweltforschung GmbH - UFZ
Helmholtz Centre for Environmental Research - UFZ
Permoserstr. 15 - 04318 Leipzig
Tel./phone: +49 341 235-1921 - Fax +49 341 235-451921
Information nach §§ 37a HGB, 35a GmbHG:
Sitz der Gesellschaft: Leipzig
Registergericht: Amtsgericht Leipzig, Handelsregister Nr. B 4703
Vorsitzender des Aufsichtsrats: MinDirig Wilfried Kraus
Wissenschaftlicher Geschäftsführer: Prof. Dr. Georg Teutsch
Administrativer Geschäftsführer: Dr. Andreas Schmidt


From atann at alphasrv.net  Tue Sep  6 09:15:51 2011
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 6 Sep 2011 09:15:51 +0200
Subject: [Postfixbuch-users] OT: Dovecot-Module
In-Reply-To: <4E64D00A.4000506@web.de>
References: <201109051408.27982@inter.netz> <4E64D00A.4000506@web.de>
Message-ID: <201109060915.52263@inter.netz>

Servus Werner,

Werner Flamme, Montag, 5. September 2011: 

> mit YaST das Paket (oder die Pakete) "erneuern", also nochmal
> drüberinstallieren, sollte helfen. Mir sind auf einem SLES auch schon
> mal Teile von rpm-Inhalten verschütt gegangen (CUPS, LDAP).

# zypper in -f dovecot12
[?Installation erfolgreich abgeschlossen?]
# cd /usr/lib/dovecot/modules/
bash: cd: /usr/lib/dovecot/modules/: Datei oder Verzeichnis nicht
gefunden

Kann es sein, daß die _64-Pakete nicht ordentlich gepackt sind?


> Oder nimm stattdessen die dovecot20-Pakete ;-)

Tjaaa... die Kiste läuft produktiv, da würde ich Experimente gerne
vermeiden. Welche Stolpersteine gäbs denn da so? Muß an der
Konfiguration was gedreht werden?

Danke+Gruß!

-- 
Andre Tann



From atann at alphasrv.net  Tue Sep  6 09:22:16 2011
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 6 Sep 2011 09:22:16 +0200
Subject: [Postfixbuch-users] OT: Dovecot-Module
In-Reply-To: <201109060915.52263@inter.netz>
References: <201109051408.27982@inter.netz> <4E64D00A.4000506@web.de>
	<201109060915.52263@inter.netz>
Message-ID: <201109060922.17227@inter.netz>

Andre Tann, Dienstag, 6. September 2011: 

> Kann es sein, daß die _64-Pakete nicht ordentlich gepackt sind?

Meiomei...

/usr/lib64/dovecot/modules/

Da steckt das Zeuch, und gut ist. 

Sorry für die Störung?

-- 
Andre Tann



From jk at jkart.de  Tue Sep  6 13:11:56 2011
From: jk at jkart.de (Jim Knuth)
Date: Tue, 06 Sep 2011 13:11:56 +0200
Subject: [Postfixbuch-users] Postscreen und dnsbl
Message-ID: <4E65FFFC.8060300@jkart.de>

Hallo,

ich benutze Postfix 2.8.4 mit Postscreen.
Der Block in der main.cf sieht so aus:

postscreen_dnsbl_sites =
         black.uribl.com
         zen.spamhaus.org
         bl.spamcop.net
         dnsbl.njabl.org
         ix.dnsbl.manitu.net

Gibt?s da was Neues oder Besseres inzwischen
oder is das so ok?

-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Ein kluger Mann widerspricht seiner Frau nicht.
Er wartet, bis sie es selbst tut.
[Humphrey Bogart]


From andreas.schulze at datev.de  Tue Sep  6 13:42:16 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 6 Sep 2011 13:42:16 +0200
Subject: [Postfixbuch-users] Postscreen und dnsbl
In-Reply-To: <4E65FFFC.8060300@jkart.de>
References: <4E65FFFC.8060300@jkart.de>
Message-ID: <20110906114216.GA9404@spider.services.datevnet.de>

Am 06.09.2011 13:11 schrieb Jim Knuth:
> ich benutze Postfix 2.8.4 mit Postscreen.
> Der Block in der main.cf sieht so aus:
> 
> postscreen_dnsbl_sites =
>         black.uribl.com
>         zen.spamhaus.org
>         bl.spamcop.net
>         dnsbl.njabl.org
>         ix.dnsbl.manitu.net
Ich setzte immer ein Komma, aber das ist wohl Geschmackssache.

Du kannst noch gewichten und einen Score einstellen, ab dem der Client abgewiesen wird:
"Geh' weg, wenn Du in 2 Sperrlisten auftauchs oder in zen.spamhaus.org stehst"
http://www.postfix.org/postconf.5.html#postscreen_dnsbl_sites

postscreen_dnsbl_threshold = 2
postscreen_dnsbl_sites =
  black.uribl.com,
  zen.spamhaus.org*2,
  bl.spamcop.net,
  dnsbl.njabl.org,
  ix.dnsbl.manitu.net

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From jk at jkart.de  Tue Sep  6 13:51:24 2011
From: jk at jkart.de (Jim Knuth)
Date: Tue, 06 Sep 2011 13:51:24 +0200
Subject: [Postfixbuch-users] Postscreen und dnsbl
In-Reply-To: <20110906114216.GA9404@spider.services.datevnet.de>
References: <4E65FFFC.8060300@jkart.de>
	<20110906114216.GA9404@spider.services.datevnet.de>
Message-ID: <4E66093C.2070404@jkart.de>

am 06.09.11 13:42 schrieb Andreas Schulze <andreas.schulze at datev.de>:

> Am 06.09.2011 13:11 schrieb Jim Knuth:
>> ich benutze Postfix 2.8.4 mit Postscreen.
>> Der Block in der main.cf sieht so aus:
>>
>> postscreen_dnsbl_sites =
>>          black.uribl.com
>>          zen.spamhaus.org
>>          bl.spamcop.net
>>          dnsbl.njabl.org
>>          ix.dnsbl.manitu.net
> Ich setzte immer ein Komma, aber das ist wohl Geschmackssache.

ja, ist es, weil egal.

>
> Du kannst noch gewichten und einen Score einstellen, ab dem der Client abgewiesen wird:
> "Geh' weg, wenn Du in 2 Sperrlisten auftauchs oder in zen.spamhaus.org stehst"
> http://www.postfix.org/postconf.5.html#postscreen_dnsbl_sites

ja klar, hab ich. Bloss weggelassen im Post ;)
Aber die Listen sind ok, oder?

>
> postscreen_dnsbl_threshold = 2
> postscreen_dnsbl_sites =
>    black.uribl.com,
>    zen.spamhaus.org*2,
>    bl.spamcop.net,
>    dnsbl.njabl.org,
>    ix.dnsbl.manitu.net
>


-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------

Nichts teilen wir so gerne an andre mit als das Siegel
der Verschwiegenheit - samt dem, was darunter ist.
[Nietzsche]


From andreas.schulze at datev.de  Tue Sep  6 14:15:06 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 6 Sep 2011 14:15:06 +0200
Subject: [Postfixbuch-users] Postscreen und dnsbl
In-Reply-To: <4E66093C.2070404@jkart.de>
References: <4E65FFFC.8060300@jkart.de>
	<20110906114216.GA9404@spider.services.datevnet.de>
	<4E66093C.2070404@jkart.de>
Message-ID: <20110906121506.GA9888@spider.services.datevnet.de>

Am 06.09.2011 13:51 schrieb Jim Knuth:
> Aber die Listen sind ok, oder?
> >   black.uribl.com,
> >   dnsbl.njabl.org,
die beiden kann ich nicht bewerten,

die anderen 3 sind definitiv ok.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From sebastian at debianfan.de  Tue Sep  6 14:12:28 2011
From: sebastian at debianfan.de (sebastian)
Date: Tue, 06 Sep 2011 14:12:28 +0200
Subject: [Postfixbuch-users] Postfix & postscreen - Postfix 2.8...
Message-ID: <4E660E2C.3020808@debianfan.de>

Hallo zusammen,

ich würde gern auch postscreen nutzen - aber das gibts ja wohl erst ab 2.8.

Gibt es eine Möglichkeit an Postfix 2.8 aus offiziellen Quellen 
ranzukommen (irgendwelche Sourcen) - Debian Squeeze hat erst 2.7.1 - 
ohne dass ich Postfix neu zusammenbauen muss?

gruß

:-)


From tobias at hachmer.de  Tue Sep  6 14:23:30 2011
From: tobias at hachmer.de (Tobias Hachmer)
Date: Tue, 06 Sep 2011 14:23:30 +0200
Subject: [Postfixbuch-users] Postfix & postscreen - Postfix 2.8...
In-Reply-To: <4E660E2C.3020808@debianfan.de>
References: <4E660E2C.3020808@debianfan.de>
Message-ID: <d26942f10db4af16ff1e954803e46158@hachmer.de>

On Tue, 06 Sep 2011 14:12:28 +0200, sebastian wrote:
> Gibt es eine Möglichkeit an Postfix 2.8 aus offiziellen Quellen
> ranzukommen (irgendwelche Sourcen) - Debian Squeeze hat erst 2.7.1 -
> ohne dass ich Postfix neu zusammenbauen muss?

Du kannst die Pakete aus den Backports oder von Wheezy oder sid 
verwenden:

http://packages.debian.org/search?suite=squeeze-backports&searchon=names&keywords=postfix

Gruß, Tobias


From driessen at fblan.de  Tue Sep  6 14:29:15 2011
From: driessen at fblan.de (Driessen)
Date: Tue, 6 Sep 2011 14:29:15 +0200
Subject: [Postfixbuch-users] Postfix & postscreen - Postfix 2.8...
In-Reply-To: <4E660E2C.3020808@debianfan.de>
References: <4E660E2C.3020808@debianfan.de>
Message-ID: <006301cc6c90$97a7aaa0$0565a8c0@uwe>

On Behalf Of sebastian
> 
> Hallo zusammen,
> 
> ich würde gern auch postscreen nutzen - aber das gibts ja wohl erst ab
> 2.8.
> 
> Gibt es eine Möglichkeit an Postfix 2.8 aus offiziellen Quellen
> ranzukommen (irgendwelche Sourcen) - Debian Squeeze hat erst 2.7.1 -
> ohne dass ich Postfix neu zusammenbauen muss?

Du kannst folgendes Paket probieren 

deb http://ppa.launchpad.net/christian-roessner-net/postfix/ubuntu lucid
main




Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From Jogie at quantentunnel.de  Tue Sep  6 15:13:36 2011
From: Jogie at quantentunnel.de (Jogie at quantentunnel.de)
Date: Tue, 06 Sep 2011 15:13:36 +0200
Subject: [Postfixbuch-users] OT: syslog-ng 3.1.3-3 beibringen remote zu
	loggen
Message-ID: <20110906131336.6870@gmx.net>

Hallo liebe Postfixfreunde,

 mein Thema ist hier vielleicht etwas OT, aber irgendwie geht es schon um Postfix. Ich versuche seit einiger Zeit, das mail.log mit syslog-ng Version 3.1.3-3 (Debian Squeeze) beizubringen von 2 Postfix Stationen auf einen Remotehost zu loggen.

 Seit der 3er Version wurde aber die Konfig so umstrukturiert, dass ich nicht mehr zurecht komme.

 Hat von euch schon einer eine ähnliche Konstellation (via UDP) zu laufen? Würde mich über Tipps freuen, oder einen Link der mir weiterhilft.

 Vielen Dank und Grüße,

 Jörg
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110906/d0ed7c03/attachment.htm>

From Jogie at quantentunnel.de  Tue Sep  6 15:18:39 2011
From: Jogie at quantentunnel.de (Jogie at quantentunnel.de)
Date: Tue, 06 Sep 2011 15:18:39 +0200
Subject: [Postfixbuch-users] Postfix & postscreen - Postfix 2.8...
Message-ID: <20110906131839.6870@gmx.net>

Hallo, > Gibt es eine Möglichkeit an Postfix 2.8 aus offiziellen Quellen > ranzukommen (irgendwelche Sourcen) - Debian Squeeze hat erst 2.7.1 - > ohne dass ich Postfix neu zusammenbauen muss?  Kann über die Backports bezogen werden: http://backports-master.debian.org/Instructions/

 Einfach einbinden wie beschrieben, und dann ein apt-get update und apt-get upgrade -t squeeze-backports bzw. apt-get install -t squeeze-backports postfix wenn nur Postfix aktualisiert werden soll.

 Gruß Jörg
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110906/6bf93513/attachment.htm>

From andreas.schulze at datev.de  Tue Sep  6 15:33:03 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 6 Sep 2011 15:33:03 +0200
Subject: [Postfixbuch-users] OT: syslog-ng 3.1.3-3 beibringen remote zu
 loggen
In-Reply-To: <20110906131336.6870@gmx.net>
References: <20110906131336.6870@gmx.net>
Message-ID: <20110906133303.GA13075@spider.services.datevnet.de>

Am 06.09.2011 15:13 schrieb Jogie at quantentunnel.de:
>  Seit der 3er Version wurde aber die Konfig so umstrukturiert, dass ich nicht mehr zurecht komme.
Wenn Du eh Aufwand investierst, dann schau Dir mal rsyslog statt syslog-ng an.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From postfixbuch-users at drobic.de  Tue Sep  6 16:25:53 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Tue, 06 Sep 2011 16:25:53 +0200
Subject: [Postfixbuch-users] Postscreen und dnsbl
In-Reply-To: <4E65FFFC.8060300@jkart.de>
References: <4E65FFFC.8060300@jkart.de>
Message-ID: <4E662D71.8030900@drobic.de>

On 06.09.2011 13:11, Jim Knuth wrote:
> Hallo,
> 
> ich benutze Postfix 2.8.4 mit Postscreen.
> Der Block in der main.cf sieht so aus:
> 
> postscreen_dnsbl_sites =
>         black.uribl.com
>         zen.spamhaus.org
>         bl.spamcop.net
>         dnsbl.njabl.org
>         ix.dnsbl.manitu.net
> 
> Gibt?s da was Neues oder Besseres inzwischen
> oder is das so ok?

Okay, hier ein paar Denkanstöße:

  - Was sagt deine Statistik, wieviele Rejects von welcher BL kommen?
Ich habe bei mir festgestellt, dass nach zen die anderen BLs nur noch wenige
Rejects auslösen.

Ob die BLs passen oder nicht hängt stark von deiner Policy ab, und die kennt
keiner außer dir. Was für den einen ein fataler False Positive ist, ist für
den anderen ein völlig logischer Reject wegen Server Fehlkonfiguration und
deshalb akzeptabel. Deshalb musst du dir wohl oder übel selber die Mühe
machen, die Policy der BL zu lesen und mit deiner Policy abzustimmen.

Sandy


From sebastian at debianfan.de  Tue Sep  6 16:39:19 2011
From: sebastian at debianfan.de (sebastian)
Date: Tue, 06 Sep 2011 16:39:19 +0200
Subject: [Postfixbuch-users] Postfix & postscreen - Postfix 2.8...
In-Reply-To: <20110906131839.6870@gmx.net>
References: <20110906131839.6870@gmx.net>
Message-ID: <4E663097.6000405@debianfan.de>

Am 06.09.2011 15:18, schrieb Jogie at quantentunnel.de:
> install -t squeeze-backports postfix

cool - danke

mail_version = 2.8.3

:-)


From postfixusers at home.tom-krieger.de  Tue Sep  6 16:53:10 2011
From: postfixusers at home.tom-krieger.de (Thomas Krieger)
Date: Tue, 6 Sep 2011 16:53:10 +0200
Subject: [Postfixbuch-users] OT: syslog-ng 3.1.3-3 beibringen remote zu
	loggen
In-Reply-To: <20110906133303.GA13075@spider.services.datevnet.de>
References: <20110906131336.6870@gmx.net>
	<20110906133303.GA13075@spider.services.datevnet.de>
Message-ID: <201109061653.13162.postfixusers@home.tom-krieger.de>

Am Di September 6 2011 schrieb Andreas Schulze:
> Am 06.09.2011 15:13 schrieb Jogie at quantentunnel.de:
> >  Seit der 3er Version wurde aber die Konfig so umstrukturiert, dass ich
> >  nicht mehr zurecht komme.
> 
> Wenn Du eh Aufwand investierst, dann schau Dir mal rsyslog statt syslog-ng
> an.

Das hilft im Punkto syslog-ng aber nicht weiter.

Um syslog-ng remote loggen zu lassen braucht man:

1. eine destination
destination loghost2 {
        tcp("1.2.3.4" port(514));
};

Ich bnutze tcp für syslog. Wenn Du udp brauchst, dann musst Du tcp durch udp 
ersetzen


2. eine log Regel, die die Daten wegschickt
log { source(s_all); destination(loghost2); };

Man kann das auch mit einem Filter kombinieren. Ich will aber alles 
ungefiltert am remote syslog haben.

Die source muss entsprechend der eigenen Konfig ersetzt werden.


HTH

Thomas


From Jogie at quantentunnel.de  Tue Sep  6 17:45:02 2011
From: Jogie at quantentunnel.de (Jogie at quantentunnel.de)
Date: Tue, 06 Sep 2011 17:45:02 +0200
Subject: [Postfixbuch-users] OT: syslog-ng 3.1.3-3 beibringen remote
	zu	loggen
Message-ID: <20110906154502.6880@gmx.net>

Hallo, >Am Di September 6 2011 schrieb Andreas Schulze: > Am 06.09.2011 15:13 schrieb  Jogie at quantentunnel.de : > > Seit der 3er Version wurde aber die Konfig so umstrukturiert, dass ich > > nicht mehr zurecht komme. > > Wenn Du eh Aufwand investierst, dann schau Dir mal rsyslog statt syslog-ng > an. > >Das hilft im Punkto syslog-ng aber nicht weiter. vielen Dank an euch beide. Werde mir beide Varianten mal anschauen. :)

 Gruß Jörg
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110906/d87c396d/attachment.htm>

From Jogie at quantentunnel.de  Tue Sep  6 18:15:56 2011
From: Jogie at quantentunnel.de (Jogie at quantentunnel.de)
Date: Tue, 06 Sep 2011 18:15:56 +0200
Subject: [Postfixbuch-users] Postfix postscreen und mailgraph
Message-ID: <20110906161556.6890@gmx.net>

Hallo liebe Postfix Freunde :)

 Habe selbst postscreen seit 3 Tagen am laufen und sehe nun im Mailgraph, dass ich mehr "echte" Mails habe, als "Rejects". Sieht für mich so aus, als könnte Mailgraph die Eintragungen im Log nicht auswerten / zuordnen?

 Hat das schon jemand kombiniert? Gibts da einen Trick? Loglevel von postscreen erhöhen oder so?

 Danke für eure Hilfe.

 Gruß Jörg
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110906/7a9ebd0b/attachment.htm>

From tobias at hachmer.de  Tue Sep  6 18:53:52 2011
From: tobias at hachmer.de (Tobias Hachmer)
Date: Tue, 06 Sep 2011 18:53:52 +0200
Subject: [Postfixbuch-users] Postfix postscreen und mailgraph
In-Reply-To: <20110906161556.6890@gmx.net>
References: <20110906161556.6890@gmx.net>
Message-ID: <ded0dea0cf2888513b301095fa8f8787@hachmer.de>

On Tue, 06 Sep 2011 18:15:56 +0200, Jogie at quantentunnel.de wrote:
> Habe selbst postscreen seit 3 Tagen am laufen und sehe nun im 
> Mailgraph,
> dass ich mehr "echte" Mails habe, als "Rejects". Sieht für mich so 
> aus,
> als könnte Mailgraph die Eintragungen im Log nicht auswerten / 
> zuordnen?
>
> Hat das schon jemand kombiniert? Gibts da einen Trick? Loglevel von
> postscreen erhöhen oder so?

Dem Mailgraph Script muss die Log-Syntax von Postscreen erst 
beigebracht werden, ansonsten weiß Mailgraph nichts von den postscreen 
rejects.

Bei mir in der mailgraph.pl habe ich um die Zeile 635 am Ende des 
"if($prog =~ /^postfix\/(.*)/)"-Blocks Folgendes hinzugefügt:

elsif($prog eq 'postscreen') {
                         if($text =~ /NOQUEUE: reject:/) {
                                 event($time, 'rejected');
                         }
                 }
elsif($prog eq 'postscreen') {
                         if($text =~ /DISCONNECT/) {
                                 event($time, 'rejected');
                         }
                 }

Gruß, Tobias


From tobias at hachmer.de  Tue Sep  6 18:59:06 2011
From: tobias at hachmer.de (Tobias Hachmer)
Date: Tue, 06 Sep 2011 18:59:06 +0200
Subject: [Postfixbuch-users] Postfix postscreen und mailgraph
In-Reply-To: <ded0dea0cf2888513b301095fa8f8787@hachmer.de>
References: <20110906161556.6890@gmx.net>
	<ded0dea0cf2888513b301095fa8f8787@hachmer.de>
Message-ID: <d2d1fcf984e42b4bf18180486d723860@hachmer.de>

On Tue, 06 Sep 2011 18:53:52 +0200, Tobias Hachmer wrote:
> On Tue, 06 Sep 2011 18:15:56 +0200, Jogie at quantentunnel.de wrote:
>> Habe selbst postscreen seit 3 Tagen am laufen und sehe nun im 
>> Mailgraph,
>> dass ich mehr "echte" Mails habe, als "Rejects". Sieht für mich so 
>> aus,
>> als könnte Mailgraph die Eintragungen im Log nicht auswerten / 
>> zuordnen?
>>
>> Hat das schon jemand kombiniert? Gibts da einen Trick? Loglevel von
>> postscreen erhöhen oder so?
>
> Dem Mailgraph Script muss die Log-Syntax von Postscreen erst
> beigebracht werden, ansonsten weiß Mailgraph nichts von den 
> postscreen
> rejects.
>
> Bei mir in der mailgraph.pl habe ich um die Zeile 635 am Ende des
> "if($prog =~ /^postfix\/(.*)/)"-Blocks Folgendes hinzugefügt:
>
> elsif($prog eq 'postscreen') {
>                         if($text =~ /NOQUEUE: reject:/) {
>                                 event($time, 'rejected');
>                         }
>                 }
> elsif($prog eq 'postscreen') {
>                         if($text =~ /DISCONNECT/) {
>                                 event($time, 'rejected');
>                         }
>                 }

Sorry, korrekterweise müsste es so lauten:

elsif($prog eq 'postscreen') {
                         if($text =~ /NOQUEUE: reject:/) {
                                 event($time, 'rejected');
                         }
                         elsif($text =~ /DISCONNECT/) {
                                 event($time, 'rejected');
                         }
                 }

Tobias


From w.flamme at web.de  Tue Sep  6 21:16:10 2011
From: w.flamme at web.de (Werner Flamme)
Date: Tue, 06 Sep 2011 21:16:10 +0200
Subject: [Postfixbuch-users] OT: Dovecot-Module
In-Reply-To: <201109060922.17227@inter.netz>
References: <201109051408.27982@inter.netz>
	<4E64D00A.4000506@web.de>	<201109060915.52263@inter.netz>
	<201109060922.17227@inter.netz>
Message-ID: <4E66717A.3090801@web.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 06.09.2011 09:22, schrieb Andre Tann:
> Andre Tann, Dienstag, 6. September 2011: 
> 
>> Kann es sein, daß die _64-Pakete nicht ordentlich gepackt sind?
> 
> Meiomei...
> 
> /usr/lib64/dovecot/modules/
> 
> Da steckt das Zeuch, und gut ist. 
> 
> Sorry für die Störung?

Ach so, ein 64-Bit-System... Tja, es gibt da wohl zwei Tendenzen: die
einen benutzen /lib für 64 Bit (weil es ein 64-Bit-System ist) und
/lib32 für "den alten Kram", die anderen /lib für 32 Bit (weil das schon
immer so war) und /lib64 für "das neue Zeugs".

Mir reichen schon 2 Bit ;-)

P.S.: manchmal hilft "rpm -ql $paketname" - oder das gute alte "pin",
das ich erst gestern wieder installiert (zypper in pin) habe (es gibt
zumindest gute Hinweise), weil webpin ja tot ist :-(

Gruß
Werner



-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.16 (GNU/Linux)
Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOZnF5AAoJEOfJ7bNoiiCNPvYIAKXFK7eubZTM1SaPLhaPjvXn
dVjqMVnP2nuovAmlSI0LvcqHbh5TxpDUYSvUVdQgIIZFM/ZopivhLPYry5o6UdhA
ZaZwfc3GByxvF/sHWMzvsyd3WTbnXTY9WYlQb7QRAPxDTpJB8iB9k+QAiThcJp0W
/hsvNYbKTiMWDQL7hNsTM8mXDSqRCPIsmMN/t+O5CJs+C8+FXsh9tlcFQHzJ8W49
elRIjxo4o7u2FlU51lPSnYN2DfXKrve/+r3LNqzxDCeFAJ2lqnDlKO1IZhLEWhHU
adbIil5HTo5DS66vbIYpgs1dp2faTY/SPNfMapiDg6qbxOsy7tN/pyXu7FqThak=
=qU5C
-----END PGP SIGNATURE-----


From p.heinlein at heinlein-support.de  Thu Sep  8 16:25:43 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 8 Sep 2011 16:25:43 +0200
Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL
	generiertfalse-positives
In-Reply-To: <20110903133809.GA22935@rz.ek-muc.de>
References: <B6DB66784D8F40649813511468DECB58@florian>
	<CBD3A9DC8E594B4C99A0B266AB02836B@florian>
	<20110903133809.GA22935@rz.ek-muc.de>
Message-ID: <201109081625.43658.p.heinlein@heinlein-support.de>

Am Samstag, 3. September 2011, 15:38:10 schrieb Robert Felber:

> Darueber hinaus waere es nett, wenn ich einen oeffentlich erreichbaren
> IPv6 MX haette, an dem ich Aenderungen an der IPV6-Behandlung testen
> kann.


Haben wir hier natürlich, ruf mich an.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From p.heinlein at heinlein-support.de  Thu Sep  8 17:19:47 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 8 Sep 2011 17:19:47 +0200
Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL
	generiertfalse-positives
In-Reply-To: <20110903133809.GA22935@rz.ek-muc.de>
References: <B6DB66784D8F40649813511468DECB58@florian>
	<CBD3A9DC8E594B4C99A0B266AB02836B@florian>
	<20110903133809.GA22935@rz.ek-muc.de>
Message-ID: <201109081719.47519.p.heinlein@heinlein-support.de>

Am Samstag, 3. September 2011, 15:38:10 schrieb Robert Felber:


> Ein Version ohne IPV6 RBL wird hochgeladen.

Auf

http://download.opensuse.org/repositories/home:/pheinlein

befinden sich übrigens Pakete für *SUSE, CentOS, RHEL, RedHat und andere.

Kann man als Repo direkt einbinden und dann zukünftig auch nett updaten.

Peer



-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfixbuch at cboltz.de  Fri Sep  9 00:21:21 2011
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Fri, 9 Sep 2011 00:21:21 +0200
Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL
	generiertfalse-positives
In-Reply-To: <201109081719.47519.p.heinlein@heinlein-support.de>
References: <B6DB66784D8F40649813511468DECB58@florian>
	<20110903133809.GA22935@rz.ek-muc.de>
	<201109081719.47519.p.heinlein@heinlein-support.de>
Message-ID: <201109090021.22270@tux.boltz.de.vu>

Hallo Peer, hallo Leute,

Am Donnerstag, 8. September 2011 schrieb Peer Heinlein:
> Am Samstag, 3. September 2011, 15:38:10 schrieb Robert Felber:
> > Ein Version ohne IPV6 RBL wird hochgeladen.

> http://download.opensuse.org/repositories/home:/pheinlein

> Kann man als Repo direkt einbinden und dann zukünftig auch nett
> updaten.

Spricht irgendwas dagegen, das Paket zu Factory zu submitten?
Dann müsste man nichtmal ein Repo hinzufügen und könnte einfach nur 
zypper in aufrufen ;-)

Die Frage gilt nicht nur für policyd-weight, sondern für viele (alle?) 
Pakete in home:pheinlein ;-)


Gruß

Christian Boltz
-- 
But a cactus is stable. Have you ever tried to kill a cactus just
running against it? [Kim Leyendecker in opensuse-project]


From atann at alphasrv.net  Fri Sep  9 10:57:44 2011
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 9 Sep 2011 10:57:44 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Server=2C_die_nicht_=C3=BCbers_Grey?=
	=?utf-8?q?listing_kommen?=
Message-ID: <201109091057.44635@inter.netz>

Servus zusammen,

in letzter Zeit hab ich öfter mal Probleme mit Servern, die anscheinend
nicht übers Greylisting kommen. Meist sind das französische
Gurkenserver¹ (Gurkenserver gibts übrigens ziemlich viele in
Frankreich), aber auch in Deutschland kämpfen einige².

Gibts irgendwo eine gepflegte Liste aller Server, die da Schwierigkeiten
machen? Wenn nein, wäre es evtl. sinnvoll, so etwas einzurichten?

Ich habe es mittlerweile aufgegeben, wegen solcher Probleme Mails an
postmaster@ zu verfassen. Da kommt nie eine Antwort, das ist
verschwendete Zeit.

Welche Meinungen gibts dazu hier?

Viele Grüße!
AT



¹ Zuletzt dieser hier: mailrelay6-out.ornis.com
² Zuletzt: eu1sys200aog107.obsmtp.com oder eu1sys200aog110.obsmtp.com

-- 
Andre Tann



From postfixbuch-users at gmj.cjb.net  Fri Sep  9 11:03:22 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 09 Sep 2011 11:03:22 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <201109091057.44635@inter.netz>
References: <201109091057.44635@inter.netz>
Message-ID: <4E69D65A.6080209@gmj.cjb.net>

Am 09.09.2011 10:57, schrieb Andre Tann:

> in letzter Zeit hab ich öfter mal Probleme mit Servern, die anscheinend
> nicht übers Greylisting kommen. Meist sind das französische
> Gurkenserver¹ (Gurkenserver gibts übrigens ziemlich viele in
> Frankreich), aber auch in Deutschland kämpfen einige².

Ich hätte noch die Server von T-Online (mailout*.t-online.de) im
Angebot, die z.T. erst nach Tagen wieder kommen.

Gruß,
Mathias


From leo at leo-unglaub.net  Fri Sep  9 11:04:00 2011
From: leo at leo-unglaub.net (Leo Unglaub)
Date: Fri, 09 Sep 2011 11:04:00 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <201109091057.44635@inter.netz>
References: <201109091057.44635@inter.netz>
Message-ID: <4E69D680.2060701@leo-unglaub.net>

Hallo !
Falls du Debian verwendest hast du in /etc/postgrey/whitelist_clients
eine "halbwegs" aktuelle Liste. Wobei sich mir nachwievor die Frage
stellt warum man Server die eindeutig den RFC verletzen/falsch
implementiert haben auch noch dahingehend unterstützen sollte indem man
sie auf eine whitelist packt.

Meiner persönlichen Meinung nach sollte man das nicht machen.
Viele Grüße
Leo

Am 09.09.2011 10:57, schrieb Andre Tann:
> Servus zusammen,
>
> in letzter Zeit hab ich öfter mal Probleme mit Servern, die anscheinend
> nicht übers Greylisting kommen. Meist sind das französische
> Gurkenserver¹ (Gurkenserver gibts übrigens ziemlich viele in
> Frankreich), aber auch in Deutschland kämpfen einige².
>
> Gibts irgendwo eine gepflegte Liste aller Server, die da Schwierigkeiten
> machen? Wenn nein, wäre es evtl. sinnvoll, so etwas einzurichten?
>
> Ich habe es mittlerweile aufgegeben, wegen solcher Probleme Mails an
> postmaster@ zu verfassen. Da kommt nie eine Antwort, das ist
> verschwendete Zeit.
>
> Welche Meinungen gibts dazu hier?
>
> Viele Grüße!
> AT
>
>
>
> ¹ Zuletzt dieser hier: mailrelay6-out.ornis.com
> ² Zuletzt: eu1sys200aog107.obsmtp.com oder eu1sys200aog110.obsmtp.com
>

-- 
Leo Unglaub
Deutenhofenstraße 7
A-9020 Klagenfurt
Austria

Telefon: 0650 / 6575103
Webseite: http://www.leo-unglaub.net
Twitter: http://twitter.com/LeoUnglaub

Gesendet mit Thunderbird / Linux (Ubuntu)



From atann at alphasrv.net  Fri Sep  9 11:21:23 2011
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 9 Sep 2011 11:21:23 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E69D680.2060701@leo-unglaub.net>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
Message-ID: <201109091121.23962@inter.netz>

Leo Unglaub, Freitag, 9. September 2011: 

> Falls du Debian verwendest hast du in /etc/postgrey/whitelist_clients
> eine "halbwegs" aktuelle Liste.

...die kenne ich...


> Wobei sich mir nachwievor die Frage
> stellt warum man Server die eindeutig den RFC verletzen/falsch
> implementiert haben auch noch dahingehend unterstützen sollte indem man
> sie auf eine whitelist packt.
> 
> Meiner persönlichen Meinung nach sollte man das nicht machen.

Im konkreten Fall sitzen halt da Auftraggeber hinter diesen Servern,
deren Auftrag mein Kunde gerne hätte. Der Auftraggeber selbst kann (und
will aus Zeitgründen) da nicht viel machen. Und bevor ich da ewig
rumdiskutiere, whiteliste ich lieber so einen Client.

Kürzlich hatte ich mich tagelang mit einem amerikanischen Admin
auseinandergesetzt, der nicht einsehen wollte, wozu sein DNS vorwärts
und rückwärts funktionieren soll. Ich sei der erste gewesen, der sich
darüber beschwert. Irgendwann hab ich ihn einfach gewhitelistet, und
dann wenigstens Ruhe gehabt. Das Volumen mit dem Mailpartner lag im
7stelligen Bereich, da tut man sich mit dem Whitelisten leicht.

-- 
Andre Tann



From postfixbuch-users at list-post.mks-mail.de  Fri Sep  9 11:21:33 2011
From: postfixbuch-users at list-post.mks-mail.de (=?ISO-8859-1?Q?Markus_Sch=F6nhaber?=)
Date: Fri, 09 Sep 2011 11:21:33 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E69D680.2060701@leo-unglaub.net>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
Message-ID: <4E69DA9D.4070705@list-post.mks-mail.de>

09.09.2011 11:04, Leo Unglaub:

> Wobei sich mir nachwievor die Frage
> stellt warum man Server die eindeutig den RFC verletzen/falsch
> implementiert haben auch noch dahingehend unterstützen sollte indem man
> sie auf eine whitelist packt.
> 
> Meiner persönlichen Meinung nach sollte man das nicht machen.

Ich denke, das hängt stark davon ab, wo man als Admin seine Prioritäten
setzt.
Wenn man seine Hauptaufgabe darin sieht, das Netz zu standardkonformen
Verhalten zu erziehen, dann haben solche Server natürlich nichts auf
einer whitelist verloren.
Wenn man allerdings seine Hauptaufgabe darin sieht, seinen
Benutzern/Kunden die Kommunikation per E-Mail zu ermöglichen...

-- 
Gruß
  mks


From pw at wk-serv.de  Fri Sep  9 11:31:45 2011
From: pw at wk-serv.de (Patrick Westenberg)
Date: Fri, 09 Sep 2011 11:31:45 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Server=2C_die_nicht_=C3=BCbers_Grey?=
	=?utf-8?q?listing_kommen?=
In-Reply-To: <201109091121.23962@inter.netz>
References: <201109091057.44635@inter.netz>
	<4E69D680.2060701@leo-unglaub.net> <201109091121.23962@inter.netz>
Message-ID: <518e17406b7c8cfc7be293eb937b507c@wk-serv.de>

 On Fri, 9 Sep 2011 11:21:23 +0200, Andre Tann <atann at alphasrv.net> 
 wrote:

> Kürzlich hatte ich mich tagelang mit einem amerikanischen Admin
> auseinandergesetzt, der nicht einsehen wollte, wozu sein DNS vorwärts
> und rückwärts funktionieren soll. Ich sei der erste gewesen, der sich
> darüber beschwert.

 Dieser Mensch sollte kein Admin sein.




From toni.burger at fuwa.eu  Fri Sep  9 11:43:49 2011
From: toni.burger at fuwa.eu (Toni Burger)
Date: Fri, 09 Sep 2011 11:43:49 +0200
Subject: [Postfixbuch-users] Verteilerliste - Rewrites notwendig
In-Reply-To: <20110902093946.GO16497@charite.de>
References: <1314527539.5563.36.camel@localhost>
	<201108292300.09863@tux.boltz.de.vu>
	<1314786060.5560.6.camel@localhost>
	<201108312316.50462@tux.boltz.de.vu>
	<20110901080937.GD12911@charite.de>
	<20110902093946.GO16497@charite.de>
Message-ID: <4E69DFD5.9090207@fuwa.eu>

Am 02.09.2011 11:39, schrieb Ralf Hildebrandt:
>> Korrekt. Dafür habe ich ein Script :)
> Anbei
>
>
>
Besten Dank. Dafür hätte ich dann doch noch länger gebraucht :).

Toni
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110909/e3937115/attachment.htm>

From driessen at fblan.de  Fri Sep  9 11:47:01 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 9 Sep 2011 11:47:01 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <201109091121.23962@inter.netz>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz>
Message-ID: <000301cc6ed5$6c964aa0$0565a8c0@uwe>

On Behalf Of Andre Tann
> 
> Im konkreten Fall sitzen halt da Auftraggeber hinter diesen Servern,
> deren Auftrag mein Kunde gerne hätte. Der Auftraggeber selbst kann (und
> will aus Zeitgründen) da nicht viel machen. Und bevor ich da ewig
> rumdiskutiere, whiteliste ich lieber so einen Client.

Es gibt auch die Möglichkeit greylisting nur selectiv einzusetzen 

Dann eben halt nur für bestimmte domain Endungen einbinden

Bevor ich da für jedes Gurkensystem eine Ausnahme schreibe...



> 
> Kürzlich hatte ich mich tagelang mit einem amerikanischen Admin
> auseinandergesetzt, der nicht einsehen wollte, wozu sein DNS vorwärts
> und rückwärts funktionieren soll. Ich sei der erste gewesen, der sich

Irgendwann bekommt er es gesagt das heist aber nicht das er überall
durchkommt oder das seine Kunden ihm mitteilen das es probleme mit dem
Versand gibt. Kunden nehmen einfach den nächsten Mailserver (soll Admins
geben die das durchaus so wünschen*gg)

Auch diese Prüfung kann selectiv gesetzt werden eben für die Nationen von
denen man am wenigsten Mail bekommt oder nicht erwartet.

> darüber beschwert. Irgendwann hab ich ihn einfach gewhitelistet, und
> dann wenigstens Ruhe gehabt. Das Volumen mit dem Mailpartner lag im
> 7stelligen Bereich, da tut man sich mit dem Whitelisten leicht.
> 

Was machen die Leute denn wenn postscreen sich noch weiter verbreitet? Das
ist fast wie greylistung und eine weitere Hürde mit denen die Gurkensysteme
Probleme haben.

Wir wollen mal nicht von flächendeckendem IPv6 reden denn dann werden die
obigen Prüfungen fast zwingend sein um ein System sauber bzw. überhaupt
nutzbar zu halten.  

Schöne neue Welt und einige Mailserver werden dann sehr wahrscheinlich
zusammenbrechen. Ein Spamer muß sich eigentlich IPv6 herbeisehnen für jede
Mail eine eigene IP Adresse als sendender Mailhost *gg


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From postfixbuch-users at gmj.cjb.net  Fri Sep  9 11:55:30 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 09 Sep 2011 11:55:30 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <000301cc6ed5$6c964aa0$0565a8c0@uwe>
References: <201109091057.44635@inter.netz>
	<4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz>
	<000301cc6ed5$6c964aa0$0565a8c0@uwe>
Message-ID: <4E69E292.9000502@gmj.cjb.net>

Am 09.09.2011 11:47, schrieb Driessen:

> Schöne neue Welt und einige Mailserver werden dann sehr wahrscheinlich
> zusammenbrechen. Ein Spamer muß sich eigentlich IPv6 herbeisehnen für jede
> Mail eine eigene IP Adresse als sendender Mailhost *gg

Worin soll da der Vorteil liegen?

Blacklisten nehmen dann halt Prefixe, anstatt einzelne Adressen,
oder übersehe ich hier etwas?

Gruß,
Mathias


From driessen at fblan.de  Fri Sep  9 12:18:02 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 9 Sep 2011 12:18:02 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E69E292.9000502@gmj.cjb.net>
References: <201109091057.44635@inter.netz><4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>
	<4E69E292.9000502@gmj.cjb.net>
Message-ID: <000d01cc6ed9$c1db8710$0565a8c0@uwe>

On Behalf Of Mathias Jeschke
> Am 09.09.2011 11:47, schrieb Driessen:
> 
> > Schöne neue Welt und einige Mailserver werden dann sehr wahrscheinlich
> > zusammenbrechen. Ein Spamer muß sich eigentlich IPv6 herbeisehnen für
> jede
> > Mail eine eigene IP Adresse als sendender Mailhost *gg
> 
> Worin soll da der Vorteil liegen?
> 
> Blacklisten nehmen dann halt Prefixe, anstatt einzelne Adressen,
> oder übersehe ich hier etwas?

Ja die Geschwindigkeit mit der sich so was im IPv6 dann ändern kann die
masse an Adresse die auch im Dialin zur Verfügung stehen ist mehr wie groß.

Und nur die Prefixe geht auch nicht denn dahinter können auch durchaus
legitime Server stehen.
Es wird dann einfach die Masse sein die Probs macht. Das muß dann erstmal in
den Datenbanken eingetragen werden. Botnetze vervielfachen dann die Masse
noch mal. Nicht nur an einen einzelnen Server denken. Den einzelnen Server
mit fester/n IP/'s wird man schnell fangen können (innerhalb 12-24 Stunden)
denn es wird ja nicht beim ersten spam der irgendwo aufschlägt geblockt. 

Auch die Qualität der Sprache in den SPams und persönliche Ansprache (Hallo
Hans Muster...)  wird immer besser.
Auch heute haben die textfilter schon ihre Probs mit solchem Spam der geht
dann unter umständen auch mal mit "nur" 2.xx durch die Filter.   

Das wird nicht einfach, wenn überhaupt zufriedenstellend, zu lösen sein.
Wir haben uns mit ein paar Leuten schon den Kopf zerbrochen aber mit
Blacklisten alleine wird es nicht gehen.
> 
> Gruß,
> Mathias

Von daher lassen wir uns überraschen was da noch kommt und welche Mailserver
Ihre Probs bekommen.

Es wird eine andere Qualität der Filterung werden. Das gute ist wir haben
noch 10 Jahre zeit *gg. 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From hajo.locke at gmx.de  Fri Sep  9 12:15:25 2011
From: hajo.locke at gmx.de (Hajo Locke)
Date: Fri, 9 Sep 2011 12:15:25 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz>
Message-ID: <63EEB0DFEAC4467EB4C46EB5FDA93EB0@ai.local>


Hallo,

>> Und bevor ich da ewig
>> rumdiskutiere, whiteliste ich lieber so einen Client.

ich bin da hin und hergerissen. Durch das Whitelisten erspart man sich Ärger 
mit dem Kunden und Diskutiererei mit dem Verursacher, aber es ändert an der 
Gesamtlage nichts und es besteht kein Druck beim Verursacher nachzubessern.
Ich bin da manchmal überkorrekt, aber gelegentlich brennt es mir regelrecht 
unter den Nägeln einen Verursacher auf seinen Murks hinzuweisen auch wenn 
der Effekt nicht sehr groß ist.
Dem Kunden die Mails zu verweigern und damit Druck aufzubauen ist aber 
(leider) auch unschön.
Bei mir kann der Kunde sich greylisting für separate Postfächer abschalten, 
ich mag nicht unbedingt einen Client whitelisten (außer den bekannten 
Großen) wenn andere User den Mailserver mitnutzen.

Hajo 



From technoworx at gmx.de  Fri Sep  9 12:10:35 2011
From: technoworx at gmx.de (Alexander Stoll)
Date: Fri, 09 Sep 2011 12:10:35 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E69DA9D.4070705@list-post.mks-mail.de>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<4E69DA9D.4070705@list-post.mks-mail.de>
Message-ID: <4E69E61B.6050904@gmx.de>

Am 09.09.2011 11:21, schrieb Markus Schönhaber:

> Ich denke, das hängt stark davon ab, wo man als Admin seine Prioritäten
> setzt.
> Wenn man seine Hauptaufgabe darin sieht, das Netz zu standardkonformen
> Verhalten zu erziehen, dann haben solche Server natürlich nichts auf
> einer whitelist verloren.
> Wenn man allerdings seine Hauptaufgabe darin sieht, seinen
> Benutzern/Kunden die Kommunikation per E-Mail zu ermöglichen...

Schlüsselwort "Erziehung", wenn der Diskurs in die Verwendung dieser 
Vokabel im Kontext der RFC-Konformität abdriftet, kommt erfahrungsgemäß 
nichts Gutes bei raus...

Primär stellen diese RFCs eine Grundlage für die Interoperabilität im 
Netz dar. Wenn Systeme diese Grundregeln und Protokolle nicht einhalten, 
sind sie primär die Ursache für Probleme der Interoperabilität der 
beteiligten Systeme. Systeme die falsch konfiguriert sind verlagern die 
Last der mangelhaften Administration auf den Kommunikationspartner, der 
NICHT die Ursache für das Problem ist.

Eine Interessenabwägung sollte natürlich immer getroffen werden, nur der 
Ansatz blind ALLES in eine Whitelist zu packen fällt einem spätestens 
dann auf den Fuß, wenn das domestizierte Gurkensystem so verbogen wird, 
dass man auf der Empfängerseite eben keine Möglichkeit mehr hat das über 
Whitelisting zu regeln... Alles schon vorgekommen.
Nicht selten kommt _dann_ der berüchtigte Satz "Sie sind der Erste...."
weil man über viele Jahre gewohnt ist, dass andere die Defizite des 
eigenen Systems ausgleichen.

Ich denke viele hier, die das nicht erst seit gestern machen, könnten 
Bücher über die Eitelkeit von domestiziertem Halbwissen schreiben, wenn 
das Gegenüber kein Interesse an einen funktionierendem Datenaustausch 
hat und statt den Hinweis auf eine Fehlkonfiguration anzunehmen, nur 
seine persönliche Eitelkeit gekränkt sieht und lieber spitzfindige 
Diskussionen über RFC-Auslegungen führt und versucht zu rechtfertigen, 
warum sein System triviale Anforderungen nicht erfüllt, anstatt zwei 
Minuten damit zu verbringen etwas zu korrigieren und seinen Nutzern den 
problemlosen Datenaustausch zu ermöglichen...

Ich halte den unreflektierten Einsatz von Whitelists nicht für 
uneingeschränkt ziel führend, genau so wenig wie der kategorische 
Verzicht darauf.




From postfixbuch-users at gmj.cjb.net  Fri Sep  9 13:22:39 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 09 Sep 2011 13:22:39 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <000d01cc6ed9$c1db8710$0565a8c0@uwe>
References: <201109091057.44635@inter.netz><4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>	<4E69E292.9000502@gmj.cjb.net>
	<000d01cc6ed9$c1db8710$0565a8c0@uwe>
Message-ID: <4E69F6FF.7020506@gmj.cjb.net>

Am 09.09.2011 12:18, schrieb Driessen:

> Ja die Geschwindigkeit mit der sich so was im IPv6 dann ändern kann die
> masse an Adresse die auch im Dialin zur Verfügung stehen ist mehr wie groß.

Hmm, also ich gehe davon aus, dass es nicht deutlich mehr
Dialin-Netzwerke geben wird, als es jetzt Dialin-IPs gibt (Anzahl der
"Anschlussinhaber"). Zudem werden - wie bei IPv4 schon auch -
Die Bereiche der Dialin-Netzwerke bekannt sein und entsprechend in den
RBLs enthalten sein.

> Und nur die Prefixe geht auch nicht denn dahinter können auch durchaus
> legitime Server stehen.

Ist das dann nicht analog zum Fall, wenn ich einen IPv4-Mailserver
betreibe, der Spam verschickt?
Momentan würde halt die 1 IP des Servers geblockt, bei IPv6 das
entsprechende Subnetz (nach Whois).
So wie ich momentan den 1 Server säubern muss, um wieder kommunizieren
zu können, muss ich bei IPv6 halt "mein Subnetz" säubern.

Durch IPv6 wird ja nicht automatisch die Anzahl der Netzbetreiber mehr,
sprich: es wird dann u.U. der Betreiber eines Netzwerks geblockt,
statt einer IP.

> Es wird dann einfach die Masse sein die Probs macht. Das muß dann erstmal in
> den Datenbanken eingetragen werden. Botnetze vervielfachen dann die Masse
> noch mal. Nicht nur an einen einzelnen Server denken. Den einzelnen Server
> mit fester/n IP/'s wird man schnell fangen können (innerhalb 12-24 Stunden)
> denn es wird ja nicht beim ersten spam der irgendwo aufschlägt geblockt. 

Warum soll die Anzahl der IPv6-Netzwerke, die infiziert sind, größer als
die Zahl der IPv4-Adressen? Das Problem besteht doch nur, wenn nicht
bekannt ist, wie groß die Netzwerke sind, was die ISPs aber aus
Eigeninteresse schon bekannt geben werden, dass gerade die legitimen
Systeme nicht geblockt werden, so wie halt bei IPv4 auch.

> Das wird nicht einfach, wenn überhaupt zufriedenstellend, zu lösen sein.
> Wir haben uns mit ein paar Leuten schon den Kopf zerbrochen aber mit
> Blacklisten alleine wird es nicht gehen.

Nur mit Blacklisten geht es bei IPv4 ja auch nicht - siehe Spam von den
großen Mail-Dienstleistern (Google, Yahoo, Hotmail, ...)

Gruß,
Mathias


From driessen at fblan.de  Fri Sep  9 14:32:28 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 9 Sep 2011 14:32:28 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E69F6FF.7020506@gmj.cjb.net>
References: <201109091057.44635@inter.netz><4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>	<4E69E292.9000502@gmj.cjb.net><000d01cc6ed9$c1db8710$0565a8c0@uwe>
	<4E69F6FF.7020506@gmj.cjb.net>
Message-ID: <001801cc6eec$89856620$0565a8c0@uwe>

On Behalf Of Mathias Jeschke
> 
> Am 09.09.2011 12:18, schrieb Driessen:
> 
> > Ja die Geschwindigkeit mit der sich so was im IPv6 dann ändern kann die
> > masse an Adresse die auch im Dialin zur Verfügung stehen ist mehr wie
> groß.
> 
> Hmm, also ich gehe davon aus, dass es nicht deutlich mehr
> Dialin-Netzwerke geben wird, als es jetzt Dialin-IPs gibt (Anzahl der
> "Anschlussinhaber"). Zudem werden - wie bei IPv4 schon auch -
> Die Bereiche der Dialin-Netzwerke bekannt sein und entsprechend in den
> RBLs enthalten sein.

Wer sagt denn das jeder Anschluss wie bei IPv4 nur eine Adresse bekommt?
IPv6 soll Nat überflüssig machen damit braucht aber jedes Gerät hinter dem
Router auch eine öffentliche IPv6. erst damit werden END to END Verbindungen
möglich.

Als kleinste Einheit gibt es /64 für Endkunden (wenn ich nicht irre) =
18446744073709600000 Adressen dat ist schon mächtig was. 

> 
> > Und nur die Prefixe geht auch nicht denn dahinter können auch durchaus
> > legitime Server stehen.
> 
> Ist das dann nicht analog zum Fall, wenn ich einen IPv4-Mailserver
> betreibe, der Spam verschickt?
> Momentan würde halt die 1 IP des Servers geblockt, bei IPv6 das
> entsprechende Subnetz (nach Whois).
> So wie ich momentan den 1 Server säubern muss, um wieder kommunizieren
> zu können, muss ich bei IPv6 halt "mein Subnetz" säubern.

Problem auch bei IPv6 wird im Dialin mit großer Wahrscheinlichkeit
mindestens alle 24 Stunden die Ip bzw. das ganze Subnet gewechselt werden.

Wer nicht auf reverse oder zumindest stimmigen PTR zu Helo und DNS geprüft
dann kommen die zumindest mal bis zum Spamassasin oder wenn gut auch ins
Postfach.
Das Problem wird dort auftreten wo nicht genau hingeschaut wird wer da
einliefert.


> 
> Durch IPv6 wird ja nicht automatisch die Anzahl der Netzbetreiber mehr,
> sprich: es wird dann u.U. der Betreiber eines Netzwerks geblockt,
> statt einer IP.
> 
> > Es wird dann einfach die Masse sein die Probs macht. Das muß dann
> erstmal in
> > den Datenbanken eingetragen werden. Botnetze vervielfachen dann die
> Masse
> > noch mal. Nicht nur an einen einzelnen Server denken. Den einzelnen
> Server
> > mit fester/n IP/'s wird man schnell fangen können (innerhalb 12-24
> Stunden)
> > denn es wird ja nicht beim ersten spam der irgendwo aufschlägt geblockt.
> 
> Warum soll die Anzahl der IPv6-Netzwerke, die infiziert sind, größer als
> die Zahl der IPv4-Adressen? Das Problem besteht doch nur, wenn nicht

Na ganz einfach weil dann jede Maschine auch direkt aus dem Netz ansprechbar
ist zumindest für den der weis wie.
Es wird spannend werden und bleiben.

> bekannt ist, wie groß die Netzwerke sind, was die ISPs aber aus
> Eigeninteresse schon bekannt geben werden, dass gerade die legitimen
> Systeme nicht geblockt werden, so wie halt bei IPv4 auch.

Wer gibt seine Dialin netze bekannt? Und wo? Das sind die wenigsten die das
wirklich tun. (ich auch nicht aber ich habe dafür andere Vorkehrungen
getroffen das nach Möglichkeit sich die Bots nicht heimisch fühlen. 


> 
> > Das wird nicht einfach, wenn überhaupt zufriedenstellend, zu lösen sein.
> > Wir haben uns mit ein paar Leuten schon den Kopf zerbrochen aber mit
> > Blacklisten alleine wird es nicht gehen.
> 
> Nur mit Blacklisten geht es bei IPv4 ja auch nicht - siehe Spam von den
> großen Mail-Dienstleistern (Google, Yahoo, Hotmail, ...)

Das Problem ist ein wenig größer wie man in ein paar Zeilen beschreiben kann
und wie gesagt wir haben noch die Zeit der Vorfreude bis das es soweit ist.




> 
> Gruß,
> Mathias


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From igor.sverkos at googlemail.com  Fri Sep  9 14:51:23 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 09 Sep 2011 14:51:23 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <201109091121.23962@inter.netz>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz>
Message-ID: <4E6A0BCB.4030804@googlemail.com>

Hi,

Andre Tann schrieb:
> Im konkreten Fall sitzen halt da Auftraggeber hinter diesen Servern,
> deren Auftrag mein Kunde gerne hätte. Der Auftraggeber selbst kann (und
> will aus Zeitgründen) da nicht viel machen. Und bevor ich da ewig
> rumdiskutiere, whiteliste ich lieber so einen Client.

Ich verstehe das nicht.

Wie entstand Greylisting? Greylisting ist die Antwort auf die zunehmende
Zahl infizierter Clients mit statischen Adressen die Mails versenden und
noch in keiner RBL stehen.
Bei Beobachtungen stellte man fest, dass diese Spam-Engines nur einmal
gesendet haben und dann mit dieser Signatur nie mehr zurück gekommen sind.
So entstand die Idee von Greylisting: Ich spreche nur mit Servern, die
ich bereits kenne. Kommt somit ein Server zum ersten Mal vorbei, erzeuge
ich von ihm eine Signatur und schicke ihn erst einmal wieder weg. Wenn
das eine legitime Nachricht eines wahren Mailservers ist (=RFC konform),
kommt er schon wieder.

Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
Nachrichten von "Servern" haben möchte, die es nur einmal probieren.

Das ist der die Idee hinter Greylisting. :)

Wie kann es dann hier zu Problemen kommen?

Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
noch einmal probiert, dann erfüllt dieser Mailserver die Definition
eines Servers, von dem ich *keine* Mails möchte.

Dauert es mir zulange, bis der Server es noch einmal probiert - Pech.
Darauf habe ich keinen Einfluss. Das darf jeder Serveradmin selbst
bestimmen - im Zweifel will ich das ja auch ;)
E-Mail ist *kein* Echtzeitkommunikationsmedium (was imho viele aus den
Augen verlieren).
Klar, der Mitarbeiter sitzt in der Praxis mit dem Hörer in der Hand vor
dem PC und wartet auf die E-Mail, die sein Gesprächspartner gerade
abgesendet hat... ;)
Das ist aber alles eine Frage der Schulung. Wissen die Mitarbeiter, dass
E-Mail kein Echtzeitkommunikationsmedium ist? Wissen sie, weshalb
Greylisting zum Einsatz kommt? Dann sollte das kein Problem sein...

Wenn es doch ein Problem ist, stellt sich mir die Frage, ob der Einsatz
von Greylisting genehmigt wurde oder ein Administrator, der dies als
sinnvoll erachtet hat, einfach einsetzt. Letzteres geht in einem
Unternehmen einfach nicht. Dann fehlt die Rückendeckung und vieles mehr.

Kurz um:
Whitelisting passt in meinen Augen nicht zu dem Gedanken, den
Greylisting verfolgt.
Entweder ich bin konsequent oder ich sollte es gleich lassen.

Denkanstoß:
Möglicherweise ist Greylisting auch veraltet - heutige RBLs wie NIX-Spam
sind doch schon sehr gut. Und wenn mehr Server auch SPAM an diese Liste
melden würden anstatt nur zu konsumieren, würden sie noch besser bzw.
eine IP sehr schnell dort gelistet werden...


-- 
Ich Grüße,
Igor


From postfixbuch-users at gmj.cjb.net  Fri Sep  9 15:02:48 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Fri, 09 Sep 2011 15:02:48 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <001801cc6eec$89856620$0565a8c0@uwe>
References: <201109091057.44635@inter.netz><4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>	<4E69E292.9000502@gmj.cjb.net><000d01cc6ed9$c1db8710$0565a8c0@uwe>	<4E69F6FF.7020506@gmj.cjb.net>
	<001801cc6eec$89856620$0565a8c0@uwe>
Message-ID: <4E6A0E78.6030800@gmj.cjb.net>

Am 09.09.2011 14:32, schrieb Driessen:

> Wer sagt denn das jeder Anschluss wie bei IPv4 nur eine Adresse bekommt?

Weiß ich nicht - ich habe das nicht gesagt.

> IPv6 soll Nat überflüssig machen damit braucht aber jedes Gerät hinter dem
> Router auch eine öffentliche IPv6. erst damit werden END to END Verbindungen
> möglich.

Ja, und - was hat das mit dem Blacklisting zu tun?

> Als kleinste Einheit gibt es /64 für Endkunden (wenn ich nicht irre) =
> 18446744073709600000 Adressen dat ist schon mächtig was. 

Ja eben - es reicht dann halt die ersten 64 Bit der IP-Adresse in der
Blacklist-Datenbank zu speichern.
*Jede* Adresse aus _diesem_ /64-Netz passt dann auf den Präfix, ergo es
bringt dem Botnetzbetreiber rein _gar_nichts_ unterschiedliche Adressen
innerhalb eines solchen Netzes zu benutzen, wenn das ganze /64 (oder
mehr) auf der Blacklist ist.

> Problem auch bei IPv6 wird im Dialin mit großer Wahrscheinlichkeit
> mindestens alle 24 Stunden die Ip bzw. das ganze Subnet gewechselt werden.

