From chris at schoeppi.net  Sat Jun  2 20:08:11 2012
From: chris at schoeppi.net (Christian Schoepplein)
Date: Sat, 02 Jun 2012 20:08:11 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
Message-ID: <4FCA568B.80305@schoeppi.net>

Hallo zusammen,

wir betreiben einen Server auf dem WEB, Mail und MySQL zusammen läuft. 
Seit einer Woche landet dieser Server regelmäßig auf irgendwelchen 
Blacklists und ich finde einfach nicht den Übeltäter, wahrscheinlich ein 
PHP- oder Perl-Skript, das zum Versenden von Mails genutzt wird :-(.

Ich sehe in den Maillogs, dass von localhost connectet wird, daher gehe 
ich von einem PHP- oder Perl-Skript aus. Nur selbst wenn ich in den 
Webserverlogs rumsuche und ungefähr zur Zeit wo diese Mails verschickt 
wurden nach verdächtigen Einträgen schaue, finde ich leider nichts, es 
sind nicht verdächtig viele gleiche Seitenaufrufe für einen Account zu 
finden, etc. Langsam gehen mir leider die Ideen aus und ich weiß 
nichtmehr, wo und wie ich vernünftig suchen soll :-(.

Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den 
entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode, jeder 
Account hat sein eigenes access- und error-Log. Für postfix gibts ein 
großes Log, wie üblich. Kann man dann mail- oder webserverseitig 
irgendwelche Einstellungen vornehmen, um den Mißbrauch von schlecht 
programmierten Skripten zu vermeiden oder wenigstens den Versand von 
Mails auf ein Maß einzudämmen, dass der Server nicht gleich auf einer 
Blacklist landet und man noch reagieren kann?

Über jede Hilfe oder guten Tipp würde ich mich sehr freuen!

Viele Grüße und schonmal danke,

   Christian



From igor.sverkos at googlemail.com  Sat Jun  2 20:23:57 2012
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Sat, 02 Jun 2012 20:23:57 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <4FCA5A3D.6080808@googlemail.com>

Hallo,

Christian Schoepplein schrieb:
> wir betreiben einen Server auf dem WEB, Mail und MySQL zusammen läuft.
> Seit einer Woche landet dieser Server regelmäßig auf irgendwelchen
> Blacklists und ich finde einfach nicht den Übeltäter, wahrscheinlich ein
> PHP- oder Perl-Skript, das zum Versenden von Mails genutzt wird :-(.

Nicht nur eingehende Mails filtern, auch ausgehende Mails!

Wenn also ein Webserver SPAM generiert, sollte dein Filter auch zuschlagen.


> Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den
> entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode, jeder
> Account hat sein eigenes access- und error-Log. Für postfix gibts ein
> großes Log, wie üblich. Kann man dann mail- oder webserverseitig
> irgendwelche Einstellungen vornehmen, um den Mißbrauch von schlecht
> programmierten Skripten zu vermeiden oder wenigstens den Versand von
> Mails auf ein Maß einzudämmen, dass der Server nicht gleich auf einer
> Blacklist landet und man noch reagieren kann?

Schaue dir einmal mail.add_x_header [1] und mail.log an.



Siehe auch:
===========
[1]
<http://de.php.net/manual/en/mail.configuration.php#ini.mail.add-x-header>


-- 
Ich Grüße,
Igor


From Ralf.Hildebrandt at charite.de  Sat Jun  2 21:57:10 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Sat, 2 Jun 2012 21:57:10 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <20120602195710.GC30052@charite.de>

* Christian Schoepplein <chris at schoeppi.net>:

> Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den
> entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode,
> jeder Account hat sein eigenes access- und error-Log. 

Hat auch jeder seinen eigenen User?

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From ae at ae-online.de  Sat Jun  2 22:47:10 2012
From: ae at ae-online.de (Andreas Ernst)
Date: Sat, 02 Jun 2012 22:47:10 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <4FCA7BCE.9080207@ae-online.de>

Am 02.06.2012 20:08, schrieb Christian Schoepplein:
> Hallo zusammen,
>
> wir betreiben einen Server auf dem WEB, Mail und MySQL zusammen läuft.
> Seit einer Woche landet dieser Server regelmäßig auf irgendwelchen
> Blacklists und ich finde einfach nicht den Übeltäter, wahrscheinlich ein
> PHP- oder Perl-Skript, das zum Versenden von Mails genutzt wird :-(.
>
> Ich sehe in den Maillogs, dass von localhost connectet wird, daher gehe
> ich von einem PHP- oder Perl-Skript aus. Nur selbst wenn ich in den
> Webserverlogs rumsuche und ungefähr zur Zeit wo diese Mails verschickt
> wurden nach verdächtigen Einträgen schaue, finde ich leider nichts, es
> sind nicht verdächtig viele gleiche Seitenaufrufe für einen Account zu
> finden, etc. Langsam gehen mir leider die Ideen aus und ich weiß
> nichtmehr, wo und wie ich vernünftig suchen soll :-(.
>
> Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den
> entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode, jeder
> Account hat sein eigenes access- und error-Log. Für postfix gibts ein
> großes Log, wie üblich. Kann man dann mail- oder webserverseitig
> irgendwelche Einstellungen vornehmen, um den Mißbrauch von schlecht
> programmierten Skripten zu vermeiden oder wenigstens den Versand von
> Mails auf ein Maß einzudämmen, dass der Server nicht gleich auf einer
> Blacklist landet und man noch reagieren kann?

Ich habe in den vhosts von Apache folgende Parameter:

php_admin_value sendmail_from <mail>
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mail>

<mail> - Mailadresse von vhost Kunden

Die tauchen dann im Log auf.

-- 
ae | Andreas Ernst | IT Spektrum
Postfach 5, 65612 Beselich
Schupbacher Str. 32, 65614 Beselich, Germany
Tel: +49-6484-91002 Fax: +49-6484-91003
ae at ae-online.de | www.ae-online.de
www.parcelchecker.de | www.tachyon-online.de


From chris at schoeppi.net  Sat Jun  2 23:22:33 2012
From: chris at schoeppi.net (Christian Schoepplein)
Date: Sat, 2 Jun 2012 23:22:33 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120602195710.GC30052@charite.de>
References: <4FCA568B.80305@schoeppi.net> <20120602195710.GC30052@charite.de>
Message-ID: <20120602212232.GA8085@mx.cs-x.de>

On Sa, Jun 02, 2012 at 09:57:10 +0200, Ralf Hildebrandt wrote:
>* Christian Schoepplein <chris at schoeppi.net>:
>
>> Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den
>> entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode,
>> jeder Account hat sein eigenes access- und error-Log. 
>
>Hat auch jeder seinen eigenen User?

Ja. Da das Ganze mit fcgi läuft, hat jeder WEB-Account seinen eigenen 
User.

Ciao,

  Schöpp


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 190 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120602/f508fd34/attachment.asc>

From andre at myhm.de  Sun Jun  3 09:44:05 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 09:44:05 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA5A3D.6080808@googlemail.com>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
Message-ID: <4FCB15C5.9080406@myhm.de>

Am 02.06.2012 20:23, schrieb Igor Sverkos:
> Nicht nur eingehende Mails filtern, auch ausgehende Mails!
> 
> Wenn also ein Webserver SPAM generiert, sollte dein Filter auch zuschlagen.
was willst Du denn filtern? Nach eigener IP etwa? Ist meine IP
geblacklistet, geht keine E-Mail mehr raus, oder was?

Grüße
Andre


From andre at myhm.de  Sun Jun  3 11:25:43 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 11:25:43 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <4FCB2D97.2000006@myhm.de>

Hallo Christian,

leider gibt es, meiner Meinung nach, für das Problem keine einfache Lösung.
Wir wurden in den letzten Monaten mit diesem Problem intensiv
konfrontiert. Wir haben viele Server. Immer wieder landete der eine oder
der andere Server auf die Blacklists. Nach unserer Analyse waren es in
den meisten Fällen open source Programme Wordpress & Co schuld. Die
Kunden laden sich irgendwelche Themes oder Plugins auf ihren Webspace
herunter und schon hat der Angreifer den Zugriff auf den Webspace übers
Internet und kann fleißig Spam versenden. Sowas lässt sich nicht
wirklich verhindern. Du kannst nicht hingehen und den Code jeder Datei
des Kunden in Echtzeit checken. Geht nicht. Das bedeutet also, dass über
Deinen Server früher oder später Spam versendet wird. Alles nicht so
schlimm. Denn bei den meisten Blacklists lässt sich die IP austragen.
Das schlimmste bei der Problematik finde ich, dass einige große Anbieter
diese Möglichkeit gar nicht anbieten und auf eine freundliche Anfrage
die Austragung verweigern. Dazu gehört bspw. google. Bei Google wird die
IP automatisch ausgetragen, falls das Problem behoben wurde. Wann die
Austragung erfolgt, lässt sich leider nicht beeinflussen.

Am Schlimmsten finde ich das Netzwerk MSN (Hotmail, Windowslive). Die
Mitarbeiter verweigern immer die manuelle Austragung. Die IP bleibt ewig
hängen, obwohl das Problem seit Wochen und Monaten behoben wurde. Die
Kunden können an ihre Kommunikationspartner, die das MSN-Maildienste
nutzen, keine Mails zustellen. Der dadurch entstehende Schaden kann nur
geschätzt werden, geschweige denn Image-Schaden für den eigentlichen
Webhoster, dem in diesem Fall nichts anderes bleibt, als IP zu wechseln,
was je nach Setup nicht immer ohne Weiteres möglich ist.

Wir haben mittlerweile für den Mail-Versand über SMTP-Auth auf einen
Extra-Server gelegt, haben also den "Mail"-Server vom "Webspace"-Server
getrennt. So können im Falle eines Falles die authorisierten User normal
weiter kommunizieren.

Für den lokalen Versand vom Webspace-Server haben wir bis jetzt noch
keine wikliche Lösung gefunden. Hier ein Paar Überlegungen.

1. Ich deaktiviere den SMTP-Server auf dem Webspace Server ganz. Alle
Kunden sollen Ihre Scripte dahingehend anpassen, dass Mails über
SMPT-Auth versendet werden sollen. Leider keine praktikable Lösung, da
viele Kunden keine Ahnung haben, wie sie es in ihren Scripten ändern
sollen. Also geht nicht.

2. Ich setze fün den Versand Limits pro User, damit zumindest der
Spam-Versand im großen Stil nicht möglich ist. Ich überwache die
Log-Files und die Mail-Queue. Bei Auffälligkeiten sofort den betroffenen
User automatisch sperren. Bspw. wenn in der Queue viele unzustellbare
Mails vom selbsen User hängen. Usw.

Am 02.06.2012 22:47, schrieb Andreas Ernst:
> php_admin_value sendmail_from <mail>
> php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mail>
das löst das Problem nicht. Ich kann mich mit php den Socket aufmachen,
mich mit dem Port 25 verbinden und beliebig versenden. Sendmail bekommt
nichts mit. Zudem gibt es noch Perl-Scripte, aber auch andere
Programmiersprachen, die auf dem Server erlaubt bzw. installiert sind.

Wer Lust und/oder andere Ideen hat, bitte korrigiert oder ergänzt mich.

Grüße
Andre


From andre at myhm.de  Sun Jun  3 11:25:43 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 11:25:43 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <4FCB2D97.2000006@myhm.de>

Hallo Christian,

leider gibt es, meiner Meinung nach, für das Problem keine einfache Lösung.
Wir wurden in den letzten Monaten mit diesem Problem intensiv
konfrontiert. Wir haben viele Server. Immer wieder landete der eine oder
der andere Server auf die Blacklists. Nach unserer Analyse waren es in
den meisten Fällen open source Programme Wordpress & Co schuld. Die
Kunden laden sich irgendwelche Themes oder Plugins auf ihren Webspace
herunter und schon hat der Angreifer den Zugriff auf den Webspace übers
Internet und kann fleißig Spam versenden. Sowas lässt sich nicht
wirklich verhindern. Du kannst nicht hingehen und den Code jeder Datei
des Kunden in Echtzeit checken. Geht nicht. Das bedeutet also, dass über
Deinen Server früher oder später Spam versendet wird. Alles nicht so
schlimm. Denn bei den meisten Blacklists lässt sich die IP austragen.
Das schlimmste bei der Problematik finde ich, dass einige große Anbieter
diese Möglichkeit gar nicht anbieten und auf eine freundliche Anfrage
die Austragung verweigern. Dazu gehört bspw. google. Bei Google wird die
IP automatisch ausgetragen, falls das Problem behoben wurde. Wann die
Austragung erfolgt, lässt sich leider nicht beeinflussen.

Am Schlimmsten finde ich das Netzwerk MSN (Hotmail, Windowslive). Die
Mitarbeiter verweigern immer die manuelle Austragung. Die IP bleibt ewig
hängen, obwohl das Problem seit Wochen und Monaten behoben wurde. Die
Kunden können an ihre Kommunikationspartner, die das MSN-Maildienste
nutzen, keine Mails zustellen. Der dadurch entstehende Schaden kann nur
geschätzt werden, geschweige denn Image-Schaden für den eigentlichen
Webhoster, dem in diesem Fall nichts anderes bleibt, als IP zu wechseln,
was je nach Setup nicht immer ohne Weiteres möglich ist.

Wir haben mittlerweile für den Mail-Versand über SMTP-Auth auf einen
Extra-Server gelegt, haben also den "Mail"-Server vom "Webspace"-Server
getrennt. So können im Falle eines Falles die authorisierten User normal
weiter kommunizieren.

Für den lokalen Versand vom Webspace-Server haben wir bis jetzt noch
keine wikliche Lösung gefunden. Hier ein Paar Überlegungen.

1. Ich deaktiviere den SMTP-Server auf dem Webspace Server ganz. Alle
Kunden sollen Ihre Scripte dahingehend anpassen, dass Mails über
SMPT-Auth versendet werden sollen. Leider keine praktikable Lösung, da
viele Kunden keine Ahnung haben, wie sie es in ihren Scripten ändern
sollen. Also geht nicht.

2. Ich setze fün den Versand Limits pro User, damit zumindest der
Spam-Versand im großen Stil nicht möglich ist. Ich überwache die
Log-Files und die Mail-Queue. Bei Auffälligkeiten sofort den betroffenen
User automatisch sperren. Bspw. wenn in der Queue viele unzustellbare
Mails vom selbsen User hängen. Usw.

Am 02.06.2012 22:47, schrieb Andreas Ernst:
> php_admin_value sendmail_from <mail>
> php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mail>
das löst das Problem nicht. Ich kann mich mit php den Socket aufmachen,
mich mit dem Port 25 verbinden und beliebig versenden. Sendmail bekommt
nichts mit. Zudem gibt es noch Perl-Scripte, aber auch andere
Programmiersprachen, die auf dem Server erlaubt bzw. installiert sind.

Wer Lust und/oder andere Ideen hat, bitte korrigiert oder ergänzt mich.

Grüße
Andre


From w.flamme at web.de  Sun Jun  3 13:24:48 2012
From: w.flamme at web.de (Werner Flamme)
Date: Sun, 03 Jun 2012 13:24:48 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB2D97.2000006@myhm.de>
References: <4FCA568B.80305@schoeppi.net> <4FCB2D97.2000006@myhm.de>
Message-ID: <4FCB4980.6010908@web.de>

[03.06.2012 11:25] [andre at myhm.de]:
> Hallo Christian,
> 
> leider gibt es, meiner Meinung nach, für das Problem keine einfache Lösung.

[...]

> 
> Am 02.06.2012 22:47, schrieb Andreas Ernst:
>> php_admin_value sendmail_from <mail>
>> php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mail>
> das löst das Problem nicht. Ich kann mich mit php den Socket aufmachen,
> mich mit dem Port 25 verbinden und beliebig versenden. Sendmail bekommt
> nichts mit. Zudem gibt es noch Perl-Scripte, aber auch andere
> Programmiersprachen, die auf dem Server erlaubt bzw. installiert sind.

Tja, also... warum soll auf einem Webserver überhaupt das sockets-Modul
aktiv sein? Man kann es recht gut deaktivieren, und die Webseite läuft
trotzdem. Wenn es denn unbedingt aktiv sein muss, kann man mit (z. B.)
iptables alles, was auf Port 25 gezielt ist (--dport 25), auf einen
Proxy (z. B. den eigenen Mailserver) umleiten. Und zur Problemsuche
mitloggen.

Die "Perl- und anderen Scripte" müssen auch erstmal aufgerufen werden.
Wie geschieht das? Das hat uns Christian nicht verraten.

Recht hast Du natürlich, dass die beiden Direktiven das Problem nicht
lösen. Sie helfen aber bei der Suche, wer oder was da überhaupt sendet.

