From Ralf.Hildebrandt at charite.de Sat Jun 1 19:52:59 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 1 Jun 2013 19:52:59 +0200 Subject: [Postfixbuch-users] unknown mail transport error In-Reply-To: <51A90529.4060407@myhm.de> References: <51A4B094.2050909@myhm.de> <20130528133838.GU13168@charite.de> <51A4BA81.5010506@myhm.de> <20130528141541.GV13168@charite.de> <51A4CDC8.2030300@myhm.de> <20130528175452.GB11555@charite.de> <51A6383E.3010503@myhm.de> <20130530091027.GI10473@charite.de> <51A90529.4060407@myhm.de> Message-ID: <20130601175259.GD16798@charite.de> * Andre : > Das war's. Ich habe nun auch die entsprechende Option gefunden > transport_retry_time. Diese ist per default auf 60s gesetzt. > > Wenn mindestens eine Mail wegen kaputten Einträgen in der Datenbank in > der "deferred" hängt, und bei erneutem Versuch der Versand wieder > scheitert, wird der Transport wieder für eine Minute als kaputt > markiert. Während dieser Zeit landen alle eingehenden Mails automatisch > in die "deferred" queue, und kommen dann nur verzögert an, wenn der > Tarnsport wieder freigegeben wurde. Jo. Aber WARUM hat's denn nun das erstemal NICHT funktioniert? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From stickybit at myhm.de Sat Jun 1 20:35:16 2013 From: stickybit at myhm.de (Andre) Date: Sat, 01 Jun 2013 20:35:16 +0200 Subject: [Postfixbuch-users] unknown mail transport error In-Reply-To: <20130601175259.GD16798@charite.de> References: <51A4B094.2050909@myhm.de> <20130528133838.GU13168@charite.de> <51A4BA81.5010506@myhm.de> <20130528141541.GV13168@charite.de> <51A4CDC8.2030300@myhm.de> <20130528175452.GB11555@charite.de> <51A6383E.3010503@myhm.de> <20130530091027.GI10473@charite.de> <51A90529.4060407@myhm.de> <20130601175259.GD16798@charite.de> Message-ID: <51AA3EE4.4090506@myhm.de> Am 01.06.2013 19:52, schrieb Ralf Hildebrandt: > Jo. Aber WARUM hat's denn nun das erstemal NICHT funktioniert? die Transport-Tabellen (MySQL) werden über unsere API gefüttert. In der API gab es einen Bug. Die Löschung der E-Mail-Adressen hat nicht richtig funktioniert. Bei Löschung nicht mehr benötigter Mail-Adressen müssen die betroffenen Datensätze entfernt werden. Stattdessen hat die API die Ziele der zu löschender Mail-Adressen geleert. Postfix hat dann Mails auf die "gelöschten" Adressen zwar angenommen, wusste aber nicht wohin damit. Blieb eine Mail hängen, hingen zeitweise auch die richtigen Mails, weil der Transport als kaputt markiert war. Grüße Andre From pascal.weisshaupt at metagmbh.de Mon Jun 3 09:25:51 2013 From: pascal.weisshaupt at metagmbh.de (=?iso-8859-1?Q?Pascal_Wei=DFhaupt?=) Date: Mon, 3 Jun 2013 09:25:51 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?outlook=2Ecom_Stellenangebote?= In-Reply-To: <00a201ce5d18$4e152550$ea3f6ff0$@fblan.de> References: <005801ce5c42$7cba63b0$762f2b10$@fblan.de> Message-ID: Unser Spamassassin läuft auf den Standardeinstellungen. Wir bekommen die Mails nicht und konnte sie nur durch den Spamassassin-Test jagen (cat mail | spamassassin -t). Heute bekommt die Mail komischerweise nur noch 3.6 Punkte (?!). Pkte Regelname Beschreibung ---- ---------------------- -------------------------------------------------- 0.0 FSL_HELO_NON_FQDN_1 FSL_HELO_NON_FQDN_1 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider (wyptyastorlatimia[at]outlook.com) 2.3 EMPTY_MESSAGE Message appears to have no textual parts and no Subject: text 1.3 RDNS_NONE Delivered to internal network by a host with no rDNS 0.0 UNPARSEABLE_RELAY Informational: message has unparseable relay lines 0.0 T_MIME_NO_TEXT No (properly identified) text body parts Ist das den auch die komplette Mail in deiner Mail oder nu rein Auszug? -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Uwe Drießen Gesendet: Donnerstag, 30. Mai 2013 11:30 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] outlook.com Stellenangebote Von: Ralf Hildebrandt [mailto:Ralf.Hildebrandt at charite.de] > > sa-update läuft auch immer? > Jap jede nacht 0 3 * * * /usr/local/sbin/sa-updater-wrap Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From andreas.schulze at datev.de Mon Jun 3 10:35:56 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 3 Jun 2013 10:35:56 +0200 Subject: [Postfixbuch-users] OT: sa-update, was: outlook.com Stellenangebote In-Reply-To: <00a201ce5d18$4e152550$ea3f6ff0$@fblan.de> References: <005801ce5c42$7cba63b0$762f2b10$@fblan.de> <51A661D3.3070704@metagmbh.de> <00a101ce5cb9$525aa360$f70fea20$@fblan.de> <20130530091049.GJ10473@charite.de> <00a201ce5d18$4e152550$ea3f6ff0$@fblan.de> Message-ID: <20130603083556.GE425@spider.services.datevnet.de> Am 30.05.2013 11:30 schrieb Uwe Drießen: > Von: Ralf Hildebrandt [mailto:Ralf.Hildebrandt at charite.de] > > sa-update läuft auch immer? > Jap jede nacht > 0 3 * * * /usr/local/sbin/sa-updater-wrap Hi, gleich mal nachgehakt: braucht amavis dann eigentlich auch einen reload? oder werden neue SA-Regeln durch das prozessrecycling sowieso aktiv. sowas habe ich ja tonnenweise im Log: Jun 3 10:33:00 idvamavis03 amavis[18066]: (18066) Requesting process rundown after 20 tasks (and 20 sessions) Danke vorab für erhellende Erklärungen:-) Andreas -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From rudi.floren at googlemail.com Wed Jun 5 00:25:01 2013 From: rudi.floren at googlemail.com (Rudi Floren) Date: Wed, 05 Jun 2013 00:25:01 +0200 Subject: [Postfixbuch-users] Nutzung von Weiterleitung und Postfach im Zusammenhang mit amavisd Message-ID: <51AE693D.9050706@gmail.com> Guten Abend liebe Liste, einige User die ihre Mailadresse als Mailbox und als Weiterleitung nutzen, berichteten über Doppelt ankommende Mails. Die Config für die Weiterleitung mit Mailbox ist ja simpel. Als Virtual alias das Ziel und die Mailbox angeben und auch die virtuel mailbox eingerichtet haben. Nun nutze ich amavisd als smtpd_proxy_filter. Da kam mir heute die Idee, dass Postfix beim erneuten einliefern in Postfix nochmal über den virtual alias eine Mail an die Weiterleitung schickt. Stimmen meine Überlegungen? Wie kann ich das unterbinden? Funktioniert das Setup eigentlich so wie ich mir das vorstelle? Meine Konfig: # postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = 78.46.62.98, 127.0.0.1 mailbox_size_limit = 0 message_size_limit = 26214400 mydestination = $myhostname, localhost.$mydomain, localhost myhostname = mail.globalgameport.com mynetworks = 127.0.0.0/8, [::ffff:127.0.0.0]/104, [::1]/128, 87.230.54.62/32, 78.46.62.72/32, 78.46.62.98/32 myorigin = $mydomain recipient_delimiter = + smtp_bind_address = 78.46.62.98 smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_cert_file = /etc/ssl/private/mail.globalgameport.com.pem smtp_tls_key_file = /etc/ssl/private/mail.globalgameport.com.key smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access_recipient-rfc, check_client_access cidr:/etc/postfix/access_client, check_helo_access hash:/etc/postfix/access_helo, check_sender_access hash:/etc/postfix/access_sender, check_recipient_access hash:/etc/postfix/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, check_policy_service inet:127.0.0.1:10023, reject_unauth_destination, permit smtpd_sasl_auth_enable = yes smtpd_sasl_exceptions_networks = $mynetworks smtpd_sasl_local_domain = $myhostname smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_tls_ask_ccert = yes smtpd_tls_cert_file = /etc/ssl/private/mail.globalgameport.com.pem smtpd_tls_key_file = /etc/ssl/private/mail.globalgameport.com.key smtpd_tls_loglevel = 0 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes transport_maps = hash:/etc/postfix/transport virtual_alias_domains = proxy:mysql:/etc/postfix/mysql_virtual_alias_domains.cf virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:8 virtual_mailbox_base = /var/mail/vmail virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 109 virtual_transport = dovecot virtual_uid_maps = static:109 # cat /etc/postfix/master.cf smtp inet n - - - 20 smtpd -o smtpd_proxy_filter=localhost:10024 -o content_filter= submission inet n - - - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING -o smtpd_proxy_filter=localhost:10024 -o content_filter= # -o smtp_bind_address=78.46.62.98 relay unix - - - - - smtp -o smtp_fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} # Dovecot LDA dovecot unix - n n - - pipe flags=DRhu user=vmail:mail argv=/usr/lib/dovecot/dovecot-lda -f ${sender} -a ${recipient} -d ${user}@${nexthop} localhost:10025 inet n - n - 60 smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smptd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o smtpd_mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks Habe hier mal die Kommentare rausgenommen. From p at sys4.de Wed Jun 5 00:30:23 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 5 Jun 2013 00:30:23 +0200 Subject: [Postfixbuch-users] Nutzung von Weiterleitung und Postfach im Zusammenhang mit amavisd In-Reply-To: <51AE693D.9050706@gmail.com> References: <51AE693D.9050706@gmail.com> Message-ID: <20130604223022.GI10138@sys4.de> Hallo, * Rudi Floren : > einige User die ihre Mailadresse als Mailbox und als Weiterleitung > nutzen, berichteten über Doppelt ankommende Mails. > Die Config für die Weiterleitung mit Mailbox ist ja simpel. Als Virtual > alias das Ziel und die Mailbox angeben und auch die virtuel mailbox > eingerichtet haben. > > Nun nutze ich amavisd als smtpd_proxy_filter. Da kam mir heute die Idee, > dass Postfix beim erneuten einliefern in Postfix nochmal über den > virtual alias eine Mail an die Weiterleitung schickt. > > Stimmen meine Überlegungen? Wie kann ich das unterbinden? Funktioniert > das Setup eigentlich so wie ich mir das vorstelle? ob sie stimmen, kann am ehesten ein Log-Auszug nachweisen. Hast Du einen, der eine gedoppelte Mail dokumentiert? p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From rudi.floren at googlemail.com Wed Jun 5 00:58:01 2013 From: rudi.floren at googlemail.com (Rudi Floren) Date: Wed, 05 Jun 2013 00:58:01 +0200 Subject: [Postfixbuch-users] Nutzung von Weiterleitung und Postfach im Zusammenhang mit amavisd In-Reply-To: <20130604223022.GI10138@sys4.de> References: <51AE693D.9050706@gmail.com> <20130604223022.GI10138@sys4.de> Message-ID: <51AE70F9.5060501@gmail.com> Leider kann ich entsprechende Beweise in den Logs nicht finden. Kann mich also nur auf das Berufen, was mir meine User berichtet haben. Allerdings finde ich Einträge eines Mailservers der innerhalb von 1 Sek. 4 Verbindungen aufbaut, und gleich 4 mal eine Greylisting antwort bekommt. 1 Sek den erneuten Zustellversuch startet. Und danach erst wieder 15 min später. (Default ist das nicht oder?) Danach dann 2mal ein Cleanup mit derselben MessageID aber unterschiedlicher queue id. Könnte mir vorstellen, dass er bei seinen 2 Mailboxen, bei denen er die weiterleitung und die mailbox eingerichtet hat, auf die selbe Adresse leitet und zum testen dieselbe Mail an seine beiden Adressen bei mir sendet. Werde mich mit ihm noch mal näher in verbindung setzen und Fragen wie er zu dem Ergebnis gekommen. Und danke für den Tip mit den Logs. Hätte auch vorher mal mein Hirn einschalten können :) Am Mittwoch, 5. Juni 2013 00:30:23 schrieb Patrick Ben Koetter: > Hallo, > > * Rudi Floren : >> einige User die ihre Mailadresse als Mailbox und als Weiterleitung >> nutzen, berichteten über Doppelt ankommende Mails. >> Die Config für die Weiterleitung mit Mailbox ist ja simpel. Als Virtual >> alias das Ziel und die Mailbox angeben und auch die virtuel mailbox >> eingerichtet haben. >> >> Nun nutze ich amavisd als smtpd_proxy_filter. Da kam mir heute die Idee, >> dass Postfix beim erneuten einliefern in Postfix nochmal über den >> virtual alias eine Mail an die Weiterleitung schickt. >> >> Stimmen meine Überlegungen? Wie kann ich das unterbinden? Funktioniert >> das Setup eigentlich so wie ich mir das vorstelle? > > ob sie stimmen, kann am ehesten ein Log-Auszug nachweisen. Hast Du einen, der > eine gedoppelte Mail dokumentiert? > > p at rick > From pw at wk-serv.de Wed Jun 5 01:08:51 2013 From: pw at wk-serv.de (Patrick Westenberg) Date: Wed, 05 Jun 2013 01:08:51 +0200 Subject: [Postfixbuch-users] Nutzung von Weiterleitung und Postfach im Zusammenhang mit amavisd In-Reply-To: <51AE693D.9050706@gmail.com> References: <51AE693D.9050706@gmail.com> Message-ID: <51AE7383.30604@wk-serv.de> Rudi Floren schrieb: > # cat /etc/postfix/master.cf > smtp inet n - - - 20 smtpd > -o smtpd_proxy_filter=localhost:10024 > -o content_filter= Du brauchst hier -o receive_override_options=no_address_mappings Das hat zumindest bei mir geholfen :) Gruß Patrick From voelkers at ppp.net Wed Jun 5 14:29:10 2013 From: voelkers at ppp.net (=?ISO-8859-15?Q?Jan_V=F6lkers?