From max at grobecker-wtal.de  Tue Jan  1 17:31:04 2013
From: max at grobecker-wtal.de (Maximilian Grobecker)
Date: Tue, 01 Jan 2013 17:31:04 +0100
Subject: [Postfixbuch-users] =?iso-8859-15?q?Dovecot_und_Thunderbird=3A_Pr?=
 =?iso-8859-15?q?obleme_mit_gr=F6=DFeren_Mails?=
Message-ID: <50E30F48.9060707@grobecker-wtal.de>

Hallo und frohes Neues!

Ich habe ein kleines Problem, wo ich nicht genau herausfinden kann, wo
ich den Schuldigen finde.
Wenn ich E-Mails mit etwas größeren Anhängen (ca. 6-7 MB oder größer)
versende, sendet Thunderbird die Mail vollständig an Postfix,
bleibt dann aber irgendwann stehen (und hängt sich manchmal sogar auf)
wenn es ums "Speichern in Ordner 'Gesendet'" geht.
Im Logfile steht dann dieser Text hier:

Jan  1 16:58:22 mx0 dovecot: imap-login: Disconnected: Inactivity (no
auth attempts): rip=92.226.******, lip=78.47.******, TLS

Die meisten Lösungen die ich dazu ergooglen konnte vermuteten Firewalls,
die ICMP filtern (bei mir nicht der Fall, in beide Richtungen getestet)
oder dass es mit Webmailern zusammenhängt.

Ich vermute dass Dovecot in irgendwelche Timeouts rennt, während
Thunderbird versucht ihm die Mail über die schmale Leitung zukommen zu
lassen und eine der beiden Parteien
der Meinung ist, die jeweils andere würde nicht mehr reagieren -
tendenziell beschuldige ich da den Dovecot, sonst würde der Thunderbird
vermutlich eine Fehlermeldung werfen.

Sonst gibt es mit dem Ding keine Probleme, nur wenn die Mail etwas
größer ist und das Speichern länger dauert reißt die Verbindung nach
30-60 Sekunden ab.


Hat jemand schonmal dieses Problem gehabt und kennt den ultimativen Trick?

Vielen Dank!

-- 
Viele Grüße aus dem Tal

Max Grobecker
max at grobecker-wtal.de

Sollten Sie eine .asc-Datei im Anhang finden, so können Sie diese getrost ignorieren.
Es handelt sich dabei um eine digitale PGP-Signatur, die Absender und Inhalt verifiziert.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 260 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130101/49a47433/attachment.asc>

From ronny at seffner.de  Tue Jan  1 18:01:58 2013
From: ronny at seffner.de (Ronny Seffner)
Date: Tue, 01 Jan 2013 18:01:58 +0100
Subject: [Postfixbuch-users]
	=?utf-8?q?Dovecot_und_Thunderbird=3A_Probleme?=
	=?utf-8?b?IG1pdCBncsO2w59lcmVuIE1haWxz?=
In-Reply-To: <50E30F48.9060707@grobecker-wtal.de>
References: <50E30F48.9060707@grobecker-wtal.de>
Message-ID: <49495cf050ef1175b74d46ada411ef54@seffner.de>

> Hallo und frohes Neues!
>
Gleichfalls.
> Die meisten Lösungen die ich dazu ergooglen konnte vermuteten 
> Firewalls,
>
Und ich dachte sofort an $Virenscanner.

   Gruß, Ronny


From max at grobecker-wtal.de  Tue Jan  1 19:00:57 2013
From: max at grobecker-wtal.de (Maximilian Grobecker)
Date: Tue, 01 Jan 2013 19:00:57 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Dovecot_und_Thunderbird=3A_Pro?=
 =?iso-8859-1?q?bleme_mit_gr=F6=DFeren_Mails?=
In-Reply-To: <49495cf050ef1175b74d46ada411ef54@seffner.de>
References: <50E30F48.9060707@grobecker-wtal.de>
 <49495cf050ef1175b74d46ada411ef54@seffner.de>
Message-ID: <50E32459.8070207@grobecker-wtal.de>

Hi,

das muss ich mal probieren, den habe ich jetzt garnicht als Verdächtigen
eingestuft.
Ich benutze den NOD32-Antivirus, der sollte aber eigentlich die
SSL-Ports (993) komplett in Ruhe lassen.
Werde ihn aber trotzdem mal ausschalten und ein paar dicke Mails versenden.

Danke schonmal!

Viele Grüße aus dem Tal

Max Grobecker
max at grobecker-wtal.de

Sollten Sie eine .asc-Datei im Anhang finden, so können Sie diese getrost ignorieren.
Es handelt sich dabei um eine digitale PGP-Signatur, die Absender und Inhalt verifiziert.


Am 01.01.2013 18:01, schrieb Ronny Seffner:
>> Hallo und frohes Neues!
>>
> Gleichfalls.
>> Die meisten Lösungen die ich dazu ergooglen konnte vermuteten Firewalls,
>>
> Und ich dachte sofort an $Virenscanner.
>
>   Gruß, Ronny
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130101/12f12874/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 260 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130101/12f12874/attachment.asc>

From lists at xunil.at  Wed Jan  2 21:53:33 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 02 Jan 2013 21:53:33 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
Message-ID: <50E49E4D.8020507@xunil.at>


Zarter Hilferuf:

aus heiterem Himmel (?) beginnt mein cyrus, keine Mails mehr vom Postfix
anzunehmen, ala:

Jan  2 21:45:28 postler postfix/lmtp[18390]: F1434123C9:
to=<oop3sefn at lichtfels.com>, relay=postler.lichtfels.com[public/lmtp],
delay=0.21, delays=0.15/0.01/0.01/0.05, dsn=5.1.1, status=bounced (host
postler.lichtfels.com[public/lmtp] said: 550-Mailbox unknown.  Either
there is no mailbox associated with this 550-name or you do not have
authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO
command))

Der Cyrus-imapd hängt an einer mysql-DB, auf IMAPs/POPs funktioniert das
Authentifizieren tadellos, also tut auch saslauthd ...

Also vermutete ich lmtp-Socket-Probleme:

# postconf -n mailbox_transport
mailbox_transport = lmtp:unix:public/lmtp

# grep lmtp /etc/cyrus.conf
  lmtp		cmd="lmtpd -C /etc/cyrus-lmtpd.conf" listen="lmtp" prefork=1
  #lmtp		cmd="lmtpd -a" listen="lmtp" prefork=1
  lmtpunix	cmd="lmtpd" listen="/var/spool/postfix/public/lmtp" prefork=1

# grep lmtp /etc/postfix/master.cf
lmtp      unix  -       -       n       -       -       lmtp


# ls -l /var/spool/postfix/public/lmtp
srwxrwxrwx 1 root root 0 Jan  2 21:39 /var/spool/postfix/public/lmtp


Kann hier das root:root das Problem sein?

Hatte ich vorher schon mal der Gruppe mail gegeben, ist wieder retour,
ich suche mal nach der Ursache (init-Skript, Gentoo).

Für Ideen wäre ich sehr dankbar, ansonsten kann ich meine Freizeit
morgen vergessen ....

Danke, Stefan


From lists at xunil.at  Wed Jan  2 22:00:03 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 02 Jan 2013 22:00:03 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E49E4D.8020507@xunil.at>
References: <50E49E4D.8020507@xunil.at>
Message-ID: <50E49FD3.2060608@xunil.at>

Am 02.01.2013 21:53, schrieb Stefan G. Weichinger:

> Für Ideen wäre ich sehr dankbar, ansonsten kann ich meine Freizeit
> morgen vergessen ....

und ich kann derzeit auch nichts empfangen, no na.

Vorschläge bitte im CC: an

stefangweichinger at gmail.com

danke!



From lists at xunil.at  Wed Jan  2 22:44:25 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 02 Jan 2013 22:44:25 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E49E4D.8020507@xunil.at>
References: <50E49E4D.8020507@xunil.at>
Message-ID: <50E4AA39.6050903@xunil.at>


Die Zeit drängte ... ich habe nun als Notlösung auf transport per
deliver umgestellt, nachdem ich den Fehler partout nicht fand und morgen
früh ein funktionierendes System brauche.

Der Transport per lmtp hat jahrelang funktinoniert, und auch die letzten
Upgrades sind einige Zeit her, ich sehe also die Ursache nicht.

Nun ja.

Über Hilfestellung beim Debuggen würde ich mich nach wie vor freuen.

Soweit ich im Hinterkopf habe, ist der lmtp-Transport vorzuziehen (?),
also will ich da bald wieder hin.

Danke vorerst, ich atme mal ein paar Minuten durch und sehe den Logs zu ;-)

S


From lists at xunil.at  Wed Jan  2 22:59:18 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 02 Jan 2013 22:59:18 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E4AC4E.7000800@leo-unglaub.net>
References: <50E49E4D.8020507@xunil.at> <50E4AA39.6050903@xunil.at>
 <50E4AC4E.7000800@leo-unglaub.net>
Message-ID: <50E4ADB6.1040104@xunil.at>

Am 02.01.2013 22:53, schrieb Leo Unglaub:
> Hey,
> 
> On 2013-01-02 22:44, Stefan G. Weichinger wrote:
>> Über Hilfestellung beim Debuggen würde ich mich nach wie vor freuen.
> 
> ich selbst setze cyrus seit Jahren nicht mein ein weil das Teil einfach
> nicht mehr wirklich zeitgemäß ist. Besonders wenn man Dovecot und co
> betrachtet. Aber das bringt dir jetzt natürlich nichts. :)
> 
> Ich hatte damals ein ähnliches Problem bei dem einfach die
> Platte/Partition voll war und daher keine Mails mehr gespeichert wurden.
> 
> Keine ahnung ob das bei dir auch der Fall ist, aber bei mir war es
> damals ein Problem.

Nein, das ist hier nicht der Fall. Auch nicht in Sachen Inodes.
Dennoch danke für die Idee.

dovecot, ja, sicher ... ich habe das schon vor irgendwann, aber cyrus
tut eigentlich solide für meine paar Kunden (~150 Domains), und ich
hatte dieses Jahr Migration auf neues OS und Hardware, da mußte ich
nicht auch noch am IMAP-Server drehen.

Wie schon gesagt, das kommt heute für mich sehr überraschend ... und ich
sehe nach wie vor die Ursache nicht.

Jetzt erst mal per cyrus-Transport (leider geht damit grade Sieve nicht,
korrekt?) ... und so kann ich wenigstens morgen auf Skitour.

phew!

thanks, Stefan



From p.heinlein at heinlein-support.de  Wed Jan  2 23:47:24 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 02 Jan 2013 23:47:24 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E49E4D.8020507@xunil.at>
References: <50E49E4D.8020507@xunil.at>
Message-ID: <50E4B8FC.4090305@heinlein-support.de>

Am 02.01.2013 21:53, schrieb Stefan G. Weichinger:

> Jan  2 21:45:28 postler postfix/lmtp[18390]: F1434123C9:
> to=<oop3sefn at lichtfels.com>, relay=postler.lichtfels.com[public/lmtp],
> delay=0.21, delays=0.15/0.01/0.01/0.05, dsn=5.1.1, status=bounced (host
> postler.lichtfels.com[public/lmtp] said: 550-Mailbox unknown.  Either
> there is no mailbox associated with this 550-name or you do not have
> authorization to see it. 550 5.1.1 User unknown (in reply to RCPT TO
> command))

> Der Cyrus-imapd hängt an einer mysql-DB, auf IMAPs/POPs funktioniert das
> Authentifizieren tadellos, also tut auch saslauthd ...

Das würde ich gerne sehen. Es fällt erstmal schwer vorzustellen, daß
lmtp von Cyrus nicht geht, imapd aber schon.

Also:

a) Wo sind die Logzeilen, daß es mit Cyrus geht? Wird dort auch die
Mailadresse als Identifier genutzt oder ist das eine separate Login-Kennung?

b) Was loggt Cyrus zu dem LMTP-Versuch?

> Also vermutete ich lmtp-Socket-Probleme:

Nö. Wenn es ein Socket-Problem wäre, dann würde er nicht mit Cyrus
erfolgreich reden. Und das tut er ja.

Was Du hier siehst ist die alleinige und bewußte Entscheidung von Cyrus,
daß er die Mail nicht haben will, weil er oop3sefn at lichtfels.com nicht
kennt.

Die Frage, die du Dir stellen mußt ist alleine: Warum kommt Cyrus auf
die Idee, daß er oop3sefn at lichtfels.com nicht kennt.

Kläre GENAU das und fang nicht an, irgendwas x-beliebiges mit
Dateirechten und Socket zu vermuten, wenn Postfix und Cyrus doch
offensichtlich prima miteinander reden.

> # grep lmtp /etc/cyrus.conf
>   lmtp		cmd="lmtpd -C /etc/cyrus-lmtpd.conf" listen="lmtp" prefork=1
>   #lmtp		cmd="lmtpd -a" listen="lmtp" prefork=1
>   lmtpunix	cmd="lmtpd" listen="/var/spool/postfix/public/lmtp" prefork=1

Bitte VOLLSTÄNDIGE Configs. Wie soll man Fehler sehen, die hier gar
nicht enthalten sind?

a) Wie ist der imapd konfiguriert, wenn der doch geht?

b) Wie ist die Authentifizierung geklärt? Werden dort Manipulationen an
der Login-Kennung gemacht? Wird hier Groß-/Kleinschreibung vergurkt oder
ggf. nicht repariert?

c) Steht der User so WIRKLICH in der SQL-Datenbank?

d) Wird hier vielleicht durch irgendeine Config-Änderung ein Teil der
Mailadresse im Authentifizierungsprozeß abgeschnitten? Wird das ganze
vielleicht ohne Domain (%n) durchgereicht?

e) Im Zweifel wäre ein SQL-Protokoll schön. WAS fragt er denn genau an
MySQL so daß das seitens MySQL dann keinen Treffer mehr liefert? Schalte
ein binlog bei SQL ein und protokolliere, was Cyrus und SQL da besprechen.

> # grep lmtp /etc/postfix/master.cf
> lmtp      unix  -       -       n       -       -       lmtp

Sie reden doch!

> # ls -l /var/spool/postfix/public/lmtp
> srwxrwxrwx 1 root root 0 Jan  2 21:39 /var/spool/postfix/public/lmtp
> 
> Kann hier das root:root das Problem sein?

Nein, weil:

a) dann hätten sie ja kaum miteinander reden können und
b) chmod 777 ist hier ja gesetzt.

> Hatte ich vorher schon mal der Gruppe mail gegeben, ist wieder retour,
> ich suche mal nach der Ursache (init-Skript, Gentoo).

Du suchst an der völlig falschen Stelle. Dein Problem beginnt in Cyrus
und Endet in SQL. Du suchst aber 10 Kilometer vor Cyrus.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From p.heinlein at heinlein-support.de  Wed Jan  2 23:48:18 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 02 Jan 2013 23:48:18 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E4ADB6.1040104@xunil.at>
References: <50E49E4D.8020507@xunil.at> <50E4AA39.6050903@xunil.at>
 <50E4AC4E.7000800@leo-unglaub.net> <50E4ADB6.1040104@xunil.at>
Message-ID: <50E4B932.7040103@heinlein-support.de>

Am 02.01.2013 22:59, schrieb Stefan G. Weichinger:

> Jetzt erst mal per cyrus-Transport (leider geht damit grade Sieve nicht,
> korrekt?)

Doch, sieve geht (AFAIK).

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From lists at xunil.at  Thu Jan  3 07:32:03 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Thu, 03 Jan 2013 07:32:03 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E4B932.7040103@heinlein-support.de>
References: <50E49E4D.8020507@xunil.at> <50E4AA39.6050903@xunil.at>
 <50E4AC4E.7000800@leo-unglaub.net> <50E4ADB6.1040104@xunil.at>
 <50E4B932.7040103@heinlein-support.de>
Message-ID: <50E525E3.5040302@xunil.at>

Am 02.01.2013 23:48, schrieb Peer Heinlein:
> Am 02.01.2013 22:59, schrieb Stefan G. Weichinger:
> 
>> Jetzt erst mal per cyrus-Transport (leider geht damit grade Sieve nicht,
>> korrekt?)
> 
> Doch, sieve geht (AFAIK).

Sieht hier grade nicht so aus, dennoch danke.
Guten Morgen.

Reply auf anderes Mail dann sogleich ...

Und ja, momentan krieg ich wieder Mails unter lists at xunil.at (CC: also
derzeit nicht nötig)

Stefan


From lists at xunil.at  Thu Jan  3 08:01:35 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Thu, 03 Jan 2013 08:01:35 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E4B8FC.4090305@heinlein-support.de>
References: <50E49E4D.8020507@xunil.at> <50E4B8FC.4090305@heinlein-support.de>
Message-ID: <50E52CCF.6070307@xunil.at>

Am 02.01.2013 23:47, schrieb Peer Heinlein:
> Am 02.01.2013 21:53, schrieb Stefan G. Weichinger:
>> Der Cyrus-imapd hängt an einer mysql-DB, auf IMAPs/POPs funktioniert das
>> Authentifizieren tadellos, also tut auch saslauthd ...
> 
> Das würde ich gerne sehen. Es fällt erstmal schwer vorzustellen, daß
> lmtp von Cyrus nicht geht, imapd aber schon.

Das ging mir genauso ...

> Also:
> 
> a) Wo sind die Logzeilen, daß es mit Cyrus geht? Wird dort auch die
> Mailadresse als Identifier genutzt oder ist das eine separate Login-Kennung?

Ich sah einfach dauernd Zugriffe per imaps und pop3s im
/var/log/messages ... und konnte auch selbst per Thunderbird meine
Postfächer durchforsten. Auch nach Restart des TB, als neuerlicher
Anmeldung an cyrus.

Das Login lautet zB oop3sefn, und so steht der username auch in der
MySQL-DB.

> b) Was loggt Cyrus zu dem LMTP-Versuch?

Tja, gute Frage. Soweit ich verstehe, müßte der Socket namens "lmtpunix"
in /var/log/messages aufscheinen (siehe unten).

Und dieser Socket taucht auch dort wieder auf, seitdem ich per deliver
übergebe (ca. 23h). Davor hatte ich von ca. 16h an keine einzige Zeile
mit "lmtpunix" im Log, auch keine Fehler.

Davor tadellos ala:

Jan  2 15:53:24 postler lmtpunix[3469]: Delivered:
<50E449F7.7090001 at pxxacher.at> to mailbox: user.oop4ofc

An welcher Stelle kann ich den cyrus-lmtp auf "more verbose" stellen?


>> Also vermutete ich lmtp-Socket-Probleme:
> 
> Nö. Wenn es ein Socket-Problem wäre, dann würde er nicht mit Cyrus
> erfolgreich reden. Und das tut er ja.

> Was Du hier siehst ist die alleinige und bewußte Entscheidung von Cyrus,
> daß er die Mail nicht haben will, weil er oop3sefn at lichtfels.com nicht
> kennt.
> 
> Die Frage, die du Dir stellen mußt ist alleine: Warum kommt Cyrus auf
> die Idee, daß er oop3sefn at lichtfels.com nicht kennt.

Ja, verstehe.

Also, Hosen runter:


# cat cyrus.conf
# standard standalone server implementation

START {
  # do not delete this entry!
  recover	cmd="ctl_cyrusdb -r"

  # this is only necessary if using idled for IMAP IDLE
  idled		cmd="idled"
}

# UNIX sockets start with a slash and are put into /var/lib/imap/socket
SERVICES {
  # add or remove based on preferences
  #imap		cmd="imapd" listen="imap" prefork=0

## webcyradm lokal
  imaplocal     cmd="imapd -C /etc/cyrus-imapd-local.conf"
listen="127.0.0.1:imap" prefork=0
  #imapslocal    cmd="imapd -C /etc/cyrus-imapd-local.conf -s"
listen="127.0.0.1:imaps" prefork=0
## auch am openvpn losen, fuer den saslauthd am postler, sgw
  imap          cmd="imapd -C /etc/cyrus-imapd.conf"
listen="10.1.0.4:imap" prefork=0
## webcyradm remote
  #imap         cmd="imapd -C /etc/cyrus-imapd.conf" listen="imap" prefork=0

  imaps		cmd="imapd -C /etc/cyrus-imapd.conf -s" listen="imaps" prefork=2
  pop3		cmd="pop3d" listen="pop3" prefork=0
  pop3s		cmd="pop3d -C /etc/cyrus-popd.conf -s" listen="pop3s" prefork=2
  sieve		cmd="timsieved -C /etc/cyrus-timsieved.conf" listen="sieve"
prefork=1
#  sievelocal    cmd="timsieved -C /etc/imapd-local.conf
listen="127.0.0.1:sieve" prefork=0

  # at least one LMTP is required for delivery
  lmtp		cmd="lmtpd -C /etc/cyrus-lmtpd.conf" listen="lmtp" prefork=1
  #lmtp		cmd="lmtpd -a" listen="lmtp" prefork=1
  #lmtpunix	cmd="lmtpd" listen="/var/spool/postfix/public/lmtp" prefork=1
  lmtpunix	cmd="lmtpd" listen="/var/imap/socket/lmtp" prefork=0

  # this is only necessary if using notifications
  notify	cmd="notifyd" listen="/var/imap/socket/notify" proto="udp"
prefork=1
}

EVENTS {
  # this is required
  checkpoint	cmd="ctl_cyrusdb -c" period=10

  # this is only necessary if using duplicate delivery suppression
  delprune      cmd="cyr_expire -E 3" at=0400

  # this is only necessary if caching TLS sessions
  tlsprune      cmd="tls_prune" at=0400

  # Uncomment the next entry, if you want to automatically remove
  # old messages of EVERY user.
  # This example calls ipurge every 60 minutes and ipurge will delete
  # ALL messages older then 30 days.
  # enter 'man 8 ipurge' for more details

  # cleanup      cmd="ipurge -d 30 -f" period=60

  squatter      cmd="squatter -s -r *" period=180
# indexing of mailboxs for server side fulltext searches
  # reindex changed mailboxes (fulltext) approximately every other hour
##  squatter_1 cmd="nice -n 19 squatter -s" period=120
##  # reindex all mailboxes (fulltext) daily
  squatter_a cmd="squatter" at=2340

}



# cat cyrus-lmtpd.conf
sasl_pwcheck_method: auxprop
sasl_auxprop_plugin: sasldb
sasl_mech_list: cram-md5 digest-md5
sasl_log_level: 1


configdirectory: /var/imap
partition-default: /var/mail/imap
sievedir: /var/imap/sieve
allowanonymouslogin: no
allowplaintext: no
reject8bit: no
lmtp_overquota_perm_failure: no
lmtp_allowplaintext: no
lmtp_admins: lmtpuser



# cat /etc/conf.d/saslauthd
# Config file for /etc/init.d/saslauthd
SASLAUTHD_OPTS="-n0 -s4096 -t3600 -c -a pam"

> a) Wie ist der imapd konfiguriert, wenn der doch geht?

# cyrus-imapd.conf (ohne tls-Zeilen)
postmaster: postmaster
admins: cyrus
allowplaintext: yes
servername: imap.lichtfels.com
autocreatequota: 10000
quotawarn: 90
timeout: 30
poptimeout: 10
dracinterval: 0
drachost: localhost
sasl_pwcheck_method: saslauthd
sasl_mech_list: plain login
sasl_log_level: 1
sieve_maxscriptsize: 32
sieve_maxscripts: 5

mailnotifier: mailto
sievenotifier: mailto

duplicate_db: skiplist
tlscache_db: skiplist

configdirectory: /var/imap
partition-default: /var/mail/imap
sievedir: /var/imap/sieve
allowanonymouslogin: no
reject8bit: no
lmtp_overquota_perm_failure: no

# cat /etc/sasl2/smtpd.conf
mech_list: PLAIN LOGIN
pwcheck_method: auxprop saslauthd
auxprop_plugin: sasldb
log_level: 3

# postconf -n
address_verify_map = btree:/var/lib/postfix/address_verify_map
anvil_rate_time_unit = 30s
bounce_queue_lifetime = 1d
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = .
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 7
debug_peer_list =
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
$daemon_directory/$process_name $process_id & sleep 5
defer_transports =
disable_dns_lookups = no
disable_vrfy_command = yes
home_mailbox = .maildir/
html_directory = /usr/share/doc/packages/postfix/html
lmtp_sasl_auth_enable = yes
lmtp_sasl_password_maps = hash:/etc/postfix/lmtp_sasl_pass
lmtp_sasl_security_options = noanonymous, noplaintext
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
$virtual_alias_maps
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport = cyrus
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_exceptions = root
max_idle = 60s
max_use = 50
maximal_queue_lifetime = 2d
message_size_limit = 16384000
mydestination = $myhostname,localhost.$mydomain,$mydomain,lists.$mydomain
myhostname = postler.lichtfels.com
mynetworks_style = host
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
non_smtpd_milters = inet:localhost:8891
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.spamcop.net*1
b.barracudacentral.org*1
postscreen_dnsbl_threshold = 2
postscreen_greet_action = enforce
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc
relay_domains = proxy:mysql:/etc/postfix/mysql-relay_domains-ov.cf,
hash:/etc/postfix/relay_domains
relay_recipient_maps = $virtual_alias_maps,
hash:/etc/postfix/relay_recipients,
hash:/etc/postfix/relay_recipients_lietz,
hash:/etc/postfix/relay_recipients_bmc-gmbh,
hash:/etc/postfix/relay_recipients_eutema,
hash:/etc/postfix/relay_recipients_lists
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = proxy:mysql:/etc/postfix/mysql-canonical_2.cf
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_sasl_auth_enable = no
smtp_sasl_security_options = noanonymous, noplaintext
smtp_use_tls = no
smtpd_banner = $myhostname
smtpd_client_connection_rate_limit = 15
smtpd_client_restrictions = check_client_access
hash:/etc/postfix/client_access
smtpd_data_restrictions = reject_unauth_pipelining, permit
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
check_helo_access hash:/etc/postfix/helo_access,
reject_invalid_hostname, reject_non_fqdn_hostname
smtpd_milters = inet:localhost:8891
smtpd_recipient_restrictions = reject_unknown_sender_domain,
reject_unlisted_recipient, reject_invalid_hostname,
reject_non_fqdn_sender, reject_unknown_recipient_domain,
check_recipient_access hash:/etc/postfix/hold_domains,
permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination,
reject_rbl_client zen.spamhaus.org, reject_rhsbl_client
dbl.spamhaus.org, check_recipient_access
hash:/etc/postfix/roleaccount_exceptions, check_client_access
hash:/etc/postfix/access_mazedonia, check_policy_service
inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:10030,
check_recipient_access hash:/etc/postfix/verify_domains, permit
smtpd_reject_footer = Contact postmaster at lichtfels.com for technical
assistance. Please provide the following information in your problem
report: error message, time ($localtime), client ($client_address) and
server ($server_name). We speak both English and German.
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = postler.lichtfels.com
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = check_sender_access
hash:/etc/postfix/sender_access, check_sender_mx_access
cidr:/etc/postfix/sender_mx_private_ip
smtpd_tls_CAfile = /etc/ssl/postfix/smtp.lichtfels.com.pem
smtpd_tls_cert_file = /etc/ssl/postfix/smtp.lichtfels.com.pem
smtpd_tls_key_file = /etc/ssl/postfix/smtp.lichtfels.com.pem
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/RFCxxx,
hash:/etc/postfix/virtual_alias_maps,
proxy:mysql:/etc/postfix/mysql-virtual-ov.cf
virtual_gid_maps = static:12
virtual_mailbox_base = /var/mail
virtual_mailbox_domains =
proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps =
proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 251
virtual_transport = dovecot
virtual_uid_maps = static:251

--- generell:

Gentoo Linux ...

postfix 2.9.5
cyrus-imapd 2.4.16
cyrus-sasl 2.1.23 (mit neueren Versionen gab es Probleme mit einem
Partner-Server, der noch altes Suse fährt ...)

Diese Kombi ist seit ein paar Wochen so im Einsatz gewesen.

> b) Wie ist die Authentifizierung geklärt? Werden dort Manipulationen an
> der Login-Kennung gemacht? Wird hier Groß-/Kleinschreibung vergurkt oder
> ggf. nicht repariert?

Authentifizierung ...

# /etc/pam.d/imap

auth sufficient pam_mysql.so user=postfix passwd=*** host=127.0.0.1:3306
db=mail table=accountuser usercolumn=username passwdcolumn=password
crypt=1 logtable=log logmsgcolumn=msg logusercolumn=user
loghostcolumn=host logpidcolumn=pid logtimecolumn=time sqllog=yes verbose=0
auth sufficient pam_unix.so

account sufficient pam_mysql.so user=postfix passwd=***
host=127.0.0.1:3306 db=mail table=accountuser usercolumn=username
passwdcolumn=password crypt=1 logtable=log logmsgcolumn=msg
logusercolumn=user loghostcolumn=host logpidcolumn=pid
logtimecolumn=time sqllog=yes verbose=0
account  sufficient       pam_unix.so

All das entspricht in etwa dem Setup von hier:

http://tldp.org/HOWTO/Postfix-Cyrus-Web-cyradm-HOWTO/

Ja, ist alt, und es gibt neueres ... aber es tat bislang ziemlich OK.


> c) Steht der User so WIRKLICH in der SQL-Datenbank?
> 
> d) Wird hier vielleicht durch irgendeine Config-Änderung ein Teil der
> Mailadresse im Authentifizierungsprozeß abgeschnitten? Wird das ganze
> vielleicht ohne Domain (%n) durchgereicht?

Wie gesagt, gestern ist nix am Server passiert.

> e) Im Zweifel wäre ein SQL-Protokoll schön. WAS fragt er denn genau an
> MySQL so daß das seitens MySQL dann keinen Treffer mehr liefert? Schalte
> ein binlog bei SQL ein und protokolliere, was Cyrus und SQL da besprechen.

Da muß ich noch dran, schaue ich gleich noch.

>> Kann hier das root:root das Problem sein?
> 
> Nein, weil:
> 
> a) dann hätten sie ja kaum miteinander reden können und
> b) chmod 777 ist hier ja gesetzt.

Ja, klar ... sorry, ich war in Panik gestern ...

>> Hatte ich vorher schon mal der Gruppe mail gegeben, ist wieder retour,
>> ich suche mal nach der Ursache (init-Skript, Gentoo).
> 
> Du suchst an der völlig falschen Stelle. Dein Problem beginnt in Cyrus
> und Endet in SQL. Du suchst aber 10 Kilometer vor Cyrus.

OK, ich verstehe.

Danke vorerst für die ausführliche Antwort,
guten Morgen noch mal,
Stefan


From lists at xunil.at  Thu Jan  3 08:05:04 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Thu, 03 Jan 2013 08:05:04 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E525E3.5040302@xunil.at>
References: <50E49E4D.8020507@xunil.at> <50E4AA39.6050903@xunil.at>
 <50E4AC4E.7000800@leo-unglaub.net> <50E4ADB6.1040104@xunil.at>
 <50E4B932.7040103@heinlein-support.de> <50E525E3.5040302@xunil.at>
Message-ID: <50E52DA0.2010101@xunil.at>

Am 03.01.2013 07:32, schrieb Stefan G. Weichinger:
> Am 02.01.2013 23:48, schrieb Peer Heinlein:
>> Am 02.01.2013 22:59, schrieb Stefan G. Weichinger:
>>
>>> Jetzt erst mal per cyrus-Transport (leider geht damit grade Sieve nicht,
>>> korrekt?)
>>
>> Doch, sieve geht (AFAIK).
> 
> Sieht hier grade nicht so aus, dennoch danke.

Korrektur/Update: doch, geht jetzt ... das war gestern nacht definitiv
nicht so (meine Mailinglisten-Abos landeten ganz oben im Posteingang,
jetzt heute früh werden neu ankommende wieder korrekt gefiltert).

Nun ja.

Also quasi momentan kein Problem für den Kunden sichtbar.
Schon mal gut.

Nur sichtbar für uns hier ;-)

Danke, Grüße, Stefan


From gregor at aeppelbroe.de  Thu Jan  3 09:28:35 2013
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Thu, 3 Jan 2013 09:28:35 +0100
Subject: [Postfixbuch-users] =?utf-8?q?postfix__virtual=5Falias-maps_in_SQ?=
	=?utf-8?q?L=2C_Wildcards_m=C3=B6glich=3F?=
Message-ID: <a206afb7df1aebc453eda8f5deff6c18@ffm-it.dyndns.org>

Guten Morgen,

ich habe mir eine SQL Tabelle für Emailaliase gebaut.

emailaddress | alias

Abruf : 
user = postfix
password = GEHEIM
dbname = egroupware
query = SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%s'
hosts = 127.0.0.1

Das funktioniert eigentlich auch.

Ich würde aber gerne der einfachheit halber in das Feld alias mehrere Adressen eintragen (z.B. 'edv at domain.de default at domain.de ' etc.). Per Mysql funktioniert z.B.
SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%edv at domain.de %'

Postfix meckert aber bei einem
SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%%s%'

In eine Textdatei kann ich doch auch eigentlich ein 1:n Eintrag (komma seperiert) machen? Das habe ich auch ohne Erfolg getestet,..

Grüße

Gregor

-- 





From w.flamme at web.de  Thu Jan  3 09:37:53 2013
From: w.flamme at web.de (Werner Flamme)
Date: Thu, 03 Jan 2013 09:37:53 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?postfix__virtual=5Falias-maps_?=
 =?iso-8859-1?q?in_SQL=2C_Wildcards_m=F6glich=3F?=
In-Reply-To: <a206afb7df1aebc453eda8f5deff6c18@ffm-it.dyndns.org>
References: <a206afb7df1aebc453eda8f5deff6c18@ffm-it.dyndns.org>
Message-ID: <50E54361.5030506@web.de>

Gregor Burck [03.01.2013 09:28]:
> Guten Morgen,
> 
> ich habe mir eine SQL Tabelle für Emailaliase gebaut.
> 
> emailaddress | alias
> 
> Abruf : 
> user = postfix
> password = GEHEIM
> dbname = egroupware
> query = SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%s'
> hosts = 127.0.0.1
> 
> Das funktioniert eigentlich auch.
> 
> Ich würde aber gerne der einfachheit halber in das Feld alias mehrere Adressen eintragen (z.B. 'edv at domain.de default at domain.de ' etc.). Per Mysql funktioniert z.B.
> SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%edv at domain.de %'
> 
> Postfix meckert aber bei einem
> SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%%s%'

Ich meckere jetzt auch, weil Du die Fehlermeldung und den SQL-String
nicht mitlieferst. Glaskugeln sind keine Grundausstattung in dieser ML.

> In eine Textdatei kann ich doch auch eigentlich ein 1:n Eintrag (komma seperiert) machen? Das habe ich auch ohne Erfolg getestet,..

Beleg? Was hast Du getestet, welche Fehler kamen?

Warum machst Du es uns so schwer?

Gruß
Werner




From kai_postfix at fuerstenberg.ws  Thu Jan  3 10:09:53 2013
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Thu, 03 Jan 2013 10:09:53 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?postfix__virtual=5Falias-maps_?=
 =?iso-8859-1?q?in_SQL=2C_Wildcards_m=F6glich=3F?=
In-Reply-To: <a206afb7df1aebc453eda8f5deff6c18@ffm-it.dyndns.org>
References: <a206afb7df1aebc453eda8f5deff6c18@ffm-it.dyndns.org>
Message-ID: <50E54AE1.5050504@fuerstenberg.ws>

Hallo Gregor,

Am 03.01.2013 09:28, schrieb Gregor Burck:
> Postfix meckert aber bei einem
> SELECT emailaddress FROM egw_emailalias WHERE alias LIKE '%%s%'

hast du evtl. übersehen, dass Postfix in den Abfragen einige
Substitutionen vornimmt?
http://www.postfix.org/mysql_table.5.html

%%     This is replaced by a literal '%' character.

%s     This is replaced  by  the  input  key.   SQL
       quoting  is used to make sure that the input
       key does not add unexpected  metacharacters.

Ansonsten kann ich Werner nur zustimmen, dass du wenigstens mal die
Fehlermeldung nachreichst.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From p.heinlein at heinlein-support.de  Thu Jan  3 10:24:01 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 03 Jan 2013 10:24:01 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E52CCF.6070307@xunil.at>
References: <50E49E4D.8020507@xunil.at> <50E4B8FC.4090305@heinlein-support.de>
 <50E52CCF.6070307@xunil.at>
Message-ID: <50E54E31.8000106@heinlein-support.de>

Am 03.01.2013 08:01, schrieb Stefan G. Weichinger:

>> Das würde ich gerne sehen. Es fällt erstmal schwer vorzustellen, daß
>> lmtp von Cyrus nicht geht, imapd aber schon.
> 
> Das ging mir genauso ...

Naja, jetzt wo Du weitere Infos präsentiert hast, ist das schon
wesentlich leichter vorzustellen, bzw. geradezu offensichtlich.

Wie so häufig helfen Infos bei der Ursachenanalyse.

Das wichtigste scheint mir hier genau meine allererste Frage gewesen zu
sein:

>> a) Wo sind die Logzeilen, daß es mit Cyrus geht? Wird dort auch die
>> Mailadresse als Identifier genutzt oder ist das eine separate Login-Kennung?

> Das Login lautet zB oop3sefn, und so steht der username auch in der
> MySQL-DB.

Heißt: Du logst Dich nicht mit einer Mailadresse, sondern mit einem
Usernamen ein.

> Jan  2 15:53:24 postler lmtpunix[3469]: Delivered:
> <50E449F7.7090001 at pxxacher.at> to mailbox: user.oop4ofc

Auch hier wird die Mailadresse sauber in den Usernamen aufgelöst.