Zusätzlich sollte nicht das permit_mynetworks vor allen in Postfix
aktiven Filtern liegen, damit der lokal produzierte Spam genauso
rejected wird wie extern produzierter. Siehe "Musterlösung", Postfixbuch
3. Auflage, S. 212, als Basis: permit_mynetworks vor den RBLs, aber nach
einer ganzen Anzahl anderer Tests.

Gruß
Werner


From andre at myhm.de  Sun Jun  3 14:38:04 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 14:38:04 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB4980.6010908@web.de>
References: <4FCA568B.80305@schoeppi.net> <4FCB2D97.2000006@myhm.de>
 <4FCB4980.6010908@web.de>
Message-ID: <4FCB5AAC.9090502@myhm.de>

Am 03.06.2012 13:24, schrieb Werner Flamme:
> Tja, also... warum soll auf einem Webserver überhaupt das sockets-Modul
> aktiv sein?
weil es eben Scripte gibt, die die fsockopen nutzen und die dann nicht
mehr funktionieren werden. Wenn es auch ein kleiner Anzeil an Kunden
ist, wirdst Du vor der Entscheidung stehen, Kunden zu verlieren oder die
verdammten Funktionen wieder zu aktivieren. Wenn es nun darum geht,
welche Funktionen willst Du denn noch aus Sicherheitsgründen
deaktivieren? Es gäbe ja dann ein Haufen von Kandidaten.

Muss Du nicht antworten, ziehe lieber das Netzwerkstecker, dann hast Du
Deine Ruhe für immer.

> Man kann es recht gut deaktivieren, und die Webseite läuft
> trotzdem.
Wenn Du einen eigenen Server bereibst, auf dem nur Deine Applikation
läuft, kannst Du es machen. Ansonsten als wie gesagt, willst Du alle
bedenklichen Funktionen deaktivieren? Dann hast Du täglich unzufriedene
Kunden am Support hängen, weil die einen oder die anderen Scripte nicht
laufen.

> Wenn es denn unbedingt aktiv sein muss, kann man mit (z. B.)
> iptables alles, was auf Port 25 gezielt ist (--dport 25), auf einen
> Proxy (z. B. den eigenen Mailserver) umleiten. Und zur Problemsuche
> mitloggen.
wo ist der Unterschied? Ich kann ja auch lokal loggen, habe ggf. sogar
mehr Infos zur Verfügung...

> Die "Perl- und anderen Scripte" müssen auch erstmal aufgerufen werden.
> Wie geschieht das? Das hat uns Christian nicht verraten.
egal, wie es geschieht, es geschieht einfach.

> Recht hast Du natürlich, dass die beiden Direktiven das Problem nicht
> lösen. Sie helfen aber bei der Suche, wer oder was da überhaupt sendet.
das stimmt.

> Zusätzlich sollte nicht das permit_mynetworks vor allen in Postfix
> aktiven Filtern liegen, damit der lokal produzierte Spam genauso
> rejected wird wie extern produzierter. Siehe "Musterlösung", Postfixbuch
> 3. Auflage, S. 212, als Basis: permit_mynetworks vor den RBLs, aber nach
> einer ganzen Anzahl anderer Tests.
Ich soll also zusammen mit dem eigenen Spam auch meine eigenen E-Mails
blocken? Geil. OK, das finde ich schon sinnvoll. Lieber temporär selber
blocken, noch bevor die IP auf auf den Blacklisten landet, als dann den
Aufwand betreiben, die IP von den Blacklists runterzuholen, was zum Teil
gar nicht möglich ist. So als wirklich angenehme Lösung empfinde ich sie
nicht.

PS: ich habe eine ähnliche Anfrage vor ca. 10 Tagen hier an die Liste
gestellt und wurde schon fast ausgelacht.

> Oh mein Gott. Gut, dass du diese Problematik ansprichst. Ich werde
> morgen dafür sorgen, dass meine User nur noch mit Augenscan,
> Stimmerkennung und Daumenabdruck + PIN emails versenden dürfen. Mist,
> man kann Augen und Daumen entfernen und mitnehmen. Stimmen kann man
> aufnehmen. Aaaaaaaaaaaaaaaaaaaah. Am besten Ich springe aus dem
> Fenster.
>
> Ok: SCNR.
>
> Ich habe die Authentifizierung bei Exchange und das Gateway scant jede
> Richtung. Jeder kann Spam versenden. Auch normale User.

Ich habe aber langsam das Gefühl, dass kaum einer hier mit dem Problem
so richtig extrem konfrontiert wurde.

Grüße
Andre


From technoworx at gmx.de  Sun Jun  3 15:09:06 2012
From: technoworx at gmx.de (Alexander Stoll)
Date: Sun, 03 Jun 2012 15:09:06 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB5AAC.9090502@myhm.de>
References: <4FCA568B.80305@schoeppi.net> <4FCB2D97.2000006@myhm.de>
 <4FCB4980.6010908@web.de> <4FCB5AAC.9090502@myhm.de>
Message-ID: <4FCB61F2.5000403@gmx.de>

Am 03.06.2012 14:38, schrieb andre at myhm.de:
> Ich habe aber langsam das Gefühl, dass kaum einer hier mit dem Problem
> so richtig extrem konfrontiert wurde.

Das ist absolut kein Sonderfall, es gibt genug Leute hier auf der Liste 
die solche Szenarien als Tagesgeschäft haben und prima damit Leben 
können. Das Listenarchiv hilft Dir in diesem Fall extrem weiter, alles 
in diesem Umfeld wurde schon mal durchgekaut.

Du machst den Eindruck extrem unter Druck zu stehen und "den Wald vor 
lauter Bäumen nicht mehr zu sehen" und nebenbei belastet das sicher auch 
die Wortwahl, denn ich empfinde Deinen Umgangston hier nicht mehr als 
freundlich.

Das ist hier eine Veranstaltung ohne Verpflichtung und Leute auf die 
Füsse zu treten wird Dich nicht sonderlich weit bringen. Ich fühle mich 
im Moment so gar nicht veranlasst in die Bresche zu springen...

Trotzdem ein dezenter Hinweis: Ohne den Leistungsumfang im Webhost zu 
beschränken musst Du eben die Kommunikationkanäle zur SMTP Instanz 
entsprechend abdichten, das geht selbst auf einem Einzelsystem mit 
entsprechendem Aufwand, eleganter und transparenter natürlich mit 
dedizierten Hosts. Es ist nicht unlösbar und ich sehe hier eher 
konzeptionelle Schwächen als Ursache für den Ärger.

Viel Erfolg!


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2496 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120603/21d4ba86/attachment.p7s>

From andre at myhm.de  Sun Jun  3 15:30:29 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 15:30:29 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB61F2.5000403@gmx.de>
References: <4FCA568B.80305@schoeppi.net> <4FCB2D97.2000006@myhm.de>
 <4FCB4980.6010908@web.de> <4FCB5AAC.9090502@myhm.de>
 <4FCB61F2.5000403@gmx.de>
Message-ID: <4FCB66F5.8020705@myhm.de>

Am 03.06.2012 15:09, schrieb Alexander Stoll:
> Du machst den Eindruck extrem unter Druck zu stehen und "den Wald vor
> lauter Bäumen nicht mehr zu sehen" und nebenbei belastet das sicher auch
> die Wortwahl, denn ich empfinde Deinen Umgangston hier nicht mehr als
> freundlich.
sorry, wenn ich mich wirklich im Ton vergriffen habe. Unfreundlich
wollte ich nicht sein.

> Trotzdem ein dezenter Hinweis: Ohne den Leistungsumfang im Webhost zu
> beschränken musst Du eben die Kommunikationkanäle zur SMTP Instanz
> entsprechend abdichten...

Danke für den Tipp. Ich werde ihn so umsetzen.


From igor.sverkos at googlemail.com  Sun Jun  3 15:52:52 2012
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Sun, 03 Jun 2012 15:52:52 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB15C5.9080406@myhm.de>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de>
Message-ID: <4FCB6C34.3000205@googlemail.com>

Hallo,

Andre schrieb:
> was willst Du denn filtern? Nach eigener IP etwa? Ist meine IP
> geblacklistet, geht keine E-Mail mehr raus, oder was?

Also zu erst muss geklärt werden, weswegen der sendende Server auf einer
Blacklist gelandet ist. Denke da sind wir uns einig:

Selbst wenn ich weiß "Es ist das Web von KundeX", dann sollte ich KundeX
nicht einfach das Mailversenden sperren sondern in Erfahrung bringen,
was da los ist und was zu Problemen führt (andernfalls werde ich KundeX
verlieren und sehr wahrscheinlich Gefahr laufen, dass dies irgendwann
auch bei andere Kunden auftritt).

Wenn dort jetzt also eine Anwendung läuft die es erlaubt, dass ein
Besucher an eine beliebige Adresse eine Mail versenden kann, dann laufe
ich Gefahr, dass irgendein Besucher Spam-Trap Adressen eingegeben hat
und mein System brav wie es ist, diese nun angeschrieben hat.
Ich wüsste nicht, wie man sich dagegen schützen kann (sofern das
Formular nicht automatisiert verwendet werden kann) - wäre mal
interessant was passiert, wenn man von GMX ect. aus...

Läuft dort aber bspw. der gute alte "Formmailer", welcher anfällig für
Injections ist, dann kann es sein, dass irgendwer diesen entdeckt hat
und über diese Seite nun seine Werbung für potenzsteigernde Mittel
versendet.
Dagegen sollte mein Setup schützen:

1) Möglicherweise lehnt mein SPAM-Filter die Einlieferung dieser Mail
bereits ab, da ich ausgehende Mails wie eingehende Mails prüfe.

2) Ich habe Limits definiert: Wenn mir eine Webanwendung plötzlich 20
und mehr Nachrichten einliefert blockiert das System und wirft Meldungen
aus. Das Limit muss natürlich passend (=individuell) gewählt werden.

3) Policies - der KundeX hat die Domain "example.invalid", folglich darf
er auch nur Mails mit dem Absender @example.invalid versenden...


Bedenke:
Die Problematik besteht doch auch bei normalen Accounts. Was machst du,
wenn ein Rechner einer deiner Kunden infiziert wurde und über das
eingerichtete Standardpostfach jetzt den Müll versendet? Das trifft dein
Mailsystem genau so...


-- 
Ich Grüße,
Igor


From Ralf.Hildebrandt at charite.de  Sun Jun  3 16:52:11 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Sun, 3 Jun 2012 16:52:11 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120602212232.GA8085@mx.cs-x.de>
References: <4FCA568B.80305@schoeppi.net> <20120602195710.GC30052@charite.de>
 <20120602212232.GA8085@mx.cs-x.de>
Message-ID: <20120603145211.GB21838@charite.de>

* Christian Schoepplein <chris at schoeppi.net>:

> Ja. Da das Ganze mit fcgi läuft, hat jeder WEB-Account seinen eigenen 
> User.

Ergo: Wenn das über sendmail geht kannst Du mit:
authorized_submit_users = !dummesau, static:anyone
den user "dummesau" selektiv vom Versenden sperren

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From andre at myhm.de  Sun Jun  3 16:57:21 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 16:57:21 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB6C34.3000205@googlemail.com>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
Message-ID: <4FCB7B51.7050608@myhm.de>

Am 03.06.2012 15:52, schrieb Igor Sverkos:

Hi Igor,

danke für  Deine Antwort.

> Die Problematik besteht doch auch bei normalen Accounts. Was machst du,
> wenn ein Rechner einer deiner Kunden infiziert wurde und über das
> eingerichtete Standardpostfach jetzt den Müll versendet? Das trifft dein
> Mailsystem genau so...
JA, eben das ist das Problem, auf das ich eine Lösung suche. Genau den
Fall hatten wir neulig. Von einem E-Mail-Account wurde Spam versendet,
und zwar über SMTP-Authorisierung. Es handelte sich um einen Account von
einem Rechtsantwalt. Daher halte ich es für ausgeschlossen, dass es sein
Wunsch war ;-) Der Versand erfolgte immer von verschiedenen IP's.
Dierekt nach Passwort-Änderung hat es aufgehört. Als er das Passwort bei
sich selbst im E-Mail-Client geändert hat, ging es mit dem Spammen
weiter. Die IP landete auf Blacklisten, klar. Alle Kudnen auf der IP
wurden betroffen bzw. konnten nicht versenden.

Nun stellt sich die Frage, wie genau das sich verhindern lässt. Ich kann
ja nicht jedem User eine eigene IP zuweisen...


> Also zu erst muss geklärt werden, weswegen der sendende Server auf einer
> Blacklist gelandet ist. Denke da sind wir uns einig:
> 
> Selbst wenn ich weiß "Es ist das Web von KundeX", dann sollte ich KundeX
> nicht einfach das Mailversenden sperren sondern in Erfahrung bringen,
> was da los ist und was zu Problemen führt (andernfalls werde ich KundeX
> verlieren und sehr wahrscheinlich Gefahr laufen, dass dies irgendwann
> auch bei andere Kunden auftritt).
> 
> Wenn dort jetzt also eine Anwendung läuft die es erlaubt, dass ein
> Besucher an eine beliebige Adresse eine Mail versenden kann, dann laufe
> ich Gefahr, dass irgendein Besucher Spam-Trap Adressen eingegeben hat
> und mein System brav wie es ist, diese nun angeschrieben hat.
> Ich wüsste nicht, wie man sich dagegen schützen kann (sofern das
> Formular nicht automatisiert verwendet werden kann) - wäre mal
> interessant was passiert, wenn man von GMX ect. aus...
> 
> Läuft dort aber bspw. der gute alte "Formmailer", welcher anfällig für
> Injections ist, dann kann es sein, dass irgendwer diesen entdeckt hat
> und über diese Seite nun seine Werbung für potenzsteigernde Mittel
> versendet.
> Dagegen sollte mein Setup schützen:
> 
> 1) Möglicherweise lehnt mein SPAM-Filter die Einlieferung dieser Mail
> bereits ab, da ich ausgehende Mails wie eingehende Mails prüfe.
> 
> 2) Ich habe Limits definiert: Wenn mir eine Webanwendung plötzlich 20
> und mehr Nachrichten einliefert blockiert das System und wirft Meldungen
> aus. Das Limit muss natürlich passend (=individuell) gewählt werden.
> 
> 3) Policies - der KundeX hat die Domain "example.invalid", folglich darf
> er auch nur Mails mit dem Absender @example.invalid versenden...
> 
> 



From Ralf.Hildebrandt at charite.de  Sun Jun  3 17:01:15 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Sun, 3 Jun 2012 17:01:15 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB7B51.7050608@myhm.de>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
 <4FCB7B51.7050608@myhm.de>
Message-ID: <20120603150115.GI21838@charite.de>

* andre at myhm.de <andre at myhm.de>:

> Dierekt nach Passwort-Änderung hat es aufgehört. Als er das Passwort bei
> sich selbst im E-Mail-Client geändert hat, ging es mit dem Spammen
> weiter.

Also war/ist sein Rechner trojanisiert.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From andre at myhm.de  Sun Jun  3 17:11:27 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 17:11:27 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120603150115.GI21838@charite.de>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
 <4FCB7B51.7050608@myhm.de> <20120603150115.GI21838@charite.de>
Message-ID: <4FCB7E9F.9030705@myhm.de>

Am 03.06.2012 17:01, schrieb Ralf Hildebrandt:
> Also war/ist sein Rechner trojanisiert.
ja, davon gehen wir auch aus.

Dass ein User-Rechner infiziert wird, kann man nicht verhindern.
Die Frage ist, was kann man tun, damit die anderen User auf dem
Mail-Server nicht betroffen werden bzw. wie kann man verhindern, dass
der Server auf die Blacklist landet?


From Ralf.Hildebrandt at charite.de  Sun Jun  3 17:16:43 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Sun, 3 Jun 2012 17:16:43 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB7E9F.9030705@myhm.de>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
 <4FCB7B51.7050608@myhm.de> <20120603150115.GI21838@charite.de>
 <4FCB7E9F.9030705@myhm.de>
Message-ID: <20120603151643.GJ21838@charite.de>

* andre at myhm.de <andre at myhm.de>:
> Am 03.06.2012 17:01, schrieb Ralf Hildebrandt:
> > Also war/ist sein Rechner trojanisiert.
> ja, davon gehen wir auch aus.
> 
> Dass ein User-Rechner infiziert wird, kann man nicht verhindern.
> Die Frage ist, was kann man tun, damit die anderen User auf dem
> Mail-Server nicht betroffen werden bzw. wie kann man verhindern, dass
> der Server auf die Blacklist landet?

Eigentlich müsstest Du ausgehende Mails AUCH auf Spam filtern, denn
das meiste was die verschicken werden wollen wird wohl Spam sein.