=) Date: Wed, 05 Jun 2013 14:29:10 +0200 Subject: [Postfixbuch-users] Amavis: sa_tag wird ignoriert Message-ID: <51AF2F16.70005@ppp.net> Ich habe in 50-user folgendes stehen: $sa_tag_level_deflt = -99; $sa_tag2_level_deflt = 2; Eine Mail bspw: amavis[3985]: (03985-01) Passed SPAMMY, [...] Hits: 3.415 kommt aber völlig ungetaggt an. Wo suchen? Jan From p.heinlein at heinlein-support.de Wed Jun 5 14:30:04 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 05 Jun 2013 14:30:04 +0200 Subject: [Postfixbuch-users] Amavis: sa_tag wird ignoriert In-Reply-To: <51AF2F16.70005@ppp.net> References: <51AF2F16.70005@ppp.net> Message-ID: <51AF2F4C.5000705@heinlein-support.de> Am 05.06.2013 14:29, schrieb Jan Völkers: > Ich habe in 50-user folgendes stehen: > > $sa_tag_level_deflt = -99; > $sa_tag2_level_deflt = 2; > > Eine Mail bspw: > > amavis[3985]: (03985-01) Passed SPAMMY, [...] Hits: 3.415 > > kommt aber völlig ungetaggt an. Wo suchen? Zieldomain in local_domains_maps aufnehmen. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From voelkers at ppp.net Wed Jun 5 14:39:04 2013 From: voelkers at ppp.net (=?ISO-8859-1?Q?Jan_V=F6lkers?=) Date: Wed, 05 Jun 2013 14:39:04 +0200 Subject: [Postfixbuch-users] Amavis: sa_tag wird ignoriert In-Reply-To: <51AF2F4C.5000705@heinlein-support.de> References: <51AF2F16.70005@ppp.net> <51AF2F4C.5000705@heinlein-support.de> Message-ID: <51AF3168.3070705@ppp.net> Am 05.06.2013 14:30, schrieb Peer Heinlein: > local_domains_maps aufnehmen Wald, Bäume... Danke! From listen at kielgas.org Wed Jun 5 15:11:45 2013 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 05 Jun 2013 15:11:45 +0200 Subject: [Postfixbuch-users] seltsame smtp error Meldung In-Reply-To: References: Message-ID: <5cbe645b-c715-439f-898d-2cf66becc84d@email.android.com> Hallo Liste, das Problem hat sich erledigt. Ich hatte einen Eintrag in unserer virtual_alias_map, die bewirkt hat, dass der ursprüngliche Name des Adressaten mit einem ungültigen Namen überschrieben wurde und somit zurecht abgewiesen wurde. Gruß Uwe Uwe Kielgas schrieb: >Hallo Liste, > >eine Mitarbeiterin bekommt folgende Meldung des Mailer-daemon: > >xxx at lgln.niedersachsen.de: host >inetmail12.niedersachsen.de[xx.xx.xx.xx] said 520 >Unknown-recipient-or-domain (in reply to RCPT TO command) > >Für mich bedeutet dies, die Person gibt es dort nicht und ich würde ja >auch die 520 ignorieren, die ja ein 550 sein müsste, wenn nicht die >betreffende Person von anderen Mailsystemen erreichbar wäre, d.h. die >Person ist nur von unserem System aus unbekannt. Wie kann das sein? > >Vielen Dank. >-- >Mit freundlichen Grüßen > >Uwe Kielgas > >Nicht das Erreichte zählt, >das Erzählte reicht. > >------------------------------------------------------------------------ > >-- >_______________________________________________ >Postfixbuch-users -- http://www.postfixbuch.de >Heinlein Professional Linux Support GmbH > >Postfixbuch-users at listen.jpberlin.de >https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Mit freundlichen Grüßen Uwe Kielgas Nicht das Erreichte zählt, das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Christian.Schmidt at chemie.uni-hamburg.de Thu Jun 6 16:37:44 2013 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Thu, 6 Jun 2013 16:37:44 +0200 Subject: [Postfixbuch-users] PDFs mit MIME-Type application/x-msdownload akzeptieren Message-ID: <20130606143744.GJ14973@chemie.uni-hamburg.de> Hallo zusammen, wir haben in der letzten Zeit mehrfach Anfragen unserer Benutzer zu folgender Problematik bekommen: amavis[5616]: (05616-01) p.path BANNED:1 ***@t-online.de: "P=p005,L=1,M=multipart/mixed | P=p002,L=1/2,M=application/x-msdownload,T=pdf,N=Vorlesung-Teil4.pdf", matching_key="(?i-xsm:^application/x-msdownload$)" amavis[5616]: (05616-01) Blocked BANNED (application/x-msdownload,.pdf,Vorlesung-Teil4.pdf), LOCAL [134.100.212.8] [90.136.35.149] <***@chemie.uni-hamburg.de> -> <***@t-online.de> [..] Zumindest in einem Fall lag die Ursache vermutlich in einer fehlerhaften MIME-Type-Definition des Clients (Thunderbird). (Wie) koennen wir amavis anweisen, dass es Attachments mit dem MIME-Type application/x-msdownload durchlaesst, wenn es sich um Dateien mit der Namensendung ".pdf" handelt? Danke fuer Eure Unterstuetzung! Aktuell enthaelt unsere amavis-Konfiguration folgendes: $banned_filename_re = new_RE( ### BLOCK THE FOLLOWING, EXCEPT WITHIN UNIX ARCHIVES: [ qr'^\.(gz|bz2)$' => 0 ], # allow any in gzip or bzip2 [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(pif|scr)$'i, # banned extensions - rudimentary ### BLOCK THE FOLLOWING, EXCEPT WITHIN ARCHIVES: [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ], # allow any within these archives qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary qr'^\.(exe|lha|cab|dll)$', # banned file(1) types # block certain double extensions in filenames qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?'i, # Class ID CLSID, strict qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd ); Gruss/Regards, Christian Schmidt -- Q: What do you get when you cross the Godfather with an attorney? A: An offer you can't understand. From gjn at gjn.priv.at Mon Jun 10 15:03:32 2013 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Mon, 10 Jun 2013 15:03:32 +0200 Subject: [Postfixbuch-users] Spamschleuder ohne LDAP Message-ID: <8365481.0ADanIJU5Y@techz.gjn.prv> Hallo, wie kann ich Postfix abgewöhnen alles anzunehmen, wenn er die Verbindung zu Ldap verliert(?). ist eine XEN Installation mit separaten LDAP, SMTP, DNS Jedenfalls ist das meine Annahme. Lieber wäre es mir, wenn er dann gar nichts annimmt ;), das würde auffallen. smtp:~ # postconf -n alias_maps = hash:/etc/aliases, ldap:/etc/postfix/ldapalias_maps_folder.cf, ldap:/etc/postfix/ldapalias_maps.cf biff = no canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix content_filter = amavis:[127.0.0.1]:10024 daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix debug_peer_level = 2 defer_transports = delay_warning_time = 1h disable_dns_lookups = no disable_mime_output_conversion = no home_mailbox = html_directory = /usr/share/doc/packages/postfix-doc/html inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = mailbox_command = mailbox_size_limit = 0 mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = ldap:/etc/postfix/ldapmasquerade_domains.cf masquerade_exceptions = root message_size_limit = 204800000 message_strip_characters = \0 mydestination = $myhostname, localhost.$mydomain, .$mydomain, ldap:/etc/postfix/ldapmydestination.cf myhostname = smtp.4gjn.com mynetworks = 127.0.0.0/8, 192.168.xxx.0/24, 89.xxx.xxx.0/28, [::1]/128, [2001:15c0:xxxx:xxxx::]/64 mynetworks_style = subnet newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix-doc/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_enforce_tls = no smtp_sasl_auth_enable = no smtp_sasl_security_options = noanonymous smtp_tls_enforce_peername = yes smtp_tls_per_site = ldap:/etc/postfix/ldapsmtp_tls_per_site.cf smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name smtpd_client_restrictions = permit_mynetworks, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client virbl.dnsbl.bit.nl, ldap:/etc/postfix/ldapaccess.cf, reject_unknown_client smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname smtpd_recipient_restrictions = permit_sasl_authenticated, permit_auth_destination, permit_mynetworks, reject_unauth_destination, reject smtpd_sasl_auth_enable = yes smtpd_sender_restrictions = ldap:/etc/postfix/ldapaccess.cf smtpd_tls_CApath = /etc/ssl/certs smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/servercerts/servercert.pem smtpd_tls_key_file = /etc/ssl/servercerts/serverkey.pem smtpd_use_tls = yes strict_8bitmime = no strict_rfc821_envelopes = yes transport_maps = ldap:/etc/postfix/ldaptransport_maps.cf unknown_local_recipient_reject_code = 550 virtual_alias_domains = ldap:/etc/postfix/ldapvirtual_alias_domains.cf virtual_alias_maps = ldap:/etc/postfix/ldapuser_recipient_maps.cf, ldap:/etc/postfix/ldapvalias_maps_both.cf, ldap:/etc/postfix/ldapvalias_maps_member.cf, ldap:/etc/postfix/ldapvalias_maps_folder.cf, ldap:/etc/postfix/ldapvalias_maps_forward.cf -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer From peter at datentraeger.li Sat Jun 15 14:06:37 2013 From: peter at datentraeger.li (Peter Beck) Date: Sat, 15 Jun 2013 14:06:37 +0200 Subject: [Postfixbuch-users] MX-Backup fuer Kunden Message-ID: <51BC58CD.90003@datentraeger.li> Guten Morgen allerseits, Ich hab da auch wieder mal ne Frage. Wir haben einen Kunden mit ca. 40 Usern, fuer den wir den Mailgateway (im Hause des Kunden) betreiben sollten. Nun hat dieser einen GFI MailEssentials vor seinem Exchange stehen (Content-, Spam, Virenfilter),den er nicht hergeben will. Das heisst also, er will selbst Content,Spam und AV filtern und Postfix soll die Mails einfach durchreichen. (ueber Sinn und Unsinn muessen wir hier wohl gar nicht diskutieren, er will es halt so). Ich bin der Meinung, dass zumindest Greylisting und die dyn. Adressverfizierung beim Postfix ausgefuehrt werden sollte. Laeuft der Kunde sonst nicht Gefahr, zum Backscatterer zu werden ? Und etwas rejecten darf er eigentlich nicht mehr, weil Postfix das Mail ja bereits angenommen hat. Liege ich hier falsch ? Zudem sollen wir einen MX-Backup bei uns fuer ihn betreiben. Das Thema ist ja immer wieder mal aktuell hier in der Liste und gerade letzthin hab ich gelesen, dass ein zweiter MX heutzutage eher Lastverteilung als Ausfallssicherheit bringt. Also wir selbst betreiben keinen zweiten MX, auch bei anderen Kunden habe ich das ganze nie verwendet, weil der Bedarf nicht wirklich da ist. Bei einem Ausfall bleibts ja in der Queue des Senders fuer einige Zeit und bis zu diesem Timeout laeuft im Normalfall das Produktivsystem wieder. Jedenfalls, wuerden wir nun tatsaechlich einen MX fuer den Kunden bei uns betreiben, heisst es ja immer "das identische Setup". Da faengts bei mir schon an - sagen wir beim Kunden gibts dynamische Adressverifizierung. Wie soll ich das bei uns nachbauen, das geht doch gar nicht, ausser ich habe eine "offline" Liste mit den Adressen des Kunden (was ich eigentlich recht "unsexy" finde.) Vielleicht (bestimmt) kann mir ja einer von euch ein wenig weiterhelfen.. Vielen Dank und Gruss Peter From p.heinlein at heinlein-support.de Sat Jun 15 15:27:08 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 15 Jun 2013 15:27:08 +0200 Subject: [Postfixbuch-users] MX-Backup fuer Kunden In-Reply-To: <51BC58CD.90003@datentraeger.li> References: <51BC58CD.90003@datentraeger.li> Message-ID: <51BC6BAC.2010403@heinlein-support.de> Am 15.06.2013 14:06, schrieb Peter Beck: > Guten Morgen allerseits, N'Abend, > Ich bin der Meinung, dass zumindest Greylisting und die dyn. > Adressverfizierung > beim Postfix ausgefuehrt werden sollte. Naja, mindestens die Adreßverifizierung und wenn Du Greylisting dort machst ist das natürlich ebenso prima, als wenn Du da bei der Gelegenheit auch RBL, policyd-weight und Amavis/SA machst. GFI kann ja dann dahinter immernoch filtern und der Kunde ist glücklich und stolz... > Laeuft der Kunde sonst nicht > Gefahr, > zum Backscatterer zu werden ? Naja, solange er Spam in Quarantäne & Co filtert nicht. Sobald da aber Abwesenheits-Responder ins Spiel kommen, die auf getaggten Spam antworten, dann schon. > Und etwas rejecten darf er eigentlich > nicht mehr, > weil Postfix das Mail ja bereits angenommen hat. Liege ich hier falsch ? Nein, total richtig. > Jedenfalls, wuerden wir nun tatsaechlich einen MX fuer den Kunden bei uns > betreiben, heisst es ja immer "das identische Setup". Da faengts bei mir > schon > an - sagen wir beim Kunden gibts dynamische Adressverifizierung. Wie soll > ich das bei uns nachbauen, das geht doch gar nicht, ausser ich habe eine > "offline" > Liste mit den Adressen des Kunden (was ich eigentlich recht "unsexy" > finde.) Doch, ganz einfach. Du machst halt auch dynamische Adreßverifizierung gegen seine Systeme. Da kommen von Zeit zu Zeit immer wieder genug Spam-Mails auf Deinem MX-20 an, daß der up2date und gut informiert ist. Das geht. Kurzum: Dein 10er Mailrely und Dein externes 20er Mailrelay sind einfach 1:1 haargenau gleich. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From stickybit at myhm.de Sun Jun 16 12:10:19 2013 From: stickybit at myhm.de (Andre) Date: Sun, 16 Jun 2013 12:10:19 +0200 Subject: [Postfixbuch-users] =?utf-8?q?MX_f=C3=BCr_Subdomains?= Message-ID: <51BD8F0B.8000600@myhm.de> Servus, wir haben vor Kurzem Hosting (HTTP) von Mailserver getrennt. Die alte Zone sah so aus: @ 86400 IN A XXX.XXX.XXX.XXX * 86400 IN A XXX.XXX.XXX.XXX @ 86400 IN MX 10 mail Nach der Umstellung sieht die Zone so aus. @ 86400 IN A XXX.XXX.XXX.XXX * 86400 IN A XXX.XXX.XXX.XXX @ 86400 IN MX 10 mx1.mailserver.tld. @ 86400 IN MX 10 mx2.mailserver.tld. @ 86400 IN MX 10 mx3.mailserver.tld. Alles schön und gut, nur funktioniert bei dieser Konfiguration der Mailverkehr mit Subdomains nicht mehr, also bspw. mail at sub.domain.tld. Im alten System wurde offensichtlich der A-Record XXX.XXX.XXX.XXX ersatzweise verwendet. Im neuen System läuft aber auf der Maschine XXX.XXX.XXX.XXX kein Mailserver. Mails an mail at sub.domain.tld kommen also nicht an. Damit es geht, müsste die Zone wie folgt erweitert werden. @ 86400 IN MX 10 mx1.mailserver.tld. @ 86400 IN MX 10 mx2.mailserver.tld. @ 86400 IN MX 10 mx3.mailserver.tld. * 86400 IN MX 10 mx1.mailserver.tld. * 86400 IN MX 10 mx2.mailserver.tld. * 86400 IN MX 10 mx3.mailserver.tld. Gibt es eine elegantere Lösung bzw. einen Trick? Grüße Andre From postfix at jpkessler.info Sun Jun 16 12:22:49 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sun, 16 Jun 2013 12:22:49 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?MX_f=FCr_Subdomains?