Wenn die Dialin-Bereiche bekannt sind, ist das egal. Wie bei IPv4.

> Wer nicht auf reverse oder zumindest stimmigen PTR zu Helo und DNS geprüft
> dann kommen die zumindest mal bis zum Spamassasin oder wenn gut auch ins
> Postfach.
> Das Problem wird dort auftreten wo nicht genau hingeschaut wird wer da
> einliefert.

Das ist doch aber kein Problem der Mailserverbetreiber die
_genau_hinschauen_ und Mails aus dem IPv6-Internet annehmen.
Wer nicht "genau hinschaut" hat auch bei IPv4 Probleme.

Noch einmal: Das Ausgangsproblem war, dass viele Mailadmins glauben,
Blacklisting funktioniert bei IPv6 nicht mehr, weil der Adressraum zu
groß wird. Ich bin davon noch nicht so ganz überzeugt, dass man nicht
ähnliche Regelungen wie momentan bei IPv4 finden wird, um den Raum von
2^64 Präfixen zu "klassizieren". (2^64 weil die kleinste an Endkunden zu
vergebene Einheit /64 sein wird - wegen Autokonfiguration, etc.)

>> Warum soll die Anzahl der IPv6-Netzwerke, die infiziert sind, größer als
>> die Zahl der IPv4-Adressen? Das Problem besteht doch nur, wenn nicht
> 
> Na ganz einfach weil dann jede Maschine auch direkt aus dem Netz ansprechbar
> ist zumindest für den der weis wie.
> Es wird spannend werden und bleiben.

Warum sollte das so sein? Die Firewalls machen (wegen NAT) ja eh schon
Connection Tracking. Warum sollte man diesen Teil - der die Sicherheit
des dahinter liegenden Netzwerks erhöht - aus der Funktion der Router
ausbauen?

>> bekannt ist, wie groß die Netzwerke sind, was die ISPs aber aus
>> Eigeninteresse schon bekannt geben werden, dass gerade die legitimen
>> Systeme nicht geblockt werden, so wie halt bei IPv4 auch.
> 
> Wer gibt seine Dialin netze bekannt? Und wo? Das sind die wenigsten die das
> wirklich tun. (ich auch nicht aber ich habe dafür andere Vorkehrungen
> getroffen das nach Möglichkeit sich die Bots nicht heimisch fühlen. 

Öhm, ich dachte, ich hätte so etwas wie "dialin/dyn/user/..." in den
PTRs und auch entsprechende Kommentare im Whois der IP-Bereiche solcher
Provider gelesen. Aber vielleicht verwechsele ich da jetzt auch was.

> Das Problem ist ein wenig größer wie man in ein paar Zeilen beschreiben kann
> und wie gesagt wir haben noch die Zeit der Vorfreude bis das es soweit ist.

Es wird vieles anders werden, aber per se gewisse Techniken
abzuschreiben, halte ich nicht für sinnvoll.

Gruß,
Mathias


From driessen at fblan.de  Fri Sep  9 15:14:45 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 9 Sep 2011 15:14:45 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A0E78.6030800@gmj.cjb.net>
References: <201109091057.44635@inter.netz><4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>	<4E69E292.9000502@gmj.cjb.net><000d01cc6ed9$c1db8710$0565a8c0@uwe>	<4E69F6FF.7020506@gmj.cjb.net><001801cc6eec$89856620$0565a8c0@uwe>
	<4E6A0E78.6030800@gmj.cjb.net>
Message-ID: <001901cc6ef2$71ea1910$0565a8c0@uwe>

On Behalf Of Mathias Jeschke
> Es wird vieles anders werden, aber per se gewisse Techniken
> abzuschreiben, halte ich nicht für sinnvoll.
> 

Wer spricht denn von Abschreiben? 
Ich habe nur gesagt es wird andere Lösungsansätze benötigen weil ungleich
größer.

Es bringt dir nichts das /64 zu sperren das ist wie eine einzelne IP bei v4.

Provider haben/bekommen weitaus größere netze.



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From postfixbuch-users at list-post.mks-mail.de  Fri Sep  9 15:49:37 2011
From: postfixbuch-users at list-post.mks-mail.de (=?ISO-8859-1?Q?Markus_Sch=F6nhaber?=)
Date: Fri, 09 Sep 2011 15:49:37 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A0BCB.4030804@googlemail.com>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz> <4E6A0BCB.4030804@googlemail.com>
Message-ID: <4E6A1971.4090803@list-post.mks-mail.de>

09.09.2011 14:51, Igor Sverkos:

> Andre Tann schrieb:
>> Im konkreten Fall sitzen halt da Auftraggeber hinter diesen Servern,
>> deren Auftrag mein Kunde gerne hätte. Der Auftraggeber selbst kann (und
>> will aus Zeitgründen) da nicht viel machen. Und bevor ich da ewig
>> rumdiskutiere, whiteliste ich lieber so einen Client.

> Bei Beobachtungen stellte man fest, dass diese Spam-Engines nur einmal
> gesendet haben und dann mit dieser Signatur nie mehr zurück gekommen sind.
> So entstand die Idee von Greylisting: Ich spreche nur mit Servern, die
> ich bereits kenne. Kommt somit ein Server zum ersten Mal vorbei, erzeuge
> ich von ihm eine Signatur und schicke ihn erst einmal wieder weg. Wenn
> das eine legitime Nachricht eines wahren Mailservers ist (=RFC konform),
> kommt er schon wieder.
> 
> Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
> Nachrichten von "Servern" haben möchte, die es nur einmal probieren.

Nein, der Grund, warum ich Greylisting einsetze ist ein anderer: Ich
möchte möglichst wenig SPAM annehmen. Mit der Erfahrung, dass bots
normalerweise nur einen Zustellversuch machen, ist Greylisting eine
recht wirksame Maßnahme, die hilft, dieses Ziel zu erreichen.
Prinzipiell ist es mir aber nicht so furchtbar wichtig, wie viele
Zustellversuche ein client macht. Wenn also erwünschte Mail nicht
zugestellt werden kann, weil der Admin des anderen Systems zu blöd ist,
es standardkonform einzurichten und auch nicht dazu bewegt werden kann,
das Problem zu beheben, dann werde ich im Sinne meines Kunden (so diesem
der Empfang solcher Mails am Herzen liegt) handeln und die Kiste
whitelisten.

> Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
> noch einmal probiert, dann erfüllt dieser Mailserver die Definition
> eines Servers, von dem ich *keine* Mails möchte.

Nun, das sehe ich zwar ähnlich, es ändert aber wenig. Denn meinen Kunden
geht die Frage, welcher Server welche Definition erfüllt, meilenweit am
Gesäß vorbei.

-- 
Gruß
  mks


From atann at alphasrv.net  Fri Sep  9 15:50:16 2011
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 9 Sep 2011 15:50:16 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A0BCB.4030804@googlemail.com>
References: <201109091057.44635@inter.netz> <201109091121.23962@inter.netz>
	<4E6A0BCB.4030804@googlemail.com>
Message-ID: <201109091550.16470@inter.netz>

Igor Sverkos, Freitag, 9. September 2011: 

> Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
> Nachrichten von "Servern" haben möchte, die es nur einmal probieren.
> 
> Das ist der die Idee hinter Greylisting. :)

Ja klar. Aber es gibt halt auch ein paar legitime Mailserver, die sich
in manchen Aspekten komisch verhalten, und es nur einmal probieren. Den
muß ich also durchwinken.

Ich betreibe ja keinen Mailserver, um Recht zu haben oder eine
Philosophie zu verfolgen. Der Sinn ist, daß die User/Zahler denken
"geiles Mailsystem, kein Spam, alles funktioniert, der Admin hats
drauf".

Wenn die User sich dann die Mail, die auf den Firmenserver nicht
durchgeht, auf den GMX-Account schicken lassen, und da funktionierts
dann, dann denken die halt "GMX ist eben doch besser".


> Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
> noch einmal probiert, dann erfüllt dieser Mailserver die Definition
> eines Servers, von dem ich *keine* Mails möchte.

Rechthaberei. Alle legitimen Server probieren es öfters? Nein, nicht
alle - manche nur einmal. Jeder Spammer probiert es nur einmal? Nein,
nicht jeder, mancher kommt wieder. Also was soll die Diskussion.
Wenn es so einfach wäre, dann würde Greylisting alleine ja schon
reichen.


> Wenn es doch ein Problem ist, stellt sich mir die Frage, ob der Einsatz
> von Greylisting genehmigt wurde oder ein Administrator, der dies als
> sinnvoll erachtet hat, einfach einsetzt. Letzteres geht in einem
> Unternehmen einfach nicht. Dann fehlt die Rückendeckung und vieles mehr.

Der Admin ist damit beauftragt, ein geiles Mailsystem zu bauen, das
einfach cool funktioniert. Also macht er, was er dafür für richtig hält.
Sich für jede Zeile in der main.cf die Rückendeckung der
Geschäftsleitung zu holen ist weltfremd.


> Möglicherweise ist Greylisting auch veraltet - heutige RBLs wie NIX-Spam
> sind doch schon sehr gut. Und wenn mehr Server auch SPAM an diese Liste
> melden würden anstatt nur zu konsumieren, würden sie noch besser bzw.
> eine IP sehr schnell dort gelistet werden...

Greylisting ist super, weil sehr billig. Bevor ich RBLs mit meinen
Fragen belästige, sortiere ich über postgrey 80% der Anfragen aus. Dann
müssen die RBLs nur noch die interessanten Fragen beantworten.


-- 
Andre Tann



From igor.sverkos at googlemail.com  Fri Sep  9 17:32:10 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 09 Sep 2011 17:32:10 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <201109091550.16470@inter.netz>
References: <201109091057.44635@inter.netz> <201109091121.23962@inter.netz>
	<4E6A0BCB.4030804@googlemail.com> <201109091550.16470@inter.netz>
Message-ID: <4E6A317A.2050003@googlemail.com>

Hi,

Andre Tann schrieb:
>> Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
>> Nachrichten von "Servern" haben möchte, die es nur einmal probieren.
>>
>> Das ist der die Idee hinter Greylisting. :)
> 
> Ja klar.

OK, wir stimmen hier also überein.


> Aber es gibt halt auch ein paar legitime Mailserver, die sich
> in manchen Aspekten komisch verhalten, und es nur einmal probieren. Den
> muß ich also durchwinken.

Mööp. Genau das kann es doch eben nach zurvor dargestellter Idee hinter
Greylisting eben nicht geben. Wer das anders sieht, hat in meinen Augen
das System nicht verstanden und verwendet es missbräuchlich. Noch einmal:

Die Idee hinter Greylisting ist die Beobachtung, dass Spam-Engines in
Malware nur einmal mit einer bestimmten Signatur erscheinen (ein
infizierter Client mag während seiner aktiven Zeit mehrere Angriffe
gegen mein Mailsystem fahren, aber glücklicherweise immer mit einer
neuen Signatur (IP gleich, aber HELO From/To variiert).
Diese Beobachtung wurde bei legitimen Mailservern nicht gemacht - die
verhalten sich anders.

=> Daher hat man das Greylisting-System so gebaut, wie es nun vorliegt.


>> Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
>> noch einmal probiert, dann erfüllt dieser Mailserver die Definition
>> eines Servers, von dem ich *keine* Mails möchte.
> 
> Rechthaberei. Alle legitimen Server probieren es öfters? Nein, nicht
> alle - manche nur einmal. Jeder Spammer probiert es nur einmal? Nein,
> nicht jeder, mancher kommt wieder. Also was soll die Diskussion.
> Wenn es so einfach wäre, dann würde Greylisting alleine ja schon
> reichen.

Stop: Nach der Definition die hinter dem Greylisting-Ansatz steckt, ist
das der Fall. Greylisting definiert das so.

Wenn du mit dieser Definition nicht übereinstimmst - was völlig in
Ordnung geht - musst du aber auch die richtigen Konsequenzen ziehen und
darfst Greylisting *nicht* verwenden.

Die Aufgabe von Greylisting ist es, nur bekannte Mailserver
durchzulassen. Für die "Registrierung" missbraucht die Idee eine (zu dem
Zeitpunkt) gängige Konfiguration: Echte Mailserver (=die Mailserver, die
das Projekt nicht blocken möchte!) kommen wieder.

Ob es jetzt sinnvoll ist, dass manche Server absichtlich nicht
wiederkommen - darüber kann man streiten. Ich kann die Sicht auch
umkehren und sagen: Dann betrachtet der Absender die Nachricht selber
nicht als wichtig - wieso soll ich mich um offenbar unwichtige
Nachrichten kümmern?

Wenn mein Unternehmen also bewusst auf Greylisting setzt, dann ist es in
dem Falle auch gewollt, dass Nachrichten von so einem System meine
Nutzer nie erreichen wird. Dafür habe ich dann Rückendeckung von der
Geschäftsleitung.

An der Stelle kann ich mir dann überlegen, ob ich bestimmte Server davon
ausnehme - weil es diese Möglichkeit gibt. Ich persönlich würde dagegen
argumentieren und dann lieber Greylisting komplett abschalten:
Andernfalls würde ich ein Fass ohne Boden aufmachen:

- Mein Gegenüber wird mich garantiert *nie* darüber informieren, wenn
sie etwas an ihrem Mailsystem geändert haben - ich werde also immer
hinterher rennen. Ich persönlich renne nicht gerne ;)

- Selber Whitelist-Einträge auf Grund bisheriger Server zu setzen finde
ich schon riskant. Klar - im Fehlerfalle kann ich dann natürlich den
Eintrag wieder rausnehmen. Oh, ich renne ja schon wieder hinterher ;)


>> Wenn es doch ein Problem ist, stellt sich mir die Frage, ob der Einsatz
>> von Greylisting genehmigt wurde oder ein Administrator, der dies als
>> sinnvoll erachtet hat, einfach einsetzt. Letzteres geht in einem
>> Unternehmen einfach nicht. Dann fehlt die Rückendeckung und vieles mehr.
> 
> Der Admin ist damit beauftragt, ein geiles Mailsystem zu bauen, das
> einfach cool funktioniert. Also macht er, was er dafür für richtig hält.
> Sich für jede Zeile in der main.cf die Rückendeckung der
> Geschäftsleitung zu holen ist weltfremd.

Das sehe ich entschieden anders:
Die Geschäftsleitung muss über solch grundsätzliche Dinge informiert
sein. Es ist die Pflicht der Administration darauf hinzuweisen.

Wenn *du* wirklich der Überzeugung bist, Greylisting ist die *optimale*
Lösung für euch, dann wird es dir absolut nicht schwer fallen dafür zu
argumentieren. Im Gegenzug erhältst du die Absolution.

Im Problemfalle kannst du dann darauf verweisen. Sollte das zu einem
ernsten Problem werden, kommst du als guter Administrator (das erwarte
ich zumindest von einem, der sich als guter Administrator bezeichnen
würde) möglicherweise zu der Erkenntnis Greylisting zu deaktivieren oder
findest irgendeine andere Lösung - sprichst es aufjedenfall an.

...bleibt ihr bei dem Einsatz von Greylisting und beobachtet, dass MAs
auf private Adressen ausweichen, dann sollte asap eine entsprechende
Policy erlassen werden, die dies untersagt.

Aber spätestens so ein Schritt sollte allen beteiligten zeigen: Die Idee
hinter Greylisting mag toll sein, aber nicht für euer Business :)


> Greylisting ist super, weil sehr billig. Bevor ich RBLs mit meinen
> Fragen belästige, sortiere ich über postgrey 80% der Anfragen aus. Dann
> müssen die RBLs nur noch die interessanten Fragen beantworten.

In Ordnung. :)

Aber wer A sagt, muss dann auch B sagen:
Du willst ein System, was nur wiederkehrende Mailserver erlaubt
(Kernidee von Greylisting!). Dann musst du auch damit leben, dass Server
die nicht wiederkommen abgelehnt werden. :)

...oder du pflegst eine Whitelist. In dem Falle wünsche ich dir viel Spaß!


-- 
Ich Grüße,
Igor



From igor.sverkos at googlemail.com  Fri Sep  9 17:44:29 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 09 Sep 2011 17:44:29 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A1971.4090803@list-post.mks-mail.de>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz> <4E6A0BCB.4030804@googlemail.com>
	<4E6A1971.4090803@list-post.mks-mail.de>
Message-ID: <4E6A345D.6010602@googlemail.com>

Hi,

Markus Schönhaber schrieb:
>> Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
>> Nachrichten von "Servern" haben möchte, die es nur einmal probieren.
> 
> Nein, der Grund, warum ich Greylisting einsetze ist ein anderer: Ich
> möchte möglichst wenig SPAM annehmen.

Hilf mir, wo siehst du den Unterschied zu der von mir zuvor dargestellte
Hintergrundgeschichte von Greylisting?


>> Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
>> noch einmal probiert, dann erfüllt dieser Mailserver die Definition
>> eines Servers, von dem ich *keine* Mails möchte.
> 
> Nun, das sehe ich zwar ähnlich, es ändert aber wenig. Denn meinen Kunden
> geht die Frage, welcher Server welche Definition erfüllt, meilenweit am
> Gesäß vorbei.

Ich will damit nur deutlich machen, dass wer Greylisting einsetzt, sich
darüber doch bitte bewusst sein sollte.

Das schließt dann ein, über mögliche Probleme im Vorfeld aufzuklären um
dann im Problemfall gleich zu wissen, was zu tun ist (Server whitelisten).

Oder auch, dass man dann "Eier in der Hose" hat und klarstellt: Lieber
Kunde, ich setze bewusst Greylisting ein. Wenn du damit ein Problem
hast, bist du bei mir falsch. Es gibt genügend Mitbewerber...


-- 
Ich Grüße
Igor


From postfixbuch-users at list-post.mks-mail.de  Fri Sep  9 19:02:19 2011
From: postfixbuch-users at list-post.mks-mail.de (=?ISO-8859-1?Q?Markus_Sch=F6nhaber?=)
Date: Fri, 09 Sep 2011 19:02:19 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A345D.6010602@googlemail.com>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz> <4E6A0BCB.4030804@googlemail.com>
	<4E6A1971.4090803@list-post.mks-mail.de>
	<4E6A345D.6010602@googlemail.com>
Message-ID: <4E6A469B.6020307@list-post.mks-mail.de>

09.09.2011 17:44, Igor Sverkos:

> Markus Schönhaber schrieb:
>>> Wer auf Greylisting setzt, der tut dies also *bewusst*, weil er keine
>>> Nachrichten von "Servern" haben möchte, die es nur einmal probieren.
>>
>> Nein, der Grund, warum ich Greylisting einsetze ist ein anderer: Ich
>> möchte möglichst wenig SPAM annehmen.
> 
> Hilf mir, wo siehst du den Unterschied zu der von mir zuvor dargestellte
> Hintergrundgeschichte von Greylisting?

Wieso willst Du den von mir angegebenen Grund Greylisting einzusetzen,
mit einer "Hintergrundgeschichte" vergleichen?

Du begründest den Einsatz von Greylisting mit der Zahl der
Zustellversuche, zu denen Du den Client zwingen willst. Ich begründe den
Einsatz von Greylisting mit dem Ziel, die Kommunikation zu verbessern
(SPAM-Schutz). Das sind sehr unterschiedliche Gründe.

>>> Wenn ich jetzt mit jemanden kommuniziere, dessen Mailserver es *nicht*
>>> noch einmal probiert, dann erfüllt dieser Mailserver die Definition
>>> eines Servers, von dem ich *keine* Mails möchte.
>>
>> Nun, das sehe ich zwar ähnlich, es ändert aber wenig. Denn meinen Kunden
>> geht die Frage, welcher Server welche Definition erfüllt, meilenweit am
>> Gesäß vorbei.
> 
> Ich will damit nur deutlich machen, dass wer Greylisting einsetzt, sich
> darüber doch bitte bewusst sein sollte.

Sollte "man"? Wer bestimmt das?

Es gibt nun mal genug Leute, die der technische Hintergrund einen Dreck
interessiert, die einfach wollen, dass es funktioniert. Von solchen
Leuten halte ich die Technik dann auch gerne fern, dann unter anderem
dafür bezahlen sie mir schließlich Geld.
Wenn Du ausschließlich technisch versierte Kunden hast, die, wie Du, im
Namen der reinen Lehre gerne hinnehmen, dass u. U. eine Kommunikation
nicht funktioniert, kannst Du natürlich leicht eine andere Politik fahren.

> Das schließt dann ein, über mögliche Probleme im Vorfeld aufzuklären um
> dann im Problemfall gleich zu wissen, was zu tun ist (Server whitelisten).
> 
> Oder auch, dass man dann "Eier in der Hose" hat und klarstellt: Lieber
> Kunde, ich setze bewusst Greylisting ein. Wenn du damit ein Problem
> hast, bist du bei mir falsch. Es gibt genügend Mitbewerber...

Du kannst das selbstverständlich machen, wie Du willst. Und wenn Du oft
genug zeigst, dass Du derart "Eier in der Hose" hast, wird's vermutlich
der Schaden Deiner Konkurrenz nicht sein.

Zusammenfassend: Wer die Einhaltung der RFCs über alles stellt, kann das
gerne machen. So zu tun, als sei das der einzig selig machende Weg, und
zu ignorieren, dass es im Tagesgeschäft auch mal sinnvoll sein kann,
eine Ausnahme zu machen, halte ich für falsch.

-- 
Gruß
  mks


From igor.sverkos at googlemail.com  Fri Sep  9 19:51:14 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 09 Sep 2011 19:51:14 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A469B.6020307@list-post.mks-mail.de>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz> <4E6A0BCB.4030804@googlemail.com>
	<4E6A1971.4090803@list-post.mks-mail.de>
	<4E6A345D.6010602@googlemail.com>
	<4E6A469B.6020307@list-post.mks-mail.de>
Message-ID: <4E6A5212.4060706@googlemail.com>

Hi,

Markus Schönhaber schrieb:
>> Hilf mir, wo siehst du den Unterschied zu der von mir zuvor dargestellte
>> Hintergrundgeschichte von Greylisting?
> 
> Wieso willst Du den von mir angegebenen Grund Greylisting einzusetzen,
> mit einer "Hintergrundgeschichte" vergleichen?
> 
> Du begründest den Einsatz von Greylisting mit der Zahl der
> Zustellversuche, zu denen Du den Client zwingen willst. Ich begründe den
> Einsatz von Greylisting mit dem Ziel, die Kommunikation zu verbessern
> (SPAM-Schutz). Das sind sehr unterschiedliche Gründe.

Ich begründe nichts - ich zeige nur auf, welches Problem Greylisting
lösen soll. Weshalb es arbeitet, wie es arbeitet...

Damit hatte ich gehofft zu verdeutlichen, dass der ein oder andere
Greylisting missbräuchlich verwendet und es dann lieber bleiben lassen
sollte. :)


>> Ich will damit nur deutlich machen, dass wer Greylisting einsetzt, sich
>> darüber doch bitte bewusst sein sollte.
> 
> Sollte "man"? Wer bestimmt das?

Meinst du die Frage ernst?

Ich erwarte, dass wenn jemand um ein Bild aufzuhängen einen Hammer in
die Hand nimmt und einen Nagel in die Wand schlägt, er sich bewusst
darüber ist, dass anschließend ein Loch in der Wand sein und ein Nagel
rausschauen wird, woran schlußendlich der Haken des Bildes aufgehangen wird.

Wenn derjenige hinterher herumjammert, "Zwar hängt jetzt das Bild, aber
ich habe ein Loch in der Wand und ein Nagel steht hervor...", dann habe
ich große Zweifel daran ob es so gut war, dass derjenige einen Hammer
und Nagel in die Hand bekommen hat.


> Es gibt nun mal genug Leute, die der technische Hintergrund einen Dreck
> interessiert, die einfach wollen, dass es funktioniert. Von solchen
> Leuten halte ich die Technik dann auch gerne fern, dann unter anderem
> dafür bezahlen sie mir schließlich Geld.

Funktioniert es denn nicht? Nein, es funktioniert genau so, wie es
funktionieren soll.

Wenn dich ein Kunde bittet ihm ein Bild aufzuhängen und du ihm vorher
nicht erklärst wie du das Bild aufhängen wirst dann ist es *dein*
Problem, wenn er mit deiner Lösung anschließend nicht zufrieden ist.

Du setzt auf Greylisting, dann erkläre deinem Kunden auch weshalb. Dann
kann er im Anschluss sagen: "Nein, will ich nicht. Ich will nicht, dass
meine Wand beschädigt wird und an dem herausschauenden Nagel würde ich
mich ständig stören".

Dann kannst du ihm Alternativ-Vorschläge unterbreiten. Bspw. auf Tesa
PowerStrip zu setzen.
Wenn ihm alles nicht zusagt und du deinen Kunden dennoch
zufriedenstellen möchtest, dann könnt ihr das Bild zusammen an die Wand
anlehnen...


> Du kannst das selbstverständlich machen, wie Du willst. Und wenn Du oft
> genug zeigst, dass Du derart "Eier in der Hose" hast, wird's vermutlich
> der Schaden Deiner Konkurrenz nicht sein.

Du hast mich da leider nicht verstanden.

Es geht mir rein darum, dass man sich seiner Entscheidung und der damit
verbundenen Konsequenzen bewusst ist.

Das die Nachricht dieses einen Geschäftspartners abgelehnt wird, ist
*kein* Fehler. Es wird zu einem Fehler, weil man auf Greylisting zur
Vermeidung von ungewollten Nachrichten setzt ohne zu wissen wie das
System dieses Problem löst.


> Zusammenfassend: Wer die Einhaltung der RFCs über alles stellt, kann das
> gerne machen. So zu tun, als sei das der einzig selig machende Weg, und
> zu ignorieren, dass es im Tagesgeschäft auch mal sinnvoll sein kann,
> eine Ausnahme zu machen, halte ich für falsch.

Da stimme ich dir uneingeschränkt zu.

Jeder sollte sich nur bewusst sein, was es bedeutet, den einen oder
anderen Weg einzuschlagen. :)


-- 
Ich Grüße,
Igor


From postfixbuch-users at drobic.de  Fri Sep  9 22:28:01 2011
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Fri, 09 Sep 2011 22:28:01 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Server=2C_die_nicht_=C3=BCbers_Grey?=
 =?utf-8?q?listing_kommen?=
In-Reply-To: <63EEB0DFEAC4467EB4C46EB5FDA93EB0@ai.local>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz>
	<63EEB0DFEAC4467EB4C46EB5FDA93EB0@ai.local>
Message-ID: <4E6A76D1.8080707@drobic.de>

On 09.09.2011 12:15, Hajo Locke wrote:
> 
> Hallo,
> 
>>> Und bevor ich da ewig
>>> rumdiskutiere, whiteliste ich lieber so einen Client.
> 
> ich bin da hin und hergerissen. Durch das Whitelisten erspart man sich Ärger
> mit dem Kunden und Diskutiererei mit dem Verursacher, aber es ändert an der
> Gesamtlage nichts und es besteht kein Druck beim Verursacher nachzubessern.
> Ich bin da manchmal überkorrekt, aber gelegentlich brennt es mir regelrecht
> unter den Nägeln einen Verursacher auf seinen Murks hinzuweisen auch wenn der
> Effekt nicht sehr groß ist.

Erste Pflicht des Maildienstes ist es immer, die erwünschten Mails anzunehmen
und robust zu sein.
Danach sollen die unerwünschten Mails abgewiesen werden.

Es mag einen persönlich nerven, wenn ein Gurkensystem einfache Regeln
missachtet, wichtig für mich ist eher, ob ein Whitelisting funktioniert oder
mir eventuell zu viel Spam oder Müll einbringt.

> Dem Kunden die Mails zu verweigern und damit Druck aufzubauen ist aber
> (leider) auch unschön.

Sich selbst zum Polizisten erklären und mit dem Knüppel schwingen bringt in
der Tat wenig Sympathien auf deine Seite (siehe "Erste Pflicht"). Dein Kunde
will die Mail und der Gurken-Admin will sie einliefern. Ein freundlicher
kurzer Hinweis kann helfen, aber wenn das nicht fruchtet artet eine Diskussion
nur in Frust und Streiterei aus.

> Bei mir kann der Kunde sich greylisting für separate Postfächer abschalten,
> ich mag nicht unbedingt einen Client whitelisten (außer den bekannten Großen)
> wenn andere User den Mailserver mitnutzen.

Heute morgen hatte ich den Fall, dass eine von uns geschickte Mail (ziemlich
groß) zuerst angenommen wurde, dann auch noch direkt eine Empfangsbestätigung
geschickt wurde (automatisiert), aber ein paar Sekunden später dann ein
Zustellungsbericht eintraf: "552 message size exceeded fixed limit...".

DAS nenne ich ein echtes Gurkensystem. (^-^)

Sandy


From driessen at fblan.de  Sat Sep 10 00:31:40 2011
From: driessen at fblan.de (Driessen)
Date: Sat, 10 Sep 2011 00:31:40 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A1971.4090803@list-post.mks-mail.de>
References: <201109091057.44635@inter.netz>
	<4E69D680.2060701@leo-unglaub.net><201109091121.23962@inter.netz>
	<4E6A0BCB.4030804@googlemail.com>
	<4E6A1971.4090803@list-post.mks-mail.de>
Message-ID: <003b01cc6f40$3ebdd4c0$0565a8c0@uwe>

On Behalf Of Markus Schönhaber
> 
> 
> Nun, das sehe ich zwar ähnlich, es ändert aber wenig. Denn meinen Kunden
> geht die Frage, welcher Server welche Definition erfüllt, meilenweit am
> Gesäß vorbei.
> 

Da mail keine echtzeitkommunikation ist 
Da mailserver auch probleme haben können
Da mailserver evtl. z.Z. überlastet sind
Da im moment mal gerade ein dienst hängen geblieben ist 
Der Admin wegen wartung sein Sytem kurz offline nimmt
Der mailserver gerade unter einer spamwelle leidet 

Kommt eine Mail nicht an!!

Ob das bewust durch Greylistung oder aber durch einen X-beliebigen anderen
Grund gerade passiert ist bleibt unerheblich.

Der Absendende Server MUSS in einem solchen Fall noch mal senden.

"Ist die Mail an den Absender zurückgegangen wenn ja was steht denn in der
Mail die der Absender bekommen hat drin?"

"Ah die Mail wurde also nicht an den Absender zurückgeschickt ?"

"Sehr geehrter Kunde dann hat der Absendende Mailserver uns die Nachricht
leider noch nicht zur Zustellung an Sie übergeben"

Standard Frage und Antwort an den Kunden noch bevor ich nachschaue ob der
Absender irgendwo hängengeblieben ist.

Das ich nachschauen kann wissen meine Kunden(und der eine oder andere meint
ich müsse das immer tun). Das unsere Mailsysteme in der Regel sehr
zuverlässig funktioniert wissen die Kunden auch. Also wird erstmal der
Grundsätzliche verbleib der Nachricht geklärt. Nicht bei meinem Kunden
angekommen nicht beim Absender zurück dann muß die Mail noch im Absendenden
System hängen! Nicht meine Baustelle und ich kann dort auch leider nicht
eingreifen auch wenn das so manch einer meint.

Wenn der Auftraggeber sich auf ein solches System verlässt das eben nicht
sauber kommuniziert wird er irgendwo und irgendwann immer auf probs stoßen.

Ich hab schon mailserver unter Spamwellen zusammenbrechen sehen. Da war nix
mehr mit legitimer mail annehmen weil alles dicht. Nach 2 stunden spuk
vorbei. Wenn dann andere meinen sie müssen mails nicht mehr einliefern ist
das höhere Gewalt.

E-Mail = elektronische Post 
Entweder kommt die Post heute und wenn nicht dann kommt die morgen 
(bei uns geht aber zumindest kein Bargeld in den Briefen verloren*gg)

Greylisting behält sich die Partner mit denen immer wieder kommuniziert
wird. Von daher wird Mail bei bekannten Absender nicht verzögert! 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From sebastian at debianfan.de  Sun Sep 11 11:17:31 2011
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Sun, 11 Sep 2011 11:17:31 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?=C4ndern_von_Empf=E4ngeradres?=
	=?iso-8859-15?q?sen?=
Message-ID: <4E6C7CAB.4050001@debianfan.de>

Hallo,

ich habe einige Mails in der Queue, bei welcher sich die 
Empfängeradresse geändert hat.

Der empfangende Server ist inzwischen offline, d.h. die Mail läuft auf 
einen Timeout und wird standardmässig morgen zum Absender zurückgeschickt.

Kann ich bei Mails, welche schon so in der Queue drin sind, die 
Empfängeradresse ändern,z.b. aus  freund at offlineserver.de  ein 
freund at web.de machen?

gruß

Sebastian


From postfix at cebe.cc  Sun Sep 11 12:12:53 2011
From: postfix at cebe.cc (Carsten Brandt)
Date: Sun, 11 Sep 2011 12:12:53 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?=C4ndern_von_Empf=E4ngeradress?= =?iso-8859-1?q?en?=
In-Reply-To: <4E6C7CAB.4050001@debianfan.de>
References: <4E6C7CAB.4050001@debianfan.de>
Message-ID: <4E6C89A5.7040607@cebe.cc>

Hallo Sebastian,

Am 11.09.2011 11:17, schrieb sebastian at debianfan.de:
> Kann ich bei Mails, welche schon so in der Queue drin sind, die
> Empfängeradresse ändern,z.b. aus  freund at offlineserver.de  ein
> freund at web.de machen?

Du kannst in deiner virtual_alias_map einen Eintrag anlegen, der
freund at offlineserver.de zu freund at web.de umschreibt und die Mails in der
queue dann requeueen.

postsuper -r MAILID

oder alle mit postsuper -r ALL

MfG
Carsten

-- 
mail:  mail at cebe.cc
mobil: 0176 / 96 52 999 7
www:   http://cebe.cc/
pgp:   http://cebe.cc/cebe_pub.asc


From lists at dguhl.org  Sun Sep 11 12:32:25 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Sun, 11 Sep 2011 12:32:25 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6A0E78.6030800@gmj.cjb.net>
References: <201109091057.44635@inter.netz> <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz>
	<000301cc6ed5$6c964aa0$0565a8c0@uwe> <4E69E292.9000502@gmj.cjb.net>
	<000d01cc6ed9$c1db8710$0565a8c0@uwe> <4E69F6FF.7020506@gmj.cjb.net>
	<001801cc6eec$89856620$0565a8c0@uwe> <4E6A0E78.6030800@gmj.cjb.net>
Message-ID: <20110911103225.GA27133@laptop-dg.leere.eu>

On Fri, Sep 09, 2011 at 03:02:48PM +0200, Mathias Jeschke wrote:

[..]

> Noch einmal: Das Ausgangsproblem war, dass viele Mailadmins glauben,
> Blacklisting funktioniert bei IPv6 nicht mehr, weil der Adressraum zu
> groß wird. Ich bin davon noch nicht so ganz überzeugt, dass man nicht

Dann lasse Dich mal überzeugen.

> ähnliche Regelungen wie momentan bei IPv4 finden wird, um den Raum von
> 2^64 Präfixen zu "klassizieren". (2^64 weil die kleinste an Endkunden zu
> vergebene Einheit /64 sein wird - wegen Autokonfiguration, etc.)

Du willst nur über /64 klassifizieren? Gut, dann schaffe Dir mal eine
Maschine an, die 128 Exbibyte -- nur für die je 8 Byte der /64er
Präfixe -- speichert, in sinnvoller Zeit durchsucht und ausliefert.

Zur Rechnung:

	2^64 = 18446744073709551616 Präfixe
	64 Bit = 8 Byte
	2^64 * 8 = 147573952589676412928 Byte
	2^60 Byte = 1 Exbibyte (EiB)
	147573952589676412928 / 2^60 = 128 EiB

Das sind 131.072 Pebibyte oder 134.217.728 Gibibyte (als
Verdeutlichung habe ich Punkte für die Abtrennung der Tausender
eingefügt).

Als Vergleich, selbst wenn man jede einzelne IPv4 Adresse mit einem 4
Byte großen Overhead (also auch in 8 Byte) speichert, käme man nur auf
32 GiB Datenvolumen:

	2^32 * 8 / 2^30 = 32 Gigibyte

Selbst wenn nur ein sehr kleiner Bruchteil von diesen /64er Präfixen
in einer Blacklist landet, ist das eine unmöglich zu handhabende
Datenmenge. Selbst eine Reduzierung auf /48er Präfix (immerhin um den
Faktor 65536 kleiner), wäre immernoch eine mehr als spannende Aufgabe
-- ganz zu schweigen von den Problemen die es mit sich bringt ganze
/48er Präfixe zu blocken (das wäre mal eben die Kleinigkeit von 2^80
= 1.208.925.819.614.629.174.706.176 geblockten IPs).

Dennis


From postfixbuch-users at gmj.cjb.net  Sun Sep 11 13:33:56 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Sun, 11 Sep 2011 13:33:56 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Server=2C_die_nicht_=C3=BCbers_Grey?=
 =?utf-8?q?listing_kommen?=
In-Reply-To: <20110911103225.GA27133@laptop-dg.leere.eu>
References: <201109091057.44635@inter.netz>
	<4E69D680.2060701@leo-unglaub.net>	<201109091121.23962@inter.netz>	<000301cc6ed5$6c964aa0$0565a8c0@uwe>
	<4E69E292.9000502@gmj.cjb.net>	<000d01cc6ed9$c1db8710$0565a8c0@uwe>
	<4E69F6FF.7020506@gmj.cjb.net>	<001801cc6eec$89856620$0565a8c0@uwe>
	<4E6A0E78.6030800@gmj.cjb.net>
	<20110911103225.GA27133@laptop-dg.leere.eu>
Message-ID: <4E6C9CA4.9080100@gmj.cjb.net>

Am 11.09.11 12:32, schrieb Dennis Guhl:

> Du willst nur über /64 klassifizieren? Gut, dann schaffe Dir mal eine
> Maschine an, die 128 Exbibyte -- nur für die je 8 Byte der /64er
> Präfixe -- speichert, in sinnvoller Zeit durchsucht und ausliefert.

Ich habe nie geschrieben, dass ich dort _alle_ /64-Präfixe reintun will.
In einer IPv4-Blacklist speichert man ja auch nicht 2^32 Boolean-Werte
(geblockt/nicht geblockt).

> Selbst wenn nur ein sehr kleiner Bruchteil von diesen /64er Präfixen
> in einer Blacklist landet, ist das eine unmöglich zu handhabende
> Datenmenge.

Warum?

Wenn ich von momentan 7 Mrd. Erdenbürgern ausgehe und jeder seinen
eigenen /64-Präfix hätte (zu je 8 Byte Länge wie von Dir dargestellt)
*und* alle auf der Blacklist stünden, beträgt der Speicherumfang (ohne
Overhead, Metadaten, etc.):

 8 Byte * 10^7 ? 52 GiB

(was natürlich ein nicht unerheblicher Umfang bei momentan typischer
RAM-Ausstattung ist.)

Ich habe erhebliche Zweifel, dass wir in absehbarer Zeit 7 Mrd. Einträge
auf einer RBL haben werden - ein Referenzwert einer IPv4-RBL wäre
natürlich mal interessant.

Fakt ist: Der Speicherumfang im Vergleich zu IPv4 wäre natürlich höher,
          auch wenn nur Präfixe gespeichert werden, da neben der
          längeren Adresse (64 statt 32 Bit) auch Netze dazu kämen,
          die momentan nur eingeschränkte IPv4-Konnektivität haben.
         (Mobilfunk, Asien, Afrika, ...)

> Selbst eine Reduzierung auf /48er Präfix (immerhin um den
> Faktor 65536 kleiner), wäre immernoch eine mehr als spannende Aufgabe
> -- ganz zu schweigen von den Problemen die es mit sich bringt ganze
> /48er Präfixe zu blocken (das wäre mal eben die Kleinigkeit von 2^80
>  = 1.208.925.819.614.629.174.706.176 geblockten IPs).

Hier gilt aus meiner Sicht das gleiche wie oben (theoretischer
Adressraum vs. praktisch genutzer Anteil davon).

Gruß,
Mathias


From driessen at fblan.de  Sun Sep 11 13:56:06 2011
From: driessen at fblan.de (Driessen)
Date: Sun, 11 Sep 2011 13:56:06 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <20110911103225.GA27133@laptop-dg.leere.eu>
References: <201109091057.44635@inter.netz>
	<4E69D680.2060701@leo-unglaub.net><201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>
	<4E69E292.9000502@gmj.cjb.net><000d01cc6ed9$c1db8710$0565a8c0@uwe>
	<4E69F6FF.7020506@gmj.cjb.net><001801cc6eec$89856620$0565a8c0@uwe>
	<4E6A0E78.6030800@gmj.cjb.net>
	<20110911103225.GA27133@laptop-dg.leere.eu>
Message-ID: <000701cc7079$c9ba3840$0565a8c0@uwe>

On Behalf Of Dennis Guhl
> 
> On Fri, Sep 09, 2011 at 03:02:48PM +0200, Mathias Jeschke wrote:
> 
> [..]
> 
> > Noch einmal: Das Ausgangsproblem war, dass viele Mailadmins glauben,
> > Blacklisting funktioniert bei IPv6 nicht mehr, weil der Adressraum zu
> > groß wird. Ich bin davon noch nicht so ganz überzeugt, dass man nicht
> 
> Dann lasse Dich mal überzeugen.
> 
> > ähnliche Regelungen wie momentan bei IPv4 finden wird, um den Raum von
> > 2^64 Präfixen zu "klassizieren". (2^64 weil die kleinste an Endkunden zu
> > vergebene Einheit /64 sein wird - wegen Autokonfiguration, etc.)
> 
> Du willst nur über /64 klassifizieren? Gut, dann schaffe Dir mal eine
> Maschine an, die 128 Exbibyte -- nur für die je 8 Byte der /64er
> Präfixe -- speichert, in sinnvoller Zeit durchsucht und ausliefert.
> 
> Zur Rechnung:
> 
> 	2^64 = 18446744073709551616 Präfixe
> 	64 Bit = 8 Byte
> 	2^64 * 8 = 147573952589676412928 Byte
> 	2^60 Byte = 1 Exbibyte (EiB)
> 	147573952589676412928 / 2^60 = 128 EiB
> 
> Das sind 131.072 Pebibyte oder 134.217.728 Gibibyte (als
> Verdeutlichung habe ich Punkte für die Abtrennung der Tausender
> eingefügt).

Das wird man nicht mehr mit cleartext erschlagen.
Ein Möglichkeit ist das mit hash werten zu versehen und die in der Database
zu speichern.

z.B. eine einzelne IPv6 als md5 

256bb3eac05e9666cec4c5f6d0783479
Oder 
82657780af4fa17c3b3d88ad78ceb1dd

Oder das Prefix/64

1f45d5b149a93f577cbb7a5d8935b1c4

Wobei ich zur Zeit nur prefix::1234 benutze 


Evtl. auch nur teile der IPv6 Adresse mit hashwerten versehen dann reduziert
sich das ganze schon erheblich und lässt sich wesentlich leichter suchen und
ausliefern.

Ich habe allerdings nicht geprüft ob MD5 bei der masse an Daten evtl. auch
Dubletten erzeugt bzw. für unterschiedliche IPv6 Adressen denselben hashwert
liefert. (das werden die Kryptographen beantworten müssen) 

Die Blacklisten werden nie alle IPv6 einzeln speichern und verarbeiten
können(zumindest nicht mit aktueller Hardware).

Es wird spannend bleiben welche Lösungen da kommen und wie diese dann
eingebunden werden können und was diese Lösungen können werden.   

> 
> Dennis
> --


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From postfixbuch-users at gmj.cjb.net  Sun Sep 11 14:15:32 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Sun, 11 Sep 2011 14:15:32 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Server=2C_die_nicht_=C3=BCbers_Grey?=
 =?utf-8?q?listing_kommen?=
In-Reply-To: <000701cc7079$c9ba3840$0565a8c0@uwe>
References: <201109091057.44635@inter.netz>	<4E69D680.2060701@leo-unglaub.net><201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>	<4E69E292.9000502@gmj.cjb.net><000d01cc6ed9$c1db8710$0565a8c0@uwe>	<4E69F6FF.7020506@gmj.cjb.net><001801cc6eec$89856620$0565a8c0@uwe>	<4E6A0E78.6030800@gmj.cjb.net>	<20110911103225.GA27133@laptop-dg.leere.eu>
	<000701cc7079$c9ba3840$0565a8c0@uwe>
Message-ID: <4E6CA664.6040704@gmj.cjb.net>

Am 11.09.11 13:56, schrieb Driessen:

> Das wird man nicht mehr mit cleartext erschlagen.
> Ein Möglichkeit ist das mit hash werten zu versehen und die in der Database
> zu speichern.

"Cleartext" wird für eine effiziente Suche auch bei IPv4 niemand machen.
Ich denke eher an so etwas wie einen B*-Baum, der sich auch bei großen
Datenmengen noch effizient durchsuchen lässt (angeglehnt an die binäre
Suche).

> z.B. eine einzelne IPv6 als md5 
> 
> 256bb3eac05e9666cec4c5f6d0783479
> Oder 
> 82657780af4fa17c3b3d88ad78ceb1dd

Das wäre nicht wirklich sinnvoll, weil der Hash ja auch i.d.R. >=
128 Bit lang ist (wie die IPv6-Adresse selbst) und damit einen Vorteil
der IPv6-Adressen zunichte machst:
Die IPs der Spammer dürften auch bei IPv6 gehäuft auftreten, d.h. in
obiger Speicherstruktur wird es (große) Teilbäume ohne Spammer geben,
die dann keinen Speicherplatz "verbrauchen" weil alle Adressen mit
diesem Präfix nicht berücksichtig werden brauchen, solange kein Spammer
unterhalb des Präfixes dazukommt.

Eine (kryptographische) Hashfunktion sorgt für eine Gleichverteilung der
Spammer über dem Wertbereich (also innerhalb der Hashwerte).

Gruß,
Mathias


From driessen at fblan.de  Sun Sep 11 14:47:00 2011
From: driessen at fblan.de (Driessen)
Date: Sun, 11 Sep 2011 14:47:00 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
	=?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6CA664.6040704@gmj.cjb.net>
References: <201109091057.44635@inter.netz>	<4E69D680.2060701@leo-unglaub.net><201109091121.23962@inter.netz><000301cc6ed5$6c964aa0$0565a8c0@uwe>	<4E69E292.9000502@gmj.cjb.net><000d01cc6ed9$c1db8710$0565a8c0@uwe>	<4E69F6FF.7020506@gmj.cjb.net><001801cc6eec$89856620$0565a8c0@uwe>	<4E6A0E78.6030800@gmj.cjb.net>	<20110911103225.GA27133@laptop-dg.leere.eu><000701cc7079$c9ba3840$0565a8c0@uwe>
	<4E6CA664.6040704@gmj.cjb.net>
Message-ID: <000801cc7080$e62a5300$0565a8c0@uwe>

> -----Original Message-----
> From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] On Behalf Of Mathias Jeschke
> Sent: Sunday, September 11, 2011 2:16 PM
> To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Subject: Re: [Postfixbuch-users] Server, die nicht übers Greylisting
> kommen
> 
> Am 11.09.11 13:56, schrieb Driessen:
> 
> > Das wird man nicht mehr mit cleartext erschlagen.
> > Ein Möglichkeit ist das mit hash werten zu versehen und die in der
> Database
> > zu speichern.
> 
> "Cleartext" wird für eine effiziente Suche auch bei IPv4 niemand machen.
> Ich denke eher an so etwas wie einen B*-Baum, der sich auch bei großen
> Datenmengen noch effizient durchsuchen lässt (angeglehnt an die binäre
> Suche).
> 
> > z.B. eine einzelne IPv6 als md5
> >
> > 256bb3eac05e9666cec4c5f6d0783479
> > Oder
> > 82657780af4fa17c3b3d88ad78ceb1dd
> 
> Das wäre nicht wirklich sinnvoll, weil der Hash ja auch i.d.R. >=
> 128 Bit lang ist (wie die IPv6-Adresse selbst) und damit einen Vorteil
> der IPv6-Adressen zunichte machst:

Bei md5 kommen 128bit hash Value raus 

Da ist es egal wie lang die Adresse ist 

md5("2003:2003:2005:10:fee:2003:2:2:10:fee::33")
148903795b70ba746e6ed47d0fc315c3

Oder 

md5("2a01:4f8:120:31e2::")

1f45d5b149a93f577cbb7a5d8935b1c4

Der hashwert bleibt in der Länge z.Z. zumindest unter MySql gleich.

Aber für die Zugriffsfunktion und Schlüsselwerte lassen sich leichter Indexe
aus einem md5 Feld generieren wie aus cleartext feldern variabler länge. 


> Die IPs der Spammer dürften auch bei IPv6 gehäuft auftreten, d.h. in
> obiger Speicherstruktur wird es (große) Teilbäume ohne Spammer geben,
> die dann keinen Speicherplatz "verbrauchen" weil alle Adressen mit
> diesem Präfix nicht berücksichtig werden brauchen, solange kein Spammer
> unterhalb des Präfixes dazukommt.

Wenn da keine Spamer in einem Präfix sind wird das Prefix ja auch nicht
gespeichert (analog zu IPv4 es werden nur auffällige gespeichert und ergeben
eine positive Antwort)

Und es wird nur interessant ein größeres Prefix bzw. Netz zu speichern wenn
in diesem gehäuft Spamer auftreten.

Da aber jeder Endkunde ein /64 bekommt wird man sich wohl auf ein /64 oder
größer zum sperren beschränken.
Die gefahr bei größer /64 sehe ich tatsächlich in "kleineren Netzen" in
denen auf Grund der Menge an Verfügbaren Adressen eben nicht unbedingt 2 /48

Benötigt werden um Dialin von Servern zu trennen. Oder aber wo alle Server
eines Rechenzentrums mit /48 mehr wie erschlagen werden können.

Sperrst du /48 oder /32 ist die Gefahr von falsepositiven sehr sehr groß.

Also wird wohl das /64 die kleinste Menge an zu sperrenden IP-Adressen sein
(analog zu IPv4).
Damit wird es ausreichen die ersten 4 Oktette zu speichern.

> 
> Eine (kryptographische) Hashfunktion sorgt für eine Gleichverteilung der
> Spammer über dem Wertbereich (also innerhalb der Hashwerte).
> 
> Gruß,
> Mathias


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From bjoern.meier at googlemail.com  Mon Sep 12 10:01:45 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Mon, 12 Sep 2011 10:01:45 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
Message-ID: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>

Hi Freunde,

ich musste grade lachen:
http://www.spamcop.net/w3m?action=blcheck&ip=194.25.134.80

mal sehen wie lang es dauert.

Gruß,
Björn


From gregor at a-mazing.de  Mon Sep 12 10:12:50 2011
From: gregor at a-mazing.de (Gregor Hermens)
Date: Mon, 12 Sep 2011 10:12:50 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
Message-ID: <201109121012.51159@office.a-mazing.net>

Moin,

Am Montag, 12. September 2011 schrieb Bjoern Meier:
> ich musste grade lachen:
> http://www.spamcop.net/w3m?action=blcheck&ip=194.25.134.80
> 
> mal sehen wie lang es dauert.

"Additional potential problems
(these factors do not directly result in spamcop listing)

    * Too many delisting requests per last year were made

Because of the above problems, express-delisting is not available."

Also wird es wohl noch 22h dauern...

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From lists at dguhl.org  Mon Sep 12 15:02:38 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Mon, 12 Sep 2011 15:02:38 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <4E6C9CA4.9080100@gmj.cjb.net>
References: <4E69D680.2060701@leo-unglaub.net> <201109091121.23962@inter.netz>
	<000301cc6ed5$6c964aa0$0565a8c0@uwe> <4E69E292.9000502@gmj.cjb.net>
	<000d01cc6ed9$c1db8710$0565a8c0@uwe> <4E69F6FF.7020506@gmj.cjb.net>
	<001801cc6eec$89856620$0565a8c0@uwe> <4E6A0E78.6030800@gmj.cjb.net>
	<20110911103225.GA27133@laptop-dg.leere.eu>
	<4E6C9CA4.9080100@gmj.cjb.net>
Message-ID: <20110912130237.GA13051@PC211.ikt.de>

On Sun, Sep 11, 2011 at 01:33:56PM +0200, Mathias Jeschke wrote:
> Am 11.09.11 12:32, schrieb Dennis Guhl:
> 
> > Du willst nur über /64 klassifizieren? Gut, dann schaffe Dir mal eine
> > Maschine an, die 128 Exbibyte -- nur für die je 8 Byte der /64er
> > Präfixe -- speichert, in sinnvoller Zeit durchsucht und ausliefert.
> 
> Ich habe nie geschrieben, dass ich dort _alle_ /64-Präfixe reintun will.

Ich habe auch nicht das Gegenteil behauptet. Die Rechnugn sollte nur
verdeutlichen in welchen Dimensionen wir uns bewegen. Denn selbst ein
Promill eines Promilles von 128 Exbibyte wären immer noch 128
Tebibyte.

Das zu speichern wird schon langsam machbar, aber darin zu suchen und
die Daten dann auszuliefern ist schon eine ganz andere Welt.

> In einer IPv4-Blacklist speichert man ja auch nicht 2^32 Boolean-Werte
> (geblockt/nicht geblockt).

Du wirst aber weit mehr einzelne Subnetze haben als es heute überhaupt
einzelne IP-Adressen gibt. Alleine die Massen der Netzbereiche für die
dynamische Einwahl wird schon ein riesiger Datenberg. Denn glaube
nicht, dass eine signifikante Anzahl der Prvider seine dynamischen
Adressbereiche öffentlich benennt. Die wird man alle fein säuberlich
von Hand zusammensuchen müssen, und bis man die in größere Bereiche
aggregieren kann, haben die sich schon drei mal wieder geändert.

> > Selbst wenn nur ein sehr kleiner Bruchteil von diesen /64er Präfixen
> > in einer Blacklist landet, ist das eine unmöglich zu handhabende
> > Datenmenge.
> 
> Warum?

Weil die Datenmenge schlicht zu groß wäre um sie zu speichern und zu
verabeiten.

> Wenn ich von momentan 7 Mrd. Erdenbürgern ausgehe und jeder seinen
> eigenen /64-Präfix hätte (zu je 8 Byte Länge wie von Dir dargestellt)
> *und* alle auf der Blacklist stünden, beträgt der Speicherumfang (ohne
> Overhead, Metadaten, etc.):
> 
>  8 Byte * 10^7 ? 52 GiB

10^7 sind 10 Millionen, was hat das mit 7 Millarden Menschen zu tun? 7
Mrd. wäre 7 * 10^9. Die korrekte Rechnung wäre also

	7 * 10^9 Menschen * 8 Byte / 2^20 = 534.06 MiB.

Aber warum glaubst Du, es würden nicht unmengen mehr an /64er Präfixen
benutzt werden als es Erdenbürger gibt? Was soll Spammer davon
abhalten zig Millionen Präfixe zu benutzen?

> (was natürlich ein nicht unerheblicher Umfang bei momentan typischer
> RAM-Ausstattung ist.)
> 
> Ich habe erhebliche Zweifel, dass wir in absehbarer Zeit 7 Mrd. Einträge

Warum nicht? Wenn man sich vor Augen hält, dass jeder ISP in der Regel
ein /32er Präfix bekommt (siehe z.B. ripe-523), und diese an 'End
Sites' (vulgo private und gewerbliche Endkunden) /48er Präfixe
verteilen sollen, kann man erahnen wie viele /64er Präfixe es bei
jedem Provider geben wird, die für den Versand von SPAM mißbraucht
werden können.

> auf einer RBL haben werden - ein Referenzwert einer IPv4-RBL wäre
> natürlich mal interessant.

Die wären zwar akademisch interessant, haben aber keinerlei Bezug zu
dem, was uns mit IPv6 erwarten wird. Bei IPv6 gelten völlig andere
Richtlinien für die Vergabe von Adressräumen, das ist nicht einmal mit
der initialen Vergabepraxis bei IPv4 zu vergleichen.

> Fakt ist: Der Speicherumfang im Vergleich zu IPv4 wäre natürlich höher,

Das kann man wohl mit hinreichender Sicherheit als maßlos untertrieben
bezeichnen.

Dennis

[..]


From lists at dguhl.org  Mon Sep 12 15:28:05 2011
From: lists at dguhl.org (Dennis Guhl)
Date: Mon, 12 Sep 2011 15:28:05 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Server=2C_die_nicht_=FCbers_Gr?=
 =?iso-8859-1?q?eylisting_kommen?=
In-Reply-To: <000801cc7080$e62a5300$0565a8c0@uwe>
References: <000301cc6ed5$6c964aa0$0565a8c0@uwe> <4E69E292.9000502@gmj.cjb.net>
	<000d01cc6ed9$c1db8710$0565a8c0@uwe> <4E69F6FF.7020506@gmj.cjb.net>
	<001801cc6eec$89856620$0565a8c0@uwe> <4E6A0E78.6030800@gmj.cjb.net>
	<20110911103225.GA27133@laptop-dg.leere.eu>
	<000701cc7079$c9ba3840$0565a8c0@uwe> <4E6CA664.6040704@gmj.cjb.net>
	<000801cc7080$e62a5300$0565a8c0@uwe>
Message-ID: <20110912132805.GB13051@PC211.ikt.de>

On Sun, Sep 11, 2011 at 02:47:00PM +0200, Driessen wrote:
> Mathias Jeschke wrote Sunday, September 11, 2011 2:16 PM:
> > Am 11.09.11 13:56, schrieb Driessen:

[..]

> > > z.B. eine einzelne IPv6 als md5

Wer will einzelne IPs speichern? Das wäre der reinste Wahnsinn.
Dagegen wäre die Datenmenge für alle möglichen /64er Präfixe gradezu
handlich klein.

> > Das wäre nicht wirklich sinnvoll, weil der Hash ja auch i.d.R. >=
> > 128 Bit lang ist (wie die IPv6-Adresse selbst) und damit einen Vorteil
> > der IPv6-Adressen zunichte machst:
> 
> Bei md5 kommen 128bit hash Value raus 

Wenn ich ein /64er Präfix als kleinste Entität speichere, benötige ich
ohne Hash nur 64 Bit (eben die vorgenannten 8 Byte). Im Übrigen, warum
sollte man die ganze Geschichte mit Hashes aufblähen? Adressbereiche
in CIDR-Notation sind sehr schenll und effizient durchsuchbar.
Speichere ich hingegen Hashwerte, ist es unmöglich daraus Rückschlüsse
zu ziehen ob die einzelne IP in diesem Block enthalten ist.

[..]

> Der hashwert bleibt in der Länge z.Z. zumindest unter MySql gleich.

Es wird kaum jemand auf die Idee kommen in einer Datenbank nach den
IPs zu suchen, da sind CIDR-Blöcke wesentlich performanter.

Dennis

[..]


From w.flamme at web.de  Mon Sep 12 17:01:43 2011
From: w.flamme at web.de (Werner Flamme)
Date: Mon, 12 Sep 2011 17:01:43 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
Message-ID: <4E6E1ED7.2080004@web.de>

Bjoern Meier [12.09.2011 10:01]:
> Hi Freunde,
> 
> ich musste grade lachen:
> http://www.spamcop.net/w3m?action=blcheck&ip=194.25.134.80
> 
> mal sehen wie lang es dauert.
> 
> Gruß,
> Björn

Hallo Björn,

sogar Heise warnt die Leute schon :-)

<http://heise.de/-1341226>

Ob T-Dingens jetzt wach wird?