Leider fehlen hier NOCH IMMER relevante Informationen (d.h.: master.cf!)
so daß man nicht erkennen kann, wie Du den Cyrus-Deliver nun eingebunden
hast. Also kann man hier erstmal wenig weiterhelfen.

Ist aber vermutlich halbwegs egal, weil:

Es bleibt also dabei:

>> Die Frage, die du Dir stellen mußt ist alleine: Warum kommt Cyrus auf
>> die Idee, daß er oop3sefn at lichtfels.com nicht kennt.


> Ja, verstehe.
> Also, Hosen runter:

Hose*n*! Du hast nur "die" Hose runtergelassen und die Unterhose
anbehalten. Nix da!

*) Alle Configs (inkl. master.cf)
*) ALLES im Logfile (Du hast jetzt oben nur den lmtpunix gemailt aber
nicht das Umfeld dazu von Postfix).

>   imaps		cmd="imapd -C /etc/cyrus-imapd.conf -s" listen="imaps" prefork=2
>   lmtp		cmd="lmtpd -C /etc/cyrus-lmtpd.conf" listen="lmtp" prefork=1
>   lmtpunix	cmd="lmtpd" listen="/var/imap/socket/lmtp" prefork=0

Der lmtpd per TCP hat eine andere Config als der lmtpunix!

Der imap-Port hat eine andere Config, als der lmtpd per TCP!

> # cat cyrus-lmtpd.conf
> sasl_pwcheck_method: auxprop

Der lmtpd geht über auxprop...

> # cyrus-imapd.conf (ohne tls-Zeilen)
> sasl_pwcheck_method: saslauthd

Der imap geht über saslauthd.

Also wenn DAS nicht eine völlig unterschiedliche Konfiguration ist, dann
weiß auch auch nicht mehr weiter!

> # cat /etc/sasl2/smtpd.conf
> pwcheck_method: auxprop saslauthd

Und der geht perverserweise gleich über beides.

(Oh Mann, wie ich diese Cyrus-Klumpatschgeraffelgrütze hasse! Das ist
soooooooooo ein Schrott!!!).


Nachdem wir nun meine hellseherische Frage (a) geklärt haben, bleibt es
bei der hellseherischen Frage (b) und (d):

>> b) Wie ist die Authentifizierung geklärt? Werden dort Manipulationen an
>> der Login-Kennung gemacht? Wird hier Groß-/Kleinschreibung vergurkt oder
>> ggf. nicht repariert?

>> d) Wird hier vielleicht durch irgendeine Config-Änderung ein Teil der
>> Mailadresse im Authentifizierungsprozeß abgeschnitten? Wird das ganze
>> vielleicht ohne Domain (%n) durchgereicht?

Wir erinnern uns: Der lmtp-Socket geht ja über auxprop (und funktioniert
nicht) während der Rest über salsauthd geht (und funktioniert).

Ich vermute nach wie vor, daß er halt bei ersterem Weg die Mailadresse
nicht in die Loginkennung umgewandelt bekommt. Da liegt Dein Problem.
Aber mir fehlt gerade Zeit und Nerv mich jetzt richtig in das ganze
auxprop-pam-Geraffel einzudenken.

Außerdem hast Du nur pam-imap geschickt, man bräuchte hier aber mal
Informationen (!!!) und damit komplett die pam-Configs. Sorry, so kann
man nicht helfen!

Aber bemerkenswert ist ja nunmal doch, daß Du hier völlig
unterschiedliche Konfigurationen fährst. Wie wäre es mal mit einer
Vereinheitlichung? Dann würde es auch auf allen Ports gehen...

Übrigens: In der Zeit, wo Du Dich mit diesem Klumpatsch rumärgerst,
hättest Du das schon alles auf Dovecot umstellen können. Die ganze
Auth.Maschinerie von Cyrus ist echt Grütze.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From lists at xunil.at  Thu Jan  3 11:01:43 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Thu, 03 Jan 2013 11:01:43 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E54E31.8000106@heinlein-support.de>
References: <50E49E4D.8020507@xunil.at> <50E4B8FC.4090305@heinlein-support.de>
 <50E52CCF.6070307@xunil.at> <50E54E31.8000106@heinlein-support.de>
Message-ID: <50E55707.3040405@xunil.at>

Am 03.01.2013 10:24, schrieb Peer Heinlein:
> Am 03.01.2013 08:01, schrieb Stefan G. Weichinger:
> 
>>> Das würde ich gerne sehen. Es fällt erstmal schwer vorzustellen,
>>> daß lmtp von Cyrus nicht geht, imapd aber schon.
>> 
>> Das ging mir genauso ...
> 
> Naja, jetzt wo Du weitere Infos präsentiert hast, ist das schon 
> wesentlich leichter vorzustellen, bzw. geradezu offensichtlich.

Ist doch schon mal gut.

> Wie so häufig helfen Infos bei der Ursachenanalyse.

Natürlich, das ist mir völlig klar, ich wollte nur nicht von Anfang an
Kilometer an Logs und Configs hier rein pasten, wenn vielleicht einer
von Euch gleich ZACK sagt "da ist Dein Fehler".

> Das wichtigste scheint mir hier genau meine allererste Frage gewesen
> zu sein:
> 
>>> a) Wo sind die Logzeilen, daß es mit Cyrus geht? Wird dort auch
>>> die Mailadresse als Identifier genutzt oder ist das eine separate
>>> Login-Kennung?
> 
>> Das Login lautet zB oop3sefn, und so steht der username auch in
>> der MySQL-DB.
> 
> Heißt: Du logst Dich nicht mit einer Mailadresse, sondern mit einem 
> Usernamen ein.

Ja.

>> Jan  2 15:53:24 postler lmtpunix[3469]: Delivered: 
>> <50E449F7.7090001 at pxxacher.at> to mailbox: user.oop4ofc
> 
> Auch hier wird die Mailadresse sauber in den Usernamen aufgelöst.

> Leider fehlen hier NOCH IMMER relevante Informationen (d.h.:
> master.cf!) so daß man nicht erkennen kann, wie Du den Cyrus-Deliver
> nun eingebunden hast. Also kann man hier erstmal wenig weiterhelfen.

OK, hier master.cf

78.46.92.195:smtp      inet  n       -       n       -       20       smtpd
    -o cleanup_service_name=pre-cleanup
    -o myhostname=postler.lichtfels.com

[2a01:4f8:120:72e3::2]:smtp      inet  n       -       n       -
20       smtpd
    -o cleanup_service_name=pre-cleanup
    -o myhostname=postler.lichtfels.com

submission inet n       -       n       -       -       smtpd
    -o smtpd_etrn_restrictions=reject
    -o smtpd_sasl_type=cyrus
    #-o smtpd_sasl_path=private/auth
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_client_restrictions=permit_sasl_authenticated,reject
    -o smtpd_client_connection_rate_limit=50

pickup    fifo  n       -       n       60      1       pickup
    -o cleanup_service_name=pre-cleanup
#cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil

maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
uucp	  unix	-	n	n	-	-	pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
($recipient)

cyrus	  unix	-	n	n	-	-	pipe
  flags=R user=cyrus argv=/usr/lib64/cyrus/deliver -r ${sender} -m
${extension} ${user}

ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop
$recipient
  user=clamav argv=/usr/sbin/amavis ${sender} ${recipient}
spamfilter unix  -       n       n       -       -       pipe
  flags=Rq user=spamfilter argv=/usr/bin/postfixfilter -f ${sender} --
${recipient}
#procmail unix  -       n       n       -       -       pipe
#  user=mail argv=/usr/bin/procmail -t -m /etc/procmailrc USER=${user}
EXTENSION=${extension}

# amavisd-new START

## store first -BEGIN

smtp-amavis unix - - n - 2 lmtp
    -o lmtp_data_done_timeout=1800
    -o lmtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
    -o max_use=20

127.0.0.1:10025 inet n  -       n       -       -  smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_delay_reject=no
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o strict_rfc821_envelopes=yes
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0

# amavisd-new ENDE

scache	  unix	-	-	n	-	1	scache
discard	  unix	-	-	n	-	-	discard
tlsmgr    unix  -       -       n       1000?   1       tlsmgr

# maia-related stuff. sgw, aug-24-2005

# handle both the canonicalization and virtual_alias_maps later
# (this will provide content filter with largely unmodified addresses)
#
pre-cleanup  unix 	n	-	n	-	0	cleanup
    -o virtual_alias_maps=
    -o canonical_maps=
    -o sender_canonical_maps=
    -o recipient_canonical_maps=
    -o masquerade_domains=

# The following is the normal cleanup daemon. No header or body checks here,
# because these have already been taken care of by the pre-cleanup service
# before the content filter.  The normal cleanup instance does all
# the virtual alias and canonical address mapping that was disabled
# in the pre-cleanup instance before the content filter.
#
cleanup	unix	n	-	n	-	0	cleanup
    -o mime_header_checks=
    -o nested_header_checks=
    -o body_checks=
    -o header_checks=

# These are the usual input "smtpd" and local "pickup" servers already
# present in master.cf. We add an option to select a non-default
# cleanup service.
#
# DONE ALREADY UP THERE ... sgw
#
#smtp      inet  n       -       n       -       -       smtpd
#    -o cleanup_service_name=pre-cleanup
#pickup    fifo  n       -       n       60      1       pickup
#    -o cleanup_service_name=pre-cleanup


retry     unix  -       -       n       -       -       error

proxywrite unix -       -       n       -       1       proxymap

## 7.4.2010, sgw: dovecot
#
## Dovecot LDA
dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:mail argv=/usr/libexec/dovecot/deliver -d
${recipient}


Mir ist schon klar, daß hier ein gewachsenes Durcheinander herrscht ...!

dovecot hatte ich schon mal vorbereitet und dann wegen Zores beim
Siedeln der Datenbank und Sieve-Rules etc. gelassen.

> Hose*n*! Du hast nur "die" Hose runtergelassen und die Unterhose 
> anbehalten. Nix da!
> 
> *) Alle Configs (inkl. master.cf) *) ALLES im Logfile (Du hast jetzt
> oben nur den lmtpunix gemailt aber nicht das Umfeld dazu von
> Postfix).

Beispiel(e):

Jan  2 22:19:06 postler postfix/scache[25594]: statistics: start
interval Jan  2 22:17:04
Jan  2 22:19:06 postler postfix/scache[25594]: statistics: domain lookup
hits=1 miss=2 success=33%
Jan  2 22:19:06 postler postfix/scache[25594]: statistics: max
simultaneous domains=1 addresses=1 connection=2
Jan  2 22:19:43 postler postfix/postfix-script[25743]: stopping the
Postfix mail system
Jan  2 22:19:43 postler postfix/master[25214]: terminating on signal 15
Jan  2 22:19:43 postler postfix/postfix-script[25827]: starting the
Postfix mail system
Jan  2 22:19:43 postler postfix/master[25828]: daemon started -- version
2.9.5, configuration /etc/postfix
Jan  2 22:19:43 postler postfix/qmgr[25832]: 1F0CB123CA:
from=<gentoo-user+bounces-144117-lists=xunil.at at lists.gentoo.org>,
size=6126, nrcpt=1 (queue active)
Jan  2 22:19:43 postler postfix/qmgr[25832]: 3359F137C1:
from=<office at oops.co.at>, size=2704, nrcpt=1 (queue active)
Jan  2 22:19:43 postler postfix/qmgr[25832]: 3CB5B137BE:
from=<gentoo-user+bounces-144116-lists=xunil.at at lists.gentoo.org>,
size=4789, nrcpt=1 (queue active)
Jan  2 22:19:43 postler postfix/qmgr[25832]: 7BD2D123C8:
from=<office at oops.co.at>, size=2711, nrcpt=1 (queue active)
Jan  2 22:19:43 postler postfix/lmtp[25839]: 1F0CB123CA:
to=<xnl7lst at lichtfels.com>,
relay=postler.lichtfels.com[/var/spool/postfix/public/lmtp], delay=160,
delays=160/0.02/0.01/0.06, dsn=5.1.1, status=bounced (host
postler.lichtfels.com[/var/spool/postfix/public/lmtp] said: 550-Mailbox
unknown.  Either there is no mailbox associated with this 550-name or
you do not have authorization to see it. 550 5.1.1 User unknown (in
reply to RCPT TO command))
Jan  2 22:19:43 postler postfix/cleanup[25853]: F16EA137BD:
message-id=<20130102211943.F16EA137BD at postler.lichtfels.com>
Jan  2 22:19:44 postler postfix/lmtp[25841]: 3359F137C1:
to=<oop3sefn at lichtfels.com>,
relay=postler.lichtfels.com[/var/spool/postfix/public/lmtp], delay=160,
delays=160/0.01/0.02/0.07, dsn=5.1.1, status=bounced (host
postler.lichtfels.com[/var/spool/postfix/public/lmtp] said: 550-Mailbox
unknown.  Either there is no mailbox associated with this 550-name or
you do not have authorization to see it. 550 5.1.1 User unknown (in
reply to RCPT TO command))
Jan  2 22:19:44 postler postfix/lmtp[25845]: 3CB5B137BE:
to=<xnl7lst at lichtfels.com>,
relay=postler.lichtfels.com[/var/spool/postfix/public/lmtp], delay=158,
delays=158/0.02/0.02/0.06, dsn=5.1.1, status=bounced (host
postler.lichtfels.com[/var/spool/postfix/public/lmtp] said: 550-Mailbox
unknown.  Either there is no mailbox associated with this 550-name or
you do not have authorization to see it. 550 5.1.1 User unknown (in
reply to RCPT TO command))
Jan  2 22:19:44 postler postfix/cleanup[25855]: 038BC137BF:
message-id=<20130102211944.038BC137BF at postler.lichtfels.com>
Jan  2 22:19:44 postler postfix/qmgr[25832]: F16EA137BD: from=<>,
size=8469, nrcpt=1 (queue active)
Jan  2 22:19:44 postler postfix/bounce[25843]: 1F0CB123CA: sender
non-delivery notification: F16EA137BD
Jan  2 22:19:44 postler postfix/lmtp[25848]: 7BD2D123C8:
to=<oop3sefn at lichtfels.com>,
relay=postler.lichtfels.com[/var/spool/postfix/public/lmtp], delay=157,
delays=156/0.03/0.02/0.07, dsn=5.1.1, status=bounced (host
postler.lichtfels.com[/var/spool/postfix/public/lmtp] said: 550-Mailbox
unknown.  Either there is no mailbox associated with this 550-name or
you do not have authorization to see it. 550 5.1.1 User unknown (in
reply to RCPT TO command))
Jan  2 22:19:44 postler postfix/cleanup[25856]: 05936137C0:
message-id=<20130102211944.05936137C0 at postler.lichtfels.com>
Jan  2 22:19:44 postler postfix/qmgr[25832]: 1F0CB123CA: removed
Jan  2 22:19:44 postler postfix/qmgr[25832]: 038BC137BF: from=<>,
size=5293, nrcpt=1 (queue active)
Jan  2 22:19:44 postler postfix/cleanup[25853]: 07E63123CA:
message-id=<20130102211944.07E63123CA at postler.lichtfels.com>
Jan  2 22:19:44 postler postfix/qmgr[25832]: 05936137C0: from=<>,
size=7132, nrcpt=1 (queue active)
Jan  2 22:19:44 postler postfix/bounce[25850]: 3359F137C1: sender
non-delivery notification: 038BC137BF
Jan  2 22:19:44 postler postfix/qmgr[25832]: 3359F137C1: removed
Jan  2 22:19:44 postler postfix/qmgr[25832]: 07E63123CA: from=<>,
size=5300, nrcpt=1 (queue active)
Jan  2 22:19:44 postler postfix/bounce[25847]: 3CB5B137BE: sender
non-delivery notification: 05936137C0
Jan  2 22:19:44 postler postfix/lmtp[25839]: 038BC137BF:
to=<oop4ofc at lichtfels.com>, orig_to=<office at oops.co.at>,
relay=postler.lichtfels.com[/var/spool/postfix/public/lmtp], delay=0.15,
delays=0.02/0/0/0.13, dsn=5.1.1, status=bounced (host
postler.lichtfels.com[/var/spool/postfix/public/lmtp] said: 550-Mailbox
unknown.  Either there is no mailbox associated with this 550-name or
you do not have authorization to see it. 550 5.1.1 User unknown (in
reply to RCPT TO command))
Jan  2 22:19:44 postler postfix/qmgr[25832]: 3CB5B137BE: removed
Jan  2 22:19:44 postler postfix/qmgr[25832]: 038BC137BF: removed

Der lmtpunix von cyrus geht/ging nach /var/log/messages.


Jan  2 22:06:29 postler lmtp[24484]: login: neo.lichtfels.com
[88.198.20.148] lmtpuser DIGEST-MD5 User logged in
Jan  2 22:06:29 postler lmtp[24745]: login: neo.lichtfels.com
[88.198.20.148] lmtpuser DIGEST-MD5 User logged in
Jan  2 22:06:34 postler lmtp[24746]: login: neo.lichtfels.com
[88.198.20.148] lmtpuser DIGEST-MD5 User logged in
Jan  2 22:11:01 postler lmtp[25110]: skiplist: checkpointed
/var/imap/deliver.db (19339 records, 2817976 bytes) in 0 seconds
Jan  2 22:11:01 postler lmtp[25105]: skiplist: checkpointed
/var/imap/statuscache.db (0 records, 144 bytes) in 0 seconds
Jan  2 22:19:37 postler lmtp[25716]: skiplist: checkpointed
/var/imap/deliver.db (19339 records, 2817976 bytes) in 0 seconds
Jan  2 22:19:37 postler lmtpunix[25717]: skiplist: checkpointed
/var/imap/statuscache.db (0 records, 144 bytes) in 0 seconds
Jan  2 22:21:29 postler lmtp[25716]: login: neo.lichtfels.com
[88.198.20.148] lmtpuser DIGEST-MD5 User logged in
Jan  2 22:22:25 postler lmtp[26073]: skiplist: checkpointed
/var/imap/deliver.db (19339 records, 2817976 bytes) in 0 seconds
Jan  2 22:22:25 postler lmtpunix[26068]: skiplist: checkpointed
/var/imap/statuscache.db (0 records, 144 bytes) in 0 seconds
Jan  2 22:37:59 postler lmtp[26816]: skiplist: checkpointed
/var/imap/deliver.db (19339 records, 2817976 bytes) in 0 seconds
Jan  2 22:37:59 postler lmtp[26810]: skiplist: checkpointed
/var/imap/statuscache.db (0 records, 144 bytes) in 0 seconds


Nix zu sehen davon um 22:19h ...


>> imaps		cmd="imapd -C /etc/cyrus-imapd.conf -s" listen="imaps"
>> prefork=2 lmtp		cmd="lmtpd -C /etc/cyrus-lmtpd.conf" listen="lmtp"
>> prefork=1 lmtpunix	cmd="lmtpd" listen="/var/imap/socket/lmtp"
>> prefork=0
> 
> Der lmtpd per TCP hat eine andere Config als der lmtpunix!

Also ist für mein gestriges Problem auch gar nicht die
/etc/cyrus-lmtpd.conf verantwortlich gewesen ... und damit auch nicht
auxprop .. (meine Logik ..) ?

> Der imap-Port hat eine andere Config, als der lmtpd per TCP!

Ja, verstehe ich.

>> # cat cyrus-lmtpd.conf sasl_pwcheck_method: auxprop
> 
> Der lmtpd geht über auxprop...
> 
>> # cyrus-imapd.conf (ohne tls-Zeilen) sasl_pwcheck_method:
>> saslauthd
> 
> Der imap geht über saslauthd.
> 
> Also wenn DAS nicht eine völlig unterschiedliche Konfiguration ist,
> dann weiß auch auch nicht mehr weiter!
> 
>> # cat /etc/sasl2/smtpd.conf pwcheck_method: auxprop saslauthd
> 
> Und der geht perverserweise gleich über beides.
> 
> (Oh Mann, wie ich diese Cyrus-Klumpatschgeraffelgrütze hasse! Das
> ist soooooooooo ein Schrott!!!).

Das sehe ich genau so!

Nicht zuletzt deswegen ist das alles so ein MischMasch, weil ich es
damals eben so und nicht anders zum Laufen bekam. Und an und für sich
tat das eben auch OK so bis gestern!

> Nachdem wir nun meine hellseherische Frage (a) geklärt haben, bleibt
> es bei der hellseherischen Frage (b) und (d):
> 
>>> b) Wie ist die Authentifizierung geklärt? Werden dort
>>> Manipulationen an der Login-Kennung gemacht? Wird hier
>>> Groß-/Kleinschreibung vergurkt oder ggf. nicht repariert?
> 
>>> d) Wird hier vielleicht durch irgendeine Config-Änderung ein Teil
>>> der Mailadresse im Authentifizierungsprozeß abgeschnitten? Wird
>>> das ganze vielleicht ohne Domain (%n) durchgereicht?
> 
> Wir erinnern uns: Der lmtp-Socket geht ja über auxprop (und
> funktioniert nicht) während der Rest über salsauthd geht (und
> funktioniert).
> 
> Ich vermute nach wie vor, daß er halt bei ersterem Weg die
> Mailadresse nicht in die Loginkennung umgewandelt bekommt. Da liegt
> Dein Problem. Aber mir fehlt gerade Zeit und Nerv mich jetzt richtig
> in das ganze auxprop-pam-Geraffel einzudenken.

Verstehe ich gut.

Wäre es ein Ansatz, den lmtp-Socket analog zum IMAP auch an saslauthd zu
hängen?

Den Fallback zum jetzigen deliver-Setup habe ich ja in petto.

> Außerdem hast Du nur pam-imap geschickt, man bräuchte hier aber mal 
> Informationen (!!!) und damit komplett die pam-Configs. Sorry, so
> kann man nicht helfen!

Ich bemühe mich ja ... welche pam-files sind relevant? ein lmtp gibt es
dort nicht.

-rw-r--r-- 2 root root  844 Mar 13  2012 imap
lrwxrwxrwx 1 root root    4 Feb 12  2009 imap4 -> imap
lrwxrwxrwx 1 root root    4 Feb 12  2009 imap4s -> imap
lrwxrwxrwx 1 root root    4 Feb 12  2009 imaps -> imap
-rw-r--r-- 2 root root  844 Mar 13  2012 pop
lrwxrwxrwx 1 root root    3 Feb 12  2009 pop3 -> pop
lrwxrwxrwx 1 root root    3 Feb 12  2009 pop3s -> pop
lrwxrwxrwx 1 root root    3 Feb 12  2009 pops -> pop
-rw-r--r-- 1 root root  160 Jan  2 21:12 saslauthd

# diff imap pop
#

(imap hatte ich schon gepostet ...)

# cat smtp
auth sufficient pam_mysql.so user=postfix passwd=*** host=127.0.0.1:3306
db=mail table=accountuser usercolumn=username passwdcolumn=password
crypt=1 logtable=log logmsgcolumn=msg logusercolumn=user
loghostcolumn=host logpidcolumn=pid logtimecolumn=time
account required pam_mysql.so user=postfix passwd=***
host=127.0.0.1:3306 db=mail table=accountuser usercolumn=username
passwdcolumn=password crypt=1 logtable=log logmsgcolumn=msg
logusercolumn=user loghostcolumn=host logpidcolumn=pid logtimecolumn=time

# cat saslauthd
#%PAM-1.0

auth       required     pam_nologin.so
auth       include      system-auth
account    include      system-auth
session    include      system-auth

> Aber bemerkenswert ist ja nunmal doch, daß Du hier völlig 
> unterschiedliche Konfigurationen fährst. Wie wäre es mal mit einer 
> Vereinheitlichung? Dann würde es auch auf allen Ports gehen...

Ich bin dazu gerne bereit, deswegen stelle ich ja hier meine Fragen,
weil ich es alleine nicht mehr überblicke.

> Übrigens: In der Zeit, wo Du Dich mit diesem Klumpatsch rumärgerst, 
> hättest Du das schon alles auf Dovecot umstellen können. Die ganze 
> Auth.Maschinerie von Cyrus ist echt Grütze.

Yep.

Mir ist das einfach zu haarig ... daher mein defensives Vorgehen.

Stefan


From gregor at aeppelbroe.de  Thu Jan  3 12:13:53 2013
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Thu, 3 Jan 2013 12:13:53 +0100
Subject: [Postfixbuch-users]
 =?utf-8?q?postfix__virtual=5Falias-maps_in_SQ?=
 =?utf-8?q?L=2C_Wildcards_m=C3=B6glich=3F?=
In-Reply-To: <50E54AE1.5050504@fuerstenberg.ws>
Message-ID: <654d3daf98955836f12d9318cc1c3326@ffm-it.dyndns.org>

> %% This is replaced by a literal '%' character.
> 
> %s This is replaced by the input key. SQL
> quoting is used to make sure that the input
> key does not add unexpected metacharacters.
Danke das bringt mich schon mal ein wenig weiter.
> Ansonsten kann ich Werner nur zustimmen, dass du wenigstens mal die
> Fehlermeldung nachreichst.
Postfix bringt dann ein: (User unknown in virtual alias table)

Aber müsste dann ein '%%%s%%' in der Abfrage nicht ein '%user at domain.de %' bringen?
Dafür bekomme ich per mysql die gewünschte Ergebnisse,...

Wie kann ich postfix sagen, dass er die relevante SQL Abfrage zusätzlich anzeigt?
Wenn ein Fehler in der Abfrage ist, landet die fehlerhafte Abfrage ja auch im logfile,...

Grüße

Gregor
-- 





From p.heinlein at heinlein-support.de  Thu Jan  3 12:25:13 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 03 Jan 2013 12:25:13 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E55707.3040405@xunil.at>
References: <50E49E4D.8020507@xunil.at> <50E4B8FC.4090305@heinlein-support.de>
 <50E52CCF.6070307@xunil.at> <50E54E31.8000106@heinlein-support.de>
 <50E55707.3040405@xunil.at>
Message-ID: <50E56A99.6080301@heinlein-support.de>

Am 03.01.2013 11:01, schrieb Stefan G. Weichinger:

Hi Stefan,

hier brennt gerade noch etwas die Luft und ich muß mich erstmal um
anderes kümmern.

Wenn es über deliver läuft, dann ist doch auch gut. Prinzipiell spricht
da nichts dagegen. Deliver oder LMTP ist zunächst nur eine
Performance-Frage und solange Du da keine Schwierigkeiten hast, kann Dir
eine Auslieferung über deliver auch recht sein.

> Natürlich, das ist mir völlig klar, ich wollte nur nicht von Anfang an
> Kilometer an Logs und Configs hier rein pasten, wenn vielleicht einer
> von Euch gleich ZACK sagt "da ist Dein Fehler".

Genau andersrum.

WENN du alles reinpastest, DANN sagt jemand "ZACK da ist Dein Fehler".

> cyrus	  unix	-	n	n	-	-	pipe
>   flags=R user=cyrus argv=/usr/lib64/cyrus/deliver -r ${sender} -m
> ${extension} ${user}

...und siehe da, auch hier bestätigt sich: Du rufst den Deliver nicht
mit einer Mailadresse auf, sondern auch hier wird nur der Localpart
($user alias %n) genutzt.

Also bleibt's bei der Diagnose: Dein System kann bei LMTP keine
Mailadressen zu Usernamen wandeln. Pipe an Deliver geht deshalb, weil
Postfix das hier bereits abschneidet, was er bei LMTP nicht tut.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From kai_postfix at fuerstenberg.ws  Thu Jan  3 12:59:14 2013
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Thu, 03 Jan 2013 12:59:14 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?postfix__virtual=5Falias-maps_?=
 =?iso-8859-1?q?in_SQL=2C_Wildcards_m=F6glich=3F?=
In-Reply-To: <654d3daf98955836f12d9318cc1c3326@ffm-it.dyndns.org>
References: <654d3daf98955836f12d9318cc1c3326@ffm-it.dyndns.org>
Message-ID: <50E57292.9060504@fuerstenberg.ws>

Am 03.01.2013 12:13, schrieb Gregor Burck:
>> %% This is replaced by a literal '%' character.
>>
>> %s This is replaced by the input key. SQL
>> quoting is used to make sure that the input
>> key does not add unexpected metacharacters.
> Danke das bringt mich schon mal ein wenig weiter.
>> Ansonsten kann ich Werner nur zustimmen, dass du wenigstens mal die
>> Fehlermeldung nachreichst.
> Postfix bringt dann ein: (User unknown in virtual alias table)
> 
> Aber müsste dann ein '%%%s%%' in der Abfrage nicht ein '%user at domain.de %' bringen?
> Dafür bekomme ich per mysql die gewünschte Ergebnisse,...

Warum benutzt du "LIKE" und nicht ein einfaches "="?

Wenn du die Aliase alle hintereinander haben möchtest, kannst du mit
GROUP_CONCAT arbeiten:

SELECT GROUP_CONCAT(`emailaddress`) FROM `egw_emailalias` WHERE
`alias`='%s';

Durch deine bisherige einfache SELECT Abfrage bekommst du eine große
Liste mit allen möglichen Adressen, die zu dem Alias hinterlegt sind.
Postfix kann hier aber nur mit einem einzigen Eintrag etwas anfangen.
Daher das GROUP_CONCAT, das alle Einträge hintereinander in ein einziges
Ergebnisfeld schreibt.

> Wie kann ich postfix sagen, dass er die relevante SQL Abfrage zusätzlich anzeigt?

Postfix loggt die Abfrage im Verbose-Mode. Oder du sagst deinem
SQL-Server, dass er loggen soll, das dürfte einfacher sein.

> Wenn ein Fehler in der Abfrage ist, landet die fehlerhafte Abfrage ja auch im logfile,...


-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From lists at xunil.at  Thu Jan  3 12:59:37 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Thu, 03 Jan 2013 12:59:37 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E56A99.6080301@heinlein-support.de>
References: <50E49E4D.8020507@xunil.at> <50E4B8FC.4090305@heinlein-support.de>
 <50E52CCF.6070307@xunil.at> <50E54E31.8000106@heinlein-support.de>
 <50E55707.3040405@xunil.at> <50E56A99.6080301@heinlein-support.de>
Message-ID: <50E572A9.40902@xunil.at>

Am 03.01.2013 12:25, schrieb Peer Heinlein:
> Am 03.01.2013 11:01, schrieb Stefan G. Weichinger:
> 
> Hi Stefan,
> 
> hier brennt gerade noch etwas die Luft und ich muß mich erstmal um
> anderes kümmern.

Verstehe ich völlig, mir geht es hier ähnlich.
Danke dennoch für Deine Hilfestellung.

> Wenn es über deliver läuft, dann ist doch auch gut. Prinzipiell spricht
> da nichts dagegen. Deliver oder LMTP ist zunächst nur eine
> Performance-Frage und solange Du da keine Schwierigkeiten hast, kann Dir
> eine Auslieferung über deliver auch recht sein.

Gut, dann lasse ich das vorerst so, und kläre das LMTP-Thema später ...

>> Natürlich, das ist mir völlig klar, ich wollte nur nicht von Anfang an
>> Kilometer an Logs und Configs hier rein pasten, wenn vielleicht einer
>> von Euch gleich ZACK sagt "da ist Dein Fehler".
> 
> Genau andersrum.
> 
> WENN du alles reinpastest, DANN sagt jemand "ZACK da ist Dein Fehler".

OK, ich lerne.

>> cyrus	  unix	-	n	n	-	-	pipe
>>   flags=R user=cyrus argv=/usr/lib64/cyrus/deliver -r ${sender} -m
>> ${extension} ${user}
> 
> ...und siehe da, auch hier bestätigt sich: Du rufst den Deliver nicht
> mit einer Mailadresse auf, sondern auch hier wird nur der Localpart
> ($user alias %n) genutzt.
> 
> Also bleibt's bei der Diagnose: Dein System kann bei LMTP keine
> Mailadressen zu Usernamen wandeln. Pipe an Deliver geht deshalb, weil
> Postfix das hier bereits abschneidet, was er bei LMTP nicht tut.

Gut, soweit verstehe ich das.

Wodurch sich das gestern geändert haben soll, ist mir nach wie vor
schleierhaft, aber anyway, es muß bereinigt werden.

Ich denke, ich konfiguriere mir mal einen extra-Transport für zB eine
Adresse oder Domain und setze die mal auf den lmtp, den ich dann
entsprechend anpasse (step by step, ohne alle Kunden zu betreffen)

Danke nochmals soweit, ich verabschiede mich dann mal kurz in einen
Nachmittag ohne Server ...

Stefan



From lists at xunil.at  Fri Jan  4 22:39:48 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Fri, 04 Jan 2013 22:39:48 +0100
Subject: [Postfixbuch-users] cyrus lmtp:
In-Reply-To: <50E572A9.40902@xunil.at>
References: <50E49E4D.8020507@xunil.at> <50E4B8FC.4090305@heinlein-support.de>
 <50E52CCF.6070307@xunil.at> <50E54E31.8000106@heinlein-support.de>
 <50E55707.3040405@xunil.at> <50E56A99.6080301@heinlein-support.de>
 <50E572A9.40902@xunil.at>
Message-ID: <50E74C24.80401@xunil.at>

Am 03.01.2013 12:59, schrieb Stefan G. Weichinger:
> Ich denke, ich konfiguriere mir mal einen extra-Transport für zB eine
> Adresse oder Domain und setze die mal auf den lmtp, den ich dann
> entsprechend anpasse (step by step, ohne alle Kunden zu betreffen)

So, ich denke, ich habe es jetzt ausreichend bereinigt.

Die special-config für den Socket-LMTP habe ich rausgeworfen, jetzt hört
der cyrus-lmtpd auf

# for partner servers via TCP/IP (?)
lmtp          cmd="lmtpd -C /etc/cyrus-lmtpd.conf" listen="lmtp" prefork=1

# for local postfix via socket
lmtpunix      cmd="lmtpd" listen="/var/spool/postfix/public/lmtp" prefork=1

# for local postfix via deliver-transport
lmtpunix      cmd="lmtpd" listen="/var/imap/socket/lmtp" prefork=0

Den 2. lmtpd kann ich mir jetzt vorerst wohl ersparen, wenn postfix das
hier einsetzt:

# postconf mailbox_transport
mailbox_transport = lmtp:unix:/var/spool/postfix/public/lmtp

Korrekt?

Derzeit funktioniert sowohl die Einlieferung vom entfernten
Partner-Server über TCP/IP als auch die vom lokalen Postfix.

Gut so.

-

Die special config für den TCP/IP-lmptd sehe ich mir noch an, soweit ich
verstehe, kann/sollte ich den auch noch an saslauthd hängen. Wobei es da
bloß darum geht, daß derzeit ein einzelner Partner-Server über LMTP
einliefern kann ... und das tut, also ...

Oder?

btw: alten Thread mit mir gefunden dazu ...

http://listi.jpberlin.de/pipermail/postfixbuch-users/2006-August/027118.html

;-)

Danke, Grüße, Stefan


From atann at alphasrv.net  Mon Jan  7 10:13:55 2013
From: atann at alphasrv.net (Andre Tann)
Date: Mon, 7 Jan 2013 10:13:55 +0100
Subject: [Postfixbuch-users] =?windows-1252?q?Eingehende_Mails_von_Google_?=
	=?windows-1252?q?verz=F6gert?=
Message-ID: <201301071013.55557@inter.netz>

Servus zusammen,

in letzter Zeit beobachte ich immer wieder, daß Mails, die von einem
Google-Account losgeschickt wurden, erst mit größerer Verzögerung
zugestellt werden, bis zu mehreren Stunden geht das.

Das liegt aber nicht an Greylisting oder postscreen oder sowas, sondern
ich sehe in den Logs überhaupt keinen Verbindungsversuch von Google.
Vielmehr sieht es für mich so aus, als würde Google die Mail zunächst
einfach nicht verarbeiten.

Kann das jemand bestätigen? Was ist die Ursache, kann man was dagegen
tun?


-- 
Andre Tann



From max at grobecker-wtal.de  Mon Jan  7 19:09:41 2013
From: max at grobecker-wtal.de (Maximilian Grobecker)
Date: Mon, 07 Jan 2013 19:09:41 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Eingehende_Mails_von_Google_ve?=
 =?iso-8859-1?q?rz=F6gert?=
In-Reply-To: <201301071013.55557@inter.netz>
References: <201301071013.55557@inter.netz>
Message-ID: <50EB0F65.1040100@grobecker-wtal.de>

Hi,

das kann ich so nicht bestätigen - vor ein paar Minuten kam eine Mail
von Googlemail bei mir an, die laut den Headern nur ein paar Sekunden
unterwegs war.

Hast du eventuell mehrere MX-Records und bei einem dieser Server klemmt
es momentan?



Viele Grüße aus dem Tal

Max Grobecker



Am 07.01.2013 10:13, schrieb Andre Tann:
> Servus zusammen,
> 
> in letzter Zeit beobachte ich immer wieder, daß Mails, die von einem
> Google-Account losgeschickt wurden, erst mit größerer Verzögerung
> zugestellt werden, bis zu mehreren Stunden geht das.
> 
> Das liegt aber nicht an Greylisting oder postscreen oder sowas, sondern
> ich sehe in den Logs überhaupt keinen Verbindungsversuch von Google.
> Vielmehr sieht es für mich so aus, als würde Google die Mail zunächst
> einfach nicht verarbeiten.
> 
> Kann das jemand bestätigen? Was ist die Ursache, kann man was dagegen
> tun?
> 
> 


From atann at alphasrv.net  Mon Jan  7 19:25:34 2013
From: atann at alphasrv.net (Andre Tann)
Date: Mon, 7 Jan 2013 19:25:34 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Eingehende_Mails_von_Google_?=
 =?windows-1252?q?verz=F6gert?=
In-Reply-To: <50EB0F65.1040100@grobecker-wtal.de>
References: <201301071013.55557@inter.netz>
 <50EB0F65.1040100@grobecker-wtal.de>
Message-ID: <201301071925.34777@inter.netz>

Maximilian Grobecker, Montag, 7. Januar 2013: 

> das kann ich so nicht bestätigen - vor ein paar Minuten kam eine Mail
> von Googlemail bei mir an, die laut den Headern nur ein paar Sekunden
> unterwegs war.
> 
> Hast du eventuell mehrere MX-Records und bei einem dieser Server klemmt
> es momentan?