= In-Reply-To: <51BD8F0B.8000600@myhm.de> References: <51BD8F0B.8000600@myhm.de> Message-ID: <51BD91F9.8030508@jpkessler.info> > Damit es geht, müsste die Zone wie folgt erweitert werden. > > @ 86400 IN MX 10 mx1.mailserver.tld. > @ 86400 IN MX 10 mx2.mailserver.tld. > @ 86400 IN MX 10 mx3.mailserver.tld. > * 86400 IN MX 10 mx1.mailserver.tld. > * 86400 IN MX 10 mx2.mailserver.tld. > * 86400 IN MX 10 mx3.mailserver.tld. > > Gibt es eine elegantere Lösung bzw. einen Trick? Nur eine Meinung, aber ich finde das gar nicht "unelegant". Den Wildcard MX setzt Du ja nur einmal. Wenn Du ihn (wie in Deiner Beschreibung) direkt unter den anderen setzt, geht das auch bei Umstellungen nicht vergessen. Jan From p.heinlein at heinlein-support.de Sun Jun 16 14:24:34 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 16 Jun 2013 14:24:34 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?MX_f=FCr_Subdomains?= In-Reply-To: <51BD8F0B.8000600@myhm.de> References: <51BD8F0B.8000600@myhm.de> Message-ID: <51BDAE82.6060107@heinlein-support.de> Am 16.06.2013 12:10, schrieb Andre: > @ 86400 IN MX 10 mx1.mailserver.tld. > @ 86400 IN MX 10 mx2.mailserver.tld. > @ 86400 IN MX 10 mx3.mailserver.tld. > * 86400 IN MX 10 mx1.mailserver.tld. > * 86400 IN MX 10 mx2.mailserver.tld. > * 86400 IN MX 10 mx3.mailserver.tld. > > Gibt es eine elegantere Lösung bzw. einen Trick? Das IST eine/die elegante Lösung und genau so muß/kann/soll man es machen. Bitte bei der Gelegenheit aber dann auch darauf achten, daß in den transport-Maps alle Hostnamen mit eckigen Klammern versehen sind. -Siehe Postfixbuch. Das ist dann jetzt genau der Fall, wo ich die transport-map-Schlamper immer davor warne :-) Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From stickybit at myhm.de Sun Jun 16 18:17:42 2013 From: stickybit at myhm.de (Andre) Date: Sun, 16 Jun 2013 18:17:42 +0200 Subject: [Postfixbuch-users] =?utf-8?q?MX_f=C3=BCr_Subdomains?= In-Reply-To: <51BDAE82.6060107@heinlein-support.de> References: <51BD8F0B.8000600@myhm.de> <51BDAE82.6060107@heinlein-support.de> Message-ID: <51BDE526.7080701@myhm.de> > Das IST eine/die elegante Lösung und genau so muß/kann/soll man es machen. > Nur eine Meinung, aber ich finde das gar nicht "unelegant". danke an Peer und Jan, na ja, das habe ich noch nicht erwähnt. Es geht hier um aktuell ca. 100.000 Zonen. Jede Zeile kostet RAM. Deswegen meine Bedenken. Gruß Andre From postfix at jpkessler.info Sun Jun 16 18:45:55 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sun, 16 Jun 2013 18:45:55 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?MX_f=FCr_Subdomains?= In-Reply-To: <51BDE526.7080701@myhm.de> References: <51BD8F0B.8000600@myhm.de> <51BDAE82.6060107@heinlein-support.de> <51BDE526.7080701@myhm.de> Message-ID: <51BDEBC3.9070203@jpkessler.info> Am 16.06.2013 18:17, schrieb Andre: > > Das IST eine/die elegante Lösung und genau so muß/kann/soll man es machen. > > Nur eine Meinung, aber ich finde das gar nicht "unelegant". > > danke an Peer und Jan, > > na ja, das habe ich noch nicht erwähnt. Es geht hier um aktuell ca. > 100.000 Zonen. Jede Zeile kostet RAM. Deswegen meine Bedenken. Sind die Inhalte der Zonen denn so kurz, dass die 3 Records/Zone wirklich eine relevante Größe darstellen? Aber ich fürchte, Du wirst sowieso nicht umhin kommen, wenn alle wirklich auch Subdomains mit Mailempfang benötigen. From peter at datentraeger.li Mon Jun 17 16:11:54 2013 From: peter at datentraeger.li (Peter Beck) Date: Mon, 17 Jun 2013 16:11:54 +0200 Subject: [Postfixbuch-users] MX-Backup fuer Kunden In-Reply-To: <51BC6BAC.2010403@heinlein-support.de> References: <51BC58CD.90003@datentraeger.li> <51BC6BAC.2010403@heinlein-support.de> Message-ID: <51BF192A.2050203@datentraeger.li> On 06/15/2013 03:27 PM, Peer Heinlein wrote: > Naja, mindestens die Adreßverifizierung und wenn Du Greylisting dort > machst ist das natürlich ebenso prima, als wenn Du da bei der > Gelegenheit auch RBL, policyd-weight und Amavis/SA machst. > > GFI kann ja dann dahinter immernoch filtern und der Kunde ist glücklich > und stolz... Hi Leute, bwoah, Antwort vom grossen Meister himself. Ich habe nochmals mit den Typen geredet und jetzt schaut's noch viel schlimmer aus. Die wollen unseren Postfix effektiv nur als Gateway und sonst gar nichts. Wir duerfen gar nichts rejecten. Es soll ja immer wieder vorkommen, dass Kunden Namen in Emails falsch schreiben und die muessen trotzdem angenommen werden. Nicht mal Greylisting soll es geben. Gar nix. Da schaut tatsaechlich einer jeden Tag die Quarantaene haendisch (!) durch und leitet dann solche Mails an die entsprechenden internen Personen weiter. Hier wird Spam-MANAGEMENT gross geschrieben. Ich habe schon einige Versuche unternommen, das ganze (inklusive Skizzierung des Ablaufs) darzustellen, komme aber nicht weiter mit meinem Standpunkt. Ich dachte bisher immer, dass solche Geschichten nur Maerchen sind und niemand so etwas tatsaechlich so will. Habe mich wohl geirrt. Bezueglich MX-Backup bei uns bin ich jetzt noch unsicherer. Unser eigener Mailserver (mit Greylisting, Adressverifizierung, Amavis und all den andern "Defaults") soll nun hier genau das Gegenteil tun ? Wie realisiert man einen solchen MX ? Laeuft fuer solche Domains ein separater Postfix-Prozess mit den entsprechenden Paramtern im master.cf ? Gruss Peter From postfixmail at dncom.de Mon Jun 17 16:41:13 2013 From: postfixmail at dncom.de (Felipe) Date: Mon, 17 Jun 2013 14:41:13 +0000 Subject: [Postfixbuch-users] amavisd Message-ID: Hallo Leute Ich wollte jetzt mal Spamassassin in amavis integrieren, So lief es schon Also die Email passieren schon Amavis und fliegen auch wieder zurück und dann nach Exchange oder Cyrus je nach Empfängeradresse Allerdings bekomme ich keine X-SPAM Header und das warscheinlich geht nix. GrÑusse use strict; @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); @bypass_virus_checks_maps = (1); # controls running of anti-virus code # @bypass_spam_checks_maps = (1); # controls running of anti-spam code $bypass_decode_parts = 1; # controls running of decoders&dearchivers $max_servers = 10; # num of pre-forked children (2..30 is common), -m $daemon_user = 'clamav'; # (no default; customary: vscan or amavis), -u $daemon_group = 'clamav'; # (no default; customary: vscan or amavis), -g $mydomain = 'riebe-gmbh.de'; # a convenient default for other settings $MYHOME = '/var/amavis'; # a convenient default for other settings, -H $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR, used by SA, etc. $QUARANTINEDIR = '/var/virusmails'; # -Q $quarantine_subdir_levels = 1; # add level of subdirs to disperse quarantine $release_format = 'resend'; # 'attach', 'plain', 'resend' $report_format = 'arf'; # 'attach', 'plain', 'resend', 'arf' # $daemon_chroot_dir = $MYHOME; # chroot directory or undef, -R $db_home = "$MYHOME/db"; # dir for bdb nanny/cache/snmp databases, -D $helpers_home = "$MYHOME/var"; # working directory for SpamAssassin, -S $lock_file = "$MYHOME/var/amavisd.lock"; # -L $pid_file = "$MYHOME/var/amavisd.pid"; # -P #NOTE: create directories $MYHOME/tmp, $MYHOME/var, $MYHOME/db manually $log_level = 0; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $do_syslog = 1; # log via syslogd (preferred) $syslog_facility = 'mail'; # Syslog facility as a string # e.g.: mail, daemon, user, local0, ... local7 $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) # $enable_zmq = 1; # enable use of ZeroMQ (SNMP and nanny) $nanny_details_level = 2; # nanny verbosity: 1: traditional, 2: detailed $enable_dkim_verification = 1; # enable DKIM signatures verification $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key @local_domains_maps = ( [".$mydomain"] ); # list of all local domains @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 ); $unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter # option(s) -p overrides $inet_socket_port and $unix_socketname $inet_socket_port = 10024; # listen on this local TCP port(s) # $inet_socket_port = [10024,10026]; # listen on multiple TCP ports $policy_bank{'MYNETS'} = { # mail originating from @mynetworks originating => 1, # is true in MYNETS by default, but let's make it explicit os_fingerprint_method => undef, # don't query p0f for internal clients }; # it is up to MTA to re-route mail from authenticated roaming users or # from internal hosts to a dedicated TCP port (such as 10026) for filtering # $interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = { # mail supposedly originating from our users originating => 1, # declare that mail was submitted by our smtp client allow_disclaimers => 1, # enables disclaimer insertion if available # notify administrator of locally originating malware virus_admin_maps => ["virusalert\@$mydomain"], spam_admin_maps => ["virusalert\@$mydomain"], warnbadhsender => 1, # forward to a smtpd service providing DKIM signing service forward_method => 'smtp:[127.0.0.1]:10027', # force MTA conversion to 7-bit (e.g. before DKIM signing) smtpd_discard_ehlo_keywords => ['8BITMIME'], bypass_banned_checks_maps => [1], # allow sending any file names and types terminate_dsn_on_notify_success => 0, # don't remove NOTIFY=SUCCESS option }; $interface_policy{'SOCK'} = 'AM.PDP-SOCK'; # only applies with $unix_socketname # Use with amavis-release over a socket or with Petr Rehor's amavis-milter.c # (with amavis-milter.c from this package or old amavis.c client use 'AM.CL'): $policy_bank{'AM.PDP-SOCK'} = { protocol => 'AM.PDP', auth_required_release => 0, # do not require secret_id for amavisd-release }; $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 6.2; # add 'spam detected' headers at that level $sa_kill_level_deflt = 12.0; # triggers spam evasive actions (e.g. blocks mail) $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_crediblefrom_dsn_cutoff_level = 18; # likewise, but for a likely valid From # $sa_quarantine_cutoff_level = 25; # spam level beyond which quarantine is off $penpals_bonus_score = 8; # (no effect without a @storage_sql_dsn database) $penpals_threshold_high = $sa_kill_level_deflt; # don't waste time on hi spam $bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? # @lookup_sql_dsn = # ( ['DBI:mysql:database=mail;host=127.0.0.1;port=3306', 'user1', 'passwd1'], # ['DBI:mysql:database=mail;host=host2', 'username2', 'password2'], # ["DBI:SQLite:dbname=$MYHOME/sql/mail_prefs.sqlite", '', ''] ); # @storage_sql_dsn = @lookup_sql_dsn; # none, same, or separate database # $timestamp_fmt_mysql = 1; # if using MySQL *and* msgs.time_iso is TIMESTAMP; # defaults to 0, which is good for non-MySQL or if msgs.time_iso is CHAR(16) $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef # @addr_extension_virus_maps = ('virus'); # @addr_extension_banned_maps = ('banned'); # @addr_extension_spam_maps = ('spam'); # @addr_extension_bad_header_maps = ('badh'); # $recipient_delimiter = '+'; # undef disables address extensions altogether # when enabling addr extensions do also Postfix/main.cf: recipient_delimiter=+ $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; # $dspam = 'dspam'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = ''; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name # for defanging bad headers only turn on certain minor contents categories: $defang_by_ccat{CC_BADH.",3"} = 1; # NUL or CR character in header $defang_by_ccat{CC_BADH.",5"} = 1; # header line longer than 998 characters $defang_by_ccat{CC_BADH.",6"} = 1; # header field syntax error # OTHER MORE COMMON SETTINGS (defaults may suffice): $myhostname = 'mail.riebe-gmbh.de'; # must be a fully-qualified domain name! $notify_method = 'smtp:[127.0.0.1]:10025'; $forward_method = 'smtp:[127.0.0.1]:10025'; # set to undef with milter! # $final_virus_destiny = D_DISCARD; # $final_banned_destiny = D_DISCARD; # $final_spam_destiny = D_PASS; #!!! D_DISCARD / D_REJECT # $final_bad_header_destiny = D_PASS; # $bad_header_quarantine_method = undef; # $os_fingerprint_method = 'p0f:*:2345'; # to query p0f-analyzer.pl ## hierarchy by which a final setting is chosen: ## policy bank (based on port or IP address) -> *_by_ccat ## *_by_ccat (based on mail contents) -> *_maps ## *_maps (based on recipient address) -> final configuration value # SOME OTHER VARIABLES WORTH CONSIDERING (see amavisd.conf-default for all) # $warnbadhsender, # $warnvirusrecip, $warnbannedrecip, $warnbadhrecip, (or @warn*recip_maps) # # @bypass_virus_checks_maps, @bypass_spam_checks_maps, # @bypass_banned_checks_maps, @bypass_header_checks_maps, # # @virus_lovers_maps, @spam_lovers_maps, # @banned_files_lovers_maps, @bad_header_lovers_maps, # # @blacklist_sender_maps, @score_sender_maps, # # $clean_quarantine_method, $virus_quarantine_to, $banned_quarantine_to, # $bad_header_quarantine_to, $spam_quarantine_to, # # $defang_bad_header, $defang_undecipherable, $defang_spam # REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS @keep_decoded_original_maps = (new_RE( qr'^MAIL$', # retain full original message for virus checking qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, # qr'^Zip archive data', # don't trust Archive::Zip )); $banned_filename_re = new_RE( ### BLOCKED ANYWHERE # qr'^UNDECIPHERABLE$', # is or contains any undecipherable components qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary # qr'^\.