Gruß
Werner


From Ralf.Hildebrandt at charite.de  Mon Sep 12 17:03:49 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Mon, 12 Sep 2011 17:03:49 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <4E6E1ED7.2080004@web.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de>
Message-ID: <20110912150349.GF373@charite.de>

* Werner Flamme <w.flamme at web.de>:

> sogar Heise warnt die Leute schon :-)
> 
> <http://heise.de/-1341226>
> 
> Ob T-Dingens jetzt wach wird?

Heute mittag waren die schon wieder delisted.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From jumper99 at gmx.de  Mon Sep 12 21:40:36 2011
From: jumper99 at gmx.de (Helmut Schneider)
Date: Mon, 12 Sep 2011 19:40:36 +0000 (UTC)
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
Message-ID: <xn0hj16a9a0uds0000@news.gmane.org>

Ralf Hildebrandt wrote:

> * Werner Flamme <w.flamme at web.de>:
> 
> > sogar Heise warnt die Leute schon :-)
> > 
> > <http://heise.de/-1341226>
> > 
> > Ob T-Dingens jetzt wach wird?
> 
> Heute mittag waren die schon wieder delisted.

Hat wohl nicht lange angehalten... :(



From postfixbuch-users at gmj.cjb.net  Mon Sep 12 23:03:12 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Mon, 12 Sep 2011 23:03:12 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Server=2C_die_nicht_=C3=BCbers_Grey?=
 =?utf-8?q?listing_kommen?=
In-Reply-To: <20110912130237.GA13051@PC211.ikt.de>
References: <4E69D680.2060701@leo-unglaub.net>
	<201109091121.23962@inter.netz>	<000301cc6ed5$6c964aa0$0565a8c0@uwe>
	<4E69E292.9000502@gmj.cjb.net>	<000d01cc6ed9$c1db8710$0565a8c0@uwe>
	<4E69F6FF.7020506@gmj.cjb.net>	<001801cc6eec$89856620$0565a8c0@uwe>
	<4E6A0E78.6030800@gmj.cjb.net>	<20110911103225.GA27133@laptop-dg.leere.eu>	<4E6C9CA4.9080100@gmj.cjb.net>
	<20110912130237.GA13051@PC211.ikt.de>
Message-ID: <4E6E7390.8020709@gmj.cjb.net>

Am 12.09.11 15:02, schrieb Dennis Guhl:

> Ich habe auch nicht das Gegenteil behauptet. Die Rechnugn sollte nur
> verdeutlichen in welchen Dimensionen wir uns bewegen. Denn selbst ein
> Promill eines Promilles von 128 Exbibyte wären immer noch 128
> Tebibyte.
> 
> Das zu speichern wird schon langsam machbar, aber darin zu suchen und
> die Daten dann auszuliefern ist schon eine ganz andere Welt.

Ich bin mir durchaus bewusst, dass 2^64 eine verdammt große Menge ist,
aber ich habe auch versucht darzulegen, dass es nicht nötig sein wird,
_alle_ Elemente dieser Menge zu erfassen.

> Du wirst aber weit mehr einzelne Subnetze haben als es heute überhaupt
> einzelne IP-Adressen gibt. Alleine die Massen der Netzbereiche für die
> dynamische Einwahl wird schon ein riesiger Datenberg.

Sie ist dennoch durch die Anzahl der Internetzugänge beschränkt!
Und diese werden sich durch einen bestimmten Präfix charakterisieren
lassen. (Wenn man z.B. von den /48-Präfix als "End Site" betrachtet wird
es nicht mehr Präfixe geben, als die Anzahl Netzzugänge, die in eine
Blacklist aufgenommen werden können. Warum auch?)

> Denn glaube nicht, dass eine signifikante Anzahl der Prvider seine
> dynamischen Adressbereiche öffentlich benennt. Die wird man alle fein
> säuberlich von Hand zusammensuchen müssen, und bis man die in größere
> Bereiche aggregieren kann, haben die sich schon drei mal wieder geändert.

Entweder er gibt sie Preis oder der Bereich (z.B. laut Whois) landet auf
der Blacklist, wenn große Mengen Spam von dort verschickt werden.
Sippenhaft also, wie momentan bei IPv4 auch. Dann kann der Provider
versuchen für seine "echten" Mailserver einen anderen Präfix zu bekommen
oder halt ankündigen: "In diesem Teilbereich des /32 sind die Dialups
und hier die legitimen Mailserver."

Natürlich wird es große Provider geben, die aufgrund der Menge der User
genug Macht haben, solche Praktiken zu umgehen, wie man bei Google,
Yahoo, Hotmail oder gerade T-Online sieht.
(Die ja trotz Spamversands von den Blacklisten weitgehend verschont
bleiben.)

>> Wenn ich von momentan 7 Mrd. Erdenbürgern ausgehe und jeder seinen
>> eigenen /64-Präfix hätte (zu je 8 Byte Länge wie von Dir dargestellt)
>> *und* alle auf der Blacklist stünden, beträgt der Speicherumfang (ohne
>> Overhead, Metadaten, etc.):
>>
>>  8 Byte * 10^7 ? 52 GiB

Es muss natürlich 8 Byte * 7 * 10^9 heißen, die 52 GiB sind dennoch korrekt.

> 10^7 sind 10 Millionen, was hat das mit 7 Millarden Menschen zu tun? 7
> Mrd. wäre 7 * 10^9. Die korrekte Rechnung wäre also
> 
> 	7 * 10^9 Menschen * 8 Byte / 2^20 = 534.06 MiB.

???

56 Byte * 10^9 / 2^30 = 52.15 GiB


> Aber warum glaubst Du, es würden nicht unmengen mehr an /64er Präfixen
> benutzt werden als es Erdenbürger gibt? Was soll Spammer davon
> abhalten zig Millionen Präfixe zu benutzen?

Dann werden halt größere Präfixe geblacklistet, z.B. /48 (halt das was
die Enduser bekommen werden).
Und ich habe ernsthafte Zweifel, dass die Provider, die nur /56er
Präfixe vergeben werden, im gleichen /48 Produktivsysteme betreiben -
da sie ja eh ein /32 haben, wie du korrekterweise dargelegt hast.

Gruß,
Mathias


From robtone at ek-muc.de  Tue Sep 13 15:17:39 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Tue, 13 Sep 2011 15:17:39 +0200
Subject: [Postfixbuch-users] Policyd-weight und IPv6_RBL
 generiertfalse-positives
In-Reply-To: <201109081625.43658.p.heinlein@heinlein-support.de>
References: <B6DB66784D8F40649813511468DECB58@florian>
	<CBD3A9DC8E594B4C99A0B266AB02836B@florian>
	<20110903133809.GA22935@rz.ek-muc.de>
	<201109081625.43658.p.heinlein@heinlein-support.de>
Message-ID: <20110913131738.GA3045@rz.ek-muc.de>

On Thu, Sep 08, 2011 at 04:25:43PM +0200, Peer Heinlein wrote:
> Am Samstag, 3. September 2011, 15:38:10 schrieb Robert Felber:
> 
> > Darueber hinaus waere es nett, wenn ich einen oeffentlich erreichbaren
> > IPv6 MX haette, an dem ich Aenderungen an der IPV6-Behandlung testen
> > kann.
> 
> 
> Haben wir hier natürlich, ruf mich an.
> 

Danke, habe jetzt nen sixxs-tunnel/subnet.
Sieht so alles schon recht brauchbar aus.


-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From pkoch at bgc-jena.mpg.de  Wed Sep 14 11:34:55 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Wed, 14 Sep 2011 11:34:55 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
	allgemein
Message-ID: <4E70753F.6030204@bgc-jena.mpg.de>

Hallo,

gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
scriptgesteuert zuzugreifen ?
D.h. lesen, verschieben etc. ?

procmail geht leider nicht, da die Mails  von Hand in den
Ordner einsortiert werden.

Was für Wege gibt es ?

-- 
Danke und ciao,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 304 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110914/51565eda/attachment.vcf>

From robtone at ek-muc.de  Wed Sep 14 12:25:39 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Wed, 14 Sep 2011 12:25:39 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
 allgemein
In-Reply-To: <4E70753F.6030204@bgc-jena.mpg.de>
References: <4E70753F.6030204@bgc-jena.mpg.de>
Message-ID: <20110914102539.GA65384@rz.ek-muc.de>

On Wed, Sep 14, 2011 at 11:34:55AM +0200, Dr.Peer-Joachim Koch wrote:
> Hallo,
> 
> gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
> scriptgesteuert zuzugreifen ?
> D.h. lesen, verschieben etc. ?

Ich wuerde da wohl ein Perl-Modul probieren, zB
http://search.cpan.org/~plobbes/Mail-IMAPClient/lib/Mail/IMAPClient.pod



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From postfixbuch at puri.jet2web.at  Wed Sep 14 12:30:53 2011
From: postfixbuch at puri.jet2web.at (Klemens Puritscher)
Date: Wed, 14 Sep 2011 12:30:53 +0200 (CEST)
Subject: [Postfixbuch-users]
 =?utf-8?q?Frage_zu_shared_folder_=28cyus=29_b?=
 =?utf-8?q?zw=2E_imapallgemein?=
Message-ID: <mtranet.20110914123053.840098998@ispservices.at>


Dr.Peer-Joachim Koch schrieb:
> Hallo,
> 
> gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
> scriptgesteuert zuzugreifen ?
> D.h. lesen, verschieben etc. ?

Du hast zwar keine Details bekanntgegeben, aber IMO hast du dir die Frage bereits selbst beantwortet:
Über IMAP - so wie's ein IMAP-Client eben macht.
In Perl (z.B.) gibt's da auch passende Libs dafür...

Servus,
Klemens



From rudi.floren at googlemail.com  Wed Sep 14 16:09:19 2011
From: rudi.floren at googlemail.com (Rudi Floren)
Date: Wed, 14 Sep 2011 16:09:19 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw.
	imapallgemein
In-Reply-To: <mtranet.20110914123053.840098998@ispservices.at>
References: <mtranet.20110914123053.840098998@ispservices.at>
Message-ID: <CADK_rrkLEquerSW6FNnDo3vfM5vwqiwzoEKnAaTtCf3XJrOH9w@mail.gmail.com>

Ich denke er meint ein hook gesteuertes Script welches aktiv wird, nach dem
etwas im Ordner gelandet ist.

Hier musst du wahrscheinlich auf einen Cronjob zurückgreifen.
Am 14.09.2011 12:32 schrieb "Klemens Puritscher" <
postfixbuch at puri.jet2web.at>:
>
> Dr.Peer-Joachim Koch schrieb:
>> Hallo,
>>
>> gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
>> scriptgesteuert zuzugreifen ?
>> D.h. lesen, verschieben etc. ?
>
> Du hast zwar keine Details bekanntgegeben, aber IMO hast du dir die Frage
bereits selbst beantwortet:
> Über IMAP - so wie's ein IMAP-Client eben macht.
> In Perl (z.B.) gibt's da auch passende Libs dafür...
>
> Servus,
> Klemens
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110914/fd9f64df/attachment.htm>

From postfixbuch-users at gmj.cjb.net  Wed Sep 14 16:17:14 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 14 Sep 2011 16:17:14 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus)
	bzw.	imapallgemein
In-Reply-To: <CADK_rrkLEquerSW6FNnDo3vfM5vwqiwzoEKnAaTtCf3XJrOH9w@mail.gmail.com>
References: <mtranet.20110914123053.840098998@ispservices.at>
	<CADK_rrkLEquerSW6FNnDo3vfM5vwqiwzoEKnAaTtCf3XJrOH9w@mail.gmail.com>
Message-ID: <4E70B76A.9060302@gmj.cjb.net>

Am 14.09.11 16:09, schrieb Rudi Floren:

> Ich denke er meint ein hook gesteuertes Script welches aktiv wird,
> nach dem etwas im Ordner gelandet ist.

Ich schätze für so etwas würde man eher Sieve benutzen, oder!?

Auch wenn ein (Shell-)Skript flexibler und mächtiger ist,
dürfte Sieve für solche Aktionen i.d.R. ausreichen.

Ciao,
Mathias


From postfix-user at arcor.de  Wed Sep 14 18:16:59 2011
From: postfix-user at arcor.de (andreas hildebrandt)
Date: Wed, 14 Sep 2011 18:16:59 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
 allgemein
In-Reply-To: <4E70753F.6030204@bgc-jena.mpg.de>
References: <4E70753F.6030204@bgc-jena.mpg.de>
Message-ID: <20110914181659.Horde.YTq3X3l02pxOcNN7iRphToA@mail.ahone.net>


Quoting "Dr.Peer-Joachim Koch" <pkoch at bgc-jena.mpg.de>:

> Hallo,
>
> gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
> scriptgesteuert zuzugreifen ?
> D.h. lesen, verschieben etc. ?
>
> procmail geht leider nicht, da die Mails  von Hand in den
> Ordner einsortiert werden.
>
> Was für Wege gibt es ?
>

schau Dir doch mal Ruby an
http://ruby-doc.org/stdlib/libdoc/net/imap/rdoc/classes/Net/IMAP.html


saludos
andreas

> -- 
> Danke und ciao,
>     Peer
> _________________________________________________________
> Max-Planck-Institut fuer Biogeochemie
> Dr. Peer-Joachim Koch
> Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
> D-07745 Jena                 Telefax: ++49 3641 57-7705




From postfixbuch-users at gmj.cjb.net  Wed Sep 14 18:27:19 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 14 Sep 2011 18:27:19 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
	allgemein
In-Reply-To: <20110914181659.Horde.YTq3X3l02pxOcNN7iRphToA@mail.ahone.net>
References: <4E70753F.6030204@bgc-jena.mpg.de>
	<20110914181659.Horde.YTq3X3l02pxOcNN7iRphToA@mail.ahone.net>
Message-ID: <4E70D5E7.5080904@gmj.cjb.net>

Am 14.09.11 18:16, schrieb andreas hildebrandt:

>> Was für Wege gibt es ?

Wo wir gerade beim Werben für die Lieblingsskriptsprache sind:
http://docs.python.org/library/imaplib.html

Gruß,
Mathias


From robtone at ek-muc.de  Wed Sep 14 18:36:02 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Wed, 14 Sep 2011 18:36:02 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
 allgemein
In-Reply-To: <4E70D5E7.5080904@gmj.cjb.net>
References: <4E70753F.6030204@bgc-jena.mpg.de>
	<20110914181659.Horde.YTq3X3l02pxOcNN7iRphToA@mail.ahone.net>
	<4E70D5E7.5080904@gmj.cjb.net>
Message-ID: <20110914163602.GA34284@rz.ek-muc.de>

On Wed, Sep 14, 2011 at 06:27:19PM +0200, Mathias Jeschke wrote:
> Am 14.09.11 18:16, schrieb andreas hildebrandt:
> 
> >> Was für Wege gibt es ?
> 
> Wo wir gerade beim Werben für die Lieblingsskriptsprache sind:
> http://docs.python.org/library/imaplib.html

Ich hatte da vorher auch reingeschaut und dann ausgelassen wegen der offen
bleibenden Frage:
Wie macht man damit ein move/delete?

-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From robtone at ek-muc.de  Wed Sep 14 18:49:58 2011
From: robtone at ek-muc.de (Robert Felber)
Date: Wed, 14 Sep 2011 18:49:58 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
 allgemein
In-Reply-To: <20110914163602.GA34284@rz.ek-muc.de>
References: <4E70753F.6030204@bgc-jena.mpg.de>
	<20110914181659.Horde.YTq3X3l02pxOcNN7iRphToA@mail.ahone.net>
	<4E70D5E7.5080904@gmj.cjb.net>
	<20110914163602.GA34284@rz.ek-muc.de>
Message-ID: <20110914164958.GB34284@rz.ek-muc.de>

On Wed, Sep 14, 2011 at 06:36:02PM +0200, Robert Felber wrote:
> On Wed, Sep 14, 2011 at 06:27:19PM +0200, Mathias Jeschke wrote:
> > Am 14.09.11 18:16, schrieb andreas hildebrandt:
> > 
> > >> Was für Wege gibt es ?
> > 
> > Wo wir gerade beim Werben für die Lieblingsskriptsprache sind:
> > http://docs.python.org/library/imaplib.html
> 
> Ich hatte da vorher auch reingeschaut und dann ausgelassen wegen der offen
> bleibenden Frage:
> Wie macht man damit ein move/delete?

Ok, habs: wohl ueber IMAP4.copy und IMAP4.store

-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From postfixbuch-users at gmj.cjb.net  Wed Sep 14 18:53:49 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 14 Sep 2011 18:53:49 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
	allgemein
In-Reply-To: <20110914164958.GB34284@rz.ek-muc.de>
References: <4E70753F.6030204@bgc-jena.mpg.de>	<20110914181659.Horde.YTq3X3l02pxOcNN7iRphToA@mail.ahone.net>	<4E70D5E7.5080904@gmj.cjb.net>	<20110914163602.GA34284@rz.ek-muc.de>
	<20110914164958.GB34284@rz.ek-muc.de>
Message-ID: <4E70DC1D.6000407@gmj.cjb.net>

Am 14.09.11 18:49, schrieb Robert Felber:

>> Ich hatte da vorher auch reingeschaut und dann ausgelassen wegen der offen
>> bleibenden Frage:
>> Wie macht man damit ein move/delete?
> 
> Ok, habs: wohl ueber IMAP4.copy und IMAP4.store

Bei Stackoverflow wurde es über die uid einer Message bewerkstelligt:
http://stackoverflow.com/questions/3527933/move-an-email-in-gmail-with-python-and-imaplib

Gruß,
Mathias


From lists at localguru.de  Thu Sep 15 02:00:33 2011
From: lists at localguru.de (Marcus Schopen)
Date: Thu, 15 Sep 2011 02:00:33 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
 allgemein
In-Reply-To: <4E70753F.6030204@bgc-jena.mpg.de>
References: <4E70753F.6030204@bgc-jena.mpg.de>
Message-ID: <1316044833.1980.6.camel@crabtree>

Hallo Peer,

Am Mittwoch, den 14.09.2011, 11:34 +0200 schrieb Dr.Peer-Joachim Koch:
> Hallo,
> 
> gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
> scriptgesteuert zuzugreifen ?
> D.h. lesen, verschieben etc. ?
> 
> procmail geht leider nicht, da die Mails  von Hand in den
> Ordner einsortiert werden.
> 
> Was für Wege gibt es ?

imapfilter ist da sehr flexibel oder sieve.

Viele Grüße
Marcus




From pkoch at bgc-jena.mpg.de  Thu Sep 15 10:42:12 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 15 Sep 2011 10:42:12 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw. imap
	allgemein
In-Reply-To: <1316044833.1980.6.camel@crabtree>
References: <4E70753F.6030204@bgc-jena.mpg.de>
	<1316044833.1980.6.camel@crabtree>
Message-ID: <4E71BA64.7070800@bgc-jena.mpg.de>

Hallo,

es gab ja jetzt jede Menge Vorschläge für Imap-Zugriffe
aus allen möglichen Scriptsprachen.
Das werde ich mir mal ansehen. Das müsste eigentlich gehen,
um die Mails von einem Ordner in einen anderen zu verschieben.

Nur um zu lernen: Wie geht das mit Sieve ?
Ich dachte sieve wird nur beim zustellen der Mails in das Postfach
aktiv und macht dann alles möglich. Wenn jetzt aber ein Nutzer über IMAP 
mit einem Shared-Folder (oder einfach einer Mailbox) eine Mail
verschiebt, macht er doch ein IMAP-copy bzw. move. Da hätte ich gedacht, 
das sieve nicht mehr mitspielt, oder doch ?

Ciao, Peer

Am 15.09.2011 02:00, schrieb Marcus Schopen:
> Hallo Peer,
>
> Am Mittwoch, den 14.09.2011, 11:34 +0200 schrieb Dr.Peer-Joachim Koch:
>> Hallo,
>>
>> gibt es eigentlich eine Möglichkeit auf einen Imap-(Unter)Ordner
>> scriptgesteuert zuzugreifen ?
>> D.h. lesen, verschieben etc. ?
>>
>> procmail geht leider nicht, da die Mails  von Hand in den
>> Ordner einsortiert werden.
>>
>> Was für Wege gibt es ?
>
> imapfilter ist da sehr flexibel oder sieve.
>
> Viele Grüße
> Marcus
>
>


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/9c9717de/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4599 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/9c9717de/attachment.p7s>

From hofmarkus at gmail.com  Thu Sep 15 10:49:03 2011
From: hofmarkus at gmail.com (Markus Hofer)
Date: Thu, 15 Sep 2011 10:49:03 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?Mails_verschl=FCsselt_im_File?=
 =?iso-8859-15?q?system_ablegen?=
Message-ID: <4E71BBFF.3080401@gmail.com>

Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <--> 
Patienten) verschlüsselt im Filesystem abzulegen,
sodass diese Emails auch für den Administrator nicht gelesen werden können.

Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP oder 
GPG (oder Smartcardsystem) zu verschlüsseln,
sodass nur der Empfänger die Mail lesen kann.

Gibt es vielleicht doch eine andere für Endbenutzer einfachere 
Möglichkeit die Mail auf dem Mailserver verschlüsselt abzulegen,
sodass nur der Arzt bzw. Patient die Mails lesen kann und kein anderer. 
Natürlich ausgenommen bei der Übertragen.

Vielleicht kann man in Postfix oder Dovecot irgendwelche 
Sicherheitseinstellungen machen oder mit einer anderen Software?
Hat hier vielleicht schon jemand mehr Erfahrungen?

Servus,
Markus


From bjoern.meier at googlemail.com  Thu Sep 15 12:11:30 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Thu, 15 Sep 2011 12:11:30 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
	=?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <CAGMPS56M0jmq8YbKj=sTYcuAwywaMUAo3JQk+pNQ+LbKihvpKw@mail.gmail.com>

hi,

Am 15. September 2011 10:49 schrieb Markus Hofer <hofmarkus at gmail.com>:
> Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <-->
> Patienten) verschlüsselt im Filesystem abzulegen,
> sodass diese Emails auch für den Administrator nicht gelesen werden können.
>
> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP oder GPG
> (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.
>
> Gibt es vielleicht doch eine andere für Endbenutzer einfachere Möglichkeit
> die Mail auf dem Mailserver verschlüsselt abzulegen,
> sodass nur der Arzt bzw. Patient die Mails lesen kann und kein anderer.
> Natürlich ausgenommen bei der Übertragen.
>
> Vielleicht kann man in Postfix oder Dovecot irgendwelche
> Sicherheitseinstellungen machen oder mit einer anderen Software?
> Hat hier vielleicht schon jemand mehr Erfahrungen?
>
> Servus,
> Markus
> --

vertrauenswürdigt ist so etwas nur, wenn empfänger und absender über
die benötigten Schlüsselpaare verfügen und kein dritter. Darum
empfinde ich DE-Mail auch nicht vertrauenswürdig.
Gruß,
Björn


From joerg at joergi.ch  Thu Sep 15 12:51:20 2011
From: joerg at joergi.ch (=?ISO-8859-1?Q?J=F6rg?= Rohrer)
Date: Thu, 15 Sep 2011 12:51:20 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
Message-ID: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>

Newbie Frage.

Neulich habe ich die Reihenfolge von postgrey und RBL-Check in der
main.cf geändert. Das heisst konkret: Ich habe nun postgrey vor rbl weil
ich aufgrund eines anderen Beitrages davon ausgegange bin dass Postfix
das mail nicht bis zur RBL abfrage weiterreicht wenn es schon an
postgrey hängen bleiben sollte.
Mache ich da einen Fehler in der Konfig, oder ist das einfach so?

Grüsse
Jörg

----------
main.cf
----------
canonical_maps = hash:/etc/postfix/canonical
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = ldap:/etc/postfix/ldap-virtual.cf,
ldap:/etc/postfix/ldap-groups.cf
#virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = hash:/etc/postfix/virtual
relocated_maps = hash:/etc/postfix/relocated
#transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
mydomain = joergi.ch
myhostname = mail.joergi.ch
myorigin = $mydomain
program_directory = /usr/lib/postfix
inet_interfaces = all
masquerade_domains =
mydestination = $mydomain, $myhostname, joergi.ch
defer_transports =
mynetworks_style = host
disable_dns_lookups = no
relayhost =
mailbox_command =
mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
strict_8bitmime = no
disable_mime_output_conversion = no
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
strict_rfc821_envelopes = no
header_checks = pcre:/etc/postfix/header_checks
body_checks = pcre:/etc/postfix/body_checks

smtpd_recipient_restrictions = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination,
                               reject_unlisted_recipient,
                               check_helo_access
hash:/etc/postfix/helo_access,
                               check_client_access
hash:/etc/postfix/rbl_override,
                               check_sender_access
hash:/etc/postfix/email-allowed,
                               check_policy_service inet:127.0.0.1:10055
                               reject_rbl_client zen.spamhaus.org,
                               reject_rbl_client ix.dnsbl.manitu.net,
smtp_sasl_auth_enable = no
smtpd_sasl_auth_enable = yes
smtpd_use_tls = yes
smtp_use_tls = no
smtpd_tls_loglevel = 0
smtpd_tls_key_file = /etc/postfix/ssl/mailsrv.pem
smtpd_tls_cert_file = /etc/postfix/ssl/mailsrv.pem
smtpd_tls_received_header = yes

alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 50240000

------------------------------------------------------------------------------------




From Ralf.Hildebrandt at charite.de  Thu Sep 15 13:41:41 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 15 Sep 2011 13:41:41 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
Message-ID: <20110915114141.GJ30684@charite.de>

* Jörg Rohrer <joerg at joergi.ch>:
> Newbie Frage.
> 
> Neulich habe ich die Reihenfolge von postgrey und RBL-Check in der
> main.cf geändert. Das heisst konkret: Ich habe nun postgrey vor rbl weil
> ich aufgrund eines anderen Beitrages davon ausgegange bin dass Postfix
> das mail nicht bis zur RBL abfrage weiterreicht wenn es schon an
> postgrey hängen bleiben sollte.

Jo.

> Mache ich da einen Fehler in der Konfig, oder ist das einfach so?

Welches Problem hast du denn jetzt?

> smtpd_recipient_restrictions = permit_mynetworks,
>                                permit_sasl_authenticated,
>                                reject_unauth_destination,
>                                reject_unlisted_recipient,
>                                check_helo_access hash:/etc/postfix/helo_access,
>                                check_client_access hash:/etc/postfix/rbl_override,
>                                check_sender_access hash:/etc/postfix/email-allowed,
erst greylisting
>                                check_policy_service inet:127.0.0.1:10055
dann DNSBLs
>                                reject_rbl_client zen.spamhaus.org,
>                                reject_rbl_client ix.dnsbl.manitu.net,

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From driessen at fblan.de  Thu Sep 15 13:43:48 2011
From: driessen at fblan.de (Driessen)
Date: Thu, 15 Sep 2011 13:43:48 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
Message-ID: <010301cc739c$bbf43d20$0565a8c0@uwe>

> -----Original Message-----
> From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] On Behalf Of Jörg Rohrer
> Sent: Thursday, September 15, 2011 12:51 PM
> To: postfixbuch-users at listi.jpberlin.de
> Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
> 
> Newbie Frage.
> 
> Neulich habe ich die Reihenfolge von postgrey und RBL-Check in der
> main.cf geändert. Das heisst konkret: Ich habe nun postgrey vor rbl weil
> ich aufgrund eines anderen Beitrages davon ausgegange bin dass Postfix
> das mail nicht bis zur RBL abfrage weiterreicht wenn es schon an
> postgrey hängen bleiben sollte.
> Mache ich da einen Fehler in der Konfig, oder ist das einfach so?
> 

Das kommt drauf an wie dein Postgrey betrieben wird.

Defer if PERMIT (standard)
oder 

POSTGREY_OPTS="--inet=127.0.0.1:10023 --greylist-action=450"


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From michael at nausch.org  Thu Sep 15 13:45:04 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 15 Sep 2011 13:45:04 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
	=?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <20110915134504.crvyw991j4k0wk8g@buero.nausch.org>

Griasdebou!

Quoting Markus Hofer <hofmarkus at gmail.com>:

> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP   
> oder GPG (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.

Genau das bzw. als weitere Variante der asynchronen Verschlüsselung  
wollte ich gerade noch S/MIME vorschlagen.

> Hat hier vielleicht schon jemand mehr Erfahrungen?

Mei, was heißt mehr Erfahrung? Für die vertrauliche Kommunikation  
setzen wir hier auf PGP bzw. S/MIME [1], je naoch Gusto und  
Möglichkeiten. Alles andere, kannste IMHO knicken, schon gleich mal  
ePostbrief und/oder DeMail.


Pfiade
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org/doku.php/centos:openpgp_beim_mua [1]
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3854 bytes
Beschreibung: S/MIME krytographische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/e4565a3b/attachment.p7s>

From hans.moser at ofd-z.niedersachsen.de  Thu Sep 15 13:46:15 2011
From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann)
Date: Thu, 15 Sep 2011 13:46:15 +0200
Subject: [Postfixbuch-users] Frage zu shared folder (cyus) bzw.
	imap	allgemein
In-Reply-To: <4E71BA64.7070800@bgc-jena.mpg.de>
References: <4E70753F.6030204@bgc-jena.mpg.de>	<1316044833.1980.6.camel@crabtree>
	<4E71BA64.7070800@bgc-jena.mpg.de>
Message-ID: <4E71E587.90602@ofd-z.niedersachsen.de>

Hallo,

Dr.Peer-Joachim Koch schrieb (15.09.2011 10:42 Uhr):

> es gab ja jetzt jede Menge Vorschläge für Imap-Zugriffe
> aus allen möglichen Scriptsprachen.
> Das werde ich mir mal ansehen. Das müsste eigentlich gehen,
> um die Mails von einem Ordner in einen anderen zu verschieben.
Ja.

Das folgende rudimentäre Python-Skript verschiebt Mails mit einem 
bestimmten Betreff in einen anderen Ordner:

#!/usr/bin/python

from imaplib import *

server = IMAP4("servername")
server.login("user","pw")

mboxes = server.list()

r = server.select("INBOX.SPAM")
r, data = server.search(None,'(Header X-Spam-Flag \"YES\")')

liste = data[0].split(" ")

to = "INBOX.bla"

for msg in liste:
  server.copy(msg,to)
  server.store(msg,'FLAGS', '(\Deleted)')
server.expunge()
server.close()


> Nur um zu lernen: Wie geht das mit Sieve ?
> Ich dachte sieve wird nur beim zustellen der Mails in das Postfach
> aktiv und macht dann alles möglich. Wenn jetzt aber ein Nutzer über IMAP 
> mit einem Shared-Folder (oder einfach einer Mailbox) eine Mail
> verschiebt, macht er doch ein IMAP-copy bzw. move. Da hätte ich gedacht, 
> das sieve nicht mehr mitspielt, oder doch ?
Wenn ich mich nicht täusche, dann wird Sieve nur bei der Einlieferung in 
die Mailbox aufgerufen und nicht bei Veränderungen an der Mailbox über 
IMAP, genau. (Sonst würde es wohlmöglich Vacation-Meldungen geben 
können, wenn eine Mail zurück in den Posteingang kopiert wird, das wäre 
ziemlich blöd.)


Marc


From joerg at joergi.ch  Thu Sep 15 14:06:51 2011
From: joerg at joergi.ch (=?ISO-8859-1?Q?J=F6rg?= Rohrer)
Date: Thu, 15 Sep 2011 14:06:51 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <010301cc739c$bbf43d20$0565a8c0@uwe>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<010301cc739c$bbf43d20$0565a8c0@uwe>
Message-ID: <1316088411.3379.18.camel@linux-bf6y.cablecom.ch>

On Thu, 2011-09-15 at 13:43 +0200, Driessen wrote:
> > -----Original Message-----
> > From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> > users-bounces at listen.jpberlin.de] On Behalf Of Jörg Rohrer
> > Sent: Thursday, September 15, 2011 12:51 PM
> > To: postfixbuch-users at listi.jpberlin.de
> > Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
> > 
> > Newbie Frage.
> > 
> > Neulich habe ich die Reihenfolge von postgrey und RBL-Check in der
> > main.cf geändert. Das heisst konkret: Ich habe nun postgrey vor rbl weil
> > ich aufgrund eines anderen Beitrages davon ausgegange bin dass Postfix
> > das mail nicht bis zur RBL abfrage weiterreicht wenn es schon an
> > postgrey hängen bleiben sollte.
> > Mache ich da einen Fehler in der Konfig, oder ist das einfach so?
> > 
> 
> Das kommt drauf an wie dein Postgrey betrieben wird.
> 
> Defer if PERMIT (standard)
> oder 
> 
> POSTGREY_OPTS="--inet=127.0.0.1:10023 --greylist-action=450"
> 
> 
> Mit freundlichen Grüßen
> 
> Drießen
> 
> -- 
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
> Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397
> 
> 
Probier ich gleich mal mit dem 450iger. Leider ist das bei meiner
opensuse so eine sache mit der postgrey konfig in der /etc/sysconfig/
Aber mal schauen.

Grüsse
Jörg




From joerg at joergi.ch  Thu Sep 15 13:50:26 2011
From: joerg at joergi.ch (=?ISO-8859-1?Q?J=F6rg?= Rohrer)
Date: Thu, 15 Sep 2011 13:50:26 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <20110915114141.GJ30684@charite.de>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<20110915114141.GJ30684@charite.de>
Message-ID: <1316087426.3379.14.camel@linux-bf6y.cablecom.ch>

On Thu, 2011-09-15 at 13:41 +0200, Ralf Hildebrandt wrote:
> * Jörg Rohrer <joerg at joergi.ch>:
> > Newbie Frage.
> > 
> > Neulich habe ich die Reihenfolge von postgrey und RBL-Check in der
> > main.cf geändert. Das heisst konkret: Ich habe nun postgrey vor rbl weil
> > ich aufgrund eines anderen Beitrages davon ausgegange bin dass Postfix
> > das mail nicht bis zur RBL abfrage weiterreicht wenn es schon an
> > postgrey hängen bleiben sollte.
> 
> Jo.
> 
> > Mache ich da einen Fehler in der Konfig, oder ist das einfach so?
> 
> Welches Problem hast du denn jetzt?
> 
> > smtpd_recipient_restrictions = permit_mynetworks,
> >                                permit_sasl_authenticated,
> >                                reject_unauth_destination,
> >                                reject_unlisted_recipient,
> >                                check_helo_access hash:/etc/postfix/helo_access,
> >                                check_client_access hash:/etc/postfix/rbl_override,
> >                                check_sender_access hash:/etc/postfix/email-allowed,
> erst greylisting
> >                                check_policy_service inet:127.0.0.1:10055
> dann DNSBLs
> >                                reject_rbl_client zen.spamhaus.org,
> >                                reject_rbl_client ix.dnsbl.manitu.net,
> 
> -- 
> Ralf Hildebrandt
>   Geschäftsbereich IT | Abteilung Netzwerk
>   Charité - Universitätsmedizin Berlin
>   Campus Benjamin Franklin
>   Hindenburgdamm 30 | D-12203 Berlin
>   Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>   ralf.hildebrandt at charite.de | http://www.charite.de
> 	    

Mein problem ist, dass die besagten mails erst von der RBL abfrage
geblockt werden. Obwohl greylisting auch anschlägt. Siehe logauszug-

------------------
Sep 15 13:13:46 alpha postfix/smtpd[26377]: warning: 178.234.184.76:
hostname X76.bbn07-184.lipetsk.ru verification failed: Name or service
not known
Sep 15 13:13:46 alpha postfix/smtpd[26377]: connect from
unknown[178.234.184.76]
Sep 15 13:13:47 alpha postgrey[2925]: action=greylist, reason=new,
client_name=unknown, client_address=178.234.184.76,
sender=Giovanni at acdjardimdaserra.org, recipient=joergi at joergi.ch
Sep 15 13:13:47 alpha postfix/smtpd[26377]: NOQUEUE: reject: RCPT from
unknown[178.234.184.76]: 554 5.7.1 Service unavailable; Client host
[178.234.184.76] blocked using zen.spamhaus.org;
http://www.sp.org/query/bl?ip=178.234.184.76;
from=<Giovanni at acdjardimdaserra.org> to=<joergi at joergi.ch> proto=SMTP
helo=<acdjardimdaserra.org>
Sep 15 13:13:48 alpha postgrey[2925]: action=greylist, reason=new,
client_name=unknown, client_address=178.234.184.76,
sender=Giovanni at acdjardimdaserra.org, recipient=cod4 at joergi.ch
Sep 15 13:13:48 alpha postfix/smtpd[26377]: NOQUEUE: reject: RCPT from
unknown[178.234.184.76]: 554 5.7.1 Service unavailable; Client host
[178.234.184.76] blocked using zen.spamhaus.org;
http://www.sp.org/query/bl?ip=178.234.184.76;
from=<Giovanni at acdjardimdaserra.org> to=<cod4 at joergi.ch> proto=SMTP
helo=<acdjardimdaserra.org>
Sep 15 13:13:48 alpha postfix/smtpd[26377]: lost connection after RCPT
from unknown[178.234.184.76]
Sep 15 13:13:48 alpha postfix/smtpd[26377]: disconnect from
unknown[178.234.184.76]





From dominik at storck.net  Thu Sep 15 14:00:27 2011
From: dominik at storck.net (Dominik Storck)
Date: Thu, 15 Sep 2011 14:00:27 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
 =?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <4E71E8DB.6090006@storck.net>

Hi,

benutzen seit Jahren GnuPG in Kombination mit Enigmail für den
Thunderbird, was die Benutzung ungemein erleichtert.
Nachrichten sind End-To-End verschlüsselt und somit nur vom Inhaber des
zugehörigen privaten Schlüssels nebst Passphrase
zu lesen. Falls nötig, kann man parallel auch einen Webmailer, z.B.
Squirrelmail einsetzen, für den gibt es ein passables
Plugin, welches die Ver-/Entschlüsselung und Schlüsselverwaltung
einigermaßen komfortabel macht.
Ausgeschlossen bei dem Verfahren sind dann allerdings Smartphone-Nutzer,
weil m.W. weder für iPhone noch
Android entsprechende Addons bzw. Mailclients fehlen (ich will jetzt von
mit irgendwelchen Tricksereien
wie Jailbreaks für's iPhone und Kommandozeilen-Utilities sprechen,
sondern rede für von normalen Anwendern
handhabbaren Lösungen...)

Gruß
Dominik


Am 15.09.2011 10:49, schrieb Markus Hofer:
> Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <-->
> Patienten) verschlüsselt im Filesystem abzulegen,
> sodass diese Emails auch für den Administrator nicht gelesen werden
> können.
>
> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP oder
> GPG (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.
>
> Gibt es vielleicht doch eine andere für Endbenutzer einfachere
> Möglichkeit die Mail auf dem Mailserver verschlüsselt abzulegen,
> sodass nur der Arzt bzw. Patient die Mails lesen kann und kein
> anderer. Natürlich ausgenommen bei der Übertragen.
>
> Vielleicht kann man in Postfix oder Dovecot irgendwelche
> Sicherheitseinstellungen machen oder mit einer anderen Software?
> Hat hier vielleicht schon jemand mehr Erfahrungen?
>
> Servus,
> Markus


From Ralf.Hildebrandt at charite.de  Thu Sep 15 14:26:56 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 15 Sep 2011 14:26:56 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <1316087426.3379.14.camel@linux-bf6y.cablecom.ch>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<20110915114141.GJ30684@charite.de>
	<1316087426.3379.14.camel@linux-bf6y.cablecom.ch>
Message-ID: <20110915122655.GR30684@charite.de>

* Jörg Rohrer <joerg at joergi.ch>:

> Mein problem ist, dass die besagten mails erst von der RBL abfrage
> geblockt werden. Obwohl greylisting auch anschlägt. Siehe logauszug-

Naja, das kann halt passierten wenn ein Client greylisting überwindet.
Gibt's halt.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From pkoch at bgc-jena.mpg.de  Thu Sep 15 12:04:13 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 15 Sep 2011 12:04:13 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
 =?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <4E71CD9D.9070409@bgc-jena.mpg.de>

Hallo,

das sauberste wäre auf beiden Seiten mit Zertifikaten zu arbeiten und
die Mail zu verschlüsseln. Was dann im Dateisystem liegt ist zwar noch
eine "normale" Mail, aber der Inhalt der Mail ist mit dem Public_key des 
Empfängers verschlüsselt und kann nur mit dem privatkey entschlüsselt 
werden.

Das setzt aber voraus, das beide Seiten Zertifikate haben und auch damit 
vernünftig umgehen (nicht verlieren, mit PW schützen, ...) ...

Aber jedes System hat Schwachstellen bzw. bereitet Aufwand.
Sicherheit ohne Aufwand geht nicht - die Frage ist, wie viel man
investieren will.

Am 15.09.2011 10:49, schrieb Markus Hofer:
> Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <-->
> Patienten) verschlüsselt im Filesystem abzulegen,
> sodass diese Emails auch für den Administrator nicht gelesen werden können.
>
> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP oder
> GPG (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.
>
> Gibt es vielleicht doch eine andere für Endbenutzer einfachere
> Möglichkeit die Mail auf dem Mailserver verschlüsselt abzulegen,
> sodass nur der Arzt bzw. Patient die Mails lesen kann und kein anderer.
> Natürlich ausgenommen bei der Übertragen.
>
> Vielleicht kann man in Postfix oder Dovecot irgendwelche
> Sicherheitseinstellungen machen oder mit einer anderen Software?
> Hat hier vielleicht schon jemand mehr Erfahrungen?
>
> Servus,
> Markus


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/2351bd8c/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4599 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/2351bd8c/attachment.p7s>

From joerg at joergi.ch  Thu Sep 15 14:40:00 2011
From: joerg at joergi.ch (=?ISO-8859-1?Q?J=F6rg?= Rohrer)
Date: Thu, 15 Sep 2011 14:40:00 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <20110915122655.GR30684@charite.de>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<20110915114141.GJ30684@charite.de>
	<1316087426.3379.14.camel@linux-bf6y.cablecom.ch>
	<20110915122655.GR30684@charite.de>
Message-ID: <1316090400.3379.21.camel@linux-bf6y.cablecom.ch>

On Thu, 2011-09-15 at 14:26 +0200, Ralf Hildebrandt wrote:
> * Jörg Rohrer <joerg at joergi.ch>:
> 
> > Mein problem ist, dass die besagten mails erst von der RBL abfrage
> > geblockt werden. Obwohl greylisting auch anschlägt. Siehe logauszug-
> 
> Naja, das kann halt passierten wenn ein Client greylisting überwindet.
> Gibt's halt.
> 
> -- 
> Ralf Hildebrandt
>   Geschäftsbereich IT | Abteilung Netzwerk
>   Charité - Universitätsmedizin Berlin
>   Campus Benjamin Franklin
>   Hindenburgdamm 30 | D-12203 Berlin
>   Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>   ralf.hildebrandt at charite.de | http://www.charite.de
> 	    
Bei "reason=new" sollte der Client doch das Greylisting noch nicht
überwunden haben. Oder?

Gruss
Jörg



From lists at puersten.de  Thu Sep 15 14:32:29 2011
From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=)
Date: Thu, 15 Sep 2011 14:32:29 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <xn0hj16a9a0uds0000@news.gmane.org>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org>
Message-ID: <4E71F05D.2030708@puersten.de>

Am 12.09.2011 21:40, schrieb Helmut Schneider:
> Ralf Hildebrandt wrote:
>
>> * Werner Flamme<w.flamme at web.de>:
>>
>>> sogar Heise warnt die Leute schon :-)
>>>
>>> <http://heise.de/-1341226>
>>>
>>> Ob T-Dingens jetzt wach wird?
>>
>> Heute mittag waren die schon wieder delisted.
>
> Hat wohl nicht lange angehalten... :(
>

Mich würde mal interessiern wie geht Ihr mit der Problematik um?
So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
Spamcop gelistet.

T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim Empfänger
whitelisten lassen.

Habt Ihr die T-Online Server in eine Whitelist aufgenommen?

-- 
Gruß, Oliver


From atann at alphasrv.net  Thu Sep 15 14:30:32 2011
From: atann at alphasrv.net (Andre Tann)
Date: Thu, 15 Sep 2011 14:30:32 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <1316088411.3379.18.camel@linux-bf6y.cablecom.ch>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<010301cc739c$bbf43d20$0565a8c0@uwe>
	<1316088411.3379.18.camel@linux-bf6y.cablecom.ch>
Message-ID: <201109151430.33162@inter.netz>

Jörg Rohrer, Donnerstag, 15. September 2011: 

> Probier ich gleich mal mit dem 450iger. Leider ist das bei meiner
> opensuse so eine sache mit der postgrey konfig in der /etc/sysconfig/
> Aber mal schauen.

In der Tat. Da hat vor längerer Zeit auch Peer mal was geschrieben. IIRC
war es so, daß man keine Leerzeichen benutzen durfte. Bei mir steht da
etwas wie

POSTGREY_EXTRA_OPTIONS="--auto-whitelist-clients --greylist-text
You_are_greylisted._Try_again_later._(%s).
--greylist-action=450 --auto-whitelist-clients --delay=300
--max-age=120"

Alles in einer Zeile natürlich.

-- 
Andre Tann



From r.felber at ek-muc.de  Thu Sep 15 14:39:55 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Thu, 15 Sep 2011 14:39:55 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <20110915122655.GR30684@charite.de>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<20110915114141.GJ30684@charite.de>
	<1316087426.3379.14.camel@linux-bf6y.cablecom.ch>
	<20110915122655.GR30684@charite.de>
Message-ID: <20110915123955.GA38731@rz.ek-muc.de>

On Thu, Sep 15, 2011 at 02:26:56PM +0200, Ralf Hildebrandt wrote:
> * Jörg Rohrer <joerg at joergi.ch>:
> 
> > Mein problem ist, dass die besagten mails erst von der RBL abfrage
> > geblockt werden. Obwohl greylisting auch anschlägt. Siehe logauszug-
> 
> Naja, das kann halt passierten wenn ein Client greylisting überwindet.
> Gibt's halt.

postgrey wird per default mit defer_if_permit ausgeliefert.
Der gibt also erst dann einen Defer, wenn alle nachfolgenden Pruefungen in der
Sitzung zu einem Annehmen des Clients fuehren. Und somit werden permanent die RBLs
abgefragt, egal ob postgrey vorher lief.



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From p at state-of-mind.de  Thu Sep 15 14:40:09 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 15 Sep 2011 14:40:09 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_verschl=C3=BCsselt_im_Filesys?=
 =?utf-8?q?tem_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <20110915124009.GB32313@state-of-mind.de>

* Markus Hofer <postfixbuch-users at listen.jpberlin.de>:
> Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <-->
> Patienten) verschlüsselt im Filesystem abzulegen,
> sodass diese Emails auch für den Administrator nicht gelesen werden können.

Nein. Ein Admin hat auf einem UNIX-System in nahezu allen Fällen volle
Zugriffsrechte.

Du kannst das Filesystem verschlüsseln, aber dann muss es beim mounten
entschlüsselt werden, damit die Applikation (Dovecot) die Daten im decrypteten
FS nutzen kann.

Du kannst jede Mail selbst verschlüsseln, aber wenn die Applikation den
Schlüssel für den Zugriff auf die Daten hat, dann kann der Admin sich den
Schlüssel beschaffen und hat damit Zugriff.

Sensible Daten kannst du nur vor Dritten verbergen, wenn _allein_ die beiden
Kommunikationsparteien Zugriff auf die Schlüssel/Kennwörter haben.


> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP
> oder GPG (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.

Wieso nicht auch S/MIME? Das kann nahezu jeder MUA out of the box und es ist,
weil nativ implementiert, meistens sehr einfach für Endanwender zu nutzen.

> Gibt es vielleicht doch eine andere für Endbenutzer einfachere
> Möglichkeit die Mail auf dem Mailserver verschlüsselt abzulegen,
> sodass nur der Arzt bzw. Patient die Mails lesen kann und kein
> anderer. Natürlich ausgenommen bei der Übertragen.

Nein.

> Vielleicht kann man in Postfix oder Dovecot irgendwelche
> Sicherheitseinstellungen machen oder mit einer anderen Software?

Nein.

> Hat hier vielleicht schon jemand mehr Erfahrungen?

Ja. :)

p at rick



-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3603 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/7f1208bc/attachment.bin>

From p at state-of-mind.de  Thu Sep 15 14:40:09 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 15 Sep 2011 14:40:09 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_verschl=C3=BCsselt_im_Filesys?=
 =?utf-8?q?tem_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <20110915124009.GB32313@state-of-mind.de>

* Markus Hofer <postfixbuch-users at listen.jpberlin.de>:
> Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <-->
> Patienten) verschlüsselt im Filesystem abzulegen,
> sodass diese Emails auch für den Administrator nicht gelesen werden können.

Nein. Ein Admin hat auf einem UNIX-System in nahezu allen Fällen volle
Zugriffsrechte.

Du kannst das Filesystem verschlüsseln, aber dann muss es beim mounten
entschlüsselt werden, damit die Applikation (Dovecot) die Daten im decrypteten
FS nutzen kann.

Du kannst jede Mail selbst verschlüsseln, aber wenn die Applikation den
Schlüssel für den Zugriff auf die Daten hat, dann kann der Admin sich den
Schlüssel beschaffen und hat damit Zugriff.

Sensible Daten kannst du nur vor Dritten verbergen, wenn _allein_ die beiden
Kommunikationsparteien Zugriff auf die Schlüssel/Kennwörter haben.


> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP
> oder GPG (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.

Wieso nicht auch S/MIME? Das kann nahezu jeder MUA out of the box und es ist,
weil nativ implementiert, meistens sehr einfach für Endanwender zu nutzen.

> Gibt es vielleicht doch eine andere für Endbenutzer einfachere
> Möglichkeit die Mail auf dem Mailserver verschlüsselt abzulegen,
> sodass nur der Arzt bzw. Patient die Mails lesen kann und kein
> anderer. Natürlich ausgenommen bei der Übertragen.

Nein.

> Vielleicht kann man in Postfix oder Dovecot irgendwelche
> Sicherheitseinstellungen machen oder mit einer anderen Software?

Nein.

> Hat hier vielleicht schon jemand mehr Erfahrungen?

Ja. :)

p at rick



-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3603 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/7f1208bc/attachment-0001.bin>

From Ralf.Hildebrandt at charite.de  Thu Sep 15 14:50:54 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 15 Sep 2011 14:50:54 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <4E71F05D.2030708@puersten.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
Message-ID: <20110915125054.GS30684@charite.de>

* Oliver Pürsten <lists at puersten.de>:

> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
> So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
> Spamcop gelistet.
> 
> T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim Empfänger
> whitelisten lassen.
> 
> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?

Bis jetzt nicht.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From p at state-of-mind.de  Thu Sep 15 14:52:29 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 15 Sep 2011 14:52:29 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <4E71F05D.2030708@puersten.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
Message-ID: <20110915125229.GE32313@state-of-mind.de>

* Oliver Pürsten <postfixbuch-users at listen.jpberlin.de>:
> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
> So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
> Spamcop gelistet.
> 
> T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim Empfänger
> whitelisten lassen.

?Aus unseren Netzwerk werden Straftaten begangen. Bitte dulden sie das.?
Genau! Mir war eh gerade langweilig ?

> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?

Nein. Wenn kein Spam versendet wird, kann es auch keinen geben. Spam aus dem
eigenen Netzwerk ist nicht mehr das Problem anderer Leute. Die Zeit haben wir
zum Glück hinter uns. Stillschweigeabkommen a la ?Wenn Du meinen Spam
annimmst, nehme ich auch Deinen an.? sind auch am Ziel vorbei.

p at rick



> 
> -- 
> Gruß, Oliver
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



From postfix-list at novuage.de  Thu Sep 15 14:52:58 2011
From: postfix-list at novuage.de (Sascha Peters)
Date: Thu, 15 Sep 2011 14:52:58 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <20110915125054.GS30684@charite.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
	<20110915125054.GS30684@charite.de>
Message-ID: <4E71F52A.3020906@novuage.de>

Am 15.09.2011 14:50, schrieb Ralf Hildebrandt:
> * Oliver Pürsten<lists at puersten.de>:
>
>> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
>> So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
>> Spamcop gelistet.
>>
>> T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim Empfänger
>> whitelisten lassen.
>>
>> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?
>
> Bis jetzt nicht.

Wo bekommt man im Fall der Fälle denn die komplette Liste her? Oder 
würdet Ihr dann nur die "aktuell" gelisteten übernehmen... Sagt die 
Telekom denn den Kunden auch welche es sind???


Gruß
Sascha


From bjoern.meier at googlemail.com  Thu Sep 15 14:53:24 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Thu, 15 Sep 2011 14:53:24 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <4E71F05D.2030708@puersten.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
Message-ID: <CAGMPS54ZG20444t_Z_Pffaag4fr=vAFAfvtbsMj0+-cETzkFQA@mail.gmail.com>

hi,

Am 15. September 2011 14:32 schrieb Oliver Pürsten <lists at puersten.de>:
> Am 12.09.2011 21:40, schrieb Helmut Schneider:
>>
>> Ralf Hildebrandt wrote:
>>
>>> * Werner Flamme<w.flamme at web.de>:
>>>
>>>> sogar Heise warnt die Leute schon :-)
>>>>
>>>> <http://heise.de/-1341226>
>>>>
>>>> Ob T-Dingens jetzt wach wird?
>>>
>>> Heute mittag waren die schon wieder delisted.
>>
>> Hat wohl nicht lange angehalten... :(
>>
>
> Mich würde mal interessiern wie geht Ihr mit der Problematik um?

Wir haben jetzt auf spamcop verzichtet.
Gruß,
Björn


From ralf.prengel at rprengel.de  Thu Sep 15 14:35:11 2011
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Thu, 15 Sep 2011 14:35:11 +0200
Subject: [Postfixbuch-users] off Topic : apple Lion Mailserver
Message-ID: <4E71F0FF.50108@rprengel.de>

Hallo,

komplett off-topic aber hat jemand mit dem Teil Erfahrung?
Ich muss im privaten Umfeld ggf. helfen das Teil für 5 User einzubinden.
Das Teil muss nicht viel können sollte aber stabil laufen.

Gruß


From michael at nausch.org  Thu Sep 15 15:03:11 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 15 Sep 2011 15:03:11 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
	=?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <20110915124009.GB32313@state-of-mind.de>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
Message-ID: <20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>

Griasde Patrick!

Quoting Patrick Ben Koetter <p at state-of-mind.de>:

> Wieso nicht auch S/MIME? Das kann nahezu jeder MUA out of the box und es ist,
> weil nativ implementiert, meistens sehr einfach für Endanwender zu nutzen.

Mal eine ketzerische Frage an Dich von mir: "wenn das angeblich so  
einfach zu nutzen ist", warum nutzt es dann kaum einer?

Nach meiner Theorie und den Erfahrungen aus der Praxis sieht es nunmal  
so aus, dass man dennoch erst einmal verstanden haben muss, was  
asynchrone Verschlüsselung bedeutet, was ein CSR, was man mit den zwei  
Schlüssel überhaupt machen kann/darf und wie man mit einem  
Rückrufzertifikat umgehen sollte.


Pfiade
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digitale PGP-Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/b451d3f4/attachment.sig>

From joerg at joergi.ch  Thu Sep 15 15:05:47 2011
From: joerg at joergi.ch (=?ISO-8859-1?Q?J=F6rg?= Rohrer)
Date: Thu, 15 Sep 2011 15:05:47 +0200
Subject: [Postfixbuch-users] RBL und Postgrey Reihenfolge in der main.cf
In-Reply-To: <201109151430.33162@inter.netz>
References: <1316083880.3379.10.camel@linux-bf6y.cablecom.ch>
	<010301cc739c$bbf43d20$0565a8c0@uwe>
	<1316088411.3379.18.camel@linux-bf6y.cablecom.ch>
	<201109151430.33162@inter.netz>
Message-ID: <1316091947.3379.23.camel@linux-bf6y.cablecom.ch>

On Thu, 2011-09-15 at 14:30 +0200, Andre Tann wrote:
> Jörg Rohrer, Donnerstag, 15. September 2011: 
> 
> > Probier ich gleich mal mit dem 450iger. Leider ist das bei meiner
> > opensuse so eine sache mit der postgrey konfig in der /etc/sysconfig/
> > Aber mal schauen.
> 
> In der Tat. Da hat vor längerer Zeit auch Peer mal was geschrieben. IIRC
> war es so, daß man keine Leerzeichen benutzen durfte. Bei mir steht da
> etwas wie
> 
> POSTGREY_EXTRA_OPTIONS="--auto-whitelist-clients --greylist-text
> You_are_greylisted._Try_again_later._(%s).
> --greylist-action=450 --auto-whitelist-clients --delay=300
> --max-age=120"
> 
> Alles in einer Zeile natürlich.
> 
> -- 
> Andre Tann
> 
Ich hab nun den 450iger direkt ins postgrey file reingehauen. Jetzt mal
warten.

Danke euch
Jörg



From lists at puersten.de  Thu Sep 15 15:12:30 2011
From: lists at puersten.de (=?UTF-8?B?T2xpdmVyIFDDvHJzdGVu?=)
Date: Thu, 15 Sep 2011 15:12:30 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <20110915125229.GE32313@state-of-mind.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
	<20110915125229.GE32313@state-of-mind.de>
Message-ID: <4E71F9BE.3070505@puersten.de>

Am 15.09.2011 14:52, schrieb Patrick Ben Koetter:
> * Oliver Pürsten<postfixbuch-users at listen.jpberlin.de>:
>> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
>> So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
>> Spamcop gelistet.
>>
>> T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim Empfänger
>> whitelisten lassen.
>
> ?Aus unseren Netzwerk werden Straftaten begangen. Bitte dulden sie das.?
> Genau! Mir war eh gerade langweilig ?
>

>> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?
>
> Nein. Wenn kein Spam versendet wird, kann es auch keinen geben. Spam aus dem
> eigenen Netzwerk ist nicht mehr das Problem anderer Leute. Die Zeit haben wir
> zum Glück hinter uns. Stillschweigeabkommen a la ?Wenn Du meinen Spam
> annimmst, nehme ich auch Deinen an.? sind auch am Ziel vorbei.
>
> p at rick

:-D genau meine Meinung! Du sprichst mir aus der Seele...
War nur mal neugierig wie der Rest so mit umgeht.

-- 
Gruß, Oliver


From p at state-of-mind.de  Thu Sep 15 15:12:19 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 15 Sep 2011 15:12:19 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_verschl=C3=BCsselt_im_Filesys?=
 =?utf-8?q?tem_ablegen?=
In-Reply-To: <20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
Message-ID: <20110915131219.GG32313@state-of-mind.de>

* Michael Nausch <postfixbuch-users at listen.jpberlin.de>:
> Griasde Patrick!
> 
> Quoting Patrick Ben Koetter <p at state-of-mind.de>:
> 
> >Wieso nicht auch S/MIME? Das kann nahezu jeder MUA out of the box und es ist,
> >weil nativ implementiert, meistens sehr einfach für Endanwender zu nutzen.
> 
> Mal eine ketzerische Frage an Dich von mir: "wenn das angeblich so
> einfach zu nutzen ist", warum nutzt es dann kaum einer?

Weil es im Gegensatz zu GPG Geld kostet, die Zertifikate zu signieren und weil
die CAs - meiner Meinung nach - als Monopolisten auf dem Markt einen nicht
nachvollziehbaren Betrag dafür verlangen.


> Nach meiner Theorie und den Erfahrungen aus der Praxis sieht es
> nunmal so aus, dass man dennoch erst einmal verstanden haben muss,
> was asynchrone Verschlüsselung bedeutet, was ein CSR, was man mit
> den zwei Schlüssel überhaupt machen kann/darf und wie man mit einem
> Rückrufzertifikat umgehen sollte.