Besser UD blockst es als daß andere deinen Server blocken.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From fk at florian-kaiser.net  Sun Jun  3 17:19:03 2012
From: fk at florian-kaiser.net (Florian Kaiser)
Date: Sun, 03 Jun 2012 17:19:03 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCB7E9F.9030705@myhm.de>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
 <4FCB7B51.7050608@myhm.de> <20120603150115.GI21838@charite.de>
 <4FCB7E9F.9030705@myhm.de>
Message-ID: <1338736743.4016.73.camel@FLORIANKAISER>

> Dass ein User-Rechner infiziert wird, kann man nicht verhindern.
> Die Frage ist, was kann man tun, damit die anderen User auf dem
> Mail-Server nicht betroffen werden bzw. wie kann man verhindern, dass
> der Server auf die Blacklist landet?
Wie wärs ganz einfach mit Spamfilter/Virenfilter für ausgehende
E-Mails? Ist doch mittlerweile echt Standard. Ich rede hier natürlich
von Pre-Queue-Filtern, aber was anderes will man ja sowieso nicht ...

Grüße
Florian



From w.flamme at web.de  Sun Jun  3 17:48:28 2012
From: w.flamme at web.de (Werner Flamme)
Date: Sun, 03 Jun 2012 17:48:28 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <1338736743.4016.73.camel@FLORIANKAISER>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
 <4FCB7B51.7050608@myhm.de> <20120603150115.GI21838@charite.de>
 <4FCB7E9F.9030705@myhm.de> <1338736743.4016.73.camel@FLORIANKAISER>
Message-ID: <4FCB874C.40204@web.de>

[03.06.2012 17:19] [Florian Kaiser]:
>> Dass ein User-Rechner infiziert wird, kann man nicht verhindern.
>> Die Frage ist, was kann man tun, damit die anderen User auf dem
>> Mail-Server nicht betroffen werden bzw. wie kann man verhindern, dass
>> der Server auf die Blacklist landet?
> Wie wärs ganz einfach mit Spamfilter/Virenfilter für ausgehende
> E-Mails? Ist doch mittlerweile echt Standard. Ich rede hier natürlich
> von Pre-Queue-Filtern, aber was anderes will man ja sowieso nicht ...

Du bist jetzt der Dritte, der das vorschlägt,

grinst Werner



From andre at myhm.de  Sun Jun  3 18:14:11 2012
From: andre at myhm.de (andre at myhm.de)
Date: Sun, 03 Jun 2012 18:14:11 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120603151643.GJ21838@charite.de>
References: <4FCA568B.80305@schoeppi.net> <4FCA5A3D.6080808@googlemail.com>
 <4FCB15C5.9080406@myhm.de> <4FCB6C34.3000205@googlemail.com>
 <4FCB7B51.7050608@myhm.de> <20120603150115.GI21838@charite.de>
 <4FCB7E9F.9030705@myhm.de> <20120603151643.GJ21838@charite.de>
Message-ID: <4FCB8D53.6060303@myhm.de>

Am 03.06.2012 17:16, schrieb Ralf Hildebrandt:

> Eigentlich müsstest Du ausgehende Mails AUCH auf Spam filtern, denn
> das meiste was die verschicken werden wollen wird wohl Spam sein.
> 
> Besser UD blockst es als daß andere deinen Server blocken.
ja, danke!
Ich werde mich damit auseinandersetzen.

Lieben Dank an alle Beteiligten!

Grüße
Andre


From michael at nausch.org  Sun Jun  3 19:54:51 2012
From: michael at nausch.org (Michael Nausch)
Date: Sun, 03 Jun 2012 19:54:51 +0200
Subject: [Postfixbuch-users] anvil-Modul und pickup-Modul
Message-ID: <4FCBA4EB.1000607@nausch.org>

Griasde Peer, griaseichallemidananda!

Ich hätte da mal eine etwas eher rhetorische Frage.

Das anvil-modul kann ich ja zum Vermeiden von DoS-Attacken einzelner
Clients verwenden. Also greift ja dort das smtpd-modul in Verbindung mit
dem anvil-modul ein.

Wie sieht es denn aus, greift das anvil-modul auch beim pickup-modul mit
ein? Auf http://www.postfix.org/anvil.8.html hab ich dazu nix gefunden.
Oder hab ich da etwas überlesen, missverstanden?


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From abien at nbmc.de  Sun Jun  3 20:04:34 2012
From: abien at nbmc.de (Alexander Bien)
Date: Sun, 03 Jun 2012 20:04:34 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <4FCBA732.8060209@nbmc.de>

> Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den
>  entsprechenden Skripts, etc.?

IdR verwende ich einen kleinen wrapper für den sendmail Aufruf, der 
nicht mehr macht als vor dem eigentlichen Versand einige Details (UID, 
PATH, usw) in ein Logfile zu schreiben.

Hier sind 2 Links als Denkanstoss:

http://bit.ly/UfGLz
http://bit.ly/cSX1bR

So, oder so ähnlich, "kann" man das machen.

> Kann man dann mail- oder webserverseitig irgendwelche Einstellungen
> vornehmen, um den Mißbrauch von schlecht programmierten Skripten zu
> vermeiden oder wenigstens den Versand von Mails auf ein Maß
> einzudämmen, dass der Server nicht gleich auf einer Blacklist landet
> und man noch reagieren kann?

Vermeiden: Schwierig.

Eindämmen: Schon eher.

Du könntest Bulkmails in der que belassen und nicht zustellen, sobald 
eine Grenze (Anzahl) erreicht wird. Dann einen Alarm im Nagios 
generieren und die Lage manuell prüfen. Wenn alles ok ist, freischalten 
und die Mails werden abgearbeitet. Wenn einer bei dir Spamt, Ursache 
abstellen, Que aufräumen - weiter gehts.

Im Detail müsste man die Idee etwas genauer beleuchten damit es nichts 
verschlimmbessert - aber so oder so ähnlich wäre evtl eine Möglichkeit.

Was authentifizierte SMTP Connections angeht (also Postfachbenutzer) 
könnte ich mir vorstellen, dass Du mit einem policy-daemon eine Art 
"Sender-Quota" machen kannst.

So in etwa: "Benutzer der Klasse-Privatkunde nur max 100 Mails pro Std"

Habe mal gelesen, dass der policyd-v2 so etwas kann:
http://www.policyd.org/content/features

Gruß
ab



From jk at jkart.de  Sun Jun  3 22:24:25 2012
From: jk at jkart.de (Jim Knuth)
Date: Sun, 03 Jun 2012 22:24:25 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCBA732.8060209@nbmc.de>
References: <4FCA568B.80305@schoeppi.net> <4FCBA732.8060209@nbmc.de>
Message-ID: <4FCBC7F9.8010604@jkart.de>

am 03.06.12 20:04 schrieb Alexander Bien <abien at nbmc.de>:


> Was authentifizierte SMTP Connections angeht (also Postfachbenutzer)
> könnte ich mir vorstellen, dass Du mit einem policy-daemon eine Art
> "Sender-Quota" machen kannst.
>
> So in etwa: "Benutzer der Klasse-Privatkunde nur max 100 Mails pro Std"
>
> Habe mal gelesen, dass der policyd-v2 so etwas kann:
> http://www.policyd.org/content/features

ja, das setze ich auch ein. Damit kann man 'ne Menge
"regeln". ;) Aber nicht den Cluebringer nehmen!

>
> Gruß
> ab
>


-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Mit dem Geist ist es wie mit dem Magen: Mann kann ihm
nur Dinge zumuten, die er verdauen kann. [Churchill]


From p.heinlein at heinlein-support.de  Mon Jun  4 13:38:51 2012
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 4 Jun 2012 13:38:51 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCA568B.80305@schoeppi.net>
References: <4FCA568B.80305@schoeppi.net>
Message-ID: <201206041338.52082.p.heinlein@heinlein-support.de>

Am Samstag, 2. Juni 2012, 20:08:11 schrieb Christian Schoepplein:


> Ich sehe in den Maillogs, dass von localhost connectet wird, daher gehe
> ich von einem PHP- oder Perl-Skript aus. Nur selbst wenn ich in den

Die access-Logs durchgreppen nach

a) "..." (jawoll, DREI Punkte)
b) mail / mailer
c) POST (und dann viel Spaß beim lesen).

Hilfsweise durchsucht man den Dateistore des Servers nach Dateien, die 
wwwrun/wwwdata gehören und greppt das ganze nach ".php".

Hilfsweise greppt man den Dateistore nach "mail" oder "smtp/SMTP" und schaut 
dann, wie man den ganzen Beifang systematisch weggreppt, so daß das 
relevante übrig bleibt.

Peer



--

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de

Tel: 030/405051-42
Fax: 030/405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin


From chris at schoeppi.net  Tue Jun  5 17:53:57 2012
From: chris at schoeppi.net (Christian Schoepplein)
Date: Tue, 5 Jun 2012 17:53:57 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120603145211.GB21838@charite.de>
References: <4FCA568B.80305@schoeppi.net> <20120602195710.GC30052@charite.de>
 <20120602212232.GA8085@mx.cs-x.de>
 <20120603145211.GB21838@charite.de>
Message-ID: <20120605155357.GB32510@mx.cs-x.de>

Hi zusammen,

erstmal danke euch allen für die Tipps und Hinweise, wie ich das 
Spamproblem lösen oder wenigstens eindämmen könnte. Einige der Dinge 
habe ich bereits umgesetzt, z.B. die PHP-Settings so geändert, dass ich 
sehe aus welchem Webspace der Dreck evtl. kommt.

Mittlerweile bin ich mir aber nicht mehr sicher, ob es wirklich ein 
Skript ist. Mehrere Mails der folgenden Art ging gestern über den 
Servern, kurz danach waren wir wieder in den Blacklists. as-12.de ist 
die Kiste, die auf den Listen landet:

Received: from localhost (localhost.localdomain [127.0.0.1])
        by mail.as-12.de (Postfix) with ESMTP id 2165329DE00C;
        Mon,  4 Jun 2012 21:49:53 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at as-12.de
Received: from mail.as-12.de ([127.0.0.1])
        by localhost (mail.as-12.de [127.0.0.1]) (amavisd-new, port 
10024)
        with LMTP id daoZE8GI3zpp; Mon,  4 Jun 2012 21:49:48 +0200 
(CEST)
Received: from as-12.de (localhost.localdomain [127.0.0.1])
        by mail.as-12.de (Postfix) with SMTP id D08D329DE007
        for <xtra_manish at blackplanet.com>; Mon,  4 Jun 2012 21:49:48 
+0200
        (CEST)
Received: from bosmat by as-12.de with local (Exim 4.36)
        id d3rtsw-jzDceW-ih
        for xtra_manish at blackplanet.com; Tue, 05 Jun 2012 01:13:10 +0200
To: xtra_manish <xtra_manish at blackplanet.com>
Subject: Tricky Vicky gave you an access to the intimate gallery
Message-Id: <d3rtsw-jzDceW-ih at as-12.de>
From: Brigid Lockhart <bosmat at williamcalvin.com>

Aus den Logs, ich hoffe ich suche so richtig:

as-12:/var/log# grep "d3rtsw-jzDceW-ih" mail.log
Jun  4 21:49:48 as-12 postfix/cleanup[14852]: D08D329DE007: 
message-id=<d3rtsw-jzDceW-ih at as-12.de> 
Jun  4 21:49:53 as-12 postfix/cleanup[14852]: 2165329DE00C: 
message-id=<d3rtsw-j
zDceW-ih at as-12.de>
Jun  4 21:49:53 as-12 amavis[14631]: (14631-12) Passed SPAMMY, LOCAL 
[127.0.0.1]
 [127.0.0.1] <bosmat at williamcalvin.com> -> 
<xtra_manish at blackplanet.com> Message-ID: <d3rtsw-jzDceW-ih at as-12.de>, mail_id: 
daoZE8GI3zpp, Hits 9.834, size: 1173, queued_as: 2165329DE00C, 4287 ms

as-12:/var/log# grep D08D329DE007 mail.log
Jun  4 21:49:48 as-12 postfix/smtpd[14337]: D08D329DE007: 
client=localhost.local
domain[127.0.0.1]
Jun  4 21:49:48 as-12 postfix/cleanup[14852]: D08D329DE007: 
message-id=<d3rtsw-j
zDceW-ih at as-12.de>
Jun  4 21:49:48 as-12 postfix/qmgr[11362]: D08D329DE007: 
from=<bosmat at williamcal
vin.com>, size=1174, nrcpt=2 (queue active)
Jun  4 21:49:53 as-12 postfix/lmtp[15069]: D08D329DE007: 
to=<xtra_manish at blackpl
anet.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.3, 
delays=0.01/0/0/4.3, dsn
=2.0.0, status=sent (250 2.0.0 Ok, id=14631-12, from 
MTA([127.0.0.1]:10025): 250
 2.0.0 Ok: queued as 2165329DE00C)
Jun  4 21:49:53 as-12 postfix/qmgr[11362]: D08D329DE007: removed

as-12:/var/log# grep 2165329DE00C mail.log
Jun  4 21:49:53 as-12 postfix/smtpd[15543]: 2165329DE00C: 
client=localhost.local
domain[127.0.0.1]
Jun  4 21:49:53 as-12 postfix/cleanup[14852]: 2165329DE00C: 
message-id=<d3rtsw-j
zDceW-ih at as-12.de>
Jun  4 21:49:53 as-12 postfix/qmgr[11362]: 2165329DE00C: 
from=<bosmat at williamcal
vin.com>, size=1564, nrcpt=3 (queue active)
Jun  4 21:49:53 as-12 amavis[14631]: (14631-12) Passed SPAMMY, LOCAL 
[127.0.0.1]
 [127.0.0.1] <bosmat at williamcalvin.com> -> 
<xtra_manish at blackplanet.com>, Message-ID: <d3rtsw-jzDceW-ih at as-12.de>, 
mail_id: 
daoZE8GI3zpp, Hits
: 9.834, size: 1173, queued_as: 2165329DE00C, 4287 ms
Jun  4 21:49:53 as-12 postfix/lmtp[15069]: D08D329DE007: 
to=<xtra_manish at blackpl
anet.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.3, 
delays=0.01/0/0/4.3, dsn
=2.0.0, status=sent (250 2.0.0 Ok, id=14631-12, from 
MTA([127.0.0.1]:10025): 250
 2.0.0 Ok: queued as 2165329DE00C)
Jun  4 21:49:53 as-12 postfix/smtp[14857]: 2165329DE00C: 
to=<xtra_manish at blackpl
anet.com>, relay=none, delay=0.01, delays=0.01/0/0/0, dsn=5.4.6, 
status=bounced
(mail for blackplanet.com loops back to myself)
Jun  4 21:49:59 as-12 postfix/bounce[15677]: 2165329DE00C: sender 
non-delivery n
otification: D8FDF29DE007
Jun  4 21:49:59 as-12 postfix/qmgr[11362]: 2165329DE00C: removed

Wenn ich mehr Logs schicken soll, bitte sagen :-).

Hier Auszüge aus meiner Postfix-Konfiguration, gern schick ich auch hier 
mehr:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
always_bcc = cw at schoeppi.net
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = ipv4
local_destination_concurrency_limit = 2
local_transport = local
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
message_size_limit = 104857600
mydestination = as-12.de, localhost
mydomain = as-12.de
myhostname = mail.as-12.de
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_helo_required = yes
smtpd_recipient_restrictions = reject_non_fqdn_sender  
reject_non_fqdn_recipient
  permit_mynetworks  permit_sasl_authenticated  
reject_unlisted_recipient  rejec
t_unknown_sender_domain  reject_unknown_recipient_domain  
reject_unauth_destinat
ion  reject_unauth_pipelining  reject_invalid_hostname  
reject_non_fqdn_hostname
  reject_unauth_destination  check_recipient_access 
hash:/etc/postfix/greylist
check_sender_access hash:/etc/postfix/reject_unverified_senders
smtpd_restriction_classes = greylist  rbl
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = 
mysql:/etc/postfix/mysql-virtual_sender_permissions.cf
smtpd_tls_cert_file = /etc/ssl/private/mail.as-12.de.crt
smtpd_tls_key_file = /etc/ssl/private/mail.as-12.de.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
soft_bounce = no
strict_8bitmime = no
strict_8bitmime_body = no
strict_mime_encoding_domain = yes
strict_rfc821_envelopes = yes
tls_random_source = dev:/dev/urandom
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_gid_maps = static:2000
virtual_mailbox_base = /data/customers/mail/
virtual_mailbox_domains = 
mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_mailbox_limit = 0
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_transport = dovecot
virtual_uid_maps = static:2000

die master.cf:

smtp      inet  n       -       -       -       -       smtpd
    -o content_filter=amavisfeed:[127.0.0.1]:10024
    -o smtpd_client_connection_count_limit=15
submission inet n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
	-o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache

127.0.0.1:10025 inet n    -       n       -       -     smtpd
    -o content_filter=
    -o smtpd_delay_reject=no
    -o smtpd_client_restrictions=permit_mynetworks,reject
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=reject_unauth_pipelining
    -o smtpd_end_of_data_restrictions=
    -o smtpd_restriction_classes=
    -o mynetworks=127.0.0.0/8
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0
    -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
    -o local_header_rewrite_clients=
    -o smtpd_milters=
    -o local_recipient_maps=
    -o relay_recipient_maps=

amavisfeed unix    -       -       n        -      2     lmtp
    -o lmtp_data_done_timeout=1200
    -o lmtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
    -o lmtp_tls_note_starttls_offer=no

maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}

uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)

ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}

Auf der Kiste läuft ein apache, mysql und mailmäßig postfix, 
postfixpolicyd, amavis und dovecot. Die Webspaces, Postfächer, etc. 
werden mit froxlor (http://www.froxlor.org) verwaltet, daher stammt auch 
mehr oder weniger die Konfig.