(exe|lha|cab|dll)$', # banned file(1) types ### BLOCK THE FOLLOWING, EXCEPT WITHIN UNIX ARCHIVES: # [ qr'^\.(gz|bz2)$' => 0 ], # allow any in gzip or bzip2 [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(pif|scr)$'i, # banned extensions - rudimentary # qr'^\.zip$', # block zip type ### BLOCK THE FOLLOWING, EXCEPT WITHIN ARCHIVES: # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ], # allow any within these archives qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, # qr'^message/partial$'i, # rfc2046 MIME type # qr'^message/external-body$'i, # rfc2046 MIME type # qr'^(application/x-msmetafile|image/x-wmf)$'i, # Windows Metafile MIME type # qr'^\.wmf$', # Windows Metafile file(1) type # block certain double extensions in filenames qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, # qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?'i, # Class ID CLSID, strict # qr'\{[0-9a-z]{4,}(-[0-9a-z]{4,}){0,7}\}?'i, # Class ID extension CLSID, loose qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic # qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd # qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta| # inf|ini|ins|isp|js|jse|lib|lnk|mda|mdb|mde|mdt|mdw|mdz|msc|msi| # msp|mst|ocx|ops|pcd|pif|prg|reg|scr|sct|shb|shs|sys|vb|vbe|vbs|vxd| # wmf|wsc|wsf|wsh)$'ix, # banned extensions - long # qr'.\.(asd|asf|asx|url|vcs|wmd|wmz)$'i, # consider also # qr'.\.(ani|cur|ico)$'i, # banned cursors and icons filename # qr'^\.ani$', # banned animated cursor file(1) type # qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i, # banned extension - WinZip vulnerab. ); # See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631 # and http://www.cknow.com/vtutor/vtextensions.htm # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING @score_sender_maps = ({ # a by-recipient hash lookup table, # results from all matching recipient tables are summed # ## per-recipient personal tables (NOTE: positive: black, negative: white) # 'user1 at example.com' => [{'bla-mobile.press at example.com' => 10.0}], # 'user3 at example.com' => [{'.ebay.com' => -3.0}], # 'user4 at example.com' => [{'cleargreen at cleargreen.com' => -7.0, # '.cleargreen.com' => -5.0}], ## site-wide opinions about senders (the '.' matches any recipient) '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), # read_hash("/var/amavis/sender_scores_sitewide"), { # a hash-type lookup table (associative array) 'nobody at cert.org' => -3.0, 'cert-advisory at us-cert.gov' => -3.0, 'owner-alert at iss.net' => -3.0, 'slashdot at slashdot.org' => -3.0, 'securityfocus.com' => -3.0, 'ntbugtraq at listserv.ntbugtraq.com' => -3.0, 'security-alerts at linuxsecurity.com' => -3.0, 'mailman-announce-admin at python.org' => -3.0, 'amavis-user-admin at lists.sourceforge.net'=> -3.0, 'amavis-user-bounces at lists.sourceforge.net' => -3.0, 'spamassassin.apache.org' => -3.0, 'notification-return at lists.sophos.com' => -3.0, 'owner-postfix-users at postfix.org' => -3.0, 'owner-postfix-announce at postfix.org' => -3.0, 'owner-sendmail-announce at lists.sendmail.org' => -3.0, 'sendmail-announce-request at lists.sendmail.org' => -3.0, 'donotreply at sendmail.org' => -3.0, 'ca+envelope at sendmail.org' => -3.0, 'noreply at freshmeat.net' => -3.0, 'owner-technews at postel.acm.org' => -3.0, 'ietf-123-owner at loki.ietf.org' => -3.0, 'cvs-commits-list-admin at gnome.org' => -3.0, 'rt-users-admin at lists.fsck.com' => -3.0, 'clp-request at comp.nus.edu.sg' => -3.0, 'surveys-errors at lists.nua.ie' => -3.0, 'emailnews at genomeweb.com' => -5.0, 'yahoo-dev-null at yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews at linuxnetworx.com' => -3.0, lc('lvs-users-admin at LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews at CNNIMAIL12.CNN.COM') => -5.0, # soft-blacklisting (positive score) 'sender at example.net' => 3.0, '.example.net' => 1.0, }, ], # end of site-wide tables }); @decoders = ( ['mail', \&do_mime_decode], # [[qw(asc uue hqx ync)], \&do_ascii], # not safe ['F', \&do_uncompress, ['unfreeze', 'freeze -d', 'melt', 'fcat'] ], ['Z', \&do_uncompress, ['uncompress', 'gzip -d', 'zcat'] ], ['gz', \&do_uncompress, 'gzip -d'], ['gz', \&do_gunzip], ['bz2', \&do_uncompress, 'bzip2 -d'], ['xz', \&do_uncompress, ['xzdec', 'xz -dc', 'unxz -c', 'xzcat'] ], ['lzma', \&do_uncompress, ['lzmadec', 'xz -dc --format=lzma', 'lzma -dc', 'unlzma -c', 'lzcat', 'lzmadec'] ], ['lrz', \&do_uncompress, ['lrzip -q -k -d -o -', 'lrzcat -q -k'] ], ['lzo', \&do_uncompress, 'lzop -d'], ['rpm', \&do_uncompress, ['rpm2cpio.pl', 'rpm2cpio'] ], [['cpio','tar'], \&do_pax_cpio, ['pax', 'gcpio', 'cpio'] ], # ['/usr/local/heirloom/usr/5bin/pax', 'pax', 'gcpio', 'cpio'] ['deb', \&do_ar, 'ar'], # ['a', \&do_ar, 'ar'], # unpacking .a seems an overkill ['rar', \&do_unrar, ['unrar', 'rar'] ], ['arj', \&do_unarj, ['unarj', 'arj'] ], ['arc', \&do_arc, ['nomarch', 'arc'] ], ['zoo', \&do_zoo, ['zoo', 'unzoo'] ], ['doc', \&do_ole, 'ripole'], ['cab', \&do_cabextract, 'cabextract'], ['tnef', \&do_tnef_ext, 'tnef'], ['tnef', \&do_tnef], # ['lha', \&do_lha, 'lha'], # not safe, use 7z instead # ['sit', \&do_unstuff, 'unstuff'], # not safe [['zip','kmz'], \&do_7zip, ['7za', '7z'] ], [['zip','kmz'], \&do_unzip], ['7z', \&do_7zip, ['7zr', '7za', '7z'] ], [[qw(7z zip gz bz2 Z tar)], \&do_7zip, ['7za', '7z'] ], [[qw(xz lzma jar cpio arj rar swf lha iso cab deb rpm)], \&do_7zip, '7z' ], ['exe', \&do_executable, ['unrar','rar'], 'lha', ['unarj','arj'] ], ); @av_scanners = ( ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.sock"], qr/\bOK$/m, qr/\bFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ], # # NOTE: run clamd under the same user as amavisd - or run it under its own ); @av_scanners_backup = ( ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ], ); 1; # insure a defined return value Master.cf # # Postfix master process configuration file. For details on the format # of the file, see the master(5) manual page (command: "man 5 master"). # # Do not forget to execute "postfix reload" after editing this file. # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - n - 10 smtpd -o content_filter=amavis:[127.0.0.1]:10024 #smtp inet n - n - 1 postscreen #smtpd pass - - n - - smtpd #dnsblog unix - - n - 0 dnsblog #tlsproxy unix - - n - 0 tlsproxy #submission inet n - n - - smtpd # -o syslog_name=postfix/submission # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #smtps inet n - n - - smtpd # -o syslog_name=postfix/smtps # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #628 inet n - n - - qmqpd pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - n 300 1 oqmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # #maildrop unix - n n - - pipe # flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient} # # ==================================================================== # # Recent Cyrus versions can use the existing "lmtp" master.cf entry. # # Specify in cyrus.conf: # lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4 # # Specify in main.cf one or more of the following: # mailbox_transport = lmtp:inet:localhost # virtual_transport = lmtp:inet:localhost # # ==================================================================== # # Cyrus 2.1.5 (Amos Gouaux) # Also specify in main.cf: cyrus_destination_recipient_limit=1 # #cyrus unix - n n - - pipe # user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user} # # ==================================================================== # # Old example of delivery via Cyrus. # #old-cyrus unix - n n - - pipe # flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user} # # ==================================================================== # # See the Postfix UUCP_README file for configuration details. # #uucp unix - n n - - pipe # flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # ==================================================================== # # Other external delivery methods. # #ifmail unix - n n - - pipe # flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) # #bsmtp unix - n n - - pipe # flags=Fq. user=bsmtp argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient # #scalemail-backend unix - n n - 2 pipe # flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store # ${nexthop} ${user} ${extension} # #mailman unix - n n - - pipe # flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py # ${nexthop} ${user} amavis unix y - n - 10 smtp -o smtp_data_done_timeout=1200 # -o disable_dns_lookups=yes 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 spamd unix - n n - - pipe user=spam argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient} Main.cf # Default Settings soft_bounce = yes inet_interfaces = 192.168.0.2, 127.0.0.1 inet_protocols = ipv4 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain unknown_local_recipient_reject_code = 550 #unknown_hostname_reject_code = 550 unknown_client_reject_code = 550 unknown_address_reject_code = 550 mynetworks = 127.0.0.1, 192.168.0.0/24, 176.9.117.172, 66.212.228.251 smtpd_banner = $myhostname ESMTP always_bcc = journal at riebe-gmbh.de debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 bounce_template_file = /etc/postfix/bounce.de-DE.cf # Limits & Timer in_flow_delay = 1s local_destination_concurrency_limit = 2 default_destination_concurrency_limit = 2 message_size_limit = 262144000 mailbox_size_limit = 0 queue_run_delay = 300s minimal_backoff_time = 300s maximal_backoff_time = 1800s delay_warning_time = 4h maximal_queue_lifetime = 5d # Host & Domain Settings myhostname = mail.riebe-gmbh.de mydomain = mail.riebe-gmbh.de myorigin = riebe-gmbh.de # User Settings mail_owner = postfix default_privs = nobody setgid_group = postdrop relay_domains = $mydestination, mysql:/etc/postfix/relay.cf # Directory Settings queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq html_directory = no manpage_directory = /usr/local/man sample_directory = /etc/postfix readme_directory = no # Mailbox Transport Settings mailbox_transport = lmtp:unix:/var/imap/socket/lmtp # Database Settings alias_maps = hash:/etc/postfix/aliases alias_database = hash:/etc/postfix/aliases local_recipient_maps = hash:/etc/postfix/local_recipient relay_recipient_maps = mysql:/etc/postfix/relay_recipient.cf smtpd_sender_login_maps = mysql:/etc/postfix/sender.cf transport_maps = mysql:/etc/postfix/transport.cf # SASL Settings smtp_sasl_auth_enable = no smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_tls_auth_only = no smtpd_sasl_local_domain = mail.riebe-gmbh.de # TLS Settings smtp_use_tls = yes smtpd_use_tls = yes smtpd_tls_cert_file = /etc/ssl/mail.riebe-gmbh.de.crt smtpd_tls_key_file = /etc/ssl/mail.riebe-gmbh.de.key smtpd_tls_CAfile = /etc/ssl/class1.server.ca.pem # Anti Spam Settings header_checks = regexp:/etc/postfix/header_checks body_checks = regexp:/etc/postfix/body_checks # Restriction Settings smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_checks smtpd_recipient_restrictions = permit_tls_clientcerts, reject_authenticated_sender_login_mismatch, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, #reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_client, #reject_unknown_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, check_policy_service inet:127.0.0.1:10023, reject_rbl_client zen.spamhaus.org From Christian.Schmidt at chemie.uni-hamburg.de Mon Jun 17 21:51:52 2013 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Mon, 17 Jun 2013 21:51:52 +0200 Subject: [Postfixbuch-users] Spamschleuder ohne LDAP In-Reply-To: <8365481.0ADanIJU5Y@techz.gjn.prv> References: <8365481.0ADanIJU5Y@techz.gjn.prv> Message-ID: <20130617195152.GC4634@chemie.uni-hamburg.de> Hallo Günther, Günther J. Niederwimmer, 10.06.2013 (d.m.y): > wie kann ich Postfix abgewöhnen alles anzunehmen, wenn er die Verbindung zu > Ldap verliert(?). Du könntest dafür sorgen, dass dort lokal eine eigene LDAP-Instanz läuft - mit einer Replik des eigentlichen Verzeichnisses. Postfix würde dann statt mit dem eigentlichen LDAP-Server mit localhost kommunizieren. Gruss/Regards, Christian Schmidt -- Go not to the elves for counsel, for they will say both yes and no. -- J.R.R. Tolkien From gregor at aeppelbroe.de Tue Jun 18 09:26:23 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Tue, 18 Jun 2013 09:26:23 +0200 Subject: [Postfixbuch-users] relayhost vs transport Message-ID: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> Moin, wir haben einen internen Webserver (RQM-Verwaltung) der die Möglichkeit haben soll bei Delegation eines RQM-Eintrags Mails in die Welt zu schicken. Dafür habe ich einen Benutzer bei unserem ISP (1und1) angelegt, den smpt.1und1.de als relayhost definiert und die entsprechenden smtp_sasl_ Einträge zum authentifizieren gemacht. Jetzt sollen aber für ein paar Scripte mails an einen internen Server geschickt werden. Ich habe eine transport_map angelegt und .domain.intern smpt:mx.domain.intern eingetragen. Allerdings wird für die internen Adressen immer noch der relayhost benutzt,... ? Ich bin noch auf der Suche nach Tippfehlern oder sonstigen Blödsinn, aber evtl. habe ich auch einen Denkfehler (OSI-Layer 8 Problem)? Grüße Gregor -- From pascal.weisshaupt at metagmbh.de Tue Jun 18 09:33:26 2013 From: pascal.weisshaupt at metagmbh.de (=?iso-8859-1?Q?Pascal_Wei=DFhaupt?