Ich hab nur zwei, und ich hab die Logs auf beiden offen. Ich seh
schlicht keinen Connect. Das ist sehr komisch? Eine Mail ist schon seit
Stunden fällig. Die geht einfach nicht durch.

-- 
Andre Tann



From p.heinlein at heinlein-support.de  Tue Jan  8 10:27:55 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 08 Jan 2013 10:27:55 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Eingehende_Mails_von_Google_?=
 =?windows-1252?q?verz=F6gert?=
In-Reply-To: <201301071925.34777@inter.netz>
References: <201301071013.55557@inter.netz>
 <50EB0F65.1040100@grobecker-wtal.de> <201301071925.34777@inter.netz>
Message-ID: <50EBE69B.2000707@heinlein-support.de>

Am 07.01.2013 19:25, schrieb Andre Tann:

> Ich hab nur zwei, und ich hab die Logs auf beiden offen. Ich seh
> schlicht keinen Connect. Das ist sehr komisch? Eine Mail ist schon seit
> Stunden fällig. Die geht einfach nicht durch.

Hast Du die maximale Anzahl von smtpds erreicht (Default=100)?

Was sagt "ps ax | grep smtpd | wc -l"?

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From atann at alphasrv.net  Tue Jan  8 11:53:39 2013
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 8 Jan 2013 11:53:39 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Eingehende_Mails_von_Google_?=
 =?windows-1252?q?verz=F6gert?=
In-Reply-To: <50EBE69B.2000707@heinlein-support.de>
References: <201301071013.55557@inter.netz> <201301071925.34777@inter.netz>
 <50EBE69B.2000707@heinlein-support.de>
Message-ID: <201301081153.39553@inter.netz>

Peer Heinlein, Dienstag, 8. Januar 2013: 

> Hast Du die maximale Anzahl von smtpds erreicht (Default=100)?
> 
> Was sagt "ps ax | grep smtpd | wc -l"?

Grad vor fünf Minuten hab ich einen weiteren Hinweis bekommen:

  > Delivery to the following recipient has been delayed:
  > 
  >   atann at alphasrv.net
  > 
  > Message will be retried for 2 more day(s)
  > 
  > Technical details of temporary failure: 
  > DNS Error: Domain name not found


Das ist natürlich Schwachsinn. Aber vielleicht kommt das Problem daher,
daß ich nicht die Google-Eigene Adresse als Absender verwendet habe,
sondern ebenfalls atann at alphasrv.net. Das kann man bei Google ja machen,
daß man eine Adresse verifiziert, und dann unter dieser schreibt.

Mit anderen Worten: Absender- und Empfängeradresse waren beide gleich,
und so funktionierts nicht.

Nehme ich dagegen die @googlemail.com-Adresse als Absender, dann gehts
sofort. Ich gehe also davon aus, daß Google da irgendwo Mist bei sich
im DNS hat, bzw. daß Google will, daß die MXe von Fremddomänen auf sich
selbst zeigen. Was weiß ich, irgendwas ist da jedenfalls matschig bei
denen.

-- 
Andre Tann



From r.lemmermann at tcu.de  Tue Jan  8 12:24:07 2013
From: r.lemmermann at tcu.de (R. Lemmermann - intern)
Date: Tue, 08 Jan 2013 12:24:07 +0100
Subject: [Postfixbuch-users] OT: Cyrus frage zu Parameter unixhierarchysep
Message-ID: <50EC01D7.3070604@tcu.de>

Tach Gemeinde

Wir betreiben seit längerem einen cyrus-Imap-Server.
Nun muss ich eine User mit "." in der Kennung anlegen.
Bis jetzt war den Parameter "unixhierarchysep" auf seinem default-wert "no".
Also konnten keine Namen mit Punkt angelegt werden.

Was passiert mit den vorhanden Mailboxen/Mails wenn ich nun in der 
laufenden Konfiguration den "unixhierarchysep" auf "yes" setze?

Hat das nur auswirkung auf die Verwaltungstools oder gehen 
schlimmstenfalls alle Mails den Bach runter?

Ich traue mich nicht den Schalter im laufenden System umzulegen.
-- 
MfG
R.Lemmermann, EDV


From klaus at tachtler.net  Tue Jan  8 13:02:10 2013
From: klaus at tachtler.net (Klaus Tachtler)
Date: Tue, 08 Jan 2013 13:02:10 +0100
Subject: [Postfixbuch-users] OT: Cyrus frage zu Parameter
 unixhierarchysep
In-Reply-To: <50EC01D7.3070604@tcu.de>
References: <50EC01D7.3070604@tcu.de>
Message-ID: <20130108130210.Horde.xba8d6TeyfkB1pVgzdhhwA2@buero.tachtler.net>

Hallo,

> Wir betreiben seit längerem einen cyrus-Imap-Server.
> Nun muss ich eine User mit "." in der Kennung anlegen.
> Bis jetzt war den Parameter "unixhierarchysep" auf seinem default-wert "no".
> Also konnten keine Namen mit Punkt angelegt werden.
>
> Was passiert mit den vorhanden Mailboxen/Mails wenn ich nun in der  
> laufenden Konfiguration den "unixhierarchysep" auf "yes" setze?

http://lmgtfy.com/?q=cyrus+unixhierarchysep

bzw. http://www.kai-hildebrandt.de/linux/maildienste.html

Zitat: Als Trennzeichen für Unterordner wird hier der Punkt (.)  
benutzt. Das ist eine spezielle Einstellung von Cyrus  
(unixhierarchysep: no). Ist sie auf "yes" gesetzt, gilt als  
Trennzeichen der Querstrich (/) und in Ordnernamen dürfen dann auch  
Punkte vorkommen, die aber intern als ^ umgesetzt werden.

Hast Du den schon Benutzernamen mit einem . (Punkt) im Namen - ich  
entnehme Deiner Beschreibung eher nicht, also was soll passieren?

Ich habe schon immer in meiner cyrus Konfiguration: unixhierarchysep:  
1 (yes) - ich habe allerdings auch keine Benutzernamen mit einem .  
(Punkt) in der Bezeichnung.

Nun, hast Du den kein Test-System?

Grüße
Klaus.


--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From max at freecards.de  Tue Jan  8 13:13:05 2013
From: max at freecards.de (Markus Heinze)
Date: Tue, 08 Jan 2013 13:13:05 +0100
Subject: [Postfixbuch-users] =?utf-8?q?Eingehende_Mails_von_Google_verz?=
 =?utf-8?b?w7ZnZXJ0?=
In-Reply-To: <201301081153.39553@inter.netz>
References: <201301071013.55557@inter.netz> <201301071925.34777@inter.netz>
 <50EBE69B.2000707@heinlein-support.de> <201301081153.39553@inter.netz>
Message-ID: <69898c4cffd626c6cf31f90f5cccee81@freecards.de>

Moin moin,

Am 2013-01-08 11:53, schrieb Andre Tann:
> Peer Heinlein, Dienstag, 8. Januar 2013:
>
>> Hast Du die maximale Anzahl von smtpds erreicht (Default=100)?
>>
>> Was sagt "ps ax | grep smtpd | wc -l"?
>
> Grad vor fünf Minuten hab ich einen weiteren Hinweis bekommen:
>
>   > Delivery to the following recipient has been delayed:
>   >
>   >   atann at alphasrv.net
>   >
>   > Message will be retried for 2 more day(s)
>   >
>   > Technical details of temporary failure:
>   > DNS Error: Domain name not found
>
>
> Das ist natürlich Schwachsinn. Aber vielleicht kommt das Problem 
> daher,
> daß ich nicht die Google-Eigene Adresse als Absender verwendet habe,
> sondern ebenfalls atann at alphasrv.net. Das kann man bei Google ja 
> machen,
> daß man eine Adresse verifiziert, und dann unter dieser schreibt.
>
möglicherweise ein SPF Record für die Domain gesetzt ??

> Mit anderen Worten: Absender- und Empfängeradresse waren beide 
> gleich,
> und so funktionierts nicht.
>
> Nehme ich dagegen die @googlemail.com-Adresse als Absender, dann 
> gehts
> sofort. Ich gehe also davon aus, daß Google da irgendwo Mist bei sich
> im DNS hat, bzw. daß Google will, daß die MXe von Fremddomänen auf 
> sich
> selbst zeigen. Was weiß ich, irgendwas ist da jedenfalls matschig bei
> denen.
>
> --
> Andre Tann

lg max


From atann at alphasrv.net  Tue Jan  8 14:09:26 2013
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 8 Jan 2013 14:09:26 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Eingehende_Mails_von_Google_?=
 =?windows-1252?q?verz=F6gert?=
In-Reply-To: <69898c4cffd626c6cf31f90f5cccee81@freecards.de>
References: <201301071013.55557@inter.netz> <201301081153.39553@inter.netz>
 <69898c4cffd626c6cf31f90f5cccee81@freecards.de>
Message-ID: <201301081409.26759@inter.netz>

Markus Heinze, Dienstag, 8. Januar 2013: 

> möglicherweise ein SPF Record für die Domain gesetzt ??

Nicht daß ich wüßte:


$ dig alphasrv.net mx

; <<>> DiG 9.7.3 <<>> alphasrv.net mx
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27621
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 2

;; QUESTION SECTION:
;alphasrv.net.                  IN      MX

;; ANSWER SECTION:
alphasrv.net.           7200    IN      MX      20 mx-b.alphasrv.net.
alphasrv.net.           7200    IN      MX      10 mx-a.alphasrv.net.

;; AUTHORITY SECTION:
alphasrv.net.           6950    IN      NS      ns1.your-server.de.
alphasrv.net.           6950    IN      NS      ns.second-ns.com.
alphasrv.net.           6950    IN      NS      ns3.second-ns.de.

;; ADDITIONAL SECTION:
mx-b.alphasrv.net.      600     IN      A       176.9.72.17
mx-a.alphasrv.net.      600     IN      A       46.4.32.135

;; Query time: 43 msec
;; SERVER: 192.168.18.254#53(192.168.18.254)
;; WHEN: Tue Jan  8 14:08:55 2013
;; MSG SIZE  rcvd: 194


-- 
Andre Tann



From r.lemmermann at tcu.de  Tue Jan  8 15:06:42 2013
From: r.lemmermann at tcu.de (R. Lemmermann - intern)
Date: Tue, 08 Jan 2013 15:06:42 +0100
Subject: [Postfixbuch-users] OT: Cyrus frage zu Parameter
	unixhierarchysep
In-Reply-To: <20130108130210.Horde.xba8d6TeyfkB1pVgzdhhwA2@buero.tachtler.net>
References: <50EC01D7.3070604@tcu.de>
 <20130108130210.Horde.xba8d6TeyfkB1pVgzdhhwA2@buero.tachtler.net>
Message-ID: <50EC27F2.1040701@tcu.de>



Mit freundlichen Gruessen

i.A. Reiner Lemmermann
EDV

Am 08.01.2013 13:02, schrieb Klaus Tachtler:
> Hallo,
>
>> Wir betreiben seit längerem einen cyrus-Imap-Server.
>> Nun muss ich eine User mit "." in der Kennung anlegen.
>> Bis jetzt war den Parameter "unixhierarchysep" auf seinem default-wert
>> "no".
>> Also konnten keine Namen mit Punkt angelegt werden.
>>
>> Was passiert mit den vorhanden Mailboxen/Mails wenn ich nun in der
>> laufenden Konfiguration den "unixhierarchysep" auf "yes" setze?
>
> http://lmgtfy.com/?q=cyrus+unixhierarchysep
>
> bzw. http://www.kai-hildebrandt.de/linux/maildienste.html
>
> Zitat: Als Trennzeichen für Unterordner wird hier der Punkt (.) benutzt.
> Das ist eine spezielle Einstellung von Cyrus (unixhierarchysep: no). Ist
> sie auf "yes" gesetzt, gilt als Trennzeichen der Querstrich (/) und in
> Ordnernamen dürfen dann auch Punkte vorkommen, die aber intern als ^
> umgesetzt werden.
>
> Hast Du den schon Benutzernamen mit einem . (Punkt) im Namen - ich
> entnehme Deiner Beschreibung eher nicht, also was soll passieren?
>
Richtig, bis jetzt nur Usernamen ohne ohne Punkt.
Ich weiss es eben nicht was passiert wenn ich den Parameter umschalte 
und cyrus durchstarte. In meinen schlechten Träumen werden die internen 
Datenbanken und Indizes irreversibel zerschossen oder Mail 
gelöscht/überschrieben ... ich weiss ich hab 'ne schlechte Fantasie.

> Ich habe schon immer in meiner cyrus Konfiguration: unixhierarchysep: 1
> (yes) - ich habe allerdings auch keine Benutzernamen mit einem . (Punkt)
> in der Bezeichnung.
>
> Nun, hast Du den kein Test-System?
>

Doch aber das läuft gerade in der unix..=1, aber seit ich es aufgesetzt hab.

> Grüße
> Klaus.

Danke für deine Anteilnahme trotz OT. Nochmal t'schuldigung dafür!!
-- 
MfG
Reiner


From jbehrend at mpifr-bonn.mpg.de  Tue Jan  8 16:27:19 2013
From: jbehrend at mpifr-bonn.mpg.de (Jan Behrend)
Date: Tue, 08 Jan 2013 16:27:19 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
Message-ID: <50EC3AD7.8030704@mpifr-bonn.mpg.de>

Hallo Liste,

vor kurzem ist uns aufgefallen, dass sich MS-Outlook wärend einer
SMTP-Sitzung nicht mit einem FQDN beim SMTP-Server anmeldet.
Das hat zur Folge, dass, wenn ein Benutzer dann auch noch andere
Merkmale von SPAM zu seiner Email addiert (kurze HTML-Nachricht, nur
Bilder, etc.), der SPAM-Score der Mail so hoch steigt, dass viele
SPAM-Filter der Emailempfänger anspringen, und die Email als "False
Positive" entweder ablehnen oder aber auch in ihrem SPAM-Order verschieben.
Ist das Problem des nicht RFC-konformen HELO-Names bekannt, und wenn ja,
wie kann man hier Abhilfe schaffen.

Microsoft hat nach 10 Support-Stunden dafür noch keine Lösung gefunden,
deshalb die Frage in die Runde.

Gruß aus Bonn von Jan

-- 
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de

------------------------------------------------------------------------
Die digitale Unterschrift dieser Mail kann durch das Zertifikat der
DFN Global Hierarchie überprüft werden:
https://ca.mpg.de/certs/root-DGP/deutsche-telekom-ca2-root-cert.der
Weitere Informationen zur CA der MPG finden Sie unter: https://ca.mpg.de
------------------------------------------------------------------------

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4553 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130108/278405a6/attachment.p7s>

From p at sys4.de  Tue Jan  8 16:42:55 2013
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 8 Jan 2013 16:42:55 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
Message-ID: <20130108154255.GG924@sys4.de>

* Jan Behrend <postfixbuch-users at listen.jpberlin.de>:
> Hallo Liste,
> 
> vor kurzem ist uns aufgefallen, dass sich MS-Outlook wärend einer
> SMTP-Sitzung nicht mit einem FQDN beim SMTP-Server anmeldet.
> Das hat zur Folge, dass, wenn ein Benutzer dann auch noch andere
> Merkmale von SPAM zu seiner Email addiert (kurze HTML-Nachricht, nur
> Bilder, etc.), der SPAM-Score der Mail so hoch steigt, dass viele
> SPAM-Filter der Emailempfänger anspringen, und die Email als "False
> Positive" entweder ablehnen oder aber auch in ihrem SPAM-Order verschieben.
> Ist das Problem des nicht RFC-konformen HELO-Names bekannt, und wenn ja,
> wie kann man hier Abhilfe schaffen.
> 
> Microsoft hat nach 10 Support-Stunden dafür noch keine Lösung gefunden,
> deshalb die Frage in die Runde.

Der Client (hier: MS-Outlook) nutzt den Hostnamen, den das OS zurückgibt. MS
Windows kann so konfiguriert werden, dass es immer einen FQDN zurückliefert.
Dann meldet Outlook (und jeder andere Client) sich richtig.

Besser: Trenne MTA-MTA und MUA-MTA-Verkehr. Lass die Clients alle auf 587
submitten und fahre auf diesem Port nur Restriktionen, die die
Transportfähigkeit der Nachricht sicherstellen. Den FQDN dann nur im
MTA-MTA-Verkehr einfordern.

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich


From jbehrend at mpifr-bonn.mpg.de  Tue Jan  8 16:46:33 2013
From: jbehrend at mpifr-bonn.mpg.de (Jan Behrend)
Date: Tue, 08 Jan 2013 16:46:33 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <20130108154255.GG924@sys4.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de> <20130108154255.GG924@sys4.de>
Message-ID: <50EC3F59.8080106@mpifr-bonn.mpg.de>

Hallo Patrick.

vielen Dank für die Antwort.

On 01/08/2013 04:42 PM, Patrick Ben Koetter wrote:
> Der Client (hier: MS-Outlook) nutzt den Hostnamen, den das OS zurückgibt. MS
> Windows kann so konfiguriert werden, dass es immer einen FQDN zurückliefert.
> Dann meldet Outlook (und jeder andere Client) sich richtig.

Weisst Du, wo ich das einstellen kann?

> 
> Besser: Trenne MTA-MTA und MUA-MTA-Verkehr. Lass die Clients alle auf 587
> submitten und fahre auf diesem Port nur Restriktionen, die die
> Transportfähigkeit der Nachricht sicherstellen. Den FQDN dann nur im
> MTA-MTA-Verkehr einfordern.

Guter Tipp.  Werde ich zukünftig so machen.

Gruß von Jan


-- 
MAX-PLANCK-INSTITUT fuer Radioastronomie
Jan Behrend - Rechenzentrum
----------------------------------------
Auf dem Huegel 69, D-53121 Bonn
Tel: +49 (228) 525 359, Fax: +49 (228) 525 229
jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de

------------------------------------------------------------------------
Die digitale Unterschrift dieser Mail kann durch das Zertifikat der
DFN Global Hierarchie überprüft werden:
https://ca.mpg.de/certs/root-DGP/deutsche-telekom-ca2-root-cert.der
Weitere Informationen zur CA der MPG finden Sie unter: https://ca.mpg.de
------------------------------------------------------------------------

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4553 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130108/3d6cea6d/attachment.p7s>

From Ralf.Hildebrandt at charite.de  Tue Jan  8 16:55:59 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 8 Jan 2013 16:55:59 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
Message-ID: <20130108155559.GG27262@charite.de>

* Jan Behrend <jbehrend at mpifr-bonn.mpg.de>:
> Hallo Liste,
> 
> vor kurzem ist uns aufgefallen, dass sich MS-Outlook wärend einer
> SMTP-Sitzung nicht mit einem FQDN beim SMTP-Server anmeldet.
> Das hat zur Folge, dass, wenn ein Benutzer dann auch noch andere
> Merkmale von SPAM zu seiner Email addiert (kurze HTML-Nachricht, nur
> Bilder, etc.), der SPAM-Score der Mail so hoch steigt, dass viele
> SPAM-Filter der Emailempfänger anspringen, und die Email als "False
> Positive" entweder ablehnen oder aber auch in ihrem SPAM-Order verschieben.
> Ist das Problem des nicht RFC-konformen HELO-Names bekannt, und wenn ja,
> wie kann man hier Abhilfe schaffen.

Ganz einfach!
smtpd_command_filter hilft da

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Tue Jan  8 16:58:38 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 8 Jan 2013 16:58:38 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <20130108155559.GG27262@charite.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
 <20130108155559.GG27262@charite.de>
Message-ID: <20130108155838.GH27262@charite.de>

* Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:

> Ganz einfach!
> smtpd_command_filter hilft da

http://www.postfix.org/postconf.5.html#smtpd_command_filter

/etc/postfix/main.cf:
    smtpd_command_filter = pcre:/etc/postfix/command_filter

/etc/postfix/command_filter:
    # Work around clients that send malformed HELO commands.
    /^HELO\s(.*)$/ HELO $1.deinedomain

Oder so ähnlich.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From p at sys4.de  Tue Jan  8 17:03:08 2013
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 8 Jan 2013 17:03:08 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <50EC3F59.8080106@mpifr-bonn.mpg.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de> <20130108154255.GG924@sys4.de>
 <50EC3F59.8080106@mpifr-bonn.mpg.de>
Message-ID: <20130108160308.GI924@sys4.de>

* Jan Behrend <postfixbuch-users at listen.jpberlin.de>:
> Hallo Patrick.
> 
> vielen Dank für die Antwort.
> 
> On 01/08/2013 04:42 PM, Patrick Ben Koetter wrote:
> > Der Client (hier: MS-Outlook) nutzt den Hostnamen, den das OS zurückgibt. MS
> > Windows kann so konfiguriert werden, dass es immer einen FQDN zurückliefert.
> > Dann meldet Outlook (und jeder andere Client) sich richtig.
> 
> Weisst Du, wo ich das einstellen kann?

Ist eine Weile her, dass ich in Windows rumgewühlt habe. IIRC kannst Du in den
Network Settings einstellen, das er den vollen Domainnamen verwenden soll.

Sieh mal hier unter "Verwendung des primären DNS-Suffixes" nach:
<http://www.edv-lehrgang.de/dns-suffix-aendern/>


> > Besser: Trenne MTA-MTA und MUA-MTA-Verkehr. Lass die Clients alle auf 587
> > submitten und fahre auf diesem Port nur Restriktionen, die die
> > Transportfähigkeit der Nachricht sicherstellen. Den FQDN dann nur im
> > MTA-MTA-Verkehr einfordern.
> 
> Guter Tipp.  Werde ich zukünftig so machen.

Nimm http://automx.org für die Umstellung. Damit wird die Konfiguration zum
Kinderspiel für die Anwender. ;)

p at rick


-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich


From p at sys4.de  Tue Jan  8 17:04:07 2013
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 8 Jan 2013 17:04:07 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <20130108155838.GH27262@charite.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
 <20130108155559.GG27262@charite.de>
 <20130108155838.GH27262@charite.de>
Message-ID: <20130108160406.GJ924@sys4.de>

* Ralf Hildebrandt <postfixbuch-users at listen.jpberlin.de>:
> * Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
> 
> > Ganz einfach!
> > smtpd_command_filter hilft da
> 
> http://www.postfix.org/postconf.5.html#smtpd_command_filter
> 
> /etc/postfix/main.cf:
>     smtpd_command_filter = pcre:/etc/postfix/command_filter
> 
> /etc/postfix/command_filter:
>     # Work around clients that send malformed HELO commands.
>     /^HELO\s(.*)$/ HELO $1.deinedomain
> 
> Oder so ähnlich.

Häh? Jetzt fixed du _jeden_ client? Da kannste Dir doch gleich die
Restriktion sparen...

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich


From Ralf.Hildebrandt at charite.de  Tue Jan  8 17:04:57 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 8 Jan 2013 17:04:57 +0100
Subject: [Postfixbuch-users] MS-Outlook und SMTP HELO (ESMTP ELHO)
In-Reply-To: <20130108160406.GJ924@sys4.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
 <20130108155559.GG27262@charite.de>
 <20130108155838.GH27262@charite.de> <20130108160406.GJ924@sys4.de>
Message-ID: <20130108160457.GI27262@charite.de>

* Patrick Ben Koetter <p at sys4.de>:

> > http://www.postfix.org/postconf.5.html#smtpd_command_filter
> > 
> > /etc/postfix/main.cf:
> >     smtpd_command_filter = pcre:/etc/postfix/command_filter
> > 
> > /etc/postfix/command_filter:
> >     # Work around clients that send malformed HELO commands.
> >     /^HELO\s(.*)$/ HELO $1.deinedomain
> > 
> > Oder so ähnlich.
> 
> Häh? Jetzt fixed du _jeden_ client? Da kannste Dir doch gleich die
> Restriktion sparen...

Ich war jetzt streng von AUSGEHENDEM Traffic ausgegangen. Nicht von
Incoming Traffic.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From lists at xunil.at  Wed Jan  9 08:54:08 2013
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 09 Jan 2013 08:54:08 +0100
Subject: [Postfixbuch-users] AutoMX
In-Reply-To: <20130108160308.GI924@sys4.de>
References: <50EC3AD7.8030704@mpifr-bonn.mpg.de>
 <20130108154255.GG924@sys4.de> <50EC3F59.8080106@mpifr-bonn.mpg.de>
 <20130108160308.GI924@sys4.de>
Message-ID: <50ED2220.9030700@xunil.at>

Am 2013-01-08 17:03, schrieb Patrick Ben Koetter:

> Nimm http://automx.org für die Umstellung. Damit wird die Konfiguration zum
> Kinderspiel für die Anwender. ;)

Wow, warum hab ich noch nicht von AutoMX gehört/gelesen?
Klingt sehr gut ...

Danke, Stefan



From atann at alphasrv.net  Fri Jan 11 10:56:01 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 11 Jan 2013 10:56:01 +0100
Subject: [Postfixbuch-users] OT: Dovecot: wie per CLI eine Mailbox
	exportieren?
Message-ID: <201301111056.02291@inter.netz>

Servus zusammen,

wie kann man denn auf der Kommandozeile eine Mailbox an einen anderen
User exportieren, sodaß dessen Mailclient diese auch anzeigt?

Ich habe angelegt:

   # cat exporting-user/Maildir/dovecot-acl
   user=importing-user kxeilprwts

Und ferner folgenden Eintrag vorgenommen:

   # cat /var/lib/dovecot-dict/shared-mailboxes
   shared/shared-boxes/user/importing-user/exporting-user
   1

Warum sieht der MUA des importing-user die Mailbox trotzdem nicht? Die
Ordnerliste hab ich schon aktualisiert.

Viele Grüße!

-- 
Andre Tann



From p.heinlein at heinlein-support.de  Fri Jan 11 11:39:19 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 11 Jan 2013 11:39:19 +0100
Subject: [Postfixbuch-users] OT: Dovecot: wie per CLI eine Mailbox
	exportieren?
In-Reply-To: <201301111056.02291@inter.netz>
References: <201301111056.02291@inter.netz>
Message-ID: <50EFEBD7.3000301@heinlein-support.de>

Am 11.01.2013 10:56, schrieb Andre Tann:


Hallo Andre,

> Ich habe angelegt:
> 
>    # cat exporting-user/Maildir/dovecot-acl
>    user=importing-user kxeilprwts

Korrekt.

> Und ferner folgenden Eintrag vorgenommen:
> 
>    # cat /var/lib/dovecot-dict/shared-mailboxes
>    shared/shared-boxes/user/importing-user/exporting-user
>    1

Korrekt.

> Warum sieht der MUA des importing-user die Mailbox trotzdem nicht? Die
> Ordnerliste hab ich schon aktualisiert.

Du hast leider keinerlei Config mitgeschickt. Insofern kann hier niemand
schauen, ob Du ACL-Plugins, Shared-Dictionary und Shared-Namespace
richtig eingerichtet hast. Insofern kann Dir hier keiner zuverlässig helfen.

Je nach Dovecot-Version (keine AHnung, welche Du hast) mußt Du
allerdings noch ~/Maildir/dovecot-acl-list anlegen. In der sind die
IMAP-Ordner verzeichnet, in denen dann eine dovecot-acl liegt.

Dovecot löst da das ganze in DREI Schritten auf:

a) shared.mailboxes klärt, wer wem was freigegeben hat
b) ~/Maildir/dovecot-acl-list klärt, WELCHE Ordner der freigegeben hat
c) ~/Maildir/.FOLDER/dovecot-acl klärt dann, WEM mit WAS er diesen
Folder freigegeben hat.

Liegt aber ein bißchen an der Dovecot-Version. Ein "doveconf -n" wäre
hier erhellend.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From atann at alphasrv.net  Fri Jan 11 13:27:11 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 11 Jan 2013 13:27:11 +0100
Subject: [Postfixbuch-users] OT: Dovecot: wie per CLI eine Mailbox
	exportieren?
In-Reply-To: <50EFEBD7.3000301@heinlein-support.de>
References: <201301111056.02291@inter.netz>
 <50EFEBD7.3000301@heinlein-support.de>
Message-ID: <201301111327.11444@inter.netz>

Peer Heinlein, Freitag, 11. Januar 2013: 

> Du hast leider keinerlei Config mitgeschickt. Insofern kann hier niemand
> schauen, ob Du ACL-Plugins, Shared-Dictionary und Shared-Namespace
> richtig eingerichtet hast. Insofern kann Dir hier keiner zuverlässig helfen.

Äh, richtig, da hab ich mich nicht optimal ausgedrückt ;) Shared
Mailboxes laufen im Prinzip problemlos. Wenn man mit einem MUA die
Rechte entsprechend anpaßt, dann sieht der empfangende User die
exportierte Mailbox wie gewünscht. 


> Je nach Dovecot-Version (keine AHnung, welche Du hast) mußt Du
> allerdings noch ~/Maildir/dovecot-acl-list anlegen. In der sind die
> IMAP-Ordner verzeichnet, in denen dann eine dovecot-acl liegt.

# rpm -qa | grep dovecot
dovecot12-backend-pgsql-1.2.17-46.1.x86_64
dovecot12-backend-sqlite-1.2.17-46.1.x86_64
dovecot12-1.2.17-46.1.x86_64
dovecot12-backend-mysql-1.2.17-46.1.x86_64

Alles klar, die dovecot-acl-List muß ich noch bauen. 

=> gebaut, jetzt gehts.


> Dovecot löst da das ganze in DREI Schritten auf:
> 
> a) shared.mailboxes klärt, wer wem was freigegeben hat
> b) ~/Maildir/dovecot-acl-list klärt, WELCHE Ordner der freigegeben hat
> c) ~/Maildir/.FOLDER/dovecot-acl klärt dann, WEM mit WAS er diesen
> Folder freigegeben hat.

Danke, diese Kette hatte ich so nicht im Netz gefunden. Aber jetzt müßte
Google es ja kennen.

Viele Grüße!

-- 
Andre Tann



From p.heinlein at heinlein-support.de  Fri Jan 11 14:43:06 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 11 Jan 2013 14:43:06 +0100
Subject: [Postfixbuch-users] OT: Dovecot: wie per CLI eine Mailbox
	exportieren?
In-Reply-To: <201301111327.11444@inter.netz>
References: <201301111056.02291@inter.netz>
 <50EFEBD7.3000301@heinlein-support.de> <201301111327.11444@inter.netz>
Message-ID: <50F016EA.2020202@heinlein-support.de>

Am 11.01.2013 13:27, schrieb Andre Tann:

> Danke, diese Kette hatte ich so nicht im Netz gefunden. Aber jetzt müßte
> Google es ja kennen.

Oder in ein paar Monaten im frischen Dovecot-Buch Ihres Vertrauens... :-)

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From postfixmail at dncom.de  Sat Jan 12 14:56:54 2013
From: postfixmail at dncom.de (Felipe)
Date: Sat, 12 Jan 2013 13:56:54 +0000
Subject: [Postfixbuch-users] Header: x-originating-ip
Message-ID: <BE3E5FBF068A3D448D828D8245B8EFCA3980BFFB@SERVER.ed.riebe-gmbh.de>

Hallo,

Kann mir jemand sagen was es mit dem Misteriösen Header x-originating-ip zu tun hat?
Der Header taucht immer auf wenn Outlook 2010 mit Exchange 2010 zusammenspielt.

Ich habe allerdings kein Outlook 2010 auf Exchange 2007 oder imap/smtp

Ich möchte gerne die Header entfernen mit der IP des MUA.

Ich wüste auch noch gerne was Accept-Language und Content-Language ist?

Bei mir steht da:

Accept-Language: es-ES, de-DE, de-AT, en-GB, en-AU, en-US
Content-Language: es-ES

Bei der Chefin:

Accept-Language: de-DE, en-US
Content-Language: de-DE

Felipe



From daniel at dlutt.de  Sat Jan 12 21:16:29 2013
From: daniel at dlutt.de (Daniel Luttermann)
Date: Sat, 12 Jan 2013 21:16:29 +0100
Subject: [Postfixbuch-users] Moderne Spam-Abwehr
In-Reply-To: <50F1B7AE.7050508@leo-unglaub.net>
References: <50F1B7AE.7050508@leo-unglaub.net>
Message-ID: <50F1C49D.6090007@dlutt.de>

Leo Unglaub schrieb:

> Hallo Postfix Freunde,
> ich bin gerade dabei unsere E-Mail Infrastruktur zu erneuern und bin
> dabei etwas ins Grübeln gekommen ob mein Setup immer noch aktuell genug
> ist.
>
> Ich verwende natürlich Postfix. Was wohl sonst. ;)
>
> Um gegen den Spam anzukämpfen verwende ich Policyd-Weight, Postgrey und
> Amavisd mit Spamassassin. Jedoch bin ich mir nicht mehr sicher ob
> Amavisd so sinnvoll ist. Ich meine, ich mache mit dem Tool defakto
> nichts weiter als Mails an Spamassassin und ClamAV weiter zu reichen.
> Für dieses simple Weiterleiten ist das jedoch ein relativ großer
> Overkill. Des weiteren finde ich Amavisd relativ schlecht programmiert.
> Ich musste da mal einen Bug suchen und wurde irre im Quellcode.
>
> Daher meine Frage an euch, soll ich dieses Setup weiter beibehalten oder
> sollte ich Amavisd auslassen und Spamassassin und Clamav direkt einbinden?
>
> Danke und viele Grüße
> Leo
>

amavisd-new mag schon ein wenig "oversized" sein, aber es bietet 
natürlich auch eine Menge an Funktionen und Integrationsmöglichkeiten. 
Je nachdem, was man letztendlich umsetzen möchte bzw. mit welchem 
Funktionsumfang man zufrieden ist, kann man auf amavisd-new verzichten 
und Spamassassin und ClamAV jeweils einzeln verwenden.

Wenn es primär um die Spam-Filterung geht, kann man durchaus auf 
amavisd-new verzichten, wobei man hier ggf. auch auf einige 
"Nettigkeiten" verzichtet (DKIM, Penpals etc.). Will man mehr, muss man 
sich ggf. nach Alternativen zu amavisd-new umsehen. Letztendlich ist die 
Spam- und Malware- Erkennung auch nur so gut, wie die Anwendungen, die 
diese Aufgabe übernehmen. ClamAV wird durch amavisd nicht viel besser 
usw., also geht's auch ohne amavisd.

Persönlich würde ich aber auf Grund der Integrationsmöglichkeiten 
(dspam, SA, ClamAV, F-Secure...) amavisd-new gegenüber den 
"Einzellösungen" den Vorzug geben.

Policyd-Weight würde ich beibehalten oder durch postfwd ersetzen und 
Postscreen ist noch eine Überlegung wert...

--
Daniel


From t.schneider at tms-itdienst.at  Mon Jan 14 09:23:16 2013
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Mon, 14 Jan 2013 09:23:16 +0100
Subject: [Postfixbuch-users] X-UIDL
Message-ID: <50F3C074.5030606@tms-itdienst.at>

Guten Morgen Listenmitglieder.


seit geraumer Zeit steht im Mail-Queltext diese Zeie:

X-UIDL: C)+"!^HI!!(9C!!6G!#!

Es hat sich aber keiner die Mail vorher angeschaut bzw. downgeloaded.
Macht das evtl. der amavis im postfwd auf dem Server?




Grüße
Timm
-- 
TMS IT-Dienst
Hinterstadt 2
4840 Vöcklabruck(VB)
Austria
T.+43.720.501 078(kostenlos per ENUM erreichbar)
T.+49.89.721010 77792
F.+43.720.501 078 57
Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130114/7787296a/attachment.asc>

From t.schneider at tms-itdienst.at  Mon Jan 14 11:51:12 2013
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Mon, 14 Jan 2013 11:51:12 +0100
Subject: [Postfixbuch-users] X-UIDL
In-Reply-To: <50F3E18D.6050109@leo-unglaub.net>
References: <50F3C074.5030606@tms-itdienst.at>
 <50F3E18D.6050109@leo-unglaub.net>
Message-ID: <50F3E320.4060804@tms-itdienst.at>


> Diese Zeile stammt von dem POP3 Befehl UIDL. Daher meine frage, bist
> du sicher, dass nicht schon jemand sich eine E-Mail Liste via POP3
> gehohlt hat?
> 
> Viele Grüße
> Leo
> 
> 

Zumindest ist mir keiner bekannt, da nur ich die Mails abhole.
Meine anderen Rechner sind derzeit aus, also können die nichts abholen.
Ich kann höchstens, wenn eben postfwd da nicht in Frage kommt, meine
mail-logs durchforsten, denn da stehen auch die popper Zugriffe drin.