Evtl. fällt ja jemanden bei dem Ganzen etwas auf, gern kann ich auch 
weitere Infos schicken.

ciao und nochmal danke,

  Christian

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 190 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120605/23115f5f/attachment.asc>

From gregor at a-mazing.de  Tue Jun  5 18:12:15 2012
From: gregor at a-mazing.de (Gregor Hermens)
Date: Tue, 5 Jun 2012 18:12:15 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120605155357.GB32510@mx.cs-x.de>
References: <4FCA568B.80305@schoeppi.net> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de>
Message-ID: <201206051812.15903@office.a-mazing.net>

Hallo Christian,

Am Dienstag, 5. Juni 2012 schrieb Christian Schoepplein:
> Received: from bosmat by as-12.de with local (Exim 4.36)
>         id d3rtsw-jzDceW-ih
>         for xtra_manish at blackplanet.com; Tue, 05 Jun 2012 01:13:10 +0200

wiseo kommt hier Exim ins Spiel?

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From driessen at fblan.de  Tue Jun  5 22:08:42 2012
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Tue, 5 Jun 2012 22:08:42 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120605155357.GB32510@mx.cs-x.de>
References: <4FCA568B.80305@schoeppi.net> <20120602195710.GC30052@charite.de>
 <20120602212232.GA8085@mx.cs-x.de> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de>
Message-ID: <021501cd4357$01b88ca0$0529a5e0$@fblan.de>

Im Auftrag von Christian Schoepplein
> 
> Mittlerweile bin ich mir aber nicht mehr sicher, ob es wirklich ein
> Skript ist. Mehrere Mails der folgenden Art ging gestern über den
> Servern, kurz danach waren wir wieder in den Blacklists. as-12.de ist
> die Kiste, die auf den Listen landet:

from=<bosmat at williamcalvin.com> und das to=<xtra_manish at blackplanet.com>
gehören nicht zu deinem Server ????

geh in die Logs und schau nach ob sich ein Kunde von dir vorher angemeldet
hat 

wenn nicht zu deinem Server gehörend warum transportierst du die Mail ??

Restriktionen überprüfen.
Vermutlich schickt auch eigener Kunde über dich unter fremder Mailadresse 
Oder du hast irgendwo ein OK statt Dunno in deinen Restriktionen bzw. tables
drinne 

> Hier Auszüge aus meiner Postfix-Konfiguration, gern schick ich auch hier
> mehr:
> 
> mynetworks = 127.0.0.0/8 ,  94.23.238.49/32
Schreibe alle IP's rein die zu deinem Netzwerk gehören und denen du
vertraust 
 
inet_interfaces = all

gegen ein 

inet_interfaces = 127.0.0.1, 94.23.238.49, ::1   austauschen

schadet nix aber Postfix interfaces werden bei mehreren IP auf dem Host
genau definiert 

mit 
authorized_submit_users = !webuser, !www-data, static:anyone

und weiteren Usern die nicht senden dürfen kann auch keiner unter diesen
Usern Mails aus dem Webhosting versenden 


> smtpd_recipient_restrictions = reject_non_fqdn_sender
> 				reject_non_fqdn_recipient
>   				permit_mynetworks  
>				permit_sasl_authenticated --->> nach
>				reject_unlisted_recipient 
>				reject_unknown_sender_domain  
>				reject_unknown_recipient_domain
>>>>>			reject_sender_login_mismatch,  (verhindert das
jemand unter anderem Namen wie angemeldet Mails verschickt)
hier--->>				permit_sasl_authenticated
>				 reject_unauth_destination  
>				reject_unauth_pipelining  
>				reject_invalid_hostname
> 				reject_non_fqdn_hostname
>   				reject_unauth_destination  
>				check_recipient_access
hash:/etc/postfix/greylist
>				 check_sender_access
hash:/etc/postfix/reject_unverified_senders
>

> smtpd_restriction_classes = greylist  rbl

Diese Restrictionsclasses sind nicht aufgeführt 
In diesen restriktionsclasses dürfen keine OK sondern nur DUNNO stehen 

OK nimmt sofort an !!!!! (vermutlich steht da irgendwo ein OK und macht die
Restriktionen unwirksam)
DUNNO übergeht nur diesen test 


eigene Kunden nur noch über 587 einliefern lassen bzw. eigene Kunden und
Fremde Server über unterschiedliche IP mit unterschiedlichen Restriktionen
laufen lassen 


> smtpd_sasl_auth_enable = yes
> smtpd_sasl_authenticated_header = yes
> smtpd_sasl_local_domain = $myhostname
> smtpd_sasl_path = private/auth
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_type = dovecot
> smtpd_sender_login_maps =
mysql:/etc/postfix/mysql-virtual_sender_permissions.cf

Prüfe welches Ergebnis dein SQL bringt.
Prüfe ob dein SQL bei Falschem User / Passwort kein Ergebnis bringt



> die master.cf:
> 
> smtp      inet  n       -       -       -       -       smtpd
>     -o content_filter=amavisfeed:[127.0.0.1]:10024

Prüfe mal ob du amavis nicht auf Proxy_filter bzw. Prequeu filter umstellen
kannst

>     -o smtpd_client_connection_count_limit=15
> submission inet n       -       -       -       -       smtpd
>   -o smtpd_sasl_auth_enable=yes
>   -o smtpd_client_restrictions=permit_sasl_authenticated,reject



> 
> Evtl. fällt ja jemanden bei dem Ganzen etwas auf, gern kann ich auch
> weitere Infos schicken.
> 
> ciao und nochmal danke,
> 
>   Christian



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From chris at schoeppi.net  Wed Jun  6 15:32:47 2012
From: chris at schoeppi.net (Christian Schoepplein)
Date: Wed, 6 Jun 2012 15:32:47 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCBC7F9.8010604@jkart.de>
References: <4FCA568B.80305@schoeppi.net> <4FCBA732.8060209@nbmc.de>
 <4FCBC7F9.8010604@jkart.de>
Message-ID: <20120606133247.GA19221@mx.cs-x.de>

On So, Jun 03, 2012 at 10:24:25 +0200, Jim Knuth wrote:
>am 03.06.12 20:04 schrieb Alexander Bien <abien at nbmc.de>:
>>Was authentifizierte SMTP Connections angeht (also Postfachbenutzer)
>>könnte ich mir vorstellen, dass Du mit einem policy-daemon eine Art
>>"Sender-Quota" machen kannst.
>>
>>So in etwa: "Benutzer der Klasse-Privatkunde nur max 100 Mails pro Std"
>>
>>Habe mal gelesen, dass der policyd-v2 so etwas kann:
>>http://www.policyd.org/content/features
>
>ja, das setze ich auch ein. Damit kann man 'ne Menge
>"regeln". ;) Aber nicht den Cluebringer nehmen!

Ich verwende zur Zeit auch den alten Policyd, den Cluebringer würde
ich mir aber auf Grund unserer Spamproblematik jetzt doch gerne mal 
näher ansehen. Wieso kannst du den nicht empfehlen?

ciao,

  Schöpp

-- 
Christian Schoepplein <chris at schoeppi.net>

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 190 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120606/696a01bf/attachment.asc>

From chris at schoeppi.net  Wed Jun  6 15:34:01 2012
From: chris at schoeppi.net (Christian Schoepplein)
Date: Wed, 6 Jun 2012 15:34:01 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <201206051812.15903@office.a-mazing.net>
References: <4FCA568B.80305@schoeppi.net> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de>
 <201206051812.15903@office.a-mazing.net>
Message-ID: <20120606133401.GB19221@mx.cs-x.de>

Hallo Gregor,

On Di, Jun 05, 2012 at 06:12:15 +0200, Gregor Hermens wrote:
>Am Dienstag, 5. Juni 2012 schrieb Christian Schoepplein:
>> Received: from bosmat by as-12.de with local (Exim 4.36)
>>         id d3rtsw-jzDceW-ih
>>         for xtra_manish at blackplanet.com; Tue, 05 Jun 2012 01:13:10 +0200
>
>wiseo kommt hier Exim ins Spiel?

Das frage ich mich auch bzw. verstehe es nicht :-(. Exim existiert auf 
dem System nicht...

Ciao,

  Christian

-- 
Christian Schoepplein <chris at schoeppi.net>

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 190 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120606/9cda4615/attachment.asc>

From postfixbuch-users at gmj.cjb.net  Wed Jun  6 16:52:43 2012
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Wed, 06 Jun 2012 16:52:43 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120606133401.GB19221@mx.cs-x.de>
References: <4FCA568B.80305@schoeppi.net> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de> <201206051812.15903@office.a-mazing.net>
 <20120606133401.GB19221@mx.cs-x.de>
Message-ID: <4FCF6EBB.1000102@gmj.cjb.net>

Am 06.06.12 15:34, schrieb Christian Schoepplein:

>> wiseo kommt hier Exim ins Spiel?
> 
> Das frage ich mich auch bzw. verstehe es nicht :-(. Exim existiert auf 
> dem System nicht...

Ihr wisst aber schon, dass sich Helo-Namen bzw. Headerzeilen auch
fälschen lassen!?

Viele Grüße,
Mathias.


From jk at jkart.de  Wed Jun  6 18:06:30 2012
From: jk at jkart.de (Jim Knuth)
Date: Wed, 06 Jun 2012 18:06:30 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <20120606133247.GA19221@mx.cs-x.de>
References: <4FCA568B.80305@schoeppi.net> <4FCBA732.8060209@nbmc.de>
 <4FCBC7F9.8010604@jkart.de> <20120606133247.GA19221@mx.cs-x.de>
Message-ID: <4FCF8006.6070200@jkart.de>

am 06.06.12 15:32 schrieb Christian Schoepplein <chris at schoeppi.net>:

>>> Habe mal gelesen, dass der policyd-v2 so etwas kann:
>>> http://www.policyd.org/content/features
>>
>> ja, das setze ich auch ein. Damit kann man 'ne Menge
>> "regeln". ;) Aber nicht den Cluebringer nehmen!
>
> Ich verwende zur Zeit auch den alten Policyd, den Cluebringer würde
> ich mir aber auf Grund unserer Spamproblematik jetzt doch gerne mal
> näher ansehen. Wieso kannst du den nicht empfehlen?
>
> ciao,
>
>    Schöpp
>
>
>
>

weil der völlig überfrachtet und unübersichtlich
ist und sich, im Gegensatz zu V2, umständlich
installieren und konfigurieren läßt.

-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Man muss eine Suppe nicht selbst kochen können,
um sagen zu d¸rfen, dass sie versalzen ist. (Lessing)


From w.flamme at web.de  Wed Jun  6 21:15:46 2012
From: w.flamme at web.de (Werner Flamme)
Date: Wed, 06 Jun 2012 21:15:46 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCF6EBB.1000102@gmj.cjb.net>
References: <4FCA568B.80305@schoeppi.net> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de> <201206051812.15903@office.a-mazing.net>
 <20120606133401.GB19221@mx.cs-x.de> <4FCF6EBB.1000102@gmj.cjb.net>
Message-ID: <4FCFAC62.7090103@web.de>

[06.06.2012 16:52] [Mathias Jeschke]:
> Am 06.06.12 15:34, schrieb Christian Schoepplein:
> 
>>> wiseo kommt hier Exim ins Spiel?
>> 
>> Das frage ich mich auch bzw. verstehe es nicht :-(. Exim existiert auf 
>> dem System nicht...
> 
> Ihr wisst aber schon, dass sich Helo-Namen bzw. Headerzeilen auch
> fälschen lassen!?

Aye. Aber welches ordentliche Script auf einem Webserver macht sowas?

just my2¢
Werner




From sebastian at debianfan.de  Mon Jun 11 18:17:43 2012
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Mon, 11 Jun 2012 18:17:43 +0200
Subject: [Postfixbuch-users] restriction classes - die 25ste
Message-ID: <4FD61A27.6080305@debianfan.de>

Hallo & Guten Abend,

ich habe auf dem neuen System einen User mit 2 Postfächern, welcher 
"keine" Spamfilterung haben möchte. Der Kollege kommuniziert mit einer 
Universität in Australien und die senden scheinbar direkt aus einem 
Dialup-Netz ohne entsprechenden Hostnamen usw... - egal - die Mails 
müssen ankommen.

Ich möchte aber nicht jedesmal wenn eine neue Mailadresse für andere 
Nutzer angelegt wird, hier entsprechend in die restriction-classes die 
Mailadresse eintragen.

Ich brauche etwas wie "nur die beiden Adressen, welche dort eingetragen 
sind, bekommen minimale Filterung" - alle anderen das maximum.

Wie bewerkstellige ich das?

gruß

Sebastian


From markus at hohlmeier.de  Mon Jun 11 19:05:19 2012
From: markus at hohlmeier.de (Markus Hohlmeier)
Date: Mon, 11 Jun 2012 19:05:19 +0200
Subject: [Postfixbuch-users] restriction classes - die 25ste
In-Reply-To: <4FD61A27.6080305@debianfan.de>
References: <4FD61A27.6080305@debianfan.de>
Message-ID: <4FD6254F.8020400@hohlmeier.de>


> ich habe auf dem neuen System einen User mit 2 Postfächern, welcher 
> "keine" Spamfilterung haben möchte. Der Kollege kommuniziert mit einer 
> Universität in Australien und die senden scheinbar direkt aus einem 
> Dialup-Netz ohne entsprechenden Hostnamen usw... - egal - die Mails 
> müssen ankommen.
>
> Ich möchte aber nicht jedesmal wenn eine neue Mailadresse für andere 
> Nutzer angelegt wird, hier entsprechend in die restriction-classes die 
> Mailadresse eintragen.
>
> Ich brauche etwas wie "nur die beiden Adressen, welche dort 
> eingetragen sind, bekommen minimale Filterung" - alle anderen das 
> maximum.

Ich hatte dazu mal was auf der Liste gepostet: 
http://listi.jpberlin.de/pipermail/postfixbuch-users/2012-February/058013.html
In deinem Fall nur drauf aufpassen, dass du mit check_recipient_access 
die Restrictions_classes in die smtpd_recipient_... aufnimmst, weil du 
nach Empfängern prüfen willst. Und natürlich aufpassen, dass du kein 
"OK" setzt und damit evtl. z.B. reject_unauth umgehst und ein "open 
relay" baust.

lg Markus





From holm at x-provi.de  Mon Jun 11 20:29:03 2012
From: holm at x-provi.de (Holm Kapschitzki)
Date: Mon, 11 Jun 2012 20:29:03 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FCFAC62.7090103@web.de>
References: <4FCA568B.80305@schoeppi.net> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de> <201206051812.15903@office.a-mazing.net>
 <20120606133401.GB19221@mx.cs-x.de> <4FCF6EBB.1000102@gmj.cjb.net>
 <4FCFAC62.7090103@web.de>
Message-ID: <4FD638EF.90607@x-provi.de>

Ich kenne das unter anderem auch so, dass Spam versendet wird von
Prozessen, die auf dem Server unter dem User gestartet werden, die gar
nichts mit dem eigentlichen Mailsystem zu tun haben und schon gar nicht
im Maillog stehen. Da hilft die Konfiguration von Postfix nicht. Es
hilft aber ein Script zu starten, welches Userprozesse killt, die zu
lange laufen und unbekannt ist. Wenn Du zum Bsp. ein Prozess hast, z.
Bsp. ein Perlscript, was durch eine Sicherheitslücke in Wordpressplugins
gestartet wurde, dann mach mal ein lsof auf den Prozess. Dann sieht man
wie Verbindungen auf Port 25 gestartet werden und darüber wird dann
fleißig Spam versendet und der Server landet auf der Blacklist.

Ich würde generell erst mal alle ausgehenden Mails auf einen Relayhost
leiten, so dass wenn die IP des Kundenservers geblacklistet ist, nicht
der eigentliche Mailversand gestört wird und Du besser die IP wechseln
kannst, wenn es andere Spamprobleme gibt, die hier in dem Thread schon
diskutiert worden sind.