=) Date: Tue, 18 Jun 2013 09:33:26 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?relayhost_vs_transport?= In-Reply-To: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> References: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> Message-ID: Hallo, hast du "postmap hash:transport_map" gemacht? In der main.cf musst du dann auch folgendes angeben: transport_maps = hash:/etc/postfix/transport_map Pascal > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- > users-bounces at listen.jpberlin.de] Im Auftrag von Gregor Burck > Gesendet: Dienstag, 18. Juni 2013 09:26 > An: postfixbuch-users - listen.jpberlin.de > Betreff: [Postfixbuch-users] relayhost vs transport > > Moin, > > wir haben einen internen Webserver (RQM-Verwaltung) der die Möglichkeit > haben soll bei Delegation eines RQM-Eintrags Mails in die Welt zu schicken. > > Dafür habe ich einen Benutzer bei unserem ISP (1und1) angelegt, den > smpt.1und1.de als relayhost definiert und die entsprechenden smtp_sasl_ > Einträge zum authentifizieren gemacht. > > Jetzt sollen aber für ein paar Scripte mails an einen internen Server geschickt > werden. Ich habe eine transport_map angelegt und .domain.intern > smpt:mx.domain.intern eingetragen. > Allerdings wird für die internen Adressen immer noch der relayhost > benutzt,... ? > > Ich bin noch auf der Suche nach Tippfehlern oder sonstigen Blödsinn, aber > evtl. habe ich auch einen Denkfehler (OSI-Layer 8 Problem)? > > Grüße > > Gregor > -- > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux > Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Diese E-Mail ist vertraulich. Wenn Sie nicht der rechtmäßige Empfänger sind, dürfen Sie den Inhalt weder kopieren, verbreiten noch benutzen. Sollten Sie diese E-Mail versehentlich erhalten haben, senden Sie sie bitte an uns zurück und löschen sie anschließend. This e-mail is confidential. If you are not the intended recipient, you must not copy, disclose or use its contents. If you have received it in error, please inform us immediately by return e-mail and delete the document. Meta Motoren- und Energie-Technik GmbH Kaiserstraße 100, D-52134 Herzogenrath, T: +49 (0)2407-9554-0 F: +49 (0)2407-9554-19 Handelsregister Aachen HRB 5174, Geschäftsleitung: Dr.-Ing. Peter Kreuter, Dr.-Ing. Joachim Reinicke From gregor at a-mazing.de Tue Jun 18 09:38:27 2013 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 18 Jun 2013 09:38:27 +0200 Subject: [Postfixbuch-users] relayhost vs transport In-Reply-To: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> References: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> Message-ID: <201306180938.27443@office.a-mazing.net> Hallo Gregor, Am Dienstag, 18. Juni 2013 schrieb Gregor Burck: > Jetzt sollen aber für ein paar Scripte mails an einen internen Server > geschickt werden. Ich habe eine transport_map angelegt und .domain.intern > smpt:mx.domain.intern eingetragen. Allerdings wird für die internen > Adressen immer noch der relayhost benutzt,... ? - Wegen dem Punkt vor der Domain greift diese Regel nur für Subdomains von domain.intern. - Du solltest eckige Klammern verwenden, um einen MX-Lookup zu verhindern. Wahrscheinlich brauchst du sowas wie: domain.intern smpt:[mx.domain.intern] .domain.intern smpt:[mx.domain.intern] http://www.postfix.org/transport.5.html hth Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From mneufing at ub.uni-kl.de Tue Jun 18 09:47:12 2013 From: mneufing at ub.uni-kl.de (Michael Neufing) Date: Tue, 18 Jun 2013 07:47:12 +0000 Subject: [Postfixbuch-users] relayhost vs transport In-Reply-To: <201306180938.27443@office.a-mazing.net> References: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> <201306180938.27443@office.a-mazing.net> Message-ID: <87EE936147652F46AFC355D84DA777730F9F364F@exmbx01.rhrk.uni-kl.de> > Wahrscheinlich brauchst du sowas wie: > > domain.intern smpt:[mx.domain.intern] > .domain.intern smpt:[mx.domain.intern] > Du meinst sicher smtp und nicht smpt. :-) Gruß Michel From gregor at a-mazing.de Tue Jun 18 10:08:09 2013 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 18 Jun 2013 10:08:09 +0200 Subject: [Postfixbuch-users] relayhost vs transport In-Reply-To: <87EE936147652F46AFC355D84DA777730F9F364F@exmbx01.rhrk.uni-kl.de> References: <7a6996029be5eb63a22a04b428036204@ffm-it.dyndns.org> <201306180938.27443@office.a-mazing.net> <87EE936147652F46AFC355D84DA777730F9F364F@exmbx01.rhrk.uni-kl.de> Message-ID: <201306181008.09564@office.a-mazing.net> Am Dienstag, 18. Juni 2013 schrieb Michael Neufing: > > Wahrscheinlich brauchst du sowas wie: > > > > domain.intern smpt:[mx.domain.intern] > > .domain.intern smpt:[mx.domain.intern] > > Du meinst sicher smtp und nicht smpt. :-) Du kennst den "Senseless Mailinglist Protocol Typo" nicht? ;-) Danke, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From gregor at aeppelbroe.de Tue Jun 18 10:25:55 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Tue, 18 Jun 2013 10:25:55 +0200 Subject: [Postfixbuch-users] relayhost vs transport In-Reply-To: <201306180938.27443@office.a-mazing.net> Message-ID: <1f55944b474f9bd25d7bb01e61cbf839@ffm-it.dyndns.org> Hi Gregor, > - Wegen dem Punkt vor der Domain greift diese Regel nur für Subdomains von > domain.intern. Jo, das war's. > > - Du solltest eckige Klammern verwenden, um einen MX-Lookup zu verhindern. Das hatte ich schon gemacht, aber wäre kein Problem, weil unser DNS den MXer korrekt auflöst. Grüße Gregor PS Wieso denke ich nur ich würde mir selbst schreiben,... -- From hajo.locke at gmx.de Tue Jun 18 17:19:58 2013 From: hajo.locke at gmx.de (Hajo Locke) Date: Tue, 18 Jun 2013 17:19:58 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen Message-ID: <6CFBEC66301D40E984A087166971A429@ai.local> Hallo Liste, mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables oder andere Software? Wir kucken per fail2ban und anderen Methoden verschiedenste Logs durch und sperren IPs temporär wenn zu viele Fehllogins oder andere Hackversuche festgestellt wurden. Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden, dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr iptables einfach effizienter? Direkt zentral innerhalb des Routers zu sperren wäre sicherlich das beste, aber momentan bestehen da noch Befürchtungen. Wie macht Ihr das? Danke, Hajo From richard.steinbrueck at googlemail.com Tue Jun 18 17:46:32 2013 From: richard.steinbrueck at googlemail.com (=?utf-8?q?Richard=20Steinbr=c3=bcck?=) Date: Tue, 18 Jun 2013 15:46:32 +0000 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <6CFBEC66301D40E984A087166971A429@ai.local> Message-ID: Von: "Hajo Locke" >Hallo Liste, > >mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables >oder andere Software? >Wir kucken per fail2ban und anderen Methoden verschiedenste Logs durch >und sperren IPs temporär wenn zu viele Fehllogins oder andere >Hackversuche festgestellt wurden. >Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht >mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden, >dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht >mehr vertretbar. >Verwendet ihr was spezielles oder verwendet ihr iptables einfach >effizienter? >Direkt zentral innerhalb des Routers zu sperren wäre sicherlich das >beste, aber momentan bestehen da noch Befürchtungen. >Wie macht Ihr das? > >Danke, >Hajo Wenn es wirklich nur um die IPtables geht da kann man fail2ban etwas neues beibringen. :) http://nrdblg.de/nrd/howtos/fail2ban_ohne_iptables/fail2ban_ohne_iptables.html mfg Richard From Hullen at t-online.de Tue Jun 18 17:41:00 2013 From: Hullen at t-online.de (Helmut Hullen) Date: 18 Jun 2013 17:41:00 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <6CFBEC66301D40E984A087166971A429@ai.local> Message-ID: Hallo, Hajo, Du meintest am 18.06.13: > mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables > oder andere Software? Nicht "oder", sondern "und (auch)". "Firewall" ist ein Konzept, aus etlichen Komponenten. So wie woanders "Brandschutz" mehr ist als nur der Minimax im Treppenhaus. Viele Gruesse! Helmut From n.gerhards at ib-gerhards.de Tue Jun 18 17:51:22 2013 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Tue, 18 Jun 2013 17:51:22 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <6CFBEC66301D40E984A087166971A429@ai.local> References: <6CFBEC66301D40E984A087166971A429@ai.local> Message-ID: <51C081FA.7040908@ib-gerhards.de> Am 18.06.2013 17:19, schrieb Hajo Locke: > Hallo Liste, > > mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables > oder andere Software? > Wir kucken per fail2ban und anderen Methoden verschiedenste Logs durch > und sperren IPs temporär wenn zu viele Fehllogins oder andere > Hackversuche festgestellt wurden. > Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht > mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden, > dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht > mehr vertretbar. > Verwendet ihr was spezielles oder verwendet ihr iptables einfach > effizienter? > Direkt zentral innerhalb des Routers zu sperren wäre sicherlich das > beste, aber momentan bestehen da noch Befürchtungen. > Wie macht Ihr das? > > Danke, > Hajo Hallo Hajo, ich verwende Arnos IPtables Firewall seit Jahren. Hat sich sinnvoll weiterentwickelt (ipv6), ist verstehbar und editierbar für die eigenen Bedürfnisse und wird von Arno recht gut gewartet. Die Pakete in debian sind - wie stets - etwas zeitlich zurück. Also lade ich mir immer die aktuelle Version direkt von: http://rocky.eld.leidenuniv.nl/joomla/index.php?option=com_content&view=article&id=45:iptables-firewall&catid=17:content&Itemid=63 HTH Viele Grüße Norbert From driessen at fblan.de Tue Jun 18 22:06:49 2013 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Tue, 18 Jun 2013 22:06:49 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <6CFBEC66301D40E984A087166971A429@ai.local> References: <6CFBEC66301D40E984A087166971A429@ai.local> Message-ID: <007d01ce6c5f$5e902140$1bb063c0$@fblan.de> > users-bounces at listen.jpberlin.de] Im Auftrag von Hajo Locke > Hallo Liste, > > mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables oder > andere Software? > Wir kucken per fail2ban und anderen Methoden verschiedenste Logs durch > und > sperren IPs temporär wenn zu viele Fehllogins oder andere Hackversuche > festgestellt wurden. > Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht mehr > elegant. Wenn tausende Zeilen iptables durchgerammelt werden, dauert das > seine Zeit und ab einer gewissen Anzahl ist das auch nicht mehr vertretbar. > Verwendet ihr was spezielles oder verwendet ihr iptables einfach > effizienter? > Direkt zentral innerhalb des Routers zu sperren wäre sicherlich das beste, > aber momentan bestehen da noch Befürchtungen. > Wie macht Ihr das? > Schau dir mal ipset an Das ist eine Firewallregel(iptables) und unter Umständen einige tausend IP Adressen /IP-Netze oder was auch immer geblockt werden soll. Sehr schnell und dauert nicht länger wie eine iptables Regel abzuarbeiten Sollte in der aktuellen distri auch mitgeliefert sein Action.d/ipset-iptables-multiport.conf Jail.conf banaction = ipset-iptables-multiport Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From rmayer at nerd-residenz.de Tue Jun 18 22:59:14 2013 From: rmayer at nerd-residenz.de (Ralph J. Mayer) Date: Tue, 18 Jun 2013 22:59:14 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <6CFBEC66301D40E984A087166971A429@ai.local> References: <6CFBEC66301D40E984A087166971A429@ai.local> Message-ID: <4CD59B29-00DE-470F-BCD0-884B86C52A30@nerd-residenz.de> Moin, meine IPTabels Regeln baue ich mir ferm, anonsten gibt es hier Check Points und ASAs Wenn Du das am Router machen willst, würde ich nicht blocken sondern per dynamischen Routing die ensprechenden IPs blackholen. Disclaimer: Solche Dinge führen gerne auch mal zu nem Schuss in den Fuss durch Selbst-DOS rm From toag at izsr.de Wed Jun 19 12:59:22 2013 From: toag at izsr.de (Tim-Ole) Date: Wed, 19 Jun 2013 12:59:22 +0200 Subject: [Postfixbuch-users] Username wird nicht angenommen Message-ID: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> Hallo, Liste, nach jahrelangem, zumeist problemlosen Arbeiten mit Postfix habe ich jetzt mal ein Problem, bei dem ich - wenn es Microsoft wäre - sagen würde "Typisch M$ ? " ;-) Szenario: Postfix mit Benutzerdaten in /etc/passwd. Neuer