Grüße
Timm
-- 
TMS IT-Dienst
Hinterstadt 2
4840 Vöcklabruck(VB)
Austria
T.+43.720.501 078(kostenlos per ENUM erreichbar)
T.+49.89.721010 77792
F.+43.720.501 078 57
Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130114/ad9318b8/attachment.asc>

From t.schneider at tms-itdienst.at  Mon Jan 14 12:03:49 2013
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Mon, 14 Jan 2013 12:03:49 +0100
Subject: [Postfixbuch-users] X-UIDL
In-Reply-To: <50F3E3A1.70507@leo-unglaub.net>
References: <50F3C074.5030606@tms-itdienst.at>
 <50F3E18D.6050109@leo-unglaub.net> <50F3E320.4060804@tms-itdienst.at>
 <50F3E3A1.70507@leo-unglaub.net>
Message-ID: <50F3E615.6010404@tms-itdienst.at>

Am 14.01.2013 11:53, schrieb Leo Unglaub:
Hallo Leo,


danke für Deine Info.
Hab derweil mal das Mail-log durchgesehen, da steht für meinen
Mailaccount nur mein Rechner drin(Heute)
Hier der Auszug aus Deiner Mail eben.

From - Mon Jan 14 11:57:57 2013
X-Account-Key: account4
X-UIDL: T at 2"!"+N"!~~M!!V?l!!
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:

Return-Path: <postfixbuch-users-bounces at listen.jpberlin.de>
X-Original-To: timm at mail.tms-it.net
Delivered-To: timm at mail.tms-it.net
Received: from localhost (localhost [127.0.0.1])
	by mail.tms-it.net (Postfix) with ESMTP id 013A4C2C3
	for <timm at mail.tms-it.net>; Mon, 14 Jan 2013 11:54:58 +0100 (CET)
X-Virus-Scanned: amavisd-new at tms-it.net
Received: from mail.tms-it.net ([91.118.53.102])
	by localhost (mail.tms-it.net [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id hupG8YYhi11s for <timm at mail.tms-it.net>;
	Mon, 14 Jan 2013 11:54:48 +0100 (CET)
Received: from ilpostino.jpberlin.de (ilpostino.jpberlin.de [213.203.238.6])
	by mail.tms-it.net (Postfix) with ESMTP id 58040C2AC
	for <t.schneider at tms-itdienst.at>; Mon, 14 Jan 2013 11:54:48 +0100 (CET)
Received: from ilpostino.jpberlin.de (localhost [127.0.0.1])
	by ilpostino.jpberlin.de (Postfix) with ESMTP id E17A9E8202;
	Mon, 14 Jan 2013 11:54:21 +0100 (CET)
X-Original-To: postfixbuch-users at listi.jpberlin.de
Delivered-To: postfixbuch-users at listi.jpberlin.de
Received: from mx1.heinlein-support.de (mx1.heinlein-support.de
 [91.198.250.10])
 by ilpostino.jpberlin.de (Postfix) with ESMTPS id 9ED57E81AA
 for <postfixbuch-users at listi.jpberlin.de>;
 Mon, 14 Jan 2013 11:54:18 +0100 (CET)
Received: from gerste.heinlein-support.de (gerste.heinlein-support.de
 [91.198.250.173])
 by mx1.heinlein-support.de (Postfix) with ESMTP id 8EB672FEBA
 for <postfixbuch-users at listen.jpberlin.de>;
 Mon, 14 Jan 2013 11:54:18 +0100 (CET)
X-Virus-Scanned: amavisd-new at heinlein-support.de
Received: from mx1.heinlein-support.de ([91.198.250.10])
 by gerste.heinlein-support.de (gerste.heinlein-support.de [91.198.250.170])
 (amavisd-new, port 10024)
 with ESMTP id sc2hrmQcvzOl for <postfixbuch-users at listen.jpberlin.de>;
 Mon, 14 Jan 2013 11:54:17 +0100 (CET)
X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5
 NOT_IN_BL_NJABL=-1.5 HELO_IP_IN_CL_SUBNET=-1.2 (check from: .leo-unglaub. -
 helo: .hellgate.2create. - helo-domain: .2create.)
 FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -7.7
Received: from hellgate.2create.at (vm01.2create.at [188.40.92.4])
 by mx1.heinlein-support.de (Postfix) with ESMTP
 for <postfixbuch-users at listen.jpberlin.de>;
 Mon, 14 Jan 2013 11:54:17 +0100 (CET)
Received: from [192.168.0.129] (chello080109034192.10.14.tuwien.teleweb.at
 [80.109.34.192]) (Authenticated sender: leo at leo-unglaub.net)
 by hellgate.2create.at (Postfix) with ESMTPSA id 1CF741CA861
 for <postfixbuch-users at listen.jpberlin.de>;
 Mon, 14 Jan 2013 11:54:16 +0100 (CET)
Message-ID: <50F3E3A1.70507 at leo-unglaub.net>
Date: Mon, 14 Jan 2013 11:53:21 +0100
From: Leo Unglaub <leo at leo-unglaub.net>
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/17.0 Icedove/17.0
MIME-Version: 1.0
To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein."
 <postfixbuch-users at listen.jpberlin.de>
References: <50F3C074.5030606 at tms-itdienst.at>
 <50F3E18D.6050109 at leo-unglaub.net> <50F3E320.4060804 at tms-itdienst.at>
In-Reply-To: <50F3E320.4060804 at tms-itdienst.at>
X-Enigmail-Version: 1.5
Subject: Re: [Postfixbuch-users] X-UIDL
X-BeenThere: postfixbuch-users at listen.jpberlin.de
X-Mailman-Version: 2.1.14
Precedence: list
Reply-To: "Eine Diskussionsliste rund um das Postfix-Buch von Peer
Heinlein."
 <postfixbuch-users at listen.jpberlin.de>
List-Id: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein."
 <postfixbuch-users.listen.jpberlin.de>
List-Unsubscribe:
<https://listi.jpberlin.de/mailman/options/postfixbuch-users>,
 <mailto:postfixbuch-users-request at listen.jpberlin.de?subject=unsubscribe>
List-Archive: <https://listi.jpberlin.de/pipermail/postfixbuch-users>
List-Post: <mailto:postfixbuch-users at listen.jpberlin.de>
List-Help:
<mailto:postfixbuch-users-request at listen.jpberlin.de?subject=help>
List-Subscribe:
<https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users>,
 <mailto:postfixbuch-users-request at listen.jpberlin.de?subject=subscribe>
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Errors-To: postfixbuch-users-bounces at listen.jpberlin.de
Sender: postfixbuch-users-bounces at listen.jpberlin.de
X-UIDL: T at 2"!"+N"!~~M!!V?l!!

Hier noch der Auszug vom Server

Jan 14 11:42:58 lsrv04 popper[29481]: (v4.1.0) Servicing request from
"buero2.tms-it.net" at 91.118.53.75 [pop_init.c:1422]
Jan 14 11:42:58 lsrv04 popper[29481]: Stats: "name" 1 18680 0 0
buero2.tms-it.net 91.118.53.75 [pop_updt.c:301]
Jan 14 11:46:41 lsrv04 popper[29536]: (v4.1.0) Servicing request from
"catv-162-070.tbwil.ch" at 213.196.162.70 [pop_init.c:1422]
Jan 14 11:46:48 lsrv04 popper[29536]: Stats: "anderername" 0 0 73
73627434 catv-162-070.tbwil.ch 213.196.162.70 [pop_updt.c:301]
Jan 14 11:47:58 lsrv04 popper[29540]: (v4.1.0) Servicing request from
"buero2.tms-it.net" at 91.118.53.75 [pop_init.c:1422]
Jan 14 11:47:59 lsrv04 popper[29540]: Stats: "name" 1 5949 0 0
buero2.tms-it.net 91.118.53.75 [pop_updt.c:301]
Jan 14 11:53:01 lsrv04 popper[29574]: (v4.1.0) Servicing request from
"buero2.tms-it.net" at 91.118.53.75 [pop_init.c:1422]
Jan 14 11:53:02 lsrv04 popper[29574]: Stats: "anderername" 2 8409 0 0
buero2.tms-it.net 91.118.53.75 [pop_updt.c:301]
Jan 14 11:57:57 lsrv04 popper[29602]: (v4.1.0) Servicing request from
"buero2.tms-it.net" at 91.118.53.75 [pop_init.c:1422]
Jan 14 11:57:57 lsrv04 popper[29602]: Stats: "name" 3 9276 0 0
buero2.tms-it.net 91.118.53.75 [pop_updt.c:301]
Jan 14 11:58:08 lsrv04 popper[29603]: (v4.1.0) Servicing request from
"catv-162-070.tbwil.ch" at 213.196.162.70 [pop_init.c:1422]
Jan 14 11:58:15 lsrv04 popper[29603]: Stats: "anderername" 0 0 73
73627434 catv-162-070.tbwil.ch 213.196.162.70 [pop_updt.c:301]




Grüße
Timm
-- 
TMS IT-Dienst
Hinterstadt 2
4840 Vöcklabruck(VB)
Austria
T.+43.720.501 078(kostenlos per ENUM erreichbar)
T.+49.89.721010 77792
F.+43.720.501 078 57
Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130114/cb24a714/attachment.asc>

From thomas.klein at lcc-mail.eu  Mon Jan 14 23:46:46 2013
From: thomas.klein at lcc-mail.eu (thomas.klein at lcc-mail.eu)
Date: Mon, 14 Jan 2013 23:46:46 +0100
Subject: [Postfixbuch-users] TLS im Log erkennen
Message-ID: <1462243aa5dab62c5e2589145d32eb8b@lcc-mail.eu>

Hallo zusammen,

ich habe eine kurze Frage zu TLS: Kann ich im log erkennen, ob eine 
Mail per TLS übermittelt wurde? Im Mailheader ist es ja wiederum 
erkennbar, aber scheinbar nicht in der mail.log.

Danke & Grüße
Thomas Klein


From anmeyer at anup.de  Tue Jan 15 00:12:11 2013
From: anmeyer at anup.de (Andreas Meyer)
Date: Tue, 15 Jan 2013 00:12:11 +0100
Subject: [Postfixbuch-users] TLS im Log erkennen
In-Reply-To: <1462243aa5dab62c5e2589145d32eb8b@lcc-mail.eu>
References: <1462243aa5dab62c5e2589145d32eb8b@lcc-mail.eu>
Message-ID: <20130115001211.640cfdce@itxnew.bitcorner.intern>

Hallo!

thomas.klein at lcc-mail.eu wrote:

> Hallo zusammen,
> 
> ich habe eine kurze Frage zu TLS: Kann ich im log erkennen, ob eine 
> Mail per TLS übermittelt wurde? Im Mailheader ist es ja wiederum 
> erkennbar, aber scheinbar nicht in der mail.log.

Jan 14 23:54:31 delta postfix/smtpd[23888]: setting up TLS connection from ilpostino.jpberlin.de[213.203.238.6]
Jan 14 23:54:31 delta postfix/smtpd[23888]: TLS connection established from ilpostino.jpberlin.de[213.203.238.6]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)

Zumindest an der Uhrzeit ist die TLS-Verbindung identifizierbar. Was die 23888
bedeutet, weiß ich nicht ;) Vielleicht wird das mit verbose-logging differenzierter.

> Danke & Grüße
> Thomas Klein

  Andreas


From j_adam at web.de  Tue Jan 15 00:39:55 2013
From: j_adam at web.de (Jens Adam)
Date: Tue, 15 Jan 2013 00:39:55 +0100
Subject: [Postfixbuch-users] TLS im Log erkennen
In-Reply-To: <20130115001211.640cfdce@itxnew.bitcorner.intern>
References: <1462243aa5dab62c5e2589145d32eb8b@lcc-mail.eu>
 <20130115001211.640cfdce@itxnew.bitcorner.intern>
Message-ID: <6233580.sVDp4FCa4t@titan>

Am Dienstag, 15. Januar 2013, 00:12:11 schrieb Andreas Meyer:
> Hallo!
> 
> thomas.klein at lcc-mail.eu wrote:
> > Hallo zusammen,
> > 
> > ich habe eine kurze Frage zu TLS: Kann ich im log erkennen, ob eine
> > Mail per TLS übermittelt wurde? Im Mailheader ist es ja wiederum
> > erkennbar, aber scheinbar nicht in der mail.log.
> 
> Jan 14 23:54:31 delta postfix/smtpd[23888]: setting up TLS connection
> from ilpostino.jpberlin.de[213.203.238.6] Jan 14 23:54:31 delta
> postfix/smtpd[23888]: TLS connection established from
> ilpostino.jpberlin.de[213.203.238.6]: TLSv1 with cipher
> DHE-RSA-AES256-SHA (256/256 bits)
> 
> Zumindest an der Uhrzeit ist die TLS-Verbindung identifizierbar. Was die
> 23888 bedeutet, weiß ich nicht ;) Vielleicht wird das mit
> verbose-logging differenzierter.

Moin,

also -v wäre wohl Overkill, denke ich.

Relevante Parameter sind z.B. smtpd_tls_received_header=yes und 
smtp(d)_tls_loglevel=1 (oder 2).

Die 23888 ist übrigens die P(rocess) ID (siehe ps/top/htop).

Grüsse,
Jens




From ralf.prengel at rprengel.de  Tue Jan 15 05:54:12 2013
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Tue, 15 Jan 2013 05:54:12 +0100
Subject: [Postfixbuch-users] Mails basierend auf Inhalt NICHT versenden.
Message-ID: <20130115055412.Horde.kdTMM1QvoipQ9OD0zzS1CoA@webmail.your-server.de>

Hallo,

ich nutze OMD/ check_mk zur Überwachung unserer Systeme.
Leider ist die Lösung was den Mailversand angeht nicht wirklich  
intuitiv zu konfigurieren, wobei das sicher auch an unserer  
"Erwartungshaltung" liegt.
Meine Frage:
Wie könnte ich per Postfix dafür sorgen das Mails mit Zeilen wie
Command:  check-mk-ping
nicht aus gehen?

Host:     win71234
Alias:    win71234
Address:  192.168.x.y
State:    UP -> DOWN (PROBLEM)
Command:  check-mk-ping
Output:   CRITICAL - 192.168.x.y
: rta nan, lost 100%
Perfdata: rta=0.000ms;200.000;500.000;0; pl=100%;40;80;;  
rtmax=0.000ms;;;; rtmin=0.000ms;;;;


-- 
MfG

Ralf Prengel




From klaus at tachtler.net  Tue Jan 15 09:16:40 2013
From: klaus at tachtler.net (Klaus Tachtler)
Date: Tue, 15 Jan 2013 09:16:40 +0100
Subject: [Postfixbuch-users] Mails basierend auf Inhalt NICHT versenden.
In-Reply-To: <20130115055412.Horde.kdTMM1QvoipQ9OD0zzS1CoA@webmail.your-server.de>
References: <20130115055412.Horde.kdTMM1QvoipQ9OD0zzS1CoA@webmail.your-server.de>
Message-ID: <20130115091640.Horde.bVwCUIEWF82teENQpvd_ZA1@buero.tachtler.net>

Hallo Ralf,

> ich nutze OMD/ check_mk zur Überwachung unserer Systeme.
> Leider ist die Lösung was den Mailversand angeht nicht wirklich  
> intuitiv zu konfigurieren, wobei das sicher auch an unserer  
> "Erwartungshaltung" liegt.

Ich nutzte "NUR" Nagios, jedoch mit nachfolgendem check-command, um zu  
überprüfen ob Postfix grundsätzlich da ist und in den e-Mail-Dialog  
einsteigt, bzw. bis zu einem gewissen Grad diesen mitmacht. Ich will  
aber keine e-Mail tatsächlich versenden, mir reicht nachfolgender CHECK:

command[check_mail_smtp]=/usr/lib64/nagios/plugins/check_smtp -H  
127.0.0.1 -p 25 -C "mail from: <nagios at deinedomain.wasauchimmer>" -R  
"250" -C "rcpt to: <nagios at deinedomain.wasauchimmer>" -R "250" -w 1 -c 3

> Meine Frage:
> Wie könnte ich per Postfix dafür sorgen das Mails mit Zeilen wie
> Command:  check-mk-ping
> nicht aus gehen?
> ...

Mach Dich doch mal ein bisschen schlau über die Themen "HEADER- bzw.  
für Dich eher BODY-Checks"...

Es ist ebenso die Frage, was Du willst.

a.) Willst Du "NUR" prüfen, ob Dein Postfix da ist und grundsätzlich  
in den e-Mail Dialog einsteigt, dann siehe meinen CHECK von oben.

b.) Willst Du prüfen, ob e-Mails auch wirklich versendet werden  
können, dann solltest Du auch e-Mails versenden!


Grüße
Klaus.



--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From ralf.prengel at rprengel.de  Wed Jan 16 07:18:20 2013
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Wed, 16 Jan 2013 07:18:20 +0100
Subject: [Postfixbuch-users] Mails basierend auf Inhalt NICHT versenden.
In-Reply-To: <20130115091640.Horde.bVwCUIEWF82teENQpvd_ZA1@buero.tachtler.net>
References: <20130115055412.Horde.kdTMM1QvoipQ9OD0zzS1CoA@webmail.your-server.de>
 <20130115091640.Horde.bVwCUIEWF82teENQpvd_ZA1@buero.tachtler.net>
Message-ID: <20130116071820.Horde.5mZ9B1QvoipQ9kYsUIZ0MLA@webmail.your-server.de>


Zitat von Klaus Tachtler <klaus at tachtler.net>:

> Hallo Ralf,

> Ich nutzte "NUR" Nagios, jedoch mit nachfolgendem check-command, um  
> zu überprüfen ob Postfix grundsätzlich da ist und in den  
> e-Mail-Dialog einsteigt, bzw. bis zu einem gewissen Grad diesen  
> mitmacht. Ich will aber keine e-Mail tatsächlich versenden, mir  
> reicht nachfolgender CHECK:

Hallo,

danke für die Infos.
Ich will letzlich nicht die Funktion von Postfix überwachen sondern  
nur erreichend as Postfix Mails mit bestimmten Inhalten nicht versendet.
Ich schaue mir body_checks mal näher an.

Gruß



Ralf Prengel




From andreas.schulze at datev.de  Wed Jan 16 15:07:15 2013
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Wed, 16 Jan 2013 15:07:15 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
Message-ID: <20130116140715.GA8180@spider.services.datevnet.de>

Hallo,

in einer access-table ist als Aktion "DISCARD" möglich. Damit wird die eingegende Mail
verworfen. Optional kann noch ein Text angegeben werden.

discard at example.org	DISCARD interssiert nicht ...

Leider landet dieser Zusatztext nur im Logfile des empfangenden Servers.
Der Sendeserver bekommt weiterhin ein "250 OK: queued as $queueid"

Für den Versender ist also nicht mal in seinem Log anhand der SMTP-Antwort
*erkennbar*, dass die Mail verworfen wurde.
Genau das wäre aber schick: "OK, Ich habe Deine Mail angenommen und weggeschmissen"

Kennt jemand eine akternative Möglichkeit?
Danke!

Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From gregor at aeppelbroe.de  Wed Jan 16 15:36:43 2013
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Wed, 16 Jan 2013 15:36:43 +0100
Subject: [Postfixbuch-users] [OT] Netzwerkaufbau - Bastionshost als
	Virtuelle Maschine?
Message-ID: <53663db3be249fa94e683bac2254c22c@ffm-it.dyndns.org>

Moin,

wir planen einen lokalen Mail/Groupwareserver aufzusetzen.
Damit der eigentliche Mailserver nicht im lokalen Netz hängt, würde ich einen 'Bastionshost bzw. Mailrelay' in eine DMZ setzen und den eigentlichen Mail/Groupwareserver dann in unser Netz integrieren.
Wie auch im Postfix-Buch beschrieben.

Den DMZ-Rechner würden wir entweder auf einer physikalischen Maschine aufbauen oder evtl. auch als virtuelle Maschine auf unserem VMware-Server.
Auf dem VMwareServer könnte die Virtuelle Maschine über ein eigenes Netzwerkinterface verfügen, welches über ein eigenes VLan mit der Firewall verbunden wird.

Die physikalische Maschine könnte natürlich direkt an die FW gehängt werden.

Was mich interessieren würde, in wie weit es bei einem kompromitierten Mailrelay mit der Sicherheit gegen die anderen VMs bzw. Netzwerk aussieht. Gibt es Bedrohungszenarien das man aus der VM andere VMs angreifen kann?

Grüße

Gregor
-- 


-- 


-- 





From maegger at ee.ethz.ch  Wed Jan 16 15:41:39 2013
From: maegger at ee.ethz.ch (Matthias Egger)
Date: Wed, 16 Jan 2013 15:41:39 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
In-Reply-To: <20130116140715.GA8180@spider.services.datevnet.de>
References: <20130116140715.GA8180@spider.services.datevnet.de>
Message-ID: <50F6BC23.40107@ee.ethz.ch>

On 16.01.2013 15:07, Andreas Schulze wrote:
> discard at example.org	DISCARD interssiert nicht ...
> [...]
> Für den Versender ist also nicht mal in seinem Log anhand der SMTP-Antwort
> *erkennbar*, dass die Mail verworfen wurde.
> Genau das wäre aber schick: "OK, Ich habe Deine Mail angenommen und weggeschmissen"
Wie wäre es mit

discard at example.org   REJECT interessiert nicht ....

???

-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95


From kai_postfix at fuerstenberg.ws  Wed Jan 16 15:49:59 2013
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 16 Jan 2013 15:49:59 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
In-Reply-To: <20130116140715.GA8180@spider.services.datevnet.de>
References: <20130116140715.GA8180@spider.services.datevnet.de>
Message-ID: <50F6BE17.90305@fuerstenberg.ws>

Am 16.01.2013 15:07, schrieb Andreas Schulze:
> Genau das wäre aber schick: "OK, Ich habe Deine Mail angenommen und weggeschmissen"

Warum nimmst du die Mail dann erst an, wenn du sie eh wegschmeisst? Ein
REJECT Ich will keine Mails von Dir
erzeugt eigentlich genau das, was du willst.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From andreas.schulze at datev.de  Wed Jan 16 17:19:39 2013
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Wed, 16 Jan 2013 17:19:39 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
In-Reply-To: <50F6BE17.90305@fuerstenberg.ws>
References: <20130116140715.GA8180@spider.services.datevnet.de>
 <50F6BE17.90305@fuerstenberg.ws>
Message-ID: <20130116161939.GA10328@spider.services.datevnet.de>

Am 16.01.2013 15:49 schrieb Kai Fürstenberg:
> Warum nimmst du die Mail dann erst an, wenn du sie eh wegschmeisst? Ein
> REJECT Ich will keine Mails von Dir
> erzeugt eigentlich genau das, was du willst.
Genau das geht in dem speziellen Kontext gerade nicht, da beim Reject Bounces entstehen.
Wenn REJECT semantisch identisch wäre, hätte Wietse DISCARD doch auch gar nicht implementiert.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From driessen at fblan.de  Wed Jan 16 17:58:40 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Wed, 16 Jan 2013 17:58:40 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
In-Reply-To: <20130116161939.GA10328@spider.services.datevnet.de>
References: <20130116140715.GA8180@spider.services.datevnet.de>
 <50F6BE17.90305@fuerstenberg.ws>
 <20130116161939.GA10328@spider.services.datevnet.de>
Message-ID: <002701cdf40a$bc8fe690$35afb3b0$@fblan.de>

Im Auftrag von Andreas Schulze
> Gesendet: Mittwoch, 16. Januar 2013 17:20
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] DISCARD sichtbar machen
> 
> Am 16.01.2013 15:49 schrieb Kai Fürstenberg:
> > Warum nimmst du die Mail dann erst an, wenn du sie eh wegschmeisst?
> Ein
> > REJECT Ich will keine Mails von Dir
> > erzeugt eigentlich genau das, was du willst.
> Genau das geht in dem speziellen Kontext gerade nicht, da beim Reject
> Bounces entstehen.
> Wenn REJECT semantisch identisch wäre, hätte Wietse DISCARD doch auch
> gar nicht implementiert.
> 

Reject = Die Annahme wird verweigert "550 ......" z.B. User unknown, you are
not welcome,..... was auch immer in der Tabelle als Ablehnungsgrund angeben
wird 

Discard = Mail wird angenommen und nach /dev/null geschoben *frei schnauze 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



From driessen at fblan.de  Wed Jan 16 18:07:21 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Wed, 16 Jan 2013 18:07:21 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
In-Reply-To: <20130116161939.GA10328@spider.services.datevnet.de>
References: <20130116140715.GA8180@spider.services.datevnet.de>
 <50F6BE17.90305@fuerstenberg.ws>
 <20130116161939.GA10328@spider.services.datevnet.de>
Message-ID: <002801cdf40b$f2ff5610$d8fe0230$@fblan.de>

Im Auftrag von Andreas Schulze
> Gesendet: Mittwoch, 16. Januar 2013 17:20
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] DISCARD sichtbar machen
> 
> Am 16.01.2013 15:49 schrieb Kai Fürstenberg:
> > Warum nimmst du die Mail dann erst an, wenn du sie eh wegschmeisst?
> Ein
> > REJECT Ich will keine Mails von Dir
> > erzeugt eigentlich genau das, was du willst.
> Genau das geht in dem speziellen Kontext gerade nicht, da beim Reject
> Bounces entstehen.
> Wenn REJECT semantisch identisch wäre, hätte Wietse DISCARD doch auch
> gar nicht implementiert.
> 

Wer discardet denn die Mails?
Ich kenne discard nur im Bezug auf Amavis (zu hoher score wegwerfen ohne
Kommentar)

Innerhalb Postfix in den Restriktionen habe ich nur Reject drin entweder er
besteht die Restriktionen oder wird nicht angenommen 

Unter Amavis wird discard nur dann genommen wenn Latebounces zu befürchten
sind ansonsten bei Pre - filter kann man einfach reject statt discard
nehmen.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From ralf.prengel at rprengel.de  Wed Jan 16 19:26:47 2013
From: ralf.prengel at rprengel.de (Ralf Prengel)
Date: Wed, 16 Jan 2013 19:26:47 +0100
Subject: [Postfixbuch-users] [OT] Netzwerkaufbau - Bastionshost als
	Virtuelle Maschine?
In-Reply-To: <53663db3be249fa94e683bac2254c22c@ffm-it.dyndns.org>
References: <53663db3be249fa94e683bac2254c22c@ffm-it.dyndns.org>
Message-ID: <5969CA13-E927-4927-9376-B349AFDFFF18@rprengel.de>

sorry für dad Format aber ich schreibe mobil. 
www.vmware-forum. de
da laufen immer wieder ähnliche Fragen.

gruss

Am 16.01.2013 um 15:36 schrieb Gregor Burck <gregor at aeppelbroe.de>:

> Moin,
> 
> wir planen einen lokalen Mail/Groupwareserver aufzusetzen.
> Damit der eigentliche Mailserver nicht im lokalen Netz hängt, würde ich einen 'Bastionshost bzw. Mailrelay' in eine DMZ setzen und den eigentlichen Mail/Groupwareserver dann in unser Netz integrieren.
> Wie auch im Postfix-Buch beschrieben.
> 
> Den DMZ-Rechner würden wir entweder auf einer physikalischen Maschine aufbauen oder evtl. auch als virtuelle Maschine auf unserem VMware-Server.
> Auf dem VMwareServer könnte die Virtuelle Maschine über ein eigenes Netzwerkinterface verfügen, welches über ein eigenes VLan mit der Firewall verbunden wird.
> 
> Die physikalische Maschine könnte natürlich direkt an die FW gehängt werden.
> 
> Was mich interessieren würde, in wie weit es bei einem kompromitierten Mailrelay mit der Sicherheit gegen die anderen VMs bzw. Netzwerk aussieht. Gibt es Bedrohungszenarien das man aus der VM andere VMs angreifen kann?
> 
> Grüße
> 
> Gregor
> -- 
> 
> 
> -- 
> 
> 
> -- 
> 
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From mail at dgeisler.de  Thu Jan 17 06:14:20 2013
From: mail at dgeisler.de (Dominick Geisler)
Date: Thu, 17 Jan 2013 06:14:20 +0100
Subject: [Postfixbuch-users] DISCARD sichtbar machen
In-Reply-To: <20130116161939.GA10328@spider.services.datevnet.de>
References: <20130116140715.GA8180@spider.services.datevnet.de>
 <50F6BE17.90305@fuerstenberg.ws>
 <20130116161939.GA10328@spider.services.datevnet.de>
Message-ID: <e89c34229783f003b095b5d4e95bbbeb@dgeisler.de>

Am 2013-01-16 17:19, schrieb Andreas Schulze:
> Am 16.01.2013 15:49 schrieb Kai Fürstenberg:
>> Warum nimmst du die Mail dann erst an, wenn du sie eh wegschmeisst? 
>> Ein
>> REJECT Ich will keine Mails von Dir
>> erzeugt eigentlich genau das, was du willst.
> Genau das geht in dem speziellen Kontext gerade nicht, da beim Reject
> Bounces entstehen.
> Wenn REJECT semantisch identisch wäre, hätte Wietse DISCARD doch auch
> gar nicht implementiert.

Wenn Du mit REJECT antwortest erzeugst Du keinen Bounce, sondern sagst 
im Rahmen der ganz normalen SMTP-Kommunikation einfach dass du die Mail 
aus welchen Gründen auch immer nicht annimmst. Weiter tut dein 
Mailserver dann gar nichts. Der _einliefernde_ Mailserver wird seinen 
Benutzer (bestenfalls) darüber informieren das er nicht zustellen 
konnte. Du hast hier also keine Backscatter-Problematik. Darum ist 
REJECT auch genau die richtige Antwort auf alles was man nicht möchte. 
Es passiert also genau das was Du dir in deiner ersten Mail so gewünscht 
hast.

Ein von dir Bounce ensteht in dem Moment in dem du die Mail annimmst 
und dann keine Idee mehr hast was du damit tun sollst weil dein Benutzer 
vielleicht eine kaputte Weiterleitung konfiguriert hat oder ähnliches. 
Und möglicherweise gibt es sogar irgendwelche ganz angefahrenen Setups 
in denen an irgendeiner Stelle DISCARD sinn macht, aber dass ist 
definitiv kein guter Anwendungsfall.

Wenn Du die Mail annimmst -- also die technische Verantwortung für die 
Nachricht übernimmst -- sie dann einfach entsorgst und dein Mailserver 
auch Mails für andere Personen annimmt begibst du dich möglicherweise 
sogar Gefahr richtige Probleme zu kommen. (Unterdrückung anvertrauter 
Nachrichten in §206 StgB)

dom


From gregor at aeppelbroe.de  Fri Jan 18 11:24:05 2013
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Fri, 18 Jan 2013 11:24:05 +0100
Subject: [Postfixbuch-users] =?utf-8?q?=5BOT=5D_Netzwerkaufbau_-_Einstellu?=
 =?utf-8?q?ngen_beim_SMTP-Relay=2C_Anbindung_von_Au=C3=9Fendienstlern?=
Message-ID: <ba75b20fa748924ca8020dbcd4da6a38@ffm-it.dyndns.org>

Moin,

da es jetzt klar ist, das der SMTP-relay nicht in eine VM kommt, habe ich noch die eine oder andere Frage zur Konfiguration.
Unser Status ist übrigens ein bei 1und1 stehender Root-Server, der abgelöst werden soll, dort werden die Emails per imap oder pop abgerufen (auch unverschlüsselt,...).
Ein Backup ist nicht wirklich vorhanden,... Aus Schaden wird man klüger (nicht unbedingt klug!)

Der SMTP-Relay kommt eine eigene DMZ und soll natürlich nur die relevanten Domains durchreichen, soweit klar.
Der ganze Spam-Schutz, amavis-Prüfung etc. muss dann ja auch hier laufen.
Wie sieht es mit der Empfängerüberprüfung aus? Muss ich die hier auch schon machen?
Bei einem fehlenden Empfänger würde ja sonst nur mein Relay einen Fehler erhalten und nicht der eigentliche Sender? Oder verhält sich Postfix dann wie ein transparentes Proxy?
Ich könnte ja natürlich auch hier die Empfängeradressen vorhalten, wenn dies notwendig ist.

Die andere Frage wäre, wie ich unseren Außendienstlern Ihre Emails einigermaßen komfortable vorhalten kann.
Eine Möglichkeit wäre, auch den Groupwareserver (Webmailer und evtl. mehr,) in eine eigene DMZ zu stellen. Auf diesen könnte man dann von Innen und Außen zugreifen.

Oder aber den Groupwareserver ins Intranet, und in eine DMZ einen Webclient der per IMAP auf den GS im Intranet zugreift?
Die Angewohnheit Mails auch auf Smartphones abzurufen macht mir auch noch Kopfzerbrechen.
Es gibt ja auch ein interessantes PDF beim BSI, das ich schon zum Teil gelesen habe, da meine ich das auch so wie oben beschrieben verstanden zu haben,...

Grüße

Gregor
-- 





From atann at alphasrv.net  Fri Jan 18 12:07:26 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 18 Jan 2013 12:07:26 +0100
Subject: [Postfixbuch-users] =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
Message-ID: <201301181207.26913@inter.netz>

Servus zusammen,

zunehmend bekomme ich Beschwerden von Usern, weil es eingehend zu 
Verzögerungen kommt. Wenn ich dann nachsehe, dann ist es in der Tat so, daß 
eine mehrstündige Verzögerung vorliegt, und zwar immer dann, wenn das 
einliefernde System viele Outbound-Relays hat.

Google: mehr als 100
Salesforce: mehr als 50
ovh.net: mehr als 20
obsmtp.com: mehr als 50

Die Liste ließe sich fortsetzen. Eigen ist diesen Pools jedenfalls, daß 
jedesmal ein anderer Server versucht einzuliefern. So bleibt jeder zuerst am 
Postscreen hängen, dann am Postgrey, und das zieht sich ewig hin.

Daß  ich das alles whitelisten kann weiß ich. Aber es ist doch eher mühsam, 
und frustriert die User.
Leider habe ich nicht genügend User, bzw. es kommen von den o.g. Pools 
zuwenige Mails, als daß irgendwann alle Server automatisch gewhitelistet 
würden.

Wie handhaben denn das andere hier, oder bin ich der einzige, dem das 
auffällt?

-- 
Andre Tann



From ronny at seffner.de  Fri Jan 18 12:17:01 2013
From: ronny at seffner.de (Ronny Seffner)
Date: Fri, 18 Jan 2013 12:17:01 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?=5BOT=5D_Netzwerkaufbau_-_Eins?=
	=?iso-8859-1?q?tellungen_beim_SMTP-Relay=2C_Anbindung_von_Au=DFend?=
	=?iso-8859-1?q?ienstlern?=
In-Reply-To: <ba75b20fa748924ca8020dbcd4da6a38@ffm-it.dyndns.org>
References: <ba75b20fa748924ca8020dbcd4da6a38@ffm-it.dyndns.org>
Message-ID: <003a01cdf56d$57f86770$07e93650$@seffner.de>

Hallo Gregor,

ich denke für Deine Fragen/Problemstellung gibt es keinen golden Weg,
sondern nur use-cases die immer ein Kompromiss aus Sicherheit und Funktion
sein werden.

> Der ganze Spam-Schutz, amavis-Prüfung etc. muss dann ja auch hier laufen.
>
Zumindest all die "billigen" Checks, die den Umschlag (envelope) und
SMTP-Dialog prüfen. Für den Inhaltscheck hast Du je nach Konfiguration die
Mail ggf. schon angenommen um sie für den Empfänger nur entsprechend zu
sortieren oder markieren - das kann auch ein nachgelagertes System machen.

> Wie sieht es mit der Empfängerüberprüfung aus? Muss ich die hier auch
> schon machen?
> 
Wenn Du auf Grund nicht vorhandener (also erratener) Empfänger ablehnen
willst: ja.
- Du kannst zwei Systeme pflegen: die Nachteile sind wohl jedem klar
- postfix kann in einem smtp-Dialog mit dem Grpuware server schon beim
Einliefern prüfen "ob da hinten" der Empfänger bekannt ist: führt aber zur
kompletten Ablehnung von Mails, wenn Du an der Groupware mal ne Störung oder
Wartung hast
=> ich würde für einen Automatismus sorgen, der mir regelm. die gültigen
Empfänger in der DMZ zur Verfügung stellt: so lesen wir per VB oder LDAP ein
AD nach Exchange-Empfängern aus und stellen das Ergebnis per SCP kopiert dem
Relay/Smarthost als Textfile zur Verfügung

! Denke auch über den 2nd MX nach. Wenn der Primary Empfänger validiert,
sollte es der 2nd auch können sonst wird eben dort der ganze Müll abgekippt
und Du kannst wieder nicht abweisen und musst Dich deswegen mit Müll und
ggf. backscattern plagen.

> Die andere Frage wäre, wie ich unseren Außendienstlern Ihre Emails
> einigermaßen komfortable vorhalten kann.
> Eine Möglichkeit wäre, auch den Groupwareserver (Webmailer und evtl.
> mehr,) in eine eigene DMZ zu stellen. Auf diesen könnte man dann von Innen
> und Außen zugreifen.
> 
> Oder aber den Groupwareserver ins Intranet, und in eine DMZ einen
> Webclient der per IMAP auf den GS im Intranet zugreift?
> Die Angewohnheit Mails auch auf Smartphones abzurufen macht mir auch noch
> Kopfzerbrechen.
> 
Du lieferst ja schon Ansätze. Wie gesagt entscheide über die nötigen
Funktionen und suche dann nach der passenden technischen Lösung. Da Du
Grouware-interne Kommunikation schlecht draußen abbilden kannst wird der Weg
zur Groupware wohl der einfachste sein. Von was reden wir den: seit Version
2000 kann man sich trauen auch OWA (und damit ActiveSync) rauszustellen
(wenn der organisatorische Background wie zB. Patchmanagement und
Passwortrichtlinien stimmen).
Ein zusätzlicher Webmailer erhöht nach meiner Meinung die Angriffsfläche (Du
hast jetzt 2 Softwaren, die kaputt sein können, das PHP,Java,? des
Webmailers und POP/IMAP der Groupware) bei weniger Funktion (nicht alle
Webmailer bilden alle Funktionen von Groupware ab).