Wieso? Das ist Technik. End-User wollen Sicherheit. Technik ist für Admins.

p at rick

-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 316 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/3ccc02d0/attachment.asc>

From petry at cypy.de  Thu Sep 15 15:14:48 2011
From: petry at cypy.de (Ralf Petry)
Date: Thu, 15 Sep 2011 15:14:48 +0200
Subject: [Postfixbuch-users] off Topic : apple Lion Mailserver
In-Reply-To: <4E71F0FF.50108@rprengel.de>
References: <4E71F0FF.50108@rprengel.de>
Message-ID: <4E71FA48.5000302@pymac.sredzki23.local>

hy,
bei mir läuft n snow leopard server, war recht einfach aufzusetzen...
es gibt da n hervorragend kleines büchlein zum schlanken preis, das 
deine diesbezügl. fragen vermutlich ausreichend bedient:

guggst du bsw. hier:
Mac OS X Server 10.6 (o'reilly)
978-3-89721-971-7
EUR29.90

grusz, ralf.

Am 15.09.2011 14:35, schrieb Ralf Prengel:
> Hallo,
>
> komplett off-topic aber hat jemand mit dem Teil Erfahrung?
> Ich muss im privaten Umfeld ggf. helfen das Teil für 5 User einzubinden.
> Das Teil muss nicht viel können sollte aber stabil laufen.
>
> Gruß


From hans.moser at ofd-z.niedersachsen.de  Thu Sep 15 15:13:51 2011
From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann)
Date: Thu, 15 Sep 2011 15:13:51 +0200
Subject: [Postfixbuch-users] off Topic : apple Lion Mailserver
In-Reply-To: <4E71F0FF.50108@rprengel.de>
References: <4E71F0FF.50108@rprengel.de>
Message-ID: <4E71FA0F.3080008@ofd-z.niedersachsen.de>

Hallo Ralf,

Ralf Prengel schrieb (15.09.2011 14:35 Uhr):

> komplett off-topic aber hat jemand mit dem Teil Erfahrung?
> Ich muss im privaten Umfeld ggf. helfen das Teil für 5 User einzubinden.
> Das Teil muss nicht viel können sollte aber stabil laufen.
http://www.heise.de/artikel-archiv/ct/2011/19/182_kiosk
Wenn ich mich richtig erinnere, sind da Postfix und Dovecot drauf.
Also das, was hier eh immer diskutiert wird. ;)


Marc


From driessen at fblan.de  Thu Sep 15 15:45:18 2011
From: driessen at fblan.de (Driessen)
Date: Thu, 15 Sep 2011 15:45:18 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <4E71F05D.2030708@puersten.de>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com><4E6E1ED7.2080004@web.de>
	<20110912150349.GF373@charite.de><xn0hj16a9a0uds0000@news.gmane.org>
	<4E71F05D.2030708@puersten.de>
Message-ID: <013701cc73ad$b52ddd00$0565a8c0@uwe>

On Behalf Of Oliver Pürsten
> Am 12.09.2011 21:40, schrieb Helmut Schneider:
> > Ralf Hildebrandt wrote:
> >
> >> * Werner Flamme<w.flamme at web.de>:
> >>
> >>> sogar Heise warnt die Leute schon :-)
> >>>
> >>> <http://heise.de/-1341226>
> >>>
> >>> Ob T-Dingens jetzt wach wird?
> >>
> >> Heute mittag waren die schon wieder delisted.
> >
> > Hat wohl nicht lange angehalten... :(
> >
> 
> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
> So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
> Spamcop gelistet.
> 
> T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim Empfänger
> whitelisten lassen.
> 
> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?
> 

Ich bin vielleicht zu heiß gebadet worden aber mit dem Klammersack hat man
nicht gepudert.

Wenn T-Online seine Server nicht sauber hält ist das deren Problem ein
Whitelisting kommt nicht in Frage für Server Betreiber die Ihre Hausaufgaben
nicht gemacht haben und in der Technik noch Jahrzehnten hinter der aktuellen
Entwicklung hängen.

Und ich gehe hier bestimmt nicht sehenden Auges in die Gefahr damit unter
umständen massenweise spam einzufangen.

Wer bei T-Online seine Seite hostet tut das in der Regel mit dem Wissen das
er auf Probleme stößt (wer Sparbrötchen ist muß auch mit so was leben) 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From michael at nausch.org  Thu Sep 15 16:02:07 2011
From: michael at nausch.org (Michael Nausch)
Date: Thu, 15 Sep 2011 16:02:07 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
	=?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <20110915131219.GG32313@state-of-mind.de>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
	<20110915131219.GG32313@state-of-mind.de>
Message-ID: <20110915160207.8iwsuhe50k48ccw4@buero.nausch.org>

Ahoi!

Quoting Patrick Ben Koetter <p at state-of-mind.de>:

> Weil es im Gegensatz zu GPG Geld kostet, die Zertifikate zu  signieren ...

O.K., es muss ja nicht unbedingt etwas extra kosten. Je nach  
Anwendungsfall und der Anzahl der Kommunikationspartner kann man ja  
immer noch auf self-signed oder CAcert zurückgreifen.

> Wieso? Das ist Technik. End-User wollen Sicherheit. Technik ist für Admins.

Na, ganz einfach, weil es meine Erfahrungswerte mit den Thema sind.  
Klar, ich gebe Dir Recht, das ist natürlich Technik. Aber leider  
Gottes stossen da selbst ausgewachsene ITler an ihre Grenzen, wenn mal  
ein Zertifikat ausläuft, zurückgezogen werden muss, oder schlichtweg  
nur ein Zertifikat von einem Rechner auf den anderen "verschoben"  
werden soll. Wenn man nicht kapiert hat, was ein private-key, ein  
Zertifikat und eine CA sind, dann ist es zu 99% sehr schnell  
zappenduster.
Ein gewissen Maß am Grundverständnis zu den Themen der asynchronen  
Verschlüsselung sollte man, nein muss, man sich schon aneignen. Sonst  
macht das auf Dauer keinen Spaß.

Und ob Enduser wirklich Sicherheit wollen, da könnten wir sicherlich  
trefflichst "streiten". Wenn ich mir z.B. alle "Händiestreichler" und  
"Tablettstreichler" so ansehe, dann frage ich mich schon was da mehr  
zieht. Die geile App-zum-was-weiss-ich-tun oder eben eine vernünftige  
Zertifikats- und Schlüsselverwaltung, Nutzung des GPF CryptoKeys und  
Nutzung eines entsprechenden MUAs mit S/MIME und PGP-Unterstützung.


Pfiade
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3854 bytes
Beschreibung: S/MIME krytographische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/5493da96/attachment.p7s>

From mailinglists at ganshorn.info  Thu Sep 15 17:50:21 2011
From: mailinglists at ganshorn.info (Eugen Ganshorn)
Date: Thu, 15 Sep 2011 17:50:21 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
 =?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E71E8DB.6090006@storck.net>
References: <4E71BBFF.3080401@gmail.com> <4E71E8DB.6090006@storck.net>
Message-ID: <4E721EBD.1070807@ganshorn.info>

Hi,

Am 15.09.2011 14:00, schrieb Dominik Storck:
> Ausgeschlossen bei dem Verfahren sind dann allerdings Smartphone-Nutzer,
> weil m.W. weder für iPhone noch
> Android entsprechende Addons bzw. Mailclients fehlen (ich will jetzt von
> mit irgendwelchen Tricksereien
> wie Jailbreaks für's iPhone und Kommandozeilen-Utilities sprechen,
> sondern rede für von normalen Anwendern
> handhabbaren Lösungen...)

K9-Mail bietet dies von Haus aus. Sogar Komfortabel, vergleichbar mit
Enigmail.

Allerdings weiß ich nicht, ob es die App auch fürs iPhone gibt. Nutze
sie mit Android.


From p at state-of-mind.de  Thu Sep 15 19:01:22 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Thu, 15 Sep 2011 19:01:22 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_verschl=C3=BCsselt_im_Filesys?=
 =?utf-8?q?tem_ablegen?=
In-Reply-To: <20110915160207.8iwsuhe50k48ccw4@buero.nausch.org>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
	<20110915131219.GG32313@state-of-mind.de>
	<20110915160207.8iwsuhe50k48ccw4@buero.nausch.org>
Message-ID: <20110915170121.GB20595@state-of-mind.de>

Servus!

* Michael Nausch <postfixbuch-users at listen.jpberlin.de>:
> Quoting Patrick Ben Koetter <p at state-of-mind.de>:
> 
> >Weil es im Gegensatz zu GPG Geld kostet, die Zertifikate zu  signieren ...
> 
> O.K., es muss ja nicht unbedingt etwas extra kosten. Je nach
> Anwendungsfall und der Anzahl der Kommunikationspartner kann man ja
> immer noch auf self-signed oder CAcert zurückgreifen.

Stimmt. Im vorliegenden Fall halte ich das aber eher für ungeeignet.


> >Wieso? Das ist Technik. End-User wollen Sicherheit. Technik ist für Admins.
> 
> Na, ganz einfach, weil es meine Erfahrungswerte mit den Thema sind.
> Klar, ich gebe Dir Recht, das ist natürlich Technik. Aber leider
> Gottes stossen da selbst ausgewachsene ITler an ihre Grenzen, wenn
> mal ein Zertifikat ausläuft, zurückgezogen werden muss, oder
> schlichtweg nur ein Zertifikat von einem Rechner auf den anderen
> "verschoben" werden soll. Wenn man nicht kapiert hat, was ein
> private-key, ein Zertifikat und eine CA sind, dann ist es zu 99%
> sehr schnell zappenduster.

Stimmt. Ist aber ein Admin-Thema.

> Ein gewissen Maß am Grundverständnis zu den Themen der asynchronen
> Verschlüsselung sollte man, nein muss, man sich schon aneignen.
> Sonst macht das auf Dauer keinen Spaß.

Zumindest nicht denen, die supporten sollen? ;)


> Und ob Enduser wirklich Sicherheit wollen, da könnten wir sicherlich
> trefflichst "streiten". Wenn ich mir z.B. alle "Händiestreichler"
> und "Tablettstreichler" so ansehe, dann frage ich mich schon was da
> mehr zieht. Die geile App-zum-was-weiss-ich-tun oder eben eine
> vernünftige Zertifikats- und Schlüsselverwaltung, Nutzung des GPF
> CryptoKeys und Nutzung eines entsprechenden MUAs mit S/MIME und
> PGP-Unterstützung.

Wir müssen uns immer wieder vor Augen führen, dass wir - Admins - mit
Computern der Computer wegen arbeiten und die Anwender Computer nutzen, um
etwas anders zu erreichen. Für sie sind Computer Mittel zum Zweck. Und wenn
ein bestimmter Computer dazu dient die Usability zu erhöhen UND gleichzeitig
noch das Selbstbild der Eleganz und Geschmeidigkeit zu spiegeln umso besser.
Da sind uns Admins wichtige Eigenschaften wie Sicherheit nebenrangig.

Aber wenn alles zusammenkäme, nachad war des a gmaade Wiesn ;)

Pfaide
da Pät


-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3603 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110915/41683b32/attachment.bin>

From jumper99 at gmx.de  Thu Sep 15 23:02:07 2011
From: jumper99 at gmx.de (Helmut Schneider)
Date: Thu, 15 Sep 2011 21:02:07 +0000 (UTC)
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
Message-ID: <xn0hj5g779w5n8000@news.gmane.org>

Oliver Pürsten wrote:

> Am 12.09.2011 21:40, schrieb Helmut Schneider:
> > Ralf Hildebrandt wrote:
> > 
> >> * Werner Flamme<w.flamme at web.de>:
> > > 
> >>> sogar Heise warnt die Leute schon :-)
> > > > 
> >>> <http://heise.de/-1341226>
> > > > 
> >>> Ob T-Dingens jetzt wach wird?
> > > 
> >> Heute mittag waren die schon wieder delisted.
> > 
> > Hat wohl nicht lange angehalten... :(
> 
> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
> So wie ich das sehe sind momentan immer noch 9 Server von T-Online bei
> Spamcop gelistet.

Aussitzen.

> T-Online scheint seinen Kunden ja zu sagen Sie sollten sich beim
> Empfänger whitelisten lassen.

Iss'klar.

> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?

Nein. Ich bin selber "geschädigt", da ich privat die T-Online Relays
verwende. Allerdings hab ich abuse@ am 17.06. darauf hingeweisen, dass

http: // rolf-ebert.privat.t-online.de / airfoils.html

zu einem Pillendreher weiterleitet. Nunja, übermorgen feiert meine
Abuse Mail 3-Monatiges...



From Hullen at t-online.de  Fri Sep 16 06:17:00 2011
From: Hullen at t-online.de (Helmut Hullen)
Date: 16 Sep 2011 06:17:00 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <xn0hj5g779w5n8000@news.gmane.org>
Message-ID: <Bt+IdOXD1uB@helmut.hullen.de>

Hallo, Helmut,

Du meintest am 15.09.11:

>> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?

> Nein. Ich bin selber "geschädigt", da ich privat die T-Online Relays
> verwende. Allerdings hab ich abuse@ am 17.06. darauf hingeweisen,
> dass

> http: // rolf-ebert.privat.t-online.de / airfoils.html

> zu einem Pillendreher weiterleitet. Nunja, übermorgen feiert meine
> Abuse Mail 3-Monatiges...

Meine bisherigen Erfahrungen mit "abuse at t-online,de" und Verwandten: die  
antworten nur sehr selten auf solche Hinweise, aber sie prüfen den  
Sachverhalt und reagieren ggfs. rasch und wirksam.

Viele Gruesse!
Helmut


From mailingliste-postfixbuch+spamtrap at pothe.de  Fri Sep 16 07:26:18 2011
From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe)
Date: Fri, 16 Sep 2011 07:26:18 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <Bt+IdOXD1uB@helmut.hullen.de>
References: <Bt+IdOXD1uB@helmut.hullen.de>
Message-ID: <c4df273a4eccec93aa21cdc0f13a3135.squirrel@www.pohte.de>

>> http: // rolf-ebert.privat.t-online.de / airfoils.html
>
>> zu einem Pillendreher weiterleitet. Nunja, übermorgen feiert meine
>> Abuse Mail 3-Monatiges...
>
> Meine bisherigen Erfahrungen mit "abuse at t-online,de" und Verwandten: die
> antworten nur sehr selten auf solche Hinweise, aber sie prüfen den
> Sachverhalt und reagieren ggfs. rasch und wirksam.

In diesem Fall aber mindestens mal nicht, es wird immer noch auf den
mutmaßlich hoch illegalen Pillendreher weitergeleitet. Mein Eindruck ist
auch, dass gerade bei T-Online die Abuse-Bearbeitung bis vor einem,
anderthalb Jahren gut war, seitdem aber nachgelassen hat. Vielleicht haben
sie auch zeitgleich mit der Abschaltung der Newsserver auch das
Abusemanagementteam abgeschaltet...

CU
Andreas




From hofmarkus at gmail.com  Fri Sep 16 09:34:04 2011
From: hofmarkus at gmail.com (Markus Hofer)
Date: Fri, 16 Sep 2011 09:34:04 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?Mails_verschl=FCsselt_im_File?=
 =?iso-8859-15?q?system_ablegen?=
In-Reply-To: <4E71BBFF.3080401@gmail.com>
References: <4E71BBFF.3080401@gmail.com>
Message-ID: <4E72FBEC.6070600@gmail.com>

Also kurz zusammengefasst:

Eines ist klar:
Emailinhalte kann man nur vor Dritten (auch Admins) verbergen, indem nur
die Kommunikationsparteien Zugriff auf Schlüssel/Kennwörter haben.

Nun gibt es folgende Möglichkeiten:

1. S/MIME: (mit X.509 Zertifikate)
     a:) Diese könnte man entweder mittels CAcert Zertifikat.
         Gute Erklärung unter: 
http://dokuwiki.nausch.org/doku.php/centos:smime

     b.) Mittels einer Art Bürgerkarte (wo ein X.509) Zertifikat vorliegt

2. OpenPGP:
    Gute Beschreibung unter: 
http://dokuwiki.nausch.org/doku.php/centos:openpgp_beim_mua
    Hier kann auch Enigmail eingesetzt werden.


Ich allein sehe hier nur das Problem bei den Enduser, dies unkompliziert und
einfach einzusetzen. Vor allem denke ich da auch an den nötigen 
Supportaufwand.

Ich glaube kaum, dass die meisten Benutzer hier dies so einfach 
einsetzen können.
Sehr schade, dass es hier nicht einfache, benutzerfreundliche Lösungen gibt.
Das Problem liegt vor allem daran, dass unterschiedliche Mailclients 
benutzt werden.
(MS Outlook, Outlook Express, Thunderbird, Webmailclients, Lotus Notes).
Ideal wäre es (natürlich ein Wunschdenken von mir) wenn alle Personen es 
so einsetzen
könnten, wie sie derzeit auch schon Emailsschreiben und nicht komplizierte
Installations- und Konfigurationsschritte durchlaufen müssen.

In einer Firmenumgebung könnte man dies schon automatisieren, aber von 
externen
Personen kann man dies kaum abverlangen.

So sehe ich Schwierigkeiten in der Akzeptanz der Benutzer das dann auch 
wirklich
einzusetzen ohne frustriert zu werden.

Servus,
Markus



Am 15.09.2011 10:49, schrieb Markus Hofer:
> Gibt es eine Möglichkeit Mails mit sensiblen Daten (z.B. Ärzte <--> 
> Patienten) verschlüsselt im Filesystem abzulegen,
> sodass diese Emails auch für den Administrator nicht gelesen werden 
> können.
>
> Sehe hier eigentlich nur die Möglichkeit den Emailverkehr mit PGP oder 
> GPG (oder Smartcardsystem) zu verschlüsseln,
> sodass nur der Empfänger die Mail lesen kann.
>
> Gibt es vielleicht doch eine andere für Endbenutzer einfachere 
> Möglichkeit die Mail auf dem Mailserver verschlüsselt abzulegen,
> sodass nur der Arzt bzw. Patient die Mails lesen kann und kein 
> anderer. Natürlich ausgenommen bei der Übertragen.
>
> Vielleicht kann man in Postfix oder Dovecot irgendwelche 
> Sicherheitseinstellungen machen oder mit einer anderen Software?
> Hat hier vielleicht schon jemand mehr Erfahrungen?
>
> Servus,
> Markus



From ffiene at veka.com  Fri Sep 16 12:33:12 2011
From: ffiene at veka.com (Frank Fiene)
Date: Fri, 16 Sep 2011 12:33:12 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <CAGMPS54ZG20444t_Z_Pffaag4fr=vAFAfvtbsMj0+-cETzkFQA@mail.gmail.com>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
	<CAGMPS54ZG20444t_Z_Pffaag4fr=vAFAfvtbsMj0+-cETzkFQA@mail.gmail.com>
Message-ID: <D1C6D6A7-70D3-40A9-9BE9-166347E01319@veka.com>



> hi,
> 
> Am 15. September 2011 14:32 schrieb Oliver Pürsten <lists at puersten.de>:
>> Am 12.09.2011 21:40, schrieb Helmut Schneider:
>>> 
>>> Ralf Hildebrandt wrote:
>>> 
>>>> * Werner Flamme<w.flamme at web.de>:
>>>> 
>>>>> sogar Heise warnt die Leute schon :-)
>>>>> 
>>>>> <http://heise.de/-1341226>
>>>>> 
>>>>> Ob T-Dingens jetzt wach wird?
>>>> 
>>>> Heute mittag waren die schon wieder delisted.
>>> 
>>> Hat wohl nicht lange angehalten... :(
>>> 
>> 
>> Mich würde mal interessiern wie geht Ihr mit der Problematik um?
> 
> Wir haben jetzt auf spamcop verzichtet.


Verzichtest du jetzt auch auf Spamhaus?

Da sind die auch schon gelistet?

Dann verzichte doch gleich auf Blacklists!

Frank



From bjoern.meier at googlemail.com  Fri Sep 16 12:59:11 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Fri, 16 Sep 2011 12:59:11 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <D1C6D6A7-70D3-40A9-9BE9-166347E01319@veka.com>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
	<CAGMPS54ZG20444t_Z_Pffaag4fr=vAFAfvtbsMj0+-cETzkFQA@mail.gmail.com>
	<D1C6D6A7-70D3-40A9-9BE9-166347E01319@veka.com>
Message-ID: <CAGMPS54Z3Na2pXYZYkQRSg4GdjPYJBe7qqsZJgRJfrhjjbcwwg@mail.gmail.com>

hi,

Am 16. September 2011 12:33 schrieb Frank Fiene <ffiene at veka.com>:

> Verzichtest du jetzt auch auf Spamhaus?
>
> Da sind die auch schon gelistet?
>
> Dann verzichte doch gleich auf Blacklists!
>
> Frank

erstmal danke für den Fullquote, noch leide ich nicht an Alzheimer.
Als ich spamcop aus der Liste nahm, traf ich diese Entscheidung aus 2 Gründen.
1.) Selbst im Buch wird spamcop nicht unumstritten dargestellt
2.) waren die anderen Listen noch ruhig zu diesem Zeitpunkt.

Du darfst mich ruhig kritisieren, aber ich bitte dich dies dann
sdachlich und mit einer gewissen Basis zu tun. Danke.

Gruß,
Björn


From pkoch at bgc-jena.mpg.de  Fri Sep 16 13:16:32 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Fri, 16 Sep 2011 13:16:32 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
 =?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <20110915131219.GG32313@state-of-mind.de>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
	<20110915131219.GG32313@state-of-mind.de>
Message-ID: <4E733010.3020600@bgc-jena.mpg.de>

Hallo,

Am 15.09.2011 15:12, schrieb Patrick Ben Koetter:
> * Michael Nausch<postfixbuch-users at listen.jpberlin.de>:
>> Griasde Patrick!
>>
>> Quoting Patrick Ben Koetter<p at state-of-mind.de>:
>>
>>> Wieso nicht auch S/MIME? Das kann nahezu jeder MUA out of the box und es ist,
>>> weil nativ implementiert, meistens sehr einfach für Endanwender zu nutzen.
>>
>> Mal eine ketzerische Frage an Dich von mir: "wenn das angeblich so
>> einfach zu nutzen ist", warum nutzt es dann kaum einer?
>
> Weil es im Gegensatz zu GPG Geld kostet, die Zertifikate zu signieren und weil
> die CAs - meiner Meinung nach - als Monopolisten auf dem Markt einen nicht
> nachvollziehbaren Betrag dafür verlangen.
>
ich denke das ist der Hauptpunkt. Im Forschungsnetz ist dagegen  kostenfrei.

Wobei - hier war die Rede von einem Arzt, der Patientendaten sicher 
verschicken möchte. Wenn ich die Preise für Softwarepflege in diesem
Segment sehe, ist der Betrag für ein Zertifikat wirklich lächerlich.
Vielleicht kommt ja irgendwann die nächste Krankenkassekarte mit einem
entsprechenden Zertifikat. Dann wäre zumindest *eine* Möglichkeit 
gegeben Daten dem Patienten sicher zur Verfügung zu stellen.

>
>> Nach meiner Theorie und den Erfahrungen aus der Praxis sieht es
>> nunmal so aus, dass man dennoch erst einmal verstanden haben muss,
>> was asynchrone Verschlüsselung bedeutet, was ein CSR, was man mit
>> den zwei Schlüssel überhaupt machen kann/darf und wie man mit einem
>> Rückrufzertifikat umgehen sollte.
>
> Wieso? Das ist Technik. End-User wollen Sicherheit. Technik ist für Admins.
...und das ganze ist gut dokumentiert.
>
> p at rick
>
>
>
>


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110916/2b9d96c4/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4599 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110916/2b9d96c4/attachment.p7s>

From ffiene at veka.com  Fri Sep 16 23:08:23 2011
From: ffiene at veka.com (Frank Fiene)
Date: Fri, 16 Sep 2011 23:08:23 +0200
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
In-Reply-To: <CAGMPS54Z3Na2pXYZYkQRSg4GdjPYJBe7qqsZJgRJfrhjjbcwwg@mail.gmail.com>
References: <CAGMPS56+BYKPM2fnAzWOojQknfo-3HcTGQaH+To7EjbewnMLhQ@mail.gmail.com>
	<4E6E1ED7.2080004@web.de> <20110912150349.GF373@charite.de>
	<xn0hj16a9a0uds0000@news.gmane.org> <4E71F05D.2030708@puersten.de>
	<CAGMPS54ZG20444t_Z_Pffaag4fr=vAFAfvtbsMj0+-cETzkFQA@mail.gmail.com>
	<D1C6D6A7-70D3-40A9-9BE9-166347E01319@veka.com>
	<CAGMPS54Z3Na2pXYZYkQRSg4GdjPYJBe7qqsZJgRJfrhjjbcwwg@mail.gmail.com>
Message-ID: <B4BD53CA-6301-4F5A-9E92-FE50ECF59EED@veka.com>


> erstmal danke für den Fullquote, noch leide ich nicht an Alzheimer.
> Als ich spamcop aus der Liste nahm, traf ich diese Entscheidung aus 2 Gründen.
> 1.) Selbst im Buch wird spamcop nicht unumstritten dargestellt
> 2.) waren die anderen Listen noch ruhig zu diesem Zeitpunkt.
> 
> Du darfst mich ruhig kritisieren, aber ich bitte dich dies dann
> sdachlich und mit einer gewissen Basis zu tun. Danke.


Sorry für den Fullquote! 

Sei nicht so dünnhäutig, war gar nicht so gemeint!

Die T-Online-Server waren halt auch bei Spamhaus gelistet und wenn wir alle die wichtigen Blacklisten aus unserer Konfig nehmen, oder die T-Online Server Whitelisten, dann kümmert sich bei denen halt auch keiner um Spam.

Ich kriege echt nen Hals, wenn die Telekom ihren Kunden erzählt, sie sollen bei den Empfängern anrufen damit ihre Server auf eine Whitelist gesetzt werden!

Meine Frage hätte vl. lauten sollen: Würdest du ganz auf Blacklisten verzichten? Ich im Moment nicht!

Viele Grüße!
Frank

From ralf.prengel at rprengel.de  Sat Sep 17 19:27:59 2011
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Sat, 17 Sep 2011 19:27:59 +0200
Subject: [Postfixbuch-users] off Topic : apple Lion Mailserver
In-Reply-To: <4E71FA48.5000302@pymac.sredzki23.local>
References: <4E71F0FF.50108@rprengel.de>
	<4E71FA48.5000302@pymac.sredzki23.local>
Message-ID: <4E74D89F.7040207@rprengel.de>

On 15.09.2011 15:14, Ralf Petry wrote:
> hy,
> bei mir läuft n snow leopard server, war recht einfach aufzusetzen...
> es gibt da n hervorragend kleines büchlein zum schlanken preis, das
> deine diesbezügl. fragen vermutlich ausreichend bedient:
>
> guggst du bsw. hier:
> Mac OS X Server 10.6 (o'reilly)
> 978-3-89721-971-7
> EUR29.90
>
> grusz, ralf.

Danke,

schau ich mir an.
Auf den ersten und zweiten Blick scheint die Administration per Gui 
katastrophal zu sein. Verschiedene Tools die man auch noch zusätzlich 
laden muss und keine Doku im Netz.
Hoffentlich läuft der Server dann irgendwann zumindestens stabil.
Gruß



From petry at cypy.de  Sat Sep 17 20:10:08 2011
From: petry at cypy.de (Ralf Petry)
Date: Sat, 17 Sep 2011 20:10:08 +0200
Subject: [Postfixbuch-users] off Topic : apple Lion Mailserver
In-Reply-To: <4E74D89F.7040207@rprengel.de>
References: <4E71F0FF.50108@rprengel.de>
	<4E71FA48.5000302@pymac.sredzki23.local>
	<4E74D89F.7040207@rprengel.de>
Message-ID: <1E8765F7-6550-47C4-A2BA-74769CB90AE0@pymac.sredzki23.local>

Hm, siehe auch den Link auf c't 19/2011 s. 182 ff, der hier genannt worden ist.
Zugegeben: ich musste die configs auch per Hand und Konsole editieren, aber es tut was es soll...
Grusz u viel Erfolg,

Ralf Petry

Am 17.09.2011 um 19:27 schrieb Ralf Prengel <ralf.prengel at rprengel.de>:

> On 15.09.2011 15:14, Ralf Petry wrote:
>> hy,
>> bei mir läuft n snow leopard server, war recht einfach aufzusetzen...
>> es gibt da n hervorragend kleines büchlein zum schlanken preis, das
>> deine diesbezügl. fragen vermutlich ausreichend bedient:
>> 
>> guggst du bsw. hier:
>> Mac OS X Server 10.6 (o'reilly)
>> 978-3-89721-971-7
>> EUR29.90
>> 
>> grusz, ralf.
> 
> Danke,
> 
> schau ich mir an.
> Auf den ersten und zweiten Blick scheint die Administration per Gui katastrophal zu sein. Verschiedene Tools die man auch noch zusätzlich laden muss und keine Doku im Netz.
> Hoffentlich läuft der Server dann irgendwann zumindestens stabil.
> Gruß
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From lists at chrisk.de  Sun Sep 18 11:45:30 2011
From: lists at chrisk.de (Christian Kildau)
Date: Sun, 18 Sep 2011 11:45:30 +0200
Subject: [Postfixbuch-users] [Half-OT] Apache PHP mail() und message-id
Message-ID: <2F12F4B8-B97B-4DAC-9FE3-C1108CF562E6@chrisk.de>

Hallo Liste,

Ein wenig Background Info:
ich habe ein kleines Problem mit der PHP mail() Funktion einer Webanwendung (Wordpress) und der erzeugten Message-ID.
Mails werden von Postfix's Sendmail entgegen genommen und dann weiter an Google Apps relayed. Möchte man über Google Apps relayen, wird die From:  Adresse umgeschrieben auf die Adresse des Google Apps accounts. Das kann man umgehen, indem man im Control Panel einen Alias anlegt und auch zum senden Authentifiziert. So weit so gut, das klappt auch alles, die Mail geht mit dem Alias als "From:" raus - von der Commandline.
Hier mal ein log dazu:

Sep 18 11:22:17 amy postfix/pickup[28491]: 92F6A1BC88070: uid=33 from=<www-data>
Sep 18 11:22:17 amy postfix/cleanup[30181]: 92F6A1BC88070: message-id=<20110918092217.92F6A1BC88070 at amy.example.org>
Sep 18 11:22:17 amy postfix/qmgr[28280]: 92F6A1BC88070: from=<www-data at example.org>, size=375, nrcpt=1 (queue active)
Sep 18 11:22:17 amy postfix/smtp[30183]: certificate verification failed for smtp.gmail.com[74.125.39.108]:587: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificy
Sep 18 11:22:19 amy postfix/smtp[30183]: 92F6A1BC88070: to=<me at example.de>, relay=smtp.gmail.com[74.125.39.108]:587, delay=1.8, delays=0/0/0.63/1.1, dsn=2.0.0, status=sent )
Sep 18 11:22:19 amy postfix/qmgr[28280]: 92F6A1BC88070: removed

Schicke ich nun über Wordpress eine Mail, wird die "From:" Adresse umgeschrieben. Das log sieht dann so aus:
Sep 18 11:25:39 amy postfix/pickup[28491]: B9D8D1BC88070: uid=33 from=<www-data>
Sep 18 11:25:39 amy postfix/cleanup[30224]: B9D8D1BC88070: message-id=<2c793a76908ef5456c907585239709f2 at www.example.de>
Sep 18 11:25:39 amy postfix/qmgr[28280]: B9D8D1BC88070: from=<www-data at example.org>, size=1340, nrcpt=1 (queue active)
Sep 18 11:25:39 amy postfix/smtp[30226]: certificate verification failed for smtp.gmail.com[74.125.39.109]:587: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificy
Sep 18 11:25:41 amy postfix/smtp[30226]: B9D8D1BC88070: to=<me at example.de>, relay=smtp.gmail.com[74.125.39.109]:587, delay=2.4, delays=0.32/0.01/0.67/1.4, dsn=2.0.0, status)
Sep 18 11:25:41 amy postfix/qmgr[28280]: B9D8D1BC88070: removed

Der einzige Unterschied ist für mich die Message-ID. Deshalb meine Frage: kann ich die Message-ID irgendwie beeinflussen?

Danke schon mal!

Gruß
ck

From driessen at fblan.de  Sun Sep 18 12:13:02 2011
From: driessen at fblan.de (Driessen)
Date: Sun, 18 Sep 2011 12:13:02 +0200
Subject: [Postfixbuch-users] [Half-OT] Apache PHP mail() und message-id
In-Reply-To: <2F12F4B8-B97B-4DAC-9FE3-C1108CF562E6@chrisk.de>
References: <2F12F4B8-B97B-4DAC-9FE3-C1108CF562E6@chrisk.de>
Message-ID: <000601cc75eb$8d13ef40$0565a8c0@uwe>

On Behalf Of Christian Kildau
> 
> Der einzige Unterschied ist für mich die Message-ID. Deshalb meine Frage:
> kann ich die Message-ID irgendwie beeinflussen?

Klar kannst du. Programmiere das Programm das die Messageid generiert um. Es
ist nicht Postfix der die Messageid generiert.

> 
> Danke schon mal!
> 
> Gruß
> ck


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From lists at chrisk.de  Sun Sep 18 13:10:07 2011
From: lists at chrisk.de (Christian Kildau)
Date: Sun, 18 Sep 2011 13:10:07 +0200
Subject: [Postfixbuch-users] [Half-OT] Apache PHP mail() und message-id
In-Reply-To: <000601cc75eb$8d13ef40$0565a8c0@uwe>
References: <2F12F4B8-B97B-4DAC-9FE3-C1108CF562E6@chrisk.de>
	<000601cc75eb$8d13ef40$0565a8c0@uwe>
Message-ID: <47F01795-CEE5-4AB1-8A05-C849E37B8164@chrisk.de>

Danke! Da hatte ich wohl ein Verständnisproblem - Ich dachte, die Message-ID wird von Postfix's sendmail generiert.

Schönen Sonntag
ck



On Sep 18, 2011, at 12:13 PM, Driessen wrote:
> On Behalf Of Christian Kildau
>> 
>> Der einzige Unterschied ist für mich die Message-ID. Deshalb meine Frage:
>> kann ich die Message-ID irgendwie beeinflussen?
> 
> Klar kannst du. Programmiere das Programm das die Messageid generiert um. Es
> ist nicht Postfix der die Messageid generiert.
> 
>> 
>> Danke schon mal!
>> 
>> Gruß
>> ck
> 
> 
> Mit freundlichen Grüßen
> 
> Drießen
> 
> -- 
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
> Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From Ralf.Hildebrandt at charite.de  Sun Sep 18 14:07:00 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Sun, 18 Sep 2011 14:07:00 +0200
Subject: [Postfixbuch-users] [Half-OT] Apache PHP mail() und message-id
In-Reply-To: <47F01795-CEE5-4AB1-8A05-C849E37B8164@chrisk.de>
References: <2F12F4B8-B97B-4DAC-9FE3-C1108CF562E6@chrisk.de>
	<000601cc75eb$8d13ef40$0565a8c0@uwe>
	<47F01795-CEE5-4AB1-8A05-C849E37B8164@chrisk.de>
Message-ID: <20110918120700.GA2970@charite.de>

* Christian Kildau <lists at chrisk.de>:

> Danke! Da hatte ich wohl ein Verständnisproblem - Ich dachte, die
> Message-ID wird von Postfix's sendmail generiert.

Ja, wenn keine da ist!

Kurz: Messageid fehlt, postfix macht sie
Messageid fehlt nicht, postfix macht nix

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From igor.sverkos at googlemail.com  Sun Sep 18 19:12:30 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Sun, 18 Sep 2011 19:12:30 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
 =?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E733010.3020600@bgc-jena.mpg.de>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
	<20110915131219.GG32313@state-of-mind.de>
	<4E733010.3020600@bgc-jena.mpg.de>
Message-ID: <4E76267E.9040008@googlemail.com>

Hallo,

Dr. Peer-Joachim Koch schrieb:
> Vielleicht kommt ja irgendwann die nächste Krankenkassekarte mit einem
> entsprechenden Zertifikat. Dann wäre zumindest *eine* Möglichkeit
> gegeben Daten dem Patienten sicher zur Verfügung zu stellen.

Schon einmal mit der elektronischen Gesundheitskarte beschäftigt? Mit
dieser wäre es möglich genau so ein System zu realisieren.

Du hast dann nur ein Problem zu lösen, welches bislang ungelöst ist:
Zur Sicherheit des Mailsystems (SPAM- und Malware-Abwehr) ist es
notwendig, dass die entsprechenden Systeme die Nachrichten öffnen können.

Wenn ein System dies automatisch kann, wird ein Systemadministrator
selbiges auch können.
Wenn du das nicht willst, ist womöglich das gesamte System gefährdet,
denn dann könnte man Malware verschlüsselt an den Arzt schicken. Dieser
öffnet die Nachricht, erkennt die Malware nicht und schon hat der
Kriminelle seinen Trojaner platziert :)

Das war hier zuletzt im Mai Thema:
<https://listi.jpberlin.de/pipermail/postfixbuch-users/2011-May/thread.html#56437>


-- 
Ich Grüße,
Igor


From michael at nausch.org  Mon Sep 19 12:44:27 2011
From: michael at nausch.org (Michael Nausch)
Date: Mon, 19 Sep 2011 12:44:27 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
	=?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <4E76267E.9040008@googlemail.com>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
	<20110915131219.GG32313@state-of-mind.de>
	<4E733010.3020600@bgc-jena.mpg.de> <4E76267E.9040008@googlemail.com>
Message-ID: <20110919124427.th8qcdg3lwg4so04@buero.nausch.org>

Ahoi!

Quoting Igor Sverkos <igor.sverkos at googlemail.com>:

> Du hast dann nur ein Problem zu lösen, welches bislang ungelöst ist:
> Zur Sicherheit des Mailsystems (SPAM- und Malware-Abwehr) ist es
> notwendig, dass die entsprechenden Systeme die Nachrichten öffnen können.

Mt dieser absurden Idee hat man auch versucht Demeil und den  
ePost-Brief zu "designen".
Mal Hand auf's Herz, wer von Euch hat schon mal eine verschlüsselte  
oder auch nur eine signierte SPAM bekommen?

Schadcode-Überprüfung und SPAM-Überprüfung kannst Du bekanntlich immer  
nur dann machen, wenn die Entschlüsselung statgefunden hatte. Also  
entweder erst beim Empfänger, da End-to-End versachlüsselt wurde. Oder  
eben auf einem Systemgateway, welches aber eben den private-key  
vorhält, oder eben einen Generalschlüssel hat.

Legt man wirklich einen hohen Stellenwert auf eine End-toi_End  
verschlüsselung, dann scheidet IMHO alles vorgefertigte wie ePerso,  
Gesundheitskarte oder gar DeMail und Co systembedingt. Wenn dann kommt  
definitiv _n_u_r_ eine hardwartebasierende Key-Lösung wie z.B.  
Krypto-Key in Frage, bei dem ich selbst den Key auf die Karte  
schieben, aber nie wieder herausholen kann. just-my-2-cents ...


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django



From driessen at fblan.de  Mon Sep 19 13:37:41 2011
From: driessen at fblan.de (Driessen)
Date: Mon, 19 Sep 2011 13:37:41 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
	=?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <20110919124427.th8qcdg3lwg4so04@buero.nausch.org>
References: <4E71BBFF.3080401@gmail.com><20110915124009.GB32313@state-of-mind.de><20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org><20110915131219.GG32313@state-of-mind.de><4E733010.3020600@bgc-jena.mpg.de>
	<4E76267E.9040008@googlemail.com>
	<20110919124427.th8qcdg3lwg4so04@buero.nausch.org>
Message-ID: <000701cc76c0$8bda9c20$0565a8c0@uwe>

On Behalf Of Michael Nausch
> Ahoi!
> 
> Quoting Igor Sverkos <igor.sverkos at googlemail.com>:
> 
> > Du hast dann nur ein Problem zu lösen, welches bislang ungelöst ist:
> > Zur Sicherheit des Mailsystems (SPAM- und Malware-Abwehr) ist es
> > notwendig, dass die entsprechenden Systeme die Nachrichten öffnen
> können.
> 
> Mt dieser absurden Idee hat man auch versucht Demeil und den
> ePost-Brief zu "designen".

*gg gibt es das noch? Oder war 4 Wochen Werbung genug ums scheitern zu
lassen?
Wer hat denn schon ein DEMAIL Konto?

Stehen die Mailserver evtl. auch schon auf einer Blacklist oder Lohnt sich
der Server nicht für Spamer *g

> Mal Hand auf's Herz, wer von Euch hat schon mal eine verschlüsselte
> oder auch nur eine signierte SPAM bekommen?

Dkim signiert? Jede Menge *g

> 
> Schadcode-Überprüfung und SPAM-Überprüfung kannst Du bekanntlich immer
> nur dann machen, wenn die Entschlüsselung statgefunden hatte. Also
> entweder erst beim Empfänger, da End-to-End versachlüsselt wurde. Oder
> eben auf einem Systemgateway, welches aber eben den private-key
> vorhält, oder eben einen Generalschlüssel hat.

Ich denke mal es gibt mehr Probleme wie Vorteile bei einer Serverbasierende
Verschlüsselung. Wer das System hackt wird auch an die Schlüssel kommen…

> 
> Legt man wirklich einen hohen Stellenwert auf eine End-toi_End
> verschlüsselung, dann scheidet IMHO alles vorgefertigte wie ePerso,
> Gesundheitskarte oder gar DeMail und Co systembedingt. Wenn dann kommt
> definitiv _n_u_r_ eine hardwartebasierende Key-Lösung wie z.B.
> Krypto-Key in Frage, bei dem ich selbst den Key auf die Karte
> schieben, aber nie wieder herausholen kann. just-my-2-cents ...

Ihr Geheimniskrämer, die Chinesen, Amis und ganz Euroland sind doch inkl.
der Russen alles unsere Freunde *g
Ihr könnt "Freunde" doch nicht von der Kommunikation ausschließen.

> 
> 
> Servus
> Django


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From igor.sverkos at googlemail.com  Mon Sep 19 16:44:15 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 19 Sep 2011 16:44:15 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_verschl=FCsselt_im_Files?=
 =?iso-8859-1?q?ystem_ablegen?=
In-Reply-To: <20110919124427.th8qcdg3lwg4so04@buero.nausch.org>
References: <4E71BBFF.3080401@gmail.com>
	<20110915124009.GB32313@state-of-mind.de>
	<20110915150311.q6kl3wyqkgkk4c0s@buero.nausch.org>
	<20110915131219.GG32313@state-of-mind.de>
	<4E733010.3020600@bgc-jena.mpg.de>
	<4E76267E.9040008@googlemail.com>
	<20110919124427.th8qcdg3lwg4so04@buero.nausch.org>
Message-ID: <4E77553F.5030400@googlemail.com>

Hallo,

Michael Nausch schrieb:
>> Du hast dann nur ein Problem zu lösen, welches bislang ungelöst ist:
>> Zur Sicherheit des Mailsystems (SPAM- und Malware-Abwehr) ist es
>> notwendig, dass die entsprechenden Systeme die Nachrichten öffnen können.
> 
> Mt dieser absurden Idee hat man auch versucht Demeil und den ePost-Brief
> zu "designen".

Naja, zumindest der ePost-Brief hat ja nun einmal gar nichts mit E-Mail
wie wir sie kennen zu tun.


> Mal Hand auf's Herz, wer von Euch hat schon mal eine verschlüsselte oder
> auch nur eine signierte SPAM bekommen?

Gehst du wirklich so an neue Sachen heran?

Du baust ein Haus... 4 Wände. Jetzt willst du da auch rein... reißt also
eine Öffnung ein.

Jetzt zieht es oder du willst nicht, dass jeder hinein schauen kann,
also setzt du ein Brett in die Öffnung.

Dich stört es nun, dass ständig fremde Leute deine Haus betreten - du
sicherst das Brett nun irgendwie...

Bei deinem zweiten Haus wirst du dann hoffentlich die Öffnung für die
Tür direkt einplanen und auch gleich so, dass die dein Haus sicher (nach
derzeitigen Stand) verschließt.


> Schadcode-Überprüfung und SPAM-Überprüfung kannst Du bekanntlich immer
> nur dann machen, wenn die Entschlüsselung statgefunden hatte. Also
> entweder erst beim Empfänger, da End-to-End versachlüsselt wurde. Oder
> eben auf einem Systemgateway, welches aber eben den private-key vorhält,
> oder eben einen Generalschlüssel hat.

Ganz genau. Wie müssen diese Diskussion nun nicht erneut führen, kann
man ja alles nachlesen :)

Ich wollte nur auf die Problematik hinweisen.


Die Frage ist einfach, was man will und ob die Anforderung "Nur Arzt -
kein Admin" wirklich so wichtig ist. Ich kenne es, dass man hier eher
auf Nachvollziehbarkeit setzt: Hans muss die Daten von Peter einsehen?
OK... aber das weiß nun "jeder"...

Wenn sich herausstellen sollte, dass Hans das nicht musste... :)


-- 
Ich Grüße,
Igor


From Christian.Schmidt at chemie.uni-hamburg.de  Mon Sep 19 17:56:31 2011
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Mon, 19 Sep 2011 17:56:31 +0200
Subject: [Postfixbuch-users] [Semi-OT?] LDAP-Abfragen modifizieren
Message-ID: <20110919155631.GK31766@chemie.uni-hamburg.de>

Guten Abend,

wir wuerden unser Mailsystem gerne auf postfix und dovecot2 mit LDAP
als Backend umziehen. Obwohl unser Server bisher nur eine Mail-Domain
hostet, wollen wir uns den Weg zum Hosten mehrerer Domains nicht
gleich von Anfang an zunageln.

Bisher muessen unsere Benutzer zum Einsehen bzw. Abrufen ihrer
E-Mails lediglich ihren Benutzernamen eingeben (z.B. schmidtc), der
also keine Domain-Informationen enthaelt. Das wuerden wir fuer die
Benutzer unserer "Default-Domain" auch gerne so beibehalten.

Wir suchen nun nach einem moeglichst einfachen Weg, um zu erreichen,
dass bei Benutzernamen ohne Domain die "Default-Domain" angehaengt
wird, muessten also - nach meinem Verstaendnis - die LDAP-Anfragen
modifizieren, bevor der LDAP-Server sie vorgesetzt bekommt.

Hat jemand eine Idee, ob und (wenn ja) das ueberhaupt machbar ist?
Oder wuerdet Ihr anders verfahren?

Wir verwenden das LDAP-Schema aus dem "anderen" Postfix-Buch. Weitere
Konfigurationsdetails liefere ich bei Bedarf gerne nach.

Vielen Dank fuer Eure Hinweise!

Gruss/Regards,
Christian Schmidt


From p at state-of-mind.de  Mon Sep 19 18:45:45 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Mon, 19 Sep 2011 18:45:45 +0200
Subject: [Postfixbuch-users] [Semi-OT?] LDAP-Abfragen modifizieren
In-Reply-To: <20110919155631.GK31766@chemie.uni-hamburg.de>
References: <20110919155631.GK31766@chemie.uni-hamburg.de>
Message-ID: <20110919164545.GB8462@state-of-mind.de>

Guten Abend,

* Christian Schmidt <postfixbuch-users at listen.jpberlin.de>:
> wir wuerden unser Mailsystem gerne auf postfix und dovecot2 mit LDAP
> als Backend umziehen. Obwohl unser Server bisher nur eine Mail-Domain
> hostet, wollen wir uns den Weg zum Hosten mehrerer Domains nicht
> gleich von Anfang an zunageln.
> 
> Bisher muessen unsere Benutzer zum Einsehen bzw. Abrufen ihrer
> E-Mails lediglich ihren Benutzernamen eingeben (z.B. schmidtc), der
> also keine Domain-Informationen enthaelt. Das wuerden wir fuer die
> Benutzer unserer "Default-Domain" auch gerne so beibehalten.
> 
> Wir suchen nun nach einem moeglichst einfachen Weg, um zu erreichen,
> dass bei Benutzernamen ohne Domain die "Default-Domain" angehaengt
> wird, muessten also - nach meinem Verstaendnis - die LDAP-Anfragen
> modifizieren, bevor der LDAP-Server sie vorgesetzt bekommt.

beschreibe mal konkreter in welcher Situation Du was anhängen möchtest. Bei
der Authentifizierung? Beim Senden?

> Hat jemand eine Idee, ob und (wenn ja) das ueberhaupt machbar ist?

Ja, ist es.

> Oder wuerdet Ihr anders verfahren?

Ggf. ja wenn ich dein Szenario besser kennengelernt habe.


> Wir verwenden das LDAP-Schema aus dem "anderen" Postfix-Buch. Weitere
> Konfigurationsdetails liefere ich bei Bedarf gerne nach.
> 
> Vielen Dank fuer Eure Hinweise!

Grüße von einem der "anderen" Postfix Buchautoren. ;)

p at rick

-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



From p.heinlein at heinlein-support.de  Mon Sep 19 21:04:44 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 19 Sep 2011 21:04:44 +0200
Subject: [Postfixbuch-users] [Semi-OT?] LDAP-Abfragen modifizieren
In-Reply-To: <20110919155631.GK31766@chemie.uni-hamburg.de>
References: <20110919155631.GK31766@chemie.uni-hamburg.de>
Message-ID: <201109192104.44692.p.heinlein@heinlein-support.de>

Am Montag, 19. September 2011, 17:56:31 schrieb Christian Schmidt:

Moin,

> Bisher muessen unsere Benutzer zum Einsehen bzw. Abrufen ihrer
> E-Mails lediglich ihren Benutzernamen eingeben (z.B. schmidtc), der
> also keine Domain-Informationen enthaelt. Das wuerden wir fuer die
> Benutzer unserer "Default-Domain" auch gerne so beibehalten.

Heißt:

@fqdn anhängen, falls nur ein Username daherkommt.

> Wir suchen nun nach einem moeglichst einfachen Weg, um zu erreichen,
> dass bei Benutzernamen ohne Domain die "Default-Domain" angehaengt
> wird, muessten also - nach meinem Verstaendnis - die LDAP-Anfragen
> modifizieren, bevor der LDAP-Server sie vorgesetzt bekommt.

Man kann auch Dovecot sagen, was man will, dann stellt er die richtigen 
Userabfragen.

In conf.d/10-auth.cf:

# Default realm/domain to use if none was specified. This is used for 
both
# SASL realms and appending @domain to username in plaintext logins.
#auth_default_realm =

> Wir verwenden das LDAP-Schema aus dem "anderen" Postfix-Buch. Weitere
> Konfigurationsdetails liefere ich bei Bedarf gerne nach.

Grüße vom "richtigen" Postfixbuch.

Peer


-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From Christian.Schmidt at chemie.uni-hamburg.de  Tue Sep 20 10:25:16 2011
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Tue, 20 Sep 2011 10:25:16 +0200
Subject: [Postfixbuch-users] [Semi-OT?] LDAP-Abfragen modifizieren
In-Reply-To: <20110919164545.GB8462@state-of-mind.de>
References: <20110919155631.GK31766@chemie.uni-hamburg.de>
	<20110919164545.GB8462@state-of-mind.de>
Message-ID: <20110920082516.GA6339@chemie.uni-hamburg.de>

Hallo Patrick,

Patrick Ben Koetter, 19.09.2011 (d.m.y):

> beschreibe mal konkreter in welcher Situation Du was anhängen möchtest. Bei
> der Authentifizierung? Beim Senden?

Primaer dachte ich an die Authentifizierung. Bei anderen Aktionen wie
z.B. der Zustellung (postfix uebergibt die Mail via LMTP an dovecot)
ist die Information ueber den Domain Part ja vorhanden.

Gruss/Regards,
Christian Schmidt

-- 
The devil can cite Scripture for his purpose.
		-- William Shakespeare, "The Merchant of Venice"


From Christian.Schmidt at chemie.uni-hamburg.de  Tue Sep 20 11:06:05 2011
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Tue, 20 Sep 2011 11:06:05 +0200
Subject: [Postfixbuch-users] [Semi-OT?] LDAP-Abfragen modifizieren
In-Reply-To: <201109192104.44692.p.heinlein@heinlein-support.de>
References: <20110919155631.GK31766@chemie.uni-hamburg.de>
	<201109192104.44692.p.heinlein@heinlein-support.de>
Message-ID: <20110920090605.GB6339@chemie.uni-hamburg.de>

Hallo Peer,

Peer Heinlein, 19.09.2011 (d.m.y):

> Am Montag, 19. September 2011, 17:56:31 schrieb Christian Schmidt:
> 
> > Bisher muessen unsere Benutzer zum Einsehen bzw. Abrufen ihrer
> > E-Mails lediglich ihren Benutzernamen eingeben (z.B. schmidtc), der
> > also keine Domain-Informationen enthaelt. Das wuerden wir fuer die
> > Benutzer unserer "Default-Domain" auch gerne so beibehalten.
> 
> Heißt:
> 
> @fqdn anhängen, falls nur ein Username daherkommt.

Jep.
 
> > Wir suchen nun nach einem moeglichst einfachen Weg, um zu erreichen,
> > dass bei Benutzernamen ohne Domain die "Default-Domain" angehaengt
> > wird, muessten also - nach meinem Verstaendnis - die LDAP-Anfragen
> > modifizieren, bevor der LDAP-Server sie vorgesetzt bekommt.
> 
> Man kann auch Dovecot sagen, was man will, dann stellt er die richtigen 
> Userabfragen.
> 
> In conf.d/10-auth.cf:
> 
> # Default realm/domain to use if none was specified. This is used for 
> both
> # SASL realms and appending @domain to username in plaintext logins.
> #auth_default_realm =

Patsch!
Genau so hatten wir uns das vorgestellt.

Ich bin blind und habe offensichtlich wieder einmal viel zu
kompliziert gedacht.

Danke!
 
Gruss/Regards,
Christian Schmidt

-- 
Q:	What do you say to a New Yorker with a job?
A:	Big Mac, fries and a Coke, please!


From p.heinlein at heinlein-support.de  Tue Sep 20 16:10:58 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 20 Sep 2011 16:10:58 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
Message-ID: <201109201610.58857.p.heinlein@heinlein-support.de>


Moin,

da ich pro Tag 'n Dutzend Anfragen dazu kriege, wie man sich denn am 
besten verhalten soll:

Auf

http://www.heinlein-support.de/blog/news/mailserver-von-t-online-auf-
rbl-von-spamcop-geblacklisted

haben wir mal ein bißchen Hintegründe, aber auch die Argumente für oder 
gegen ein T-Online-Whitelisting zusammengetragen.

Sollte auch geeignet sein, um das ggf. an allzu wutschnaubende Kunden 
weiterzuleiten und als Argumentationsgrundlage herzuhalten.

Schönen Gruß aus Braunschweig,

Peer




-- 
Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
11.-13. Oktober 2011, Nürnberg, Stand 472

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From jumper99 at gmx.de  Tue Sep 20 21:11:31 2011
From: jumper99 at gmx.de (Helmut Schneider)
Date: Tue, 20 Sep 2011 19:11:31 +0000 (UTC)
Subject: [Postfixbuch-users] mailout01.t-online.de auf spamcop
References: <xn0hj5g779w5n8000@news.gmane.org> <Bt+IdOXD1uB@helmut.hullen.de>
Message-ID: <xn0hjce3z77o9dx000@news.gmane.org>

Helmut Hullen wrote:

> Hallo, Helmut,
> 
> Du meintest am 15.09.11:
> 
> >> Habt Ihr die T-Online Server in eine Whitelist aufgenommen?
> 
> > Nein. Ich bin selber "geschädigt", da ich privat die T-Online Relays
> > verwende. Allerdings hab ich abuse@ am 17.06. darauf hingeweisen,
> > dass
> 
> > http: // rolf-ebert.privat.t-online.de / airfoils.html
> 
> > zu einem Pillendreher weiterleitet. Nunja, übermorgen feiert meine
> > Abuse Mail 3-Monatiges...
> 
> Meine bisherigen Erfahrungen mit "abuse at t-online,de" und Verwandten:
> die antworten nur sehr selten auf solche Hinweise, aber sie prüfen
> den Sachverhalt und reagieren ggfs. rasch und wirksam.

Das Problem (dass deren Server gelistet sind) besteht nach wie vor,
mindestens für

fwd11.aul.t-online.de
fwd18.aul.t-online.de
fwd20.aul.t-online.de

Noch Fragen?!

Hel<echt angefressen>mut



From endler at ddb-games.de  Wed Sep 21 09:18:58 2011
From: endler at ddb-games.de (Marko Endler)
Date: Wed, 21 Sep 2011 09:18:58 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?Gibt_es_kostenfreie_vertrauen?=
 =?iso-8859-15?q?sw=FCrdige_SSL/TLS_Zertifikate?=
Message-ID: <4E798FE2.40409@ddb-games.de>

Hallo,

ich habe mich durch die ganze Erstellung eines Zertifikates bei 
CACert.org durchgearbeitet und es entsprechend in postfix eingebunden 
das einzige was mich noch stört sind die Warnmeldungen von Thunderbird 
das dieses Zertifikat nicht vertrauenswürdig sei.

Jetzt stellt sich mir die Frage ob es eine kostenfreie Möglichkeit gibt  
dieses Zertifikat "vertrauenswürdiger" zu machen.

Danke für Infos.

Gruß
Marko


From m at micz.de  Wed Sep 21 09:28:47 2011
From: m at micz.de (=?ISO-8859-1?Q?Maik_R=F6hrig?=)
Date: Wed, 21 Sep 2011 09:28:47 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <4E798FE2.40409@ddb-games.de>
References: <4E798FE2.40409@ddb-games.de>
Message-ID: <4E79922F.8000409@micz.de>

Ich habe mein Zertifikat von StartSSL (http://www.startssl.com). 
Vielleicht ist das ja was für dich.

Gruß Maik


Am 21.09.2011 09:18, schrieb Marko Endler:
> Hallo,
>
> ich habe mich durch die ganze Erstellung eines Zertifikates bei 
> CACert.org durchgearbeitet und es entsprechend in postfix eingebunden 
> das einzige was mich noch stört sind die Warnmeldungen von Thunderbird 
> das dieses Zertifikat nicht vertrauenswürdig sei.
>
> Jetzt stellt sich mir die Frage ob es eine kostenfreie Möglichkeit 
> gibt  dieses Zertifikat "vertrauenswürdiger" zu machen.
>
> Danke für Infos.
>
> Gruß
> Marko



From c.wally at cwrm.at  Wed Sep 21 09:30:09 2011
From: c.wally at cwrm.at (Christian Wally)
Date: Wed, 21 Sep 2011 09:30:09 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <4E798FE2.40409@ddb-games.de>
References: <4E798FE2.40409@ddb-games.de>
Message-ID: <4E799281.1030304@cwrm.at>

Am 21.09.2011 09:18, schrieb Marko Endler:
> Hallo,
> 
> ich habe mich durch die ganze Erstellung eines Zertifikates bei
> CACert.org durchgearbeitet und es entsprechend in postfix eingebunden
> das einzige was mich noch stört sind die Warnmeldungen von Thunderbird
> das dieses Zertifikat nicht vertrauenswürdig sei.
> 
> Jetzt stellt sich mir die Frage ob es eine kostenfreie Möglichkeit gibt 
> dieses Zertifikat "vertrauenswürdiger" zu machen.
> 

Bei Thunderbird unter Extras -> Einstellungen im Tab Erweitert auf
Zertifikate klicken und das Root Certificate von CAcert unter
Zertifizierungsstellen importieren.

ciao
chris
-- 
Christian Wally
Risk Management
Sturnengasse 9
6700 Bludenz
T: +43-720-737014
M: +43-699-19439834
W: http://www.cwrm.at


From p.heinlein at heinlein-support.de  Wed Sep 21 11:34:08 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 21 Sep 2011 11:34:08 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <4E798FE2.40409@ddb-games.de>
References: <4E798FE2.40409@ddb-games.de>
Message-ID: <201109211134.08775.p.heinlein@heinlein-support.de>

Am Mittwoch, 21. September 2011, 09:18:58 schrieb Marko Endler:

> Jetzt stellt sich mir die Frage ob es eine kostenfreie Möglichkeit gibt
> dieses Zertifikat "vertrauenswürdiger" zu machen.