Holm



From postfixbuch-users at gmj.cjb.net  Mon Jun 11 20:52:21 2012
From: postfixbuch-users at gmj.cjb.net (Mathias Jeschke)
Date: Mon, 11 Jun 2012 20:52:21 +0200
Subject: [Postfixbuch-users] Problem mit Spam via Webseite :-(
In-Reply-To: <4FD638EF.90607@x-provi.de>
References: <4FCA568B.80305@schoeppi.net> <20120603145211.GB21838@charite.de>
 <20120605155357.GB32510@mx.cs-x.de> <201206051812.15903@office.a-mazing.net>
 <20120606133401.GB19221@mx.cs-x.de> <4FCF6EBB.1000102@gmj.cjb.net>
 <4FCFAC62.7090103@web.de> <4FD638EF.90607@x-provi.de>
Message-ID: <4FD63E65.10409@gmj.cjb.net>

Am 11.06.12 20:29, schrieb Holm Kapschitzki:

> Ich kenne das unter anderem auch so, dass Spam versendet wird von
> Prozessen, die auf dem Server unter dem User gestartet werden, die gar
> nichts mit dem eigentlichen Mailsystem zu tun haben und schon gar nicht
> im Maillog stehen. Da hilft die Konfiguration von Postfix nicht. Es
> hilft aber ein Script zu starten, welches Userprozesse killt, die zu
> lange laufen und unbekannt ist. Wenn Du zum Bsp. ein Prozess hast, z.
> Bsp. ein Perlscript, was durch eine Sicherheitslücke in Wordpressplugins
> gestartet wurde, dann mach mal ein lsof auf den Prozess. Dann sieht man
> wie Verbindungen auf Port 25 gestartet werden und darüber wird dann
> fleißig Spam versendet und der Server landet auf der Blacklist.

Was auch hilft, solange das "böse" Skript keine root-Rechte hat,
ist die Zuhilfenahme des Linux-Kernels (hier: Netfilter/IPtables):

$ iptables -A OUTPUT -m owner --uid-owner postfix \
  -p tcp --dport 25 -j ACCEPT
$ iptables -A OUTPUT \! -o lo -p tcp --dport 25 -j REJECT

Das weist ausgehende Verbindungen an Zielport 25 zurück[*], wenn diese
nicht von einem Prozess des Benutzers "postfix" aufgebaut werden.


[*] Eine Ausnahme für localhost-Verbindung dürfte i.d.R. sinnvoll sein.

Gruß,
Mathias.


From jbehrend at mpifr-bonn.mpg.de  Mon Jun 11 21:52:09 2012
From: jbehrend at mpifr-bonn.mpg.de (Jan Behrend)
Date: Mon, 11 Jun 2012 21:52:09 +0200
Subject: [Postfixbuch-users] Phishing Mails und kompromittierte Passworte
Message-ID: <4FD64C69.30104@mpifr-bonn.mpg.de>

Hallo Liste,

zur Zeit haben wir einmal wieder mit Phishing-Mails zu kämpfen, und ... 
manche Mitarbeiter fallen darauf herein.

Wenn man das Postfix-Log anschaut, wie ich es gerne un häufig tue, dann 
fallen die ungewöhlichen Mails natürlich auf.  Auch ist der Füllstand 
der Mailqueue, oder die rapide Änderung desselben ein gutes Indiz dafür.

Anschließend dann Account sperren, ggf. auch client_access, 
sender_access, angenommene Mails auf HOLD-Status setzen, etc. und 
hoffen, dass man schnell genug reagiert hat, um nicht auf diversen 
Blacklisten zu landen :-/

Gibt es Möglichkeiten wie Postfix sich selbst gegen solche Attacken 
schützen kann?  Wie reagieren andere Postmaster auf dieser Liste auf 
solche Angriffe?

Gruß aus Bonn von Jan

-- 
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4540 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120611/274c3912/attachment.p7s>

From lists at sfricke.de  Tue Jun 12 01:00:12 2012
From: lists at sfricke.de (Stefan Fricke)
Date: Tue, 12 Jun 2012 01:00:12 +0200
Subject: [Postfixbuch-users] "Cannot find your hostname"
Message-ID: <2437802.Rjqdq3DQsg@x>

Hallo, ich habe ein Prolem, dass einige paranoide Server meine Mails 
zurückweisen. Dabei kommt ein "Cannot find your hostname", sobald deas RCPT 
TO: gesendet wurde.

Nun scheint es da ein Problem mit dem DNS zu geben. Allerdings:

> host 5.9.5.228
228.5.9.5.in-addr.arpa domain name pointer sf.sfricke.org.
> host sf.sfricke.org
sf.sfricke.org has address 5.9.5.228

Domain und IP stimmen in beide Richtungen überein, daher sollte der Fehler 
doch nicht auftreten. Oder was muss noch eingestellt werden?




From driessen at fblan.de  Tue Jun 12 02:36:09 2012
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Tue, 12 Jun 2012 02:36:09 +0200
Subject: [Postfixbuch-users] "Cannot find your hostname"
In-Reply-To: <2437802.Rjqdq3DQsg@x>
References: <2437802.Rjqdq3DQsg@x>
Message-ID: <009301cd4833$5cfa9370$16efba50$@fblan.de>

Im Auftrag von Stefan Fricke
> 
> Hallo, ich habe ein Prolem, dass einige paranoide Server meine Mails
> zurückweisen. Dabei kommt ein "Cannot find your hostname", sobald deas
> RCPT
> TO: gesendet wurde.

Nun ja das sind Türsteher die keinen Ohne Ausweis reinlassen.


Hast du evtl. auch IPv6 auf dem Server drauf und dafür kein PTR gesetzt?

Oder zeig mal die kompletten logzeilen zu dem vorgang.

> 
> Nun scheint es da ein Problem mit dem DNS zu geben. Allerdings:
> 
> > host 5.9.5.228
> 228.5.9.5.in-addr.arpa domain name pointer sf.sfricke.org.
> > host sf.sfricke.org
> sf.sfricke.org has address 5.9.5.228
> 
> Domain und IP stimmen in beide Richtungen überein, daher sollte der Fehler
> doch nicht auftreten. Oder was muss noch eingestellt werden?

Jap löst sauber vorwärts und rückwärts auf auch von fremden Servern 

> 
> 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From postfix-list at novuage.de  Tue Jun 12 08:07:25 2012
From: postfix-list at novuage.de (Sascha Peters)
Date: Tue, 12 Jun 2012 08:07:25 +0200
Subject: [Postfixbuch-users] "Cannot find your hostname"
In-Reply-To: <009301cd4833$5cfa9370$16efba50$@fblan.de>
References: <2437802.Rjqdq3DQsg@x> <009301cd4833$5cfa9370$16efba50$@fblan.de>
Message-ID: <4FD6DC9D.40703@novuage.de>

Am 12.06.2012 02:36, schrieb Uwe Drießen:
> Im Auftrag von Stefan Fricke
>>
>> Hallo, ich habe ein Prolem, dass einige paranoide Server meine Mails
>> zurückweisen. Dabei kommt ein "Cannot find your hostname", sobald deas
>> RCPT
>> TO: gesendet wurde.
>
> Nun ja das sind Türsteher die keinen Ohne Ausweis reinlassen.

vielleicht fragen die Türsteher einfach an der falschen Stelle nach.
Also das DNS Setup des paranoiden Türstehers könnte immerhin falsch sein.


-- 

Gruß
Sascha


From driessen at fblan.de  Tue Jun 12 10:13:06 2012
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Tue, 12 Jun 2012 10:13:06 +0200
Subject: [Postfixbuch-users] "Cannot find your hostname"
In-Reply-To: <4FD6DC9D.40703@novuage.de>
References: <2437802.Rjqdq3DQsg@x> <009301cd4833$5cfa9370$16efba50$@fblan.de>
 <4FD6DC9D.40703@novuage.de>
Message-ID: <00a301cd4873$32b034e0$98109ea0$@fblan.de>

Im Auftrag von Sascha Peters
> Am 12.06.2012 02:36, schrieb Uwe Drießen:
> > Im Auftrag von Stefan Fricke
> >>
> >> Hallo, ich habe ein Prolem, dass einige paranoide Server meine Mails
> >> zurückweisen. Dabei kommt ein "Cannot find your hostname", sobald
> deas
> >> RCPT
> >> TO: gesendet wurde.
> >
> > Nun ja das sind Türsteher die keinen Ohne Ausweis reinlassen.
> 
> vielleicht fragen die Türsteher einfach an der falschen Stelle nach.
> Also das DNS Setup des paranoiden Türstehers könnte immerhin falsch sein.
> 

Es gibt auch falsche Fehlermeldung weil derjenige keine Mails von dem Server
haben möchte.
Er lehnt das dann mit 550 Host not found usw. einfach ab.

IPv6 ist auch ein schöner Kandidat. Da reicht das setzen einer IP alleine
auch nicht aus.
Da gehören ebenso PTR und A Records dazu. 
Das die Einträge fehlen sehe ich in letzter Zeit häufiger  bei IPv6.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From postfixbuch-users at drobic.de  Tue Jun 12 11:28:39 2012
From: postfixbuch-users at drobic.de (Sandy Drobic)
Date: Tue, 12 Jun 2012 11:28:39 +0200
Subject: [Postfixbuch-users] Phishing Mails und kompromittierte Passworte
In-Reply-To: <4FD64C69.30104@mpifr-bonn.mpg.de>
References: <4FD64C69.30104@mpifr-bonn.mpg.de>
Message-ID: <4FD70BC7.4080203@drobic.de>

Am 11.06.2012 21:52, schrieb Jan Behrend:
> Hallo Liste,
> 
> zur Zeit haben wir einmal wieder mit Phishing-Mails zu kämpfen, und ... manche
> Mitarbeiter fallen darauf herein.
> 
> Wenn man das Postfix-Log anschaut, wie ich es gerne un häufig tue, dann fallen
> die ungewöhlichen Mails natürlich auf.  Auch ist der Füllstand der Mailqueue,
> oder die rapide Änderung desselben ein gutes Indiz dafür.
> 
> Anschließend dann Account sperren, ggf. auch client_access, sender_access,
> angenommene Mails auf HOLD-Status setzen, etc. und hoffen, dass man schnell
> genug reagiert hat, um nicht auf diversen Blacklisten zu landen :-/
> 
> Gibt es Möglichkeiten wie Postfix sich selbst gegen solche Attacken schützen
> kann?  Wie reagieren andere Postmaster auf dieser Liste auf solche Angriffe?

Da gibt es kein allgemeines Rezept für. Im Prinzip kannst du nur deine eigenen
Besonderheiten berücksichtigen, um zu entscheiden, was Spam/Phishing ist oder
nicht.
Wenn Mails mit vielen Empfängern selten sind, könntest du diese auf HOLD
setzen und nachfragen.
Wenn ungewöhnlich viele Mails von einem einzigen User kommen, kann ein
Policy-Daemon diese auf HOLD setzen.

Das grundsätzliche Problem bei Phishing ist, dass es nicht gegen die
Sicherheit von Postfix gerichtet ist, sondern gegen die Vernunft und Skepsis
von den Anwendern, wo früher oder später immer eine reinfällt.
Deshalb kannst du dies nicht verhindern, sondern nur erschweren und zusätzlich
Maßnahmen ergreifen, im Problemfall die Folgen abzumildern.

Dies wäre etwa eine zweite IP, welche für die Zeit des Blacklistings der
primären IP verwendet wird.

Welche Maßnahmen sinnvoll sind, richtet sich nach deinem Anforderungsprofil.

Erschwerende Maßnahmen sind z.B die Phishingsignaturen bei Clamav zu
aktivieren, aber auch die Fortbildung der Mitarbeiter, wenn dies möglich ist.

Sandy



From rudi.floren at googlemail.com  Tue Jun 12 22:23:06 2012
From: rudi.floren at googlemail.com (Rudi Floren)
Date: Tue, 12 Jun 2012 22:23:06 +0200
Subject: [Postfixbuch-users] Web.de Problem
Message-ID: <4FD7A52A.3070002@googlemail.com>

Hallo Liste,

ist meine ich meine erste Mail an diese Liste hier. Habe bisher noch 
nichts dazu in der Liste gefunden daher schildere ich mein Problem mal kurz.


Ich habe jetzt schon das zweite mal eine Meldung eines Users bekommen, 
Mails von Web.de seien nicht Zustellbar an meine Domain.

Es handelt sich hierbei um die Domain globalgameport.com
Heute bei der 2. Meldung eines Users habe ich noch den Inhalt der 
Rückmeldung des MTAs von web.de bekommen. Er lautet:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address
failed:

<xx at globalgameport.com>

domain name system error:
domain has no mail exchangers



--- The header of the original message is following. ---

Received: from [192.168.2.105] ([217.229.113.20]) by smtp.web.de (mrweb001)
with ESMTPSA (Nemesis) id 0M8zhl-1SoBHW1dVN-00C9sd for
<xx at globalgameport.com>; Tue, 12 Jun 2012 21:54:50 +0200
Message-ID: <4FD79E4D.4020804 at web.de>
Date: Tue, 12 Jun 2012 21:53:49 +0200
From: XX <XX at web.de>
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20120604 
Thunderbird/13.0
MIME-Version: 1.0
To: xx at globalgameport.com
Subject: xXxX
Content-Type: multipart/mixed;
boundary="XXX"
X-Provags-ID: XXX


Jetzt die Frage was löst dies aus. Laut der Meldung habe ich ja keinen 
MX Record, oder? Dann müsste web.de aber einen fehlerhaften DNS Server 
nutzen, da ich sehr wohl einen MX Record gesetzt habe und das auch nicht 
erst seid gestern.
Hatte einer von euch schon eine ähnliche Problematik?

Habe das ganze auch mit einem eigens dafür erstellten web.de Postfachs  
getestet. Bei mir ging das reibungslos. Tanzt bei denen ein SMTP Server 
aus der Reihe?

Grüße
Rudi

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : rudi_floren.vcf
Dateityp    : text/x-vcard
Dateigröße  : 132 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120612/497a0e76/attachment.vcf>

From andreas.schulze at datev.de  Tue Jun 12 22:35:08 2012
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 12 Jun 2012 22:35:08 +0200
Subject: [Postfixbuch-users] Web.de Problem
In-Reply-To: <4FD7A52A.3070002@googlemail.com>
References: <4FD7A52A.3070002@googlemail.com>
Message-ID: <20120612203507.GA2933@spider.services.datevnet.de>

Am 12.06.2012 22:23 schrieb Rudi Floren:
> domain name system error:
> domain has no mail exchangers

Cname sind immer für Ärger gut.

# dig globalgameport.com. mx +short
10 mail.globalgameport.com.

# dig mail.globalgameport.com. a +short
server2.globalgameport.com.
78.46.62.72

hier könnte der CNAME für Verwirrung sorgen.
Trage mal server2.globalgameport.com. direkt als MX ein.


-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From michael at nausch.org  Tue Jun 12 23:12:08 2012
From: michael at nausch.org (Michael Nausch)
Date: Tue, 12 Jun 2012 23:12:08 +0200
Subject: [Postfixbuch-users] Web.de Problem
In-Reply-To: <20120612203507.GA2933@spider.services.datevnet.de>
References: <4FD7A52A.3070002@googlemail.com>
 <20120612203507.GA2933@spider.services.datevnet.de>
Message-ID: <4FD7B0A8.7010006@nausch.org>

Ahoi!

On 12.06.2012 22:35, Andreas Schulze wrote:

> hier könnte der CNAME für Verwirrung sorgen.

Könnte? Nix Könnte, das ist so.

sie zu dass der MX auf mail.globalgameport.com zeigt. O.K. das tut er
schon, aber

mail.globalgameport.com muss auf den A Record zeigen, nix C-NAME!


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From maegger at ee.ethz.ch  Wed Jun 13 11:18:04 2012
From: maegger at ee.ethz.ch (Matthias Egger)
Date: Wed, 13 Jun 2012 11:18:04 +0200
Subject: [Postfixbuch-users] Wie kann man alle ausgehenden Mails auf HOLD
	setzen?
Message-ID: <4FD85ACC.4030204@ee.ethz.ch>

Hallo zusammen

Einer meiner User ist zur Zeit gerade dabei einen Server einzurichten. 
Dieser Server hat unter anderem Postfix darauf, um ausgehende Mails an 
den zentralen Mailserver zu relayen. Empfangen kann er nichts.

Aller Warscheinlichkeit nach wird diese Serverinstallation und 
Ausprobier-session eine Menge an Mails erzeugen. Mails die man 
allenfalls kurz überfliegen können will aber die eigentlich niemand 
haben will.

Kurz: Alle Mails des Systems sollen einfach in irgend einer Queue 
bleiben und nicht versendet werden. Was gebraucht wird bleibt länger 
drinnen (und soll vielleicht am Schluss zugestellt werden), der rest 
wird aus der Queue gelöscht.

Das hörte sich für mich nach einem idealen Kandidaten für die HOLD Queue an.