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
-- 
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  ronny at seffner.de  |  +49 35245 72950



From driessen at fblan.de  Fri Jan 18 13:24:55 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Fri, 18 Jan 2013 13:24:55 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
	=?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181207.26913@inter.netz>
References: <201301181207.26913@inter.netz>
Message-ID: <005301cdf576$d2f26760$78d73620$@fblan.de>

Im Auftrag von Andre Tann
> 
> Servus zusammen,
> 
> zunehmend bekomme ich Beschwerden von Usern, weil es eingehend zu
> Verzögerungen kommt. Wenn ich dann nachsehe, dann ist es in der Tat so,
> daß
> eine mehrstündige Verzögerung vorliegt, und zwar immer dann, wenn das
> einliefernde System viele Outbound-Relays hat.
> 
> Google: mehr als 100
> Salesforce: mehr als 50
> ovh.net: mehr als 20
> obsmtp.com: mehr als 50
> 
> Die Liste ließe sich fortsetzen. Eigen ist diesen Pools jedenfalls, daß
> jedesmal ein anderer Server versucht einzuliefern. So bleibt jeder zuerst
am
> Postscreen hängen, dann am Postgrey, und das zieht sich ewig hin.
> 
> Daß  ich das alles whitelisten kann weiß ich. Aber es ist doch eher
mühsam,
> und frustriert die User.
> Leider habe ich nicht genügend User, bzw. es kommen von den o.g. Pools
> zuwenige Mails, als daß irgendwann alle Server automatisch gewhitelistet
> würden.
> 
> Wie handhaben denn das andere hier, oder bin ich der einzige, dem das
> auffällt?
> 

So was interessiert mich nicht. Gerade der Missbrauch bei den oben genannten
Server ist sehr hoch und da ist mir die Sicherheit der eigene Infrastruktur
lieber.
Die Verzögerung passiert auch nur bei der ersten Einlieferung. Wer ständig
miteinander Kommuniziert hat keine Verzögerung!!
Meinen Kunden habe ich das erklärt, es wurde verstanden und akzeptiert. 
Wer das nicht akzeptiert muß den Anbieter wechseln und hat dann evtl.
20%(und mehr) unerwünschte Mails im Postfach.

Im Übrigen muß der der die Mails abliefert mit den "temp Fehlern" umgehen
können.

Wer so dringend auf Mails von Google angewiesen ist soll sich auch dort ein
kostenloses Konto einrichten. Er wird feststellen das es unter Umständen
auch dort intern durchaus länger dauert bis das eine Mail zugestellt
wird.(und manchmal auch überhaupt nicht ankommt):-))

Mail ist kein Echtzeitkommunikationsmittel!! War nie dafür gedacht. Für
Echtzeitkommunikation auf Messanger, Fax, Telegramm, FTP, shared Dokuments
ausweichen


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From atann at alphasrv.net  Fri Jan 18 13:57:05 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 18 Jan 2013 13:57:05 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <005301cdf576$d2f26760$78d73620$@fblan.de>
References: <201301181207.26913@inter.netz>
 <005301cdf576$d2f26760$78d73620$@fblan.de>
Message-ID: <201301181357.05953@inter.netz>

Uwe Drießen, Freitag, 18. Januar 2013: 

> So was interessiert mich nicht. Gerade der Missbrauch bei den oben
> genannten Server ist sehr hoch und da ist mir die Sicherheit der eigene
> Infrastruktur lieber.
> Die Verzögerung passiert auch nur bei der ersten Einlieferung. Wer
> ständig miteinander Kommuniziert hat keine Verzögerung!!

Das stimmt eben leider nur bedingt. Wenn man alle paar Tage mit einem User 
kommuniziert, der hinter einem 100-Server-System sitzt, dann braucht man 
Monate, bis die endlich alle mal gewhitelistet sind.


> Meinen Kunden habe ich das erklärt, es wurde verstanden und akzeptiert.
> Wer das nicht akzeptiert muß den Anbieter wechseln und hat dann evtl.
> 20%(und mehr) unerwünschte Mails im Postfach.

Erklärt habe ich es auch, verstanden wurde es auch, und trotzdem ist der 
Punkt: Kunde schickt nen Auftrag, das Ding ist eilig, Mail kommt aber über 
Stunden nicht an. Du hast zwei Möglichkeiten:

a. Mail erneut an den Privaten GMX-Account schicken lassen => kommt sofort 
an, Auftrag kann bearbeitet werden.

b. warten, Drucktermin ist verstrichen, Auftrag weg.

Wofür entscheidest Du Dich?


> Im Übrigen muß der der die Mails abliefert mit den "temp Fehlern" umgehen
> können.

Der User kann nichts dafür, daß sein Arbeitgeber irgend einen Dienstleister 
beauftragt hat mit der Abwicklung des Mailverkehrs, und noch weniger 
interessiert er sich dafür, wieviele outbound relays der Dienstleister 
einsetzt. Der schickt einfach seine Mail los, und denkt, daß sie schon 
demnächst ankommen wird. Und meine Aufgabe sehe ich darin, möglichst dafür 
zu sorgen, daß das auch so ist.

Ansonsten haben meine User zwar ein toll spamfreies Postfach, aber auch 
eines, bei dem nie klar ist, ob die Mail heute kommt oder morgen.


> Mail ist kein Echtzeitkommunikationsmittel!! War nie dafür gedacht. Für
> Echtzeitkommunikation auf Messanger, Fax, Telegramm, FTP, shared
> Dokuments ausweichen

Realitätsfremd. Jedem Auftraggeber zu erklären, wie er ftp einrichtet, ist 
vollkommen unrealistisch.

-- 
Andre Tann



From timo.schoeler at riscworks.net  Fri Jan 18 14:02:38 2013
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Fri, 18 Jan 2013 14:02:38 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181357.05953@inter.netz>
References: <201301181207.26913@inter.netz>
 <005301cdf576$d2f26760$78d73620$@fblan.de> <201301181357.05953@inter.netz>
Message-ID: <50F947EE.1050104@riscworks.net>

On 01/18/2013 01:57 PM, thus Andre Tann spake:

> Uwe Drießen, Freitag, 18. Januar 2013:
>
>> So was interessiert mich nicht. Gerade der Missbrauch bei den oben
>> genannten Server ist sehr hoch und da ist mir die Sicherheit der
>> eigene Infrastruktur lieber. Die Verzögerung passiert auch nur bei
>> der ersten Einlieferung. Wer ständig miteinander Kommuniziert hat
>> keine Verzögerung!!
>
> Das stimmt eben leider nur bedingt. Wenn man alle paar Tage mit einem
> User kommuniziert, der hinter einem 100-Server-System sitzt, dann
> braucht man Monate, bis die endlich alle mal gewhitelistet sind.

Mach doch mal einen dig(1) auf _spf.google.com --  kleines text adventure...

ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20
ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20
ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16

Damit ist das whitelisten dann relativ einfach.

HTH,

Timo

>> Meinen Kunden habe ich das erklärt, es wurde verstanden und
>> akzeptiert. Wer das nicht akzeptiert muß den Anbieter wechseln und
>> hat dann evtl. 20%(und mehr) unerwünschte Mails im Postfach.
>
> Erklärt habe ich es auch, verstanden wurde es auch, und trotzdem ist
> der Punkt: Kunde schickt nen Auftrag, das Ding ist eilig, Mail kommt
> aber über Stunden nicht an. Du hast zwei Möglichkeiten:
>
> a. Mail erneut an den Privaten GMX-Account schicken lassen =>  kommt
> sofort an, Auftrag kann bearbeitet werden.
>
> b. warten, Drucktermin ist verstrichen, Auftrag weg.
>
> Wofür entscheidest Du Dich?
>
>
>> Im Übrigen muß der der die Mails abliefert mit den "temp Fehlern"
>> umgehen können.
>
> Der User kann nichts dafür, daß sein Arbeitgeber irgend einen
> Dienstleister beauftragt hat mit der Abwicklung des Mailverkehrs, und
> noch weniger interessiert er sich dafür, wieviele outbound relays der
> Dienstleister einsetzt. Der schickt einfach seine Mail los, und
> denkt, daß sie schon demnächst ankommen wird. Und meine Aufgabe sehe
> ich darin, möglichst dafür zu sorgen, daß das auch so ist.
>
> Ansonsten haben meine User zwar ein toll spamfreies Postfach, aber
> auch eines, bei dem nie klar ist, ob die Mail heute kommt oder
> morgen.
>
>
>> Mail ist kein Echtzeitkommunikationsmittel!! War nie dafür gedacht.
>> Für Echtzeitkommunikation auf Messanger, Fax, Telegramm, FTP,
>> shared Dokuments ausweichen
>
> Realitätsfremd. Jedem Auftraggeber zu erklären, wie er ftp
> einrichtet, ist vollkommen unrealistisch.


From Jogie at quantentunnel.de  Fri Jan 18 14:14:39 2013
From: Jogie at quantentunnel.de (=?iso-8859-1?Q?=22J=F6rg_Sitek=22?=)
Date: Fri, 18 Jan 2013 14:14:39 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
	=?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
Message-ID: <20130118131439.55920@gmx.net>

Hi Andre,

 >> Meinen Kunden habe ich das erklärt, es wurde verstanden und akzeptiert. >> Wer das nicht akzeptiert muß den Anbieter wechseln und hat dann evtl. >> 20%(und mehr) unerwünschte Mails im Postfach. > Erklärt habe ich es auch, verstanden wurde es auch, und trotzdem ist der > Punkt: Kunde schickt nen Auftrag, das Ding ist eilig, Mail kommt aber über > Stunden nicht an. Du hast zwei Möglichkeiten: > a. Mail erneut an den Privaten GMX-Account schicken lassen => kommt sofort > an, Auftrag kann bearbeitet werden. > b. warten, Drucktermin ist verstrichen, Auftrag weg. > Wofür entscheidest Du Dich? Im postgrey könntest du die "wichtigen" Postfächer vom greylisting ausschließen. auftrag@ oder hotline@ ... so wie bei postmaster@ und abuse@
 Im Postscreen die großen Provider whitelisten. Die "großen" haben auf ihren Webseiten i.d.R. eine Liste mit Ihren Outgoing Relays.

 Dann bekommt halt der Spamassassin ggf. etwas mehr zu tun, aber deine Verzögerungen sind weg. Gerade auf kleinen Systemen (Maileingang < 10.000/Tag) würde ich das so machen.

 Gruß, Jörg
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130118/5344c34a/attachment.htm>

From atann at alphasrv.net  Fri Jan 18 14:15:39 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 18 Jan 2013 14:15:39 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50F947EE.1050104@riscworks.net>
References: <201301181207.26913@inter.netz> <201301181357.05953@inter.netz>
 <50F947EE.1050104@riscworks.net>
Message-ID: <201301181415.39389@inter.netz>

Timo Schoeler, Freitag, 18. Januar 2013: 

> Mach doch mal einen dig(1) auf _spf.google.com --  kleines text
> adventure...
> 
> ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20
> ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20
> ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20
> ip4:173.194.0.0/16

Bei mir kommt da weniger:

$ dig +short _spf.google.com txt
"v=spf1 include:_netblocks.google.com include:_netblocks6.google.com ?all"

Wie kommst Du auf diese Liste?


> Damit ist das whitelisten dann relativ einfach.

Muß man erstens händisch machen, sprich: überhaupt erst mal wissen, daß bei 
einem Absender ein Problem besteht, sprich: die Verzögerung muß so groß 
werden, daß der Empfänger stutzig wird.

Zweitens liefert vielleicht Google brav seine Subnetze, aus denen die 
outbound relays kommen. Aber das tun nicht alle.

-- 
Andre Tann



From technoworx at gmx.de  Fri Jan 18 14:19:38 2013
From: technoworx at gmx.de (Alexander Stoll)
Date: Fri, 18 Jan 2013 14:19:38 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181357.05953@inter.netz>
References: <201301181207.26913@inter.netz>
 <005301cdf576$d2f26760$78d73620$@fblan.de> <201301181357.05953@inter.netz>
Message-ID: <50F94BEA.1030105@gmx.de>

Am 18.01.2013 13:57, schrieb Andre Tann:

> Das stimmt eben leider nur bedingt. Wenn man alle paar Tage mit einem User
> kommuniziert, der hinter einem 100-Server-System sitzt, dann braucht man
> Monate, bis die endlich alle mal gewhitelistet sind.

Grundsätzlich ist in diesem Kontext zu hinterfragen, warum bei diesen 
"Clusterlösungen" nicht eine Affinität zum Ausgangssystem implementiert 
wird. Greylisting ist weder exotisch noch außerhalb definierter 
Protokolle. Ich sehe das als faktisches Defizit dieser Cluster 
Implementierungen. Ebenso wie SMTP-Systeme die nur eine einzige 
Zustellung versuchen.

Es ist immer die gleiche Frage in wie weit man Defizite anderer 
kontrollieren kann/soll...

> Erklärt habe ich es auch, verstanden wurde es auch, und trotzdem ist der
> Punkt: Kunde schickt nen Auftrag, das Ding ist eilig, Mail kommt aber über
> Stunden nicht an. Du hast zwei Möglichkeiten:
>
> a. Mail erneut an den Privaten GMX-Account schicken lassen => kommt sofort
> an, Auftrag kann bearbeitet werden.
>
> b. warten, Drucktermin ist verstrichen, Auftrag weg.
>
> Wofür entscheidest Du Dich?

Es ändert nichts, dass hier trotz allem eine falsche Erwartungshaltung 
vorliegt, nur weil etwas "üblich" ist, ist es nicht automatisch 
garantiert/sicher. Daran scheitern viele Abstraktionen von 
Geschäftsprozessen, in dem sie von falschen, aber "üblichen" Annahmen 
ausgehen.

Im konkreten Fall kann der Dienstleister eine für den Kunden 
benutzerfreundliche und handhabbare Möglichkeit zur nachvollziehbaren 
Datenübermittlung schaffen. Es irgendwie dem Medium, bzw. dessen 
konformer Implementierung anzulasten ist weder Ziel führend noch logisch 
korrekt.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2576 bytes
Beschreibung: S/MIME Kryptografische Unterschrift
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130118/4d04d9f4/attachment.p7s>

From timo.schoeler at riscworks.net  Fri Jan 18 14:20:14 2013
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Fri, 18 Jan 2013 14:20:14 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181415.39389@inter.netz>
References: <201301181207.26913@inter.netz> <201301181357.05953@inter.netz>
 <50F947EE.1050104@riscworks.net> <201301181415.39389@inter.netz>
Message-ID: <50F94C0E.6090700@riscworks.net>

On 01/18/2013 02:15 PM, thus Andre Tann spake:

> Timo Schoeler, Freitag, 18. Januar 2013:
>
>> Mach doch mal einen dig(1) auf _spf.google.com --  kleines text
>> adventure...
>>
>> ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20
>> ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20
>> ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20
>> ip4:173.194.0.0/16
>
> Bei mir kommt da weniger:
>
> $ dig +short _spf.google.com txt "v=spf1
> include:_netblocks.google.com include:_netblocks6.google.com ?all"
>
> Wie kommst Du auf diese Liste?

'Adventure':

[tis at executor ~]$ dig +short _netblocks.google.com TXT
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20
ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20
ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20
ip4:173.194.0.0/16 ?all"

>> Damit ist das whitelisten dann relativ einfach.
>
> Muß man erstens händisch machen, sprich: überhaupt erst mal wissen,
> daß bei einem Absender ein Problem besteht, sprich: die Verzögerung
> muß so groß werden, daß der Empfänger stutzig wird.

Logisch. Ggf. müsste man dann (falls Aufwand vertretbar) die Logs
checken (man muss es ja nicht so weit treiben, da einen nagios-Check
draus zu basteln).

> Zweitens liefert vielleicht Google brav seine Subnetze, aus denen
> die outbound relays kommen. Aber das tun nicht alle.

Ja, das mag natürlich sein. Dann bleibt Dir nichts anderes übrig, als
greylisting rauszunehmen, Dich also den
Kommunikations(un)gepflogenheiten des Gegenübers anzupassen.

Cheers,

Timo


From atann at alphasrv.net  Fri Jan 18 14:23:36 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 18 Jan 2013 14:23:36 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <20130118131439.55920@gmx.net>
References: <20130118131439.55920@gmx.net>
Message-ID: <201301181423.37064@inter.netz>

Hi Jörg,

Jörg Sitek, Freitag, 18. Januar 2013: 

>  Dann bekommt halt der Spamassassin ggf. etwas mehr zu tun, aber deine
> Verzögerungen sind weg. Gerade auf kleinen Systemen (Maileingang <
> 10.000/Tag) würde ich das so machen.

# sed -nre '/Jan 16.*[A-Z0-9]{10}:.*status=sent/s/.*([A-Z0-9]{10}):.*/\1/p' 
/var/log/mail.log | sort | uniq | wc -l
1225

Ist also ein sehr kleines System ;)


OK, ich sehe, daß mir nix anderes übrig bleiben wird als manuell 
einzugreifen. Mir schien, als würde sich das Problem vergrößert haben in der 
letzten Zeit, aber vielleicht ist das mehr zufällig.

Viele Grüße!

-- 
Andre Tann



From atann at alphasrv.net  Fri Jan 18 14:52:07 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 18 Jan 2013 14:52:07 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50F94C0E.6090700@riscworks.net>
References: <201301181207.26913@inter.netz> <201301181415.39389@inter.netz>
 <50F94C0E.6090700@riscworks.net>
Message-ID: <201301181452.07993@inter.netz>

Timo Schoeler, Freitag, 18. Januar 2013: 

> [tis at executor ~]$ dig +short _netblocks.google.com TXT

Danke fürs Winken mit dem Zaunpfahl ;), jetzt gehts bei mir auch.


> Logisch. Ggf. müsste man dann (falls Aufwand vertretbar) die Logs
> checken (man muss es ja nicht so weit treiben, da einen nagios-Check
> draus zu basteln).

Das wär doch mal was: ein nagios-Plugin, welches die durchschnittliche und 
die maximale Verzögerung durch a) Postscreen und b) Postgrey im Logfile 
ermittelt, und ggf. Alarm schlägt. Oh je, ich glaub, dafür reicht mein Perl 
nicht :(


> Ja, das mag natürlich sein. Dann bleibt Dir nichts anderes übrig, als
> greylisting rauszunehmen, Dich also den
> Kommunikations(un)gepflogenheiten des Gegenübers anzupassen.

...tja, so ist es wohl. Allerdings hab ich jetzt mal mal den zweiten MX aus 
dem DNS genommen, sodaß alles nur noch auf dem ersten aufschlägt, sprich: 
die Trefferwahrscheinlichkeit für postscreen/greylisting wird dadurch 
verdoppelt. Vielleicht hilft das schon mal ein Stück weit.

-- 
Andre Tann



From timo.schoeler at riscworks.net  Fri Jan 18 14:55:22 2013
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Fri, 18 Jan 2013 14:55:22 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181452.07993@inter.netz>
References: <201301181207.26913@inter.netz> <201301181415.39389@inter.netz>
 <50F94C0E.6090700@riscworks.net> <201301181452.07993@inter.netz>
Message-ID: <50F9544A.7090503@riscworks.net>

On 01/18/2013 02:52 PM, thus Andre Tann spake:
> Timo Schoeler, Freitag, 18. Januar 2013:
>
>> [tis at executor ~]$ dig +short _netblocks.google.com TXT
>
> Danke fürs Winken mit dem Zaunpfahl ;), jetzt gehts bei mir auch.

Immer. ;)

>> Logisch. Ggf. müsste man dann (falls Aufwand vertretbar) die Logs
>> checken (man muss es ja nicht so weit treiben, da einen
>> nagios-Check draus zu basteln).
>
> Das wär doch mal was: ein nagios-Plugin, welches die
> durchschnittliche und die maximale Verzögerung durch a) Postscreen
> und b) Postgrey im Logfile ermittelt, und ggf. Alarm schlägt. Oh je,
> ich glaub, dafür reicht mein Perl nicht :(

Ich hab sowas laufen, allerdings so dreckig gebaut, dass ich mich
schämen würde, es hier reinzukippen. Vllt. kommt ja noch der eine oder
andere grausige Winterabend...

>> Ja, das mag natürlich sein. Dann bleibt Dir nichts anderes übrig,
>> als greylisting rauszunehmen, Dich also den
>> Kommunikations(un)gepflogenheiten des Gegenübers anzupassen.
>
> ...tja, so ist es wohl. Allerdings hab ich jetzt mal mal den zweiten
> MX aus dem DNS genommen, sodaß alles nur noch auf dem ersten
> aufschlägt, sprich: die Trefferwahrscheinlichkeit für
> postscreen/greylisting wird dadurch verdoppelt. Vielleicht hilft das
> schon mal ein Stück weit.

Das wiederum kann man doch wunderbar in einer gemeinsamen DB... und so
weiter. ;)

Schönes Wochenende!


From simon.passlack at googlemail.com  Fri Jan 18 15:00:23 2013
From: simon.passlack at googlemail.com (simon.passlack at googlemail.com)
Date: Fri, 18 Jan 2013 15:00:23 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
	=?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181207.26913@inter.netz>
References: <201301181207.26913@inter.netz>
Message-ID: <CALwS2mrMDapgrOuA_2LmbCm1yhMev1LQ56C7xYZQGPt=P7V=7A@mail.gmail.com>

Hallo

> Daß  ich das alles whitelisten kann weiß ich. Aber es ist doch eher mühsam,
> und frustriert die User.

In meinem Setup nehme ich alle Server, die einen Eintrag auf dnswl.org
haben, vom Greylisting aus. Seit dem habe ich keine Beschwerden wegen
verzögerter Mails mehr bekommen.

Simon


From Jogie at quantentunnel.de  Fri Jan 18 15:04:03 2013
From: Jogie at quantentunnel.de (=?iso-8859-1?Q?=22J=F6rg_Sitek=22?=)
Date: Fri, 18 Jan 2013 15:04:03 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
	=?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
Message-ID: <20130118140403.55950@gmx.net>

Hi Andre,

 > Allerdings hab ich jetzt mal mal den zweiten MX aus > dem DNS genommen, sodaß alles nur noch auf dem ersten aufschlägt, sprich: > die Trefferwahrscheinlichkeit für postscreen/greylisting wird dadurch > verdoppelt. Vielleicht hilft das schon mal ein Stück weit. Da wird sich nichts ändern. Da bei einem 4xx Fehler sofort der zweite MX mit gleicher Prio genommen wird.
 Dann eher für deinen einen Server 4 oder mehr MX Einträge mit gleicher Prio anlegen. Dann wird 1 Server immer 4x hintereinander bei einem 4xx Fehler angesprochen. Aber dann kannst du auch die großen in postscreen und postgrey whitelisten. Ist ja nur 1x Handarbeit. So schnell werden die Ihre IPs nicht ändern.

 Gruß, Jörg
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130118/568e5f18/attachment.htm>

From abien at nbmc.de  Fri Jan 18 15:20:54 2013
From: abien at nbmc.de (Alexander Bien)
Date: Fri, 18 Jan 2013 15:20:54 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181207.26913@inter.netz>
References: <201301181207.26913@inter.netz>
Message-ID: <50F95A46.6060103@nbmc.de>

On 18.01.2013 12:07, Andre Tann wrote:
> Servus zusammen,
>
> zunehmend bekomme ich Beschwerden von Usern, weil es eingehend zu
> Verzögerungen kommt. Wenn ich dann nachsehe, dann ist es in der Tat so, daß
> eine mehrstündige Verzögerung vorliegt, und zwar immer dann, wenn das
> einliefernde System viele Outbound-Relays hat.
>

Ich hatte vor kurzem den abstrusen Gedanken, dass die Wirksamkeit von 
Greylisting in den letzten Jahren stark abgenommen hat. Der 
Ursprungsgedanke war ja, das ein Spambot es kein zweites mal probieren 
wird usw.

Soweit ich das beobachte, kommt das aber immer häufiger vor. Die Bots 
haben sich angepasst und verhalten sich entsprechend.

Peer hat mir allerdings sofort ziemlich scharf widersprochen ;)

Gruß
ab



From atann at alphasrv.net  Fri Jan 18 15:50:04 2013
From: atann at alphasrv.net (Andre Tann)
Date: Fri, 18 Jan 2013 15:50:04 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50F95A46.6060103@nbmc.de>
References: <201301181207.26913@inter.netz> <50F95A46.6060103@nbmc.de>
Message-ID: <201301181550.05020@inter.netz>

Alexander Bien, Freitag, 18. Januar 2013: 

> Peer hat mir allerdings sofort ziemlich scharf widersprochen ;)

Muß er ja. Sonst wär sein Buch falsch, er müßte es neu schreiben, seine 
Freundin wäre sauer, und das Dovecot-Buch würde noch länger dauern. 

Ich habe für eine Domäne in der Tat das Greylisting abgeschaltet, und das 
Spamaufkommen hat sich nur unwesentlich erhöht. Verzögerungen gibts trotzdem 
noch wegen postscreen...

Es lassen sich schon ein paar Spammer aufhalten mit Greylisting, aber ich 
schätze nicht mehr als 50%.
-- 
Andre Tann



From p.heinlein at heinlein-support.de  Fri Jan 18 15:58:06 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 18 Jan 2013 15:58:06 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301181550.05020@inter.netz>
References: <201301181207.26913@inter.netz> <50F95A46.6060103@nbmc.de>
 <201301181550.05020@inter.netz>
Message-ID: <50F962FE.6040400@heinlein-support.de>

Am 18.01.2013 15:50, schrieb Andre Tann:

> Ich habe für eine Domäne in der Tat das Greylisting abgeschaltet, und das 
> Spamaufkommen hat sich nur unwesentlich erhöht. Verzögerungen gibts trotzdem 
> noch wegen postscreen...

Es hat ja auch niemand gesagt, daß deswegen aller Spam durchkommt.

Natürlich erledigen andere Mechanismen dann ungleich mehr Spam und am
Ende kommt prozentual nur wenig mehr durch.

Das gilt auch für andere. Schalte RBL ab und es kommt auch wenig mehr
durch. Dann rödelt halt SpamAssassin & Co. mehr.

> Es lassen sich schon ein paar Spammer aufhalten mit Greylisting, aber ich 
> schätze nicht mehr als 50%.

Tja, Glas-voll oder Glas-leer Philosophie.

*) Es gibt einen Check mit quasi NULL Resourcenbedarf
*) Es gibt einen Check der richtig eingesetzt quasi keine Auswirkungen hat
*) Dieser Check erledigt in 9,nichts sagenhafte 50% des Spamverkehrs.

Geil. Warum sollte man den nicht nehmen? Nur weil er "nur" 50% erledigt?

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From thomas.klein at lcc-mail.eu  Fri Jan 18 20:48:01 2013
From: thomas.klein at lcc-mail.eu (thomas.klein at lcc-mail.eu)
Date: Fri, 18 Jan 2013 20:48:01 +0100
Subject: [Postfixbuch-users] TLS im Log erkennen
In-Reply-To: <6233580.sVDp4FCa4t@titan>
References: <1462243aa5dab62c5e2589145d32eb8b@lcc-mail.eu>
 <20130115001211.640cfdce@itxnew.bitcorner.intern> <6233580.sVDp4FCa4t@titan>
Message-ID: <fa825c28801192e4358e9ebec5c6bc7c@lcc-mail.eu>

Am 2013-01-15 00:39, schrieb Jens Adam:
> Am Dienstag, 15. Januar 2013, 00:12:11 schrieb Andreas Meyer:
>> Hallo!
>>
>> thomas.klein at lcc-mail.eu wrote:
>> > Hallo zusammen,
>> >
>> > ich habe eine kurze Frage zu TLS: Kann ich im log erkennen, ob 
>> eine
>> > Mail per TLS übermittelt wurde? Im Mailheader ist es ja wiederum
>> > erkennbar, aber scheinbar nicht in der mail.log.
>>
>> Jan 14 23:54:31 delta postfix/smtpd[23888]: setting up TLS 
>> connection
>> from ilpostino.jpberlin.de[213.203.238.6] Jan 14 23:54:31 delta
>> postfix/smtpd[23888]: TLS connection established from
>> ilpostino.jpberlin.de[213.203.238.6]: TLSv1 with cipher
>> DHE-RSA-AES256-SHA (256/256 bits)
>>
>> Zumindest an der Uhrzeit ist die TLS-Verbindung identifizierbar. Was 
>> die
>> 23888 bedeutet, weiß ich nicht ;) Vielleicht wird das mit
>> verbose-logging differenzierter.
>
> Moin,
>
> also -v wäre wohl Overkill, denke ich.
>
> Relevante Parameter sind z.B. smtpd_tls_received_header=yes und
> smtp(d)_tls_loglevel=1 (oder 2).
>
> Die 23888 ist übrigens die P(rocess) ID (siehe ps/top/htop).
>
> Grüsse,
> Jens

Servus,

alles klar, danke für eure Antworten!

Grüße
Thomas


From thomas.klein at lcc-mail.eu  Fri Jan 18 20:53:22 2013
From: thomas.klein at lcc-mail.eu (thomas.klein at lcc-mail.eu)
Date: Fri, 18 Jan 2013 20:53:22 +0100
Subject: [Postfixbuch-users] Relay-proxy
Message-ID: <40fad1e196d709dbf93fe3e66674c6c8@lcc-mail.eu>

Hallo zusammen,

eines unserer Systeme kippt Mails auf einem postfix relay ein. Aus der 
Applikation heraus kommt erstmal die Meldung, dass die Mail versendet 
wurde, da das relay die Mail ja sauber annimmt und in de queue landet. 
Kann die Mail aber nicht an den Zielserver aus irgendeinem Grund 
zugestellt werden, geht an die Absenderadresse die Mail mit dem Grund 
des rejects raus.

Besser wäre es, wenn das Relay die Mail annimmt und die smtp-session so 
lange offen lässt, bis es die Mail beim Zielserver abgekippt hat sodaß 
der Reject-Grund des Zielservers gleich an die Applikation 
zurückgemeldet werden kann - also so eine Art relay-proxy.

Ist das mit Postfix hinzubekommen? Habe bisher keine passende Option 
gefunden.

Danke & Gruss
Thomas


From driessen at fblan.de  Fri Jan 18 20:57:16 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Fri, 18 Jan 2013 20:57:16 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
	=?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50F96A3F.4020305@leo-unglaub.net>
References: <201301181207.26913@inter.netz>
 <005301cdf576$d2f26760$78d73620$@fblan.de> <201301181357.05953@inter.netz>
 <50F96A3F.4020305@leo-unglaub.net>
Message-ID: <007501cdf5b6$04612220$0d236660$@fblan.de>

Im Auftrag von Leo Unglaub
> 
> Hallo,
> 
> On 2013-01-18 13:57, Andre Tann wrote:
 
> Uwe Drießen hat bereits die perfekte Antwort geliefert. E-Mail ist KEIN
> Echtzeit-Kommunikations Medium. Auch wenn der Kunde das von seinem
> Free-Gmx Account vielleicht anders gewohnt ist, aber qualitatives E-Mail
> Hosting sieht da anders aus. Wenn ein Kunde jedoch drauf besteht, bitte.
> Dann mußt du den einfach Kündigen. Das ist eine frage des eigenen
> Qualitätsanspruches.

Öhm ich habe noch die Antwort C :
"Das Absendendete Mailsystem hat uns die Mail noch nicht zur Zustellung
übergeben" :-))

Bis zu dem Zeitpunkt wo die Mail wirklich übertragen wird gilt die
Mailzustellung als noch nicht vollzogen.
Die Gründe die dazu führen sind nicht relevant. 
Der Absendende Server hat sich an die RESTRIKTIONEN des empfangenden Systems
zu halten,  niemals umgekehrt.  

> > Der User kann nichts dafür, daß sein Arbeitgeber irgend einen
Dienstleister
> > beauftragt hat mit der Abwicklung des Mailverkehrs, und noch weniger
> > interessiert er sich dafür, wieviele outbound relays der Dienstleister
> > einsetzt. Der schickt einfach seine Mail los, und denkt, daß sie schon
> > demnächst ankommen wird. Und meine Aufgabe sehe ich darin, möglichst
> dafür
> > zu sorgen, daß das auch so ist.

@Andre
Schalt Greylisting und Postscreen ab und alles wird gut. Welche
Restriktionen du einsetzt bleibt dir überlassen.
Kannst auch nur die eigenen Domains ausnehmen wo der Kunde das möchte
(Restriktionclasses).
Ich habe auch solche Restriktionclasses da wird nur auf Viren überprüft und
alles andere einfach durchgelassen. Nur Haben wollte diese noch keiner
meiner Kunden. 


> 
> FALSCH. Ich bekomme jedes mal so einen Hals wenn ich dieses Argument
> höre. Man hat NICHT von einem Protokoll abzuweichen nur weil es der
> MAssenmarkt als bequemer erachtet, jeder hat sich an diese Protokolle zu
> halten. Fertig. Postgrey hällt sich 100% an die RFC's und ist somit auch
> jedem Freigestellt es einzusetzen. Darüber gibt es einfach keine
Diskussion.
> 
> Man definiert keine Ausnahmen für ein Fehlverhalten eines einzelnen
> Systems. Das macht man einfach nicht. Punkt.
> 
> >> Mail ist kein Echtzeitkommunikationsmittel!! War nie dafür gedacht. Für
> >> Echtzeitkommunikation auf Messanger, Fax, Telegramm, FTP, shared
> >> Dokuments ausweichen
> >
> > Realitätsfremd. Jedem Auftraggeber zu erklären, wie er ftp einrichtet,
ist
> > vollkommen unrealistisch.
> 
> Absolut nicht. Wenn jemand mit Druckdaten Arbeitet und nicht in der Lage
> ist einen FTP Client welcher auch nur aus Adresse, Benutzername und
> Passwort besteht, zu bedienen dann hat diese Person nichts an einem
> Computer verloren. Der Computer ist ein Arbeitsgerät welches man
> beherschen muss. Wenn jemand LKW-Faher wird muss er auch wissen wie
> eine
> Gangschaltung zu bedienen ist. An einem Computer ist es genau das gleiche.
> 
> Das ist genau so als würdest du deinen Kunden Passwörter mit der Länge
> von 4 Zeichen erlauben nur weil die meinen es sei anders nicht Merkbar?
> 

Öhm ich kenne keine Druckerei die kein FTP bzw. Webftp hat. Bis vor ein paar
Jahren ging das gar nicht anders für große Dateien. 
Da dauerte die Mail von einer Straßenseite auf die andere noch 7-14 Tage und
als Inhalt ging NUR Text. (das war noch schön) 

Und alle haben sich tierisch gefreut wenn mal der "Teletext" der Telekom
funktionierte. (für die die es nicht wissen wie das aussah im Fernseher den
Teletext anschauen)
Das war "Internet" der ersten Stunde *gg mit Modems ab 2400 baud und man
konnte sich glücklich schätzen als die 9600baud und 19200 baud auch von den
Mailboxservern unterstützt wurde.
Dateien zum Download  wurde in eine Warteschlange eingestellt und standen
wenn man Glück hatte 1-2 Tage später zum Download auf dem eigenen
Mailboxserver/Einwahlserver zur Verfügung.   


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From w.flamme at web.de  Fri Jan 18 20:58:09 2013
From: w.flamme at web.de (Werner Flamme)
Date: Fri, 18 Jan 2013 20:58:09 +0100
Subject: [Postfixbuch-users] Relay-proxy
In-Reply-To: <40fad1e196d709dbf93fe3e66674c6c8@lcc-mail.eu>
References: <40fad1e196d709dbf93fe3e66674c6c8@lcc-mail.eu>
Message-ID: <50F9A951.1090401@web.de>

[18.01.2013 20:53] [thomas.klein at lcc-mail.eu]:
> Hallo zusammen,
> 
> eines unserer Systeme kippt Mails auf einem postfix relay ein. Aus der 
> Applikation heraus kommt erstmal die Meldung, dass die Mail versendet 
> wurde, da das relay die Mail ja sauber annimmt und in de queue landet. 
> Kann die Mail aber nicht an den Zielserver aus irgendeinem Grund 
> zugestellt werden, geht an die Absenderadresse die Mail mit dem Grund 
> des rejects raus.
> 
> Besser wäre es, wenn das Relay die Mail annimmt und die smtp-session so 
> lange offen lässt, bis es die Mail beim Zielserver abgekippt hat sodaß 
> der Reject-Grund des Zielservers gleich an die Applikation 
> zurückgemeldet werden kann - also so eine Art relay-proxy.
> 
> Ist das mit Postfix hinzubekommen? Habe bisher keine passende Option 
> gefunden.

Ist das nicht sowas wie die "Pre-Queue", die Peer in der 3. Auflage auf
S. 481 beschreibt? smtpd_prox_filter in der master.cf...

Gruß
Werner



From p.heinlein at heinlein-support.de  Fri Jan 18 21:40:35 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 18 Jan 2013 21:40:35 +0100
Subject: [Postfixbuch-users] Relay-proxy
In-Reply-To: <40fad1e196d709dbf93fe3e66674c6c8@lcc-mail.eu>
References: <40fad1e196d709dbf93fe3e66674c6c8@lcc-mail.eu>
Message-ID: <50F9B343.3080304@heinlein-support.de>

Am 18.01.2013 20:53, schrieb thomas.klein at lcc-mail.eu:

> Besser wäre es, wenn das Relay die Mail annimmt und die smtp-session so
> lange offen lässt, bis es die Mail beim Zielserver abgekippt hat sodaß
> der Reject-Grund des Zielservers gleich an die Applikation
> zurückgemeldet werden kann - also so eine Art relay-proxy.