Es gibt orginal Thawte-Zertifikate für 39 EUR / Jahr (mehrjährig auch 
günstiger) und die funktionieren auch in alten Browser, Mobiltelefonen und 
und und.

Ich weiß nicht, was man da mit kostenlos noch rumpfriemeln will, wenn's 
unter 39 EUR kostet.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110921/c38639b3/attachment.htm>

From sebastian at debianfan.de  Wed Sep 21 11:37:13 2011
From: sebastian at debianfan.de (sebastian)
Date: Wed, 21 Sep 2011 11:37:13 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <201109211134.08775.p.heinlein@heinlein-support.de>
References: <4E798FE2.40409@ddb-games.de>
	<201109211134.08775.p.heinlein@heinlein-support.de>
Message-ID: <4E79B049.5050208@debianfan.de>

Wo ?

Am 21.09.2011 11:34, schrieb Peer Heinlein:
> Am Mittwoch, 21. September 2011, 09:18:58 schrieb Marko Endler:
>
>
> Es gibt orginal Thawte-Zertifikate für 39 EUR / Jahr (mehrjährig auch
> günstiger) und die funktionieren auch in alten Browser, Mobiltelefonen
> und und und.
>
>
> Ich weiß nicht, was man da mit kostenlos noch rumpfriemeln will, wenn's
> unter 39 EUR kostet.
>
>


From endler at ddb-games.de  Wed Sep 21 11:40:33 2011
From: endler at ddb-games.de (Marko Endler)
Date: Wed, 21 Sep 2011 11:40:33 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Gibt_es_kostenfreie_vertraue?=
 =?windows-1252?q?nsw=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <4E79B049.5050208@debianfan.de>
References: <4E798FE2.40409@ddb-games.de>
	<201109211134.08775.p.heinlein@heinlein-support.de>
	<4E79B049.5050208@debianfan.de>
Message-ID: <4E79B111.8090700@ddb-games.de>

Am 21.09.2011 11:37, schrieb sebastian:
> Wo ?
>
> Am 21.09.2011 11:34, schrieb Peer Heinlein:
>> Am Mittwoch, 21. September 2011, 09:18:58 schrieb Marko Endler:
>>
>>
>> Es gibt orginal Thawte-Zertifikate für 39 EUR / Jahr (mehrjährig auch
>> günstiger) und die funktionieren auch in alten Browser, Mobiltelefonen
>> und und und.
>>
>>
>> Ich weiß nicht, was man da mit kostenlos noch rumpfriemeln will, wenn's
>> unter 39 EUR kostet.
>>
>>
Erstmal Danke für die Antworten, 39 ? klingt wirklich ok werd mich mal 
auf die Suche begeben :)


From gregor at a-mazing.de  Wed Sep 21 11:47:42 2011
From: gregor at a-mazing.de (Gregor Hermens)
Date: Wed, 21 Sep 2011 11:47:42 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <4E79B049.5050208@debianfan.de>
References: <4E798FE2.40409@ddb-games.de>
	<201109211134.08775.p.heinlein@heinlein-support.de>
	<4E79B049.5050208@debianfan.de>
Message-ID: <201109211147.43117@office.a-mazing.net>

Hallo Sebastian,

Am Mittwoch, 21. September 2011 schrieb sebastian:
> Wo ?
> 
> Am 21.09.2011 11:34, schrieb Peer Heinlein:
> > Es gibt orginal Thawte-Zertifikate für 39 EUR / Jahr (mehrjährig auch
> > günstiger) und die funktionieren auch in alten Browser, Mobiltelefonen
> > und und und.
> > 
> > Ich weiß nicht, was man da mit kostenlos noch rumpfriemeln will, wenn's
> > unter 39 EUR kostet.

zum Beispiel http://www.psw.net/ssl-zertifikate.cfm 

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From gerald at stepman.com  Wed Sep 21 11:42:58 2011
From: gerald at stepman.com (Gerald Erdmann)
Date: Wed, 21 Sep 2011 11:42:58 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <4E79B111.8090700@ddb-games.de>
References: <4E798FE2.40409@ddb-games.de>
	<201109211134.08775.p.heinlein@heinlein-support.de>
	<4E79B049.5050208@debianfan.de> <4E79B111.8090700@ddb-games.de>
Message-ID: <C39D4FD4-6A77-4C29-B9F1-3D9B170C0799@stepman.com>

Hi!

Am 21.09.2011 um 11:40 schrieb Marko Endler:

> Erstmal Danke für die Antworten, 39 ? klingt wirklich ok werd mich mal auf die Suche begeben :)

Schau mal unter https://www.psw.net/ssl-zertifikate.cfm

"Bronze", 3 Jahre, 69 Euro brutto, macht gut 20 Euro netto/Jahr. Funktioniert bei mir wunderbar mit allen Endgeräten.

Gerald
-- 
Gerald Erdmann   gerald at stepman.com

STEPMAN SOLUTIONS
+49 30 39731400  -401 (Fax)
Berlin - Germany - Earth




-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3765 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110921/459d5c40/attachment.p7s>

From p.heinlein at heinlein-support.de  Wed Sep 21 12:18:52 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 21 Sep 2011 12:18:52 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Gibt_es_kostenfreie_vertrauensw?=
 =?utf-8?q?=C3=BCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <C39D4FD4-6A77-4C29-B9F1-3D9B170C0799@stepman.com>
References: <4E798FE2.40409@ddb-games.de> <4E79B111.8090700@ddb-games.de>
	<C39D4FD4-6A77-4C29-B9F1-3D9B170C0799@stepman.com>
Message-ID: <201109211218.52558.p.heinlein@heinlein-support.de>

Am Mittwoch, 21. September 2011, 11:42:58 schrieb Gerald Erdmann:


> Schau mal unter https://www.psw.net/ssl-zertifikate.cfm
> 
> "Bronze", 3 Jahre, 69 Euro brutto, macht gut 20 Euro netto/Jahr.
> Funktioniert bei mir wunderbar mit allen Endgeräten.

Genau.

Da beziehen wir seit vielen Jahren viele, viele Zertifkate und für uns 
gibt's da nichts anderes.

Peer

-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110921/4e246743/attachment.htm>

From bjoern.meier at googlemail.com  Wed Sep 21 12:31:20 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Wed, 21 Sep 2011 12:31:20 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
	=?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <C39D4FD4-6A77-4C29-B9F1-3D9B170C0799@stepman.com>
References: <4E798FE2.40409@ddb-games.de>
	<201109211134.08775.p.heinlein@heinlein-support.de>
	<4E79B049.5050208@debianfan.de> <4E79B111.8090700@ddb-games.de>
	<C39D4FD4-6A77-4C29-B9F1-3D9B170C0799@stepman.com>
Message-ID: <CAGMPS56gQ-5u8NiyqqqYqcMgs2n=khZNK1wZ3T_FTb-N+MLi6A@mail.gmail.com>

Am 21. September 2011 11:42 schrieb Gerald Erdmann <gerald at stepman.com>:
> Hi!
>
> Am 21.09.2011 um 11:40 schrieb Marko Endler:
>
>> Erstmal Danke für die Antworten, 39 ? klingt wirklich ok werd mich mal auf die Suche begeben :)
>
> Schau mal unter https://www.psw.net/ssl-zertifikate.cfm
>
> "Bronze", 3 Jahre, 69 Euro brutto, macht gut 20 Euro netto/Jahr. Funktioniert bei mir wunderbar mit allen Endgeräten.

Ah, Danke. Ich muss mich jetzt auch von CAcert trennen. Mit einer AD
wo man das root-cert ausrollen kann ist CAcert kein Problem, da muckt
auch exchange (dank der integrierten alternative subjects von CAcert)
nicht rum.
Allerdings will ich jetzt einen EAP-IEEE 802.11 RADIUS für Gäste
aufsetzen und denen erstmal eine 2seitige Doku zum Installieren des
root-certs mitzugeben ist nicht zumutbar.

Danke nochmal (wobei ich die psw group glaub ich sogar in meiner
Linksammlung hatte).
Gruß,
Björn


From marc.samendinger at sp-online.de  Wed Sep 21 15:49:07 2011
From: marc.samendinger at sp-online.de (Samendinger, Marc)
Date: Wed, 21 Sep 2011 15:49:07 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
	=?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <201109211147.43117@office.a-mazing.net>
References: <4E798FE2.40409@ddb-games.de><201109211134.08775.p.heinlein@heinlein-support.de><4E79B049.5050208@debianfan.de>
	<201109211147.43117@office.a-mazing.net>
Message-ID: <FEF8DE49123B57488E0A4CF8421959899FEA36@sp-kom02.SP-GRUPPE.DE>

> -----Original Message-----
> From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] On Behalf Of Gregor Hermens
> Sent: Wednesday, September 21, 2011 11:48 AM
> 
> 
> zum Beispiel http://www.psw.net/ssl-zertifikate.cfm

Kann mir jemand sagen ob die bei dem "Limitbreaker" Zertifikat mit
Einer eigenen intermediate CA signieren die von Thawte signiert
wurde oder reichen die die Anfragen tatsächlich 1:1 an Thawte weiter?

Da steht zwar, dass eine intermediate CA benötigt wird, da die bei
Thawte direkt aber auch benötigt wird beantwortet das nicht meine
Frage.

Ich bestell bisher immer direkt bei Thawte und hab dank den Partner-
preisen zwar auch noch eine gewisse Differenz zwischen Einkaufs- und
Listenpreis, bin aber dennoch noch weit von den Preisen bei PSW weg :)
Sowohl bei den SSL123 wie auch bei den SSL Webserver Zertifikaten.

> Gruß,
> Gregor

Gruß und Danke
Marc


From p.heinlein at heinlein-support.de  Wed Sep 21 16:08:03 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 21 Sep 2011 16:08:03 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Gibt_es_kostenfreie_vertrauens?=
 =?iso-8859-1?q?w=FCrdige_SSL/TLS_Zertifikate?=
In-Reply-To: <FEF8DE49123B57488E0A4CF8421959899FEA36@sp-kom02.SP-GRUPPE.DE>
References: <4E798FE2.40409@ddb-games.de>
	<201109211147.43117@office.a-mazing.net>
	<FEF8DE49123B57488E0A4CF8421959899FEA36@sp-kom02.SP-GRUPPE.DE>
Message-ID: <201109211608.03876.p.heinlein@heinlein-support.de>

Am Mittwoch, 21. September 2011, 15:49:07 schrieb Samendinger, Marc:

> Kann mir jemand sagen ob die bei dem "Limitbreaker" Zertifikat mit
> Einer eigenen intermediate CA signieren die von Thawte signiert
> wurde oder reichen die die Anfragen tatsächlich 1:1 an Thawte weiter?

Weiß ich nicht genau -- Fakt ist: Es geht. Überall. Ohne Zwischen-CA. Ohne 
Gemecker. Auch auf den abstrusen Geräten. Wenn was geht, dann das hier.
 
> Ich bestell bisher immer direkt bei Thawte und hab dank den Partner-
> preisen zwar auch noch eine gewisse Differenz zwischen Einkaufs- und
> Listenpreis, 

Haben wir früher auch.

> bin aber dennoch noch weit von den Preisen bei PSW weg :)

Yipp. Keine Ahnung, wie PSW diesen Deal mal abgeschossen hat, aber sie 
schaffen das seit Jahren so.

Abgesehen davon ist die Zusammenarbeit mit PSW da wirklich nett und 
unkompliziert und nicht mit den Südafrika-Telefonaten von früher zu 
vergleichen.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110921/128b9759/attachment.htm>

From sebastian at debianfan.de  Wed Sep 21 23:59:44 2011
From: sebastian at debianfan.de (=?ISO-8859-15?Q?Sebastian_Dei=DFner?=)
Date: Wed, 21 Sep 2011 23:59:44 +0200
Subject: [Postfixbuch-users] Mail zustellen trotz "Client host rejected:
	cannot find your hostname"
Message-ID: <4E7A5E50.3000905@debianfan.de>

Hallo,

ein Postfach auf einem Server bekommt des öfteren Mails von ausländischen Servern - dort gibt es Probleme:

Sep  9 10:44:45 debian postfix/smtpd[28583]: NOQUEUE: reject: RCPT from unknown[210.9.XXX.xxx]: 450 4.7.1 Client host rejected: cannot find your hostname, [210.9.XXX.XXX]; from=<name at arinex.com.au>  to=<ich at meinedomain.de>  proto=ESMTP helo=<sydsc01.arinex.local>


Wie erreiche ich, dass ich den Spamschutz weiterhin 'aktiv' lassen kann und diese Mail trotzdem zugestellt wird.

access - Datei ?

gruß

Sebastian



From p.heinlein at heinlein-support.de  Thu Sep 22 00:02:54 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 22 Sep 2011 00:02:54 +0200
Subject: [Postfixbuch-users] Mail zustellen trotz "Client host rejected:
	cannot find your hostname"
In-Reply-To: <4E7A5E50.3000905@debianfan.de>
References: <4E7A5E50.3000905@debianfan.de>
Message-ID: <201109220002.54570.p.heinlein@heinlein-support.de>

Am Mittwoch, 21. September 2011, 23:59:44 schrieb Sebastian Deißner:

> Wie erreiche ich, dass ich den Spamschutz weiterhin 'aktiv' lassen
> kann und diese Mail trotzdem zugestellt wird.

Auf reject_unknown_hostname etc. verzichten und das indirekt (aber 
gewichtet) vom policyd-weight mitmachen lassen, der dann nur zuschlägt, 
wenn mehrere Faktoren zusammenkommen.

Peer

-- 
Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
11.-13. Oktober 2011, Nürnberg, Stand 472

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From lists at puersten.de  Thu Sep 22 14:54:07 2011
From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=)
Date: Thu, 22 Sep 2011 14:54:07 +0200
Subject: [Postfixbuch-users] OT: Dovecot 2.0
Message-ID: <4E7B2FEF.6010307@puersten.de>

Hallo Zusammen,

ich wollte mich mal nach Euren Erfahrungen mit Dovecot 2.0 erkundigen.
Setzt Ihr den schon produktiv ein? Wie sind die Erfahrungen damit?

Speziell würde mich interessieren ob Jemand weis, ob sich der Umstieg
(von 1.2) unter dem Aspekt lohnt das sich die Systemlast die der Dovecot
erzeugt vielleicht sinkt? (bei Nutzung von Maildir)

Für ein paar Erfahrungen, auch was bei der Umstellung zu beachten ist,
wäre ich dankbar.

-- 
Gruß, Oliver


From sebastian at debianfan.de  Fri Sep 23 00:11:08 2011
From: sebastian at debianfan.de (=?ISO-8859-1?Q?Sebastian_Dei=DFner?=)
Date: Fri, 23 Sep 2011 00:11:08 +0200
Subject: [Postfixbuch-users] Mail zustellen trotz "Client host rejected:
 cannot find your hostname"
In-Reply-To: <201109220002.54570.p.heinlein@heinlein-support.de>
References: <4E7A5E50.3000905@debianfan.de>
	<201109220002.54570.p.heinlein@heinlein-support.de>
Message-ID: <4E7BB27C.7000203@debianfan.de>

Am 22.09.2011 00:02, schrieb Peer Heinlein:
> Am Mittwoch, 21. September 2011, 23:59:44 schrieb Sebastian Deißner:
>
>> Wie erreiche ich, dass ich den Spamschutz weiterhin 'aktiv' lassen
>> kann und diese Mail trotzdem zugestellt wird.
> Auf reject_unknown_hostname etc. verzichten und das indirekt (aber
> gewichtet) vom policyd-weight mitmachen lassen, der dann nur zuschlägt,
> wenn mehrere Faktoren zusammenkommen.
>
> Peer
>

Im neuen System würde das so aussehen - gibts da keine andere 
Möglichkeit z.B. mit access oder anderen "whitelistings" des 
entsprechenden Mailservers der Gegenseite?

smtpd_recipient_restrictions = permit_mynetworks,
			permit_sasl_authenticated,
			reject_unauth_destination,
			reject_unlisted_recipient,
			check_client_access hash:/etc/postfix/client_whitelist
			reject_unknown_sender_domain,
			reject_unknown_recipient_domain,
			reject_non_fqdn_sender,
			reject_unauth_pipelining,
			check_recipient_access hash:/etc/postfix/access,
			reject_non_fqdn_recipient,
			reject_invalid_hostname,
			reject_non_fqdn_hostname,
			reject_unknown_reverse_client_hostname,
			reject_unknown_client_hostname,
  			check_policy_service inet:127.0.0.1:12525,
  			check_policy_service inet:127.0.0.1:10023


postscreen_greet_action = drop

postscreen_hangip_action = drop
postscreen_dnsbl_action = drop
postscreen_dnsbl_threshold = 2

postscreen_dnsbl_sites = zen.spamhaus.org
			 bl.spamcop.net
			 dnsbl.njabl.org
			 ix.dnsbl.manitu.net
			 dnsbl-1.uceprotect.net
			 dnsbl-2.uceprotect.net*2
			 multi.surbl.org
			 dnsbl.sorbs.net




From ffiene at veka.com  Fri Sep 23 07:15:45 2011
From: ffiene at veka.com (Frank Fiene)
Date: Fri, 23 Sep 2011 07:15:45 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <201109201610.58857.p.heinlein@heinlein-support.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
Message-ID: <B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>

OK, falls das unten wirklich echt sein sollte, kann ich nur sagen: Kann mal jemand den Telekomikern eins auf die Fresse geben?

Wir haben alle unsere Mailserver falsch konfiguriert! Und wir sollen gefälligst die Telekom informieren, wenn sie ihre Mails bei uns nicht mehr auskippen können. Damit machen die sich aber viele Freunde!

Ich kann gar nicht so viel essen wie ich ...



Die folgende Nachricht wird aktuell an T-Online-Kunden versandt:
----------------------------------------------------------------
Dass Sie Schwierigkeiten mit der Mailzustellung hatten, bedauern wir.
Es
gibt bei diesen Vorgängen aber nicht nur zwei Beteiligte, sondern
einen
dritten und dieser ist sogar der entscheidende: Der Betreiber des
Mailsystems, das die Annahme Ihrer E-Mails verweigert.

Falls dieser selbst unsere Mailsysteme für die Einlieferung
blockiert,
ohne uns zuvor auch nur ein einziges Mal angeschrieben zu haben, ohne
dass auch nur eine einzige Beschwerde vorlag, dann will dieser
Anbieter
offensichtlich nicht, dass legitime E-Mails zugestellt werden können. 
Wer hingegen fremdbestimmte Listen zum Blockieren verwendet, ohne die
Folgen der zwingend auftretenden "false positives" durch den Einsatz
einer Whitelist abzufedern, der nimmt - vielleicht ebenfalls
vorsätzlich
eher aber fahrlässig - in Kauf, dass ihn auch legitime E-Mails nicht
erreichen. 

Selbstverständlich sind wir darum bemüht, uns aus den Blacklists
wieder
austragen zu lassen, was uns bei der CBL und Spamhaus auch gelungen
ist.
(Tatsächlich bezeichnete Spamhaus die vorübergehende Listung unserer
Mailserver als fehlerhaft.) Das ist aber nicht bei allen Blacklist-
betreibern der Fall, insbesondere bei SpamCop stoßen wir auf
keinerlei
Gehör. Die Daten von SpamCop dienen u.a. wiederum als Basis für die
Reputation bei Senderbase. 

Eine Möglichkeit des Whitelistings für Mailserver größerer E-Mail-
und
Accessprovider hat der blockierende Provider offensichtlich nicht
vorgesehen, anderenfalls wäre dieses Problem nicht entstanden, denn
unsere Mailserver stehen bereits seit Jahren in der relevanten DNSWL
(siehe unten).

Die Konfiguration eines Mailservers ist jedoch alleinige
Angelegenheit
des Betreibers des jeweiligen Mailservers. Da können wir ihm nicht
hereinreden oder gar zu irgendetwas zwingen; auch dann nicht, wenn es
sich um eine offensichtliche Fehlkonfiguration handelt. 

Einige Anmerkungen zu unseren eigenen Systemen: Unsere Mailserver
werden
von einer zweistelligen Millionenanzahl von Kunden verwendet. Nach
zurückhaltenden Schätzungen sind etwa ein Prozent aller Endnutzer-
Rechner mit Schadsoftware verseucht. Da kann es leider nicht
ausbleiben,
dass über unsere Mailserver - genau wie auch über die Mailserver
anderer
großer E-Mail- und Access-Provider - ein gewisser Anteil "Spam"
versendet wird. 

Aktuelle Lage: Zurzeit werden täglich viele neue Phishing-
Seiten zum Nachteil unserer Kunden ins Netz gestellt und per
Spam - meist angebliche "Sicherheitsmitteilungen" von
T-Online
oder der Telekom - beworben. Hiermit schaffen es die Spammer
trotz der meist in krudem Deutsch verfassten Spam-Mails immer
wieder, sich erneut Zugriff zu Accounts einiger unserer
Kunden
zu verschaffen, wobei sie dann pro Account gleich eine oder
mehrere Homepages buchen und dann pro Homepage 10-100 E-Mail-
Konten anlegen. 

Wir haben in den letzten Wochen den jeweiligen Hosting-Provi-
dern und den Betreibern von Phishing-URL-Filtern Hunderte
solcher Seiten gemeldet. Noch weitaus höher ist die Anzahl
der
von uns gesperrten E-Mail-Accounts und Homepages. Aufgrund
der
derzeit epidemischen Verbreitung von abgephishten
t-online.de-
Zugangsdaten sind wir inzwischen dazu übergegangen, die
Sperren
ohne vorherige Warnung an den verantwortlichen
Account-Inhaber
zu setzen.

Aufgrund der mit dem Blacklisting durch einige Anbieter
verur-
sachten Problematik wurde diese Angelegenheit in die höheren
Etagen eskaliert. Daraufhin wurden verschiedene Maßnahmen
abge-
segnet, die es dieser Mafia deutlich erschwert, die
gestohlenen
Zugangsdaten weiterhin zu verwerten. Siehe hierzu auch den
Artikel http://ct.de/-1341226 im Heise-Newsticker.

Wenn Ihre E-Mails abgewiesen werden, werden Sie bei den
Betrei-
bern dieser unzureichend administrierten Mailsysteme - wenn
Sie
diese überhaupt erreichen - vermutlich genausoviel erreichen
wie wir: Nämlich nichts. Sie sollten aber diejenigen, die Sie
auf anderen Wegen kontaktieren müssen, unbedingt auf dieses
Problem hinweisen, damit diese sich an ihren Support wenden
können. Die betroffenen Empfänger haben einen größeren
Einfluss
auf die eigene E-Mail-Administration als Außenstehende und
eine
sachverständige Administration wird dann auch darauf
reagieren.
Die folgenden Ausführungen mögen als Argumentation hilfreich
sein. 

Allein die t-online.de-Nutzer dürften geschätzt bis zu 15 mio. Nutzer
umfassen, hinzu kommen noch die eine oder andere Million von
Geschäfts- 
kunden mit ebensovielen eigenen Domains. Wer die Annahme der
legitimen
E-Mails eines derart großen Potentials verweigert, dem droht der
Verlust
des E-Mail-Kontaktes zu Kunden, Geschäftspartnern und Mitarbeitern. 

Wenn jemandem eine IP-Adresse als legitimer Mailserver bekannt ist
und
er zum zuständigen Postmaster jederzeit Kontakt aufnehmen kann, würde
er
solche IP-Adressen allenfalls in einem außergewöhnlichen Notfall
sperren. 

An diese Maxime halten wir uns selbstverständlich auch. Es passiert
immer wieder einmal, dass ein Provider Zielscheibe einer größer
angelegten Attacke ist, sodass über dessen System zeitweise mehr Spam
als das übliche "Rauschen" versendet wird. Wer dann - auch noch
vollautomatisiert und ohne manuelle Korrekturmöglichkeit -
"gnadenlos"
(vielleicht besser "gedankenlos") sperrt, leistet einen größeren
Beitrag
zu Zerstörung des Mediums E-Mail als die Kriminellen, derentwegen man
zu
solchen Maßnahmen greifen muss. (Dass Sperren auf IP-Ebene innerhalb
gewisser Grenzen unverzichtbar sind, ist natürlich unbestritten.) 

Wir betreiben - wie oben ausgeführt - ein strenges Abuse-Management.
Sofern jemand von einem unserer Mailserver aus dem unten genannten
Bereich E-Mails empfangen hat, die zu beanstanden wären, sollte
dieser
jene E-Mails bitte mit vollständigem Header an abuse at t-online.de
senden
und unser Abuse-Team wird umgehend entsprechende Maßnahmen ergreifen. 
Unsere an externe Systeme zustellenden Mailserver befinden sich
allesamt
im Netz 194.25.134.0 - 194.25.134.255 (DTOS-ULM-001|194.25.134.0/24)
(http://postmaster.t-online.de/technische-informationen/id_16818628)
und
sind zudem auch in den DNS Whitelists unter
http://www.dnswl.org/search.pl?s=1972 und
http://dnswl.inps.de/query.cgi
eingetragen. Es ist immer eine gute Idee, bei Nutzung einer oder gar
mehrerer "Blacklists" auch eine "Whitelist" einzusetzen. 

Mit freundlichen Grüßen
t-online.de Postmaster
Products & Innovation
Deutsche Telekom AG
T-Online-Allee 1
D-64295 Darmstadt
E-Mail postmaster at t-online.de
----------------------------------------------------------------
Am 20.09.2011 um 16:10 schrieb Peer Heinlein:

> 
> Moin,
> 
> da ich pro Tag 'n Dutzend Anfragen dazu kriege, wie man sich denn am 
> besten verhalten soll:
> 
> Auf
> 
> http://www.heinlein-support.de/blog/news/mailserver-von-t-online-auf-
> rbl-von-spamcop-geblacklisted
> 
> haben wir mal ein bißchen Hintegründe, aber auch die Argumente für oder 
> gegen ein T-Online-Whitelisting zusammengetragen.
> 
> Sollte auch geeignet sein, um das ggf. an allzu wutschnaubende Kunden 
> weiterzuleiten und als Argumentationsgrundlage herzuhalten.
> 
> Schönen Gruß aus Braunschweig,
> 
> Peer
> 
> 
> 
> 
> -- 
> Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
> 11.-13. Oktober 2011, Nürnberg, Stand 472
> 
> Heinlein Professional Linux Support GmbH
> Linux: Akademie - Support - Hosting
> 
> http://www.heinlein-support.de
> Tel: 030 / 40 50 51 - 0
> Fax: 030 / 40 50 51 - 19
> 
> Zwangsangaben lt. §35a GmbHG:
> HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Frank Fiene / IT-Services
Internet Services / IT-Security
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 20419C64
PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD  EAB5 BBB4 435F 2041 9C64

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster



From driessen at fblan.de  Fri Sep 23 07:37:20 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 07:37:20 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
Message-ID: <001c01cc79b2$dd366190$0565a8c0@uwe>

> -----Original Message-----
> From: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] On Behalf Of Frank Fiene
> Sent: Friday, September 23, 2011 7:16 AM
> To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Subject: Re: [Postfixbuch-users] T-Online whitelisten -- die Argumente
> 
> OK, falls das unten wirklich echt sein sollte, kann ich nur sagen: Kann
> mal jemand den Telekomikern eins auf die Fresse geben?

Das bekommen die doch schon. Die meisten "kleinen Provider" nehmen keine
Mails mehr von denen an.

> 
> Wir haben alle unsere Mailserver falsch konfiguriert! Und wir sollen
> gefälligst die Telekom informieren, wenn sie ihre Mails bei uns nicht mehr
> auskippen können. Damit machen die sich aber viele Freunde!

Hast du schon mal von der T-offline eine Mail bekommen das irgendwas nicht
mit deinem Mailserver stimmt? Ist schon mal jemand von der T-Offline
überhaupt kontaktiert worden?
Für Spamer ist t-OFFline der annehmende Provider schlechthin.

Telekom ist immer noch mit dem Gedanken befreundet das auch Spamer Ihnen 53
Cent Briefmarke auf jeden Spambrief drauf kleben.
Bei ISDN und Minutenabrechnung hat man mit vielen Mails die Online-Zeiten
hochtreiben können. Diese Politik und der Beschiss am Kunden rächt sich
endlich mal.

> 
> Ich kann gar nicht so viel essen wie ich ...

Bei solch masiven Magenproblemen musst du aber dann doch mal zu Arzt gehen
*gg

Die Mail ist echt!
Die Telekom traut sich das wirklich.

Ich kann nur sagen großer Provider, große Verantwortung....

Und wer seiner Verantwortung nicht gerecht wird sollte aus dem Geschäft
aussteigen!

Über wen haben denn die gehackten Onlinekunden diese Phishingmails bekommen?

Wer hat denn da seine Hausaufgaben nicht gemacht? 
Wer ist mit der Technik vor 10 Jahren stehen geblieben?
Wer filtert denn, weder eingehend noch ausgehend, nicht?
......

http://www.heise.de/ix/news/foren/S-Grosse-Provider-auf-Blacklist/forum-2093
79/msg-20801349/read/  


> 
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From driessen at fblan.de  Fri Sep 23 08:37:27 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 08:37:27 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
Message-ID: <001d01cc79bb$434a9bb0$0565a8c0@uwe>

Sehr geehrte/r Herr/en Postmaster der Telekom,

bzgl. Ihrer Kundemail wegen Blacklistenproblematik.

Wir haben zur Zeit das Problem das Ihre Mailserver auf den Blacklisten
stehen.
Sie haben nachgewiesener Maßen Phishing Mails von Fremden an Ihre eigenen
Kunden zugestellt und damit auch den einen oder anderen Ihrer eigenen Kunden
dazu verführt die Anweißung dieser Phishing-mails zu befolgen.

Sie haben damit zu einem momentanen erhöhten Spamaufkommen aus Ihrem Netz
und von Ihren Server beigetragen.
Sie sind als Mittelbarer Störer ebenfalls in der Haftung für Schäden die
durch lasche und fast nicht vorhandene Sicherheitseinstellungen Ihrer Server
auf Unseren Server und unter Umständen auch bei unseren Kunden dadurch
verursacht werden.

Da Sie mit an Sicherheit grenzender Wahrscheinlichkeit die besseren Anwälte
haben bin ich gezwungen den geringsten und für mich kostengünstigeren Weg zu
beschreiten.

ICH NEHME KEINE MAILS MEHR VON IHREN SERVER AN BIS DAS SIE DIE PROBLEMATIK
AUF IHREN SERVERN IM GRIFF HABEN UND DAUERE ES AUCH NOCH JAHRE!!

Mir ist die Jacke zur Zeit näher wie Ihre mail-Hose.  
Wir bekommen unser Geld von unseren Kunden für den Schutz der Infrastruktur.

Wir sind drauf bedacht das keine anderen Mailserver durch unsere
Infrastruktur in Mitleidenschaft gezogen werden.
Wir sind ebenfalls drauf bedacht das nachgewiesenermaßen "schlechte" Mails
nicht zu unseren Kunden durchdringen.
Sobald Sie der Lage Herr sind dürfen Sie sich wieder mit mir in Verbindung
setzen.
Wer saubere Mailserver betreibt (was kein Kunststück ist) benötigt kein
Whitelisting.
Wer sich sowenig Sorgen um das Wohlergehen der anvertrauten Daten seiner
Kunden macht, wer in der Technik vor 10 Jahren stehen geblieben ist, wer nur
reagiert statt zu agieren, wer SEINE Probleme nicht in den Griff bekommt
oder bekommen will, wer Millionen Mails ungeprüft in die Welt pustet, wer
HEUTE noch ungeprüft Mails annimmt, wer immer noch denkt "Briefbomben" sind
ein Problem des Empfängers, wer zu 99,9% nur Spam usw. in die Mailboxen
seiner Kunden zustellt....

Der hat es nicht anders gewollt, dem kann man nicht helfen, von dem kann man
keine Mails annehmen.

Mir ist das WURSCHT wie groß SIE sind, Wer SIE sind, von wo SIE sind. 
Wenn Server auf Blacklisten drauf stehen hat das schon einen Grund.
Stehen Server auf Blacklisten dann geht zu dem ZEITPUNKT eine AKUTE Gefahr
von diesen Server aus (ich atme auch nicht wissentlich absichtlich
Milzbrandviren ein, oder öffne eine Briefbombe wenn ich weiß was drin ist).

Von daher denke ich das sie mal anfangen sollten Ihre Guten,
Verantwortungsvollen, wissend was SIE tun Administratoren an die Mailserver
dransetzen.
Sie sollten anfangen Ihre Sicherheitsrichtlinien, Annahmebedingungen für
Mails zu überarbeiten (so was ist Chefsache und duldet keinen Aufschub) .
Sie sollten in Ihrem eigenen Interesse anfangen Ihre eigenen Infrastruktur,
die Ihrer eigenen Kunden zu schützen.
Sie sparen damit Arbeitszeit in allen Bereichen, Sie sparen Geld(Ihre
Aktionäre werden es Ihnen danken), Sie sparen wertvolle Ressourcen an
Hardware, Energie und Arbeitskraft(auch beim Kunden).
Hören sie auf eine Geldverbrennungsmaschine zu sein. 

P.S. ich kann Ihnen, sollten sie nicht über die notwendigen Ressourcen
innerhalb des Konzerns verfügen, gute und verantwortungsvolle Postmaster,
Bundesweit vernetzt, nennen die das Problem innerhalb sehr kurzer Zeit in
den Griff bekommen. Diese schulen auch gleich noch Ihre Administratoren.
 
  

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From technoworx at gmx.de  Fri Sep 23 10:30:09 2011
From: technoworx at gmx.de (Alexander Stoll)
Date: Fri, 23 Sep 2011 10:30:09 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
Message-ID: <4E7C4391.2020003@gmx.de>

 > x Zeilen FUD gelöscht

Es entbehrt nicht einer gewissen Tragik, nun auf diesem Wege eine 
"Verbesserung" der Situation herbeiführen zu wollen.
Es ist der öffentlich demonstrierte Offenbarungseid einer gescheiterten 
Administration und Abuse Management der eigenen Infrastruktur.
Nun die eigene "Marktmacht" mobilisieren zu wollen um das eigene 
Scheitern mit gezielter Falschinformation (FUD) zu verschleiern und für 
sich "eigene Regeln" durchzudrücken, empfinde ich mehr als schäbig und 
verachtenswert.

Daher die öffentliche Aufforderung an die Telekom unter diesen 
Voraussetzungen doch das einzig ehrliche für ihre Kunden zu tun und den 
Geschäftsbereich einzustellen, der doch so offensichtlich für sie 
unbeherrschbar geworden ist!

Ein trauriges Kapitel des Unternehmens, aber um so weniger überraschend.


From pkoch at bgc-jena.mpg.de  Fri Sep 23 10:42:54 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Fri, 23 Sep 2011 10:42:54 +0200
Subject: [Postfixbuch-users] Frage zu cyrus/imap
Message-ID: <4E7C468E.1040107@bgc-jena.mpg.de>

Hallo,


wir haben hier einen User der es geschafft hat seine
Mailbox zum zweiten mal innerhalb von 3 Tagen unbrauchbar zu machen.

Wir haben hier als Groupware einen Open-Xchange im Einsatz.
Der OX spricht ganz normal IMAP mit dem Cyrus.

Der Nutzer verwendet einen sogenannten Oulookoxtender,
der das ganze (Kontakte, Termine, e-mails) transparent
in Outlook einbindet.

In Outlook hat er beim ersten Mal einen Ordner gelöscht,
"der nicht richtig funktioniert hat". Was das bedeuten soll
war nicht mehr zu klären.

Gestern hat er nur den Trash Folder leeren wollen.


Wie auch immer:
Momentan ist die Situation wie folgt:
Jedes WEBGUI verweigert die Zusammenarbeit -> Error oder
stürtzt gleich ab.

Thunderbird: Listet noch einen Teil der Ordner -> connection closed

alpine öffnet die Inbox (andere Folder noch nicht getestet)

mit "telnet mail 143"
kann man sich anmelden und die Ordner anzeigen lassen.
Da kenne ich aber nicht sehr viele Kommandos. Das was ich probiert habe
ging.

Mit cyradm habe ich gesehen, das einige Ordner NUR NOCH den Nutzer
als Berechtigten gelistet haben (lam user.mailbox).

Ich vermute im Moment, das hier der Hase im Peffer schwimmt.

Beim ersten Mal habe ich einfach den user auf den Mailer gelöscht,
aller Ordner angelegt, Mails zurück geholt, fertig.
Das ist aber als regelmäßige Aktion etwas aufwendig, daher möchte ich
jetzt der Sache auf den Grund gehen.


Cyrus schreibt nur das erfolgreiche login in die Log's.


a) Gibt es eine Möglichkeit die Rechte in einer Mailbox rekursiv zu 
setzen ?

   also "sam -r user.mailbox cyrus lrswipcda

b) Wie kann man cyrus in debug mode versetzen ?
    Habe ich bisher noch nie gebraucht ....


-- 
Vielen Dank,
      Peer
_________________________________________________________
Max-Planck-Institut für Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 304 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110923/b307ac33/attachment.vcf>

From bjoern.meier at googlemail.com  Fri Sep 23 11:09:31 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Fri, 23 Sep 2011 11:09:31 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <001d01cc79bb$434a9bb0$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<001d01cc79bb$434a9bb0$0565a8c0@uwe>
Message-ID: <CAGMPS54Yz7NmZ8WnKtWKNHt+-a+2448Y-x2=37Z223XV4BE5Og@mail.gmail.com>

hi,

Am 23. September 2011 08:37 schrieb Driessen <driessen at fblan.de>:
> [... Mail an T-OFFline ...]

Respekt. Vieklleicht sollten wir gemeinsam ein Muster einer Mail
entwerfen, die wir Ihnen täglich - solange sie es nicht in den Griff
bekommen - zusenden. Ja im Grunde wäre das auch spamming, dennoch: die
eigene bittere Medizin.

Gruß,
Björn


From driessen at fblan.de  Fri Sep 23 11:42:54 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 11:42:54 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <CAGMPS54Yz7NmZ8WnKtWKNHt+-a+2448Y-x2=37Z223XV4BE5Og@mail.gmail.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><001d01cc79bb$434a9bb0$0565a8c0@uwe>
	<CAGMPS54Yz7NmZ8WnKtWKNHt+-a+2448Y-x2=37Z223XV4BE5Og@mail.gmail.com>
Message-ID: <000601cc79d5$2b769b50$0565a8c0@uwe>

On Behalf Of Bjoern Meier
> 
> Am 23. September 2011 08:37 schrieb Driessen <driessen at fblan.de>:
> > [... Mail an T-OFFline ...]
> 
> Respekt. 

Für was das ich meinen Ärger über die Dreistigkeit seitens Telekomik in
Worte packe? 

> Vielleicht sollten wir gemeinsam ein Muster einer Mail
> entwerfen, die wir Ihnen täglich - solange sie es nicht in den Griff
> bekommen - zusenden. Ja im Grunde wäre das auch spamming, dennoch: die
> eigene bittere Medizin.

Wenn es was helfen würde dann gerne per Cronjob bzw. Fail2ban immer dann
wenn von denen versucht wird über einen gelisteten Mailserver etwas
einzuliefern? 

Oder aber an den t-offline Kunden der als Absender in der Mail steht *gg

So in der Art :
"
Wir bedauern Ihnen Mitzuteilen das der von Ihnen verwendete Mailserver
leider auf schwarzen Listen gelistet ist und wir sehen uns daher im Moment
außerstande Ihre Mail weiterzubefördern solange Ihr Provider potenziell als
Spam und Phishing Mailversender gilt.

Sie können gegen diese Behandlung Rechtsmittel und Beschwerde innerhalb der
nächsten 14 Tage einlegen an abuse at t-offline.de. 


Es bleibt Ihnen auch unbenommen sich ein Mailkonto bei einem der vielen
anderen Betreiber einzurichten und dieses für den Zeitraum der Problematik
bei Ihrem Provider zu benutzen.
Es bleibt Ihnen ebenso unbenommen Ihre Homepage von Ihrem jetzigen
problembehafteten Provider abzuziehen und bei einem Provider der diese
Problematik nicht hat zu hosten.

Wir bitten die Unannehmlichkeiten zu entschuldigen. Wir haben diese aber
nicht verursacht.

P.S. sie können auch gerne bei uns hosten garantiert nicht teurer,
garantiert besserer Service und ein SPam und virenfreies Mailpostfach. 
" 


> 
> Gruß,
> Björn
> --


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From driessen at fblan.de  Fri Sep 23 12:43:41 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 12:43:41 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <000601cc79d5$2b769b50$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><001d01cc79bb$434a9bb0$0565a8c0@uwe><CAGMPS54Yz7NmZ8WnKtWKNHt+-a+2448Y-x2=37Z223XV4BE5Og@mail.gmail.com>
	<000601cc79d5$2b769b50$0565a8c0@uwe>
Message-ID: <000d01cc79dd$a900b170$0565a8c0@uwe>

Scheinbar kommen die spammails immer mit @.*\homepage.t-online.de$/

Ein check_sender_access  pcre:/datei/t-online.spam

/@.*\homepage.t-online.de$/    Reject was euch auch immer sonst noch so
einfällt 

Bringt Abhilfe 

Als offiziellen Domainanteil für T-Online Mails konnte ich den in keiner der
Logdateien feststellen.

Das loch scheint größer wie angenommen bei t-offline. 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From r.felber at ek-muc.de  Fri Sep 23 12:59:49 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 12:59:49 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
Message-ID: <20110923105948.GA94231@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 07:15:45AM +0200, Frank Fiene wrote:
> OK, falls das unten wirklich echt sein sollte, kann ich nur sagen: Kann mal jemand den Telekomikern eins auf die Fresse geben?
> 
> Wir haben alle unsere Mailserver falsch konfiguriert! Und wir sollen gefälligst die Telekom informieren, wenn sie ihre Mails bei uns nicht mehr auskippen können. Damit machen die sich aber viele Freunde!
> 
> Ich kann gar nicht so viel essen wie ich ...


Ich glaube, man sollte die Mail mit etwas Abstand lesen.
Die Mail enthaelt Wahrheiten als auch Verantwortungsverlagerungsversuche.

1. Sie haben voellig recht, dass die Telekom einen Grossteil infizierter
Kundensysteme hat.

Dadurch werden nicht nur T-Online-Mailsysteme mit dem Spamversand belastet, sondern auch
GMX, Gmail, etc. Auch diese landen regelmaessig auf den Listen.


2. Sie haben recht, dass, wenn jemand ohne Nachzudenken RBLs zum harten Blocken einsetzt,
eben gedankenlos ist.


3. Sie haben erkannt, dass sie mit dem Listing auf mehreren RBLs ziemlich die A-Karte
gezogen haben, weil sie damit auch von Scoring-System erfasst werden. (selbiges ist
auch schon gmail, etc passiert).

4. Wie die Mail ausdrueckt, wurden Masznahmen gestattet, die sonst nicht gestattet worden
waehren, leider erfaehrt man nicht, welcher Art. Will sagen: "die da oben" haben das
Problem/den Druck erkannt.

5. Was sie nicht erkannt haben: auch eine fremdbestimmte Whitelist sollte nicht als
alleiniges "OK"-Kriterium gelten. In vielen Scoring-Systemen gibt es diese DNSWL.

Prinzipiell lese ich den Tenor der Mail eher den Frust auf jene, die gedankenlos blocken.
Was bei euch ja hier nicht der Fall ist. Von daher wuerde ich mich da garnicht
adressiert fuehlen.

Ich fuer meinen Teil denke, dass ein manuelles Whitelisting soweit nicht notwendig ist,
die "wichtigen Kunden" also das "wichtige Marktpotential" ist clever genug, um andere
Wege der Kommunikation zu finden - bis die Telekom neue Loesungsansaetze hat, interne
Policies fuer den Versand von Mail durchzusetzen.

Und das ist, aus meiner Sicht, fuer jemanden wie die Telekom, eine enorme Aufgabe, da sie
in der Tat massiv im Fokus Krimineller sind. Aus der Sicht eines kleineren ISP, der
nicht mit permantenten, gezielten und forschenden Attacken auf die Infrastruktur zu 
rechnen, scheint das alles easy zu sein.

Statt der Telekom Inkompetenz zu unterstellen, waere es sinnvoll, auf explizite,
belastbare Alternativen hinzuweisen. Auth im internen Netz, und SA/AV im internen Netz
reichen dazu NICHT aus.


-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From pkoch at bgc-jena.mpg.de  Fri Sep 23 13:18:42 2011
From: pkoch at bgc-jena.mpg.de (Peer-Joachim Koch)
Date: Fri, 23 Sep 2011 13:18:42 +0200
Subject: [Postfixbuch-users] Frage zu cyrus/imap
In-Reply-To: <4E7C468E.1040107@bgc-jena.mpg.de>
References: <4E7C468E.1040107@bgc-jena.mpg.de>
Message-ID: <4E7C6B12.2000005@bgc-jena.mpg.de>

Hallo,

ich habe noch folgendes getestet:
1) Inbox kann man mit telnet auf dem IMAP port
mails öffnen und lesen. Auch in Sent Ordner

2) Thunderbird zeigt mit (mit einem frischen Profil)
einen Teil(!) der Ordner an, aber z.B. nichts aus der Inbox.

3) Wenn man mit Wireshark das ganze mitschneidet, dann sehe
ich zumindest keinen Fehler ... ;(

Mit cyradm habe ich mir die Rechte von allen Ordnern der Mailbox
angesehen und alles auf Standard gesetzt (bei einigen fehlte cyrus,
ein Ordner war ganz ohne Zugriffsrechte).

Gibt es noch irgendeine Möglich die Integrität einer Mailbox zu testen ?
reconstruct findet nichts und ändert nichts ...

Ciao, Peer

Am 23.09.2011 10:42, schrieb Dr.Peer-Joachim Koch:
> Hallo,
>
>
> wir haben hier einen User der es geschafft hat seine
> Mailbox zum zweiten mal innerhalb von 3 Tagen unbrauchbar zu machen.
>
> Wir haben hier als Groupware einen Open-Xchange im Einsatz.
> Der OX spricht ganz normal IMAP mit dem Cyrus.
>
> Der Nutzer verwendet einen sogenannten Oulookoxtender,
> der das ganze (Kontakte, Termine, e-mails) transparent
> in Outlook einbindet.
>
> In Outlook hat er beim ersten Mal einen Ordner gelöscht,
> "der nicht richtig funktioniert hat". Was das bedeuten soll
> war nicht mehr zu klären.
>
> Gestern hat er nur den Trash Folder leeren wollen.
>
>
> Wie auch immer:
> Momentan ist die Situation wie folgt:
> Jedes WEBGUI verweigert die Zusammenarbeit -> Error oder
> stürtzt gleich ab.
>
> Thunderbird: Listet noch einen Teil der Ordner -> connection closed
>
> alpine öffnet die Inbox (andere Folder noch nicht getestet)
>
> mit "telnet mail 143"
> kann man sich anmelden und die Ordner anzeigen lassen.
> Da kenne ich aber nicht sehr viele Kommandos. Das was ich probiert habe
> ging.
>
> Mit cyradm habe ich gesehen, das einige Ordner NUR NOCH den Nutzer
> als Berechtigten gelistet haben (lam user.mailbox).
>
> Ich vermute im Moment, das hier der Hase im Peffer schwimmt.
>
> Beim ersten Mal habe ich einfach den user auf den Mailer gelöscht,
> aller Ordner angelegt, Mails zurück geholt, fertig.
> Das ist aber als regelmäßige Aktion etwas aufwendig, daher möchte ich
> jetzt der Sache auf den Grund gehen.
>
>
> Cyrus schreibt nur das erfolgreiche login in die Log's.
>
>
> a) Gibt es eine Möglichkeit die Rechte in einer Mailbox rekursiv zu
> setzen ?
>
> also "sam -r user.mailbox cyrus lrswipcda
>
> b) Wie kann man cyrus in debug mode versetzen ?
> Habe ich bisher noch nie gebraucht ....
>
>
>
>


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10             Telefon: ++49 3641 57-6705
D-07745 Jena                  Telefax: ++49 3641 57-7705


From hans.moser at ofd-z.niedersachsen.de  Fri Sep 23 14:10:58 2011
From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann)
Date: Fri, 23 Sep 2011 14:10:58 +0200
Subject: [Postfixbuch-users] Frage zu cyrus/imap
In-Reply-To: <4E7C6B12.2000005@bgc-jena.mpg.de>
References: <4E7C468E.1040107@bgc-jena.mpg.de>
	<4E7C6B12.2000005@bgc-jena.mpg.de>
Message-ID: <4E7C7752.20707@ofd-z.niedersachsen.de>

Hallo,

Peer-Joachim Koch schrieb (23.09.2011 13:18 Uhr):

> ich habe noch folgendes getestet:
> 1) Inbox kann man mit telnet auf dem IMAP port
> mails öffnen und lesen. Auch in Sent Ordner
> 
> 2) Thunderbird zeigt mit (mit einem frischen Profil)
> einen Teil(!) der Ordner an, aber z.B. nichts aus der Inbox.
Was sagt cyradm dazu?
 > lm user.username.*

> Mit cyradm habe ich mir die Rechte von allen Ordnern der Mailbox
> angesehen und alles auf Standard gesetzt (bei einigen fehlte cyrus,
> ein Ordner war ganz ohne Zugriffsrechte).
Eh, was?
Keine Ahnung was OX jetzt für Speziallanforderungen hat, aber _normal_ 
ist, wenn in IMAPd nur der Besitzer Rechte auf die Mailbox hat:
 > lam user.username
username lrswipkxtecda

Wenn "cyrus" der Admin-User ist, dann hat der da keine Rechte, außer 
wenn man administrativ die Mailbox löschen will, muss man cyrus dafür 
Rechte erteilen.

> Am 23.09.2011 10:42, schrieb Dr.Peer-Joachim Koch:

>> Mit cyradm habe ich gesehen, das einige Ordner NUR NOCH den Nutzer
>> als Berechtigten gelistet haben (lam user.mailbox).
s.o.

>> Ich vermute im Moment, das hier der Hase im Peffer schwimmt.
s.o.

>> a) Gibt es eine Möglichkeit die Rechte in einer Mailbox rekursiv zu
>> setzen ?
Klar (Wildcard):
 > sam user.username* username rechte

>> also "sam -r user.mailbox cyrus lrswipcda
macht nichts rekursiv, das oben schon.

>> b) Wie kann man cyrus in debug mode versetzen ?
>> Habe ich bisher noch nie gebraucht ....
Stichwort "telemetry logging": 
http://wiki.kolab.org/index.php/Cyrus_imap_telemetry_logging


Marc


From driessen at fblan.de  Fri Sep 23 14:22:07 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 14:22:07 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923105948.GA94231@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
Message-ID: <001401cc79eb$6985e5c0$0565a8c0@uwe>

On Behalf Of Robert Felber
> Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> Die Mail enthaelt Wahrheiten als auch Verantwortungsverlagerungsversuche.
> 
> 1. Sie haben voellig recht, dass die Telekom einen Grossteil infizierter
> Kundensysteme hat.

Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen Web's
benutzt muß damit rechnen die Konsequenz zu tragen.

> 
> Dadurch werden nicht nur T-Online-Mailsysteme mit dem Spamversand
> belastet, sondern auch
> GMX, Gmail, etc. Auch diese landen regelmaessig auf den Listen.

Und das ja wohl auch zurecht. 

> 
> 
> 2. Sie haben recht, dass, wenn jemand ohne Nachzudenken RBLs zum harten
> Blocken einsetzt,
> eben gedankenlos ist.

Oder eben auch fast die einzige Möglichkeit in sehr gutem Deutsch
geschriebene Phishing mails an eigene Kunden zu verhindern.

2 Stück erwischt aus dem telekom Netz und "nur" ein scoring von knapp über
3. so was geht dann einfach durch.
Kunden sind Menschen und Menschen machen Fehler und klicken auch des Öfteren
gedankenlos die Links an und schon habe ich den scheis in meiner eigenen
Infrastruktur. 

Bis das ein Kunde das dann an mich meldet ist das Kind evtl. auch schon in
den Brunnen gefallen. Da verlasse ich mich lieber auf die Frühwarnsysteme
(was leider auch kein 100% Schutz ist) denn kommen solche Mails von großen
Providern schlagen schon mal 50% der Regeln grundsätzlich nicht mehr an.


> 
> 
> 3. Sie haben erkannt, dass sie mit dem Listing auf mehreren RBLs ziemlich
> die A-Karte
> gezogen haben, weil sie damit auch von Scoring-System erfasst werden.
> (selbiges ist
> auch schon gmail, etc passiert).
> 
> 4. Wie die Mail ausdrueckt, wurden Masznahmen gestattet, die sonst nicht
> gestattet worden
> waehren, leider erfaehrt man nicht, welcher Art. Will sagen: "die da oben"
> haben das
> Problem/den Druck erkannt.

Aber leider scheinbar noch nicht die Tragweite die Sie sich mit der 20-30
Jahren alten Policy alles anzunehmen einhandeln.
Wer schon mal ein T-Online Konto hatte weiß wovon ich spreche. 99,9%
ungewollte Mails, aus Dialin, von bekannt Botnetzen usw. usw.  
Wer so lasch mit der Sicherheit der eigenen Kunden umgeht....

> 
> 5. Was sie nicht erkannt haben: auch eine fremdbestimmte Whitelist sollte
> nicht als
> alleiniges "OK"-Kriterium gelten. In vielen Scoring-Systemen gibt es diese
> DNSWL.
> 
> Prinzipiell lese ich den Tenor der Mail eher den Frust auf jene, die
> gedankenlos blocken.
> Was bei euch ja hier nicht der Fall ist. Von daher wuerde ich mich da
> garnicht
> adressiert fuehlen.

Da darf man gerne geteilter Meinung sein aber steht ein System auf einer der
besseren Blacklists dann hat das schon einen Grund und sollte den Betreiber
zum Nachdenken anhalten.
Das Spamhaus nachträglich von einem versehen spricht das die dort drauf
gelandet sind ist eher eine Politische Aussage. Ich glaube es war schon
richtig das die dort eingetragen wurden und nur die pure Marktmacht hat die
Telekom dort wieder ausgelöst.(auch das ärgert jeder kleine muß erstmal
schauen das er sein Netz sauber bekommt)
 
> 
> Und das ist, aus meiner Sicht, fuer jemanden wie die Telekom, eine enorme
> Aufgabe, da sie
> in der Tat massiv im Fokus Krimineller sind. Aus der Sicht eines kleineren
> ISP, der
> nicht mit permantenten, gezielten und forschenden Attacken auf die
> Infrastruktur zu
> rechnen, scheint das alles easy zu sein.

Sorry großer Provider, viele Leute, große Verantwortung, entsprechend
Manpower.

Wer hat denn die Phishing mails an die eigenen Kunden zugestellt?  
Wer da sehenden Auges und wissend um die Gefahr keine Frühwarnsysteme
hat.... 

> 
> Statt der Telekom Inkompetenz zu unterstellen, waere es sinnvoll, auf
> explizite,
> belastbare Alternativen hinzuweisen. Auth im internen Netz, und SA/AV im
> internen Netz
> reichen dazu NICHT aus.

Hier spricht niemand von der Inkompetenz der Admins da hat die telekom
sicherlich mehr wie genug Gute. Man Ärgert sich über die Politik, die Policy
die seit 20 Jahren gefahren wird und über das Marketing das die
Verantwortung auf andere abwälzen möchte. Das man mal auf einer Blacklist
mit einem Server drauf steht  gut kann passieren, das die immer wieder drauf
stehen und das schon jahrelang ohne das ein Politisches Umdenken erfolgt ist
nicht nachvollziehbar (und das ärgert wohl am meisten). 
Was jetzt gemacht wird ist eher ein Herumdoktern an den Symptonen wie ein
wirklich neues festlegen von Regeln. "wurden Maßnahmen gestattet die sonst
nicht..." das hört sich eher nach Flickschusterei an. Da kleben wir dann
halt mal hier und da ein Pflästerchen drauf.


Spamer und Kriminelle freuen sich über solche Provider die nur reagieren
statt agieren und Ihr Ohr am Puls der Zeit haben.  


Die Feststellung das solche großen Provider eher noch  einen und noch einen
Server daneben stellen um die Mails anzunehmen weil die anderen bisherigen
das nicht mehr schaffen und nicht wie man das seit 10 Jahren machen muß auch
mal nachschaut wer da was wo und wie einliefert erzeugt bei mir
Kopfschütteln.

Mein T-Online Konto gibt es immer noch und wenn es niemand löscht dann wird
dort auch fleißig weiter gesammelt. Nur abgerufen wird es schon nicht mehr
seit 2 Jahren weil nicht mehr zu benutzen.  


Aber nein ich muß mich bei der Telekom bedanken denn Sie sorgt regelmäßig
mit dafür das ich User-PC gegen cash wieder in Ordnung bringen darf. 
Ist das Wirtschaftswachstum zu schwach starten wir mal kurz ein Phishing
Mail Aktion.


Regeln sind für alle da und das Thema der ist aber ein bisschen gleicher wie
alle anderen und der darf sich das erlauben finde ich nicht gut.
Wird eine Oma auf der Straße angefahren dann darf es keine Rolle spielen wer
das gemacht hat, die Strafe ist unabhängig vom Ansehen und
Gesellschaftlicher Stellung auszusprechen.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From pkoch at bgc-jena.mpg.de  Fri Sep 23 14:34:59 2011
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Fri, 23 Sep 2011 14:34:59 +0200
Subject: [Postfixbuch-users] Frage zu cyrus/imap
In-Reply-To: <4E7C7752.20707@ofd-z.niedersachsen.de>
References: <4E7C468E.1040107@bgc-jena.mpg.de>
	<4E7C6B12.2000005@bgc-jena.mpg.de>
	<4E7C7752.20707@ofd-z.niedersachsen.de>
Message-ID: <4E7C7CF3.70004@bgc-jena.mpg.de>

Hallo,

Am 23.09.2011 14:10, schrieb Marc Patermann:
> Hallo,
>
> Peer-Joachim Koch schrieb (23.09.2011 13:18 Uhr):
>
>> ich habe noch folgendes getestet:
>> 1) Inbox kann man mit telnet auf dem IMAP port
>> mails öffnen und lesen. Auch in Sent Ordner
>>
>> 2) Thunderbird zeigt mit (mit einem frischen Profil)
>> einen Teil(!) der Ordner an, aber z.B. nichts aus der Inbox.
> Was sagt cyradm dazu?
>  > lm user.username.*
liste alle Mailboxes ! Das sieht alles normal aus.
>
>> Mit cyradm habe ich mir die Rechte von allen Ordnern der Mailbox
>> angesehen und alles auf Standard gesetzt (bei einigen fehlte cyrus,
>> ein Ordner war ganz ohne Zugriffsrechte).
> Eh, was?

  lam user.Name.Mailbox


nichts
> Keine Ahnung was OX jetzt für Speziallanforderungen hat, aber _normal_
> ist, wenn in IMAPd nur der Besitzer Rechte auf die Mailbox hat:
>  > lam user.username
> username lrswipkxtecda
>
> Wenn "cyrus" der Admin-User ist, dann hat der da keine Rechte, außer
> wenn man administrativ die Mailbox löschen will, muss man cyrus dafür
> Rechte erteilen.
Also defautlmässig legt er hier mit cyrus als Admin neue Mailboxen an
(cm user.Blah.neu)
Blah lr....
cyrus lr...
>
>> Am 23.09.2011 10:42, schrieb Dr.Peer-Joachim Koch:
>
>>> Mit cyradm habe ich gesehen, das einige Ordner NUR NOCH den Nutzer
>>> als Berechtigten gelistet haben (lam user.mailbox).
> s.o.
Ich habe mich einfach an anderen Nutzern orientiert.
>
>>> Ich vermute im Moment, das hier der Hase im Peffer schwimmt.
> s.o.
>
>>> a) Gibt es eine Möglichkeit die Rechte in einer Mailbox rekursiv zu
>>> setzen ?
> Klar (Wildcard):
>  > sam user.username* username rechte
OK - danke.
>
>>> also "sam -r user.mailbox cyrus lrswipcda
> macht nichts rekursiv, das oben schon.
War auch nur als "Beispiel" gedacht
>
>>> b) Wie kann man cyrus in debug mode versetzen ?
>>> Habe ich bisher noch nie gebraucht ....
> Stichwort "telemetry logging":
> http://wiki.kolab.org/index.php/Cyrus_imap_telemetry_logging
So etwas habe ich gesucht!
>
>
> Marc


-- 
Vielen Dank und schönes WE,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 291 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110923/15902312/attachment.vcf>

From r.felber at ek-muc.de  Fri Sep 23 15:31:10 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 15:31:10 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <001401cc79eb$6985e5c0$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
Message-ID: <20110923133110.GA94621@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> On Behalf Of Robert Felber
> > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > Die Mail enthaelt Wahrheiten als auch Verantwortungsverlagerungsversuche.
> > 
> > 1. Sie haben voellig recht, dass die Telekom einen Grossteil infizierter
> > Kundensysteme hat.
> 
> Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen Web's
> benutzt muß damit rechnen die Konsequenz zu tragen.

Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen Dialin-Kunden,
und - mit verlaub - es werden die Konten gesperrt.
Du verlangst also etwas, was schon Praxis ist.


Ich will die Telekom nicht in Schutz nehmen, aber uninformiertes Rumpoltern, 
Unterstellungen ohne Recherche, das bringt auch keinen weiter.



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From Ralf.Hildebrandt at charite.de  Fri Sep 23 15:42:16 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 23 Sep 2011 15:42:16 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923133110.GA94621@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
Message-ID: <20110923134216.GJ4195@charite.de>

* Robert Felber <r.felber at ek-muc.de>:

> Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen Dialin-Kunden,
> und - mit verlaub - es werden die Konten gesperrt.

Werden sie?

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From timo.schoeler at riscworks.net  Fri Sep 23 15:48:54 2011
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Fri, 23 Sep 2011 15:48:54 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923134216.GJ4195@charite.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>	<20110923105948.GA94231@rz.ek-muc.de>	<001401cc79eb$6985e5c0$0565a8c0@uwe>	<20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de>
Message-ID: <4E7C8E46.7070103@riscworks.net>

thus Ralf Hildebrandt spake:
> * Robert Felber <r.felber at ek-muc.de>:
> 
>> Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen Dialin-Kunden,
>> und - mit verlaub - es werden die Konten gesperrt.
> 
> Werden sie?

Ich wundere mich noch viel mehr darüber, dass sie anscheinend für das
emittieren ihrer Mails in die grosse weite Welt für die (anscheinend
höchst verdächtigen) CGI-Scripts auf Seiten der Kegelvereine dieses
Planeten die gleichen Maschinen (das gleiche /24) verwenden wie für
"höchst legitime" Firmenkunden.

Das finde ich... höchst amüsant.

Cheers,

Timo


From Ralf.Hildebrandt at charite.de  Fri Sep 23 16:01:22 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 23 Sep 2011 16:01:22 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7C8E46.7070103@riscworks.net>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de> <4E7C8E46.7070103@riscworks.net>
Message-ID: <20110923140122.GM4195@charite.de>

* Timo Schoeler <timo.schoeler at riscworks.net>:

> > Werden sie?
> 
> Ich wundere mich noch viel mehr darüber, dass sie anscheinend für das
> emittieren ihrer Mails in die grosse weite Welt für die (anscheinend
> höchst verdächtigen) CGI-Scripts auf Seiten der Kegelvereine dieses
> Planeten die gleichen Maschinen (das gleiche /24) verwenden wie für
> "höchst legitime" Firmenkunden.
> 
> Das finde ich... höchst amüsant.

Port 25 outgoing dichtmachen für Dialupnetze; alternativ Relayhost
anbieten.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From r.felber at ek-muc.de  Fri Sep 23 16:12:42 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 16:12:42 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923140122.GM4195@charite.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de> <4E7C8E46.7070103@riscworks.net>
	<20110923140122.GM4195@charite.de>
Message-ID: <20110923141242.GA94764@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 04:01:22PM +0200, Ralf Hildebrandt wrote:
> * Timo Schoeler <timo.schoeler at riscworks.net>:
> 
> > > Werden sie?
> > 
> > Ich wundere mich noch viel mehr darüber, dass sie anscheinend für das
> > emittieren ihrer Mails in die grosse weite Welt für die (anscheinend
> > höchst verdächtigen) CGI-Scripts auf Seiten der Kegelvereine dieses
> > Planeten die gleichen Maschinen (das gleiche /24) verwenden wie für
> > "höchst legitime" Firmenkunden.
> > 
> > Das finde ich... höchst amüsant.
> 
> Port 25 outgoing dichtmachen für Dialupnetze; alternativ Relayhost
> anbieten.

Wenn ich die T-Online/Google/Sonstwas Account-Daten kaper, dann nutze ich den Relayhost.
Das ist genau der Grund, warum "Die Grossen" mit ihren SMTP Servern auf den Listen
landen. Da landet ja kein Dialin-Netz auf der Liste.

Es geht hier also darum "wie halte ich meine Mailserver von infizierten oder 
gestohlenen-accountdaten interner Clients frei".

Und wie gesagt allein den SpamAssassin oder Clamav oder oder oder auf dem Relayhost
laufen zu lassen, reicht nicht. Von diesen Accounts kommen die frischen Viren/Phishings,
die kennt noch keine Sau.



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From r.felber at ek-muc.de  Fri Sep 23 16:03:58 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 16:03:58 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923134216.GJ4195@charite.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de>
Message-ID: <20110923140357.GA94696@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 03:42:16PM +0200, Ralf Hildebrandt wrote:
> * Robert Felber <r.felber at ek-muc.de>:
> 
> > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen Dialin-Kunden,
> > und - mit verlaub - es werden die Konten gesperrt.
> 
> Werden sie?

Ein google-query ergibt:

http://www.trojaner-board.de/56452-problem-mit-spam-und-t-online.html
http://meinews.niuz.biz/t-t429862.html?s=64c64c2aa252278ed7cb6e7b61a5b2b6&amp;
http://www.trojaner-board.de/38270-mailversandbeschraenken-durch-t-online-wegen-spammails.html

Ein offzielles Statement ersetzt das jetzt nicht, wuerde mich aber von der Behauptung
abhalten "die koennten ja die Accounts dicht machen".

Und hier wirds wieder knifflig, wenn keiner den Account reportet, koennen die
auch nix abschalten, dann laeufts logischerweise darauf hinaus, dass ihre SMTPs
gelistet werden. Vielleicht kann man dem Abuse-Desk Faulheit/Ignoranz unterstellen,
damit habe ich aber wiederrum keine Erfahrung. Dazu stoert die Telekom zu wenig.




-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From driessen at fblan.de  Fri Sep 23 16:16:32 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 16:16:32 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923134216.GJ4195@charite.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de>
Message-ID: <002401cc79fb$6510be10$0565a8c0@uwe>

On Behalf Of Ralf Hildebrandt
> 
> * Robert Felber <r.felber at ek-muc.de>:
> 
> > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> Dialin-Kunden,
> > und - mit verlaub - es werden die Konten gesperrt.
> 
> Werden sie?
> 

Wie werden die etwa nicht? *lachwech


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From bjoern.meier at googlemail.com  Fri Sep 23 16:20:38 2011
From: bjoern.meier at googlemail.com (Bjoern Meier)
Date: Fri, 23 Sep 2011 16:20:38 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923140122.GM4195@charite.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de> <4E7C8E46.7070103@riscworks.net>
	<20110923140122.GM4195@charite.de>
Message-ID: <4E7C95B6.8010701@googlemail.com>

hi,

Am 23.09.2011 16:01, schrieb Ralf Hildebrandt:
> Port 25 outgoing dichtmachen für Dialupnetze; alternativ Relayhost
> anbieten.

Jetzt biete bloß nichts an, was funktionieren könnt. Damit würdest du 
einen kompletten Industrie inkl. Arbeitsplätze vernichten und die User 
müssten sich wahrscheinlich noch selbst drum kümmern, ob ihre Mail 
ankam. Also bitte. ;)

Gruß,
Björn




From driessen at fblan.de  Fri Sep 23 16:29:50 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 16:29:50 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923133110.GA94621@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
Message-ID: <002501cc79fd$412f56d0$0565a8c0@uwe>

On Behalf Of Robert Felber
> On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> > On Behalf Of Robert Felber
> > > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > > Die Mail enthaelt Wahrheiten als auch
> Verantwortungsverlagerungsversuche.
> > >
> > > 1. Sie haben voellig recht, dass die Telekom einen Grossteil
> infizierter
> > > Kundensysteme hat.
> >
> > Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen Web's
> > benutzt muß damit rechnen die Konsequenz zu tragen.
> 
> Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> Dialin-Kunden,
> und - mit verlaub - es werden die Konten gesperrt.
> Du verlangst also etwas, was schon Praxis ist.

Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch überhaupt
nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern der
Telekom/T-online.

Ich sehe zumindest mal was bei mir ankommt und das sieht nicht nach DIAL IN
aus sondern nach den HP homepage.t-online.de Servern aus.

So was in der Art wie TaywelCC54 at wd40tbaje.homepage.t-online.de schlägt hier
auf(sorry war aufgeschlagen nun nicht mehr).
Böses Phishing so was darf einfach nicht raus über offizielle Server
("normaler" Spam würde mich nicht sonderlich kratzen wenn da mal einer so
durchschlüpft)
Selbst so was kann man mit einigermaßen Scriptkenntnissen wechfiltern.

Spammails sind das kleinste Problem da hat man einfach ein gewisses
Grundrauschen im Äther drin. Phishing, Viren und Trojaner Mails aber sollten
mal bitte beim Absender bleiben.


Die Dialin kommen gar nicht bis zum SMTP die bleiben schon in Postscreen
hängen und wer es dennoch schafft (schon lange keine mehr gesehen) der
bleibt in/an der/den  Regex Regeln hängen.


> 
> 
> Ich will die Telekom nicht in Schutz nehmen, aber uninformiertes
> Rumpoltern,
> Unterstellungen ohne Recherche, das bringt auch keinen weiter.

Sorry ich schau mir das ganze schon ein paar Tage an und hatte auch schon
Kundenkontakte wegen der Problematik und musste auch schon so eine (in
meinen Augen unverschämte Mail) mir durchlesen und dem Kunden eben auch
erklären warum und wieso diese Mails zur Zeit nicht angenommen werden.

Und wo ist das denn bitte rumpoltern?
Ich habe ein paar Fragen gestellt und ich habe meine Schlüsse gezogen denn A
zieht B hinterher und da hat jemand seine Hausaufgaben nicht gemacht.

Und an dem KÖNNEN der telekom Admins habe ich zurzeit noch keinen Zweifel!!



> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From Hullen at t-online.de  Fri Sep 23 16:27:00 2011
From: Hullen at t-online.de (Helmut Hullen)
Date: 23 Sep 2011 16:27:00 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923141242.GA94764@rz.ek-muc.de>
Message-ID: <BuRbG2fT1uB@helmut.hullen.de>

Hallo, Robert,

Du meintest am 23.09.11:

> Es geht hier also darum "wie halte ich meine Mailserver von
> infizierten oder gestohlenen-accountdaten interner Clients frei".

> Und wie gesagt allein den SpamAssassin oder Clamav oder oder oder auf
> dem Relayhost laufen zu lassen, reicht nicht. Von diesen Accounts
> kommen die frischen Viren/Phishings, die kennt noch keine Sau.

Ja, leider.

Habe ich in den letzten Monaten mehrfach getestet. Wenn ich mal wieder  
einen Virus per E-Mail bekam, habe ich ihn an "jotti.org" verfüttert.  
Der war dann meistens (so die Informationen aus dem Header) etwa 4  
Stunden alt.

Dann pflegte "jotti.org" zu melden, dass etwa 10 der 20 Scanner die  
Datei als Virus erkannten. Nach weiteren etwa 12 Stunden erkannten etwa  
15 der 20 Scanner die Datei als Virus. Das bedeutet, dass ein Online- 
Mailscanner mit (zu) grosser Wahrscheinlichkeit viel nagelneues  
Dreckszeugs durchlässt. Egal von welchem AV-Lieferanten.

Am Rande: mein lokaler Filter hatte den Dreck jeweils aussortiert, oft  
hatte auch T-Online ihn mit "Virus-Verdacht" markiert.

Viele Gruesse!
Helmut


From Hullen at t-online.de  Fri Sep 23 16:29:00 2011
From: Hullen at t-online.de (Helmut Hullen)
Date: 23 Sep 2011 16:29:00 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923134216.GJ4195@charite.de>
Message-ID: <BuRbGKhi1uB@helmut.hullen.de>

Hallo, Ralf,

Du meintest am 23.09.11:

>> Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
>> Dialin-Kunden, und - mit verlaub - es werden die Konten gesperrt.

> Werden sie?

Ja.

Ab und zu bekomme ich das so nebenbei von Schulen mit, bei denen z.B.  
"Conficker" oder ähnliches Dreckszeugs mitläuft.

Anscheinend übliches Verfahren:
ab einer bestimmten Menge von E-Mail vom befallenen Rechner wird der  
Account gesperrt (anscheinend wird nur das weitere Senden/Einwerfen bei  
T-Online gesperrt), und der Kunde wird per E-Mail benachrichtigt.

Anscheinend wird die Sperre erst mal am nächsten Morgen wieder  
aufgehoben, auf Verdacht. Wenn das Problem weiter besteht, dann wird  
solange gesperrt, bis der Kunde mitteilt, "ich habe geputzt".

Wenn das Putzen keinen Erfolg hatte: goto 10

Viele Gruesse!
Helmut


From r.felber at ek-muc.de  Fri Sep 23 16:42:27 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 16:42:27 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <002501cc79fd$412f56d0$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
Message-ID: <20110923144227.GA94824@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 04:29:50PM +0200, Driessen wrote:
> On Behalf Of Robert Felber
> > On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> > > On Behalf Of Robert Felber
> > > > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > > > Die Mail enthaelt Wahrheiten als auch
> > Verantwortungsverlagerungsversuche.
> > > >
> > > > 1. Sie haben voellig recht, dass die Telekom einen Grossteil
> > infizierter
> > > > Kundensysteme hat.
> > >
> > > Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen Web's
> > > benutzt muß damit rechnen die Konsequenz zu tragen.
> > 
> > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> > Dialin-Kunden,
> > und - mit verlaub - es werden die Konten gesperrt.
> > Du verlangst also etwas, was schon Praxis ist.
> 
> Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch überhaupt
> nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern der
> Telekom/T-online.

Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die Mail
submissionieren bzw authentifiziert bei den T-online/Whatever-relays reinkippen.

Ich moechte dich sehen, wie du

a) ohne rechtliche Grundlage die Mails deiner Kunden scannst
und
b) deine Mailrelays trotz Scanner vor brandneue Malware, die ueber deine
SMTPs rausgeht, schuetzen willst




-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From Ralf.Hildebrandt at charite.de  Fri Sep 23 16:45:20 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 23 Sep 2011 16:45:20 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923141242.GA94764@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<20110923134216.GJ4195@charite.de> <4E7C8E46.7070103@riscworks.net>
	<20110923140122.GM4195@charite.de>
	<20110923141242.GA94764@rz.ek-muc.de>
Message-ID: <20110923144520.GN4195@charite.de>

* Robert Felber <r.felber at ek-muc.de>:

> Es geht hier also darum "wie halte ich meine Mailserver von infizierten oder 
> gestohlenen-accountdaten interner Clients frei".

Eigentlich müsste man auf dem Relay alle ausgehende Mail scannen.

> Und wie gesagt allein den SpamAssassin oder Clamav oder oder oder auf dem Relayhost
> laufen zu lassen, reicht nicht. Von diesen Accounts kommen die frischen Viren/Phishings,
> die kennt noch keine Sau.
Ja, guter Einwand.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From r.felber at ek-muc.de  Fri Sep 23 16:46:44 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 16:46:44 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923144227.GA94824@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
Message-ID: <20110923144644.GA94882@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 04:42:27PM +0200, Robert Felber wrote:
> On Fri, Sep 23, 2011 at 04:29:50PM +0200, Driessen wrote:
> > On Behalf Of Robert Felber
> > > On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> > > > On Behalf Of Robert Felber
> > > > > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > > > > Die Mail enthaelt Wahrheiten als auch
> > > Verantwortungsverlagerungsversuche.
> > > > >
> > > > > 1. Sie haben voellig recht, dass die Telekom einen Grossteil
> > > infizierter
> > > > > Kundensysteme hat.
> > > >
> > > > Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen Web's
> > > > benutzt muß damit rechnen die Konsequenz zu tragen.
> > > 
> > > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> > > Dialin-Kunden,
> > > und - mit verlaub - es werden die Konten gesperrt.
> > > Du verlangst also etwas, was schon Praxis ist.
> > 
> > Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch überhaupt
> > nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern der
> > Telekom/T-online.
> 
> Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die Mail
> submissionieren bzw authentifiziert bei den T-online/Whatever-relays reinkippen.

Ok, und ja, wir reden AUCH von hosting-Kunden, aber nicht nur. Spielt aber auch
keine Rolle, es bleibt das gleiche Massenproblem.

Selbst wenn man getrennte Netze fuer Dial-In-Relays und Hosting-Relays nehmen wuerde,
die waeren genauso irgendwann "wieder mal" auf den Listen.

Kurz: AUTH-Mail ist keine Versicherungen gegen Spam mehr (schon lange nicht mehr).


-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From driessen at fblan.de  Fri Sep 23 16:58:47 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 16:58:47 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923144227.GA94824@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
Message-ID: <002c01cc7a01$4c3f6200$0565a8c0@uwe>

On Behalf Of Robert Felber
> On Fri, Sep 23, 2011 at 04:29:50PM +0200, Driessen wrote:
> > On Behalf Of Robert Felber
> > > On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> > > > On Behalf Of Robert Felber
> > > > > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > > > > Die Mail enthaelt Wahrheiten als auch
> > > Verantwortungsverlagerungsversuche.
> > > > >
> > > > > 1. Sie haben voellig recht, dass die Telekom einen Grossteil
> > > infizierter
> > > > > Kundensysteme hat.
> > > >
> > > > Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen
> Web's
> > > > benutzt muß damit rechnen die Konsequenz zu tragen.
> > >
> > > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> > > Dialin-Kunden,
> > > und - mit verlaub - es werden die Konten gesperrt.
> > > Du verlangst also etwas, was schon Praxis ist.
> >
> > Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch
> überhaupt
> > nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern
> der
> > Telekom/T-online.
> 
> Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die
> Mail

Tja wie kam der Hacker/der Kriminelle an die Daten? Wie wurde der Kunde dazu
verführt auf einer "nicht" T-Online HP seine Daten einzugeben?
Wer hat diese Mail dem Kunden zugestellt?

> submissionieren bzw authentifiziert bei den T-online/Whatever-relays
> reinkippen.

Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen HP)
kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über seinen
acount ein? 
Also wird auch das gleichzeitige einliefern auf ein in der Regel
ausreichendes Maß reglementiert.




> 
> Ich moechte dich sehen, wie du
> 
> a) ohne rechtliche Grundlage die Mails deiner Kunden scannst
> und

Wer spricht denn hier von "KEINER" rechtlichen Grundlage? Wer bei mir ein
Konto hat kennt die Sicherheitsvorkehrungen die auch zu seinem Schutz
getroffen wurden.


> b) deine Mailrelays trotz Scanner vor brandneue Malware, die ueber deine
> SMTPs rausgeht, schuetzen willst

In dem die Frühwarnsysteme anschlagen bzw. die Restriktionen greifen und es
für einen gewissen Zeitraum verhindert wird das Mails von einer bestimmten
auffälligen IP eingekippt werden.

Ausführbare Dateien und solche die Schadware enthalten könnten werden
grundsätzlich nicht transportiert. Die gehen sofort zurück. (mail war nie
dafür konzipiert). 

Ich kann es nicht bis aufs letzte verhindern aber ich kann es soweit
verzögern das ich das merke bevor mein Kunde das merkt.

Es verlangt niemand von T das die alles verhindern können aber sie können es
eingrenzen und mindern. 
Bis das T auf den großen RBL's landet muß schon so einiges passieren. 


Und bitte es ist nicht meine Sache der Telekom vorzuschreiben wie sie es
machen müssen aber wenn es eben einen gewissen Schwellenwert erreicht oder
aber diese auf den RBL's landen dann ist die Gefahr sich etwas von dem Mist
einzufangen einfach zu groß und dann sage ich zumindest wird zu dem
Zeitpunkt nicht angenommen.

Das zu lösen soll sich T den Kopf zerbrechen. 
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From driessen at fblan.de  Fri Sep 23 17:09:25 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 17:09:25 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923144644.GA94882@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de>
	<20110923144644.GA94882@rz.ek-muc.de>
Message-ID: <002d01cc7a02$c8d07650$0565a8c0@uwe>

On Behalf Of Robert Felber
> 
> On Fri, Sep 23, 2011 at 04:42:27PM +0200, Robert Felber wrote:
> > On Fri, Sep 23, 2011 at 04:29:50PM +0200, Driessen wrote:
> > > On Behalf Of Robert Felber
> > > > On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> > > > > On Behalf Of Robert Felber
> > > > > > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > > > > > Die Mail enthaelt Wahrheiten als auch
> > > > Verantwortungsverlagerungsversuche.
> > > > > >
> > > > > > 1. Sie haben voellig recht, dass die Telekom einen Grossteil
> > > > infizierter
> > > > > > Kundensysteme hat.
> > > > >
> > > > > Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen
> Web's
> > > > > benutzt muß damit rechnen die Konsequenz zu tragen.
> > > >
> > > > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> > > > Dialin-Kunden,
> > > > und - mit verlaub - es werden die Konten gesperrt.
> > > > Du verlangst also etwas, was schon Praxis ist.
> > >
> > > Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch
> überhaupt
> > > nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern
> der
> > > Telekom/T-online.
> >
> > Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die
> Mail
> > submissionieren bzw authentifiziert bei den T-online/Whatever-relays
> reinkippen.
> 
> Ok, und ja, wir reden AUCH von hosting-Kunden, aber nicht nur. Spielt aber
> auch
> keine Rolle, es bleibt das gleiche Massenproblem.

Es ist egal wie groß die Masse ist, bin ich großer Provider habe ich eine
größere Verantwortung meinen Kunden und auch allen anderen beteiligten
gegenüber.
Und Sicherlich ist es immer eine Gradwanderung zwischen dem was Kunden
akzeptieren und dem was nicht mehr akzeptiert wird.

Ich für meinen Teil lasse gerne jeden Kunden ziehen der keine Sicherheit
möchte. Derjenige der die Regeln akzeptiert hat kommt gut damit klar und hat
ein paar % mehr Sicherheit für seine Firma.
Die die am lautesten Schreien von Zensur und was das soll haben das Thema
nicht verstanden und achten dem entsprechend auch nicht auf die eigene
Sicherheit.
Das sind die die behaupten "Ich hab ne Firewall und ich hab nen Virenscanner
das reicht und ich bin SICHER!!"

Und es ist noch lange nicht zu ende das Thema wird wieder schlimmer werden.
Da machen sich wieder neue Bonetze fürs Weihnachtsgeschäft bereit.


> 
> Selbst wenn man getrennte Netze fuer Dial-In-Relays und Hosting-Relays
> nehmen wuerde,
> die waeren genauso irgendwann "wieder mal" auf den Listen.
> 
> Kurz: AUTH-Mail ist keine Versicherungen gegen Spam mehr (schon lange
> nicht mehr).

Dieser Spam (kleinstes Problem) ist nicht DAS Problem das zurzeit von T
ausgeht. 

> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From r.felber at ek-muc.de  Fri Sep 23 17:11:57 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 17:11:57 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <002c01cc7a01$4c3f6200$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
Message-ID: <20110923151156.GA94954@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 04:58:47PM +0200, Driessen wrote:
> On Behalf Of Robert Felber
> > On Fri, Sep 23, 2011 at 04:29:50PM +0200, Driessen wrote:
> > > On Behalf Of Robert Felber
> > > > On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
> > > > > On Behalf Of Robert Felber
> > > > > > Ich glaube, man sollte die Mail mit etwas Abstand lesen.
> > > > > > Die Mail enthaelt Wahrheiten als auch
> > > > Verantwortungsverlagerungsversuche.
> > > > > >
> > > > > > 1. Sie haben voellig recht, dass die Telekom einen Grossteil
> > > > infizierter
> > > > > > Kundensysteme hat.
> > > > >
> > > > > Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen
> > Web's
> > > > > benutzt muß damit rechnen die Konsequenz zu tragen.
> > > >
> > > > Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
> > > > Dialin-Kunden,
> > > > und - mit verlaub - es werden die Konten gesperrt.
> > > > Du verlangst also etwas, was schon Praxis ist.
> > >
> > > Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch
> > überhaupt
> > > nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern
> > der
> > > Telekom/T-online.
> > 
> > Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die
> > Mail
> 
> Tja wie kam der Hacker/der Kriminelle an die Daten? Wie wurde der Kunde dazu
> verführt auf einer "nicht" T-Online HP seine Daten einzugeben?
> Wer hat diese Mail dem Kunden zugestellt?
> 
> > submissionieren bzw authentifiziert bei den T-online/Whatever-relays
> > reinkippen.
> 
> Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen HP)
> kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über seinen
> acount ein? 
> Also wird auch das gleichzeitige einliefern auf ein in der Regel
> ausreichendes Maß reglementiert.
> 
> 
> 
> 
> > 
> > Ich moechte dich sehen, wie du
> > 
> > a) ohne rechtliche Grundlage die Mails deiner Kunden scannst
> > und
> 
> Wer spricht denn hier von "KEINER" rechtlichen Grundlage? Wer bei mir ein
> Konto hat kennt die Sicherheitsvorkehrungen die auch zu seinem Schutz
> getroffen wurden.


Ja, aber, du meinst im Ernst, du darfst einfach so die ausgehenden Mails
deiner Kunden scannen? Nee nee, das geht wenn ueberhaupt nur mit ausdruecklichster
Erlaubnis des Kunden. AGBs duerften dazu nicht ausreichen. Ich bin aber kein
Anwalt.

Mehr dazu hier:
http://www.eco.de/dokumente/Gutachten_Provider_gegen_Spam2007_Final.pdf

Seiten 36ff sind sehr interessant.
Ich werde in diesem Punkt sehr gern korrigiert.

> 
> > b) deine Mailrelays trotz Scanner vor brandneue Malware, die ueber deine
> > SMTPs rausgeht, schuetzen willst
> 
> In dem die Frühwarnsysteme anschlagen bzw. die Restriktionen greifen und es
> für einen gewissen Zeitraum verhindert wird das Mails von einer bestimmten
> auffälligen IP eingekippt werden.

Wird gemacht (und das schon in entspr. rechtlichen Grauzonen). Die brauchen echt
am besten Hinweise von aussen!

> 
> Ausführbare Dateien und solche die Schadware enthalten könnten werden
> grundsätzlich nicht transportiert. Die gehen sofort zurück. (mail war nie
> dafür konzipiert). 

Eh, wie bitte? Das geht, wenn du ein Unternehmen hast, und deine MAs beschraenken
willst. Ja. Als ESP, nein.


> Ich kann es nicht bis aufs letzte verhindern aber ich kann es soweit
> verzögern das ich das merke bevor mein Kunde das merkt.
> 
> Es verlangt niemand von T das die alles verhindern können aber sie können es
> eingrenzen und mindern.

Machen sie. Du kennst aber Skaleneffekte bzw Grenzprodukte? Bei 100 Kunden kraeht kein
Hahn. Bei 1000 Kunden - immernoch nicht. Wir kommen hier in Millionen.
Da ist das alles nicht mehr ganz so erschoepfend mit den Masznahmen. Sieht man ja
auch wunderbar daran, dass es so clevere Leute wie google erwischt.


> Bis das T auf den großen RBL's landet muß schon so einiges passieren. 
> 
> 
> Und bitte es ist nicht meine Sache der Telekom vorzuschreiben wie sie es
> machen müssen aber wenn es eben einen gewissen Schwellenwert erreicht oder
> aber diese auf den RBL's landen dann ist die Gefahr sich etwas von dem Mist
> einzufangen einfach zu groß und dann sage ich zumindest wird zu dem
> Zeitpunkt nicht angenommen.

Richtig. Dagegen hat die T sicher auch nix, warum sollte sie auch, wer waere sie denn,
dir vorzuschreiben, was du zu untrlassen oder zu machen hast (das lassen sie auch
in der Mitteilung durchblicken). Wie ich eingangs erwaehnte, gehe ich 
davon aus, dass sie sich ueber die gedankenlosen default-blocker beschweren.



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From leo at leo-unglaub.net  Fri Sep 23 17:12:00 2011
From: leo at leo-unglaub.net (Leo Unglaub)
Date: Fri, 23 Sep 2011 17:12:00 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923105948.GA94231@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
Message-ID: <4E7CA1C0.3050909@leo-unglaub.net>

Hallo !

Am 2011-09-23 12:59, schrieb Robert Felber:
> Und das ist, aus meiner Sicht, fuer jemanden wie die Telekom, eine enorme Aufgabe, da sie
> in der Tat massiv im Fokus Krimineller sind. Aus der Sicht eines kleineren ISP, der
> nicht mit permantenten, gezielten und forschenden Attacken auf die Infrastruktur zu 
> rechnen, scheint das alles easy zu sein.
>
> Statt der Telekom Inkompetenz zu unterstellen, waere es sinnvoll, auf explizite,
> belastbare Alternativen hinzuweisen. Auth im internen Netz, und SA/AV im internen Netz
> reichen dazu NICHT aus.
Die Telekom hat hat da keine größere Aufgabe als Peer, Uwe, oder all die
anderen Postmaster hier auf der Mailingliste oder einfach so im
Internet. Der einzige Unterschied ist, dass die Telekom mit einer
"größeren Menge" konfrontiert ist. Jedoch ändert das absolut nichts an
der Ausgangssituation und der Aufgabenstellung. Das Problem bei der
Telekom ist schlicht und einfach, dass die falschen Leute das sagen
haben. "Never touch a running system" steht bei der Chef Etage der
Telekom groß an die Tür geschrieben. Dabei wären auch die Probleme der
Telekom releativ einfach zu lösen.

Ich weiß nicht wie du deine Systeme konfigurierst, aber die
Standard-Funktionen zur Spam Bekämpfung sind bei meinen System immer
gleich. Egal ob ich 500 Mails am Tag erwarte oder ob es 5 Millionen
sind. (Damit wir uns nicht falsch verstehen, natürlich ist die
Konfiguration nicht 100% identisch, bei großer Last mache ich Load
Balancing, ... aber der Aufbau ist immer der gleiche)

Der Telekom ist es schlicht und einfach gesagt komplett egal was da
passiert. Typisch alter Staatsbetrieb halt. Deshalb haben die auch kein
geziehltes Whitelistung verdient. Niemand hat das.
Viele Grüße
Leo

-- 
Leo Unglaub
Deutenhofenstraße 7
A-9020 Klagenfurt
Austria

Telefon: 0650 / 6575103
Webseite: http://www.leo-unglaub.net
Twitter: http://twitter.com/LeoUnglaub

Gesendet mit Thunderbird / Linux (Ubuntu)



From r.felber at ek-muc.de  Fri Sep 23 17:13:53 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 17:13:53 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <002d01cc7a02$c8d07650$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<20110923144644.GA94882@rz.ek-muc.de>
	<002d01cc7a02$c8d07650$0565a8c0@uwe>
Message-ID: <20110923151352.GB94954@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 05:09:25PM +0200, Driessen wrote:
> 
> > 
> > Selbst wenn man getrennte Netze fuer Dial-In-Relays und Hosting-Relays
> > nehmen wuerde,
> > die waeren genauso irgendwann "wieder mal" auf den Listen.
> > 
> > Kurz: AUTH-Mail ist keine Versicherungen gegen Spam mehr (schon lange
> > nicht mehr).
> 
> Dieser Spam (kleinstes Problem) ist nicht DAS Problem das zurzeit von T
> ausgeht. 

Bitte belegen. Weil, wie gesagt, es sind die relays wo auth mail reingekippt wurde
die da auf den Listen landeten.



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From r.felber at ek-muc.de  Fri Sep 23 17:34:46 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 17:34:46 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7CA1C0.3050909@leo-unglaub.net>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<4E7CA1C0.3050909@leo-unglaub.net>
Message-ID: <20110923153446.GA95025@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 05:12:00PM +0200, Leo Unglaub wrote:
> Hallo !
> 
> Am 2011-09-23 12:59, schrieb Robert Felber:
> > Und das ist, aus meiner Sicht, fuer jemanden wie die Telekom, eine enorme Aufgabe, da sie
> > in der Tat massiv im Fokus Krimineller sind. Aus der Sicht eines kleineren ISP, der
> > nicht mit permantenten, gezielten und forschenden Attacken auf die Infrastruktur zu 
> > rechnen, scheint das alles easy zu sein.
> >
> > Statt der Telekom Inkompetenz zu unterstellen, waere es sinnvoll, auf explizite,
> > belastbare Alternativen hinzuweisen. Auth im internen Netz, und SA/AV im internen Netz
> > reichen dazu NICHT aus.
> Die Telekom hat hat da keine größere Aufgabe als Peer, Uwe, oder all die
> anderen Postmaster hier auf der Mailingliste oder einfach so im
> Internet. Der einzige Unterschied ist, dass die Telekom mit einer
> "größeren Menge" konfrontiert ist. Jedoch ändert das absolut nichts an
> der Ausgangssituation und der Aufgabenstellung. Das Problem bei der
> Telekom ist schlicht und einfach, dass die falschen Leute das sagen
> haben. "Never touch a running system" steht bei der Chef Etage der
> Telekom groß an die Tür geschrieben. Dabei wären auch die Probleme der
> Telekom releativ einfach zu lösen.
> 
> Ich weiß nicht wie du deine Systeme konfigurierst, aber die
> Standard-Funktionen zur Spam Bekämpfung sind bei meinen System immer
> gleich

Da die Haupt-Konfigurationsanleitungen darauf hinauslaufen, dass so oder so
auch die interne Mail, somit die Kunden-Mail gescannt wird, nimmt das jeder
erstmal als "is halt so, is ja auch nicht schlecht" in Kauf.

Dort wo dann eine ganze Rechtsabteilung die Infrastruktur absegnet geht das dann
uU (!) nicht mehr.

Darueber hinaus: kleine ISP fallen nunmal nicht ins Gewicht (und sind in den
wenigstens Faellen die Brutstaette, bzw WUrfstaette). Und es stimmt schon,
mit der Groesse waechst auch die Verantwortung. Darauf kann man sich wunderbar berufen.
Ohne Loesungen parat zu haben. (So weit ich weiss, hat Patrick da evtl. was in petto, dem
muss ich nochmal nachgehen).




-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From r.felber at ek-muc.de  Fri Sep 23 17:51:24 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 17:51:24 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <002c01cc7a01$4c3f6200$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
Message-ID: <20110923155124.GA95076@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 04:58:47PM +0200, Driessen wrote:
> > 
> > Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die
> > Mail
> 
> Tja wie kam der Hacker/der Kriminelle an die Daten? Wie wurde der Kunde dazu
> verführt auf einer "nicht" T-Online HP seine Daten einzugeben?
> Wer hat diese Mail dem Kunden zugestellt?

Uh? Die arme 50 Jaehrige Hausfrau war einem Facebook-Link ihrer Tochter
gefolgt, und irgendwie, kam da ein trojaner rein, der hat dann alle
Login Infos in die Zombie-DB gekippt, leider auch die vom ESP, in diesem
Fall wars T-Online.


> > submissionieren bzw authentifiziert bei den T-online/Whatever-relays
> > reinkippen.
> 
> Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen HP)
> kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über seinen
> acount ein? 
> Also wird auch das gleichzeitige einliefern auf ein in der Regel
> ausreichendes Maß reglementiert.

Korrekt. Rechne mal kurz naja, so, 10000 Kunden mal 10 Zustellversuche.
Lass da mal die Spamhaus/Spamcop-Spamtraps mit als RCPT dabei sein.


FUMP!



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From r.felber at ek-muc.de  Fri Sep 23 18:05:03 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 18:05:03 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923155124.GA95076@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
Message-ID: <20110923160503.GA95124@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 05:51:24PM +0200, Robert Felber wrote:
> On Fri, Sep 23, 2011 at 04:58:47PM +0200, Driessen wrote:
> > > 
> > > Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die
> > > Mail
> > 
> > Tja wie kam der Hacker/der Kriminelle an die Daten? Wie wurde der Kunde dazu
> > verführt auf einer "nicht" T-Online HP seine Daten einzugeben?
> > Wer hat diese Mail dem Kunden zugestellt?
> 
> Uh? Die arme 50 Jaehrige Hausfrau war einem Facebook-Link ihrer Tochter
> gefolgt, und irgendwie, kam da ein trojaner rein, der hat dann alle
> Login Infos in die Zombie-DB gekippt, leider auch die vom ESP, in diesem
> Fall wars T-Online.
> 
> 
> > > submissionieren bzw authentifiziert bei den T-online/Whatever-relays
> > > reinkippen.
> > 
> > Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen HP)
> > kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über seinen
> > acount ein? 
> > Also wird auch das gleichzeitige einliefern auf ein in der Regel
> > ausreichendes Maß reglementiert.
> 
> Korrekt. Rechne mal kurz naja, so, 10000 Kunden mal 10 Zustellversuche.
> Lass da mal die Spamhaus/Spamcop-Spamtraps mit als RCPT dabei sein.

So offenbart sich eigentlich gleich ein kleiner Loesungsansatz:

Spamhaus/Spamcop richten, von den normalen getrennte, als unsicher zu bewertende,
Spamtraps ein, die "den grossen" mitgeteilt werden.
Also ESP ab nem bestimmten Volumen (ich denke, das muss sein).

Diese Spamtrap-Adressen kann der ESP hernehmen um clients zu finden die offensichtlich
spammen.

Ein Spammer kann diesen Mechanismus nur missbrauchen im folgenden Szenario:
Er will den Account des Clients blockieren. Dazu brauch er aber einen Trojaner, somit
waere der Kunde sogar "geschuetzter". Der ESP ist in der Lage seinen Kunden
gezielter, ohne Mutmaszungen, zu informieren/deaktivieren.




-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From driessen at fblan.de  Fri Sep 23 18:58:06 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 18:58:06 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923155124.GA95076@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
Message-ID: <003001cc7a11$f79fa7d0$0565a8c0@uwe>

On Behalf Of Robert Felber
> 
> On Fri, Sep 23, 2011 at 04:58:47PM +0200, Driessen wrote:
> > >
> > > Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und
> die
> > > Mail
> >
> > Tja wie kam der Hacker/der Kriminelle an die Daten? Wie wurde der Kunde
> dazu
> > verführt auf einer "nicht" T-Online HP seine Daten einzugeben?
> > Wer hat diese Mail dem Kunden zugestellt?
> 
> Uh? Die arme 50 Jaehrige Hausfrau war einem Facebook-Link ihrer Tochter
> gefolgt, und irgendwie, kam da ein trojaner rein, der hat dann alle
> Login Infos in die Zombie-DB gekippt, leider auch die vom ESP, in diesem
> Fall wars T-Online.
> 
> 
> > > submissionieren bzw authentifiziert bei den T-online/Whatever-relays
> > > reinkippen.
> >
> > Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen
> HP)
> > kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über
> seinen
> > acount ein?
> > Also wird auch das gleichzeitige einliefern auf ein in der Regel
> > ausreichendes Maß reglementiert.
> 
> Korrekt. Rechne mal kurz naja, so, 10000 Kunden mal 10 Zustellversuche.
> Lass da mal die Spamhaus/Spamcop-Spamtraps mit als RCPT dabei sein.

Ich vermute mal das da nicht nur 10 Mails nacheinander kamen.
Ich vermute auch mal dass es auch nicht unbedingt 10000 gehackte
Kundenaccounts gleichzeitig waren.

Und selbst 100.000 Mails hätten noch nicht unbedingt die Alarmglocken der
RBLS klingeln lassen bei diesem Provider.
Das was bei den RBL's in den spamtraps ist nur ein Bruchteil deseen  und bis
das da etwas bei den RBL's aufschlägt dauert es auch ein bisschen und bis
das so ein Provider geblockt wird dauert es noch mal ein bisschen.  
(ich kenne das eher so das da vorher eine freundliche Mail kommt das da
etwas nicht stimmt man soll mal danach schauen) 


> 
> 
> FUMP!
> 
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From igor.sverkos at googlemail.com  Fri Sep 23 20:45:10 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 23 Sep 2011 20:45:10 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <003001cc7a11$f79fa7d0$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
Message-ID: <4E7CD3B6.1090007@googlemail.com>

Hallo,

worüber reden wir denn konkret? Um Hosting-Kunden. Aber Hosting ist
nicht gleich Hosting - hier muss man differenzieren:

Wenn ich einen eigenen Server habe (egal ob managed oder nicht), dann
ist es ganz alleine meine Sache was ich mache. Wenn ich dann SPAM
verursache, hat meine IP auf solchen Listen zu landen und *ich* habe das
Problem. Die Telekom selber hat das nicht zu beeinträchtigen (vom
normalen Abuse-Handling abgesehen). Denke hierüber sind wir uns alle
einig - das Problem hat die Telekom aber auch nicht.

Was ist, wenn ich Webhosting-Kunde bin? Ich weiß nicht wie vertraut ihr
alle mit "shared hosting" seid, aber betrachten wir nur einmal ein
einfaches LAMP-Hosting: Es braucht nicht viel um ein PHP-Skript zu
schreiben, was via mail() eine Nachricht als
"bill.gates at microsoft.invalid" an "steve.jobs at apple.invalid" sendet. Was
passiert da? PHP ruft einen sendmail-Wrapper auf, welcher in der Regel
die Mail bei localhost einliefert. Der lokale Mailserver kümmert sich
dann um die Bearbeitung (das ist keine "Gefahr" die speziell von PHP
ausgeht - bevor hier jemand meint gegen PHP schimpfen zu müssen).

Was wollt ihr gegen solche Nachrichten machen?

Selbst wenn der raussendende Mailserver weiß ob die Mail als
microsoft.invalid gesendet werden darf - was im shared Hosting Bereich
eher nicht der Fall sein dürfte - besteht das Problem: Diese Mail würde
also evtl. zurück gehalten werden, aber wenn ein Absender gewählt wurde,
für den der raussendende Mailserver auch verantwortlich ist...

Klärt mich auf: Was würdet ihr hier machen?

Mir ist keine Lösung bekannt. Ich würde eigentlich nur dafür Sorgen,
dass Webserver nicht über das zentrale Mailsystem senden (damit fallen
wohl Checks wie "Darf ich als microsoft.invalid senden senden?" raus).
Wenn, dann erwischt es eben die IP eines shared Webservers...

Aber es gibt noch ein anderes Problem, was ich bei euch nicht gelöst
sehe: Jetzt habt ihr bspw. wie Driessen angesprochen hat ein aktives
Monitoring. Ihr seht nun, dass euer Kunde tollerKunde123 dabei ist
10.000 Mails und mehr bei eurem Mailsystem einzuwerfen... also drückt
ihr da auf Halt und fragt bei tollerKunde123 nach. Dieser wird euch nun
bestätigen, dass er gerade so viele Nachrichten bewusst sendet und kein
Virus am Werke ist. Jetzt hakt ihr auch noch nach:

I: "Was sind das denn für Nachrichten?"
K: "Angebote..."

...ihr werdet hellhörig:

I: "Angebote? An wen senden sie die denn?
K: "An meine Kunden...."
I: "Wirklich ihre Kunden? Haben die solchen Mailings zugestimmt? Sie
   wissen ja bestimmt, dass sie das nur dürfen, wenn..."
K: "Na klar..."

...ihr lasst euch sogar etwas unterzeichnen, wo er es noch einmal bestätigt.

Aber trotzdem passiert es: Euer Kunde hat euch verarscht (ob bewusst
oder unbewusst ist egal). Selbst wenn tollerKunde123 von jedem Empfänger
ein notariell beglaubigtes Dokument vorlegen kann, wo dieses Mailing
explizit angefordert wurde... es reicht heute doch, wenn genug Empfänger
bei ihrem Provider die Mail als SPAM gemeldet haben (was einfacher ist,
als sich aus Mailings auszutragen), was zur Folge hatte, dass mehrere
Provider Abuse-Meldungen versendet haben... in letzter Konsequenz mit
der Folge, dass die Mail jetzt von vielen Systemen als "unerwünscht"
betrachtet wird und euer Mailsystem als Versender auf die ersten Listen
kommt.

Wie will man sich dagegen schützen? Das kann einem kleinen Hoster mit
einem Kunden passieren... oder eben T-Online mit Millionen von Kunden.

Und wir sprechen hier noch nicht einmal von dem Fall, wo jemand über
geknackte Accounts Phishing-Mails und Viren einwirft :)


Und um es noch zu erwähnen:
In den Premium-Paketen der Telekom steckt dieses E-Mailpaket drinnen -
manch einer mag es auch extra gebucht haben. U.a. ist da ein tolles
Feature bei: Ein Relay-Host! Gegen 5? im Monat kann ich bei der Telekom
- Authentifizierung erfolgt über den Anschluss - beliebige Mails
einwerfen und die Telekom stellt sie dann zu. Eine sehr nette Sache, die
ich bspw. schon seit Jahren legitim nutze (es gab Zeiten, wo noch nicht
jede Software die Mailbenachrichtigungen angeboten hat SMTP-Auth
konnte). Manch einer wird sagen, "Ein gefährliches Features"... aber ich
denke es ist nicht gefährlicher als reines SMTP-Auth über normale Accounts.


-- 
Ich Grüße,
Igor


From r.felber at ek-muc.de  Fri Sep 23 21:19:37 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 21:19:37 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <003001cc7a11$f79fa7d0$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
Message-ID: <20110923191937.GA95257@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 06:58:06PM +0200, Driessen wrote:
> On Behalf Of Robert Felber
> > > Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen
> > HP)
> > > kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über
> > seinen
> > > acount ein?
> > > Also wird auch das gleichzeitige einliefern auf ein in der Regel
> > > ausreichendes Maß reglementiert.
> > 
> > Korrekt. Rechne mal kurz naja, so, 10000 Kunden mal 10 Zustellversuche.
> > Lass da mal die Spamhaus/Spamcop-Spamtraps mit als RCPT dabei sein.
> 
> Ich vermute mal das da nicht nur 10 Mails nacheinander kamen.

Das ist von der technischen Seite her absolut egal und soll ausdruecken:

selbst wenn ein ESP ein Limit auf 10 Mails pro Minute setzt, wird er, so er
gross genug ist, auf BLs landen. So er genug Clients hat die an Spamtraps etc senden.

> Ich vermute auch mal dass es auch nicht unbedingt 10000 gehackte
> Kundenaccounts gleichzeitig waren.

Ehm? Was schaetzt denn du so, was so der Spamoutput von den T-Online Relays ist.
Also, du meinst, in Anbetracht von 15 Mil. oder mehr Kunden, gibt es nicht auch mal
10000 Accounts +- 2000 die zur Minute 10:15 jeweils so 5-10 Zustellversuche machen. Aha.

Solltest du weniger schaetzen - muessen die ja Anti-Spam-Masznahmen haben ...


> Und selbst 100.000 Mails hätten noch nicht unbedingt die Alarmglocken der
> RBLS klingeln lassen bei diesem Provider.

Wieso nicht? Und wie gesagt, wir kennen die echten Zahlen nicht.

> Das was bei den RBL's in den spamtraps ist nur ein Bruchteil deseen  und bis
> das da etwas bei den RBL's aufschlägt dauert es auch ein bisschen und bis
> das so ein Provider geblockt wird dauert es noch mal ein bisschen.  

Was man ja gerade gesehen hat.



-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From postfixbuch at spam-hosting.com  Fri Sep 23 21:23:21 2011
From: postfixbuch at spam-hosting.com (postfixbuch at spam-hosting.com)
Date: Fri, 23 Sep 2011 21:23:21 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7CD3B6.1090007@googlemail.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<4E7CD3B6.1090007@googlemail.com>
Message-ID: <4E7CDCA9.5050305@spam-hosting.com>

Hi,

 > Was ist, wenn ich Webhosting-Kunde bin? Ich weiß nicht wie vertraut ihr
 > alle mit "shared hosting" seid, aber betrachten wir nur einmal ein
 > einfaches LAMP-Hosting: Es braucht nicht viel um ein PHP-Skript zu
 > schreiben, was via mail() eine Nachricht als
 > "bill.gates at microsoft.invalid" an "steve.jobs at apple.invalid" sendet. Was
 > passiert da? PHP ruft einen sendmail-Wrapper auf, welcher in der Regel
 > die Mail bei localhost einliefert. Der lokale Mailserver kümmert sich
 > dann um die Bearbeitung (das ist keine "Gefahr" die speziell von PHP
 > ausgeht - bevor hier jemand meint gegen PHP schimpfen zu müssen).
 >
 > Was wollt ihr gegen solche Nachrichten machen?

Monitoring betreiben (Queue auf Anzahl usw. überwachen), dann 
Skripte/Auftrag sperren, Kunden-Domains sperren...... E-Mails 
zurückhalten und nicht senden.
Da schafft ein Spamer keine 500 Mails!



 > Mir ist keine Lösung bekannt. Ich würde eigentlich nur dafür Sorgen,
 > dass Webserver nicht über das zentrale Mailsystem senden (damit fallen
 > wohl Checks wie "Darf ich als microsoft.invalid senden senden?" raus).
 > Wenn, dann erwischt es eben die IP eines shared Webservers...

Manche Provider senden z.B. alle Mails von den Webservern über spezielle 
SMTP-Server raus, wo nur diese Mails rausgehen und wo es z.B. harte 
Limitierungen pro IP/Sender/Auftrag/usw./ gibt.



 > Wie will man sich dagegen schützen? Das kann einem kleinen Hoster mit
 > einem Kunden passieren... oder eben T-Online mit Millionen von Kunden.

Sobald eine Beschwerde eingeht, ist der Kunde gesperrt und wird gekündigt.
Wenn die Spamer wissen, das man beim Provider xxxx einen Fake-Account 
anlegen kann und nach 4 Minuten schon wieder gesperrt ist, lassen die es 
irgendwann, da für die der Aufwand zu groß ist.


Allgemein zum Spamfilterung auf ausgehende Mails.
Die Kunden lassen ja auch die eingehenden Nachrichten prüfen, wo evtl. 
die Antwort 5 mal (gequotet) enthalten ist......
Zudem die heutige Technik fast nur noch mit Hashwerten arbeitet und 
keine Einsicht mehr nötig ist.
Wer es nicht mag, verschlüsselt seine Mails.



 > Und um es noch zu erwähnen:
 > In den Premium-Paketen der Telekom steckt dieses E-Mailpaket drinnen -
 > manch einer mag es auch extra gebucht haben. U.a. ist da ein tolles
 > Feature bei: Ein Relay-Host! Gegen 5? im Monat kann ich bei der Telekom
 > - Authentifizierung erfolgt über den Anschluss - beliebige Mails
 > einwerfen und die Telekom stellt sie dann zu. Eine sehr nette Sache, die
 > ich bspw. schon seit Jahren legitim nutze (es gab Zeiten, wo noch nicht
 > jede Software die Mailbenachrichtigungen angeboten hat SMTP-Auth
 > konnte). Manch einer wird sagen, "Ein gefährliches Features"... aber ich
 > denke es ist nicht gefährlicher als reines SMTP-Auth über normale 
Accounts.

Full-Ack!
Die meisten Bots klauen sowieso die Login-Daten oder haben diese bereits 
abgephisht oder gebrute-forced (schöne Wörter^^).
Und senden oft Mails über andere (gehackte) Webserver, wo dann ein 
Skript per SMTP die Mails über den Account dann versendet. Somit kann 
der DSL-PC für andere Sachen wie Proxys verwendet werden und der 
Webserver schafft mehr Mails einzuliefern als der PC...


Ich hatte bei uns auch über ein Jahr gesagt, das wir einiges tun müssen 
und konnte vieles umsetzten, aber bei paar Punkten, lehnte die 
Geschäftsleitung ab, bis unsere Server gelistet waren und die Kunden mit 
Anwälten da standen. Da hab ich dann auch gesagt "ich habs euch ja gesagt".

Diesen Prozess macht gerade die Telekom durch.
Man darf halt "Spam/Hacking/Malware/Bots" nicht mehr als "naja, passiert 
mal" so gelassen hinnehmen, sondern muss aktiv dagegen vorgehen (aber 
ohne Vorratsdatenspeicherung usw.!).

Falls es bissle vom Thema abgekommen ist, sorry ;-)

mfg Spamer




Am 23.09.2011 20:45, schrieb Igor Sverkos:
> Hallo,
>
> worüber reden wir denn konkret? Um Hosting-Kunden. Aber Hosting ist
> nicht gleich Hosting - hier muss man differenzieren:
>
> Wenn ich einen eigenen Server habe (egal ob managed oder nicht), dann
> ist es ganz alleine meine Sache was ich mache. Wenn ich dann SPAM
> verursache, hat meine IP auf solchen Listen zu landen und *ich* habe das
> Problem. Die Telekom selber hat das nicht zu beeinträchtigen (vom
> normalen Abuse-Handling abgesehen). Denke hierüber sind wir uns alle
> einig - das Problem hat die Telekom aber auch nicht.
>
> Was ist, wenn ich Webhosting-Kunde bin? Ich weiß nicht wie vertraut ihr
> alle mit "shared hosting" seid, aber betrachten wir nur einmal ein
> einfaches LAMP-Hosting: Es braucht nicht viel um ein PHP-Skript zu
> schreiben, was via mail() eine Nachricht als
> "bill.gates at microsoft.invalid" an "steve.jobs at apple.invalid" sendet. Was
> passiert da? PHP ruft einen sendmail-Wrapper auf, welcher in der Regel
> die Mail bei localhost einliefert. Der lokale Mailserver kümmert sich
> dann um die Bearbeitung (das ist keine "Gefahr" die speziell von PHP
> ausgeht - bevor hier jemand meint gegen PHP schimpfen zu müssen).
>
> Was wollt ihr gegen solche Nachrichten machen?
>
> Selbst wenn der raussendende Mailserver weiß ob die Mail als
> microsoft.invalid gesendet werden darf - was im shared Hosting Bereich
> eher nicht der Fall sein dürfte - besteht das Problem: Diese Mail würde
> also evtl. zurück gehalten werden, aber wenn ein Absender gewählt wurde,
> für den der raussendende Mailserver auch verantwortlich ist...
>
> Klärt mich auf: Was würdet ihr hier machen?
>
> Mir ist keine Lösung bekannt. Ich würde eigentlich nur dafür Sorgen,
> dass Webserver nicht über das zentrale Mailsystem senden (damit fallen
> wohl Checks wie "Darf ich als microsoft.invalid senden senden?" raus).
> Wenn, dann erwischt es eben die IP eines shared Webservers...
>
> Aber es gibt noch ein anderes Problem, was ich bei euch nicht gelöst
> sehe: Jetzt habt ihr bspw. wie Driessen angesprochen hat ein aktives
> Monitoring. Ihr seht nun, dass euer Kunde tollerKunde123 dabei ist
> 10.000 Mails und mehr bei eurem Mailsystem einzuwerfen... also drückt
> ihr da auf Halt und fragt bei tollerKunde123 nach. Dieser wird euch nun
> bestätigen, dass er gerade so viele Nachrichten bewusst sendet und kein
> Virus am Werke ist. Jetzt hakt ihr auch noch nach:
>
> I: "Was sind das denn für Nachrichten?"
> K: "Angebote..."
>
> ...ihr werdet hellhörig:
>
> I: "Angebote? An wen senden sie die denn?
> K: "An meine Kunden...."
> I: "Wirklich ihre Kunden? Haben die solchen Mailings zugestimmt? Sie
>     wissen ja bestimmt, dass sie das nur dürfen, wenn..."
> K: "Na klar..."
>
> ...ihr lasst euch sogar etwas unterzeichnen, wo er es noch einmal bestätigt.
>
> Aber trotzdem passiert es: Euer Kunde hat euch verarscht (ob bewusst
> oder unbewusst ist egal). Selbst wenn tollerKunde123 von jedem Empfänger
> ein notariell beglaubigtes Dokument vorlegen kann, wo dieses Mailing
> explizit angefordert wurde... es reicht heute doch, wenn genug Empfänger
> bei ihrem Provider die Mail als SPAM gemeldet haben (was einfacher ist,
> als sich aus Mailings auszutragen), was zur Folge hatte, dass mehrere
> Provider Abuse-Meldungen versendet haben... in letzter Konsequenz mit
> der Folge, dass die Mail jetzt von vielen Systemen als "unerwünscht"
> betrachtet wird und euer Mailsystem als Versender auf die ersten Listen
> kommt.
>
> Wie will man sich dagegen schützen? Das kann einem kleinen Hoster mit
> einem Kunden passieren... oder eben T-Online mit Millionen von Kunden.
>
> Und wir sprechen hier noch nicht einmal von dem Fall, wo jemand über
> geknackte Accounts Phishing-Mails und Viren einwirft :)
>
>
> Und um es noch zu erwähnen:
> In den Premium-Paketen der Telekom steckt dieses E-Mailpaket drinnen -
> manch einer mag es auch extra gebucht haben. U.a. ist da ein tolles
> Feature bei: Ein Relay-Host! Gegen 5? im Monat kann ich bei der Telekom
> - Authentifizierung erfolgt über den Anschluss - beliebige Mails
> einwerfen und die Telekom stellt sie dann zu. Eine sehr nette Sache, die
> ich bspw. schon seit Jahren legitim nutze (es gab Zeiten, wo noch nicht
> jede Software die Mailbenachrichtigungen angeboten hat SMTP-Auth
> konnte). Manch einer wird sagen, "Ein gefährliches Features"... aber ich
> denke es ist nicht gefährlicher als reines SMTP-Auth über normale Accounts.
>
>


From driessen at fblan.de  Fri Sep 23 21:31:10 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 21:31:10 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7CD3B6.1090007@googlemail.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe><20110923155124.GA95076@rz.ek-muc.de><003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<4E7CD3B6.1090007@googlemail.com>
Message-ID: <004001cc7a27$59a15400$0565a8c0@uwe>

On Behalf Of Igor Sverkos
> Was ist, wenn ich Webhosting-Kunde bin? Ich weiß nicht wie vertraut ihr
> alle mit "shared hosting" seid, aber betrachten wir nur einmal ein
> einfaches LAMP-Hosting: Es braucht nicht viel um ein PHP-Skript zu
> schreiben, was via mail() eine Nachricht als
> "bill.gates at microsoft.invalid" an "steve.jobs at apple.invalid" sendet. Was
> passiert da? PHP ruft einen sendmail-Wrapper auf, welcher in der Regel
> die Mail bei localhost einliefert. Der lokale Mailserver kümmert sich
> dann um die Bearbeitung (das ist keine "Gefahr" die speziell von PHP
> ausgeht - bevor hier jemand meint gegen PHP schimpfen zu müssen).
> 
> Was wollt ihr gegen solche Nachrichten machen?