Also flugs folgende Zeile in main.cf eingefügt:
smtp_header_checks = regexp:/etc/postfix/smtp_header_checks

/etc/postfix/smtp_header_checks
      /.*/ HOLD Temporary hold

Aber die Rechnung ohne den Wirt gemacht:
postfix/smtp[17543]: warning: unsupported command in smtp_header_checks 
map: HOLD Temporary hold

Und siehe da, in der header_checks(5) steht dann auch:
This feature is not supported with smtp header/body checks.

Tja und nun? Gibt es einen anderen sauberen Weg die Mails abzufangen und 
in die Hold Queue zu bugsieren?

Als etwas unschöne "Hacks" sind mir nur gerade das permanente stoppen 
(resp. nichtstarten von postfix nach reboot) oder das entfernen der 
folgenden beiden Zeilen in master.cf eingefallen:

#smtp      unix  -       -       n       -       -       smtp
#relay     unix  -       -       n       -       -       smtp

Aber schön ist das ja nicht gerade...

Lieber Gruss
Matthias
-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95


From Ralf.Hildebrandt at charite.de  Wed Jun 13 11:26:58 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 13 Jun 2012 11:26:58 +0200
Subject: [Postfixbuch-users] Wie kann man alle ausgehenden Mails auf
 HOLD setzen?
In-Reply-To: <4FD85ACC.4030204@ee.ethz.ch>
References: <4FD85ACC.4030204@ee.ethz.ch>
Message-ID: <20120613092658.GH16738@charite.de>

* Matthias Egger <maegger at ee.ethz.ch>:
> Hallo zusammen
> 
> Einer meiner User ist zur Zeit gerade dabei einen Server
> einzurichten. Dieser Server hat unter anderem Postfix darauf, um
> ausgehende Mails an den zentralen Mailserver zu relayen. Empfangen
> kann er nichts.
> 
> Aller Warscheinlichkeit nach wird diese Serverinstallation und
> Ausprobier-session eine Menge an Mails erzeugen. Mails die man
> allenfalls kurz überfliegen können will aber die eigentlich niemand
> haben will.
> 
> Kurz: Alle Mails des Systems sollen einfach in irgend einer Queue
> bleiben und nicht versendet werden. Was gebraucht wird bleibt länger
> drinnen (und soll vielleicht am Schluss zugestellt werden), der rest
> wird aus der Queue gelöscht.
> 
> Das hörte sich für mich nach einem idealen Kandidaten für die HOLD Queue an.
> 
> Also flugs folgende Zeile in main.cf eingefügt:
> smtp_header_checks = regexp:/etc/postfix/smtp_header_checks
> 
> /etc/postfix/smtp_header_checks
>      /.*/ HOLD Temporary hold
> 
> Aber die Rechnung ohne den Wirt gemacht:
> postfix/smtp[17543]: warning: unsupported command in
> smtp_header_checks map: HOLD Temporary hold
> 
> Und siehe da, in der header_checks(5) steht dann auch:
> This feature is not supported with smtp header/body checks.

Siehste.
 
> Tja und nun? Gibt es einen anderen sauberen Weg die Mails abzufangen
> und in die Hold Queue zu bugsieren?

defer_transports = smtp

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From support at skypelauncher.net  Wed Jun 13 11:27:33 2012
From: support at skypelauncher.net (support at skypelauncher.net)
Date: Wed, 13 Jun 2012 11:27:33 +0200
Subject: [Postfixbuch-users] From im mail.log bei weiterleitungen von
	externen server
Message-ID: <4FD85D05.4080007@skypelauncher.net>

Hallo ,

ich habe bei web.de eine weiterleitung auf meine eigene domain gemacht. 
(d.h. Alle Mails an z.b. meinemail at web.de werden sofort and die adresse 
meinemail at meinedomain.tld weitergeleitet)

Wenn jemand nun an die meinemail at web.de eine Nachricht schickt, kommt 
die wie gewünscht auf meiner domain an, in Thunderbird sieht man auch 
das die an die @web.de ging und von wem es kam.

Nun ergab sich neulich die Situation das jemand behauptete "ganz sicher 
schon vor X Stunden" mir eine wichtige mail an die @web.de Adresse 
gesendet zu haben. Also grep'te ich mich durchs mail.log und musste 
feststellen das dort nur folgende einträge stehen:

Jun 12 12:23:14 horst postfix/smtpd[11728]: AFFE76F0001: 
client=mout.web.de[212.227.17.12] Jun 12 12:23:14 horst 
postfix/cleanup[11782]: AFFE76F0001: 
message-id=<47623459141778792972113 at otherserver> Jun 12 12:23:14 horst 
postfix/qmgr[20491]: AFFE76F0001: from=<meinemail at web.de>, size=260188, 
nrcpt=1 (queue active) Jun 12 12:23:14 horst postfix/virtual[11783]: 
AFFE76F0001: to=<meinemail at meinedomain.tld>, relay=virtual, delay=0.58, 
delays=0.51/0/0/0.06, dsn=2.0.0, status=sent (delivered to maildir) Jun 
12 12:23:14 horst postfix/qmgr[20491]: AFFE76F0001: removed

|Jun 12 12:23:14 horst postfix/smtpd[11728]: AFFE76F0001: client=mout.web.de[212.227.17.12]|

|Jun 12 12:23:14 horst postfix/cleanup[11782]: AFFE76F0001: message-id=<47623459141778792972113 at otherserver>  |

|Jun 12 12:23:14 horst postfix/qmgr[20491]: AFFE76F0001: from=<meinemail at web.de>, size=260188, nrcpt=1 (queue active)|

|Jun 12 12:23:14 horst postfix/virtual[11783]: AFFE76F0001: to=<meinemail at meinedomain.tld>, relay=virtual, delay=0.58, delays=0.51/0/0/0.06, dsn=2.0.0, status=sent (delivered to maildir)|

|Jun 12 12:23:14 horst postfix/qmgr[20491]: AFFE76F0001: removed|


(daten habe ich angepasst... mein server heißt nicht horst =) )

Ich kann also im mail.log nicht prüfen ob tatsächlich von person X eine 
mail eingeliefert wurde, da grundsätzlich als absender meine @web.de 
adresse erscheint.

Gibt es eine Möglichkeit the original from header mit in das mail log 
von postfix zu nehmen?

Vielen Dank =)
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120613/bea08239/attachment.htm>

From Ralf.Hildebrandt at charite.de  Wed Jun 13 11:46:24 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 13 Jun 2012 11:46:24 +0200
Subject: [Postfixbuch-users] From im mail.log bei weiterleitungen von
 externen server
In-Reply-To: <4FD85D05.4080007@skypelauncher.net>
References: <4FD85D05.4080007@skypelauncher.net>
Message-ID: <20120613094624.GK16738@charite.de>

* support at skypelauncher.net <support at skypelauncher.net>:

> Gibt es eine Möglichkeit the original from header mit in das mail log
> von postfix zu nehmen?

header_checks mit

/^(From|To|Subject):/ WARN

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From maegger at ee.ethz.ch  Wed Jun 13 12:04:35 2012
From: maegger at ee.ethz.ch (Matthias Egger)
Date: Wed, 13 Jun 2012 12:04:35 +0200
Subject: [Postfixbuch-users] Wie kann man alle ausgehenden Mails auf
 HOLD setzen?
In-Reply-To: <20120613092658.GH16738@charite.de>
References: <4FD85ACC.4030204@ee.ethz.ch> <20120613092658.GH16738@charite.de>
Message-ID: <4FD865B3.6060301@ee.ethz.ch>

Hallo Ralf

On 13.06.2012 11:26, Ralf Hildebrandt wrote:
>> Tja und nun? Gibt es einen anderen sauberen Weg die Mails abzufangen
>> und in die Hold Queue zu bugsieren?
>
> defer_transports = smtp

Danke vielmals!

Da sieht man, warum du co-Autor eines Postfix Buches bist und nicht ich. 
Du weisst so Zeugs auswendig und ich finde es nicht wenn ich es suche :-)

Lieber Gruss
Matthias
-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95


From support at skypelauncher.net  Wed Jun 13 12:08:01 2012
From: support at skypelauncher.net (support at skypelauncher.net)
Date: Wed, 13 Jun 2012 12:08:01 +0200
Subject: [Postfixbuch-users] From im mail.log bei weiterleitungen von
 externen server
In-Reply-To: <20120613094624.GK16738@charite.de>
References: <4FD85D05.4080007@skypelauncher.net>
 <20120613094624.GK16738@charite.de>
Message-ID: <4FD86681.7020909@skypelauncher.net>

Am 13.06.2012 11:46, schrieb Ralf Hildebrandt:
> * support at skypelauncher.net<support at skypelauncher.net>:
>
>> Gibt es eine Möglichkeit the original from header mit in das mail log
>> von postfix zu nehmen?
> header_checks mit
>
> /^(From|To|Subject):/ WARN
>
Fein, jetzt klappt das ... hatte schon einige Zeit mit googlen verbracht...

Vielen Dank =)

Stefan


From Ralf.Hildebrandt at charite.de  Wed Jun 13 13:04:34 2012
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 13 Jun 2012 13:04:34 +0200
Subject: [Postfixbuch-users] Wie kann man alle ausgehenden Mails auf
 HOLD setzen?
In-Reply-To: <4FD865B3.6060301@ee.ethz.ch>
References: <4FD85ACC.4030204@ee.ethz.ch> <20120613092658.GH16738@charite.de>
 <4FD865B3.6060301@ee.ethz.ch>
Message-ID: <20120613110434.GP16738@charite.de>

* Matthias Egger <maegger at ee.ethz.ch>:
> Hallo Ralf
> 
> On 13.06.2012 11:26, Ralf Hildebrandt wrote:
> >>Tja und nun? Gibt es einen anderen sauberen Weg die Mails abzufangen
> >>und in die Hold Queue zu bugsieren?
> >
> >defer_transports = smtp
> 
> Danke vielmals!
> 
> Da sieht man, warum du co-Autor eines Postfix Buches bist und nicht
> ich. Du weisst so Zeugs auswendig und ich finde es nicht wenn ich es
> suche :-)

Klappt aber NUR, wenn der Transport auch "smtp" ist. Wenn er "relay"
wäre, müsste es z.B.

defer_transports = smtp, relay 
heissen

Oder halt
defer_transports = smtp, relay, local

wenn man auch lokale Zustellung bremsen will

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From max at grobecker-wtal.de  Thu Jun 14 12:10:41 2012
From: max at grobecker-wtal.de (Max Grobecker)
Date: Thu, 14 Jun 2012 12:10:41 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?PTR-Zone_beim_RIPE_besch=E4di?=
	=?iso-8859-15?q?gt?=
Message-ID: <4FD9B8A1.2000201@grobecker-wtal.de>

Hallo zusammen,

nur zur Info:
http://www.ripe.net/internet-coordination/news/announcements/update-regarding-the-reverse-dns-services-issues


Wer also seinen Postfix so konfiguriert hat, dass Server ohne PTR oder
mit inkonsistenten A/AAAA-Records zum Teufel gejagt wird sollte dies
zumindest für die nächsten Tage deaktivieren (oder dafür sorgen dass das
alleine nicht zum Ablehnen einer Mail führt).


Viele Grüße aus dem Tal
Max


From pw at wk-serv.de  Thu Jun 14 14:42:24 2012
From: pw at wk-serv.de (Patrick Westenberg)
Date: Thu, 14 Jun 2012 14:42:24 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PTR-Zone_beim_RIPE_besch=E4dig?= =?iso-8859-1?q?t?=
In-Reply-To: <4FD9B8A1.2000201@grobecker-wtal.de>
References: <4FD9B8A1.2000201@grobecker-wtal.de>
Message-ID: <4FD9DC30.7070502@wk-serv.de>

Max Grobecker schrieb:

> nur zur Info:
> http://www.ripe.net/internet-coordination/news/announcements/update-regarding-the-reverse-dns-services-issues

Danke für die Info. Ich hatte mich schon gewundert warum ich angeblich
keine gültigen PTRs mehr habe.

Gruß
Patrick


From timo.schoeler at riscworks.net  Wed Jun 20 11:23:25 2012
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Wed, 20 Jun 2012 11:23:25 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?PTR-Zone_beim_RIPE_besch=E4dig?= =?iso-8859-1?q?t?=
In-Reply-To: <4FD9DC30.7070502@wk-serv.de>
References: <4FD9B8A1.2000201@grobecker-wtal.de> <4FD9DC30.7070502@wk-serv.de>
Message-ID: <4FE1968D.6020400@riscworks.net>

On 06/14/2012 02:42 PM, thus Patrick Westenberg spake:
> Max Grobecker schrieb:
>
>> nur zur Info:
>> http://www.ripe.net/internet-coordination/news/announcements/update-regarding-the-reverse-dns-services-issues
>>
>>
>
> Danke für die Info. Ich hatte mich schon gewundert warum ich
> angeblich keine gültigen PTRs mehr habe.
>
> Gruß Patrick

Followup für alle, die's interessiert:

https://labs.ripe.net/Members/dfk/timeline-of-reverse-dns-events

Cheers,

Timo


From fred at matthiesen-whv.de  Thu Jun 21 09:48:19 2012
From: fred at matthiesen-whv.de (fred at matthiesen-whv.de)
Date: Thu, 21 Jun 2012 09:48:19 +0200
Subject: [Postfixbuch-users] Domainumsetzung
Message-ID: <16117573.183730.1340264899022.JavaMail.servlet@pustefix151.kundenserver.de>

Hallo erstmal.
Situation:
Interne Domain : keller.local
Externe Domain : web.de

Ich möchte folgendes realisieren:
Die Mailheader von muster at keller.local soll vor dem Versenden nach muster at web.de geändert werden.
Warum: Weil Web.de nur Mails weiterleitet mit der Domainendung web.de.
Web.de agiert also als Smartrealey.

Was muß ich wie wo einstellen?

Haben hier schon einige Erfahrungen mit Web.de?

Viele Grüße

Dysti


From w.flamme at web.de  Thu Jun 21 10:06:14 2012
From: w.flamme at web.de (Werner Flamme)
Date: Thu, 21 Jun 2012 10:06:14 +0200
Subject: [Postfixbuch-users] Domainumsetzung
In-Reply-To: <16117573.183730.1340264899022.JavaMail.servlet@pustefix151.kundenserver.de>
References: <16117573.183730.1340264899022.JavaMail.servlet@pustefix151.kundenserver.de>
Message-ID: <4FE2D5F6.2060701@web.de>

fred at matthiesen-whv.de [21.06.2012 09:48]:
> Hallo erstmal.
> Situation:
> Interne Domain : keller.local
> Externe Domain : web.de
> 
> Ich möchte folgendes realisieren:
> Die Mailheader von muster at keller.local soll vor dem Versenden nach muster at web.de geändert werden.
> Warum: Weil Web.de nur Mails weiterleitet mit der Domainendung web.de.

Stimmt nicht. Man muss die externen Adressen anmelden, unter denen man
versenden will, dann erhält man dahin eine Mail. Wenn man angemessen auf
die Mail reagiert, darf man mit dieser Adresse versenden. Auch, wenn man
die externe Adresse irgendwann nicht mehr besitzt...

Ich versende mit mindestens 4 Adressen über web.de :-)

> Web.de agiert also als Smartrealey.

Smarthost, Relayhost.

> Was muß ich wie wo einstellen?

Ich empfehle einen tiefen Blick in "man 5 canonical" und entsprechendes
Handeln :-)

> Haben hier schon einige Erfahrungen mit Web.de?

Zumindest ich, und ich bin kein Guru :-)

Gruß
Werner


From maegger at ee.ethz.ch  Thu Jun 21 10:39:30 2012
From: maegger at ee.ethz.ch (Matthias Egger)
Date: Thu, 21 Jun 2012 10:39:30 +0200
Subject: [Postfixbuch-users] Manchmal "Sender address rejected: Domain not
 found; " und manchmal nicht.
Message-ID: <4FE2DDC2.4020009@ee.ethz.ch>

Hallo zusammen

Einer unserer User hat Probleme, wenn er von seinem Mailserver eine Mail 
an z.B. seinen Account bei uns schickt. Interessant an dem Problem ist, 
dass die Mails aber nicht immer abgewiesen werden sondern nur manchmal. 
So Handgelenk mal Pi würde ich jetzt auf 50% durchgehende und 50% 
geblockte Mails schätzen.