Welchen Sinn soll das haben? Keinen.

Genausogut könnte des Absende-System gleich selbst beim Ziel einliefern.

Und, nein: Postfix will das nicht nur nicht, es kann es auch nicht.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From hallo at dominicpratt.de  Sat Jan 19 10:59:54 2013
From: hallo at dominicpratt.de (Dominic Pratt)
Date: Sat, 19 Jan 2013 10:59:54 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
Message-ID: <50FA6E9A.8040903@dominicpratt.de>

Hi Leute,

momentan habe ich einen Kunden, von dessen Server Spam versendet wird - 
vermutlich über den Apachen.

    Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
    localhost.localdomain[127.0.0.1]
    Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
    client=localhost.localdomain[127.0.0.1]
    Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
    message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
    Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
    from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
    Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
    to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
    dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
    Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
    message-id=<20130118173319.ABF30B10BA7 at server17.xxx.de>
    Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
    non-delivery notification: ABF30B10BA7
    Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
    size=3206, nrcpt=1 (queue active)
    Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed

server17.xxx.de ist die betroffene Maschine, die einen 
Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier 
zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige 
Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind 
mit unseren Latein am Ende.

Grüße,
Dominic

-- 
"If you haven't found it yet, keep looking. Don't settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130119/aef5bc95/attachment.htm>

From gerald at stepman.com  Sat Jan 19 11:13:02 2013
From: gerald at stepman.com (Gerald Erdmann)
Date: Sat, 19 Jan 2013 11:13:02 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA6E9A.8040903@dominicpratt.de>
References: <50FA6E9A.8040903@dominicpratt.de>
Message-ID: <F0726DB1-2196-4637-BF25-509EE2AD920E@stepman.com>

Hi!

Gehackter Webserver? Kontaktformular, über das Mails durch eingeschleusten Code versandt werden?

Gerald

Am 19.01.2013 um 10:59 schrieb Dominic Pratt <hallo at dominicpratt.de>:

> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

-- 
Gerald Erdmann   gerald at stepman.com

STEPMAN SOLUTIONS
+49 30 39731400  -401 (Fax)
Berlin - Germany - Earth



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3765 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130119/e1dcf2c0/attachment.p7s>

From hallo at dominicpratt.de  Sat Jan 19 11:20:52 2013
From: hallo at dominicpratt.de (Dominic Pratt)
Date: Sat, 19 Jan 2013 11:20:52 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <F0726DB1-2196-4637-BF25-509EE2AD920E@stepman.com>
References: <50FA6E9A.8040903@dominicpratt.de>
 <F0726DB1-2196-4637-BF25-509EE2AD920E@stepman.com>
Message-ID: <50FA7384.1040906@dominicpratt.de>

Hi Gerald,

war natürlich mein erster Gedanke, da auf der Maschine ein 
Webhostingangebot betrieben wird. Allerdings ist in den Apache-Logs 
absolut nichts auffällig...

Dominic

Am 19.01.2013 11:13, schrieb Gerald Erdmann:
> Gehackter Webserver? Kontaktformular, über das Mails durch eingeschleusten Code versandt werden?
>

-- 
"If you haven?t found it yet, keep looking. Don?t settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt



From w.flamme at web.de  Sat Jan 19 11:40:31 2013
From: w.flamme at web.de (Werner Flamme)
Date: Sat, 19 Jan 2013 11:40:31 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA6E9A.8040903@dominicpratt.de>
References: <50FA6E9A.8040903@dominicpratt.de>
Message-ID: <50FA781F.3050405@web.de>

[19.01.2013 10:59] [Dominic Pratt]:
> Hi Leute,
> 
> momentan habe ich einen Kunden, von dessen Server Spam versendet wird - 
> vermutlich über den Apachen.
> 
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
>     localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
>     client=localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>     message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
>     Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
>     from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
>     Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
>     to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
>     dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>     Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
>     message-id=<20130118173319.ABF30B10BA7 at server17.xxx.de>
>     Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
>     non-delivery notification: ABF30B10BA7
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
>     size=3206, nrcpt=1 (queue active)
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
> 
> server17.xxx.de ist die betroffene Maschine, die einen 
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier 
> zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Wo siehst Du qmail? Wenn Du qmgr meinst: das ist eine Komponente von
Postfix. Siehe z. B. die Abbildung 4.2 in der 3. Auflage von Peers
Postfix-Buch (auf S. 97).

> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige 
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Du willst Dir ansehen, wie man a) jedem Webhost einen separaten Absender
zuweist und b) verhindert, dass jemand, der ein Formular ausfüllt, den
Absender faken kann, indem er bestimmte Sachen im Text eingibt, mit
denen das Webmailer-Script nichts anfangen kann außer den Absender zu
verpfriemeln. Du könntest auf Peers Servern bleiben, wenn Du dazu z. B.
mal
<http://www.jpberlin.de/web/faq/faq-webspace/faq_webspace_email_injection/>
liest ;-)

Ein Rootkit zu schreiben, um Spam zu versenden, ist ein Aufwand, den man
nicht treiben muss. Rootkits machen wichtigere Sachen als sich sofort
selbst durch Spamversand zu verraten.

Gruß
Werner


From wolfgang.zeikat at desy.de  Sat Jan 19 11:46:06 2013
From: wolfgang.zeikat at desy.de (Zeikat, Wolfgang)
Date: Sat, 19 Jan 2013 11:46:06 +0100 (CET)
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA781F.3050405@web.de>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA781F.3050405@web.de>
Message-ID: <ec3ce697.00001128.00000002@zitzimbraw.desy.de>


Moin!

>-----Original Message-----
>>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>>     message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>

>Wo siehst Du qmail?

In o.a. Message-ID steht qmail.

Gruß,

wolfgang



From hallo at dominicpratt.de  Sat Jan 19 11:48:28 2013
From: hallo at dominicpratt.de (Dominic Pratt)
Date: Sat, 19 Jan 2013 11:48:28 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <ec3ce697.00001128.00000002@zitzimbraw.desy.de>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA781F.3050405@web.de>
 <ec3ce697.00001128.00000002@zitzimbraw.desy.de>
Message-ID: <50FA79FC.1000201@dominicpratt.de>

Korrekt, das meinte ich.

Am 19.01.2013 11:46, schrieb Zeikat, Wolfgang:
> In o.a. Message-ID steht qmail

-- 
"If you haven?t found it yet, keep looking. Don?t settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt



From w.flamme at web.de  Sat Jan 19 12:02:54 2013
From: w.flamme at web.de (Werner Flamme)
Date: Sat, 19 Jan 2013 12:02:54 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <ec3ce697.00001128.00000002@zitzimbraw.desy.de>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA781F.3050405@web.de>
 <ec3ce697.00001128.00000002@zitzimbraw.desy.de>
Message-ID: <50FA7D5E.1000900@web.de>

[19.01.2013 11:46] [Zeikat, Wolfgang]:
> 
> Moin!
> 
>>-----Original Message-----
>>>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>>>     message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
> 
>>Wo siehst Du qmail?
> 
> In o.a. Message-ID steht qmail.

Danke. Wo bzw. von wem wurde die generiert? Vom Webformular bzw. dem
dahinter liegenden Script? Dass cleanup eine Message-ID mit Inhalt
'qmail' generiert, halte ich für unwahrscheinlich. Zumindest tun es
meine Postfixe nicht, und in "man cleanup" ist mir auch keine
Einstellung dazu aufgefallen.

Gruß
Werner




From ae at ae-online.de  Sat Jan 19 11:57:23 2013
From: ae at ae-online.de (Andreas Ernst)
Date: Sat, 19 Jan 2013 11:57:23 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA6E9A.8040903@dominicpratt.de>
References: <50FA6E9A.8040903@dominicpratt.de>
Message-ID: <50FA7C13.1000507@ae-online.de>

Am 19.01.13 10:59, schrieb Dominic Pratt:
> Hi Leute,
>
> momentan habe ich einen Kunden, von dessen Server Spam versendet wird -
> vermutlich über den Apachen.
>
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
>     localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
>     client=localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>     message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
>     Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
>     from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
>     Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
>     to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
>     dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>     Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
>     message-id=<20130118173319.ABF30B10BA7 at server17.xxx.de>
>     Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
>     non-delivery notification: ABF30B10BA7
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
>     size=3206, nrcpt=1 (queue active)
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
>
> server17.xxx.de ist die betroffene Maschine, die einen
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier
> zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Ich habe in meinen vhost config Dateien folgendes noch drin:

php_admin_value sendmail_from <mailadresse>
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mailadresse>

Damit findest Du in den Postfix Logfiles den Übeltäter, Voraussetzung 
ist, daß hier direkt an Postfix eingeliefert wird.

postfix/pickup[pid]: id: uid=30 from=<Mailadresse>

uid=30 -> Apache

-- 
ae | Andreas Ernst | IT Spektrum
Postfach 5, 65612 Beselich
Schupbacher Str. 32, 65614 Beselich, Germany
Tel: +49-6484-91002 Fax: +49-6484-91003
ae at ae-online.de | www.ae-online.de
www.parcelchecker.de | www.tachyon-online.de


From hallo at dominicpratt.de  Sat Jan 19 12:05:44 2013
From: hallo at dominicpratt.de (Dominic Pratt)
Date: Sat, 19 Jan 2013 12:05:44 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA7D5E.1000900@web.de>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA781F.3050405@web.de>
 <ec3ce697.00001128.00000002@zitzimbraw.desy.de> <50FA7D5E.1000900@web.de>
Message-ID: <50FA7E08.9040601@dominicpratt.de>

Am 19.01.2013 12:02, schrieb Werner Flamme:
> Wo bzw. von wem wurde die generiert? Vom Webformular bzw. dem
> dahinter liegenden Script?
Genau das ist eben die Frage - wir finden es einfach nicht...

-- 
"If you haven?t found it yet, keep looking. Don?t settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt



From w.flamme at web.de  Sat Jan 19 12:21:24 2013
From: w.flamme at web.de (Werner Flamme)
Date: Sat, 19 Jan 2013 12:21:24 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA6E9A.8040903@dominicpratt.de>
References: <50FA6E9A.8040903@dominicpratt.de>
Message-ID: <50FA81B4.2090403@web.de>

[19.01.2013 10:59] [Dominic Pratt]:
> Hi Leute,
> 
> momentan habe ich einen Kunden, von dessen Server Spam versendet wird - 
> vermutlich über den Apachen.
> 
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
>     localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
>     client=localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>     message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
>     Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
>     from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
>     Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
>     to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
>     dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>     Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
>     message-id=<20130118173319.ABF30B10BA7 at server17.xxx.de>
>     Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
>     non-delivery notification: ABF30B10BA7
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
>     size=3206, nrcpt=1 (queue active)
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
> 
> server17.xxx.de ist die betroffene Maschine, die einen 
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier 
> zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Ganz andere Vermutung: wird vorher von außen eingeliefert mit derselben
message-ID=<...>? Es kann sein, dass das dann z. B. durch Amavis
weiterverarbytet und danach erneut in Postfix eingespeist wird. Dadurch
ändert sich die Log-ID (hier DBA97B10BA5). Eure Konfiguration kenne ich
ja nicht.

Gruß
Werner


From mewolf1 at gmx.net  Sat Jan 19 12:25:52 2013
From: mewolf1 at gmx.net (wolfgang)
Date: Sat, 19 Jan 2013 12:25:52 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA7C13.1000507@ae-online.de>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA7C13.1000507@ae-online.de>
Message-ID: <201301191225.53145.mewolf1@gmx.net>

On 2013-01-19 11:57, Andreas Ernst wrote:

> >     Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
> >     localhost.localdomain[127.0.0.1]
> >     Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
> >     client=localhost.localdomain[127.0.0.1]
> >     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:

> php_admin_value sendmail_from <mailadresse>
> php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f
> <mailadresse>
>
> Damit findest Du in den Postfix Logfiles den Übeltäter, Voraussetzung
> ist, daß hier direkt an Postfix eingeliefert wird.
>
> postfix/pickup[pid]: id: uid=30 from=<Mailadresse>
>
> uid=30 -> Apache

Ich habe den Eindruck, dass die fragliche Mail nicht via sendmail 
eingeliefert wurde, bei sendmail-Einlieferung steht im Log m.E. 
nicht "smtpd", siehe z.B.

$ echo "Subject: test" |/usr/sbin/sendmail -f fake at localhost 
root at localhost

Der erste Log-Eintrag lautet dann:

Jan 19 12:20:42 trillian postfix/pickup[8506]: 4A3CA4430A: uid=500 
from=<fake at localhost>
Jan 19 12:20:42 trillian postfix/cleanup[8694]: 4A3CA4430A: warning: 
header Subject: test from local; from=<fake at localhost> 
to=<root at localhost>

Hope this helps.

Gruß,

wolfgang


From hallo at dominicpratt.de  Sat Jan 19 12:28:50 2013
From: hallo at dominicpratt.de (Dominic Pratt)
Date: Sat, 19 Jan 2013 12:28:50 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <201301191225.53145.mewolf1@gmx.net>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA7C13.1000507@ae-online.de>
 <201301191225.53145.mewolf1@gmx.net>
Message-ID: <50FA8372.7080105@dominicpratt.de>

Am 19.01.2013 12:25, schrieb wolfgang:
> Ich habe den Eindruck, dass die fragliche Mail nicht via sendmail
> eingeliefert wurde
Doch worüber sonst und wie rausfinden? :/

-- 
"If you haven?t found it yet, keep looking. Don?t settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt



From p.heinlein at heinlein-support.de  Sat Jan 19 13:08:57 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Sat, 19 Jan 2013 13:08:57 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA6E9A.8040903@dominicpratt.de>
References: <50FA6E9A.8040903@dominicpratt.de>
Message-ID: <50FA8CD9.90105@heinlein-support.de>

Am 19.01.2013 10:59, schrieb Dominic Pratt:


Hi,

> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Also zunächst kannst Du mit "lsof -i :25" mal schauen, wer hier welche
Prozesse zu Deinem Port 25 offen hat. Dann siehst Du, wer die
TCP-Verbindung geöffnet hat.

Anschließend muß man die Ergebnisse natürlich auch interpretieren. Ist
tatsächlich ein gehacktes System im spiel, werden die Port-25-Clients
typischerweise unter wwwrun/www-data-Rechten laufen. Ist ein echtes
Rootkit im spiel, laufen sie unter root-Rechten. Häufig haben die
Programme dahinter einen komischen Namen oder versuchen sich irgendwie
zu tarnen. Bei einem meiner letzten Fälle hieß das Programm einfach nur
"3" damit es im zahlengewusel untergeht.

Wenn Du die Prozesse siehst, dann hast Du auch die Prozeß-ID davon. Mit
der kannst Du dann rangehen, näheres darüber zu erfahren.

Ein "lsof | grep <prozessid>" liefert Dir zum beispiel eine Übersicht,
welche Filehandles dieser Prozeß offen hat.

Oft haben die dann als eigentliches Binary eine Datei in /tmp, die
mittlerweile wieder gelöscht wirden ist (steht dann "deleted" dahinter).
Das sind dann so typische Fälle wenn beispielsweise über PHP-Injection
der Code auf die Platte gespeichert und mittels system() und exec()
gestartet worden ist und sich dann gleich wieder selber löscht (aber ja
trotzdem weiterläuft).

Am Ende bleibt dann natürlich noch die Analyse, WIE und WOHER der Code
auf die Platte kam.

Aber, auch das kann ja sein: Am Ende hat das ganz andere Ursachen und
das sind "zulässige" Verbindungen, die doch auf ganz anderem Wege
zustande kommen.

> Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind
> mit unseren Latein am Ende.

Wenn die Luft wirklich brennt können wir Dir bei sowas helfen:

030 / 40 50 5 - 110

ist unser 24/7/365-Hotline und gehackte spammende Server haben wir da
mehrmals die Woche.

Demnächst werde ich zwei schöne Fälle gehackter Server bei uns im Blog
veröffentlichen, bzw. auf der CeBIT haben wir einen Vortrag dazu...

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From daniel at linux-nerd.de  Sat Jan 19 13:38:00 2013
From: daniel at linux-nerd.de (Daniel)
Date: Sat, 19 Jan 2013 13:38:00 +0100
Subject: [Postfixbuch-users] Spam-Versand via Localhost
In-Reply-To: <50FA8372.7080105@dominicpratt.de>
References: <50FA6E9A.8040903@dominicpratt.de> <50FA7C13.1000507@ae-online.de>
 <201301191225.53145.mewolf1@gmx.net> <50FA8372.7080105@dominicpratt.de>
Message-ID: <378758441.20130119133800@linux-nerd.de>

Guten Tag, Dominic Pratt,

vielleicht mal ein kleines Wrapper schreiben der dir die mails piped.

http://www.huschi.net/10_222_de.html

So  kannst  du zumindest erkennen ob es von www-data kommt und welches
Script auf deiner Platte den aufruft dazu gibt.

> Doch worüber sonst und wie rausfinden? :/




-- 
Mit freundlichen Grüßen
Daniel
mailto:daniel at linux-nerd.de



From tech at kdmails.de  Sat Jan 19 15:54:20 2013
From: tech at kdmails.de (Daniel Gompf)
Date: Sat, 19 Jan 2013 15:54:20 +0100
Subject: [Postfixbuch-users] Weiterleitung von OOF aus Exchange 2007 / 2010
Message-ID: <50FAB39C.6040205@kdmails.de>

Hallo Liste,

wir haben zum Glück nicht viele Kunden die 
Abwesenheitsbenachrichtigungen nutzen und bis letzte Woche hatte alle 
Exchange 2003.

Diese Woche haben wir einen auf 2010 migriert, dieser sendet die 
Nachrichten mit der leeren Adresse <>, als MDN (RFC 3798).

Hier liegt mein Problem wir nehmen natürlich E-Mails von <> an, aber nur 
für die bei uns liegenden Empfängerdomänen. Eine Weiterleitung dieser 
Nachriten war bisher nicht nötig, daher bekommt der Kunde hier ein 
"relay access denied".

Dieser Kunde darf bei uns auch ohne Authentifizierung einliefern, da wir 
das Mailgateway (ebenfalls Postfix) für die verschieden Mailsysteme im 
Haus stellen. Wir schauen nur nach, ob es den Nutzer beim gibt, dann 
darf er senden bzw. empfangen.

Wie bekommen wir es nun hin, dass wir die Abwesenheitsbenachrichtigungen 
nach draußen bekommen ohne das jeder bei uns an jeden mit der leeren 
Adresse als Absender relayen darf. Wir wollen den (die zukünfigen) 
Kundenserver auch nicht in mynetworks stecken.

Wir wollten am Mailgateway des Kunden (wäre ja nur Sonderlösung für 
diesen Kunden) mit Hilfe von "sender_dependent_default_transport_maps" 
arbeiten und dann direkt versenden, das geht aber mit <>-Absender nicht.

Dem Kunden erklären, dass er diese Benachrichtigungen nicht verwenden 
sollte, ist keine Option.


Daniel


From driessen at fblan.de  Sat Jan 19 16:17:04 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Sat, 19 Jan 2013 16:17:04 +0100
Subject: [Postfixbuch-users] Weiterleitung von OOF aus Exchange 2007 /
	2010
In-Reply-To: <50FAB39C.6040205@kdmails.de>
References: <50FAB39C.6040205@kdmails.de>
Message-ID: <00a601cdf658$09d659d0$1d830d70$@fblan.de>

Im Auftrag von Daniel Gompf
> 
> Hallo Liste,
> 
> wir haben zum Glück nicht viele Kunden die
> Abwesenheitsbenachrichtigungen nutzen und bis letzte Woche hatte alle
> Exchange 2003.
> 
> Diese Woche haben wir einen auf 2010 migriert, dieser sendet die
> Nachrichten mit der leeren Adresse <>, als MDN (RFC 3798).
> 
> Hier liegt mein Problem wir nehmen natürlich E-Mails von <> an, aber nur
> für die bei uns liegenden Empfängerdomänen. Eine Weiterleitung dieser
> Nachriten war bisher nicht nötig, daher bekommt der Kunde hier ein
> "relay access denied".
> 
> Dieser Kunde darf bei uns auch ohne Authentifizierung einliefern, da wir
> das Mailgateway (ebenfalls Postfix) für die verschieden Mailsysteme im
> Haus stellen. Wir schauen nur nach, ob es den Nutzer beim gibt, dann
> darf er senden bzw. empfangen.
> 
> Wie bekommen wir es nun hin, dass wir die
> Abwesenheitsbenachrichtigungen
> nach draußen bekommen ohne das jeder bei uns an jeden mit der leeren
> Adresse als Absender relayen darf. Wir wollen den (die zukünfigen)
> Kundenserver auch nicht in mynetworks stecken.
> 
> Wir wollten am Mailgateway des Kunden (wäre ja nur Sonderlösung für
> diesen Kunden) mit Hilfe von "sender_dependent_default_transport_maps"
> arbeiten und dann direkt versenden, das geht aber mit <>-Absender nicht.
> 
> Dem Kunden erklären, dass er diese Benachrichtigungen nicht verwenden
> sollte, ist keine Option.
> 
> 
> Daniel

---------------------------------------
Ex 2007: Abwesenheitsnachrichten haben keinen Absender   Leave a comment

Beim Umstieg auf einen Exchange 2007-Server fiel einem Kunden auf, dass
Abwesenheitsnachrichten ohne Absender, bzw. mit dem Absendereintrag <>
verschickt werden. Diese Mails wurden durch sein Gateway auf dem Weg nach
draußen abgefangen, weil dieses Gateway Mails ohne Absender nicht erlaubte.

Auch wenn dieses Verhalten auf den ersten Blick komisch erscheint, so ist es
doch vollkommen standardkonform.

RFC 3798 regelt für sog. Message Disposition Notification (darunter fällt
auch die Abwesenheitsnachricht) dass die "envelope sender address null (<>)"
sein muss. Dieses Verhalten soll verhindern, dass auf automatische Meldungen
wiederum automatisch (z.B. mit einer Unzustellbarkeitsnachricht) reagiert
wird.

Exchange 2007 hält sich an diesen Standard und verschickt
Abwesenheitsnachrichten mit dem Absender <>.

Quellen:

    RFC 3798 (Abschnitt 3)
    Exchange 2007 – Understanding Recipient Resolution

---------------------------------------------

Entspricht zwar auch  nicht so ganz meiner Vorstellung aber wenn RFC das so
sagt.....

Möchte ich doch gerne wissen wie man dann einem infizierten Rechner Herr
werden soll.
Hängt aber auch sehr wahrscheinlich daran das sich Exchange für einen
Mailserver hält *gggg


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From tech at kdmails.de  Sat Jan 19 20:18:38 2013
From: tech at kdmails.de (Daniel Gompf)
Date: Sat, 19 Jan 2013 20:18:38 +0100
Subject: [Postfixbuch-users] Weiterleitung von OOF aus Exchange 2007 /
 2010
In-Reply-To: <00a601cdf658$09d659d0$1d830d70$@fblan.de>
References: <50FAB39C.6040205@kdmails.de>
 <00a601cdf658$09d659d0$1d830d70$@fblan.de>
Message-ID: <50FAF18E.7060800@kdmails.de>

Uwe Drießen wrote:

> 
> Entspricht zwar auch  nicht so ganz meiner Vorstellung aber wenn RFC das so
> sagt.....

Heißt das, dass bei dir diese Nachrichten ohne Quellprüfung 
weitergeleitet werden? Dann mache ich doch ein paar Ausnahmeregeln rein.
> 
> Möchte ich doch gerne wissen wie man dann einem infizierten Rechner Herr
> werden soll.
> Hängt aber auch sehr wahrscheinlich daran das sich Exchange für einen
> Mailserver hält *gggg
> 

Ja...

Daniel


From p.heinlein at heinlein-support.de  Sat Jan 19 22:16:48 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Sat, 19 Jan 2013 22:16:48 +0100
Subject: [Postfixbuch-users] Weiterleitung von OOF aus Exchange 2007 /
 2010
In-Reply-To: <50FAB39C.6040205@kdmails.de>
References: <50FAB39C.6040205@kdmails.de>
Message-ID: <50FB0D40.8030401@heinlein-support.de>

Am 19.01.2013 15:54, schrieb Daniel Gompf:

Hi,

> Dieser Kunde darf bei uns auch ohne Authentifizierung einliefern, da wir
> das Mailgateway (ebenfalls Postfix) für die verschieden Mailsysteme im
> Haus stellen. Wir schauen nur nach, ob es den Nutzer beim gibt, dann
> darf er senden bzw. empfangen.

Und wie habt Ihr das gelöst? Unten hast Du geschrieben, daß er nicht in
$mynetworks steht.

> Adresse als Absender relayen darf. Wir wollen den (die zukünfigen)
> Kundenserver auch nicht in mynetworks stecken.

Da würde er aber genau reingehören. Warum sollte er da nicht drin stehen?


Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From tech at kdmails.de  Sun Jan 20 09:13:04 2013
From: tech at kdmails.de (Daniel Gompf)
Date: Sun, 20 Jan 2013 09:13:04 +0100
Subject: [Postfixbuch-users] Weiterleitung von OOF aus Exchange 2007 /
 2010
In-Reply-To: <50FB0D40.8030401@heinlein-support.de>
References: <50FAB39C.6040205@kdmails.de>
 <50FB0D40.8030401@heinlein-support.de>
Message-ID: <50FBA710.3050905@kdmails.de>

Hallo

Peer Heinlein wrote:
> Am 19.01.2013 15:54, schrieb Daniel Gompf:
> 
> Hi,
> 
>> Dieser Kunde darf bei uns auch ohne Authentifizierung einliefern, da wir
>> das Mailgateway (ebenfalls Postfix) für die verschieden Mailsysteme im
>> Haus stellen. Wir schauen nur nach, ob es den Nutzer beim gibt, dann
>> darf er senden bzw. empfangen.
> 
> Und wie habt Ihr das gelöst? Unten hast Du geschrieben, daß er nicht in
> $mynetworks steht.

Wir ziehen uns aus dem AD eine Liste der Mailuser diese wird dann als 
Accesstable verwendet. In dieser wiederum wird auf eine Restrictionclass 
verwiesen. Darin stehen die möglichen Sendeserver.
-------
smtpd_restriction_classes =
	...,
	rc_kundenserver
rc_kundenserver = check_client_access hash:kunde1

smtpd_sender_restrictions =
	...,
	check_sender_access hash:kunde1_adressen
------
kunde1:
xxx.xxx.xxx.xxx OK
xxx.xxx.xxx.xxy OK
(mehrere Standorte)

kunde1_addressen:
user at kundendomain rc_kundenserver

> 
>> Adresse als Absender relayen darf. Wir wollen den (die zukünfigen)
>> Kundenserver auch nicht in mynetworks stecken.
> 
> Da würde er aber genau reingehören. Warum sollte er da nicht drin stehen?

Leider sind wir nicht die einzigen, die von dort aus Daten ins Internet 
senden (demnächst bekomme ich noch ein paar IPs, dann kann ich mir eine 
nur für den Postfix reservieren). Würde der Rechner jetzt im mynetworks 
stehen, dann wäre die Gefahr recht groß, dass jemand unsere Mailserver 
missbraucht. Oder habe ich das etwas übersehen?
> 
> 
> Peer
> 
> 

Daniel


From igor.sverkos at googlemail.com  Mon Jan 21 11:41:22 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 21 Jan 2013 11:41:22 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50F962FE.6040400@heinlein-support.de>
References: <201301181207.26913@inter.netz> <50F95A46.6060103@nbmc.de>
 <201301181550.05020@inter.netz> <50F962FE.6040400@heinlein-support.de>
Message-ID: <50FD1B52.40402@googlemail.com>

@ Peer:

Ihr stellt nicht zufällig irgendwo eine Liste/DB bereit, welche man als
Ausgangspunkt für neue Installationen nutzen könnte, oder?

Klar, wenn man den Schutz erst einmal 1-2 Wochen mitlaufen lässt, sollte
er schon von sich aus einiges lernen. Aber gerade bei nicht so stark
frequentierten Servern könnte man so ein etwas besseres Nutzererlebnis
bieten.


-- 
Ich Grüße,
Igor



From atann at alphasrv.net  Mon Jan 21 12:00:12 2013
From: atann at alphasrv.net (Andre Tann)
Date: Mon, 21 Jan 2013 12:00:12 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50FD1B52.40402@googlemail.com>
References: <201301181207.26913@inter.netz>
 <50F962FE.6040400@heinlein-support.de> <50FD1B52.40402@googlemail.com>
Message-ID: <201301211200.13290@inter.netz>

Igor Sverkos, Montag, 21. Januar 2013: 

> Ihr stellt nicht zufällig irgendwo eine Liste/DB bereit, welche man als
> Ausgangspunkt für neue Installationen nutzen könnte, oder?

Ich wär ja der Meinung, daß man eine solche Liste dem Postgrey/Postscreen-
Maintainer zur Verfügung stellen sollte, damit das gleich von vornherein im 
Paket mit drin ist, so wie das bei manchen Sites jetzt schon der Fall ist.

Oder wir machen das selbst per Postfix-Users-Wiki oder so (könnte mich evtl. 
um so ein Wiki kümmern, falls Peer das nicht sowieso schon am Laufen hat.)

-- 
Andre Tann



From timo.schoeler at riscworks.net  Mon Jan 21 12:08:28 2013
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Mon, 21 Jan 2013 12:08:28 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301211200.13290@inter.netz>
References: <201301181207.26913@inter.netz>
 <50F962FE.6040400@heinlein-support.de> <50FD1B52.40402@googlemail.com>
 <201301211200.13290@inter.netz>
Message-ID: <50FD21AC.1030306@riscworks.net>

On 01/21/2013 12:00 PM, thus Andre Tann spake:
> Igor Sverkos, Montag, 21. Januar 2013:
>
>> Ihr stellt nicht zufällig irgendwo eine Liste/DB bereit, welche man als
>> Ausgangspunkt für neue Installationen nutzen könnte, oder?
>
> Ich wär ja der Meinung, daß man eine solche Liste dem Postgrey/Postscreen-
> Maintainer zur Verfügung stellen sollte, damit das gleich von vornherein im
> Paket mit drin ist, so wie das bei manchen Sites jetzt schon der Fall ist.
>
> Oder wir machen das selbst per Postfix-Users-Wiki oder so (könnte mich evtl.
> um so ein Wiki kümmern, falls Peer das nicht sowieso schon am Laufen hat.)

github?


From timo.schoeler at riscworks.net  Mon Jan 21 13:12:25 2013
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Mon, 21 Jan 2013 13:12:25 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <007501cdf5b6$04612220$0d236660$@fblan.de>
References: <201301181207.26913@inter.netz>
 <005301cdf576$d2f26760$78d73620$@fblan.de> <201301181357.05953@inter.netz>
 <50F96A3F.4020305@leo-unglaub.net> <007501cdf5b6$04612220$0d236660$@fblan.de>
Message-ID: <50FD30A9.7060704@riscworks.net>

On 01/18/2013 08:57 PM, thus Uwe Drießen spake:

<snip>

>>>> Mail ist kein Echtzeitkommunikationsmittel!! War nie dafür gedacht. Für
>>>> Echtzeitkommunikation auf Messanger, Fax, Telegramm, FTP, shared
>>>> Dokuments ausweichen
>>>
>>> Realitätsfremd. Jedem Auftraggeber zu erklären, wie er ftp einrichtet,
> ist
>>> vollkommen unrealistisch.
>>
>> Absolut nicht. Wenn jemand mit Druckdaten Arbeitet und nicht in der Lage
>> ist einen FTP Client welcher auch nur aus Adresse, Benutzername und
>> Passwort besteht, zu bedienen dann hat diese Person nichts an einem
>> Computer verloren. Der Computer ist ein Arbeitsgerät welches man
>> beherschen muss. Wenn jemand LKW-Faher wird muss er auch wissen wie
>> eine
>> Gangschaltung zu bedienen ist. An einem Computer ist es genau das gleiche.
>>
>> Das ist genau so als würdest du deinen Kunden Passwörter mit der Länge
>> von 4 Zeichen erlauben nur weil die meinen es sei anders nicht Merkbar?
>>
>
> Öhm ich kenne keine Druckerei die kein FTP bzw. Webftp hat. Bis vor ein paar
> Jahren ging das gar nicht anders für große Dateien.

Der Vollständigkeit in diesem Kontext halber:

Üblicherweise setzten Agenturen, Druckhäuser et al. zu früheren Zeiten 
auf Hermstedts 'Leonardo' [0] als Quasistandard zum Dateiaustausch, 
neben FTP. Das war extrem benutzerfreundlich.

[0] -- http://www.apfelwiki.de/Main/Hermstedt

Cheers,

Timo

> Da dauerte die Mail von einer Straßenseite auf die andere noch 7-14 Tage und
> als Inhalt ging NUR Text. (das war noch schön)
>
> Und alle haben sich tierisch gefreut wenn mal der "Teletext" der Telekom
> funktionierte. (für die die es nicht wissen wie das aussah im Fernseher den
> Teletext anschauen)
> Das war "Internet" der ersten Stunde *gg mit Modems ab 2400 baud und man
> konnte sich glücklich schätzen als die 9600baud und 19200 baud auch von den
> Mailboxservern unterstützt wurde.
> Dateien zum Download  wurde in eine Warteschlange eingestellt und standen
> wenn man Glück hatte 1-2 Tage später zum Download auf dem eigenen
> Mailboxserver/Einwahlserver zur Verfügung.
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software&  Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045


From igor.sverkos at googlemail.com  Mon Jan 21 13:52:30 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 21 Jan 2013 13:52:30 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50FD21AC.1030306@riscworks.net>
References: <201301181207.26913@inter.netz>
 <50F962FE.6040400@heinlein-support.de> <50FD1B52.40402@googlemail.com>
 <201301211200.13290@inter.netz> <50FD21AC.1030306@riscworks.net>
Message-ID: <50FD3A0E.1050609@googlemail.com>

Hallo,

> Ich wär ja der Meinung, daß man eine solche Liste dem
> Postgrey/Postscreen- Maintainer zur Verfügung stellen sollte,
> damit das gleich von vornherein im Paket mit drin ist

Da bin ich zweigeteilt.

Dann könnte ich ja auch auf die erwähnte Whitelist bei dnswl.org
zurückgreifen. Bzw. du müsstest argumentieren, dass diese Whiteliste
doch bitte Standard sein sollte, wie manch eine RBL in jeder CFG
enthalten ist.

Das lehne ich aber ab. Ich finde diese Dinge sollten bewusst gewählt
werden. Hat ja auch etwas mit Vertrauen zutun.

Nehmen wir die Geschichte von 2012 wo die Telekom seine Mailserver nicht
im Griff hatte und versucht hat, überall gewhitelistet zu werden. Denke
das ist nicht Sinn und Zweck.

Aber ansonsten hätte GitHub ect. natürlich die nette Eigenschaft, dass
man Änderungen gleich nachvollziehen kann. Wäre auch eine Idee für die
Body- und Header-Checks (http://www.postfixbuch.de/web/service/checks/).


-- 
Ich Grüße,
Igor



From p.heinlein at heinlein-support.de  Mon Jan 21 18:11:56 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 21 Jan 2013 18:11:56 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50FD1B52.40402@googlemail.com>
References: <201301181207.26913@inter.netz> <50F95A46.6060103@nbmc.de>
 <201301181550.05020@inter.netz> <50F962FE.6040400@heinlein-support.de>
 <50FD1B52.40402@googlemail.com>
Message-ID: <50FD76DC.3020302@heinlein-support.de>

Am 21.01.2013 11:41, schrieb Igor Sverkos:
> @ Peer:
> 
> Ihr stellt nicht zufällig irgendwo eine Liste/DB bereit, welche man als
> Ausgangspunkt für neue Installationen nutzen könnte, oder?

Nein, haben wir nicht.

Ich bin auch nicht der Meinung, daß man das braucht. Bei allen meinen
Installationen fange ich immer kurzerhand bei Null an.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From daniel at linux-nerd.de  Mon Jan 21 23:50:01 2013
From: daniel at linux-nerd.de (Daniel)
Date: Mon, 21 Jan 2013 23:50:01 +0100
Subject: [Postfixbuch-users] eMails trotz SMTPAuth unterbinden
Message-ID: <975555666.20130121235001@linux-nerd.de>

Hallo,

eine Leute liefern eMails  bei uns mit sagen HELO mit blabla.local
Ich würde gerne trotz SMTPAUTH das einliefern verbieten.

Gibt es da irgendwie paar kniffe um genau das zu vermeiden?
Irgendwie haben die da böse Exchange Kisten stehen :-(


-- 
Mit freundlichen Grüßen
Daniel
mailto:daniel at linux-nerd.de



From postfix at cebe.cc  Tue Jan 22 00:33:15 2013
From: postfix at cebe.cc (Carsten Brandt)
Date: Tue, 22 Jan 2013 00:33:15 +0100
Subject: [Postfixbuch-users] eMails trotz SMTPAuth unterbinden
In-Reply-To: <975555666.20130121235001@linux-nerd.de>
References: <975555666.20130121235001@linux-nerd.de>
Message-ID: <50FDD03B.4060004@cebe.cc>

Am 21.01.2013 23:50, schrieb Daniel:
> eine Leute liefern eMails  bei uns mit sagen HELO mit blabla.local
> Ich würde gerne trotz SMTPAUTH das einliefern verbieten.

http://www.postfix.org/postconf.5.html#check_helo_access sowas?