Nüscht als 0815 Provider.

Als Dienstleister für meinen Kunden greifen lokale regeln. 
Ich lasse so was nicht durch.
Ist keine bei mir gehostete Adresse.
Ich kann nicht prüfen wem die Absender Adresse gehört. 


> 
> Selbst wenn der raussendende Mailserver weiß ob die Mail als
> microsoft.invalid gesendet werden darf - was im shared Hosting Bereich
> eher nicht der Fall sein dürfte - besteht das Problem: Diese Mail würde
> also evtl. zurück gehalten werden, aber wenn ein Absender gewählt wurde,
> für den der raussendende Mailserver auch verantwortlich ist...
> 
> Klärt mich auf: Was würdet ihr hier machen?

Da greifen dann entsprechende Restriktionen zur Not Kundenbezogen wenn ich
denn wirklich welche hätte die so was machen würden.
Zumindest mein Dienst ist nicht in der Richtung aufgestellt und das will ich
auch gar nicht.

> 
> Mir ist keine Lösung bekannt. Ich würde eigentlich nur dafür Sorgen,
> dass Webserver nicht über das zentrale Mailsystem senden (damit fallen
> wohl Checks wie "Darf ich als microsoft.invalid senden senden?" raus).

Auch nicht unbedingt. Ist der Server eigenständig dann juckt mich der auch
nicht was der Tut dafür ist der Kunde alleine Verantwortlich.
Kommen Abuse Meldungen rein dann muß er aber unter umständen zumindest mit
einem Gespräch und auch evtl. einer vorübergehenden Stilllegung rechnen.
Ist Gang und gebe bei den meisten Server Anbietern das hin und wieder mal
auffällige Server vom Netz genommen werden.

> Wenn, dann erwischt es eben die IP eines shared Webservers...

Eben. Durch wen oder was auch immer 


> 
> Aber es gibt noch ein anderes Problem, was ich bei euch nicht gelöst
> sehe: Jetzt habt ihr bspw. wie Driessen angesprochen hat ein aktives
> Monitoring. Ihr seht nun, dass euer Kunde tollerKunde123 dabei ist
> 10.000 Mails und mehr bei eurem Mailsystem einzuwerfen... also drückt
> ihr da auf Halt und fragt bei tollerKunde123 nach. Dieser wird euch nun
> bestätigen, dass er gerade so viele Nachrichten bewusst sendet und kein
> Virus am Werke ist. Jetzt hakt ihr auch noch nach:

Nö da brauche ich nicht nachfragen. 
Wird er wenig spaß haben *gg das System schießt zuerst und dann fragt es
nach der Parole. Der Kunde wird mich anrufen *gg weil es geht ganz einfach
nicht.

> 
> I: "Was sind das denn für Nachrichten?"
> K: "Angebote..."
> 
> ...ihr werdet hellhörig:
> 
> I: "Angebote? An wen senden sie die denn?
> K: "An meine Kunden...."
> I: "Wirklich ihre Kunden? Haben die solchen Mailings zugestimmt? Sie
>    wissen ja bestimmt, dass sie das nur dürfen, wenn..."
> K: "Na klar..."
> 
> ...ihr lasst euch sogar etwas unterzeichnen, wo er es noch einmal
> bestätigt.

Ich werde Ihm ein Werbemailingsystem empfehlen das sich auf den
Massenversand spezialisiert hat.

Soviel kann ich nicht verdienen das es solchen Ärger Wert wäre wenn das
Hauptmailsystem aufgrund solcher Aktionen da irgendwo drauf landet. 

> 
> Wie will man sich dagegen schützen? Das kann einem kleinen Hoster mit
> einem Kunden passieren... oder eben T-Online mit Millionen von Kunden.

Solche Kunden nicht aufnehmen. Wer soviel versenden möchte kann gerne ein
eigenes System benutzen Pflegen und evtl. auch von mir betreut bekommen
ansonsten s.o.

> 
> Und wir sprechen hier noch nicht einmal von dem Fall, wo jemand über
> geknackte Accounts Phishing-Mails und Viren einwirft :)

Hier liegt das Problem der telekom Phishingmails die da rausgepustet wurden.
In absolut sauberen Deutsch verfasst scoring "nur" etwas über 3 das kann
kein noch so gutes und aktuelles SA oder clamav 

> 
> 
> Und um es noch zu erwähnen:
> In den Premium-Paketen der Telekom steckt dieses E-Mailpaket drinnen -
> manch einer mag es auch extra gebucht haben. U.a. ist da ein tolles
> Feature bei: Ein Relay-Host! Gegen 5€ im Monat kann ich bei der Telekom
> - Authentifizierung erfolgt über den Anschluss - beliebige Mails
> einwerfen und die Telekom stellt sie dann zu. Eine sehr nette Sache, die
> ich bspw. schon seit Jahren legitim nutze (es gab Zeiten, wo noch nicht
> jede Software die Mailbenachrichtigungen angeboten hat SMTP-Auth
> konnte). Manch einer wird sagen, "Ein gefährliches Features"... aber ich
> denke es ist nicht gefährlicher als reines SMTP-Auth über normale
> Accounts.
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From driessen at fblan.de  Fri Sep 23 21:51:12 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 21:51:12 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923191937.GA95257@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe><20110923155124.GA95076@rz.ek-muc.de><003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<20110923191937.GA95257@rz.ek-muc.de>
Message-ID: <004a01cc7a2a$262250e0$0565a8c0@uwe>

On Behalf Of Robert Felber
> 
> >
> > Ich vermute mal das da nicht nur 10 Mails nacheinander kamen.
> 
> Das ist von der technischen Seite her absolut egal und soll ausdruecken:
> 
> selbst wenn ein ESP ein Limit auf 10 Mails pro Minute setzt, wird er, so
> er
> gross genug ist, auf BLs landen. So er genug Clients hat die an Spamtraps
> etc senden.
> 
> > Ich vermute auch mal dass es auch nicht unbedingt 10000 gehackte
> > Kundenaccounts gleichzeitig waren.
> 
> Ehm? Was schaetzt denn du so, was so der Spamoutput von den T-Online
> Relays ist.
> Also, du meinst, in Anbetracht von 15 Mil. oder mehr Kunden, gibt es nicht
> auch mal
> 10000 Accounts +- 2000 die zur Minute 10:15 jeweils so 5-10
> Zustellversuche machen. Aha.

Ich vermute eine wesentlich höhere Zahl pro Account an gleichzeitigen/
innerhalb einer Minute Einlieferungen.
Ich vermute einen ganz anderen Takt einen wesentlich höheren Output pro
Absender.

Wäre ich spamer mit gehackten accounts dann muß ich versuchen so viel wie
möglich innerhalb kürzester zeit bevor ich entdeckt werden kann
rauszupusten.
Das sich wirklich 10000 Kunden innerhalb von 2-3 Tagen dazu verführen lassen
Ihre Daten "irgendwo" einzugeben da kann ich fast nicht dran glauben.
Das die Spamer dann auch noch innerhalb einer Nacht oder Aktion alle Ihre
gehackten Accounts verbrennen bezweifle ich auch mal.
Welcher Kunde ändert denn regelmäßig sein PW? Das sind 0,01%. Die Gefahr das
das Pw das mir der Anwender genannt hat in 4 Wochen nicht mehr gültig ist
für den account besteht praktisch nicht.

Und selbst wenn dann gibt es noch die 2 Möglichkeiten 

Langsam aber stetig immer mal wieder eine Mail 
		Wenig effektiv, Die Zeit bis zur Entdeckung läuft 

Schnell und schmerzlos ich hab nur 1 Stunde bis das ich entdeckt werde.

Soweit man hört wurden webhosting pakete gehackt, per Phishing die Daten
gemoppst oder was weis ich wie an die Daten herangekommen.
Dann wurden jede Menge neue Domains aktiviert und dazu Mailadressen
angelegt. Ob automatisiert oder von Hand (das glaube ich jetzt nicht gerade)
sei dahin gestellt. 
 

Ganz davon abgesehen Die Daten hätte ich gerne mal zu Analyse *gg 


> 
> Solltest du weniger schaetzen - muessen die ja Anti-Spam-Masznahmen haben
> ...
> 
> 
> > Und selbst 100.000 Mails hätten noch nicht unbedingt die Alarmglocken
> der
> > RBLS klingeln lassen bei diesem Provider.
> 
> Wieso nicht? Und wie gesagt, wir kennen die echten Zahlen nicht.
> 
> > Das was bei den RBL's in den spamtraps ist nur ein Bruchteil deseen  und
> bis
> > das da etwas bei den RBL's aufschlägt dauert es auch ein bisschen und
> bis
> > das so ein Provider geblockt wird dauert es noch mal ein bisschen.
> 
> Was man ja gerade gesehen hat.
> 

Es hat eine ganze Zeitlang gedauert bis das T auf den Listen gelandet ist.
Die erste solch einer Mail ist vor ca. 14 Tagen hier aufgefallen. Es war
aber nur eine wie das halt so ist.




Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From rico at netbreaker.de  Fri Sep 23 22:01:46 2011
From: rico at netbreaker.de (Rico Koerner)
Date: Fri, 23 Sep 2011 22:01:46 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7CD3B6.1090007@googlemail.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<4E7CD3B6.1090007@googlemail.com>
Message-ID: <4E7CE5AA.6060102@netbreaker.de>

Am 23.09.2011 20:45, schrieb Igor Sverkos:
> Hallo,
> 
> Was ist, wenn ich Webhosting-Kunde bin? Ich weiß nicht wie vertraut ihr
> alle mit "shared hosting" seid, aber betrachten wir nur einmal ein
> einfaches LAMP-Hosting: Es braucht nicht viel um ein PHP-Skript zu
> schreiben, was via mail() eine Nachricht als
> "bill.gates at microsoft.invalid" an "steve.jobs at apple.invalid" sendet. Was
> passiert da? PHP ruft einen sendmail-Wrapper auf, welcher in der Regel
> die Mail bei localhost einliefert. Der lokale Mailserver kümmert sich
> dann um die Bearbeitung (das ist keine "Gefahr" die speziell von PHP
> ausgeht - bevor hier jemand meint gegen PHP schimpfen zu müssen).
> 
> Was wollt ihr gegen solche Nachrichten machen?

z.B. die Maileinlieferung auf diesem Wege nicht akzeptieren, auch hier
ist AUTH möglich. Sowas praktiziert HostEurope. Leider informiert(e) man
den Hostingkunden darauf nicht ausreichend. Ich hab damals mehrere Tage
gebraucht, bis herausgefunden hatte, wo es klemmte.
Für eine Anwendung, die man dahingehen nicht anpassen konnte, gab es
einen komplizierten Weg, das freizuschalten. Das schaft kaum ein Spammer.

> Selbst wenn der raussendende Mailserver weiß ob die Mail als
> microsoft.invalid gesendet werden darf - was im shared Hosting Bereich
> eher nicht der Fall sein dürfte - besteht das Problem: Diese Mail würde
> also evtl. zurück gehalten werden, aber wenn ein Absender gewählt wurde,
> für den der raussendende Mailserver auch verantwortlich ist...
> 
> Klärt mich auf: Was würdet ihr hier machen?

Der Absender allein reicht im obigen Fall nicht, ohne Auth nimmt es der
Mailserver erst gar nicht an.

> I: "Angebote? An wen senden sie die denn?
> K: "An meine Kunden...."
> I: "Wirklich ihre Kunden? Haben die solchen Mailings zugestimmt? Sie
>    wissen ja bestimmt, dass sie das nur dürfen, wenn..."
> K: "Na klar..."
> 
> ...ihr lasst euch sogar etwas unterzeichnen, wo er es noch einmal bestätigt.

das ist zwar theoretisch möglich, aber sicherlich nicht das aktuelle
Problem von T-Online. Als nicht ganz kleiner Provider steck ich solche
Kunden in ein eigenes Netz reduziere damit das Problem auf einen kleinen
Kreis.

> Wie will man sich dagegen schützen? Das kann einem kleinen Hoster mit
> einem Kunden passieren... oder eben T-Online mit Millionen von Kunden.

Beide können sich von solchen Kunden trennen oder ihm einen eigenen
(v)Server empfehlen, bei dem er das Problem selbst und allein spüren und
beheben darf. Seriöse Massenmailversender haben auch ein Interesse
daran, nicht auf der Blacklist zu landen.

Hab ich dem Kunden denn zugesagt 1000 Mails/min abzunehmen? Ich kann ihn
also drosseln. Den normalen Kunden stört das nicht, wenn das limitiert ist.

> Und um es noch zu erwähnen:
> In den Premium-Paketen der Telekom steckt dieses E-Mailpaket drinnen -
> manch einer mag es auch extra gebucht haben. U.a. ist da ein tolles
> Feature bei: Ein Relay-Host! Gegen 5? im Monat kann ich bei der Telekom

Warum auch nicht, wenn die Spammer 5? spenden, dürfen sie den Rest der
Welt belästigen. In dem Fall begibt sich die Telekom mindestens grob
fahrlässig, wenn nicht sogar vorsätzlich in die Störerhaftung.

Wenn ich als Betreiber eines ungesicherten WLANs anderen die Möglichkeit
verschaffe, Straftaten zu begehen, bin ich auch dran.
Dabei habe ich mich noch nicht mal daran bereichert. Es hilft mir nicht
mal, wenn ich davon keine Ahnung hab.

Die Telekom dagegen weiß von der Sicherheitslücke und verkauft sie sogar
noch.

> - Authentifizierung erfolgt über den Anschluss - beliebige Mails
> einwerfen und die Telekom stellt sie dann zu. Eine sehr nette Sache, die
> ich bspw. schon seit Jahren legitim nutze (es gab Zeiten, wo noch nicht
> jede Software die Mailbenachrichtigungen angeboten hat SMTP-Auth

Legitim - ist eine Frage des Blickwinkels. Es steht bestimmt auch
irgendwo geschrieben, daß ich das nicht mißbrauchen darf.

Zu diesen Zeiten gab es auch ein solches Spamaufkommen nicht (da wären
wir wieder beim Stand der Technik vor 10 Jahren)

> konnte). Manch einer wird sagen, "Ein gefährliches Features"... aber ich
> denke es ist nicht gefährlicher als reines SMTP-Auth über normale Accounts.

Doch, es ist gefährlicher, gar nichts zu tun als wenig zu tun.

Es gab mal eine Lösung POP-before-SMTP, nicht besonders sicher, aber
zumindest besser als nichts und wurde out-of-the-Box von allen
Mailclients unterstützt. Unverschlüsseltes SMTP-AUTH schützt wenigstens
vor Schadsoftware, die nicht in der Lage ist, den Netzwerktraffic
abzuhören, die bei POP-before-SMTP durchschlüpfen konnte.
Es geht nicht immer darum, es 100%ig abzusichern, aber jeder Schritt
hilft ein Stückchen weiter und man muß diese Schritte eben so mitgehen,
wie sich die Systeme entwickeln.


Gruß
Rico

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2308 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110923/a108fd21/attachment.p7s>

From r.felber at ek-muc.de  Fri Sep 23 22:20:13 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 22:20:13 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <004a01cc7a2a$262250e0$0565a8c0@uwe>
References: <20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<20110923191937.GA95257@rz.ek-muc.de>
	<004a01cc7a2a$262250e0$0565a8c0@uwe>
Message-ID: <20110923202013.GA95670@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 09:51:12PM +0200, Driessen wrote:
> Das sich wirklich 10000 Kunden innerhalb von 2-3 Tagen dazu verführen lassen
> Ihre Daten "irgendwo" einzugeben da kann ich fast nicht dran glauben.

Sorry, aber auf die Infektionsrate kommt es an, dazu brauch keiner unbedingt
seine Daten eingeben.
An Login-Daten kommt doch nicht nur durch Phishing bzw Vorspielen einer 
Webmailer (oder was auch immer Seite) ran. Meist reicht es, die Fritzbox auszulesen.
Sowas kann dir auch passieren, wenn du auf irgend einer boesen cracker-seite mal
eine flash-anim anguckst oder PDF liest, was meinst denn du wie schnell da alle
moeglichen Login-Daten in die Zombie-DBs fliessen?

Und die Infektionsrate IST hoch.

Mir graust es da und ich wunder mich, wie das die Service Provider (Egal ob Internet
oder E-mail oder Banking) abfedern sollen.

Ich fuer meinen Teil sehe einen absoluten Unterschied zwischen einem kleinen
(<1.000.000 Kunden) Hoster/ISP/ESP und > 1.000.000 muendigen Kunden mit Publicty und Medienpraesenz.

Das sind andere Level, und andere Herausforderungen.

Wie gesagt, ich blocke die Telekom wohl uU mit, aber schiebe der Telekom
da jetzt wenig Schuld zu.

-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From igor.sverkos at googlemail.com  Fri Sep 23 22:22:19 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 23 Sep 2011 22:22:19 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <004001cc7a27$59a15400$0565a8c0@uwe>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe><20110923155124.GA95076@rz.ek-muc.de><003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<4E7CD3B6.1090007@googlemail.com>
	<004001cc7a27$59a15400$0565a8c0@uwe>
Message-ID: <4E7CEA7B.4080009@googlemail.com>

Hallo,

>> Es braucht nicht viel um ein PHP-Skript zu schreiben, was via
>> mail() eine Nachricht als "bill.gates at microsoft.invalid" an
>> "steve.jobs at apple.invalid" sendet.
>> 
>> Was wollt ihr gegen solche Nachrichten machen?
> 
> Nüscht als 0815 Provider.
> 
> Als Dienstleister für meinen Kunden greifen lokale regeln. Ich lasse
> so was nicht durch. Ist keine bei mir gehostete Adresse. Ich kann
> nicht prüfen wem die Absender Adresse gehört.

Das möchte ich gerne einmal sehen...

Anfang des Jahres habe ich an einem Projekt mitgewirkt, wo wir bei allen
gängigen Hostern in Deutschland u.a. dies untersucht haben. Um es gleich
vorweg zunehmen: Wir haben keinen Hoster gefunden, wo oben genannte Mail
*nicht* gesendet wurde.

Getestet haben wir da typisches shared Hosting... bei

- Telekom
- Vodafone (ehemals Arcor PIA Webhosting)
- 1und1
- Strato
- HostEurope
- Hetzner
- server4you
- 1blu
- manitu
- artfiles
- DomainFactory

um nur ein paar Namen zu nennen.

Alles 0815?


>> Selbst wenn der raussendende Mailserver weiß ob die Mail als 
>> microsoft.invalid gesendet werden darf - was im shared Hosting
>> Bereich eher nicht der Fall sein dürfte - besteht das Problem:
>> Diese Mail würde also evtl. zurück gehalten werden, aber wenn ein
>> Absender gewählt wurde, für den der raussendende Mailserver auch
>> verantwortlich ist...
>> 
>> Klärt mich auf: Was würdet ihr hier machen?
> 
> Da greifen dann entsprechende Restriktionen zur Not Kundenbezogen
> wenn ich denn wirklich welche hätte die so was machen würden. 
> Zumindest mein Dienst ist nicht in der Richtung aufgestellt und das
> will ich auch gar nicht.

Da machst du es dir aber ganz einfach:
Solche Kunden ablehnen - dann hat man das Problem nicht. Klasse :)


Aber das kann dir doch immer passieren:
Sobald du für einen Kunden Mailhosting betreibst, kann dieser auf die
Idee kommen das zu tun...


>> Aber es gibt noch ein anderes Problem, was ich bei euch nicht
>> gelöst sehe: Jetzt habt ihr bspw. wie Driessen angesprochen hat ein
>> aktives Monitoring. Ihr seht nun, dass euer Kunde tollerKunde123
>> dabei ist 10.000 Mails und mehr bei eurem Mailsystem einzuwerfen...
>> also drückt ihr da auf Halt und fragt bei tollerKunde123 nach.
>> Dieser wird euch nun bestätigen, dass er gerade so viele
>> Nachrichten bewusst sendet und kein Virus am Werke ist. Jetzt hakt
>> ihr auch noch nach:
> 
> Nö da brauche ich nicht nachfragen. Wird er wenig spaß haben *gg das
> System schießt zuerst und dann fragt es nach der Parole. Der Kunde
> wird mich anrufen *gg weil es geht ganz einfach nicht.

...ok, sollte also ein Kunde - siehe oben - auf diese Idee kommen, dann
verhindert dies dein System, in Ordnung. Dann meldet sich der Kunde, und
dann? ...


Zwischenfrage: Was machst du, wenn ein Kunde das Limit in Erfahrung
bringt und sein Mailing entsprechend stückelt? Statt an 10.000 Kunden
sofort zu mailen, braucht es eben 7-14 Tage... aber am Ende sind 10.000
Leute angeschrieben, wovon eben ein paar bei sich den SPAM-Alarm
auslösen, mit den von mir zuvor beschrieben Folgen...


> Ich werde Ihm ein Werbemailingsystem empfehlen das sich auf den 
> Massenversand spezialisiert hat.

...ok - du sagst deinem Kunden also: Keine Massenmails über mich. Ich
weiß nicht, ob man das als kleiner Dienstleister unbedingt tun kann: Zum
einen ist man auf Geld angewiesen (klar, nicht jedes Geld ist gut - aber
wir sprechen hier ja von legitimen Nachrichten) und zum anderen steckt
in dem Wort Dienstleister ja auch etwas "dienen"... (also du willst ja
Leistung erbringen)


> Soviel kann ich nicht verdienen das es solchen Ärger Wert wäre wenn
> das Hauptmailsystem aufgrund solcher Aktionen da irgendwo drauf
> landet.

...ah, Geld ist dir egal, ok.

Also du scheinst es konsequent durchzuziehen:
Wer *viele* Mails versendet darf dein Hauptsystem nicht nutzen.

Und wenn er doch senden muss?

> Solche Kunden nicht aufnehmen. Wer soviel versenden möchte kann gerne
> ein eigenes System benutzen Pflegen und evtl. auch von mir betreut
> bekommen ansonsten s.o.

OK - also du bist konsequent, dass muss ich dir lassen.

Wenn du das so durchziehst, Respekt. Aber was bedeutet denn für dich
viel? Wenn ein Handwerksmeister zu seinem 50. Firmenjubiläum einlädt und
an alle seine Kunden eine Einladung/Dankesnachricht senden möchte - wo
ziehst du da die Grenze? 10? 100? 200? 500? 1000? ...

Aber irgendwie kann ich mir nicht vorstellen, dass du das blockierst und
sagst: Für x? stelle ich dir ein Mailsystem zur Verfügung, worüber du
diese Nachricht senden kannst! :)


Wenn ich das alles so richtig verstanden habe, dann würdest du als
Telekom folgendes tun:

Über das Hauptmailsystem dürfen nur einfache Nachrichten gesendet
werden; desweiteren gibt es Limits pro E-Mailaccount (du setzt
wahrscheinlich das Limit sogar pro Kunde).

Shared Hosting würdest du streichen oder eben so konfigurieren, dass der
shared Webserver direkt raussendet - dann verbrennt ggf. dessen IP
einmal - dir aber egal.
Auf die Prüfung ob als Absender X gesendet werden darf, wirst du wohl
verzichten. Wäre bei shared Hosting doch sehr aufwändig... zumal ich
nicht wüsste, wie du es schaffst das Kunde1 der wie Kunde2 auf server1
ist, nicht als Kunde2 sendet Kunde2 aber schon als Kunde2 senden kann...

Features wie der Relay-Host würden bei dir wohl teurer werden, weil du
jedem Kunden der das will ein eigenes Mailsystem hinstellen würdest...

Tjoa - kann man alles so machen. Aber irgendwie finde ich das sehr
radikal und weltfremd.


-- 
Ich Grüße,
Igor



From igor.sverkos at googlemail.com  Fri Sep 23 22:41:38 2011
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Fri, 23 Sep 2011 22:41:38 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923202013.GA95670@rz.ek-muc.de>
References: <20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<20110923191937.GA95257@rz.ek-muc.de>
	<004a01cc7a2a$262250e0$0565a8c0@uwe>
	<20110923202013.GA95670@rz.ek-muc.de>
Message-ID: <4E7CEF02.5060108@googlemail.com>

Hallo,

Robert Felber schrieb:
> Sorry, aber auf die Infektionsrate kommt es an, dazu brauch keiner unbedingt
> seine Daten eingeben.
> 
> [...]

*FACK*.

Bis auf den Punkt, dass ich die Gefahr eben nicht primär bei bei
geklauten Accounts sehen würde - das ist doch nur eine Ursache.

Für mich geht es eher um die Folgen: Am Ende des Tages hat ein
legitimierter Nutzer mein Mailsystem verwendet - die Frage nach nach dem
"Wie hat er sich legitimieren können" interessiert da nicht mehr...

Aktuell sehe ich nur die Option, das Mailsystem aufzuteilen: Nicht ein
System für alle... sondern pro x Kunden ein Mailsystem. Dann kann kann
mal ein Segment Feuer fangen, aber ich gefährde nicht gleich alle
Kunden... und es muss ja auch nur der Ausgang getrennt werden.


-- 
Ich Grüße,
Igor


From r.felber at ek-muc.de  Fri Sep 23 22:58:18 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Fri, 23 Sep 2011 22:58:18 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7CEF02.5060108@googlemail.com>
References: <20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<20110923191937.GA95257@rz.ek-muc.de>
	<004a01cc7a2a$262250e0$0565a8c0@uwe>
	<20110923202013.GA95670@rz.ek-muc.de>
	<4E7CEF02.5060108@googlemail.com>
Message-ID: <20110923205817.GB95670@rz.ek-muc.de>

On Fri, Sep 23, 2011 at 10:41:38PM +0200, Igor Sverkos wrote:
> Hallo,
> 
> Robert Felber schrieb:
> > Sorry, aber auf die Infektionsrate kommt es an, dazu brauch keiner unbedingt
> > seine Daten eingeben.
> > 
> > [...]
> 
> *FACK*.
> 
> Bis auf den Punkt, dass ich die Gefahr eben nicht primär bei bei
> geklauten Accounts sehen würde - das ist doch nur eine Ursache.
> 
> Für mich geht es eher um die Folgen: Am Ende des Tages hat ein
> legitimierter Nutzer mein Mailsystem verwendet - die Frage nach nach dem
> "Wie hat er sich legitimieren können" interessiert da nicht mehr...
> 
> Aktuell sehe ich nur die Option, das Mailsystem aufzuteilen: Nicht ein
> System für alle... sondern pro x Kunden ein Mailsystem. Dann kann kann
> mal ein Segment Feuer fangen, aber ich gefährde nicht gleich alle
> Kunden... und es muss ja auch nur der Ausgang getrennt werden.
> 

Die T-kom hat ja mehrere mailouts, zwar alle im gleichen Netz, aber
es gibts zumindest eine Verteilung.

Selbst wenn sie es auf 2, 3 /24er verteilen. Sie landen wieder drauf.
(und ich verwette meinen A**** dass groessere Institutionen nicht
ueber die Mailouts gehen - fsoc.de kann ich da als Beispiel anfuehren)

Es ist ein Sport ESP dieser Groesse auf die BLs zu hieven bzw zeugt auch
davon wie egal den Spammern eigentlich die Wege sind, direkt output, relay
output, irgendein MTA wirds schon rausbringen, isser auf einer RBL, so what,
der verschwindet auch wieder von der RBL und es gibt andere. Kurz:
taugliche MTAs/Provider/Zombies sind Massenware.

Bei der Telekom mosern nur alle ueber die Telekom, wenn Google
gelistet wird hoert man aber auch vereinzelt Stimmen:

haha, google zu listen, wie bescheuert mus der RBL Betreiber sein ...


-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From driessen at fblan.de  Fri Sep 23 23:51:56 2011
From: driessen at fblan.de (Driessen)
Date: Fri, 23 Sep 2011 23:51:56 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <4E7CEA7B.4080009@googlemail.com>
References: <201109201610.58857.p.heinlein@heinlein-support.de><B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com><20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe><20110923155124.GA95076@rz.ek-muc.de><003001cc7a11$f79fa7d0$0565a8c0@uwe><4E7CD3B6.1090007@googlemail.com><004001cc7a27$59a15400$0565a8c0@uwe>
	<4E7CEA7B.4080009@googlemail.com>
Message-ID: <005101cc7a3b$03a70b80$0565a8c0@uwe>

On Behalf Of Igor Sverkos
> Hallo,
> 
> >> Es braucht nicht viel um ein PHP-Skript zu schreiben, was via
> >> mail() eine Nachricht als "bill.gates at microsoft.invalid" an
> >> "steve.jobs at apple.invalid" sendet.
> >>
> >> Was wollt ihr gegen solche Nachrichten machen?
> >
> > Nüscht als 0815 Provider.
> >
> > Als Dienstleister für meinen Kunden greifen lokale regeln. Ich lasse
> > so was nicht durch. Ist keine bei mir gehostete Adresse. Ich kann
> > nicht prüfen wem die Absender Adresse gehört.
> 
> Das möchte ich gerne einmal sehen...
> 
> Anfang des Jahres habe ich an einem Projekt mitgewirkt, wo wir bei allen
> gängigen Hostern in Deutschland u.a. dies untersucht haben. Um es gleich
> vorweg zunehmen: Wir haben keinen Hoster gefunden, wo oben genannte Mail
> *nicht* gesendet wurde.

Du warst nüscht bei mir auf dem Server, ich bin auch nicht der gängige
Hoster *gg

> 
> Getestet haben wir da typisches shared Hosting... bei

Eben da liegt der Hase im Pfeffer "typisches"  

> 
> - Telekom
> - Vodafone (ehemals Arcor PIA Webhosting)
> - 1und1
> - Strato
> - HostEurope
> - Hetzner
> - server4you
> - 1blu
> - manitu
> - artfiles
> - DomainFactory
> 
> um nur ein paar Namen zu nennen.
> 
> Alles 0815?

Wenn du das so sagst. *g
Hosting für  ab 2,50€ oder noch drunter da wird nur auf Masse abgezielt. Hab
ich nix dagegen die haben Ihre Kundschaft, ich hab Kundschaft die zahlen ein
paar EUR mehr.  

> 
> 
> >> Selbst wenn der raussendende Mailserver weiß ob die Mail als
> >> microsoft.invalid gesendet werden darf - was im shared Hosting
> >> Bereich eher nicht der Fall sein dürfte - besteht das Problem:
> >> Diese Mail würde also evtl. zurück gehalten werden, aber wenn ein
> >> Absender gewählt wurde, für den der raussendende Mailserver auch
> >> verantwortlich ist...
> >>
> >> Klärt mich auf: Was würdet ihr hier machen?
> >
> > Da greifen dann entsprechende Restriktionen zur Not Kundenbezogen
> > wenn ich denn wirklich welche hätte die so was machen würden.
> > Zumindest mein Dienst ist nicht in der Richtung aufgestellt und das
> > will ich auch gar nicht.
> 
> Da machst du es dir aber ganz einfach:
> Solche Kunden ablehnen - dann hat man das Problem nicht. Klasse :)

Gelle ist doch wirklich einfach und pragmatisch die Lösung *gg

> 
> 
> Aber das kann dir doch immer passieren:
> Sobald du für einen Kunden Mailhosting betreibst, kann dieser auf die
> Idee kommen das zu tun...

Klar meine Kunden haben auch Ideen wie Sand am Meer. Und da kommt der kleine
Unterschied ich kann alles tun damit auch so was geht aber warum sollte ich
so was verschenken? 
Und ich habe nirgends behauptet das so was nicht auch geht wenn es denn sein
muss mal eine einmalige Aktion, abgesprochen definiert evtl. auch auf einer
eigenen IP mal eben schnell ein Sendendes Mailsystem eingerichtet bzw.
hochgefahren.    


> ...ok, sollte also ein Kunde - siehe oben - auf diese Idee kommen, dann
> verhindert dies dein System, in Ordnung. Dann meldet sich der Kunde, und
> dann? ...

Betreiben wir mal Smalltalk. Reden über die Sache wann die steigen soll und
was er vorhat.   

> 
> 
> Zwischenfrage: Was machst du, wenn ein Kunde das Limit in Erfahrung
> bringt und sein Mailing entsprechend stückelt? Statt an 10.000 Kunden
> sofort zu mailen, braucht es eben 7-14 Tage... aber am Ende sind 10.000
> Leute angeschrieben, wovon eben ein paar bei sich den SPAM-Alarm
> auslösen, mit den von mir zuvor beschrieben Folgen...

Auch das fällt auf weil außerhalb der "Norm" den Schaden den er so bis zur
Entdeckung anrichten kann ist nicht sonderlich groß.

> 
> 
> > Ich werde Ihm ein Werbemailingsystem empfehlen das sich auf den
> > Massenversand spezialisiert hat.
> 
> ...ok - du sagst deinem Kunden also: Keine Massenmails über mich. Ich
> weiß nicht, ob man das als kleiner Dienstleister unbedingt tun kann: Zum
> einen ist man auf Geld angewiesen (klar, nicht jedes Geld ist gut - aber
> wir sprechen hier ja von legitimen Nachrichten) und zum anderen steckt
> in dem Wort Dienstleister ja auch etwas "dienen"... (also du willst ja
> Leistung erbringen)

Naja ich kann auch meine Seele dem Teufel verkaufen. Die Frage ist will ich
das??
Ich diene genau dass an wofür ich selber auch bereit bin gerade zu stehen.
 

> 
> 
> > Soviel kann ich nicht verdienen das es solchen Ärger Wert wäre wenn
> > das Hauptmailsystem aufgrund solcher Aktionen da irgendwo drauf
> > landet.
> 
> ...ah, Geld ist dir egal, ok.

Jab Geld brauche ich nur um meine Rechnungen zu bezahlen. Wenn Andere keins
von mir haben wollten dann bräuchte ich auch keins. Der Euro verliert eh
gerade wieder an wert *gg

> 
> Also du scheinst es konsequent durchzuziehen:
> Wer *viele* Mails versendet darf dein Hauptsystem nicht nutzen.
> 
> Und wenn er doch senden muss?
> 
> > Solche Kunden nicht aufnehmen. Wer soviel versenden möchte kann gerne
> > ein eigenes System benutzen Pflegen und evtl. auch von mir betreut
> > bekommen ansonsten s.o.
> 
> OK - also du bist konsequent, dass muss ich dir lassen.
> 
> Wenn du das so durchziehst, Respekt. Aber was bedeutet denn für dich
> viel? Wenn ein Handwerksmeister zu seinem 50. Firmenjubiläum einlädt und
> an alle seine Kunden eine Einladung/Dankesnachricht senden möchte - wo
> ziehst du da die Grenze? 10? 100? 200? 500? 1000? ...

Nee der Handwerkmeister der bei mir ist, den Kenne ich so gut, das ich in
der Regel mit denen per Du bin, da wird über so was gesprochen und dann kann
man das machen wenn er es nicht sogar in Auftrag gibt das ich das mache weil
das Wissen da ist wie man das am besten macht.  


> 
> Aber irgendwie kann ich mir nicht vorstellen, dass du das blockierst und
> sagst: Für x€ stelle ich dir ein Mailsystem zur Verfügung, worüber du
> diese Nachricht senden kannst! :)
> 
> 
> Wenn ich das alles so richtig verstanden habe, dann würdest du als
> Telekom folgendes tun:

A. ich bin nicht die Telekom 
B. möchte ich den Laden nicht geschenkt haben.(im Moment schon 2 mal nicht)
> 
> Über das Hauptmailsystem dürfen nur einfache Nachrichten gesendet
> werden; desweiteren gibt es Limits pro E-Mailaccount (du setzt
> wahrscheinlich das Limit sogar pro Kunde).
> 
> Shared Hosting würdest du streichen oder eben so konfigurieren, dass der
> shared Webserver direkt raussendet - dann verbrennt ggf. dessen IP
> einmal - dir aber egal.
> Auf die Prüfung ob als Absender X gesendet werden darf, wirst du wohl
> verzichten. Wäre bei shared Hosting doch sehr aufwändig... zumal ich
> nicht wüsste, wie du es schaffst das Kunde1 der wie Kunde2 auf server1
> ist, nicht als Kunde2 sendet Kunde2 aber schon als Kunde2 senden kann...

Tja das wird mir immer ein Rätzel bleiben wie Kunde 2 mit den Daten von
Kunde 1 sendet wenn er an die Daten nicht dran kommt. Und mit Anmeldung
Kunde 1 funktioniert auch nur die Mailadresse von Kunde 1 abgehend.

Ich fahre ein Klare und strikte Policy es darf nur der der sich angemeldet
hat unter seinem Namen senden. Alles was anders versucht wird bekommt auf
die Glocke *gg
> 
> Features wie der Relay-Host würden bei dir wohl teurer werden, weil du
> jedem Kunden der das will ein eigenes Mailsystem hinstellen würdest...

Und weiter wo ist das Problem das ein Kunde der die Leistung benötigt und
das Netz damit belastet auch für das was er nutzt seinen Obolus entrichtet??

Ist wie bei der Müllabfuhr. Wenn die Tonne überfüllt ist bleibt sie stehen
oder du kaufst dir zusätzlich einen Sack und stellst Ihn daneben.

Den "geiz ist Geil" Kunden schicke ich zu dem Provider der das unterstützt
da bekommt er genau das wofür er bezahlt und manchmal noch nicht mal das.  
Sollen sich andere damit rumärgern. Unbezahlte Hotline stundenlang das hab
ich mal gemacht.

Mein Liebster Spruch ist " Früher habe ich jeden Auftrag angenommen, heute
verdiene ich an jedem Auftrag den ich ausführe"


> 
> Tjoa - kann man alles so machen. Aber irgendwie finde ich das sehr
> radikal und weltfremd.

Radikal klar warum auch nicht. Es ist ja keiner gezwungen mit mir ins Bett
zugehen. 
Weltfremd aber gerne wenn das heißt das ich nicht die Fehler anderer
Ausbügeln muss. *g
Ich hab auch nicht einen Account bei irgendeinem Sozialnetwork. Ich schnapp
mir ne Flasche Bier und setz mich beim Nachbarn auch noch auf die Treppe
oder in den Garten und unterhalte mich lieber wie mein Innerstes in die Welt
zu Posaunen. Hab Frau, Tochter und Sohn, Hund(ein ganz gefährlicher lt.
Gesetz), Haus und Garten und brauche nicht die dauernde Berieselung bzw. die
dauernde Netzpräsens auf den Sozialnetworks.
Ich kann mich noch mit Sprache verständigen. 
Wenn alles gut geht werd ich nicht an stressbedingtem Herzinfarkt sterben.
*gg  

Also warum sollte ich mir den Stress wegen 10 Euro mehr pro Kunde im Monat
antun und solche Massenversender auf die Server holen? Wegen den 10 EURO
gehe ich noch nicht mal mehr ans Telefon. 

Auch mal bei schönem Wetter mittags um 3Uhr in den Liegestuhl im Garten
abhängen und für 2 Stunden nicht erreichbar sein kann ich auch so schon
machen. Dafür brauche ich nicht einen Kunden mehr.
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From driessen at fblan.de  Sat Sep 24 00:14:30 2011
From: driessen at fblan.de (Driessen)
Date: Sat, 24 Sep 2011 00:14:30 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923205817.GB95670@rz.ek-muc.de>
References: <20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe><20110923155124.GA95076@rz.ek-muc.de><003001cc7a11$f79fa7d0$0565a8c0@uwe><20110923191937.GA95257@rz.ek-muc.de><004a01cc7a2a$262250e0$0565a8c0@uwe><20110923202013.GA95670@rz.ek-muc.de><4E7CEF02.5060108@googlemail.com>
	<20110923205817.GB95670@rz.ek-muc.de>
Message-ID: <005201cc7a3e$2bdf7e90$0565a8c0@uwe>

On Behalf Of Robert Felber
> 
> On Fri, Sep 23, 2011 at 10:41:38PM +0200, Igor Sverkos wrote:
> > Hallo,
> >
> > Robert Felber schrieb:
> > > Sorry, aber auf die Infektionsrate kommt es an, dazu brauch keiner
> unbedingt
> > > seine Daten eingeben.

Kommt noch hinzu das es zumindest früher bei T-Online so war das man mit den
Zugangsdaten zum Inet auch gleichzeitig beim Mailserver angemeldet war.
Es wurde kein zusätzlicher Benutzername und PW benötigt um Mails zu
empfangen und oder zu senden.(hätte ich heute mal bei der T-Online Kundin
nachschauen können ob das immer noch so ist)

> > >
> > > [...]
> >
> > *FACK*.
> >
> > Bis auf den Punkt, dass ich die Gefahr eben nicht primär bei bei
> > geklauten Accounts sehen würde - das ist doch nur eine Ursache.
> >
> > Für mich geht es eher um die Folgen: Am Ende des Tages hat ein
> > legitimierter Nutzer mein Mailsystem verwendet - die Frage nach nach dem
> > "Wie hat er sich legitimieren können" interessiert da nicht mehr...
> >
> > Aktuell sehe ich nur die Option, das Mailsystem aufzuteilen: Nicht ein
> > System für alle... sondern pro x Kunden ein Mailsystem. Dann kann kann
> > mal ein Segment Feuer fangen, aber ich gefährde nicht gleich alle
> > Kunden... und es muss ja auch nur der Ausgang getrennt werden.
> >
> 
> Die T-kom hat ja mehrere mailouts, zwar alle im gleichen Netz, aber
> es gibts zumindest eine Verteilung.
> 
> Selbst wenn sie es auf 2, 3 /24er verteilen. Sie landen wieder drauf.
> (und ich verwette meinen A**** dass groessere Institutionen nicht
> ueber die Mailouts gehen - fsoc.de kann ich da als Beispiel anfuehren)
> 
> Es ist ein Sport ESP dieser Groesse auf die BLs zu hieven bzw zeugt auch
> davon wie egal den Spammern eigentlich die Wege sind, direkt output, relay
> output, irgendein MTA wirds schon rausbringen, isser auf einer RBL, so
> what,
> der verschwindet auch wieder von der RBL und es gibt andere. Kurz:
> taugliche MTAs/Provider/Zombies sind Massenware.

Eben das ist das Problem weil diese Systeme Spamtauglich sind werden die
auch missbraucht.
Eine Virtuelle Maschine als Mailrelay von mir schafft auch ca. 2 Mio
Mailoutput mit Scan's in 24 Stunden aber das ist nicht interessant weil sie
wesentlich schwerer zu knacken ist und das in der Art nicht zulässt.  

> 
> Bei der Telekom mosern nur alle ueber die Telekom, wenn Google
> gelistet wird hoert man aber auch vereinzelt Stimmen:

Nö iss mir in der Regel egal wer warum wieso auf irgendeiner BL steht.
Mich regt auf das die Telekom versucht sich rauszureden und die
Verantwortung Ihrer Problem auf unbeteiligte Dritte abzuwälzen.  


> 
> haha, google zu listen, wie bescheuert mus der RBL Betreiber sein ...
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




From rudi.floren at googlemail.com  Sat Sep 24 00:33:43 2011
From: rudi.floren at googlemail.com (Rudi Floren)
Date: Sat, 24 Sep 2011 00:33:43 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923151156.GA94954@rz.ek-muc.de>
References: <201109201610.58857.p.heinlein@heinlein-support.de>
	<B5DAED27-619C-44B5-9814-2EAF239964B7@veka.com>
	<20110923105948.GA94231@rz.ek-muc.de>
	<001401cc79eb$6985e5c0$0565a8c0@uwe>
	<20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923151156.GA94954@rz.ek-muc.de>
Message-ID: <4E7D0947.8090509@googlemail.com>

Am 23.09.2011 17:11, schrieb Robert Felber:
> On Fri, Sep 23, 2011 at 04:58:47PM +0200, Driessen wrote:
>> On Behalf Of Robert Felber
>>> On Fri, Sep 23, 2011 at 04:29:50PM +0200, Driessen wrote:
>>>> On Behalf Of Robert Felber
>>>>> On Fri, Sep 23, 2011 at 02:22:07PM +0200, Driessen wrote:
>>>>>> On Behalf Of Robert Felber
>>>>>>> Ich glaube, man sollte die Mail mit etwas Abstand lesen.
>>>>>>> Die Mail enthaelt Wahrheiten als auch
>>>>> Verantwortungsverlagerungsversuche.
>>>>>>> 1. Sie haben voellig recht, dass die Telekom einen Grossteil
>>>>> infizierter
>>>>>>> Kundensysteme hat.
>>>>>> Abschalten so wie es üblich ist. Wer unsichere Scripte auf seinen
>>> Web's
>>>>>> benutzt muß damit rechnen die Konsequenz zu tragen.
>>>>> Ich sehe, du machst es dir etwas zu einfach. Wir reden von normalen
>>>>> Dialin-Kunden,
>>>>> und - mit verlaub - es werden die Konten gesperrt.
>>>>> Du verlangst also etwas, was schon Praxis ist.
>>>> Höööö wer redet von dem Telekom Dialin ? die sehe ich hier doch
>>> überhaupt
>>>> nicht auf meinem Server aufschlagen. Ich rede von den mailout Servern
>>> der
>>>> Telekom/T-online.
>>> Wir reden von Dialin Kunden deren Account-Daten gekapert werden, und die
>>> Mail
>> Tja wie kam der Hacker/der Kriminelle an die Daten? Wie wurde der Kunde dazu
>> verführt auf einer "nicht" T-Online HP seine Daten einzugeben?
>> Wer hat diese Mail dem Kunden zugestellt?
>>
>>> submissionieren bzw authentifiziert bei den T-online/Whatever-relays
>>> reinkippen.
>> Welcher "normale" Mailkunde aus Dialin (noch nicht mal mit einer eigenen HP)
>> kippt innerhalb kurzer Zeit 100derte wenn nicht tausende Mails über seinen
>> acount ein?
>> Also wird auch das gleichzeitige einliefern auf ein in der Regel
>> ausreichendes Maß reglementiert.
>>
>>
>>
>>
>>> Ich moechte dich sehen, wie du
>>>
>>> a) ohne rechtliche Grundlage die Mails deiner Kunden scannst
>>> und
>> Wer spricht denn hier von "KEINER" rechtlichen Grundlage? Wer bei mir ein
>> Konto hat kennt die Sicherheitsvorkehrungen die auch zu seinem Schutz
>> getroffen wurden.
>
> Ja, aber, du meinst im Ernst, du darfst einfach so die ausgehenden Mails
> deiner Kunden scannen? Nee nee, das geht wenn ueberhaupt nur mit ausdruecklichster
> Erlaubnis des Kunden. AGBs duerften dazu nicht ausreichen. Ich bin aber kein
> Anwalt.
>
> Mehr dazu hier:
> http://www.eco.de/dokumente/Gutachten_Provider_gegen_Spam2007_Final.pdf
>
> Seiten 36ff sind sehr interessant.
> Ich werde in diesem Punkt sehr gern korrigiert.
>
>>> b) deine Mailrelays trotz Scanner vor brandneue Malware, die ueber deine
>>> SMTPs rausgeht, schuetzen willst
>> In dem die Frühwarnsysteme anschlagen bzw. die Restriktionen greifen und es
>> für einen gewissen Zeitraum verhindert wird das Mails von einer bestimmten
>> auffälligen IP eingekippt werden.
> Wird gemacht (und das schon in entspr. rechtlichen Grauzonen). Die brauchen echt
> am besten Hinweise von aussen!
>
>> Ausführbare Dateien und solche die Schadware enthalten könnten werden
>> grundsätzlich nicht transportiert. Die gehen sofort zurück. (mail war nie
>> dafür konzipiert).
> Eh, wie bitte? Das geht, wenn du ein Unternehmen hast, und deine MAs beschraenken
> willst. Ja. Als ESP, nein.
Google verwehrt auch das Senden von ausführbaren Dateien, somit geht es 
als ESP sehr wohl.

>
>> Ich kann es nicht bis aufs letzte verhindern aber ich kann es soweit
>> verzögern das ich das merke bevor mein Kunde das merkt.
>>
>> Es verlangt niemand von T das die alles verhindern können aber sie können es
>> eingrenzen und mindern.
> Machen sie. Du kennst aber Skaleneffekte bzw Grenzprodukte? Bei 100 Kunden kraeht kein
> Hahn. Bei 1000 Kunden - immernoch nicht. Wir kommen hier in Millionen.
> Da ist das alles nicht mehr ganz so erschoepfend mit den Masznahmen. Sieht man ja
> auch wunderbar daran, dass es so clevere Leute wie google erwischt.
>
>
>> Bis das T auf den großen RBL's landet muß schon so einiges passieren.
>>
>>
>> Und bitte es ist nicht meine Sache der Telekom vorzuschreiben wie sie es
>> machen müssen aber wenn es eben einen gewissen Schwellenwert erreicht oder
>> aber diese auf den RBL's landen dann ist die Gefahr sich etwas von dem Mist
>> einzufangen einfach zu groß und dann sage ich zumindest wird zu dem
>> Zeitpunkt nicht angenommen.
> Richtig. Dagegen hat die T sicher auch nix, warum sollte sie auch, wer waere sie denn,
> dir vorzuschreiben, was du zu untrlassen oder zu machen hast (das lassen sie auch
> in der Mitteilung durchblicken). Wie ich eingangs erwaehnte, gehe ich
> davon aus, dass sie sich ueber die gedankenlosen default-blocker beschweren.
>
>
>
--
Rudi Floren



From driessen at fblan.de  Sat Sep 24 01:06:52 2011
From: driessen at fblan.de (Driessen)
Date: Sat, 24 Sep 2011 01:06:52 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <20110923202013.GA95670@rz.ek-muc.de>
References: <20110923105948.GA94231@rz.ek-muc.de><001401cc79eb$6985e5c0$0565a8c0@uwe><20110923133110.GA94621@rz.ek-muc.de><002501cc79fd$412f56d0$0565a8c0@uwe><20110923144227.GA94824@rz.ek-muc.de><002c01cc7a01$4c3f6200$0565a8c0@uwe><20110923155124.GA95076@rz.ek-muc.de><003001cc7a11$f79fa7d0$0565a8c0@uwe><20110923191937.GA95257@rz.ek-muc.de><004a01cc7a2a$262250e0$0565a8c0@uwe>
	<20110923202013.GA95670@rz.ek-muc.de>
Message-ID: <005901cc7a45$7ba9cf00$0565a8c0@uwe>

On Behalf Of Robert Felber
> On Fri, Sep 23, 2011 at 09:51:12PM +0200, Driessen wrote:
> > Das sich wirklich 10000 Kunden innerhalb von 2-3 Tagen dazu verführen
> lassen
> > Ihre Daten "irgendwo" einzugeben da kann ich fast nicht dran glauben.
> 
> Sorry, aber auf die Infektionsrate kommt es an, dazu brauch keiner
> unbedingt
> seine Daten eingeben.

Bleibt die Frage des Infektionsweges.
99% passiert über Mail.
Zumindest im Ansatz und dann werden die Links darin angeklickt.

Auch da muß man ab und an mal Ursachenforschung betreiben denn nur wer die
Infektionswege kennt kann auch dagegen etwas unternehmen.

Da reicht schon manchmal ein Eintrag im eigenen DNS Server aus damit der
Kunde auch nicht aus versehen auf diese Seiten kommt. Und so was hat nichts
mit Zensur zu tun das macht "das" Internetsecurity Paket auch.

Das Mails mit solchem Inhalt nicht angenommen werden usw. usw. 

Freiheit ist ein Hochwertiges Gut, damit ich frei bleibe muß ich mich aber
manchmal einschränken. 

> An Login-Daten kommt doch nicht nur durch Phishing bzw Vorspielen einer
> Webmailer (oder was auch immer Seite) ran. Meist reicht es, die Fritzbox
> auszulesen.
> Sowas kann dir auch passieren, wenn du auf irgend einer boesen cracker-
> seite mal
> eine flash-anim anguckst oder PDF liest, was meinst denn du wie schnell da
> alle
> moeglichen Login-Daten in die Zombie-DBs fliessen?

Tja so isses fürs Auto musste Prüfung machen. Kinder darf jeder haben, Hunde
darf jeder halten und ins Netz da fragt auch keiner nach dem Wissen der
Bediener. 

> 
> Und die Infektionsrate IST hoch.
> 
> Mir graust es da und ich wunder mich, wie das die Service Provider (Egal
> ob Internet
> oder E-mail oder Banking) abfedern sollen.

Vorne Anfangen, Infektionswege eindämmen dann geht das schon.

> 
> Ich fuer meinen Teil sehe einen absoluten Unterschied zwischen einem
> kleinen
> (<1.000.000 Kunden) Hoster/ISP/ESP und > 1.000.000 muendigen Kunden mit
> Publicty und Medienpraesenz.
> 
> Das sind andere Level, und andere Herausforderungen.

Sein Schicksal bestimmt jeder zum großen Teil selber. 
Dran gehen an die Herausforderungen, alte Zöpfe abschneiden.

> 
> Wie gesagt, ich blocke die Telekom wohl uU mit, aber schiebe der Telekom
> da jetzt wenig Schuld zu.

Ganz so leicht darf man es sich nicht machen. Es geht auch nicht unbedingt
um einen Schuldigen zu finden (das sind eh die Kriminellen die das
ausnutzen) es geht darum das die sich bewegen, bemühen und auch wirklich
merkbar etwas dagegen unternehmen. 
Agieren war schon immer besser wie nur reagieren. 
Und in der Haftung sind se eh wie jeder andere auch für den Schaden den Sie
bei anderen anrichten. 


> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397



From r.felber at ek-muc.de  Sat Sep 24 08:01:22 2011
From: r.felber at ek-muc.de (Robert Felber)
Date: Sat, 24 Sep 2011 08:01:22 +0200
Subject: [Postfixbuch-users] T-Online whitelisten -- die Argumente
In-Reply-To: <005901cc7a45$7ba9cf00$0565a8c0@uwe>
References: <20110923133110.GA94621@rz.ek-muc.de>
	<002501cc79fd$412f56d0$0565a8c0@uwe>
	<20110923144227.GA94824@rz.ek-muc.de>
	<002c01cc7a01$4c3f6200$0565a8c0@uwe>
	<20110923155124.GA95076@rz.ek-muc.de>
	<003001cc7a11$f79fa7d0$0565a8c0@uwe>
	<20110923191937.GA95257@rz.ek-muc.de>
	<004a01cc7a2a$262250e0$0565a8c0@uwe>
	<20110923202013.GA95670@rz.ek-muc.de>
	<005901cc7a45$7ba9cf00$0565a8c0@uwe>
Message-ID: <20110924060122.GA42155@rz.ek-muc.de>

On Sat, Sep 24, 2011 at 01:06:52AM +0200, Driessen wrote:
> > 
> > Sorry, aber auf die Infektionsrate kommt es an, dazu brauch keiner
> > unbedingt
> > seine Daten eingeben.
> 
> Bleibt die Frage des Infektionsweges.
> 99% passiert über Mail.
> Zumindest im Ansatz und dann werden die Links darin angeklickt.

Eher via Drive-by und Social Networks (also HTTP) - das ergeben
meine Schlussfolgerungen aus der Analyse von Kunden-Rechner/Laptops sowie
meines AGs. (Uebrigens, Shopsysteme sind sehr beliebt um Malware-PDFs zu
hinterlegen).

Anyway, ich habe in der Mitteilung nur die "normale" Verantwortungsverlagerung
gelesen (wenn du irgendwo geblockt wirst, versuchst du genauso es erstmal auf
den anderen Postmaster zu schieben). Ich habe in der Mail auch gelesen,
dass Aenderungen durchgesetzt werden konnten. 

Ich bin aus dem Topic erstmal raus, man kann staendig drauf einkloppen, und
man kann konstruktiv die Sache auseinander nehmen. Hier passiert mir pers.
zu viel Gekloppe.

-- 
	Robert Felber, PGP: D1B2F2E5          http://www.selling-it.de



From news at s-angrick.de  Sat Sep 24 20:55:06 2011
From: news at s-angrick.de (Stephanie Angrick)
Date: Sat, 24 Sep 2011 20:55:06 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?Tempor=E4re_Probleme_mit_einem?=
	=?iso-8859-1?q?_Exchange-Server_aber_Mails_bleiben_hinterher_trotz?=
	=?iso-8859-1?q?dem_h=E4ngen?=
Message-ID: <20110924184703.4B2A94879A@hastur.s-angrick.de>

Hallo,

Ich habe momentan mit einem merkwürdigen Phänomen zu kämpfen.
Wir setzen unternehmensweit Exchange-Mailserver ein, da wir aber für einen
bestimmten Einsatzzweck nicht über den offiziellen Exchange-Server senden
können (angeblich kommt der mit der Menge nicht klar) gibt es noch einen
sendenden Postfix-Server in unserem Netz.
Dieser hat ab und an mal Probleme Mails an den Exchange-Server abzusetzen.
(Ursache unbekannt, entweder weiß unsere IT nicht woran es liegt oder die
ignorieren uns Benutzer  geflissentlich :-( )

Der erste Zustellversuch sieht dann wie folgt aus

Sep 20 13:52:04 desuadgwy7 postfix/smtpd[28151]: 6B1F0118BF3:
client=unknown[10.12.7.200] Sep 20 13:52:04 desuadgwy7
postfix/cleanup[28153]: 6B1F0118BF3:
message-id=<20110920115204.6B1F0118BF3 at mail.xxx.com>
Sep 20 13:52:04 desuadgwy7 postfix/qmgr[7874]: 6B1F0118BF3:
from=<download.de at xxx.com>, size=1650, nrcpt=1 (queue active) Sep 20
14:02:04 desuadgwy7 postfix/smtp[28154]: 6B1F0118BF3:
to=<recipient at xxx.com>, relay=cosnprexc3.usr.xxx.loc[10.1.1.182], delay=600,
status=deferred (conversation with cosnprexc3.usr.xxx.loc[10.1.1.182] timed
out while sending end of data -- message may be sent more than once) Sep 20
14:19:45 desuadgwy7 postfix/qmgr[7874]: 6B1F0118BF3:
from=<download.de at xxx.com>, size=1650, nrcpt=1 (queue active) Sep 20
14:19:45 desuadgwy7 postfix/smtp[28230]: 6B1F0118BF3: enabling PIX
<CRLF>.<CRLF> workaround for cosnprexc3.usr.xxx.loc[10.1.1.182]
Sep 20 14:29:55 desuadgwy7 postfix/smtp[28230]: 6B1F0118BF3:
to=<recipient at xxx.com>, relay=cosnprexc3.usr.xxx.loc[10.1.1.182],
delay=2271, status=deferred (conversation with
cosnprexc3.usr.xxx.loc[10.1.1.182] timed out while sending end of data --
message may be sent more than once)

Das passierte an dem Tag mal wieder bei einigen Mails. Am nächsten Tag
wurden neue Mails erfolgreich zugestellt.
Die hängenden Mails werden aber partout nicht zugestellt

Sep 23 16:46:25 desuadgwy7 postfix/qmgr[7874]: 6B1F0118BF3:
from=<download.de at xxx.com>, size=1650, nrcpt=1 (queue active) Sep 23
16:46:26 desuadgwy7 postfix/smtp[7144]: 6B1F0118BF3: enabling PIX
<CRLF>.<CRLF> workaround for cosnprexc3.usr.xxx.loc[10.1.1.182]
Sep 23 16:56:36 desuadgwy7 postfix/smtp[7144]: 6B1F0118BF3:
to=<recipient at xxx.com>, relay=cosnprexc3.usr.xxx.loc[10.1.1.182],
delay=270272, status=deferred (conversation with
cosnprexc3.usr.xxx.loc[10.1.1.182] timed out while sending end of data --
message may be sent more than once)

Dann habe ich entnervt (weil unsere IT nicht reagierte und ich die passenden
Zugriffsrechte habe) postsuper -r ALL aufgerufen und danach klappte es auch
mit den hängenden Mails.