User angelegt: yannick.marx Home-Verzeichnis ist vorhanden, Rechte stimmen, Zustellung lokaler Testmail an yannick.marx at foo.bar klappt und die Mail liegt dann in /home/yannick.marx/Maildir/new/ Aaaber: Bei der Zustellung über einen MTA von Aussen kommt: Jun 19 12:17:47 webmail postfix/smtpd[23968]: NOQUEUE: client=mail.aussen.de[1.2.3.4] (?) Jun 19 12:18:17 webmail postgrey[23380]: action=pass, reason=client whitelist, client_name=mail.aussen.de, client_address=1.2.3.4, sender=unser.user at aussen.de, recipient=yannick.marx at foo.bar Jun 19 12:18:17 webmail postfix/smtpd[23968]: NOQUEUE: reject: RCPT from mail.aussen.de[1.2.3.4]: 450 4.1.1 : Recipient address rejected: unverified address: unknown user: "yannick.marx"; from= to= proto=ESMTP helo= Wir haben den User gelöscht und neu angelegt - dasselbe Ergebnis. Wir haben yaya.ghgh at foo.bar angelegt - klappt sofort! Wir haben es von einem anderen externen MTA aus versucht - klappt ebenfalls nicht. Es gibt yannick.marx nirgends sonst auf dem System - weder in irgendwelchen postfix-Dateien (auch nicht unter /var/spool/postfix). Wir haben die /home-Verzeichnisse nochmal gelöscht, die passwd-Dateien doppelt und dreifach gecheckt, den Server wiederholt neu gestartet - es bleibt dasselbe Ergebnis: Recipient address rejected: unverified address: unknown user: "yannick.marx" So - und jetzt bitte festhalten: - wir haben den Nutzer annick.marx angelegt - funktioniert! - wir haben den Nutzer jannick.marx angelegt - funktioniert! - wir haben den Nutzer yannicke.marx angelegt - funktioniert! Aber NUR und AUSSCHLIESSLICH yannick.marx geht nicht!! Und als letztes Schmankerl: wenn wir in diesem LAN den daneben stehenden MTA benutzen (selbes Class-C-Netz), wird die Mail auch angenommen. Aber von keinem äusseren Mailserver. policyd-weight, postgrey und so haben wir ebenfalls gecheckt - nichts zu finden. Zumal die Fehlermeldung ja eindeutig ist: "Unknown user". Jetzt bräuchte ich mal Rat oder Ideen ? führt die zeichenfolge *yannick.marx* zu diesem Fehler? yannick.maier geht nämlich auch :-\ danke im voraus und schöne grüsse toag From kai_postfix at fuerstenberg.ws Wed Jun 19 13:35:18 2013 From: kai_postfix at fuerstenberg.ws (=?windows-1252?Q?Kai_F=FCrstenberg?=) Date: Wed, 19 Jun 2013 13:35:18 +0200 Subject: [Postfixbuch-users] Username wird nicht angenommen In-Reply-To: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> References: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> Message-ID: <51C19776.7020709@fuerstenberg.ws> Hi, Am 19.06.2013 12:59, schrieb Tim-Ole: > nach jahrelangem, zumeist problemlosen Arbeiten mit Postfix habe ich > jetzt mal ein Problem, bei dem ich - wenn es Microsoft wäre - sagen > würde "Typisch M$ ? " ;-) > > Szenario: > > Postfix mit Benutzerdaten in /etc/passwd. > > Neuer User angelegt: yannick.marx > > Home-Verzeichnis ist vorhanden, Rechte stimmen, Zustellung lokaler > Testmail an yannick.marx at foo.bar klappt und die Mail liegt dann in > /home/yannick.marx/Maildir/new/ > > Aaaber: Bei der Zustellung über einen MTA von Aussen kommt: > > Jun 19 12:17:47 webmail postfix/smtpd[23968]: NOQUEUE: > client=mail.aussen.de[1.2.3.4] (?) Jun 19 12:18:17 webmail > postgrey[23380]: action=pass, reason=client whitelist, > client_name=mail.aussen.de, client_address=1.2.3.4, > sender=unser.user at aussen.de, recipient=yannick.marx at foo.bar Jun 19 > 12:18:17 webmail postfix/smtpd[23968]: NOQUEUE: reject: RCPT from > mail.aussen.de[1.2.3.4]: 450 4.1.1 : Recipient > address rejected: unverified address: unknown user: "yannick.marx"; > from= to= proto=ESMTP > helo= > > Wir haben den User gelöscht und neu angelegt - dasselbe Ergebnis. > > Wir haben yaya.ghgh at foo.bar angelegt - klappt sofort! > > Wir haben es von einem anderen externen MTA aus versucht - klappt > ebenfalls nicht. > > Es gibt yannick.marx nirgends sonst auf dem System - weder in > irgendwelchen postfix-Dateien (auch nicht unter /var/spool/postfix). > > Wir haben die /home-Verzeichnisse nochmal gelöscht, die > passwd-Dateien doppelt und dreifach gecheckt, den Server wiederholt > neu gestartet - es bleibt dasselbe Ergebnis: > > Recipient address rejected: unverified address: unknown user: > "yannick.marx" > > So - und jetzt bitte festhalten: > > - wir haben den Nutzer annick.marx angelegt - funktioniert! - wir > haben den Nutzer jannick.marx angelegt - funktioniert! - wir haben > den Nutzer yannicke.marx angelegt - funktioniert! > > Aber NUR und AUSSCHLIESSLICH yannick.marx geht nicht!! > > Und als letztes Schmankerl: wenn wir in diesem LAN den daneben > stehenden MTA benutzen (selbes Class-C-Netz), wird die Mail auch > angenommen. Aber von keinem äusseren Mailserver. > > policyd-weight, postgrey und so haben wir ebenfalls gecheckt - nichts > zu finden. Zumal die Fehlermeldung ja eindeutig ist: "Unknown user". > > Jetzt bräuchte ich mal Rat oder Ideen ? führt die zeichenfolge > *yannick.marx* zu diesem Fehler? yannick.maier geht nämlich auch :-\ 'postconf -n' wäre zunächst ganz praktisch. Weiterhin nützen häufige Versuche nichts, denn: "To improve performance, the Postfix verify(8) daemon can save address verification results to a persistent database. This is enabled by default with Postfix 2.7 and later. The address_verify_map (NOTE: singular) configuration parameter specifies persistent storage for sender or recipient address verification results. If you specify an empty value, all address verification results are lost after "postfix reload" or "postfix stop"." Du solltest also zunächst mal den Cache leeren. Das könnte zumindest erklären, warum die anderen Namen funktionieren, der yannick.marx aber immer wieder nicht. Einmal im Cache als "Known Bounce" bleibt der ne Weile da drin stehen. Ich würde sagen: Cache leeren, User neu anlegen und dann nochmal versuchen. Wenn's dann immer noch nicht geht, schickst du das Log zusammen mit postconf -n einfach an die Liste. Wenn's geht bitte nicht anonymisiert, dabei passieren gerne Fehler. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From andreas.schulze at datev.de Wed Jun 19 13:35:41 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 19 Jun 2013 13:35:41 +0200 Subject: [Postfixbuch-users] Username wird nicht angenommen In-Reply-To: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> References: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> Message-ID: <20130619113541.GA31231@spider.services.datevnet.de> Am 19.06.2013 12:59 schrieb Tim-Ole: > Jun 19 12:18:17 webmail postfix/smtpd[23968]: NOQUEUE: reject: RCPT from mail.aussen.de[1.2.3.4]: 450 4.1.1 : Recipient address rejected: unverified address: unknown user: "yannick.marx"; from= to= proto=ESMTP helo= "unverified address" entweder $address_verify_negative_refresh_time warten oder die Adresse manuell aus der $address_verify_map löschen -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From listen at kielgas.org Wed Jun 19 13:45:54 2013 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 19 Jun 2013 13:45:54 +0200 Subject: [Postfixbuch-users] Username wird nicht angenommen In-Reply-To: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> References: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> Message-ID: <21dee9de-b0a9-41ec-8934-49e1dcb434cc@email.android.com> Hi, an der Zeichenfolge kann es nicht liegen, ich habe mal den User yannick.marx hier testweise angelegt und er kann natürlich Mails von intern und extern empfangen. Dies war ja eigentlich klar, nur um den unwahrscheinlichen Fall auszuschließen. Gruß Uwe Tim-Ole schrieb: >Hallo, Liste, > > >nach jahrelangem, zumeist problemlosen Arbeiten mit Postfix habe ich >jetzt mal ein Problem, bei dem ich - wenn es Microsoft wäre - sagen >würde "Typisch M$ ? " ;-) > >Szenario: > >Postfix mit Benutzerdaten in /etc/passwd. > >Neuer User angelegt: yannick.marx > >Home-Verzeichnis ist vorhanden, Rechte stimmen, Zustellung lokaler >Testmail an yannick.marx at foo.bar klappt und die Mail liegt dann in >/home/yannick.marx/Maildir/new/ > >Aaaber: Bei der Zustellung über einen MTA von Aussen kommt: > >Jun 19 12:17:47 webmail postfix/smtpd[23968]: NOQUEUE: >client=mail.aussen.de[1.2.3.4] >(?) >Jun 19 12:18:17 webmail postgrey[23380]: action=pass, reason=client >whitelist, client_name=mail.aussen.de, client_address=1.2.3.4, >sender=unser.user at aussen.de, recipient=yannick.marx at foo.bar >Jun 19 12:18:17 webmail postfix/smtpd[23968]: NOQUEUE: reject: RCPT >from mail.aussen.de[1.2.3.4]: 450 4.1.1 : >Recipient address rejected: unverified address: unknown user: >"yannick.marx"; from= to= >proto=ESMTP helo= > >Wir haben den User gelöscht und neu angelegt - dasselbe Ergebnis. > >Wir haben yaya.ghgh at foo.bar angelegt - klappt sofort! > >Wir haben es von einem anderen externen MTA aus versucht - klappt >ebenfalls nicht. > >Es gibt yannick.marx nirgends sonst auf dem System - weder in >irgendwelchen postfix-Dateien (auch nicht unter /var/spool/postfix). > >Wir haben die /home-Verzeichnisse nochmal gelöscht, die passwd-Dateien >doppelt und dreifach gecheckt, den Server wiederholt neu gestartet - es >bleibt dasselbe Ergebnis: > >Recipient address rejected: unverified address: unknown user: >"yannick.marx" > >So - und jetzt bitte festhalten: > >- wir haben den Nutzer annick.marx angelegt - funktioniert! >- wir haben den Nutzer jannick.marx angelegt - funktioniert! >- wir haben den Nutzer yannicke.marx angelegt - funktioniert! > >Aber NUR und AUSSCHLIESSLICH yannick.marx geht nicht!! > >Und als letztes Schmankerl: wenn wir in diesem LAN den daneben >stehenden MTA benutzen (selbes Class-C-Netz), wird die Mail auch >angenommen. Aber von keinem äusseren Mailserver. > >policyd-weight, postgrey und so haben wir ebenfalls gecheckt - nichts >zu finden. Zumal die Fehlermeldung ja eindeutig ist: "Unknown user". > >Jetzt bräuchte ich mal Rat oder Ideen ? führt die zeichenfolge >*yannick.marx* zu diesem Fehler? yannick.maier geht nämlich auch :-\ > > >danke im voraus und schöne grüsse > > >toag > > > > >-- >_______________________________________________ >Postfixbuch-users -- http://www.postfixbuch.de >Heinlein Professional Linux Support GmbH > >Postfixbuch-users at listen.jpberlin.de >https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Mit freundlichen Grüßen Uwe Kielgas Nicht das Erreichte zählt, das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From kai_postfix at fuerstenberg.ws Wed Jun 19 13:52:30 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 19 Jun 2013 13:52:30 +0200 Subject: [Postfixbuch-users] amavisd In-Reply-To: References: Message-ID: <51C19B7E.6080207@fuerstenberg.ws> Hallo Felipe, Am 17.06.2013 16:41, schrieb Felipe: > Hallo Leute Ich wollte jetzt mal Spamassassin in amavis integrieren, > So lief es schon > > Also die Email passieren schon Amavis und fliegen auch wieder zurück > und dann nach Exchange oder Cyrus je nach Empfängeradresse Allerdings > bekomme ich keine X-SPAM Header und das warscheinlich geht nix. Für die Spam-Header brauchst du: > $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above > that level Wenn deine Mails eine Score weniger als 0.0 haben, gibt's keine Header. Erst darüber werden die eingefügt. Sollen alle Mails die Header bekommen, setzt du $sa_tag_level_deflt = undef; Du kannst auch -999 einsetzen, wenn du magst. Weiterhin bekommen nur lokale Mails einen Header: > @local_domains_maps = ( [".