Grüße,
Carsten

-- 
mail:  mail at cebe.cc
mobil: 0176 / 96 52 999 7
www:   http://cebe.cc/
pgp:   http://cebe.cc/cebe_pub.asc


From driessen at fblan.de  Tue Jan 22 04:38:00 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Tue, 22 Jan 2013 04:38:00 +0100
Subject: [Postfixbuch-users] eMails trotz SMTPAuth unterbinden
In-Reply-To: <975555666.20130121235001@linux-nerd.de>
References: <975555666.20130121235001@linux-nerd.de>
Message-ID: <00ff01cdf851$e075fa40$a161eec0$@fblan.de>

Im Auftrag von Daniel
> 
> Hallo,
> 
> eine Leute liefern eMails  bei uns mit sagen HELO mit blabla.local
> Ich würde gerne trotz SMTPAUTH das einliefern verbieten.

Öhm warum ? 
Wenn sich derjenige mit gültigem Benutzernamen und Passwort anmeldet dann
darf er. Dann sind das eigene Kunden und das ELO, HELO ist egal.

Kommt solch eine Kiste fremd ohne Anmeldung dann hilft evlt.
reject_unknown_sender_domain

> 
> Gibt es da irgendwie paar kniffe um genau das zu vermeiden?
> Irgendwie haben die da böse Exchange Kisten stehen :-(

Welcher Client die Mails nach einer Anmeldung einkippt ist egal. Die
allerwenigsten haben wirklich saubere DNS Namen auf Ihren Rechner sitzen und
ist in dem Zusammenhang auch nicht wichtig.

Mailserver sollen/müssen PTR, HELO, ELO usw. alles sauber im DNS haben.
Clientmaschinen müssen sich nur richtig anmelden.
Spinnt ein Client warum auch immer mußt du den Besitzer verständigen und mit
Ihm sprechen.

> 
> 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From hajo.locke at gmx.de  Tue Jan 22 14:05:02 2013
From: hajo.locke at gmx.de (Hajo Locke)
Date: Tue, 22 Jan 2013 14:05:02 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
Message-ID: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>

Hallo Liste,


habe einen Server der über mehrere IP Adressen verfügt. Für den Ausgang 
wollte ich eine spezielle IP festlegen die aber offenbar ignoriert wird.
postconf -n smtp_bind_adress zeigt meine gewünschte IP an. Reload/Restart 
geht fehlerfrei (leider). Der ausgehende Connect wird aber trotzdem über 
eine andere IP vorgenommen.
Der einzige Unterschied den ich sehe ist dass die IPs verschieden angelegt 
wurden. Die IP die Postfix nutzt ist in /etc/network/interfaces angelegt.
Die IP die Postfix nutzen soll ist per ip Befehl aufgeschalten. per ifconfig 
wird diese nicht angezeigt sondern nur per ip a. Kann dies die Ursache sein 
dass Postfix meine IP ohne jeglichen Kommentar ausgehend ignoriert?

Danke,
Hajo 



From Ralf.Hildebrandt at charite.de  Tue Jan 22 14:13:07 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Jan 2013 14:13:07 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
Message-ID: <20130122131307.GW8258@charite.de>

* Hajo Locke <hajo.locke at gmx.de>:
> Hallo Liste,
> 
> 
> habe einen Server der über mehrere IP Adressen verfügt. Für den
> Ausgang wollte ich eine spezielle IP festlegen die aber offenbar
> ignoriert wird.
> postconf -n smtp_bind_adress zeigt meine gewünschte IP an.

smtp_bind_address
mit zwei d in address

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Tue Jan 22 14:13:07 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Jan 2013 14:13:07 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
Message-ID: <20130122131307.GW8258@charite.de>

* Hajo Locke <hajo.locke at gmx.de>:
> Hallo Liste,
> 
> 
> habe einen Server der über mehrere IP Adressen verfügt. Für den
> Ausgang wollte ich eine spezielle IP festlegen die aber offenbar
> ignoriert wird.
> postconf -n smtp_bind_adress zeigt meine gewünschte IP an.

smtp_bind_address
mit zwei d in address

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From tech at kdmails.de  Tue Jan 22 14:36:58 2013
From: tech at kdmails.de (Daniel Gompf)
Date: Tue, 22 Jan 2013 14:36:58 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
Message-ID: <50FE95FA.40900@kdmails.de>

Hajo Locke wrote:
> Hallo Liste,
> 
> 
> habe einen Server der über mehrere IP Adressen verfügt. Für den Ausgang 
> wollte ich eine spezielle IP festlegen die aber offenbar ignoriert wird.
> postconf -n smtp_bind_adress zeigt meine gewünschte IP an. 
> Reload/Restart geht fehlerfrei (leider). Der ausgehende Connect wird 
> aber trotzdem über eine andere IP vorgenommen.

Was steht den in inet_interfaces?
smtp_bind_address
Note 1: when inet_interfaces specifies no more than one IPv4 address, 
and that address is a non-loopback address, it is automatically used as 
the smtp_bind_address. This supports virtual IP hosting, but can be a 
problem on multi-homed firewalls. See the inet_interfaces documentation 
for more detail.

Ich bin mir nicht sicher was da Vorrang hat.

Daniel


From hajo.locke at gmx.de  Tue Jan 22 14:42:12 2013
From: hajo.locke at gmx.de (Hajo Locke)
Date: Tue, 22 Jan 2013 14:42:12 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
Message-ID: <AB80D7EA1B034C31806885BC90D633A9@ai.local>

Hallo,

>> smtp_bind_address
>> mit zwei d in address

leider nur ein Schreibfehler in der Mail. Ich muss wohl mehr copy&paste 
machen...
Postfix würde meckern wenn es den Parameter nicht kennt.
Gäbe es andere Ursache für dieses Problem? Config kann ich kaum mitsenden. 
postconf -n zeigt alles richtig an und restart ist fehlerfrei.
Zum Test sende ich mir eine Mail über die Console und sehe auf dem 
Zielpostfix den Connect von der falschen IP.

Danke,
Hajo 



From Ralf.Hildebrandt at charite.de  Tue Jan 22 14:55:33 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Jan 2013 14:55:33 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <AB80D7EA1B034C31806885BC90D633A9@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
Message-ID: <20130122135532.GA8258@charite.de>

* Hajo Locke <hajo.locke at gmx.de>:
> Hallo,
> 
> >>smtp_bind_address
> >>mit zwei d in address
> 
> leider nur ein Schreibfehler in der Mail. Ich muss wohl mehr
> copy&paste machen...
> Postfix würde meckern wenn es den Parameter nicht kennt.

> Gäbe es andere Ursache für dieses Problem? Config kann ich kaum
> mitsenden. postconf -n zeigt alles richtig an und restart ist
> fehlerfrei.

probier mal "postfix stop" und "postfix start"

Und natürlich nachsehen ob in master.cf die smtp Prozesse explizit an
andere IPs gebunden sind.

> Zum Test sende ich mir eine Mail über die Console und sehe auf dem
> Zielpostfix den Connect von der falschen IP.

Also ich kann nur sagen daß das schon funktioniert. Nutze ich selber
auf mail2.charite.de, da der 2 IPs hat.
-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From p.heinlein at heinlein-support.de  Tue Jan 22 14:58:45 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 22 Jan 2013 14:58:45 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <AB80D7EA1B034C31806885BC90D633A9@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
Message-ID: <50FE9B15.7080906@heinlein-support.de>

Am 22.01.2013 14:42, schrieb Hajo Locke:

> leider nur ein Schreibfehler in der Mail. Ich muss wohl mehr copy&paste
> machen...

Schrieb er und machte es noch immer nicht.

Also: "postconf -n" UND ggf. C&P aus der master.cf

> Postfix würde meckern wenn es den Parameter nicht kennt.

Nein, würde er nicht.

> Gäbe es andere Ursache für dieses Problem? Config kann ich kaum

Erstmal beweisen, daß es WIRKLICH da drin steht.

Peer

-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From hajo.locke at gmx.de  Tue Jan 22 16:21:56 2013
From: hajo.locke at gmx.de (Hajo Locke)
Date: Tue, 22 Jan 2013 16:21:56 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
Message-ID: <2E08E2C9951B404188CF7584C4C7983F@ai.local>

Hallo,

>Also: "postconf -n" UND ggf. C&P aus der master.cf
In der master.cf sind keine Werte per -o gesetzt, das ist ein recht simples 
System. Da stehen nur die Module und die Limits, da ist nichts besonderes.
inet_interfaces ist nicht gesetzt und steht damit auf all. es gibt eine 
reihe öffentliche und interne IPs, werden aber auf verschiedene Weise 
gesetzt.

#postconf -n | egrep '(bind|inet_in)'
smtp_bind_address = xxx.xxx.xxx.226
#

Auf dem Zielserver der Testmail kommt an:
postfix/smtpd[13647]: Anonymous TLS connection established from 
myhost.example.com[xxx.xxx.xxx.228]
Also leider hinten 228 statt 226.

>> Postfix würde meckern wenn es den Parameter nicht kennt.
>Nein, würde er nicht.
bei mir ja. meckert, verweigert sich aber nicht:

#/etc/init.d/postfix reload
* Reloading Postfix configuration...
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: 
smtp_bind_adress=xxx.xxx.xxx.226
#

>Erstmal beweisen, daß es WIRKLICH da drin steht.
Das oben muss Beweis genug sein, mehr darf ich nicht rausgeben. stop/start 
etc. alles probiert.
Wie gesagt, der einzige Unterschied ist eben die Art wie die IPs gesetzt 
sind. Die 228 ist in der /etc/network/interfaces vorhanden.
Die 226 ist eine HA IP und wird durch heartbeat gesetzt, das überwacht zwar 
nicht das Postfix aber setzt eben die IPs.
http://linux.die.net/man/7/ocf_heartbeat_ipaddr2
Ich vermute da den Zusammenhang. Wenn ich auf einem Testsystem eine 
zusätzliche IP herkömmlich setze, dann kann ich die dem Postfix auch 
problemlos als smtp_bind_address unterschieben.
Also IPs die keine sind?


Danke,
Hajo 



From Ralf.Hildebrandt at charite.de  Tue Jan 22 16:27:13 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Jan 2013 16:27:13 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <2E08E2C9951B404188CF7584C4C7983F@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
 <2E08E2C9951B404188CF7584C4C7983F@ai.local>
Message-ID: <20130122152713.GC8258@charite.de>

* Hajo Locke <hajo.locke at gmx.de>:

> #/etc/init.d/postfix reload
> * Reloading Postfix configuration...
> /usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter:
> smtp_bind_adress=xxx.xxx.xxx.226

Tippfehler. address mit zwei d.
Unused == keine Wirkung!

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From timo.schoeler at riscworks.net  Tue Jan 22 16:28:59 2013
From: timo.schoeler at riscworks.net (Timo Schoeler)
Date: Tue, 22 Jan 2013 16:28:59 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <2E08E2C9951B404188CF7584C4C7983F@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
 <2E08E2C9951B404188CF7584C4C7983F@ai.local>
Message-ID: <50FEB03B.2020609@riscworks.net>

On 01/22/2013 04:21 PM, thus Hajo Locke spake:
> Hallo,
>
>> Also: "postconf -n" UND ggf. C&P aus der master.cf
> In der master.cf sind keine Werte per -o gesetzt, das ist ein recht
> simples System. Da stehen nur die Module und die Limits, da ist nichts
> besonderes.
> inet_interfaces ist nicht gesetzt und steht damit auf all. es gibt eine
> reihe öffentliche und interne IPs, werden aber auf verschiedene Weise
> gesetzt.
>
> #postconf -n | egrep '(bind|inet_in)'
> smtp_bind_address = xxx.xxx.xxx.226
> #
>
> Auf dem Zielserver der Testmail kommt an:
> postfix/smtpd[13647]: Anonymous TLS connection established from
> myhost.example.com[xxx.xxx.xxx.228]
> Also leider hinten 228 statt 226.
>
>>> Postfix würde meckern wenn es den Parameter nicht kennt.
>> Nein, würde er nicht.
> bei mir ja. meckert, verweigert sich aber nicht:
>
> #/etc/init.d/postfix reload
> * Reloading Postfix configuration...
> /usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter:
> smtp_bind_adress=xxx.xxx.xxx.226
> #
>
>> Erstmal beweisen, daß es WIRKLICH da drin steht.
> Das oben muss Beweis genug sein, mehr darf ich nicht rausgeben.
> stop/start etc. alles probiert.
> Wie gesagt, der einzige Unterschied ist eben die Art wie die IPs gesetzt
> sind. Die 228 ist in der /etc/network/interfaces vorhanden.
> Die 226 ist eine HA IP und wird durch heartbeat gesetzt, das überwacht
> zwar nicht das Postfix aber setzt eben die IPs.
> http://linux.die.net/man/7/ocf_heartbeat_ipaddr2
> Ich vermute da den Zusammenhang. Wenn ich auf einem Testsystem eine
> zusätzliche IP herkömmlich setze, dann kann ich die dem Postfix auch
> problemlos als smtp_bind_address unterschieben.
> Also IPs die keine sind?

Die Maschine, auf dem die ipaddr2-Ressource läuft, wird spätestens nach 
einem restart von postfix das machen, was Du erwartest (bind funzt); auf 
der Maschine, auf der postfix *lief*, die ipaddr2 Ressource jedoch erst 
promotet wird (kann man ja zwecks Test per crm triggern), nicht.

Timo

> Danke,
> Hajo



From Ralf.Hildebrandt at charite.de  Tue Jan 22 16:32:23 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Jan 2013 16:32:23 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <20130122152713.GC8258@charite.de>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
 <2E08E2C9951B404188CF7584C4C7983F@ai.local>
 <20130122152713.GC8258@charite.de>
Message-ID: <20130122153222.GD8258@charite.de>

* Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
> * Hajo Locke <hajo.locke at gmx.de>:
> 
> > #/etc/init.d/postfix reload
> > * Reloading Postfix configuration...
> > /usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter:
> > smtp_bind_adress=xxx.xxx.xxx.226
> 
> Tippfehler. address mit zwei d.
> Unused == keine Wirkung!

Nur mal als Demo:

# postfix reload
/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtp_otternasen=true
postfix/postfix-script: refreshing the Postfix mail system

Laufen tut Postfix trotzdem.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From hajo.locke at gmx.de  Tue Jan 22 16:55:52 2013
From: hajo.locke at gmx.de (Hajo Locke)
Date: Tue, 22 Jan 2013 16:55:52 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
 <2E08E2C9951B404188CF7584C4C7983F@ai.local>
 <20130122152713.GC8258@charite.de>
Message-ID: <31C579AF5CAC43DFBBECE30FEC6AA19F@ai.local>

Hallo,

>>Tippfehler. address mit zwei d.
>> Unused == keine Wirkung!

Ich weiß, das war nur die Demonstration weil Peer meinte Postfix würde nicht 
meckern. Das war in diesem Fall gewollt, im Ernstfall ist es richtig.

Hajo 



From Ralf.Hildebrandt at charite.de  Tue Jan 22 19:27:25 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Jan 2013 19:27:25 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <31C579AF5CAC43DFBBECE30FEC6AA19F@ai.local>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
 <2E08E2C9951B404188CF7584C4C7983F@ai.local>
 <20130122152713.GC8258@charite.de>
 <31C579AF5CAC43DFBBECE30FEC6AA19F@ai.local>
Message-ID: <20130122182725.GB6651@charite.de>

* Hajo Locke <hajo.locke at gmx.de>:
> Hallo,
> 
> >>Tippfehler. address mit zwei d.
> >>Unused == keine Wirkung!
> 
> Ich weiß, das war nur die Demonstration weil Peer meinte Postfix
> würde nicht meckern. Das war in diesem Fall gewollt, im Ernstfall ist
> es richtig.

OK, da hast du natürlich recht. Das habe ich mißverstanden.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From oskar-postfix at eyb.de  Tue Jan 22 22:54:38 2013
From: oskar-postfix at eyb.de (Oskar Eyb)
Date: Tue, 22 Jan 2013 22:54:38 +0100
Subject: [Postfixbuch-users] Absender bei Weiterleitung maskieren
Message-ID: <50FF0A9E.3010206@eyb.de>

hallo zusammen,

ich zerbreche mir über folgendes Adress-Rewrite-Problem den Kopf.


Es gibt auf dem system virtual_alias_maps  ähnlich wie folgt:


oskar-bla at example.net		...
oskar-blubb at example.net		....
oskar-eins at example.net		.....
oskar-zwei at example.net		....



Nun soll der Absender, aller auf diesen Adressen eingehende Mails, wenn
diese an eine weitere in den rechten spalten stehende email-adresse
weitergeleitet werden, auf EINEN festgesetzt werden.

Also egal, wer an die oskar- adressen schickt, wenn diese an einen
bestimmten empfänger weitergeleitet werden, sollen diese an den
spezifischen empfänger EINE absenderadresse haben (z.b. sender at example.net )


Wie lässt sich das realisieren?


Freue mich auf Ideen! (Gerne etwas ausführlicher da ich nicht jeden Tag
was mit postfix configuration zu tun habe)


Grüße,
Oskar


From cite at incertum.net  Wed Jan 23 08:34:42 2013
From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=)
Date: Wed, 23 Jan 2013 08:34:42 +0100
Subject: [Postfixbuch-users] smtp_bind_address ignoriert?
In-Reply-To: <50FEB03B.2020609@riscworks.net>
References: <46F64A0008E44A61BCDD77F41E6EEA14@ai.local>
 <20130122131307.GW8258@charite.de>
 <AB80D7EA1B034C31806885BC90D633A9@ai.local>
 <50FE9B15.7080906@heinlein-support.de>
 <2E08E2C9951B404188CF7584C4C7983F@ai.local>
 <50FEB03B.2020609@riscworks.net>
Message-ID: <20130123073442.GE2205@mail.incertum.net>

* Timo Schoeler <timo.schoeler at riscworks.net>:
> On 01/22/2013 04:21 PM, thus Hajo Locke spake:
> >Die 226 ist eine HA IP und wird durch heartbeat gesetzt, das überwacht
> >zwar nicht das Postfix aber setzt eben die IPs.
> >http://linux.die.net/man/7/ocf_heartbeat_ipaddr2
> >Ich vermute da den Zusammenhang. Wenn ich auf einem Testsystem eine
> >zusätzliche IP herkömmlich setze, dann kann ich die dem Postfix auch
> >problemlos als smtp_bind_address unterschieben.
> >Also IPs die keine sind?
> 
> Die Maschine, auf dem die ipaddr2-Ressource läuft, wird spätestens
> nach einem restart von postfix das machen, was Du erwartest (bind
> funzt); auf der Maschine, auf der postfix *lief*, die ipaddr2
> Ressource jedoch erst promotet wird (kann man ja zwecks Test per crm
> triggern), nicht.

Wenn das was Tima sagt zutrifft, die IP also in dem Moment noch nicht
auf der Büchse läuft, erklärt das, warum die Einstellung wirkungslos
bleibt.

In dem Fall gibt es IMHO zwei Dinge, übder die Hajo nachdenken sollte:

1. Ist es notwendig, daß die IP bei einem _Sende_vorgang angepasst
   wird? Vielleicht hilft es, wenn Hajo uns sagt, was der Grund für
   diese Einstellung ist, welche Anforderung es gibt etc., so daß wir
   das hier kurz diskutieren können.
2. Wenn auf (1) nicht verzichtet werden kann dann würde ich persönlich
   darüber nachdenken, einen Postfix Resource Agent zu schreiben, der
   dafür sorgt, daß der Knoten, auf dem die HA-IP nicht ist, seine
   Mails z.B. per relay_transport an den Knoten mit HA-IP ausliefert,
   anstatt die Auslieferung direkt zu übernehmen. Man kann natürlich
   noch weiter gehen und die Queue z.B. mal auf dem einen, dann auf
   dem anderen System mounten und nur eje eine aktive Postfix-Instanz
   haben etc.

Für relevanter halte ich Punkt 1.


Ciao
Stefan


From cite at incertum.net  Wed Jan 23 08:42:51 2013
From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=)
Date: Wed, 23 Jan 2013 08:42:51 +0100
Subject: [Postfixbuch-users] Absender bei Weiterleitung maskieren
In-Reply-To: <50FF0A9E.3010206@eyb.de>
References: <50FF0A9E.3010206@eyb.de>
Message-ID: <20130123074251.GF2205@mail.incertum.net>

* Oskar Eyb <oskar-postfix at eyb.de>:
> Also egal, wer an die oskar- adressen schickt, wenn diese an einen
> bestimmten empfänger weitergeleitet werden, sollen diese an den
> spezifischen empfänger EINE absenderadresse haben (z.b. sender at example.net )

Wenn jemand bei mir mit so einer etwas "ungewöhnlichen" Anforderung
aufschlägt dann frage ich gerne mal nach, _warum_ diese Anforderung
besteht. Sprich: Was willst Du denn da machen? Geht es z.B. um das
Testen einer Applikation? Wäre das Rewriting dann nicht besser in der
Applikation aufgehoben? Etc. pp.


Ansonsten: Ein paar Zeilen Perl für einen content_filter ausgeben,
oder aber Du benutzt eine check_recpient_aaccess-Map, Typ regexp/pcre,
die auf oskar-(.*)@.... matcht und als Action ein "FILTER" auf einen
weiteren smtpd(8) setzt, dem Du mit -o cleanup_service_name einen
weiteren, ebenfalls in master.cf definierten cleanup(8) mitgibst, der
dann sender_canonical_maps setzt.


Ciao
Stefan


From cite at incertum.net  Wed Jan 23 08:44:43 2013
From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=)
Date: Wed, 23 Jan 2013 08:44:43 +0100
Subject: [Postfixbuch-users] Relay-proxy
In-Reply-To: <50F9B343.3080304@heinlein-support.de>
References: <40fad1e196d709dbf93fe3e66674c6c8@lcc-mail.eu>
 <50F9B343.3080304@heinlein-support.de>
Message-ID: <20130123074443.GG2205@mail.incertum.net>

* Peer Heinlein <p.heinlein at heinlein-support.de>:
> Am 18.01.2013 20:53, schrieb thomas.klein at lcc-mail.eu:
> > Besser wäre es, wenn das Relay die Mail annimmt und die smtp-session so
> > lange offen lässt, bis es die Mail beim Zielserver abgekippt hat sodaß
> > der Reject-Grund des Zielservers gleich an die Applikation
> > zurückgemeldet werden kann - also so eine Art relay-proxy.
> 
> Welchen Sinn soll das haben? Keinen.
> 
> Genausogut könnte des Absende-System gleich selbst beim Ziel einliefern.
> 
> Und, nein: Postfix will das nicht nur nicht, es kann es auch nicht.

Abgesehen davon daß Peer hier den Nagel auf den Kopf getroffen hat
(das macht wirklich nicht viel Sinn) - Du kannst das Problem ein
bißchen erschlagen, indem Du mit recipient address verfication
arbeitest. Hilft Dir halt bei nicht existenten Adressen, aber eher
weniger bei Greylisting, Quotas etc.


Ciao
Stefan


From meierd73 at gmail.com  Wed Jan 23 10:25:03 2013
From: meierd73 at gmail.com (D.M.)
Date: Wed, 23 Jan 2013 10:25:03 +0100
Subject: [Postfixbuch-users] Arten der Anbindung von Dovecot an Postfix
Message-ID: <CALSGnGwfactE74rCm-crFYVCG48jG+YWeU17abA0SBZmeOQ9WA@mail.gmail.com>

Hallo,

für die Anbindung von Dovecot an Postfix mit virtuellen Domains und
Nutzern empfiehlt Peer hier und z.B. im Linux Magazin 09/10 ja Postfix
wie ein Relay für Dovecot einzurichten, also gehostete Domains in
relay_domains einzutragen, per transport_maps an einen LMTP Socket von
Dovecot zu routen und über reject_unverified_recipient in den
smtpd_recipient_restrictions existierende Adressen dynamisch zu
überprüfen.
Postfix auf der anderen Seite empfiehlt im VIRTUAL_README für
gehostete Domains virtual_mailbox_domains und virtual_transport statt
relay_domains und transport_maps. Was sind hier die Unterschiede, bzw.
Vor- und Nachteile zwischen beiden Varianten?


From Ralf.Hildebrandt at charite.de  Wed Jan 23 11:06:07 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 23 Jan 2013 11:06:07 +0100
Subject: [Postfixbuch-users] Arten der Anbindung von Dovecot an Postfix
In-Reply-To: <CALSGnGwfactE74rCm-crFYVCG48jG+YWeU17abA0SBZmeOQ9WA@mail.gmail.com>
References: <CALSGnGwfactE74rCm-crFYVCG48jG+YWeU17abA0SBZmeOQ9WA@mail.gmail.com>
Message-ID: <20130123100607.GK4822@charite.de>

* D.M. <meierd73 at gmail.com>:
> Hallo,
> 
> für die Anbindung von Dovecot an Postfix mit virtuellen Domains und
> Nutzern empfiehlt Peer hier und z.B. im Linux Magazin 09/10 ja Postfix
> wie ein Relay für Dovecot einzurichten, also gehostete Domains in
> relay_domains einzutragen, per transport_maps an einen LMTP Socket von
> Dovecot zu routen und über reject_unverified_recipient in den
> smtpd_recipient_restrictions existierende Adressen dynamisch zu
> überprüfen.

Ja, finde ich auch gut so :) Evtl. kann man auch direkt auf die
Userbasis von dovecot zugreifen, aber das ist Kür.

> Postfix auf der anderen Seite empfiehlt im VIRTUAL_README für
> gehostete Domains virtual_mailbox_domains und virtual_transport statt
> relay_domains und transport_maps. Was sind hier die Unterschiede, bzw.
> Vor- und Nachteile zwischen beiden Varianten?

Wenn du das nutzt, dann greifen virtual_mailbox_maps (für die
Empfängervalidierung) und virtual_transport muss dann von "virtual" auf sowas wie
lmtp:127.0.0.1 umdefiniert sein. Finde ich unelegant.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From chris at schoeppi.net  Wed Jan 23 11:51:03 2013
From: chris at schoeppi.net (Christian Schoepplein)
Date: Wed, 23 Jan 2013 11:51:03 +0100
Subject: [Postfixbuch-users] =?iso-8859-15?q?postfix_und_mailman=2C_effekt?=
	=?iso-8859-15?q?ives_Filtern_von_ungew=FCnschten_Absendern?=
Message-ID: <20130123105103.GA22213@mx.cs-x.de>

Hallo zusammen,

leider ist mir kein besserer Betreff eingefallen..., aber im Prinzip 
gehts um folgendes Problem, wo ich mal ein paar Denkanstöße brauche, um 
die momentane Situation zu verbessern.

Wir betreiben ein System mit postfix und mailman und wollen ein Mitglied 
daran hindern in irgendeine Liste auf dem System zu posten. Dieses 
Mitglied ist mailmäßig recht fitt und umgeht die normalen mailman-Mittel 
der Listenmoderation indem er einfach mit einem Envelope-From eines 
nicht moderierten Mitglieds seine Mails bei uns absetzt. Wir könnten nun 
nach und nach Filterregeln für die Header anlegen und z.B. direkt 
den postfix und nicht nur mailman die Filterei erledigen lassen, aber 
letztlich ist das ja nur alles ein Katz und Maus Spiel.

Mir ist klar, dass der 100%ige Schutz eine Vollmoderation der Listen 
wäre, so bekommt man die unerwünschten Mails auf jeden Fall raus. Mir 
ist auch klar, dass es keinen 100%igen Schutz gibt, wenn man mit Filtern 
arbeitet oder einzelne Adressen im mailman moderiert. Trotzdem frage ich 
mich aber, ob man manche Dinge nicht doch verbessern kann, damit der 
Aufwand für das gesperrte Mitglied so hoch wie möglich wird. Ich denke 
da z.B. an Dinge wie:

- Mails deren EnvelopeFrom und normales From (im Header) sich 
unterscheiden, werden gar nicht angenommen
- Für alle eingehenden Mails wird überprüft, ob der Mailserver, der die 
Mail bei uns einkippt, überhaupt für die Adresse (Envelope-From) 
zuständig ist

Machen derartige Dinge denn überhaupt Sinn, wo liegen die Probleme bzw. 
wie kann ich das ggf. in postfix konfigurieren?

Oder ist das alles eh nur Anrennen gegen Windmühlen und man kann es 
gleich bleiben lassen, da mailinglisten prinzipbedingt nie wirklich 
einen 100%ige Sicherheit bieten und sich nicht gewollte Mitglieder nie 
wirklich ausschließen lassen?

Bieten alternative Systeme zu mailman ggf. einen besseren Schutz für 
unser Problem? Ich bin gestern abend z.B. mal über Sympa 
(http://www.sympa.org) gestolpert, das liest sich alles schon auch ganz 
gut und klingt evtl. nach einer Alternative. Nur bietet mir dieses 
Mailinglistensystem mehr Schutz? Kennt jemand Sympa und kann mal ein 
bisschen mehr dazu schreiben?

Manche Anbieter arbeiten ja auch mit einem Passwort das in der Mail 
auftauchen muss, um überhaupt in eine Liste posten zu dürfen. Das 
Listensystem prüft, ob Absenderadresse und Passwort zusammenpassen und 
nur wenn das der Fall ist, wird die Mail an die Liste durchgelassen und 
das Passwort vorher entfernt. Jedes Mitglied hat sein eigenes Passwort, 
sodass die Zuordnung wirklich eindeutig ist und man als Listenmoderator 
nur das Passwort ändern muss, um ein Mitglied am Posten zu hindern. Geht 
sowas auch irgendwie mit mailman oder mit einem anderen euch bekannten 
Mailinglistensystem?

Ciao und vielen Dank für eure Antworten,

  Schöpp



From igor.sverkos at googlemail.com  Wed Jan 23 12:28:04 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 23 Jan 2013 12:28:04 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50FD76DC.3020302@heinlein-support.de>
References: <201301181207.26913@inter.netz> <50F95A46.6060103@nbmc.de>
 <201301181550.05020@inter.netz> <50F962FE.6040400@heinlein-support.de>
 <50FD1B52.40402@googlemail.com> <50FD76DC.3020302@heinlein-support.de>
Message-ID: <50FFC944.9010806@googlemail.com>

Hallo,

Peer Heinlein schrieb:
> Ich bin auch nicht der Meinung, daß man das braucht. Bei allen meinen
> Installationen fange ich immer kurzerhand bei Null an.

Hast Du denn wirklich den Tripple-Check aktiv?

Zumindest auf einem Standard Debian mit postgrey weiß ich nicht ob man
das will:

Mail von foo at example.org an bar at example.net.

example.org hat einige Mailouts und leider darf auch mal jeder
probieren. D.h. es dauert bspw. 10 Stunden, bis ein bekannter Server
wieder dran ist und über das Greylisting kommt.

OK - jetzt ist also foo at example.org durch. Weitere Mails von dem
Absender an bar at example.net gehen sofort durch.

Aber wenn jetzt foo at example.org auch an foobar at example.net eine Mail
schreiben muss, scheint es wieder von vorne loszugehen.

Das halte ich irgendwie für nicht effektiv.


-- 
Ich Grüße,
Igor



From p.heinlein at heinlein-support.de  Wed Jan 23 13:53:02 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 23 Jan 2013 13:53:02 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
 =?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50FFC944.9010806@googlemail.com>
References: <201301181207.26913@inter.netz> <50F95A46.6060103@nbmc.de>
 <201301181550.05020@inter.netz> <50F962FE.6040400@heinlein-support.de>
 <50FD1B52.40402@googlemail.com> <50FD76DC.3020302@heinlein-support.de>
 <50FFC944.9010806@googlemail.com>
Message-ID: <50FFDD2E.50804@heinlein-support.de>

Am 23.01.2013 12:28, schrieb Igor Sverkos:

> Aber wenn jetzt foo at example.org auch an foobar at example.net eine Mail
> schreiben muss, scheint es wieder von vorne loszugehen.

Sobald er mehrere bestätigte Tripp hat, macht er für diese IP kein GL
mehr. Warum sollte er auch. Wer will ja nur wissen, ob das ein
Botnetz-Dialup ist.

Besser noch: er macht für das /24 kein WL mehr, weil Server selten neben
Dialup stehen. Verschiedene Ausgangs-IPs sind damit kein Problem.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From atann at alphasrv.net  Wed Jan 23 14:53:11 2013
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 23 Jan 2013 14:53:11 +0100
Subject: [Postfixbuch-users]
 =?windows-1252?q?Zunehmend_Verz=F6gerungen_be?=
 =?windows-1252?q?im_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <50FFDD2E.50804@heinlein-support.de>
References: <201301181207.26913@inter.netz> <50FFC944.9010806@googlemail.com>
 <50FFDD2E.50804@heinlein-support.de>
Message-ID: <201301231453.11574@inter.netz>

Peer Heinlein, Mittwoch, 23. Januar 2013: 

> Besser noch: er macht für das /24 kein WL mehr, weil Server selten neben
> Dialup stehen. Verschiedene Ausgangs-IPs sind damit kein Problem.

Peer, Du gehst immer von Deinen Größenordnungen aus. Wenn ich 500k oder 
meinetwegen auch 50M Mails am Tag durch die Kiste schaufel, dann ist das 
kein Problem, dann funktioniert es so wie Du sagst.

Eine kleinere Site aber hat damit schon ein Problem: wenn von Google einmal 
die Woche ne Mail kommt, dann kannst Du Dir ausrechnen, a) wie lange es 
dauert, bis alle > 100 Gateways durch postscreen durch sind, und 
anschließend alle durch Postgrey durch und dann gewhitelistet sind, und b) 
wieviele Anrufe genervter User Du in der Zwischenzeit hast, wenn die sich 
veranlaßt fühlen, bei jeder Mail nachzufragen.

Und das alles wäre kein Problem, wenn auch bei Riesen-Outbound-Pools immer 
ein Server die Zustellung übernehmen würde. Wenn es aber jedesmal ein 
anderer macht, dann dauert es wirklich ewig, bis Postgrey mal was kapiert.

# sed -nre '/postgrey.*delay/s/.*delay=([^,]*),.*/\1/p' /var/log/mail.log | 
sort -n | tail
44226
48173
48550
48724
53053
57585
63463
82718
104957
163175

Das ist ein Witz, und kein funktionierendes Mailsystem. 45 Stunden für die 
Zustellung - da bist Du zu Fuß schneller.



-- 
Andre Tann



From driessen at fblan.de  Wed Jan 23 15:58:56 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Wed, 23 Jan 2013 15:58:56 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Zunehmend_Verz=F6gerungen_beim?=
	=?iso-8859-1?q?_Mailempfang_durch_postscreen/postgrey?=
In-Reply-To: <201301231453.11574@inter.netz>
References: <201301181207.26913@inter.netz> <50FFC944.9010806@googlemail.com>
 <50FFDD2E.50804@heinlein-support.de> <201301231453.11574@inter.netz>
Message-ID: <006001cdf97a$2b0ef7e0$812ce7a0$@fblan.de>

> -----Ursprüngliche Nachricht-----
> Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-
> users-bounces at listen.jpberlin.de] Im Auftrag von Andre Tann
> Gesendet: Mittwoch, 23. Januar 2013 14:53
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: [Postfixbuch-users] Zunehmend Verzögerungen beim
> Mailempfang durch postscreen/postgrey
> 
> Peer Heinlein, Mittwoch, 23. Januar 2013:
> 
> > Besser noch: er macht für das /24 kein WL mehr, weil Server selten neben
> > Dialup stehen. Verschiedene Ausgangs-IPs sind damit kein Problem.
> 
> Peer, Du gehst immer von Deinen Größenordnungen aus. Wenn ich 500k
> oder
> meinetwegen auch 50M Mails am Tag durch die Kiste schaufel, dann ist das
> kein Problem, dann funktioniert es so wie Du sagst.
> 
> Eine kleinere Site aber hat damit schon ein Problem: wenn von Google
> einmal
> die Woche ne Mail kommt, dann kannst Du Dir ausrechnen, a) wie lange es
> dauert, bis alle > 100 Gateways durch postscreen durch sind, und
> anschließend alle durch Postgrey durch und dann gewhitelistet sind, und b)
> wieviele Anrufe genervter User Du in der Zwischenzeit hast, wenn die sich
> veranlaßt fühlen, bei jeder Mail nachzufragen.
> 
> Und das alles wäre kein Problem, wenn auch bei Riesen-Outbound-Pools
> immer
> ein Server die Zustellung übernehmen würde. Wenn es aber jedesmal ein
> anderer macht, dann dauert es wirklich ewig, bis Postgrey mal was kapiert.
> 
> # sed -nre '/postgrey.*delay/s/.*delay=([^,]*),.*/\1/p' /var/log/mail.log
|
> sort -n | tail
> 44226
> 48173
> 48550
> 48724
> 53053
> 57585
> 63463
> 82718
> 104957
> 163175
> 
> Das ist ein Witz, und kein funktionierendes Mailsystem. 45 Stunden für die
> Zustellung - da bist Du zu Fuß schneller.
> 

Das ist aber nicht das Problem des empfangenden Servers!
450er Fehler kommen immer mal wieder vor und der Sendende Server muß damit
umgehen können.

Wenn du direkte Zustellung benötigst dann lass Postgrey nur selectiv laufen.
Lösung ist auf der Liste schon etliche male gepostet worden 

 check_client_access pcre:/etc/postfix/maps/dialups.grey,


/eu\.blackberry\.com$/  DUNNO
/sipgate\.net$/         DUNNO
/(\-.+){4}$/ greylisting
/(\..+){4}$/ greylisting
# everything with 3 or more dots/hyphens in the hostname

/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?
|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|
in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[
:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|p
cp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/
greylisting
/\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|i
l|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/    greylisting
/clients\.your-server\.de$/ greylisting
/unknown/       greylisting
/agnitas\.de/   greylisting
/yahoo\.com/    yahoo.absender




Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



From anmeyer at anup.de  Wed Jan 23 18:30:42 2013
From: anmeyer at anup.de (Andreas Meyer)
Date: Wed, 23 Jan 2013 18:30:42 +0100
Subject: [Postfixbuch-users] eine Frage zu amavis
Message-ID: <20130123183042.52a659e0@itxnew.bitcorner.intern>

Hallo!