Sep 23 17:56:46 desuadgwy7 postfix/cleanup[7450]: 25B84118EC2:
message-id=<20110920115204.6B1F0118BF3 at mail.xxx.com>
Sep 23 17:56:46 desuadgwy7 postfix/smtp[7403]: 25B84118EC2:
to=<recipient at xxx.com>, relay=cosnprexc3.usr.xxx.loc[10.1.1.182],
delay=-390, status=sent (250 2.6.0
<20110920115204.6B1F0118BF3 at mail.de.xxx.com> Queued mail for delivery)

Mich würde interessieren, wieso es nach einem requeue klappen konnte, denn
auf dem Postfix-Server hat sich definitiv nichts verändert. Und bisher hatte
ich mit requeue eigentlich nur dann zu tun, wenn ich das rewriting geändert
habe umd die neu durchlaufen zu lassen. Allerdings habe ich selber mit
Mailservern nur noch selten zu tun (seitdem wir exchange einsetzen)

Gibt es dafür eine plausible Erklärung?
Kann das ursprüngliche Problem evtl. doch mit dem Postfix-Server zu tun
haben?

Schönen Gruß
Stephanie



From postfixbuch at cboltz.de  Sun Sep 25 21:27:07 2011
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Sun, 25 Sep 2011 21:27:07 +0200
Subject: [Postfixbuch-users] Passwort-Checks in PostfixAdmin (was: Re:
	Kundenserver filzen)
In-Reply-To: <4E53CFDA.6030405@xunil.at>
References: <4E1C73BF.1040905@xunil.at> <201108231718.48744@tux.boltz.de.vu>
	<4E53CFDA.6030405@xunil.at>
Message-ID: <201109252127.08490@tux.boltz.de.vu>

Hallo Stefan, hallo Leute,

da diese Mail schon etwas älter ist: Es geht um die Überprüfung von 
neuen Passwörtern in PostfixAdmin (z. B. Mindestlänge und enthaltene 
Zeichen).

Am Dienstag, 23. August 2011 schrieb Stefan G. Weichinger:
> Am 2011-08-23 17:18, schrieb Christian Boltz:
> > Ich bin inzwischen zur Überzeugung gekommen, dass wir vermutlich
> > ein Array mit (potenziell) mehreren RegEx brauchen. 

> > Wenn man da noch ein paar Bedingungen dazupackt und es mit einer
> > einzigen RegEx machen will, wäre das Ergebnis eine Monster-RegEx
> > ;-) daher sind mehrere RegEx wohl die bessere Lösung.

> > Das Ganze muss dann wohl in ein Array:
> > 
> > $CONF['password_validation'] = array(
> >     '/......../' => 'Fehlermeldung, wenn nicht erfüllt',
> >     [...]
> > );

> > Die Fehlermeldung sollte möglichst aus $PALANG kommen - was die
> > Sache nochmal interessanter macht, weil ich dann auch noch den
> > Hook für die $PALANG-Texte einbauen muss ;-)
> 
> Wäre grossartig, das bald umgesetzt zu sehen, ja.
> Bin bereit, das zu testen, zum Programmieren fehlt es mir dann doch
> an Knowhow und Übung.

Dann stürze Dich mal auf die PostfixAdmin-Version in SVN trunk - die 
macht das alles seit eben.

Das Ganze ist über $CONF['password_validation'] konfigurierbar, evtl. 
brauchst Du auch $CONF['language_hook'].

Mehr verrate ich an dieser Stelle nicht - die Kommentare in 
config.inc.php sollten eigentlich reichen. Falls irgendwas unklar ist, 
beklage Dich bitte ;-) und falls irgendwas nicht wie geplant 
funktioniert, natürlich auch.

$CONF['min_password_length'] ist in SVN trunk überflüssig und obsolet, 
wird aber noch ausgewertet.

create-admin und create-mailbox in SVN trunk überprüfen seit eben 
übrigens auch das Passwort anhand von $CONF['password_validation'].


Gruß

Christian Boltz
-- 
Eine Windows-Kiste als Tor zu Welt - das wäre ja so, als  würde man
einen Blinden, einen Lahmen und einen Tauben als Wachschutz einsetzen.
[Matthias Houdek in suse-linux]


From lists at xunil.at  Mon Sep 26 10:12:57 2011
From: lists at xunil.at (Stefan G. Weichinger)
Date: Mon, 26 Sep 2011 10:12:57 +0200
Subject: [Postfixbuch-users] Passwort-Checks in PostfixAdmin
In-Reply-To: <201109252127.08490@tux.boltz.de.vu>
References: <4E1C73BF.1040905@xunil.at> <201108231718.48744@tux.boltz.de.vu>
	<4E53CFDA.6030405@xunil.at> <201109252127.08490@tux.boltz.de.vu>
Message-ID: <4E803409.1040306@xunil.at>

Am 2011-09-25 21:27, schrieb Christian Boltz:
> Dann stürze Dich mal auf die PostfixAdmin-Version in SVN trunk - die
>  macht das alles seit eben.

Danke, Christian!

Ich werde sehen, wann ich in Ruhe dazu komme, das zu testen.

Derzeit läuft dort postfixadmin 2.3.2, mal sehen, wie sich Trunk da
applizieren lässt ;-)

Stefan


From ralf.prengel at rprengel.de  Mon Sep 26 18:29:03 2011
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Mon, 26 Sep 2011 18:29:03 +0200
Subject: [Postfixbuch-users] Problem mit Weiterleitung per always_bcc
Message-ID: <4E80A84F.3010609@rprengel.de>

Folgendes habe ich konfiguriert:
main.cf
always_bcc = archiv at mailarchiv
transport
archiv at mailarchiv smtp:[192.168.3.155]:2500
es handelt sich um ein Testsystem das seine Mail in einem openbenno 
Mailarchiv ablegen soll. Das Archivsystem ist in /etc/hosts eingetragen
Als Basissystem wird Centos 6 genutzt.
Kann mir jemand einen Tip geben was ich übersehe?



in der maillog finde ich
Sep 26 20:12:54 vadertst postfix/local[2982]: warning: dict_nis_init: 
NIS domain name not set - NIS lookups disabled
Sep 26 20:12:54 vadertst postfix/local[2982]: 87BA1407A6: 
to=<root at localhost.localdomain>, orig_to=<root at localhost>, relay=local, 
delay=0.08, delays=0.05/0.02/0/0.01, dsn=2.0.0, status=sent (delivered 
to mailbox)
Sep 26 20:12:54 vadertst postfix/smtpd[2976]: disconnect from localhost[::1]
Sep 26 20:12:54 vadertst postfix/smtp[2981]: 87BA1407A6: 
to=<archiv at mailarchiv.localdomain>, relay=none, delay=0.11, 
delays=0.05/0.02/0.05/0, dsn=5.4.4, status=bounced (Host or domain name 
not found. Name service error for name=mailarchiv.localdomain type=AAAA: 
Host not found)

Das System sollte auflösbar sein.

[root at vadertst etc]# ping mailarchiv
PING mailarchiv.localdomain (192.168.3.155) 56(84) bytes of data.
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=1 ttl=64 
time=0.514 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=2 ttl=64 
time=0.446 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=3 ttl=64 
time=0.402 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=4 ttl=64 
time=0.417 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=5 ttl=64 
time=0.390 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=6 ttl=64 
time=0.401 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=7 ttl=64 
time=0.461 ms

[root at vadertst etc]# ping mailarchiv.localdomain
PING mailarchiv.localdomain (192.168.3.155) 56(84) bytes of data.
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=1 ttl=64 
time=0.430 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=2 ttl=64 
time=0.420 ms
64 bytes from mailarchiv.localdomain (192.168.3.155): icmp_seq=3 ttl=64 
time=0.386 ms
^C


From postfixbuch-users at makomi.de  Mon Sep 26 18:33:51 2011
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Mon, 26 Sep 2011 18:33:51 +0200
Subject: [Postfixbuch-users] Problem mit Weiterleitung per always_bcc
In-Reply-To: <4E80A84F.3010609@rprengel.de>
References: <4E80A84F.3010609@rprengel.de>
Message-ID: <3E110124-F900-406D-8F36-A628B7B893CF@makomi.de>

Hallo Ralf,

Am 26.09.2011 um 18:29 schrieb Ralf Prengel:

> Folgendes habe ich konfiguriert:
> transport
> archiv at mailarchiv smtp:[192.168.3.155]:2500

> in der maillog finde ich
> Sep 26 20:12:54 vadertst postfix/smtp[2981]: 87BA1407A6: to=<archiv at mailarchiv.localdomain>, relay=none, delay=0.11, delays=0.05/0.02/0.05/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=mailarchiv.localdomain type=AAAA: Host not found)

Was passiert, wenn Du in die transport "archiv at mailarchiv.localdomain smtp:[192.168.3.155]:2500" einträgst?

Gruß,
Michael

From werner at aloah-from-hell.de  Mon Sep 26 18:51:18 2011
From: werner at aloah-from-hell.de (werner at aloah-from-hell.de)
Date: Mon, 26 Sep 2011 18:51:18 +0200
Subject: [Postfixbuch-users] Problem mit Weiterleitung per always_bcc
In-Reply-To: <3E110124-F900-406D-8F36-A628B7B893CF@makomi.de>
References: <4E80A84F.3010609@rprengel.de>
	<3E110124-F900-406D-8F36-A628B7B893CF@makomi.de>
Message-ID: <4E80AD86.7070005@aloah-from-hell.de>

Hi,

> (Host or domain name not found. Name service error for name=mailarchiv.localdomain type=AAAA: Host not found)

dir ist aufgefallen, dass dein Postfix versucht einen Quad-A-Record "mailarchiv.localdomain" aufzulösen?
Mal zum Test IPv6 in Postfix deaktiveren (inet_protocols=ipv4).

Ciao,
Werner


From ralf.prengel at rprengel.de  Wed Sep 28 15:24:15 2011
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Wed, 28 Sep 2011 15:24:15 +0200
Subject: [Postfixbuch-users] alternativer port in etc/potsfix/transport wird
	nicht ausgewertet
Message-ID: <4E831FFF.9020801@rprengel.de>

Hallo,

ich bin jetzt weiter.
Das System wird jetzt gefunden aber statt port 2500 wird port 25 genutzt

Sep 28 17:10:17 vadertst postfix/smtp[1988]: 87194407AD: 
to=<archiv at mailarchiv.localdomain>, relay=none, delay=543, 
delays=543/0.03/0/0, dsn=4.4.1, status=deferred (connect to 
mailarchiv.localdomain[192.168.3.155]:25: Connection refused)

transport ist wie folgt konfiguriert
archiv at mailarchiv.localdomain smtp:192.168.3.155:2500
transport.db wurde zur Sicherheit gelöscht und neu erzeugt
postfix wurde neu gestartet.

Hat dazu jemand noch einen Tip?

Gruß



From ralf.prengel at rprengel.de  Wed Sep 28 16:19:41 2011
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Wed, 28 Sep 2011 16:19:41 +0200
Subject: [Postfixbuch-users] alternativer port in etc/potsfix/transport
 wird nicht ausgewertet
In-Reply-To: <4E831FFF.9020801@rprengel.de>
References: <4E831FFF.9020801@rprengel.de>
Message-ID: <4E832CFD.9030104@rprengel.de>

On 28.09.2011 15:24, Ralf Prengel wrote:
> Hallo,
>
> ich bin jetzt weiter.
> Das System wird jetzt gefunden aber statt port 2500 wird port 25 genutzt
>
> Sep 28 17:10:17 vadertst postfix/smtp[1988]: 87194407AD:
> to=<archiv at mailarchiv.localdomain>, relay=none, delay=543,
> delays=543/0.03/0/0, dsn=4.4.1, status=deferred (connect to
> mailarchiv.localdomain[192.168.3.155]:25: Connection refused)
>
> transport ist wie folgt konfiguriert
> archiv at mailarchiv.localdomain smtp:192.168.3.155:2500
> transport.db wurde zur Sicherheit gelöscht und neu erzeugt
> postfix wurde neu gestartet.
>
> Hat dazu jemand noch einen Tip?
>
> Gruß
>
Hat sich erledigt.
In der main.cf fehlte der Eintrag zur Datei.


From ruben.roegels at jumping-frog.org  Wed Sep 28 19:24:50 2011
From: ruben.roegels at jumping-frog.org (=?ISO-8859-15?Q?Ruben_R=F6gels?=)
Date: Wed, 28 Sep 2011 19:24:50 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?Mails_f=FCr_eine_Domain_am_ba?=
 =?iso-8859-15?q?ckup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
Message-ID: <4E835862.2000604@jumping-frog.org>

Schönen Guten Abend,


folgendes Szenario:

Zwei Mailserver (mx1.example.com und mx2.example.com) sind für mehrere
Domains zuständig. Das ganze wird mit den virtual_* Parametern und einer
SQL-Datenbank erledigt.

Nur mx1 stellt auch an Postfächer zu, mx2 ist ein reines
store&forward-System.

Nun das Problem:

Am mx1 prüfe ich mit virtual_mailbox_domains ob er für die Domain
zuständig ist, fällt die Prüfung positiv aus, wird mit
virtual_mailbox_maps und virtual_alias_maps über Zustellung oder
Weiterleitung entschieden.

Falls der local_part nicht existiert verweigert mx1 die Annahme der
E-Mail gegenüber dem einliefernden mx - es wird nicht gebounced!

mx2 prüft über virtual_mailbox_domains nur die Domains für die er
zuständig ist und nimmt deswegen natürlich fleißig alle E-Mails an eine
Domain an, egal ob der local_part überhaupt zugestellt werden kann oder
nicht. Beim relayen an mx1 akzeptiert dieser die E-Mail natürlich nicht
und mx2 bounced die Mail dann - schlecht.

Mein Ansatz:

mx2 prüft über virtual_mailbox_domains die vollständigen Adressen. Eine
geeignete Datenbankabfrage sorgt dafür, dass mx2 nur dann eine Domain
als Antwort aus der Datenbank erhält, wenn local_part+'@'+domain
entweder eine maibox ist oder ein alias, ansonsten liefert das Query
keine Domain als Antwort und mx2 verweigert die Annahme(?) (so wie es
mx1 auch tun würde).

Meine Frage:

Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?

Vielen Dank & Gruß,
Ruben



From technoworx at gmx.de  Wed Sep 28 19:48:55 2011
From: technoworx at gmx.de (Alexander Stoll)
Date: Wed, 28 Sep 2011 19:48:55 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E835862.2000604@jumping-frog.org>
References: <4E835862.2000604@jumping-frog.org>
Message-ID: <4E835E07.9040403@gmx.de>

Am 28.09.2011 19:24, schrieb Ruben Rögels:
> Schönen Guten Abend,
>
>
> folgendes Szenario:
>
> Zwei Mailserver (mx1.example.com und mx2.example.com) sind für mehrere
> Domains zuständig. Das ganze wird mit den virtual_* Parametern und einer
> SQL-Datenbank erledigt.
>
> Nur mx1 stellt auch an Postfächer zu, mx2 ist ein reines
> store&forward-System.
>
> Nun das Problem:
>
> Am mx1 prüfe ich mit virtual_mailbox_domains ob er für die Domain
> zuständig ist, fällt die Prüfung positiv aus, wird mit
> virtual_mailbox_maps und virtual_alias_maps über Zustellung oder
> Weiterleitung entschieden.
>
> Falls der local_part nicht existiert verweigert mx1 die Annahme der
> E-Mail gegenüber dem einliefernden mx - es wird nicht gebounced!
>
> mx2 prüft über virtual_mailbox_domains nur die Domains für die er
> zuständig ist und nimmt deswegen natürlich fleißig alle E-Mails an eine
> Domain an, egal ob der local_part überhaupt zugestellt werden kann oder
> nicht. Beim relayen an mx1 akzeptiert dieser die E-Mail natürlich nicht
> und mx2 bounced die Mail dann - schlecht.
>
> Mein Ansatz:
>
> mx2 prüft über virtual_mailbox_domains die vollständigen Adressen. Eine
> geeignete Datenbankabfrage sorgt dafür, dass mx2 nur dann eine Domain
> als Antwort aus der Datenbank erhält, wenn local_part+'@'+domain
> entweder eine maibox ist oder ein alias, ansonsten liefert das Query
> keine Domain als Antwort und mx2 verweigert die Annahme(?) (so wie es
> mx1 auch tun würde).
>
> Meine Frage:
>
> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?
>
> Vielen Dank&  Gruß,
> Ruben
>
Ja, dieses Setup ist ein Musterbeispiel einer unnötigen Redundanz 
(Store&Forward) mit zusätzlicher Fehlerquelle (Backscatter) so lange 
nicht irgendwelche (praktischen!) Lastfälle eine Rolle spielen.

Dieses Setup ist nur sinnvoll wenn:
- Last verteilt werden soll/muss
- Ein redundantes Backend den Zugriff auf die Postfächer sichert wenn 
ein (Front)System tatsächlich mal lahmt.

Ansonsten spart man sich die Komplexität eines zweiten MX mit der 
Notwendigkeit auch auf dem für eine funktionierende Empfängervalidierung 
sorgen zu müssen.

Zum Ansatz: Grundsätzlich richtig, wie man das am elegantesten erledigt 
und ob das ein DB-Backend sein muss, gibt die Eingangsinfo nicht her.



From ruben.roegels at jumping-frog.org  Wed Sep 28 20:04:28 2011
From: ruben.roegels at jumping-frog.org (=?ISO-8859-1?Q?Ruben_R=F6gels?=)
Date: Wed, 28 Sep 2011 20:04:28 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E835E07.9040403@gmx.de>
References: <4E835862.2000604@jumping-frog.org> <4E835E07.9040403@gmx.de>
Message-ID: <4E8361AC.9090408@jumping-frog.org>



Am 28.09.2011 19:48, schrieb Alexander Stoll:
> Am 28.09.2011 19:24, schrieb Ruben Rögels:
>> Schönen Guten Abend,
>>
>>
>> folgendes Szenario:
>>
>> Zwei Mailserver (mx1.example.com und mx2.example.com) sind für mehrere
>> Domains zuständig. Das ganze wird mit den virtual_* Parametern und einer
>> SQL-Datenbank erledigt.
>>
>> Nur mx1 stellt auch an Postfächer zu, mx2 ist ein reines
>> store&forward-System.
>>
>> Nun das Problem:
>>
>> Am mx1 prüfe ich mit virtual_mailbox_domains ob er für die Domain
>> zuständig ist, fällt die Prüfung positiv aus, wird mit
>> virtual_mailbox_maps und virtual_alias_maps über Zustellung oder
>> Weiterleitung entschieden.
>>
>> Falls der local_part nicht existiert verweigert mx1 die Annahme der
>> E-Mail gegenüber dem einliefernden mx - es wird nicht gebounced!
>>
>> mx2 prüft über virtual_mailbox_domains nur die Domains für die er
>> zuständig ist und nimmt deswegen natürlich fleißig alle E-Mails an eine
>> Domain an, egal ob der local_part überhaupt zugestellt werden kann oder
>> nicht. Beim relayen an mx1 akzeptiert dieser die E-Mail natürlich nicht
>> und mx2 bounced die Mail dann - schlecht.
>>
>> Mein Ansatz:
>>
>> mx2 prüft über virtual_mailbox_domains die vollständigen Adressen. Eine
>> geeignete Datenbankabfrage sorgt dafür, dass mx2 nur dann eine Domain
>> als Antwort aus der Datenbank erhält, wenn local_part+'@'+domain
>> entweder eine maibox ist oder ein alias, ansonsten liefert das Query
>> keine Domain als Antwort und mx2 verweigert die Annahme(?) (so wie es
>> mx1 auch tun würde).
>>
>> Meine Frage:
>>
>> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?
>>
>> Vielen Dank&  Gruß,
>> Ruben
>>
> Ja, dieses Setup ist ein Musterbeispiel einer unnötigen Redundanz
> (Store&Forward) mit zusätzlicher Fehlerquelle (Backscatter) so lange
> nicht irgendwelche (praktischen!) Lastfälle eine Rolle spielen.
> 
> Dieses Setup ist nur sinnvoll wenn:
> - Last verteilt werden soll/muss
> - Ein redundantes Backend den Zugriff auf die Postfächer sichert wenn
> ein (Front)System tatsächlich mal lahmt.
> 
> Ansonsten spart man sich die Komplexität eines zweiten MX mit der
> Notwendigkeit auch auf dem für eine funktionierende Empfängervalidierung
> sorgen zu müssen.
> 
> Zum Ansatz: Grundsätzlich richtig, wie man das am elegantesten erledigt
> und ob das ein DB-Backend sein muss, gibt die Eingangsinfo nicht her.
> 

Hallo,

danke für Deine klare Antwort.

Nach kurzer Überlegung komme ich zum Schluss, dass ich mir den vorerst
mx2 sparen kann.

Dennoch interessiert mich, wie ich ein solches Szenario am
geschicktesten betreibe. In naher Zukunft wird mx2 wirklich Last
verteilen und Redundanz bieten müssen, von daher ist sein Einsatz nicht
ganz unberechtigt.

Datenbankanbindung ist zwingend erforderlich, da über ein Web-Frontend
die virtuellen Postfächer konfiguriert werden.

Danke & Gruß,
Ruben



From ruben.roegels at jumping-frog.org  Wed Sep 28 21:13:38 2011
From: ruben.roegels at jumping-frog.org (=?ISO-8859-1?Q?Ruben_R=F6gels?=)
Date: Wed, 28 Sep 2011 21:13:38 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E8361AC.9090408@jumping-frog.org>
References: <4E835862.2000604@jumping-frog.org> <4E835E07.9040403@gmx.de>
	<4E8361AC.9090408@jumping-frog.org>
Message-ID: <4E8371E2.6080903@jumping-frog.org>



Am 28.09.2011 20:04, schrieb Ruben Rögels:
> 
> 
> Am 28.09.2011 19:48, schrieb Alexander Stoll:
>> Am 28.09.2011 19:24, schrieb Ruben Rögels:
>>> Schönen Guten Abend,
>>>
>>>
>>> folgendes Szenario:
>>>
>>> Zwei Mailserver (mx1.example.com und mx2.example.com) sind für mehrere
>>> Domains zuständig. Das ganze wird mit den virtual_* Parametern und einer
>>> SQL-Datenbank erledigt.
>>>
>>> Nur mx1 stellt auch an Postfächer zu, mx2 ist ein reines
>>> store&forward-System.
>>>
>>> Nun das Problem:
>>>
>>> Am mx1 prüfe ich mit virtual_mailbox_domains ob er für die Domain
>>> zuständig ist, fällt die Prüfung positiv aus, wird mit
>>> virtual_mailbox_maps und virtual_alias_maps über Zustellung oder
>>> Weiterleitung entschieden.
>>>
>>> Falls der local_part nicht existiert verweigert mx1 die Annahme der
>>> E-Mail gegenüber dem einliefernden mx - es wird nicht gebounced!
>>>
>>> mx2 prüft über virtual_mailbox_domains nur die Domains für die er
>>> zuständig ist und nimmt deswegen natürlich fleißig alle E-Mails an eine
>>> Domain an, egal ob der local_part überhaupt zugestellt werden kann oder
>>> nicht. Beim relayen an mx1 akzeptiert dieser die E-Mail natürlich nicht
>>> und mx2 bounced die Mail dann - schlecht.
>>>
>>> Mein Ansatz:
>>>
>>> mx2 prüft über virtual_mailbox_domains die vollständigen Adressen. Eine
>>> geeignete Datenbankabfrage sorgt dafür, dass mx2 nur dann eine Domain
>>> als Antwort aus der Datenbank erhält, wenn local_part+'@'+domain
>>> entweder eine maibox ist oder ein alias, ansonsten liefert das Query
>>> keine Domain als Antwort und mx2 verweigert die Annahme(?) (so wie es
>>> mx1 auch tun würde).
>>>
>>> Meine Frage:
>>>
>>> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?
>>>
>>> Vielen Dank&  Gruß,
>>> Ruben
>>>
>> Ja, dieses Setup ist ein Musterbeispiel einer unnötigen Redundanz
>> (Store&Forward) mit zusätzlicher Fehlerquelle (Backscatter) so lange
>> nicht irgendwelche (praktischen!) Lastfälle eine Rolle spielen.
>>
>> Dieses Setup ist nur sinnvoll wenn:
>> - Last verteilt werden soll/muss
>> - Ein redundantes Backend den Zugriff auf die Postfächer sichert wenn
>> ein (Front)System tatsächlich mal lahmt.
>>
>> Ansonsten spart man sich die Komplexität eines zweiten MX mit der
>> Notwendigkeit auch auf dem für eine funktionierende Empfängervalidierung
>> sorgen zu müssen.
>>
>> Zum Ansatz: Grundsätzlich richtig, wie man das am elegantesten erledigt
>> und ob das ein DB-Backend sein muss, gibt die Eingangsinfo nicht her.
>>
> 
> Hallo,
> 
> danke für Deine klare Antwort.
> 
> Nach kurzer Überlegung komme ich zum Schluss, dass ich mir den vorerst
> mx2 sparen kann.
> 
> Dennoch interessiert mich, wie ich ein solches Szenario am
> geschicktesten betreibe. In naher Zukunft wird mx2 wirklich Last
> verteilen und Redundanz bieten müssen, von daher ist sein Einsatz nicht
> ganz unberechtigt.
> 
> Datenbankanbindung ist zwingend erforderlich, da über ein Web-Frontend
> die virtuellen Postfächer konfiguriert werden.
> 
> Danke & Gruß,
> Ruben
> 

Noch mal ich:

Nachtrag: Mein Ansatz funktioniert nicht - zumindest nicht mit
virtual_mailbox_domains, weil Postfix in %s wirklich nur den Domain-Part
der eingehenden Mail übergibt.

Andere Ideen?

Gruß,
Ruben


From andreas.schulze at datev.de  Thu Sep 29 07:00:45 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 29 Sep 2011 07:00:45 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
	=?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_sti?=
	=?iso-8859-1?q?mmt?=
In-Reply-To: <4E835862.2000604@jumping-frog.org>
References: <4E835862.2000604@jumping-frog.org>
Message-ID: <20110929050045.GC23923@spider.services.datevnet.de>

Am 28.09.2011 19:24 schrieb Ruben Rögels:
> Schönen Guten Abend,
Moin,

> mx2 prüft über virtual_mailbox_domains nur die Domains für die er
> zuständig ist und nimmt deswegen natürlich fleißig alle E-Mails an eine
> Domain an, egal ob der local_part überhaupt zugestellt werden kann oder
> nicht. Beim relayen an mx1 akzeptiert dieser die E-Mail natürlich nicht
> und mx2 bounced die Mail dann - schlecht.
jep, ganz schlecht ...

> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?
schau Dir mal http://www.postfix.org/ADDRESS_VERIFICATION_README.html an.
-> reject_unverified_recipient als smtpd_recipient_restrictions

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From postfixbuch-users at gmj.cjb.net  Thu Sep 29 09:13:29 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Thu, 29 Sep 2011 09:13:29 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_f=C3=BCr_eine_Domain_am_backu?=
 =?utf-8?q?p-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <20110929050045.GC23923@spider.services.datevnet.de>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
Message-ID: <4E841A99.6020009@gmj.cjb.net>

Am 29.09.11 07:00, schrieb Andreas Schulze:

>> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?

> schau Dir mal http://www.postfix.org/ADDRESS_VERIFICATION_README.html an.
> -> reject_unverified_recipient als smtpd_recipient_restrictions

Wie soll das funktionieren?

Wenn der primäre Mailserver erreichbar ist, wird der Backup-MX höchstens
von Spammern und kaputten MTAs konsultiert.
Das heißt aber auch, dass der Backup-MX nur eine eingeschränkte Sicht
auf die Adressliste hat (eben bzgl. jener Anfragen von Spammern, etc.)

Wenn nun der primäre MX ausfällt, kann der Backup-MX eben _keine_
Adressverifikation durchführen (bis auf den lokalen Cache), da die
Referenz ja der primäre MX ist - zumindest im Szenario des OP.

Gruß,
Mathias


From Ralf.Hildebrandt at charite.de  Thu Sep 29 09:15:19 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 29 Sep 2011 09:15:19 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_f=C3=BCr_eine_Domain_am_backu?=
 =?utf-8?q?p-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E841A99.6020009@gmj.cjb.net>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
Message-ID: <20110929071519.GL8225@charite.de>

* Mathias Jeschke <postfixbuch-users at gmj.cjb.net>:
> Am 29.09.11 07:00, schrieb Andreas Schulze:
> 
> >> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?
> 
> > schau Dir mal http://www.postfix.org/ADDRESS_VERIFICATION_README.html an.
> > -> reject_unverified_recipient als smtpd_recipient_restrictions
> 
> Wie soll das funktionieren?
> 
> Wenn der primäre Mailserver erreichbar ist, wird der Backup-MX höchstens
> von Spammern und kaputten MTAs konsultiert.
> Das heißt aber auch, dass der Backup-MX nur eine eingeschränkte Sicht
> auf die Adressliste hat (eben bzgl. jener Anfragen von Spammern, etc.)
> 
> Wenn nun der primäre MX ausfällt, kann der Backup-MX eben _keine_
> Adressverifikation durchführen (bis auf den lokalen Cache), da die
> Referenz ja der primäre MX ist - zumindest im Szenario des OP.

Einzig korrekte Lösung: Der Backup muss eine (halbwegs!) aktuelle
Kopie der validen Empfänger haben (DB-Spiegelung, DB-Dump (stunden
oder tagesaktuell, je nach Fluktuation).

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From p.heinlein at heinlein-support.de  Thu Sep 29 09:45:05 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 29 Sep 2011 09:45:05 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E841A99.6020009@gmj.cjb.net>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
Message-ID: <201109290945.05836.p.heinlein@heinlein-support.de>

Am Donnerstag, 29. September 2011, 09:13:29 schrieb Mathias Jeschke:


> Wenn der primäre Mailserver erreichbar ist, wird der Backup-MX
> höchstens von Spammern und kaputten MTAs konsultiert.
> Das heißt aber auch, dass der Backup-MX nur eine eingeschränkte Sicht
> auf die Adressliste hat (eben bzgl. jener Anfragen von Spammern,
> etc.)

Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu 
vollständige Adreßliste hat, weil die Spammer das dankenswerterweise 
top-aktuell halten.

Lediglich Mailaccounts, die NIE NIE NIE Spam bekommen (=keine einzige 
Spam-Mail in 30 Tagen!) wären in der Tat unbekannt. Aber die dürften 
dann kaum ein schmerzhafter Verlust sein.

In der Praxis klappt dss ganze ausgesprochen wunderbar und perfekt.

Peer



-- 
Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
11.-13. Oktober 2011, Nürnberg, Stand 472

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From Ralf.Hildebrandt at charite.de  Thu Sep 29 09:54:59 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 29 Sep 2011 09:54:59 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_f=C3=BCr_eine_Domain_am_backu?=
 =?utf-8?q?p-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <201109290945.05836.p.heinlein@heinlein-support.de>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
Message-ID: <20110929075459.GQ8225@charite.de>

* Peer Heinlein <p.heinlein at heinlein-support.de>:
> Am Donnerstag, 29. September 2011, 09:13:29 schrieb Mathias Jeschke:
> 
> 
> > Wenn der primäre Mailserver erreichbar ist, wird der Backup-MX
> > höchstens von Spammern und kaputten MTAs konsultiert.
> > Das heißt aber auch, dass der Backup-MX nur eine eingeschränkte Sicht
> > auf die Adressliste hat (eben bzgl. jener Anfragen von Spammern,
> > etc.)
> 
> Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu 
> vollständige Adreßliste hat, weil die Spammer das dankenswerterweise 
> top-aktuell halten.

Aber auch nur wenn er genutzt wird. Wenn der primäre hauptsächlich
genutzt wird, weil immer verfügbar und so, dann kann der sekundäre ja
keine Liste aufbauen.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From postfixbuch-users at gmj.cjb.net  Thu Sep 29 09:57:44 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Thu, 29 Sep 2011 09:57:44 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_f=C3=BCr_eine_Domain_am_backu?=
 =?utf-8?q?p-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <20110929075459.GQ8225@charite.de>
References: <4E835862.2000604@jumping-frog.org>	<20110929050045.GC23923@spider.services.datevnet.de>	<4E841A99.6020009@gmj.cjb.net>	<201109290945.05836.p.heinlein@heinlein-support.de>
	<20110929075459.GQ8225@charite.de>
Message-ID: <4E8424F8.1050806@gmj.cjb.net>

Am 29.09.11 09:54, schrieb Ralf Hildebrandt:

>> Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu 
>> vollständige Adreßliste hat, weil die Spammer das dankenswerterweise 
>> top-aktuell halten.

> Aber auch nur wenn er genutzt wird. Wenn der primäre hauptsächlich
> genutzt wird, weil immer verfügbar und so, dann kann der sekundäre ja
> keine Liste aufbauen.

Der sekundäre wird ja benutzt - von all den Spammern die davon ausgehen,
dass "Backup-MXe" einen schlechteren Spamschutz haben als der primäre MX.

Gruß,
Mathias


From Ralf.Hildebrandt at charite.de  Thu Sep 29 09:58:38 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 29 Sep 2011 09:58:38 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_f=C3=BCr_eine_Domain_am_backu?=
 =?utf-8?q?p-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E8424F8.1050806@gmj.cjb.net>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
	<20110929075459.GQ8225@charite.de> <4E8424F8.1050806@gmj.cjb.net>
Message-ID: <20110929075838.GR8225@charite.de>

* Mathias Jeschke <postfixbuch-users at gmj.cjb.net>:
> Am 29.09.11 09:54, schrieb Ralf Hildebrandt:
> 
> >> Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu 
> >> vollständige Adreßliste hat, weil die Spammer das dankenswerterweise 
> >> top-aktuell halten.
> 
> > Aber auch nur wenn er genutzt wird. Wenn der primäre hauptsächlich
> > genutzt wird, weil immer verfügbar und so, dann kann der sekundäre ja
> > keine Liste aufbauen.
> 
> Der sekundäre wird ja benutzt - von all den Spammern die davon ausgehen,
> dass "Backup-MXe" einen schlechteren Spamschutz haben als der primäre MX.

Jo, aber dann ist die Frage ob die eher "richtige" oder "falsche"
adressen anschreiben :)

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From postfixbuch-users at gmj.cjb.net  Thu Sep 29 10:05:04 2011
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Thu, 29 Sep 2011 10:05:04 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Mails_f=C3=BCr_eine_Domain_am_backu?=
 =?utf-8?q?p-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <201109290945.05836.p.heinlein@heinlein-support.de>
References: <4E835862.2000604@jumping-frog.org>	<20110929050045.GC23923@spider.services.datevnet.de>	<4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
Message-ID: <4E8426B0.2020500@gmj.cjb.net>

Am 29.09.11 09:45, schrieb Peer Heinlein:

> Lediglich Mailaccounts, die NIE NIE NIE Spam bekommen (=keine einzige 
> Spam-Mail in 30 Tagen!) wären in der Tat unbekannt. Aber die dürften 
> dann kaum ein schmerzhafter Verlust sein.

Gibt es eigentlich ein Postfix-Kommando um den Cache auszulesen und
daruf aufbauend mal eine Statistik (exitierende vs. gecachte Adressen)
zu erstellen?

$ postmap -s btree:/var/spool/postfix/data/verify
geht aufgrund eines Locks (durch Postfix) nicht.

Gruß,
Mathias


From technoworx at gmx.de  Thu Sep 29 10:10:33 2011
From: technoworx at gmx.de (Alexander Stoll)
Date: Thu, 29 Sep 2011 10:10:33 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <20110929075838.GR8225@charite.de>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
	<20110929075459.GQ8225@charite.de> <4E8424F8.1050806@gmj.cjb.net>
	<20110929075838.GR8225@charite.de>
Message-ID: <4E8427F9.8010308@gmx.de>

Am 29.09.2011 09:58, schrieb Ralf Hildebrandt:
> * Mathias Jeschke<postfixbuch-users at gmj.cjb.net>:
>> Am 29.09.11 09:54, schrieb Ralf Hildebrandt:
>>
>>>> Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu
>>>> vollständige Adreßliste hat, weil die Spammer das dankenswerterweise
>>>> top-aktuell halten.
>>
>>> Aber auch nur wenn er genutzt wird. Wenn der primäre hauptsächlich
>>> genutzt wird, weil immer verfügbar und so, dann kann der sekundäre ja
>>> keine Liste aufbauen.
>>
>> Der sekundäre wird ja benutzt - von all den Spammern die davon ausgehen,
>> dass "Backup-MXe" einen schlechteren Spamschutz haben als der primäre MX.
>
> Jo, aber dann ist die Frage ob die eher "richtige" oder "falsche"
> adressen anschreiben :)

Genau so sehe ich das auch, gerade bei einem Verfügbarkeitsszenario ist 
doch die Frage, ob ich mich auf eine automatisch erstellte Cacheliste 
verlassen möchte, deren Umfang durch externe Trigger abhängt und ich 
nicht sicherstellen kann oder durch eine permanent aktuell vorgehaltene 
Empfängerliste ALLE Empfänger SICHER validieren kann.

=> Warum sollte man einen Backup MX wollen, der "schlechter" 
funktioniert als das primäre System?


From atann at alphasrv.net  Thu Sep 29 10:32:12 2011
From: atann at alphasrv.net (Andre Tann)
Date: Thu, 29 Sep 2011 10:32:12 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <201109290945.05836.p.heinlein@heinlein-support.de>
References: <4E835862.2000604@jumping-frog.org> <4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
Message-ID: <201109291032.13037@inter.netz>

Peer Heinlein, Donnerstag, 29. September 2011: 

> Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu
> vollständige Adreßliste hat, weil die Spammer das dankenswerterweise
> top-aktuell halten.

Genau darüber haben wir vor längerer Zeit hier geschrieben, und damals
hast Du gesagt, daß das von Spammern unabhängig sei. Habe ich schon
damals nicht verstanden, aber auch nicht weiter nachgehakt. 


> In der Praxis klappt dss ganze ausgesprochen wunderbar und perfekt.

Nein, tut es nicht, wenn man sich auf Spammer verläßt. Ich habe einige
Installationen, die jetzt mit zwei MX10 laufen, wobei der eine nur ein
Store/Forward auf den anderen ist.

Davor war es eine MX10/MX20-Konfiguration, und da hatte der MX20 beileibe
keine vollständige Adressliste, weil es beim Kunden viele Adressen gibt,
die wichtig sind, aber nie nach draußen auftauchen.
Das ist mir dann schmerzlich bewußt geworden, als der MX10 gekippt ist,
und der MX20 die Hälfte aller legitimen Adressen abgelehnt hat.

Seit ich zwei MX10 habe, läufts gut.


-- 
Andre Tann



From p.heinlein at heinlein-support.de  Thu Sep 29 10:47:42 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 29 Sep 2011 10:47:42 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <20110929075459.GQ8225@charite.de>
References: <4E835862.2000604@jumping-frog.org>
	<201109290945.05836.p.heinlein@heinlein-support.de>
	<20110929075459.GQ8225@charite.de>
Message-ID: <201109291047.42847.p.heinlein@heinlein-support.de>

Am Donnerstag, 29. September 2011, 09:54:59 schrieb Ralf Hildebrandt:

 
> > Nein, das heißt, daß der Backup-MX in der Praxis eine nahezu
> > vollständige Adreßliste hat, weil die Spammer das
> > dankenswerterweise top-aktuell halten.
> 
> Aber auch nur wenn er genutzt wird. Wenn der primäre hauptsächlich
> genutzt wird, weil immer verfügbar und so, dann kann der sekundäre ja
> keine Liste aufbauen.

Doch, weil die spammer den Sekundären inWirklichkeit ja prima auf Trab 
halten. Der sekundäre WIRD ja genutzt. Sogar sehr gut genutzt.

Peer



-- 
Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
11.-13. Oktober 2011, Nürnberg, Stand 472

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From andreas.schulze at datev.de  Thu Sep 29 11:03:09 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 29 Sep 2011 11:03:09 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
	=?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_sti?=
	=?iso-8859-1?q?mmt?=
In-Reply-To: <4E8426B0.2020500@gmj.cjb.net>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
	<4E8426B0.2020500@gmj.cjb.net>
Message-ID: <20110929090309.GA22980@spider.services.datevnet.de>

Am 29.09.2011 10:05 schrieb Mathias Jeschke:
> $ postmap -s btree:/var/spool/postfix/data/verify
> geht aufgrund eines Locks (durch Postfix) nicht.
cp /var/spool/postfix/data/verify /tmp
postmap -s btree:/tmp/verify

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From andreas.schulze at datev.de  Thu Sep 29 11:06:21 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 29 Sep 2011 11:06:21 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
	=?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_sti?=
	=?iso-8859-1?q?mmt?=
In-Reply-To: <201109291032.13037@inter.netz>
References: <4E835862.2000604@jumping-frog.org> <4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
	<201109291032.13037@inter.netz>
Message-ID: <20110929090621.GB22980@spider.services.datevnet.de>

Am 29.09.2011 10:32 schrieb Andre Tann:
> Das ist mir dann schmerzlich bewußt geworden, als der MX10 gekippt ist,
> und der MX20 die Hälfte aller legitimen Adressen abgelehnt hat.
hast Du unverified_recipient_reject_code verstellt?
der steht normal auf 450 -> keine Mail ablehnen ...

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From andreas.schulze at datev.de  Thu Sep 29 11:10:18 2011
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 29 Sep 2011 11:10:18 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
	=?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_sti?=
	=?iso-8859-1?q?mmt?=
In-Reply-To: <20110929075459.GQ8225@charite.de>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E841A99.6020009@gmj.cjb.net>
	<201109290945.05836.p.heinlein@heinlein-support.de>
	<20110929075459.GQ8225@charite.de>
Message-ID: <20110929091018.GC22980@spider.services.datevnet.de>

Am 29.09.2011 09:54 schrieb Ralf Hildebrandt:
> Aber auch nur wenn er genutzt wird. Wenn der primäre hauptsächlich
> genutzt wird, weil immer verfügbar und so, dann kann der sekundäre ja
> keine Liste aufbauen.
mit postgrey am primären mx füllt sich `postconf -h address_verify_map`
auch am Backup MX recht zuverlässig ...

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From atann at alphasrv.net  Thu Sep 29 11:48:10 2011
From: atann at alphasrv.net (Andre Tann)
Date: Thu, 29 Sep 2011 11:48:10 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <20110929090621.GB22980@spider.services.datevnet.de>
References: <4E835862.2000604@jumping-frog.org> <201109291032.13037@inter.netz>
	<20110929090621.GB22980@spider.services.datevnet.de>
Message-ID: <201109291148.10740@inter.netz>

Andreas Schulze, Donnerstag, 29. September 2011: 

> hast Du unverified_recipient_reject_code verstellt?
> der steht normal auf 450 -> keine Mail ablehnen ...

-v bitte - das Problem war ja, daß der MX20 viele Adressen nicht kannte,
da niemand bei ihm versucht hat, auf sie einzuliefern, und er sie
folglich vom MX10 nicht verifizieren konnte/mußte.

Ich habe unverified_recipient_reject_code nicht verstellt gehabt.

-- 
Andre Tann



From ruben.roegels at jumping-frog.org  Thu Sep 29 12:39:03 2011
From: ruben.roegels at jumping-frog.org (=?ISO-8859-1?Q?Ruben_R=F6gels?=)
Date: Thu, 29 Sep 2011 12:39:03 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <20110929050045.GC23923@spider.services.datevnet.de>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
Message-ID: <4E844AC7.9060007@jumping-frog.org>

Am 29.09.2011 07:00, schrieb Andreas Schulze:
> Am 28.09.2011 19:24 schrieb Ruben Rögels:
>> Schönen Guten Abend,
> Moin,
> 
>> mx2 prüft über virtual_mailbox_domains nur die Domains für die er
>> zuständig ist und nimmt deswegen natürlich fleißig alle E-Mails an eine
>> Domain an, egal ob der local_part überhaupt zugestellt werden kann oder
>> nicht. Beim relayen an mx1 akzeptiert dieser die E-Mail natürlich nicht
>> und mx2 bounced die Mail dann - schlecht.
> jep, ganz schlecht ...
> 
>> Ist das ein sauberer Ansatz oder habe ich jetzt etwas komplett übersehen?
> schau Dir mal http://www.postfix.org/ADDRESS_VERIFICATION_README.html an.
> -> reject_unverified_recipient als smtpd_recipient_restrictions
> 

Guten Tag,

danke für den Link.

Ist an sich ganz interessant und ich habe es auf unserem Testsystem mal
implementiert. Was mich an dieser Lösung stört: Ich baue eine neuen
Datenbank auf und brauche dazu meinen mx1 (mx2 relayt über mx1). Was ich
suche, ist eine Möglichkeit, mx2 anhand der vorhandenen mailboxen und
aliases in meiner mySQL-Datenbank entscheiden zu lassen ob er die Mail
überhaupt annehmen darf oder nicht.

Das lässt sich mit address_verify_map mit meinen bestehenden Tabellen
nicht machen, zumal in die Tabelle ja auch geschrieben werden soll.

Ich habe auch schon im Buch gestöbert, aber so wirklich hell ist's bei
mir noch nicht geworden.

Gruß,
Ruben


From ruben.roegels at jumping-frog.org  Thu Sep 29 15:20:43 2011
From: ruben.roegels at jumping-frog.org (=?ISO-8859-1?Q?Ruben_R=F6gels?=)
Date: Thu, 29 Sep 2011 15:20:43 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_f=FCr_eine_Domain_am_bac?=
 =?iso-8859-1?q?kup-mx_nur_annehmen=2C_wenn_auch_der_local_part_stimmt?=
In-Reply-To: <4E844AC7.9060007@jumping-frog.org>
References: <4E835862.2000604@jumping-frog.org>
	<20110929050045.GC23923@spider.services.datevnet.de>
	<4E844AC7.9060007@jumping-frog.org>
Message-ID: <4E8470AB.9000906@jumping-frog.org>

> Ich habe auch schon im Buch gestöbert, aber so wirklich hell ist's bei
> mir noch nicht geworden.
> 
> Gruß,
> Ruben

Noch mal ich.

Das Offensichtliche ist manchmal einfach zu einfach...

Die Lösung ist die Verwendung von check_recipient_access.
Mein Query liefert für existierende E-Mail-Adressen ein DUNNO, für nicht
existierende E-Mail-Adressen ein REJECT.

Problem gelöst.

Danke für die rege Beteiligung, hat mich dazu verleitet mich noch mal
intensiv mit dem Postfix-Buch auseinanderzusetzen. (geiles Teil - Danke ;-)


Gruß,
Ruben


From postfix_ml at rirasoft.de  Fri Sep 30 09:31:30 2011
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Fri, 30 Sep 2011 09:31:30 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach reboot
Message-ID: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>

Hallo,
gestern habe ich meinen Mail-Server (virtueller unter KVM) von CentOS 6
(x86_64 ) auf das Continuine Release aktualisiert. Dabei ist mir nach dem
booten aufgefallen, das amavis nicht mehr läuft. Grund:

/etc/cron.daily/amavisd:

error: cannot resolve /var/spool/amavisd/tmp: No such file or directory
error: cannot resolve /var/spool/amavisd/quarantine: No such file or
directory

Anmerkung: /var/spool/amavisd ist eine Ram-Disk und ist in der fstab
eingetragen und wird nach dem booten auch richtig gemountet.

Warum werden diese beiden Verzeichnisse nicht a) von amavis angelegt oder
b) fehlen die nach einem reboot?

Gruß
Andreas
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft?schen Viren.

E-Mail: andreas at rirasoft.de



From p at state-of-mind.de  Fri Sep 30 09:43:45 2011
From: p at state-of-mind.de (Patrick Ben Koetter)
Date: Fri, 30 Sep 2011 09:43:45 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
 reboot
In-Reply-To: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
Message-ID: <20110930074344.GC2234@state-of-mind.de>

* Andreas Reschke <postfixbuch-users at listen.jpberlin.de>:
> Hallo,
> gestern habe ich meinen Mail-Server (virtueller unter KVM) von CentOS 6
> (x86_64 ) auf das Continuine Release aktualisiert. Dabei ist mir nach dem
> booten aufgefallen, das amavis nicht mehr läuft. Grund:
> 
> /etc/cron.daily/amavisd:
> 
> error: cannot resolve /var/spool/amavisd/tmp: No such file or directory
> error: cannot resolve /var/spool/amavisd/quarantine: No such file or
> directory
> 
> Anmerkung: /var/spool/amavisd ist eine Ram-Disk und ist in der fstab
> eingetragen und wird nach dem booten auch richtig gemountet.
> 
> Warum werden diese beiden Verzeichnisse nicht a) von amavis angelegt oder
> b) fehlen die nach einem reboot?

a) amavis legt die nicht selbst an
b) eine RAM disk ist flüchtig. Nach dem Reboot ist der Kram weg

Tip: Bau 2 Routinen ins init-Skript ein:

stop
        sichere (cp -a ...) /var/spool/amavisd nach /irgendwo

start
        prüfe ob dirs da und wenn nicht dann restore (cp -a ...) von /irgendwo
        nach /var/spool/amavisd

Auf diese Weise geht das Wissen nicht verloren, das amavis sich angefressen
hatte.

p at rick

-- 
state of mind ()
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563



From p.heinlein at heinlein-support.de  Fri Sep 30 09:45:16 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 30 Sep 2011 09:45:16 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
	reboot
In-Reply-To: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
Message-ID: <201109300945.17380.p.heinlein@heinlein-support.de>

Am Freitag, 30. September 2011, 09:31:30 schrieb Andreas Reschke:


> Anmerkung: /var/spool/amavisd ist eine Ram-Disk und ist in der fstab
> eingetragen und wird nach dem booten auch richtig gemountet.

Mangels genauerer Listings und Details kann ich leider nur raten:

Weil Du es als root gemountet hast und Amavs mit seinem Amavis-
Userrechten das nicht kann.


Peer



-- 
Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
11.-13. Oktober 2011, Nürnberg, Stand 472

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfix_ml at rirasoft.de  Fri Sep 30 10:01:14 2011
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Fri, 30 Sep 2011 10:01:14 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
 reboot
In-Reply-To: <20110930074344.GC2234@state-of-mind.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
	<20110930074344.GC2234@state-of-mind.de>
Message-ID: <ea0076273b7e485e4ec7b6173cab498e.squirrel@www.rirasoft.de>


Am Fr, 30.09.2011, 09:43 schrieb Patrick Ben Koetter:
> * Andreas Reschke <postfixbuch-users at listen.jpberlin.de>:
>> Hallo,
>> gestern habe ich meinen Mail-Server (virtueller unter KVM) von CentOS 6
>> (x86_64 ) auf das Continuine Release aktualisiert. Dabei ist mir nach
>> dem
>> booten aufgefallen, das amavis nicht mehr läuft. Grund:
>>
>> /etc/cron.daily/amavisd:
>>
>> error: cannot resolve /var/spool/amavisd/tmp: No such file or directory
>> error: cannot resolve /var/spool/amavisd/quarantine: No such file or
>> directory
>>
>> Anmerkung: /var/spool/amavisd ist eine Ram-Disk und ist in der fstab
>> eingetragen und wird nach dem booten auch richtig gemountet.
>>
>> Warum werden diese beiden Verzeichnisse nicht a) von amavis angelegt
>> oder
>> b) fehlen die nach einem reboot?
>
> a) amavis legt die nicht selbst an
> b) eine RAM disk ist flüchtig. Nach dem Reboot ist der Kram weg
>
> Tip: Bau 2 Routinen ins init-Skript ein:
>
> stop
>         sichere (cp -a ...) /var/spool/amavisd nach /irgendwo
>
> start
>         prüfe ob dirs da und wenn nicht dann restore (cp -a ...) von
> /irgendwo
>         nach /var/spool/amavisd
>
> Auf diese Weise geht das Wissen nicht verloren, das amavis sich
> angefressen
> hatte.
>
> p at rick
>
> --
> state of mind ()
> Digitale Kommunikation
>
> http://www.state-of-mind.de
>
> Franziskanerstraße 15      Telefon +49 89 3090 4664
> 81669 München              Telefax +49 89 3090 4666
>
> Amtsgericht München        Partnerschaftsregister PR 563
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
Gute Idee, so werde ichs machen.

Danke
Andreas Reschke
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft?schen Viren.

E-Mail: andreas at rirasoft.de



From p.heinlein at heinlein-support.de  Fri Sep 30 10:16:47 2011
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 30 Sep 2011 10:16:47 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
	reboot
In-Reply-To: <20110930074344.GC2234@state-of-mind.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
	<20110930074344.GC2234@state-of-mind.de>
Message-ID: <201109301016.47522.p.heinlein@heinlein-support.de>

Am Freitag, 30. September 2011, 09:43:45 schrieb Patrick Ben Koetter:

> a) amavis legt die nicht selbst an
> b) eine RAM disk ist flüchtig. Nach dem Reboot ist der Kram weg


Man sollte allerdings quarantine & Co auch nicht in der RAM-Disk haben. 
die Bayes-Datenbanken und den anderen Krams auch nicht.

Ergo: Die Ramdisk gehört nur (!) für das tmp-Verzeichnis und 
/var/spool/amavis selber will man da eigentlich nicht in der Ram-Disk 
haben.

Peer



-- 
Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
11.-13. Oktober 2011, Nürnberg, Stand 472

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From postfix_ml at rirasoft.de  Fri Sep 30 10:35:01 2011
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Fri, 30 Sep 2011 10:35:01 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
 reboot
In-Reply-To: <201109301016.47522.p.heinlein@heinlein-support.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
	<20110930074344.GC2234@state-of-mind.de>
	<201109301016.47522.p.heinlein@heinlein-support.de>
Message-ID: <3f73c9d0ae83d1df05e759f9f10e6569.squirrel@www.rirasoft.de>


Am Fr, 30.09.2011, 10:16 schrieb Peer Heinlein:
> Am Freitag, 30. September 2011, 09:43:45 schrieb Patrick Ben Koetter:
>
>> a) amavis legt die nicht selbst an
>> b) eine RAM disk ist flüchtig. Nach dem Reboot ist der Kram weg
>
>
> Man sollte allerdings quarantine & Co auch nicht in der RAM-Disk haben.
> die Bayes-Datenbanken und den anderen Krams auch nicht.
>
> Ergo: Die Ramdisk gehört nur (!) für das tmp-Verzeichnis und
> /var/spool/amavis selber will man da eigentlich nicht in der Ram-Disk
> haben.
>
> Peer
>
>
>
> --
> Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"!
> 11.-13. Oktober 2011, Nürnberg, Stand 472
>
> Heinlein Professional Linux Support GmbH
> Linux: Akademie - Support - Hosting
>
> http://www.heinlein-support.de
> Tel: 030 / 40 50 51 - 0
> Fax: 030 / 40 50 51 - 19
>
> Zwangsangaben lt. §35a GmbHG:
> HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
Oh, habe ich da was falsch aufgebaut?
/etc/fstab:
none 180M  1,2M  179M   1% /var/spool/amavisd

root at mail ~]# ls -l /var/spool/amavisd/
insgesamt 4
srw-rw-rw- 1 amavis amavis   0 29. Sep 19:49 clamd.sock
drwxr-xr-x 2 amavis amavis 200 30. Sep 07:45 db
-rw-r----- 1 amavis amavis 109 30. Sep 07:45 razor-agent.log
drwxr-xr-x 4 amavis amavis  80 30. Sep 10:17 tmp
[root at mail ~]#

Ist das so falsch?

Gruß
Andreas Reschke
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft?schen Viren.

E-Mail: andreas at rirasoft.de



From Ralf.Hildebrandt at charite.de  Fri Sep 30 10:38:38 2011
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 30 Sep 2011 10:38:38 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
 reboot
In-Reply-To: <3f73c9d0ae83d1df05e759f9f10e6569.squirrel@www.rirasoft.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
	<20110930074344.GC2234@state-of-mind.de>
	<201109301016.47522.p.heinlein@heinlein-support.de>
	<3f73c9d0ae83d1df05e759f9f10e6569.squirrel@www.rirasoft.de>
Message-ID: <20110930083838.GL7918@charite.de>

* Andreas Reschke <postfix_ml at rirasoft.de>:

> Oh, habe ich da was falsch aufgebaut?
> /etc/fstab:
> none 180M  1,2M  179M   1% /var/spool/amavisd

Sollte sein: /var/spool/amavisd/tmp

> root at mail ~]# ls -l /var/spool/amavisd/
> insgesamt 4
> srw-rw-rw- 1 amavis amavis   0 29. Sep 19:49 clamd.sock
> drwxr-xr-x 2 amavis amavis 200 30. Sep 07:45 db
> -rw-r----- 1 amavis amavis 109 30. Sep 07:45 razor-agent.log
> drwxr-xr-x 4 amavis amavis  80 30. Sep 10:17 tmp
> [root at mail ~]#
> 
> Ist das so falsch?
> 
> Gruß
> Andreas Reschke
> -- 
> Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
> laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
> frei von Micro$oft?schen Viren.
> 
> E-Mail: andreas at rirasoft.de
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From postfix_ml at rirasoft.de  Fri Sep 30 10:43:40 2011
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Fri, 30 Sep 2011 10:43:40 +0200
Subject: [Postfixbuch-users] OT: Verzeichnisse von amavis fehlen nach
 reboot
In-Reply-To: <20110930083838.GL7918@charite.de>
References: <a4ebd69f61b01beef35e2b4aeafd649c.squirrel@www.rirasoft.de>
	<20110930074344.GC2234@state-of-mind.de>
	<201109301016.47522.p.heinlein@heinlein-support.de>
	<3f73c9d0ae83d1df05e759f9f10e6569.squirrel@www.rirasoft.de>
	<20110930083838.GL7918@charite.de>
Message-ID: <ae0e76fa3462129fe4cd43decdab29ed.squirrel@www.rirasoft.de>


Am Fr, 30.09.2011, 10:38 schrieb Ralf Hildebrandt:
> * Andreas Reschke <postfix_ml at rirasoft.de>:
>
>> Oh, habe ich da was falsch aufgebaut?
>> /etc/fstab:
>> none 180M  1,2M  179M   1% /var/spool/amavisd
>
> Sollte sein: /var/spool/amavisd/tmp
>
>> root at mail ~]# ls -l /var/spool/amavisd/
>> insgesamt 4
>> srw-rw-rw- 1 amavis amavis   0 29. Sep 19:49 clamd.sock
>> drwxr-xr-x 2 amavis amavis 200 30. Sep 07:45 db
>> -rw-r----- 1 amavis amavis 109 30. Sep 07:45 razor-agent.log
>> drwxr-xr-x 4 amavis amavis  80 30. Sep 10:17 tmp
>> [root at mail ~]#
>>
>> Ist das so falsch?
>>
>> Gruß
>> Andreas Reschke
>> --
>> Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
>> laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
>> frei von Micro$oft?schen Viren.
>>
>> E-Mail: andreas at rirasoft.de
>>
>> --
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>>
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
> --
> Ralf Hildebrandt
>   Geschäftsbereich IT | Abteilung Netzwerk
>   Charité - Universitätsmedizin Berlin
>   Campus Benjamin Franklin
>   Hindenburgdamm 30 | D-12203 Berlin
>   Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>   ralf.hildebrandt at charite.de | http://www.charite.de
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

Ok , danke,
werde ich ändern.

Gruß
Andreas Reschke
-- 
Diese Message wurde erstellt mit freundlicher Unterstützung eines frei-
laufenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert
frei von Micro$oft?schen Viren.

E-Mail: andreas at rirasoft.de