Hier mal der Logauszug des abgewiesenen Versuches
=================================================
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info] 
connect from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info] 
setting up TLS connection from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info] 
Anonymous TLS connection established from 
server38.hostfactory.ch[80.190.242.115]: TLSv1 with cipher 
ADH-AES256-SHA (256/256 bits)
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info] 
NOQUEUE: reject: RCPT from server38.hostfactory.ch[80.190.242.115]: 450 
4.1.8 <username at upcito.com>: Sender address rejected: Domain not found; 
from=<username at upcito.com> to=<username at vision.ee.ethz.ch> proto=ESMTP 
helo=<server38.hostfactory.ch>
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info] 
disconnect from server38.hostfactory.ch[80.190.242.115]

Und 2 Minuten später der Erfolgreiche Versuch
=============================================
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info] 
connect from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info] 
setting up TLS connection from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info] 
Anonymous TLS connection established from 
server38.hostfactory.ch[80.190.242.115]: TLSv1 with cipher 
ADH-AES256-SHA (256/256 bits)
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info] 
D0F28D9300: client=server38.hostfactory.ch[80.190.242.115]
Jun 21 08:46:00 tardis postfix/smtpd[17133]: [ID 197553 local1.info] 
disconnect from server38.hostfactory.ch[80.190.242.115]


Ich dachte ja zuerst, dass es temporäre DNS Probleme sind. Aber die Logs 
zeigen dieses Verhalten schon seit einigen Tagen und eigentlich kann man 
ja auch alles via DNS auflösen.

Könnte das damit zu tun haben, dass upicto.com nicht sauber vor- und 
rückwärts aufgelöst werden kann?

$> dig +short mx upicto.com
10 mail.upicto.com.

$> dig +short mail.upicto.com
80.190.242.115

$> dig +short -x 80.190.242.115
server38.hostfactory.ch.

Lieber Gruss
Matthias

-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95


From hajo.locke at gmx.de  Thu Jun 21 11:01:11 2012
From: hajo.locke at gmx.de (Hajo Locke)
Date: Thu, 21 Jun 2012 11:01:11 +0200
Subject: [Postfixbuch-users] Manchmal "Sender address rejected: Domain
	not found; " und manchmal nicht.
References: <4FE2DDC2.4020009@ee.ethz.ch>
Message-ID: <0141D17F69BF48549A710A2E9890DDC6@ai.local>

Hallo,

der User hat sich bei seinem Domainnamen beim Absender verschrieben. 
Abgelehnt wird upcito.com weil die nicht registriert ist, zugelassen wird 
upicto.com
Vertraue immer deinem Postfix!

Hajo

----- Original Message ----- 
From: "Matthias Egger" <maegger at ee.ethz.ch>
To: <postfixbuch-users at listen.jpberlin.de>
Sent: Thursday, June 21, 2012 10:39 AM
Subject: [Postfixbuch-users] Manchmal "Sender address rejected: Domain not 
found; " und manchmal nicht.


Hallo zusammen

Einer unserer User hat Probleme, wenn er von seinem Mailserver eine Mail
an z.B. seinen Account bei uns schickt. Interessant an dem Problem ist,
dass die Mails aber nicht immer abgewiesen werden sondern nur manchmal.
So Handgelenk mal Pi würde ich jetzt auf 50% durchgehende und 50%
geblockte Mails schätzen.

Hier mal der Logauszug des abgewiesenen Versuches
=================================================
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info]
connect from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info]
setting up TLS connection from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info]
Anonymous TLS connection established from
server38.hostfactory.ch[80.190.242.115]: TLSv1 with cipher
ADH-AES256-SHA (256/256 bits)
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info]
NOQUEUE: reject: RCPT from server38.hostfactory.ch[80.190.242.115]: 450
4.1.8 <username at upcito.com>: Sender address rejected: Domain not found;
from=<username at upcito.com> to=<username at vision.ee.ethz.ch> proto=ESMTP
helo=<server38.hostfactory.ch>
Jun 21 08:43:53 tardis postfix/smtpd[16713]: [ID 197553 local1.info]
disconnect from server38.hostfactory.ch[80.190.242.115]

Und 2 Minuten später der Erfolgreiche Versuch
=============================================
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info]
connect from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info]
setting up TLS connection from server38.hostfactory.ch[80.190.242.115]
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info]
Anonymous TLS connection established from
server38.hostfactory.ch[80.190.242.115]: TLSv1 with cipher
ADH-AES256-SHA (256/256 bits)
Jun 21 08:45:59 tardis postfix/smtpd[17133]: [ID 197553 local1.info]
D0F28D9300: client=server38.hostfactory.ch[80.190.242.115]
Jun 21 08:46:00 tardis postfix/smtpd[17133]: [ID 197553 local1.info]
disconnect from server38.hostfactory.ch[80.190.242.115]


Ich dachte ja zuerst, dass es temporäre DNS Probleme sind. Aber die Logs
zeigen dieses Verhalten schon seit einigen Tagen und eigentlich kann man
ja auch alles via DNS auflösen.

Könnte das damit zu tun haben, dass upicto.com nicht sauber vor- und
rückwärts aufgelöst werden kann?

$> dig +short mx upicto.com
10 mail.upicto.com.

$> dig +short mail.upicto.com
80.190.242.115

$> dig +short -x 80.190.242.115
server38.hostfactory.ch.

Lieber Gruss
Matthias

-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95
-- 
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users 



From toag at izsr.de  Thu Jun 21 12:40:24 2012
From: toag at izsr.de (Tim-Ole)
Date: Thu, 21 Jun 2012 12:40:24 +0200
Subject: [Postfixbuch-users] Seltsames Mailformat
Message-ID: <2A377938-FE9B-407B-993E-461644068A2A@izsr.de>

Hallo, Liste,


mal eher eine Frage aus Wissbegierigkeit; in unserer Queue steckt immer mal wieder eine Mail mit exakt dieser Queuemeldung:

(host mailgate1.zfn.uni-bremen.de[134.102.20.31] said: 
451 4.3.5 <"\"\\\"\\\\\\\"\\\\\\\\\\\\\\\"heini meier\\\\\\\\\\\\\\\"\\\\\\\"\\\"\""@uni-bremen.de>: Recipient address rejected: Server configuration error (in reply to RCPT TO command))
                                        "\"\\\"\\\\\\\"\\\\\\\\\\\\\\\"\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"heini meier\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"\\\\\\\\\\\\\\\"\\\\\\\"\\\"\""@uni-bremen.de

Der Absender (bei uns) benutzt Outlook 2010 - das Gros seiner Mails geht aber problemlos durch (wie auch unser Postfix zu 99,99% zuverlässig seinen Dienst tut). Ich vermute mal, dass es irgend ein Zusammenspiel aus Mailcliet und gerade diesem Mailserver gibt.

Hat jemand so etwas schon mal gesehen?


beste grüsse


lars behrens



From gregor at a-mazing.de  Thu Jun 21 13:00:56 2012
From: gregor at a-mazing.de (Gregor Hermens)
Date: Thu, 21 Jun 2012 13:00:56 +0200
Subject: [Postfixbuch-users] Seltsames Mailformat
In-Reply-To: <2A377938-FE9B-407B-993E-461644068A2A@izsr.de>
References: <2A377938-FE9B-407B-993E-461644068A2A@izsr.de>
Message-ID: <201206211300.56970@office.a-mazing.net>

Hallo Lars,

Am Donnerstag, 21. Juni 2012 schrieb Tim-Ole:
> mal eher eine Frage aus Wissbegierigkeit; in unserer Queue steckt immer mal
> wieder eine Mail mit exakt dieser Queuemeldung:
> 
> (host mailgate1.zfn.uni-bremen.de[134.102.20.31] said:
> 451 4.3.5 <"\"\\\"\\\\\\\"\\\\\\\\\\\\\\\"heini
> meier\\\\\\\\\\\\\\\"\\\\\\\"\\\"\""@uni-bremen.de>: Recipient address
> rejected: Server configuration error (in reply to RCPT TO command))
> "\"\\\"\\\\\\\"\\\\\\\\\\\\\\\"\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"heini
> meier\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"\\\\\\\\\\\\\\\"\\\\\\\"\\\"\""@uni-b
> remen.de
> 
> Der Absender (bei uns) benutzt Outlook 2010 - das Gros seiner Mails geht
> aber problemlos durch (wie auch unser Postfix zu 99,99% zuverlässig seinen
> Dienst tut). Ich vermute mal, dass es irgend ein Zusammenspiel aus
> Mailcliet und gerade diesem Mailserver gibt.
> 
> Hat jemand so etwas schon mal gesehen?

das sieht so aus, als wäre der Localpart der Adresse "heini meier", und wegen 
des Leerzeichens in Anführungszeichen gesetzt worden. Diese Leerzeichen sind 
dann von nachfolgenden Skripten gequotet worden, dann sind die Quotes gequotet 
worden und neue Anführungszeichen außenrum usw.

Interessant wäre also:

- Durch welche Skripte ist die Mail durch, bis sie so in deinem Log steht?
- Ist da wirklich ein Leerzeichen im Localpart? Oder ist das nicht eher ein 
Tippfehler des Absenders?

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From maegger at ee.ethz.ch  Thu Jun 21 13:17:37 2012
From: maegger at ee.ethz.ch (Matthias Egger)
Date: Thu, 21 Jun 2012 13:17:37 +0200
Subject: [Postfixbuch-users] Manchmal "Sender address rejected: Domain
 not found; " und manchmal nicht.
In-Reply-To: <0141D17F69BF48549A710A2E9890DDC6@ai.local>
References: <4FE2DDC2.4020009@ee.ethz.ch>
 <0141D17F69BF48549A710A2E9890DDC6@ai.local>
Message-ID: <4FE302D1.3030102@ee.ethz.ch>

Servus Hajo

On 21.06.2012 11:01, Hajo Locke wrote:
> der User hat sich bei seinem Domainnamen beim Absender verschrieben.
> Abgelehnt wird upcito.com weil die nicht registriert ist, zugelassen
> wird upicto.com
Gnaa... Danke für den Wink mit dem Zaunpfahl.

> Vertraue immer deinem Postfix!
Ich schreibs mir hinter die Ohren ;-)

Lieber Gruss
Matthias
-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95


From toag at izsr.de  Thu Jun 21 14:05:47 2012
From: toag at izsr.de (Tim-Ole)
Date: Thu, 21 Jun 2012 14:05:47 +0200
Subject: [Postfixbuch-users] Seltsames Mailformat
In-Reply-To: <201206211300.56970@office.a-mazing.net>
References: <2A377938-FE9B-407B-993E-461644068A2A@izsr.de>
 <201206211300.56970@office.a-mazing.net>
Message-ID: <58240358-C132-499A-A85E-68B71E899632@izsr.de>

Moin,


> - Durch welche Skripte ist die Mail durch, bis sie so in deinem Log steht?

meines wissens gar keine - die absenderin sitzt allerdings an einem Exchange 2012, wir werden da mal nachsehen.


> - Ist da wirklich ein Leerzeichen im Localpart? Oder ist das nicht eher ein 
> Tippfehler des Absenders?

- zweitere ist mit hoher Wahrscheinlichkeit zutreffen :-)


danke für die anregungen!


grüsse


lars




From jk at jkart.de  Tue Jun 26 00:10:11 2012
From: jk at jkart.de (Jim Knuth)
Date: Tue, 26 Jun 2012 00:10:11 +0200
Subject: [Postfixbuch-users] @Rabatt-Gruppe
Message-ID: <4FE8E1C3.4000900@jkart.de>

Hallo,

bloss mal als Info

91.227.246.* kann man bedenkenlos sperren. Sind diese
Rabatt* Heinze, bspw. @Rabatt-Gruppe.com oder
@Rabatt-MarschMarsch.com

-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Inspiration ist ein Geschenk, das erst
durch zähes Sitzfleisch zum Geschenk wird.
(Leonhard Frank)



From mailinglisten at it-blog.net  Tue Jun 26 10:23:38 2012
From: mailinglisten at it-blog.net (Pascal Uhlmann)
Date: Tue, 26 Jun 2012 10:23:38 +0200
Subject: [Postfixbuch-users] @Rabatt-Gruppe
In-Reply-To: <4FE8E1C3.4000900@jkart.de>
References: <4FE8E1C3.4000900@jkart.de>
Message-ID: <4FE9718A.2070302@it-blog.net>

Hallo!

Also wenn ich meine Logfiles so durchschaue, sehe ich keine 
Notwendigkeit, dieses Netz explizit zu sperren. Alle 
Einlieferungsversuche wurden mittels der eingesetzten DNSBLs bereits 
geblockt. Der einzige Vorteil wäre somit nur, dass man sich die 
DNS-Abfrage sparen würde.


Mit freundlichen Grüßen

Pascal Uhlmann

===================================
Internet: www.it-blog.net <http://www.it-blog.net>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20120626/ce9bbe81/attachment.htm>

From atann at alphasrv.net  Tue Jun 26 15:30:17 2012
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 26 Jun 2012 15:30:17 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Mails_mit_=28fast=29_ausschlie?=
 =?utf-8?q?=C3=9Flich_arabischen_Schriftzeichen?=
Message-ID: <201206261530.17844@inter.netz>

Hallo zusammen,

seit einigen Wochen laufen immer wieder Wellen von Mails hier auf, die
in Betreff und Body fast nur arabische Schriftzeichen enthalten. Hat
sich jemand hier schon mal einen Filter gebaut, um sowas abzufangen?
Wenn nicht: wie kriegt man diese Mails am besten zu fassen?

Viele Grüße!

-- 
Andre Tann



From helga.mayer at uni-hohenheim.de  Wed Jun 27 13:29:08 2012
From: helga.mayer at uni-hohenheim.de (Helga Mayer)
Date: Wed, 27 Jun 2012 13:29:08 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Mails_mit_=28fast=29_ausschlie?=
 =?utf-8?q?=C3=9Flich_arabischen_Schriftzeichen?=
In-Reply-To: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
References: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
Message-ID: <4FEAEE84.9040408@uni-hohenheim.de>

On 06/27/2012 12:05 PM, postfixbuch-users-request at listen.jpberlin.de wrote:
>
>
> Meldungen des Tages:
>
>     1. Mails mit (fast) ausschließlich arabischen Schriftzeichen
>        (Andre Tann)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Tue, 26 Jun 2012 15:30:17 +0200
> From: Andre Tann<atann at alphasrv.net>
> To: postfixbuch-users at listen.jpberlin.de
> Subject: [Postfixbuch-users] Mails mit (fast) ausschließlich
> 	arabischen Schriftzeichen
> Message-ID:<201206261530.17844 at inter.netz>
> Content-Type: text/plain;  charset="utf-8"
>
> Hallo zusammen,
>
> seit einigen Wochen laufen immer wieder Wellen von Mails hier auf, die
> in Betreff und Body fast nur arabische Schriftzeichen enthalten. Hat
> sich jemand hier schon mal einen Filter gebaut, um sowas abzufangen?
> Wenn nicht: wie kriegt man diese Mails am besten zu fassen?
Bei uns waren nur wenige Empfänger betroffen - aber immer diesselben.  
Für diese habe ich (nach Rückfrage) in postfwd die Quellen (meist google 
groups) schlicht abgelehnt.

Geht vielleicht auch:
in Spamassassin Header Checks für die ursprünglichen IP's Spam Scores
setzen.
Oder Spam Scores für den Zeichensatz.
Einfach mal schauen, was die so gemeinsam haben.
Ich mein, alles was man macht. solange man den Text nicht versteht,
kann letztlich False Positives produzieren.

Viele Grüße

Helga Mayer




From postfix_ml at rirasoft.de  Wed Jun 27 14:13:41 2012
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Wed, 27 Jun 2012 14:13:41 +0200
Subject: [Postfixbuch-users] =?utf-8?q?OT=3A_yum-Quelle_f=C3=BCr_clamav?=
Message-ID: <c2d4276a2f7f208ab2fa5f1c3357464f.squirrel@www.rirasoft.de>

Hallo zusammen,
ich setze auf meinen Mailserver CentOS 6.2 x86_64 ein. Zum Virenscannen
der Mails benütze ich clamav vom epel.repo. (clamav-0.97.3-3.el6.i686.rpm
02-Jan-2012). Dieses Paket ist allerdings mittlerweile veraltet. Von
rpmforge gibt es ein neueres Paket:
clamav-0.97.5-2.el6.rf.x86_64.rpm	25-Jun-2012.

Allerdings unterschieden sich diese beide Pakete durch den user:
epel: clam
rpmforge: clamav


Welche Version habt ihr im Einsatz? Wenn ich auf rpmforge umsteige, müßte
ich überall die Berechtigung des users clam durch clamav ersetzen.

Gruß
Andreas
-- 
Der Inhalt eines Kasten Bit sind 24 Stück, also ist ein Kasten Bier ein Byte!
E-Mail: andreas at rirasoft.de



From atann at alphasrv.net  Wed Jun 27 14:27:31 2012
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 27 Jun 2012 14:27:31 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_mit_=28fast=29_ausschlie?=
 =?iso-8859-1?q?=DFlich_arabischen_Schriftzeichen?=
In-Reply-To: <4FEAEE84.9040408@uni-hohenheim.de>
References: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
 <4FEAEE84.9040408@uni-hohenheim.de>
Message-ID: <201206271427.31667@inter.netz>

Helga Mayer, Mittwoch, 27. Juni 2012: 

> Geht vielleicht auch:
> in Spamassassin Header Checks für die ursprünglichen IP's Spam Scores
> setzen.
> Oder Spam Scores für den Zeichensatz.
> Einfach mal schauen, was die so gemeinsam haben.
> Ich mein, alles was man macht. solange man den Text nicht versteht,
> kann letztlich False Positives produzieren.