Schon lange habe ich mir das amavis.log nicht mehr angeschaut. Nun stelle
ich heute fest, dass amavis alle 301 Sekunden offenbar neu gestartet wird.

Ich bin mir nicht bewusst, dbzgl. etwas eingestellt zu haben. Ist das
ein bekanntes Verhalten von amavis?

Grüße

  Andreas


From p.heinlein at heinlein-support.de  Wed Jan 23 18:31:22 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 23 Jan 2013 18:31:22 +0100
Subject: [Postfixbuch-users] eine Frage zu amavis
In-Reply-To: <20130123183042.52a659e0@itxnew.bitcorner.intern>
References: <20130123183042.52a659e0@itxnew.bitcorner.intern>
Message-ID: <51001E6A.4040409@heinlein-support.de>

Am 23.01.2013 18:30, schrieb Andreas Meyer:
> Hallo!
> 
> Schon lange habe ich mir das amavis.log nicht mehr angeschaut. Nun stelle
> ich heute fest, dass amavis alle 301 Sekunden offenbar neu gestartet wird.
> 
> Ich bin mir nicht bewusst, dbzgl. etwas eingestellt zu haben. Ist das
> ein bekanntes Verhalten von amavis?

Nein.


Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From anmeyer at anup.de  Wed Jan 23 19:14:34 2013
From: anmeyer at anup.de (Andreas Meyer)
Date: Wed, 23 Jan 2013 19:14:34 +0100
Subject: [Postfixbuch-users] eine Frage zu amavis
In-Reply-To: <51001E6A.4040409@heinlein-support.de>
References: <20130123183042.52a659e0@itxnew.bitcorner.intern>
 <51001E6A.4040409@heinlein-support.de>
Message-ID: <20130123191434.3a47db53@itxnew.bitcorner.intern>

Peer Heinlein <p.heinlein at heinlein-support.de> wrote:

> Am 23.01.2013 18:30, schrieb Andreas Meyer:
> > Hallo!
> > 
> > Schon lange habe ich mir das amavis.log nicht mehr angeschaut. Nun stelle
> > ich heute fest, dass amavis alle 301 Sekunden offenbar neu gestartet wird.
> > 
> > Ich bin mir nicht bewusst, dbzgl. etwas eingestellt zu haben. Ist das
> > ein bekanntes Verhalten von amavis?
> 
> Nein.

Es war monit, das ich heute morgen aktiviert habe.

if totalmem > 500.0 MB for 5 cycles then restart

> Peer

  Andreas


From jk at jkart.de  Thu Jan 24 14:38:21 2013
From: jk at jkart.de (Jim Knuth)
Date: Thu, 24 Jan 2013 14:38:21 +0100
Subject: [Postfixbuch-users] =?iso-8859-15?q?postgrey=3A_Text_=E4ndern_mal?=
	=?iso-8859-15?q?_wieder?=
Message-ID: <5101394D.80706@jkart.de>

Hallo,

mir gelingt es ums Verrecken nicht, den postgrey Text zu ändern.
Alles was in dem Thread von 2008 stand, hat nix gebracht.
In /etc/default/postgrey steht jetzt:
POSTGREY_TEXT="Greylisted Come again in 5 minutes"

aber schon mit POSTGREY_TEXT='Greylisted Come again in 5 minutes'
probiert, maskiert, etc. Geht nicht.

Wo ist der Trick?

Postgrey 1.34, Debian testing
-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Arbeit um der Arbeit willen ist gegen
die Natur. (John Locke)


From driessen at fblan.de  Thu Jan 24 15:08:13 2013
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Jan 2013 15:08:13 +0100
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?postgrey=3A_Text_=E4ndern_mal_?=
	=?iso-8859-1?q?wieder?=
In-Reply-To: <5101394D.80706@jkart.de>
References: <5101394D.80706@jkart.de>
Message-ID: <00a601cdfa3c$3fd30c30$bf792490$@fblan.de>

Im Auftrag von Jim Knuth
> 
> Hallo,
> 
> mir gelingt es ums Verrecken nicht, den postgrey Text zu ändern.
> Alles was in dem Thread von 2008 stand, hat nix gebracht.
> In /etc/default/postgrey steht jetzt:
> POSTGREY_TEXT="Greylisted Come again in 5 minutes"
> 
> aber schon mit POSTGREY_TEXT='Greylisted Come again in 5 minutes'
> probiert, maskiert, etc. Geht nicht.
> 
> Wo ist der Trick?

# postgrey startup options, created for Debian

# you may want to set
#   --delay=N   how long to greylist, seconds (default: 300)
#   --max-age=N delete old entries after N days (default: 35)
# see also the postgrey(8) manpage

POSTGREY_OPTS="--inet=127.0.0.1:10023 --greylist-action=450"

# the --greylist-text commandline argument can not be easily passed through
# POSTGREY_OPTS when it contains spaces.  So, insert your text here:
#POSTGREY_TEXT="Your customized rejection message here"
POSTGREY_TEXT="Sorry for the silly things, come later thanks, you have to
pay 20 cent for your Mail"


> 
> Postgrey 1.34, Debian testing

Der wird sein 

invoke-rc.d postgrey restart



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From ronny at seffner.de  Thu Jan 24 16:16:22 2013
From: ronny at seffner.de (Ronny Seffner)
Date: Thu, 24 Jan 2013 16:16:22 +0100
Subject: [Postfixbuch-users] Ausnahmen im 'dkim-filter'
Message-ID: <008601cdfa45$c6295f60$527c1e20$@seffner.de>

Hallo,

ich setze unter debian 'dkim-filter' mit postfix ein, um Mails, für die ich
zuständig bin auch zu signieren.
Nun kommt es vor, das für eine Domain, die ich hoste auch eine Weiterleitung
existiert und somit eine Mail zum Versand kommt, die DKIM dann gern
signieren möchte - nur kenne ich des Absenders Schlüssel ja gar nicht und
will mich an der lokale generierten Kopie der Mail auch nicht vergreifen
(zumindest verstehe ich das so).

Mein DKIM arbeitet mit KeyList und Domain, in denen die Domains und Keys
referenziert sind. Wie bringe ich nun DKIM bei, von Absendedomains, die
nicht genannt sind die Finger zu lassen - bzw. wie unterdrücke ich z.B. "Jan
24 15:17:35 ns3 dkim-filter[2639]: 897D722400C: no signature data"?


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
-- 
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  ronny at seffner.de  |  +49 35245 72950



From p.heinlein at heinlein-support.de  Thu Jan 24 16:19:26 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 24 Jan 2013 16:19:26 +0100
Subject: [Postfixbuch-users] Ausnahmen im 'dkim-filter'
In-Reply-To: <008601cdfa45$c6295f60$527c1e20$@seffner.de>
References: <008601cdfa45$c6295f60$527c1e20$@seffner.de>
Message-ID: <510150FE.9080408@heinlein-support.de>

Am 24.01.2013 16:16, schrieb Ronny Seffner:

> ich setze unter debian 'dkim-filter' mit postfix ein, um Mails, für die ich
> zuständig bin auch zu signieren.

Ich würde es mit Amavis (mit-) machen.

> Mein DKIM arbeitet mit KeyList und Domain, in denen die Domains und Keys
> referenziert sind. Wie bringe ich nun DKIM bei, von Absendedomains, die
> nicht genannt sind die Finger zu lassen

offensichtlich läßt er ja die Finger davon.

> - bzw. wie unterdrücke ich z.B. "Jan
> 24 15:17:35 ns3 dkim-filter[2639]: 897D722400C: no signature data"?

Im Zweifel indem Du im syslog-ng diese Logzeilen unterdrückst...

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From jk at jkart.de  Thu Jan 24 19:50:58 2013
From: jk at jkart.de (Jim Knuth)
Date: Thu, 24 Jan 2013 19:50:58 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?postgrey=3A_Text_=E4ndern_mal_?=
 =?iso-8859-1?q?wieder?=
In-Reply-To: <00a601cdfa3c$3fd30c30$bf792490$@fblan.de>
References: <5101394D.80706@jkart.de>
 <00a601cdfa3c$3fd30c30$bf792490$@fblan.de>
Message-ID: <51018292.9070909@jkart.de>

am 24.01.13 15:08 schrieb Uwe Drießen <driessen at fblan.de>:



> Im Auftrag von Jim Knuth
>>
>> Hallo,
>>
>> mir gelingt es ums Verrecken nicht, den postgrey Text zu ändern.
>> Alles was in dem Thread von 2008 stand, hat nix gebracht.
>> In /etc/default/postgrey steht jetzt:
>> POSTGREY_TEXT="Greylisted Come again in 5 minutes"
>>
>> aber schon mit POSTGREY_TEXT='Greylisted Come again in 5 minutes'
>> probiert, maskiert, etc. Geht nicht.
>>
>> Wo ist der Trick?
>
> # postgrey startup options, created for Debian
>
> # you may want to set
> #   --delay=N   how long to greylist, seconds (default: 300)
> #   --max-age=N delete old entries after N days (default: 35)
> # see also the postgrey(8) manpage
>
> POSTGREY_OPTS="--inet=127.0.0.1:10023 --greylist-action=450"
>
> # the --greylist-text commandline argument can not be easily passed through
> # POSTGREY_OPTS when it contains spaces.  So, insert your text here:
> #POSTGREY_TEXT="Your customized rejection message here"
> POSTGREY_TEXT="Sorry for the silly things, come later thanks, you have to
> pay 20 cent for your Mail"
>
>
>>
>> Postgrey 1.34, Debian testing
>
> Der wird sein
>
> invoke-rc.d postgrey restart

nö, immer gemacht ;)

>
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>


-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Der getretene Wurm krümmt sich. So ist es klug. Er
verringert damit die Wahrscheinlichkeit, von neuem
getreten zu werden. In der Sprache der Moral: Demut.
[Nietzsche]


From andreas.schulze at datev.de  Fri Jan 25 08:30:04 2013
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Fri, 25 Jan 2013 08:30:04 +0100
Subject: [Postfixbuch-users] Ausnahmen im 'dkim-filter'
In-Reply-To: <008601cdfa45$c6295f60$527c1e20$@seffner.de>
References: <008601cdfa45$c6295f60$527c1e20$@seffner.de>
Message-ID: <20130125073004.GA11657@spider.services.datevnet.de>

Am 24.01.2013 16:16 schrieb Ronny Seffner:
> ich setze unter debian 'dkim-filter' mit postfix ein, um Mails, für die ich
dkim-filter ist veraltet und unmaintained.
nimm den Nachfolger opendkim. Am besten aus dem unstable oder experimental

> Nun kommt es vor, das für eine Domain, die ich hoste auch eine Weiterleitung
> existiert und somit eine Mail zum Versand kommt, die DKIM dann gern
> signieren möchte - nur kenne ich des Absenders Schlüssel ja gar nicht und
> will mich an der lokale generierten Kopie der Mail auch nicht vergreifen
> (zumindest verstehe ich das so).
dann kannst Du zumindest eine ThirdParty Signatur dranhängen also
Es geht ja drum, die "Verantwortung" für eine Mail zu übernehmen.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen


From c.wally at cwrm.at  Fri Jan 25 10:26:38 2013
From: c.wally at cwrm.at (Christian Wally)
Date: Fri, 25 Jan 2013 10:26:38 +0100
Subject: [Postfixbuch-users] mailspike.org
Message-ID: <51024FCE.8090708@cwrm.at>

Hallo Liste,

die IP Adresse des Mail Servers eines meiner Kunden ist auf die 
Mailspike RBL  (bl.mailspike.org) geraten (Distributed Spam Wave).

Ich habe vor etwa zwei Wochen einen delisting request für die Adresse 
gemacht.

Da die Adresse Anfang dieser Woche noch immer gelistet war, habe ich 
einen neuerlichen delisting request abgesetzt und gleichzeitig eine Mail 
an support at mailspike.org geschickt, mit der Bitte dem Request 
nachzugehen und mir mitzuteilen nach welchen Kriterien die Eintragung 
erfolgt.

Bis jetzt ist weder ein delisting erfolgt, noch habe ich eine Antwort 
auf meine Mail bekommen, daher meine Frage in die Runde ob jemand diese 
Blacklist kennt bzw. weiß wie man rauf und vorallem wieder runter kommt.

Danke!

chris

-- 
Christian Wally
Risk Management
Sturnengasse 9
6700 Bludenz
T: +43-5552-20803
M: +43-699-19439834
W: http://www.cwrm.at


Dieser Disclaimer wurde durch den TrashRazor von CWRM erstellt
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130125/55ff3181/attachment.htm>

From t.schneider at tms-itdienst.at  Sat Jan 26 09:03:20 2013
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Sat, 26 Jan 2013 09:03:20 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
Message-ID: <51038DC8.70405@tms-itdienst.at>

Hallo Liste.


Ich habe einen Kunden, der hat mir mitgeteilt das mail an gmx dort im
SPAM landen. Mir ist aufgefallen, dass im message-id header
www.sociallearning steht, dies kommt davon weil dass moodle versendet.
wie kann ich das umschreiben, dass hier nur die domain steht?
Mails von andere moodle landen nicht im SPAM bei gmx.

Grüße
Timm
-- 
TMS IT-Dienst
Hinterstadt 2
4840 Vöcklabruck(VB)
Austria
T.+43.720.501 078(kostenlos per ENUM erreichbar)
T.+49.89.721010 77792
F.+43.720.501 078 57
Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 263 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130126/a5c82415/attachment.asc>

From p.heinlein at heinlein-support.de  Sat Jan 26 10:59:52 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Sat, 26 Jan 2013 10:59:52 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51038DC8.70405@tms-itdienst.at>
References: <51038DC8.70405@tms-itdienst.at>
Message-ID: <5103A918.80004@heinlein-support.de>

Am 26.01.2013 09:03, schrieb Timm Schneider:

Hi,

> Ich habe einen Kunden, der hat mir mitgeteilt das mail an gmx dort im
> SPAM landen. Mir ist aufgefallen, dass im message-id header
> www.sociallearning steht, dies kommt davon weil dass moodle versendet.

Was in der Message-ID steht ist Totalpiepegal.

Abgesehen davon: Wenn der host www.sociallearning.de heißt, dann ist es
doch auch total richtig, wenn in der Message-ID www.sociallearning steht?!

> wie kann ich das umschreiben, dass hier nur die domain steht?

Kannst Du machen, halte ich aber für absolut belanglos. Genausogut
kannst Du auch versuchen, daß der Hostname nicht mit einem "d" anfangen
soll.

Aber zur Lösung:

Du kannst über header_checks die Message-ID matchen und bei einem
RegExp-Pattern das "www." rausschneiden. genausogut kannst Du auch alle
Message-IDs mit www.sociallerning.de ersatzlos löschen lassen
(header_checks: IGNORE) und dann erzeugt Postfix eine neue.

Du kannst aber auch drauf achten, nur noch lila Schnürsenkel zu tragen.
Ist beides genau gleich effektiv.

Peer

-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From t.schneider at tms-itdienst.at  Sat Jan 26 13:52:39 2013
From: t.schneider at tms-itdienst.at (Timm M.Schneider)
Date: Sat, 26 Jan 2013 13:52:39 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <5103A918.80004@heinlein-support.de>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
Message-ID: <5103D197.3090005@tms-itdienst.at>

Am 26.01.2013 10:59, schrieb Peer Heinlein:
Hallo Peer,

ah verstehe ist also egal.
Ich dachte nur, da das alles Systemrelevante Mails vom moodle sind und
die bei jedem moodle vom Grundtext her gleich sind und von anderen
moodles wird nichts als SPAM definiert.

Also muß ich woanders suchen, an gmx kann es ja nicht liegen.

Thx
Timm
-- 
Timm M.Schneider

TMS IT-Dienst
Hinterstadt 2
4840 Vöcklabruck


From max at grobecker-wtal.de  Sun Jan 27 22:37:42 2013
From: max at grobecker-wtal.de (Maximilian Grobecker)
Date: Sun, 27 Jan 2013 22:37:42 +0100
Subject: [Postfixbuch-users] Clean-MX - Schonmal jemand Kontakt gehabt?
Message-ID: <51059E26.4050801@grobecker-wtal.de>

Hallo,

ich habe vorhin zum wasweißichwievielten Male eine Abuse-Mail von
Clean-MX im Posteingang gehabt.
Grund für die Beschwerde:
Einer unserer Kunden hat versucht eine einzige E-Mail an einen falsch
geschriebenen Empfänger einzuliefern (sic!).

Ich zitiere mal aus dem Abuse-Report:

-----
The IP was automatically blocked for more than 10 minutes. To block an
IP, it needs 3 failed Logins, one match for "invalid user" or a
5xx-Error-Code (eg. Blacklist)!
-----

O-Ton meines Kollegen: "Die haben doch schwer einen an der Pfanne!".

Es wird also bereits als schwerwiegendes Verbrechen angesehen, wenn ein
einziger Versuch eine Mail loszuwerden in einem 5xx-Code resultiert.

Laut dem Maillog des Kunden ist es bei exakt einem Versuch geblieben.
Sein Server hat einen 5xx-Code bekommen und die Mail an den lokalen User
zurückgegeben. Ende der Geschichte.

Das glaube ich ihm sogar ohne mit der Wimper zu zucken:

-----
attacked server: relayn.netpilot.net
envelopesender: a at b.c
enveloperecpient: z at x.y
Helo: b.c
source-ip: aa.ss.dd.ff
protocol: SMTP
instance: predata05.c33.5105987d.xxxx.x
size: 0
reason: 5 -->554 User (%s)  not known to us please verify your
adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:1
-----

So steht es auch am Ende dieses Blocks: Es gibt genau einen "Vorfall".

Da dies nicht das erste Mal ist dass wir wegen so einem Sch$&!! einen
Abuse-Report bekommen habe ich vor ein paar Wochen bereits auf deren
Mail geantwortet und denen nett mitgeteilt dass wir diese Abuse-Policy
vorsichtig gesagt etwas weltfremd und ein wenig überzogen finden.
Bisher habe ich da keine Antwort drauf bekommen, erhalte aber weiter
fleißig diese Abuse-Reports von denen (die inzwischen weitesgehend
ignoriert werden).

Hat jemand von euch schonmal Kontakt mit denen gehabt und kennt
vielleicht eine bessere Kontaktadresse?

Momentan stehe ich kurz davor deren Abuse-Mails direkt serverseitig
abzulehnen. Aber dann würde ich nie erfahren ob es doch eine Meinung zu
meiner Kritik gibt ;-)



Schöne Rest-Wochenend-Stunden und viele Grüße aus dem Tal
Max Grobecker


From anmeyer at anup.de  Mon Jan 28 13:47:24 2013
From: anmeyer at anup.de (Andreas Meyer)
Date: Mon, 28 Jan 2013 13:47:24 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <5103A918.80004@heinlein-support.de>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
Message-ID: <20130128134724.22667f76@itxnew.bitcorner.intern>

Peer Heinlein <p.heinlein at heinlein-support.de> wrote:

> Du kannst über header_checks die Message-ID matchen und bei einem
> RegExp-Pattern das "www." rausschneiden. genausogut kannst Du auch alle
> Message-IDs mit www.sociallerning.de ersatzlos löschen lassen
> (header_checks: IGNORE) und dann erzeugt Postfix eine neue.

Spricht eigentlich etwas dagegen, Postfix die Message-ID erzeugen
zu lassen und nicht den MUA?

  Andreas



From p.heinlein at heinlein-support.de  Mon Jan 28 14:56:09 2013
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 28 Jan 2013 14:56:09 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <20130128134724.22667f76@itxnew.bitcorner.intern>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
Message-ID: <51068379.7050109@heinlein-support.de>

Am 28.01.2013 13:47, schrieb Andreas Meyer:
> Peer Heinlein <p.heinlein at heinlein-support.de> wrote:
> 
>> Du kannst über header_checks die Message-ID matchen und bei einem
>> RegExp-Pattern das "www." rausschneiden. genausogut kannst Du auch alle
>> Message-IDs mit www.sociallerning.de ersatzlos löschen lassen
>> (header_checks: IGNORE) und dann erzeugt Postfix eine neue.
> 
> Spricht eigentlich etwas dagegen, Postfix die Message-ID erzeugen
> zu lassen und nicht den MUA?

Genau das habe ich doch geschrieben.

Also: Nein.

Es ist total egal wer sie erzeugt, genauso ist es total egal, was da
drin steht. $Message-ID ist dafür da, damit sie im Logfile landet und
der Admin sie lesen kann. Ende.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From lists at dguhl.org  Mon Jan 28 14:49:04 2013
From: lists at dguhl.org (Dennis Guhl)
Date: Mon, 28 Jan 2013 14:49:04 +0100
Subject: [Postfixbuch-users] Clean-MX - Schonmal jemand Kontakt gehabt?
In-Reply-To: <51059E26.4050801@grobecker-wtal.de>
References: <51059E26.4050801@grobecker-wtal.de>
Message-ID: <20130128134903.GA19377@PC211.ikt.de>

On Sun, Jan 27, 2013 at 10:37:42PM +0100, Maximilian Grobecker wrote:
> Hallo,

Hallo,

> ich habe vorhin zum wasweißichwievielten Male eine Abuse-Mail von
> Clean-MX im Posteingang gehabt.

den Verein gibt es noch? Von denen habe ich seit Jahren nichts mehr
gehört.

> Grund für die Beschwerde:
> Einer unserer Kunden hat versucht eine einzige E-Mail an einen falsch
> geschriebenen Empfänger einzuliefern (sic!).

Ich erinnere mich, dass die recht pingelig waren, aber das ist
wahrlich übertrieben.

[..]

> Hat jemand von euch schonmal Kontakt mit denen gehabt und kennt
> vielleicht eine bessere Kontaktadresse?

Ja, und wir hatten auch wenig Erfolg mit der Kontaktaufnahme. Wir
konnten uns lediglich damit 'retten', dass wir dem Kunden erklären
konnten (und durften), dass es bis zum nennen einer alternativen
E-Mailadresse keine weiteren Geschäfte mehr gibt :)

Gruß
Dennis

[..]


From lists at dguhl.org  Mon Jan 28 15:00:05 2013
From: lists at dguhl.org (Dennis Guhl)
Date: Mon, 28 Jan 2013 15:00:05 +0100
Subject: [Postfixbuch-users] mailspike.org
In-Reply-To: <51024FCE.8090708@cwrm.at>
References: <51024FCE.8090708@cwrm.at>
Message-ID: <20130128140005.GC19377@PC211.ikt.de>

On Fri, Jan 25, 2013 at 10:26:38AM +0100, Christian Wally wrote:
> Hallo Liste,

Hallo,

[..]

> Bis jetzt ist weder ein delisting erfolgt, noch habe ich eine
> Antwort auf meine Mail bekommen, daher meine Frage in die Runde ob
> jemand diese Blacklist kennt bzw. weiß wie man rauf und vorallem
> wieder runter kommt.

auf der SDLU Liste
(https://spammers.dontlike.us/mailman/listinfo/list) ist jemanden von
Mailspike aktiv.

Gruß
Dennis
-- 
Dennis Guhl
()  ascii ribbon campaign - against html e-mail 
/\  www.asciiribbon.org   - against proprietary attachments


From r.sander at heinlein-support.de  Mon Jan 28 15:10:54 2013
From: r.sander at heinlein-support.de (Robert Sander)
Date: Mon, 28 Jan 2013 15:10:54 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51068379.7050109@heinlein-support.de>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de>
Message-ID: <510686EE.30104@heinlein-support.de>

On 28.01.2013 14:56, Peer Heinlein wrote:

> Es ist total egal wer sie erzeugt, genauso ist es total egal, was da
> drin steht. $Message-ID ist dafür da, damit sie im Logfile landet und
> der Admin sie lesen kann. Ende.

Und für's Threading im MUA, Chef. ;)

Viele Grüße
-- 
Robert Sander
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-43
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From igor.sverkos at googlemail.com  Mon Jan 28 15:14:30 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 28 Jan 2013 15:14:30 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <510686EE.30104@heinlein-support.de>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de> <510686EE.30104@heinlein-support.de>
Message-ID: <510687C6.2040706@googlemail.com>

On 2013-01-28 15:10, Robert Sander wrote:
> Und für's Threading im MUA, Chef. ;)

Jaein. Der MUA braucht eine eindeutige ID, ja. Aber heute werden dazu
die Header-Felder "In-Reply-To" bzw. "References" oder "Thread-Index"
bzw. "Thread-Topic" verwendet.


-- 
Ich Grüße,
Igor





From lists at dguhl.org  Mon Jan 28 15:16:45 2013
From: lists at dguhl.org (Dennis Guhl)
Date: Mon, 28 Jan 2013 15:16:45 +0100
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?postfix_und_mailman=2C_effekti?=
 =?iso-8859-1?q?ves_Filtern_von_ungew=FCnschten_Absendern?=
In-Reply-To: <20130123105103.GA22213@mx.cs-x.de>
References: <20130123105103.GA22213@mx.cs-x.de>
Message-ID: <20130128141644.GD19377@PC211.ikt.de>

On Wed, Jan 23, 2013 at 11:51:03AM +0100, Christian Schoepplein wrote:
> Hallo zusammen,

[..]

> Machen derartige Dinge denn überhaupt Sinn, wo liegen die Probleme bzw. 
> wie kann ich das ggf. in postfix konfigurieren?

Wenn der Knabe über Dich releyed kannst Du mit
reject_sender_login_mismatch dafür Sorge tragen, dass er nur seine
Adressen im Envelope nutzen kann. Ansonsten kannst Du eventuell was
mit restriction classes oder mit postfwd bauen, wo Du das From vom
Envelope und Header vergleichst (und eventuell auch den einliefernden
Mailserver in Betracht ziehst).

Gruß
Dennis


From kai_postfix at fuerstenberg.ws  Mon Jan 28 15:25:35 2013
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Mon, 28 Jan 2013 15:25:35 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <510687C6.2040706@googlemail.com>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de> <510686EE.30104@heinlein-support.de>
 <510687C6.2040706@googlemail.com>
Message-ID: <51068A5F.9000203@fuerstenberg.ws>

Am 28.01.2013 15:14, schrieb Igor Sverkos:
> On 2013-01-28 15:10, Robert Sander wrote:
>> Und für's Threading im MUA, Chef. ;)
> 
> Jaein. Der MUA braucht eine eindeutige ID, ja. Aber heute werden dazu
> die Header-Felder "In-Reply-To" bzw. "References" oder "Thread-Index"
> bzw. "Thread-Topic" verwendet.

diese Header beziehen sich aber auch immer auf die Message-IDs der zu
referenzierenden Mails.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From Ralf.Hildebrandt at charite.de  Mon Jan 28 15:34:00 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Mon, 28 Jan 2013 15:34:00 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51068379.7050109@heinlein-support.de>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de>
Message-ID: <20130128143400.GM28278@charite.de>

* Peer Heinlein <p.heinlein at heinlein-support.de>:
> Am 28.01.2013 13:47, schrieb Andreas Meyer:
> > Peer Heinlein <p.heinlein at heinlein-support.de> wrote:
> > 
> >> Du kannst über header_checks die Message-ID matchen und bei einem
> >> RegExp-Pattern das "www." rausschneiden. genausogut kannst Du auch alle
> >> Message-IDs mit www.sociallerning.de ersatzlos löschen lassen
> >> (header_checks: IGNORE) und dann erzeugt Postfix eine neue.
> > 
> > Spricht eigentlich etwas dagegen, Postfix die Message-ID erzeugen
> > zu lassen und nicht den MUA?
> 
> Genau das habe ich doch geschrieben.
> 
> Also: Nein.
> 
> Es ist total egal wer sie erzeugt, genauso ist es total egal, was da
> drin steht. $Message-ID ist dafür da, damit sie im Logfile landet und
> der Admin sie lesen kann. Ende.

Tatsächlich hatten wir mal einen Fall, dass ein MUA (ratet mal welcher!)
zweimal dieselbe Message-Id genutzt hat: 

Einmal bei einer "Read-Notification" (User hat abends die Mail gelesen), dann am
nächsten Morgen hat der Empfänger geantwortet und die Mail wurde vom
Zielserver wegen der vom Vorabend bereits bekannten Message-Id als
Duplikat VERWORFEN!

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From igor.sverkos at googlemail.com  Mon Jan 28 15:42:25 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 28 Jan 2013 15:42:25 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51068A5F.9000203@fuerstenberg.ws>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de> <510686EE.30104@heinlein-support.de>
 <510687C6.2040706@googlemail.com> <51068A5F.9000203@fuerstenberg.ws>
Message-ID: <51068E51.4050803@googlemail.com>

On 2013-01-28 15:25, Kai Fürstenberg wrote:
> diese Header beziehen sich aber auch immer auf die Message-IDs der zu
> referenzierenden Mails.

Ja?

Aus einer Mail von heute Mittag:

> Subject: =?iso-8859-1?Q?Re:_Postfach_XXXXXXXXXXXXXXXXXX
> Thread-Topic: =?iso-8859-1?Q?Postfach_XXXXXXXXXXXXXXXXXX
> Thread-Index: Ac39WE399AiCdBk8SxaOckt64IBaPQXXXXXX
> Date: Mon, 28 Jan 2013 13:22:46 +0000
> Message-ID: <F59C734717C9BD4B9C78C103D49E80AB06XXXXXX at MB4.win.XXXXXXXXX>
> In-Reply-To: <000001cdfd5a$376321e0$a62XXXXXX at XXXXXX.de>

Da steckt alles drinnen. Postfix... Exchange...

Ich erkenne da nichts wiederkehrendes. Eher was Peer sagte: Die
Message-ID ist nur für den Admin, damit er die Mail in seinem Log sieht.

Es ist lediglich spezifiziert, dass der Wert von "In-Reply-To" bzw.
"References" das Message-ID-*Format* aufweisen muss (weshalb hier
oftmals dann gleich die Message-ID verwendet wird), aber dazu besteht
keine Verpflichtung.


-- 
Ich Grüße,
Igor



From igor.sverkos at googlemail.com  Mon Jan 28 15:48:18 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 28 Jan 2013 15:48:18 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <20130128143400.GM28278@charite.de>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de> <20130128143400.GM28278@charite.de>
Message-ID: <51068FB2.70705@googlemail.com>

On 2013-01-28 15:34, Ralf Hildebrandt wrote:
> Tatsächlich hatten wir mal einen Fall, dass ein MUA (ratet mal welcher!)
> zweimal dieselbe Message-Id genutzt hat: 
> 
> Einmal bei einer "Read-Notification" (User hat abends die Mail gelesen), dann am
> nächsten Morgen hat der Empfänger geantwortet und die Mail wurde vom
> Zielserver wegen der vom Vorabend bereits bekannten Message-Id als
> Duplikat VERWORFEN!

Habt ihr daraus irgendwelche Konsequenzen gezogen? Verwerft ihr bspw.
jetzt vorhandene Message-IDs oder so?


-- 
Ich Grüße,
Igor



From Ralf.Hildebrandt at charite.de  Mon Jan 28 15:53:33 2013
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Mon, 28 Jan 2013 15:53:33 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51068FB2.70705@googlemail.com>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de>
 <20130128143400.GM28278@charite.de> <51068FB2.70705@googlemail.com>
Message-ID: <20130128145333.GP28278@charite.de>

* Igor Sverkos <igor.sverkos at googlemail.com>:
> On 2013-01-28 15:34, Ralf Hildebrandt wrote:
> > Tatsächlich hatten wir mal einen Fall, dass ein MUA (ratet mal welcher!)
> > zweimal dieselbe Message-Id genutzt hat: 
> > 
> > Einmal bei einer "Read-Notification" (User hat abends die Mail gelesen), dann am
> > nächsten Morgen hat der Empfänger geantwortet und die Mail wurde vom
> > Zielserver wegen der vom Vorabend bereits bekannten Message-Id als
> > Duplikat VERWORFEN!
> 
> Habt ihr daraus irgendwelche Konsequenzen gezogen? Verwerft ihr bspw.
> jetzt vorhandene Message-IDs oder so?

Nö. Das Zielsystem ist debil, nicht mein Problem.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From kai_postfix at fuerstenberg.ws  Mon Jan 28 15:54:31 2013
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Mon, 28 Jan 2013 15:54:31 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51068E51.4050803@googlemail.com>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de> <510686EE.30104@heinlein-support.de>
 <510687C6.2040706@googlemail.com> <51068A5F.9000203@fuerstenberg.ws>
 <51068E51.4050803@googlemail.com>
Message-ID: <51069127.50907@fuerstenberg.ws>

Am 28.01.2013 15:42, schrieb Igor Sverkos:
> On 2013-01-28 15:25, Kai Fürstenberg wrote:
>> diese Header beziehen sich aber auch immer auf die Message-IDs der zu
>> referenzierenden Mails.
> 
> Ja?

Ja!

Die Mail von Robert Sander:
Message-ID: <510686EE.30104 at heinlein-support.de>

deine Mail als Reply:
In-Reply-To: <510686EE.30104 at heinlein-support.de>
Message-ID: <510687C6.2040706 at googlemail.com>

meine Mail daraufhin:
In-Reply-To: <510687C6.2040706 at googlemail.com>
Message-ID: <51068A5F.9000203 at fuerstenberg.ws>

und jetzt nochmal Deine Mail:
In-Reply-To: <51068A5F.9000203 at fuerstenberg.ws>
Message-ID: <51068E51.4050803 at googlemail.com>

Die Message-ID alleine sagt nicht sonderlich viel aus, ist eben nur eine
ID. Für die Thread-Darstellung benötigt es zwar noch weitere Header,
aber diese beziehen sich immer auf die vorhergehende Message ID.

Insofern ist die Aussage
> Und für's Threading im MUA, Chef.
doch völlig korrekt.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From igor.sverkos at googlemail.com  Mon Jan 28 16:41:02 2013
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 28 Jan 2013 16:41:02 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51069127.50907@fuerstenberg.ws>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de> <510686EE.30104@heinlein-support.de>
 <510687C6.2040706@googlemail.com> <51068A5F.9000203@fuerstenberg.ws>
 <51068E51.4050803@googlemail.com> <51069127.50907@fuerstenberg.ws>
Message-ID: <51069C0E.2080604@googlemail.com>

On 2013-01-28 15:54, Kai Fürstenberg wrote:
>> Ja?
> 
> Ja!

Danke, hast mich überzeugt (gerade noch einmal RFC 2822 nachgelesen) :)


-- 
Ich Grüße,
Igor



From anmeyer at anup.de  Thu Jan 31 09:19:04 2013
From: anmeyer at anup.de (Andreas Meyer)
Date: Thu, 31 Jan 2013 09:19:04 +0100
Subject: [Postfixbuch-users] Domain in messages-id umschreiben?
In-Reply-To: <51069C0E.2080604@googlemail.com>
References: <51038DC8.70405@tms-itdienst.at>
 <5103A918.80004@heinlein-support.de>
 <20130128134724.22667f76@itxnew.bitcorner.intern>
 <51068379.7050109@heinlein-support.de>
 <510686EE.30104@heinlein-support.de>
 <510687C6.2040706@googlemail.com>
 <51068A5F.9000203@fuerstenberg.ws>
 <51068E51.4050803@googlemail.com> <51069127.50907@fuerstenberg.ws>
 <51069C0E.2080604@googlemail.com>
Message-ID: <20130131091904.38fd929c@itxnew.bitcorner.intern>

Igor Sverkos <igor.sverkos at googlemail.com> wrote:

> On 2013-01-28 15:54, Kai Fürstenberg wrote:
> >> Ja?
> > 
> > Ja!
> 
> Danke, hast mich überzeugt (gerade noch einmal RFC 2822 nachgelesen) :)

Einen hab' ich noch, ich zitiere aus der claws-mail-Liste:

> On Tue, 29 Jan 2013 11:31:30 +0100
> Andreas Meyer <anmeyer at anup.de> wrote:
>   
> > ok, but the MTA would create a Message-ID only if CM wouldn't create
> > one. And as you said in other mail, creating such an ID is
> > obligatory in case of IMAP. So no chance to let the MTA create one.  
> 
> Don't count on it. There are plenty of reasons (some good, some bad)
> for a MTA to rewrite existing Message-ID fields, such as a private
> network using an someone else's domain name. Regardless of the
> validity of that practice (it's ill advised but not prohibited), the
> "illegal" domain name must not be exposed to the public network. This
> entails stripping internal Received headers and rewriting everything
> else to masquerade the domain parts.
> 
> Practices like these are one of the reasons why mail handling
> unofficially adopted Usenet style References headers. References
> headers were formally rolled into mail handling specs with RFC 2822. I
> should hope that CM prefers to use References over In-Reply-To and
> Message-ID.  

Reference headers make it possible to keep a thread together when
there are missing messages, but they don't avoid the need for
Message-IDs. 

und

> On Tue, 29 Jan 2013 09:32:56 +0100
> Andreas Meyer <anmeyer at anup.de> wrote: 
>   
> > Is the Message-ID important for the threading and
> > will it work still when the MTA creates one and not CM?  
> 
> Yes and yes.  

If the MTA creates the Message-Id then local copies of sent mail wont
have the header and so wont thread correctly. You can work around this
by BCCing yourself and using that copy instead.


  Andreas