Mit false positives hätte ich hier gar kein Problem: niemand unter den
Nutzern kann arabischen Text lesen. Wenn eine Mail zu >90% aus
arabischen Zeichen besteht, dann will die niemand haben, egal worum es
da drin geht. 

OK, das mit dem Zeichensatz, das könnte mal ein Ansatz sein, das sehe
ich mir an.

Danke+Gruß!


-- 
Andre Tann



From helga.mayer at uni-hohenheim.de  Wed Jun 27 15:28:44 2012
From: helga.mayer at uni-hohenheim.de (Helga Mayer)
Date: Wed, 27 Jun 2012 15:28:44 +0200
Subject: [Postfixbuch-users] =?utf-8?q?OT=3A_yum-Quelle_f=C3=BCr_clamav?=
In-Reply-To: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
References: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
Message-ID: <4FEB0A8C.4010307@uni-hohenheim.de>

*Andreas Reschke* postfix_ml at rirasoft.de 
<mailto:postfixbuch-users%40listen.jpberlin.de?Subject=Re%3A%20%5BPostfixbuch-users%5D%20%3D%3Futf-8%3Fq%3FOT%3D3A_yum-Quelle_f%3DC3%3DBCr_clamav%3F%3D&In-Reply-To=%3Cc2d4276a2f7f208ab2fa5f1c3357464f.squirrel%40www.rirasoft.de%3E>
/Mi Jun 27 14:13:41 CEST 2012

.........
/

Allerdings unterschieden sich diese beide Pakete durch den user:
epel: clam
rpmforge: clamav


Welche Version habt ihr im Einsatz? Wenn ich auf rpmforge umsteige, müßte
ich überall die Berechtigung des users clam durch clamav ersetzen.
.......

nicht nötig, nur in /etc/clamd.conf 'User clamav' durch 'User clam'
ersetzen.

Viele Grüße
Helga Mayer





From jk at jkart.de  Wed Jun 27 17:43:50 2012
From: jk at jkart.de (Jim Knuth)
Date: Wed, 27 Jun 2012 17:43:50 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Mails_mit_=28fast=29_ausschlie?=
 =?iso-8859-1?q?=DFlich_arabischen_Schriftzeichen?=
In-Reply-To: <201206271427.31667@inter.netz>
References: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
 <4FEAEE84.9040408@uni-hohenheim.de> <201206271427.31667@inter.netz>
Message-ID: <4FEB2A36.3060700@jkart.de>

am 27.06.12 14:27 schrieb Andre Tann <atann at alphasrv.net>:

> Helga Mayer, Mittwoch, 27. Juni 2012:
>
>> Geht vielleicht auch:
>> in Spamassassin Header Checks für die ursprünglichen IP's Spam Scores
>> setzen.
>> Oder Spam Scores für den Zeichensatz.
>> Einfach mal schauen, was die so gemeinsam haben.
>> Ich mein, alles was man macht. solange man den Text nicht versteht,
>> kann letztlich False Positives produzieren.
>
> Mit false positives hätte ich hier gar kein Problem: niemand unter den
> Nutzern kann arabischen Text lesen. Wenn eine Mail zu >90% aus
> arabischen Zeichen besteht, dann will die niemand haben, egal worum es
> da drin geht.
>
> OK, das mit dem Zeichensatz, das könnte mal ein Ansatz sein, das sehe
> ich mir an.
>
> Danke+Gruß!
>
>

Ich hab das in mime_header_checks

/Content-Type:.*charset\s*=\s*\"(koi8-r|big5|euc-kr|gb2312|ks_c_5601-1987|iso-2022-jp|windows-1251)\"/
    REJECT Unwanted charset, Sorry

-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Wenn man in die falsche Richtung läuft, hat es
keinen Zweck, das Tempo zu erhöhen.
(Birgit Breuel)




From postfix_ml at rirasoft.de  Wed Jun 27 18:43:44 2012
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Wed, 27 Jun 2012 18:43:44 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?OT=3A_yum-Quelle_f=FCr_clamav?=
In-Reply-To: <4FEB0A8C.4010307@uni-hohenheim.de>
References: <mailman.303.1340791512.7000.postfixbuch-users@listen.jpberlin.de>
 <4FEB0A8C.4010307@uni-hohenheim.de>
Message-ID: <4FEB3840.40309@rirasoft.de>

Am 27.06.2012 15:28, schrieb Helga Mayer:
> *Andreas Reschke* postfix_ml at rirasoft.de
> <mailto:postfixbuch-users%40listen.jpberlin.de?Subject=Re%3A%20%5BPostfixbuch-users%5D%20%3D%3Futf-8%3Fq%3FOT%3D3A_yum-Quelle_f%3DC3%3DBCr_clamav%3F%3D&In-Reply-To=%3Cc2d4276a2f7f208ab2fa5f1c3357464f.squirrel%40www.rirasoft.de%3E>
> 
> /Mi Jun 27 14:13:41 CEST 2012
> 
> .........
> /
> 
> Allerdings unterschieden sich diese beide Pakete durch den user:
> epel: clam
> rpmforge: clamav
> 
> 
> Welche Version habt ihr im Einsatz? Wenn ich auf rpmforge umsteige, müßte
> ich überall die Berechtigung des users clam durch clamav ersetzen.
> .......
> 
> nicht nötig, nur in /etc/clamd.conf 'User clamav' durch 'User clam'
> ersetzen.
> 
> Viele Grüße
> Helga Mayer
> 
> 
> 

Danke für den Tipp.

Gruß
Andreas



From michael at nausch.org  Wed Jun 27 23:12:47 2012
From: michael at nausch.org (Michael Nausch)
Date: Wed, 27 Jun 2012 23:12:47 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?OT=3A_yum-Quelle_f=FCr_clamav?=
In-Reply-To: <c2d4276a2f7f208ab2fa5f1c3357464f.squirrel@www.rirasoft.de>
References: <c2d4276a2f7f208ab2fa5f1c3357464f.squirrel@www.rirasoft.de>
Message-ID: <4FEB774F.90908@nausch.org>

Ahoi Andreas!

Am 27.06.2012 14:13, schrieb Andreas Reschke:

> Welche Version habt ihr im Einsatz? 

# yum list clamav
Loaded plugins: priorities
59 packages excluded due to repository priority protections
Installed Packages
clamav.x86_64                  0.97.5-2.el6.rf
@rpmforge-LOCAL

> Wenn ich auf rpmforge umsteige, müßte
> ich überall die Berechtigung des users clam durch clamav ersetzen.

Konfiguration sollte kein Problem sein, oder doch?
Wenn doch, kuck hier:
http://dokuwiki.nausch.org/doku.php/centos:rpmforge6
http://dokuwiki.nausch.org/doku.php/centos:mail_c6:spam_4#clamd1

ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From michael at nausch.org  Wed Jun 27 23:17:47 2012
From: michael at nausch.org (Michael Nausch)
Date: Wed, 27 Jun 2012 23:17:47 +0200
Subject: [Postfixbuch-users] anvil-Modul und pickup-Modul
In-Reply-To: <4FCBA4EB.1000607@nausch.org>
References: <4FCBA4EB.1000607@nausch.org>
Message-ID: <4FEB787B.7000404@nausch.org>

HI!

Am 03.06.2012 19:54, schrieb Michael Nausch:

> Wie sieht es denn aus, greift das anvil-modul auch beim pickup-modul mit
> ein? 

Also, bitte berichtigen, wenn ich falsch liege: Das anvil-modul greift
nur beim smtpd-modul und *nicht* beim pickup-modul?! Richtig, oder irre
ich mich doch?

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From werner at aloah-from-hell.de  Wed Jun 27 23:56:27 2012
From: werner at aloah-from-hell.de (Werner Detter)
Date: Wed, 27 Jun 2012 23:56:27 +0200
Subject: [Postfixbuch-users] anvil-Modul und pickup-Modul
In-Reply-To: <4FEB787B.7000404@nausch.org>
References: <4FCBA4EB.1000607@nausch.org> <4FEB787B.7000404@nausch.org>
Message-ID: <4FEB818B.7050003@aloah-from-hell.de>

Hi,

> Also, bitte berichtigen, wenn ich falsch liege: Das anvil-modul greift
> nur beim smtpd-modul und *nicht* beim pickup-modul?! Richtig, oder irre
> ich mich doch?

http://www.postfix.org/smtpd.8.html

"The per SMTP client connection count and request rate limits are implemented
in co-operation with the anvil(8) service,  and are available in Postfix version
2.2 and later."

Ciao,
Werner



From michael at nausch.org  Thu Jun 28 09:57:11 2012
From: michael at nausch.org (Michael Nausch)
Date: Thu, 28 Jun 2012 09:57:11 +0200
Subject: [Postfixbuch-users] anvil-Modul und pickup-Modul
In-Reply-To: <4FEB818B.7050003@aloah-from-hell.de>
References: <4FCBA4EB.1000607@nausch.org> <4FEB787B.7000404@nausch.org>
 <4FEB818B.7050003@aloah-from-hell.de>
Message-ID: <4FEC0E57.1090702@nausch.org>

HI Wännä!

Am 27.06.2012 23:56, schrieb Werner Detter:

> http://www.postfix.org/smtpd.8.html
> 
> "The per SMTP client connection count and request rate limits are implemented
> in co-operation with the anvil(8) service,  and are available in Postfix version
> 2.2 and later."

perl -e 'map{print pack c,($|++?1:13)+ord,select$,,$,,$,,$|}split//,ESEL.$/'

<lol>

Schon klar, beim smtpd-modul klappt das ja hervorragend, aber kann das
anvil-modul nun auch mit dem pickup-modul?


ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From werner at aloah-from-hell.de  Thu Jun 28 10:06:08 2012
From: werner at aloah-from-hell.de (Werner Detter)
Date: Thu, 28 Jun 2012 10:06:08 +0200
Subject: [Postfixbuch-users] anvil-Modul und pickup-Modul
In-Reply-To: <4FEC0E57.1090702@nausch.org>
References: <4FCBA4EB.1000607@nausch.org> <4FEB787B.7000404@nausch.org>
 <4FEB818B.7050003@aloah-from-hell.de> <4FEC0E57.1090702@nausch.org>
Message-ID: <4FEC1070.3050507@aloah-from-hell.de>


> Schon klar, beim smtpd-modul klappt das ja hervorragend, aber kann das
> anvil-modul nun auch mit dem pickup-modul?

NEIN weil es nur bei SMTP-Connections greift und mit SMTP hat der Pickup-Daemon nix am Hut :)





From andreas.schulze at datev.de  Thu Jun 28 10:48:52 2012
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 28 Jun 2012 10:48:52 +0200
Subject: [Postfixbuch-users] Probleme mit "reddoxx engine"
Message-ID: <20120628084852.GA20392@spider.services.datevnet.de>

Hallo,

in den letzten Tagen tropfen bei mir am MX diverse unterschiedliche Clientsysteme mit temporären Fehlern ab.

Jun 28 09:00:11 mailin11 postfix/cleanup[14300]: 3WNBhC3NsDz6GfT: milter-reject: END-OF-MESSAGE from mx2.xxx[192.2.0.2]: 4.7.1 Service unavailable - try again later; from=<sender at example.org> to=<recipient at datevnet.de> proto=ESMTP helo=<mx2.xxx>

In den Mailheadern, die in den Daten ja reinkommen, steht immer "reddoxx engine"
Außerdem fällt auf, die die betreffenden Systeme immer nur den MX-Server mailin11 nutzen und die restlichen MXer nicht ansprechen.
( Zieldomain: datevnet.de )

In den Traces antwortet der Postfix nach aussen mit "451 4.7.1 Service unavailable - try again later"
und gleich danach im nächsten Paket mit "421 4.7.0 mailin11.datevnet.de Error: too many errors"

Warum hier Logmeldungen vom Milter kommen ist mir unklar.
Eine Suche nach der QueueID auf allen Milter-Servern bringt keinen Treffer.

Ach ja: postfix-2.9.3

Hat jemand eine Idee, wie man die Ursache weiter einkreisen kann?
Danke!

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From driessen at fblan.de  Thu Jun 28 11:51:37 2012
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 28 Jun 2012 11:51:37 +0200
Subject: [Postfixbuch-users] Probleme mit "reddoxx engine"
In-Reply-To: <20120628084852.GA20392@spider.services.datevnet.de>
References: <20120628084852.GA20392@spider.services.datevnet.de>
Message-ID: <022d01cd5513$9c91c1b0$d5b54510$@fblan.de>

Im Auftrag von Andreas Schulze
> Hallo,
> 
> in den letzten Tagen tropfen bei mir am MX diverse unterschiedliche
> Clientsysteme mit temporären Fehlern ab.
> 
> Jun 28 09:00:11 mailin11 postfix/cleanup[14300]: 3WNBhC3NsDz6GfT: milter-
> reject: END-OF-MESSAGE from mx2.xxx[192.2.0.2]: 4.7.1 Service unavailable
-
> try again later; from=<sender at example.org> to=<recipient at datevnet.de>
> proto=ESMTP helo=<mx2.xxx>
> 
> In den Mailheadern, die in den Daten ja reinkommen, steht immer "reddoxx
> engine"
> Außerdem fällt auf, die die betreffenden Systeme immer nur den MX-Server
> mailin11 nutzen und die restlichen MXer nicht ansprechen.
> ( Zieldomain: datevnet.de )
> 
> In den Traces antwortet der Postfix nach aussen mit "451 4.7.1 Service
> unavailable - try again later"
> und gleich danach im nächsten Paket mit "421 4.7.0 mailin11.datevnet.de
> Error: too many errors"
> 
> Warum hier Logmeldungen vom Milter kommen ist mir unklar.
> Eine Suche nach der QueueID auf allen Milter-Servern bringt keinen
Treffer.
> 
> Ach ja: postfix-2.9.3
> 
> Hat jemand eine Idee, wie man die Ursache weiter einkreisen kann?
> Danke!
> 

Laufen die Milter? 
Läuft die database und die Verbindung zwischen den Miltern  und der
database?

Die Fehlermeldung deutet darauf hin das einer der Milter nicht sauber rennt
bzw. das es Probleme mit den dahinter hängenden Diensten gibt.

Haben die auf dem reddoxx system evtl. die Mailverschlüsselung an und die
Milter können nix damit anfangen? 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



From andreas.schulze at datev.de  Thu Jun 28 14:14:33 2012
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 28 Jun 2012 14:14:33 +0200
Subject: [Postfixbuch-users] Probleme mit "reddoxx engine"
In-Reply-To: <022d01cd5513$9c91c1b0$d5b54510$@fblan.de>
References: <20120628084852.GA20392@spider.services.datevnet.de>
 <022d01cd5513$9c91c1b0$d5b54510$@fblan.de>
Message-ID: <20120628121433.GA27565@spider.services.datevnet.de>

Am 28.06.2012 11:51 schrieb Uwe Drießen:
> Laufen die Milter? 
> Läuft die database und die Verbindung zwischen den Miltern  und der
> database?
Hustl.
Es gab da so sporadisch so komische Ansagen des opendkim-milter: "thread_create()"
Nach einem Neustart des Milters läuft's nun wieder deutlich entspannter :-)

> Haben die auf dem reddoxx system evtl. die Mailverschlüsselung an und die
> Milter können nix damit anfangen? 
nee, waren 'normale' Mails mit Anlagen.
Komisch ist aber dennoch, dass die immer auf dem gleichen MTA geblieben sind !?

Danke,
Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From michael at nausch.org  Thu Jun 28 15:07:10 2012
From: michael at nausch.org (Michael Nausch)
Date: Thu, 28 Jun 2012 15:07:10 +0200
Subject: [Postfixbuch-users] anvil-Modul und pickup-Modul
In-Reply-To: <4FEC1070.3050507@aloah-from-hell.de>
References: <4FCBA4EB.1000607@nausch.org> <4FEB787B.7000404@nausch.org>
 <4FEB818B.7050003@aloah-from-hell.de> <4FEC0E57.1090702@nausch.org>
 <4FEC1070.3050507@aloah-from-hell.de>
Message-ID: <4FEC56FE.0@nausch.org>

HI!

Am 28.06.2012 10:06, schrieb Werner Detter:

> NEIN weil es nur bei SMTP-Connections greift und mit SMTP hat der Pickup-Daemon nix am Hut :)

Dachte ich mir schon, aber ich hatte dazu auch nix eindeutiges in der
Doku gefunden. Und bevor ich mein bigpicture im dokuwiki verunstalte,
dachte ich mir, ich frag einfach mal nach.

Danke für die Bestätigung!

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django