$mydomain"] ); # list of all local domains > $mydomain = 'riebe-gmbh.de'; Heißt: jede Mail, die nicht an die "riebe-gmbh.de" geht, bekommt keinen Header. Du musst folglich in @local_domains_maps alle Domains eintragen, die lokal sind. Oder du pauschalierst mit @local_domains_maps = ("."); -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From toag at izsr.de Wed Jun 19 15:03:31 2013 From: toag at izsr.de (Tim-Ole) Date: Wed, 19 Jun 2013 15:03:31 +0200 Subject: [Postfixbuch-users] Username wird nicht angenommen In-Reply-To: <20130619113541.GA31231@spider.services.datevnet.de> References: <4F9E88AB-1864-4D68-BBC2-E1BB12AA4CCA@izsr.de> <20130619113541.GA31231@spider.services.datevnet.de> Message-ID: <7FF091B6-43B0-47C7-A089-09285816A2A8@izsr.de> Hallo, Andreas, > "unverified address" > > entweder $address_verify_negative_refresh_time warten oder die Adresse manuell aus der $address_verify_map löschen danke - das hat mir gefehlt! Perfekt! Ich wollte schon zum Arzt gehen, um meinen geisteszustand zu untersuchen ? Das war es natürlich: root at foo.bar:/# postconf | grep address_verify_map address_verify_map = btree:$data_directory/verify_cache root at foo.bar:/# postconf | grep data_directory data_directory = /var/lib/postfix root at foo.bar:/# grep marx /var/lib/postfix/verify_cache.db Binary file /var/lib/postfix/verify_cache.db matches Jetzt geht´s! Vielen Dank nochmal! grüsse toag p.s.: ich hab das gefühl, dass wir genau dieses Szenario und die Lösung dazu vor ein paar Jahren schon mal hatten - aber seinerzeit vermutlich wieder vergessen oder nicht aufgeschrieben :-\ From postfixmail at dncom.de Wed Jun 19 19:04:07 2013 From: postfixmail at dncom.de (Felipe) Date: Wed, 19 Jun 2013 17:04:07 +0000 Subject: [Postfixbuch-users] amavisd In-Reply-To: <51C19B7E.6080207@fuerstenberg.ws> References: <51C19B7E.6080207@fuerstenberg.ws> Message-ID: Hallo Kai, erstmal vielen Dank für deine Antworten, zwischenzeitlich sind ein paar Tage vergangen und ein paar Sachen habe ich auch schon selbst herausfinden können. Bisher lösche ich alle Emails die einen score ab 12.0 bekommen durch header_checks ich glaube es gibt aber eine Möglichkeit eines reject. Das kann aber nur funktionieren wenn postfix die Annahme an den einliefernden Server nicht bestätigt bis amavis die Spamprüfung abgeschlossen hat. Ausserdem werden meine Benutzerdefinierten Regeln in Dateien unter /etc/mail/spamassassin nicht benutzt. -rw-r--r-- 1 root root 79 May 30 16:55 10_misc.cf -rw-r--r-- 1 root root 36 May 29 14:14 11_hostname.cf -rw-r--r-- 1 root root 79 May 29 17:01 12_razor.cf -rw-r--r-- 1 root root 59 May 29 20:21 13_pyzor.cf -rw-r--r-- 1 root root 686 Jun 18 20:21 50_rules.cf -rw-r--r-- 1 root root 1299 Sep 3 2012 init.pre -rw-r--r-- 1 root root 2252 Jun 17 21:50 local.cf -rw-r--r-- 1 root root 3540 May 30 22:16 sa-learn-cyrus.conf drwx------ 2 root root 4096 Jun 19 16:54 sa-update-keys -rw-r--r-- 1 root root 2523 May 29 21:20 v310.pre -rw-r--r-- 1 root root 1194 Sep 3 2012 v312.pre -rw-r--r-- 1 root root 2416 Sep 3 2012 v320.pre -rw-r--r-- 1 root root 1237 Sep 3 2012 v330.pre Vermutlich muss ich da noch was ändern, da einige Sachen unter /home/spam liegen und amavisd da keine Zugriffsrechte hat aber die Header-, Body- und Metaregeln die in 50_rules.cf stehen funktionieren leider nicht mehr. Ich möchte gerne alle Email mit einem score zwischen 6.2 und 12.0 an eine andere Emailaddresse umleiten und was drüber ist ablehenen. Grüsse Felipe -----Mensaje original----- De: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] En nombre de Kai Fürstenberg Enviado el: miércoles, 19 de junio de 2013 13:53 Para: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Asunto: Re: [Postfixbuch-users] amavisd Hallo Felipe, Am 17.06.2013 16:41, schrieb Felipe: > Hallo Leute Ich wollte jetzt mal Spamassassin in amavis integrieren, > So lief es schon > > Also die Email passieren schon Amavis und fliegen auch wieder zurück > und dann nach Exchange oder Cyrus je nach Empfängeradresse Allerdings > bekomme ich keine X-SPAM Header und das warscheinlich geht nix. Für die Spam-Header brauchst du: > $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above > that level Wenn deine Mails eine Score weniger als 0.0 haben, gibt's keine Header. Erst darüber werden die eingefügt. Sollen alle Mails die Header bekommen, setzt du $sa_tag_level_deflt = undef; Du kannst auch -999 einsetzen, wenn du magst. Weiterhin bekommen nur lokale Mails einen Header: > @local_domains_maps = ( [".$mydomain"] ); # list of all local domains > $mydomain = 'riebe-gmbh.de'; Heißt: jede Mail, die nicht an die "riebe-gmbh.de" geht, bekommt keinen Header. Du musst folglich in @local_domains_maps alle Domains eintragen, die lokal sind. Oder du pauschalierst mit @local_domains_maps = ("."); -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From andreas.schulze at datev.de Fri Jun 21 09:07:23 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 21 Jun 2013 09:07:23 +0200 Subject: [Postfixbuch-users] [fmartin@linkedin.com: Re: [senders] clear DNS cache] Message-ID: <20130621070723.GA9505@spider.services.datevnet.de> Moin, offenbar haben die Nameserver für .com am Mittwoch Abend für ca. 5000 Domains falsche NS-Einträge rausgegeben. Ursache war wohl kein technisches Problem. Wer eigene DNS-Resolver bereibt, möchte diese eventuell mal durchstarten, um sich potentiell falscher Einträge zu entledigen. -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen -------------- nächster Teil -------------- Eine eingebundene Nachricht wurde abgetrennt... Von: Franck Martin Betreff: Re: [senders] clear DNS cache Datum: Thu, 20 Jun 2013 20:53:01 +0000 Größe: 9133 URL: From andreas.schulze at datev.de Fri Jun 21 09:42:28 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 21 Jun 2013 09:42:28 +0200 Subject: [Postfixbuch-users] [fmartin@linkedin.com: Re: [senders] clear DNS cache] In-Reply-To: <20130621070723.GA9505@spider.services.datevnet.de> References: <20130621070723.GA9505@spider.services.datevnet.de> Message-ID: <20130621074228.GA10950@spider.services.datevnet.de> Am 21.06.2013 09:07 schrieb Andreas Schulze: > Ursache war wohl kein technisches Problem. wohl doch: http://heise.de/-1893282 -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From kai_postfix at fuerstenberg.ws Fri Jun 21 14:21:47 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 21 Jun 2013 14:21:47 +0200 Subject: [Postfixbuch-users] amavisd In-Reply-To: References: <51C19B7E.6080207@fuerstenberg.ws> Message-ID: <51C4455B.4070800@fuerstenberg.ws> Hi Felipe, Am 19.06.2013 19:04, schrieb Felipe: > Bisher lösche ich alle Emails die einen score ab 12.0 bekommen durch header_checks ich glaube es gibt aber eine Möglichkeit eines reject. > Das kann aber nur funktionieren wenn postfix die Annahme an den einliefernden Server nicht bestätigt bis amavis die Spamprüfung abgeschlossen hat. Richtig. Deshalb wird ja auch empfohlen, Amavis als SMTPD-Proxy einzubinden. Da geht das. Einfach löschen ist niemals gut: Entweder ablehnen, oder zustellen. > Ausserdem werden meine Benutzerdefinierten Regeln in Dateien unter /etc/mail/spamassassin nicht benutzt. Du musst Amavis neu starten, wenn du Änderungen vornimmst. Eventuell sind auch die Regeln nicht korrekt eingetragen. > Ich möchte gerne alle Email mit einem score zwischen 6.2 und 12.0 an eine andere Emailaddresse umleiten und was drüber ist ablehenen. Ablehnen geht nur als SMTPD-Proxy. Dann setzt du in der amavisd.conf: $final_spam_destiny=D_REJECT Umleiten kannst du über amavis nicht. Du kannst aber die Mails mit REDIRECT über die Header Checks umleiten. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From ffiene at veka.com Sat Jun 22 10:15:01 2013 From: ffiene at veka.com (Frank Fiene) Date: Sat, 22 Jun 2013 10:15:01 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <4CD59B29-00DE-470F-BCD0-884B86C52A30@nerd-residenz.de> References: <6CFBEC66301D40E984A087166971A429@ai.local> <4CD59B29-00DE-470F-BCD0-884B86C52A30@nerd-residenz.de> Message-ID: Den Unterschied zwischen Der Firewall und einem Paketfilter als Teil dieser wurde ja schon erklärt. Wenn nur du die Firewall administrierst und du einigermaßen mit der Konsole klarkommst, würde ich dir empfehlen, den Paketfilter mit Shell-Scripts selber zu bauen. Dann ist das netfilter Framework (also iptables) das richtige für dich! Wenn du es bunt haben möchtest, nimm die Astaro-Distribution (jetzt Sophos). Die ist für privat umsonst und nutzt ebenfalls das auch von ihnen gesponserte Netfilter Framework kombiniert mit Proxies, IPS und mit einer Web-Oberfläche. Viele Grüße! Frank Am 18.06.2013 um 22:59 schrieb Ralph J. Mayer : > Moin, > > meine IPTabels Regeln baue ich mir ferm, anonsten gibt es hier Check Points und ASAs > > Wenn Du das am Router machen willst, würde ich nicht blocken sondern per dynamischen Routing die ensprechenden IPs blackholen. > > Disclaimer: Solche Dinge führen gerne auch mal zu nem Schuss in den Fuss durch Selbst-DOS > > > rm > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From Hullen at t-online.de Sat Jun 22 11:40:00 2013 From: Hullen at t-online.de (Helmut Hullen) Date: 22 Jun 2013 11:40:00 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <6CFBEC66301D40E984A087166971A429@ai.local> Message-ID: Hallo, Hajo, Du meintest am 18.06.13: > mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables > oder andere Software? Ja - ist hier eher off topic ... > Wir kucken per fail2ban und anderen Methoden verschiedenste Logs > durch und sperren IPs temporär wenn zu viele Fehllogins oder andere > Hackversuche festgestellt wurden. > Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht > mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden, > dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht > mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr > iptables einfach effizienter? Zu dem Problembereich findest Du ganz aktuell in "Linux-user" 07/13 einen längeren Artikel: "Türsteher", Seite 26-31 ------------------- Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von Script-Kiddies kommen, einen Abschnitt in der "iptables"-Konfiguration: # ----------------- Skript-Teil ein ------------------- WAN=ppp+ eth1 IPTABLES_BIN=/usr/sbin/iptables # diese beiden Variablen sind anzupassen for Interf in $WAN; do $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ -m recent --set --name SSH $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \ -j REJECT --reject-with tcp-reset $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ -j ACCEPT done # Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005 # pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies # "rcheck" statt "update": Sven Geggus, 22. Sept. 05, # de.comp.os.unix.networking.misc # siehe auch # http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/3 # ----------------- Skript-Teil aus ------------------- Kappt die Verbindung, wenn mehr als 4 Versuche binnen 60 Sekunden auflaufen. Und lässt sich auch für andere Ports als nur 22 einstellen. Ok - das hakt (natürlich), wenn ein gewollter Automat derart hektisch anklopft. Und es hakt auch bei langsamen Kiddy-Skripts (die ich in den letzten 12 Monaten zweimal erlebt; etwa alle 30 Sekunden ein neuer Versuch). Aber da komme ich in die Gegend von tüdeligen erlaubten Benutzern, die sich immer wieder vertippen. Abhilfe: weitere Regel $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ -m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH \ -j REJECT --reject-with tcp-reset Am Rande: Abbruch nach 3 oder 4 Misserfolgen ist auch an anderen Stellen eingestellt; da mault niemand. Und bei SSH habe ich zusätzlich in "/etc/ssh/sshd_config" PermitRootLogin without-password eingestellt; da muss das Kiddy-Skript 2 Passwörter erraten oder sonstwie erschnüffelt haben, um "root"-Rechte zu bekommen. ------------------------------------------------------- Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa 3 bsi 4 abgewimmelte Versuche. Viele Gruesse! Helmut From postfixbuch at cboltz.de Sat Jun 22 13:37:13 2013 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sat, 22 Jun 2013 13:37:13 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: References: Message-ID: <7150525.eeWjxclWCd@tux.boltz.de.vu> Hallo Helmut, hallo Leute, Am Samstag, 22. Juni 2013 schrieb Helmut Hullen: > Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von > Script-Kiddies kommen, einen Abschnitt in der > "iptables"-Konfiguration: > $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state > NEW \ -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH > \ -j REJECT --reject-with tcp-reset Das --rttl ist unschön - das recent-Matching berücksichtigt dann nämlich auch die TTL der Pakete, was die Regel ziemlich wirkungslos macht. Das kann dann durchaus dazu führen, dass von 1000 Versuchen von einer IP nur einer geblockt wird (habe ich im Selbstversuch rausgefunden ;-) Allerdings gibt es dieses Problem erst in halbwegs aktuellen Kerneln (mindestens ab 3.1.10). Ältere Kernel-Versionen haben --rttl ignoriert, was strenggenommen ein Bug war. Gruß Christian Boltz -- Please don't ruin a perfectly good argument with facts! [James Knott in opensuse-factory] From werner at aloah-from-hell.de Sat Jun 22 15:50:36 2013 From: werner at aloah-from-hell.de (Werner Detter) Date: Sat, 22 Jun 2013 15:50:36 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: References: Message-ID: <51C5ABAC.9070200@aloah-from-hell.de> Am 22.06.13 11:40, schrieb Helmut Hullen: > Hallo, Hajo, > > Du meintest am 18.06.13: > >> mal eine Frage zu Firewalls. Verwendet ihr hier das übliche iptables >> oder andere Software? > > Ja - ist hier eher off topic ... > >> Wir kucken per fail2ban und anderen Methoden verschiedenste Logs >> durch und sperren IPs temporär wenn zu viele Fehllogins oder andere >> Hackversuche festgestellt wurden. >> Wenn es sich um viele IPs handelt, finde ich diese Methode aber nicht >> mehr elegant. Wenn tausende Zeilen iptables durchgerammelt werden, >> dauert das seine Zeit und ab einer gewissen Anzahl ist das auch nicht >> mehr vertretbar. Verwendet ihr was spezielles oder verwendet ihr >> iptables einfach effizienter? > > Zu dem Problembereich findest Du ganz aktuell in "Linux-user" 07/13 > einen längeren Artikel: > > "Türsteher", Seite 26-31 > > ------------------- > > Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von > Script-Kiddies kommen, einen Abschnitt in der "iptables"-Konfiguration: > > > # ----------------- Skript-Teil ein ------------------- > > WAN=ppp+ eth1 > IPTABLES_BIN=/usr/sbin/iptables > # diese beiden Variablen sind anzupassen > > for Interf in $WAN; do > $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ > -m recent --set --name SSH > $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ > -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name SSH \ > -j REJECT --reject-with tcp-reset > $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ > -j ACCEPT > done > > # Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005 > # pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt Skript-Kiddies > # "rcheck" statt "update": Sven Geggus, 22. Sept. 05, > # de.comp.os.unix.networking.misc > # siehe auch > # http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetzen--/artikel/142155/3 > > # ----------------- Skript-Teil aus ------------------- > > Kappt die Verbindung, wenn mehr als 4 Versuche binnen 60 Sekunden > auflaufen. > > Und lässt sich auch für andere Ports als nur 22 einstellen. > > Ok - das hakt (natürlich), wenn ein gewollter Automat derart hektisch anklopft. > > Und es hakt auch bei langsamen Kiddy-Skripts (die ich in den letzten 12 > Monaten zweimal erlebt; etwa alle 30 Sekunden ein neuer Versuch). Aber > da komme ich in die Gegend von tüdeligen erlaubten Benutzern, die sich > immer wieder vertippen. > > Abhilfe: weitere Regel > > $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state NEW \ > -m recent --rcheck --seconds 360 --hitcount 10 --rttl --name SSH \ > -j REJECT --reject-with tcp-reset > > Am Rande: Abbruch nach 3 oder 4 Misserfolgen ist auch an anderen Stellen > eingestellt; da mault niemand. > > Und bei SSH habe ich zusätzlich in "/etc/ssh/sshd_config" > > PermitRootLogin without-password > > eingestellt; da muss das Kiddy-Skript 2 Passwörter erraten oder sonstwie > erschnüffelt haben, um "root"-Rechte zu bekommen. > > ------------------------------------------------------- > > Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa 3 > bsi 4 abgewimmelte Versuche. > Für sowas gibt's fail2ban :) From Hullen at t-online.de Sat Jun 22 16:21:00 2013 From: Hullen at t-online.de (Helmut Hullen) Date: 22 Jun 2013 16:21:00 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <51C5ABAC.9070200@aloah-from-hell.de> Message-ID: Hallo, Werner, Du meintest am 22.06.13: >> Ich bevorzuge für einen Server, bei dem die meisten SSH-Zugriffe von >> Script-Kiddies kommen, einen Abschnitt in der >> "iptables"-Konfiguration: >> >> >> # ----------------- Skript-Teil ein ------------------- >> >> WAN=ppp+ eth1 >> IPTABLES_BIN=/usr/sbin/iptables >> # diese beiden Variablen sind anzupassen >> >> for Interf in $WAN; do >> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state >> NEW \ -m recent --set --name SSH >> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state >> NEW \ -m recent --rcheck --seconds 60 --hitcount 4 --rttl --name >> SSH \ -j REJECT --reject-with tcp-reset >> $IPTABLES_BIN -A INPUT -i $Interf -p tcp --dport 22 -m state --state >> NEW \ -j ACCEPT >> done >> >> # Florian Frank in der "linuxmuster"-Mailingliste, 17. Sept. 2005 >> # pro Absender-IP max. 3 Verbindungsanfragen pro Minute; blockt >> Skript-Kiddies # "rcheck" statt "update": Sven Geggus, 22. Sept. 05, >> # de.comp.os.unix.networking.misc >> # siehe auch >> # http://www.heise.de/security/SSH-vor-Brute-Force-Angriffen-schuetz >> en--/artikel/142155/3 >> >> # ----------------- Skript-Teil aus ------------------- [...] >> Mit diesem Skript komme ich hier bei meinem Server auf täglich etwa >> 3 bsi 4 abgewimmelte Versuche. > Für sowas gibt's fail2ban :) "fail2ban" zu konfigurieren scheint ein Text-Adventure zu sein. Das obige Skript erfüllt den Job brav, und es erfüllt ihn früh, nicht erst auf Basis der Logdateien. Viele Gruesse! Helmut From werner at aloah-from-hell.de Sat Jun 22 16:45:38 2013 From: werner at aloah-from-hell.de (Werner Detter) Date: Sat, 22 Jun 2013 16:45:38 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: References: Message-ID: <51C5B892.6060003@aloah-from-hell.de> Hi, > "fail2ban" zu konfigurieren scheint ein Text-Adventure zu sein. Das > obige Skript erfüllt den Job brav, und es erfüllt ihn früh, nicht erst > auf Basis der Logdateien. Text-Adventure? Da existieren Config-Dateien die man editiert und fertig. Aber ja, deine Regel greift früher und dauerhaft. Kommt drauf an, wie man's gern hätte :) Fail2ban ist halt allein schon dadurch flexibler, dass gesperrte IPs eine _bestimmte_ Zeitlang geblockt werden, nicht bis an's Ende aller Tage oder bis zum Flushen der Chains. Auch kannst du Fail2ban einfach für andere Dienste einrichten. Wie auch immer, mach was du willst :) From technoworx at gmx.de Sat Jun 22 17:30:34 2013 From: technoworx at gmx.de (Alexander Stoll) Date: Sat, 22 Jun 2013 17:30:34 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <51C5B892.6060003@aloah-from-hell.de> References: <51C5B892.6060003@aloah-from-hell.de> Message-ID: <51C5C31A.8070801@gmx.de> Am 22.06.2013 16:45, schrieb Werner Detter: > Fail2ban ist halt allein schon dadurch flexibler, dass gesperrte IPs > eine _bestimmte_ Zeitlang geblockt werden, nicht bis an's Ende aller > Tage oder bis zum Flushen der Chains. Auch kannst du Fail2ban einfach > für andere Dienste einrichten. Ich bitte um Erleuchtung, warum dies ohne Eingriff und Ressourcenverbrauch eines weiteren Userspace Programms so nicht mittels recent konfiguriert werden kann. Ich kann beim besten Willen nicht entdecken, wo der massive Vorteil von F2B liegen soll... *ratlos* Ich verbuche folgende Vorteile für recent: - unmittelbar auf Netzwerkebene für jeden Dienst/Port ohne Logging und ggf. fehlerbehaftetes Parsen konfigurierbar - weniger Komplexität ohne Drittprogramm - Ressourceneinsparung Habe ich etwas übersehen, wo liegen die Vorteile von F2B? Ich lasse mich gerne Informieren. From Hullen at t-online.de Sat Jun 22 17:47:00 2013 From: Hullen at t-online.de (Helmut Hullen) Date: 22 Jun 2013 17:47:00 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <51C5B892.6060003@aloah-from-hell.de> Message-ID: Hallo, Werner, Du meintest am 22.06.13: >> "fail2ban" zu konfigurieren scheint ein Text-Adventure zu sein. Das >> obige Skript erfüllt den Job brav, und es erfüllt ihn früh, nicht >> erst auf Basis der Logdateien. > Text-Adventure? Da existieren Config-Dateien die man editiert und > fertig. Ja - die habe ich "mit grossem Interesse" studiert ... > Aber ja, deine Regel greift früher und dauerhaft. Kommt > drauf an, wie man's gern hätte :) > Fail2ban ist halt allein schon dadurch flexibler, dass gesperrte IPs > eine _bestimmte_ Zeitlang geblockt werden, nicht bis an's Ende aller > Tage oder bis zum Flushen der Chains. Gilt für die von mir genannte Regel auch - nach etlichen Minuten kann der nächste Versuch gestartet werden. Derzeit sind die allermeisten Skript-Kiddie-Automaten so gestrickt, dass sie wenigstens für den Rest des Tages keinen weiteren Versuch starten, in den allermeisten Fällen sogar für viele Tage nicht mehr. Und wenn ich als befugter Benutzer mich mehrmals binnen 1 Minute vertippe, dann bin ich auf diesem Weg eben für (grob geschätzt) etwa 1 Stunde gesperrt; ich komme aber auf einem nur etwas anderen Weg immer noch ins System. Viele Gruesse! Helmut From driessen at fblan.de Sat Jun 22 21:08:39 2013 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sat, 22 Jun 2013 21:08:39 +0200 Subject: [Postfixbuch-users] OT: Firewallalternativen In-Reply-To: <51C5C31A.8070801@gmx.de> References: <51C5B892.6060003@aloah-from-hell.de> <51C5C31A.8070801@gmx.de> Message-ID: <012e01ce6f7b$e8053900$b80fab00$@fblan.de> Im Auftrag von Alexander Stoll > > Am 22.06.2013 16:45, schrieb Werner Detter: > > > Fail2ban ist halt allein schon dadurch flexibler, dass gesperrte IPs > > eine _bestimmte_ Zeitlang geblockt werden, nicht bis an's Ende aller > > Tage oder bis zum Flushen der Chains. Auch kannst du Fail2ban einfach > > für andere Dienste einrichten. > > Ich bitte um Erleuchtung, warum dies ohne Eingriff und > Ressourcenverbrauch eines weiteren Userspace Programms so nicht mittels > recent konfiguriert werden kann. Ich kann beim besten Willen nicht > entdecken, wo der massive Vorteil von F2B liegen soll... > *ratlos* > Ich verbuche folgende Vorteile für recent: > - unmittelbar auf Netzwerkebene für jeden Dienst/Port ohne Logging und > ggf. fehlerbehaftetes Parsen konfigurierbar > - weniger Komplexität ohne Drittprogramm > - Ressourceneinsparung > > Habe ich etwas übersehen, wo liegen die Vorteile von F2B? > Ich lasse mich gerne Informieren. > > Naja auf unterschiedlich dokumentierte Ereignisse des gleichen Port/Dienstes eigenständig, unterschiedlich reagieren. d.h. nicht alleine die Menge ist ausschlaggebend für Auffälligkeiten, die kann auch schon bei einem einzelnen Auftreten gegeben sein. Die Suchmuster sind so flexibel wie zahlreich konfigurierbar. z.B. bestimmte Anfragen an einen Webserver die versuchen Lücken auszunutzen. SSH kann auch auf jedem anderen Port betrieben werden. Das hält zumindest Scriptkiddis von dem Dienst fern und hält das Log sauberer. Gegen Profis hilft das umlegen des Ports alleine allerdings auch nicht. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From sebastian at debianfan.de Sun Jun 23 13:09:12 2013 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 23 Jun 2013 13:09:12 +0200 Subject: [Postfixbuch-users] [OT] Courier Maildir Message-ID: <51C6D758.1070408@debianfan.de> Hallo, vermutlich bin ich hier total OT aber ich probiers trotzdem - notfalls die Lösung bzw. den Lösungshinweis direkt an mich. Das Postfach ist leer, d.h. alle Ordner sind leer - Thunderbird bzw. Squirrelmail zeigen keine Mails mehr an. Wenn ich aber in der Shell im Maildir-Verzeichnis des jeweiligen Users ein # find mache, zeigt er mir 'gefühlte' 1000 Dateien an - die sind nach näherer Recherche die Maildateien. Die sind aber 'gelöscht' i.S.v. eigentlich in den Papierkorb verschoben und dann müssten die 'weg' sein. Wie bringe ich Courier-Imap dazu, die als gelöscht markierten Dateien auch wirklich zu löschen? Da kommen ja einige hundert Megabyte zusammen... gruß Sebastian From wolfgang.zeikat at desy.de Sun Jun 23 13:28:10 2013 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Sun, 23 Jun 2013 13:28:10 +0200 Subject: [Postfixbuch-users] [OT] Courier Maildir In-Reply-To: <51C6D758.1070408@debianfan.de> References: <51C6D758.1070408@debianfan.de> Message-ID: <51C6DBCA.10806@desy.de> In an older episode, on 2013-06-23 13:09, sebastian at debianfan.de wrote: > Die sind aber 'gelöscht' i.S.v. eigentlich in den Papierkorb verschoben > und dann müssten die 'weg' sein. > > Wie bringe ich Courier-Imap dazu, die als gelöscht markierten Dateien > auch wirklich zu löschen? Thunderbird bietet im Kontextmenü des "Trash"-Ordners ein "Empty Trash", ändert das was? My 0,02 EUR wolfgang From sebastian at debianfan.de Sun Jun 23 14:32:57 2013 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 23 Jun 2013 14:32:57 +0200 Subject: [Postfixbuch-users] [OT] Courier Maildir In-Reply-To: <51C6DBCA.10806@desy.de> References: <51C6D758.1070408@debianfan.de> <51C6DBCA.10806@desy.de> Message-ID: <51C6EAF9.1030404@debianfan.de> Am 23.06.2013 13:28, schrieb Wolfgang Zeikat: > In an older episode, on 2013-06-23 13:09, sebastian at debianfan.de wrote: > >> Die sind aber 'gelöscht' i.S.v. eigentlich in den Papierkorb >> verschoben und dann müssten die 'weg' sein. >> >> Wie bringe ich Courier-Imap dazu, die als gelöscht markierten Dateien >> auch wirklich zu löschen? > > Thunderbird bietet im Kontextmenü des "Trash"-Ordners ein "Empty Trash", > ändert das was? > > My 0,02 EUR > > wolfgang > > geht - danke :-) From p.heinlein at heinlein-support.de Sun Jun 23 15:40:34 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 23 Jun 2013 15:40:34 +0200 Subject: [Postfixbuch-users] [OT] Courier Maildir In-Reply-To: <51C6EAF9.1030404@debianfan.de> References: <51C6D758.1070408@debianfan.de> <51C6DBCA.10806@desy.de> <51C6EAF9.1030404@debianfan.de> Message-ID: <51C6FAD2.7000400@heinlein-support.de> Am 23.06.2013 14:32, schrieb sebastian at debianfan.de: >>> Wie bringe ich Courier-Imap dazu, die als gelöscht markierten Dateien >>> auch wirklich zu löschen? >> >> Thunderbird bietet im Kontextmenü des "Trash"-Ordners ein "Empty Trash", >> ändert das was? >> > > geht - danke :-) Im IMAP-Protokoll besteht das Löschen einer e-Mail aus zwei Schritten: a) Die Mail wird als \Deleted markiert b) Irgendwann wird ein "Expunge" auf den IMAP-Folder gemacht, wo alle \Deleted-Mails dann gelöscht werden. Sprich: Das ist immer (Einstellungs-) Sache des Mailclients wann/wo/wie die Mails gelöscht werden. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixmail at dncom.de Sun Jun 23 19:52:13 2013 From: postfixmail at dncom.de (Felipe) Date: Sun, 23 Jun 2013 17:52:13 +0000 Subject: [Postfixbuch-users] amavisd In-Reply-To: <51C4455B.4070800@fuerstenberg.ws> References: <51C19B7E.6080207@fuerstenberg.ws> <51C4455B.4070800@fuerstenberg.ws> Message-ID: Du hatest recht es gib ein Problem in der Syntax meiner Regeln, bei header __name /email\@domain\.de/ Ich habe den Backslash vor dem Aroba-Zeichen @ entfernt. Manche Regeln gehen trotzdem nicht aber das ist vermuttlich einfach so. Das Ablehnen geht auch wunderbar. Ich habe nun in die users Tabelle alle Emailadressen eingefügt die sich täglich aktuallisiert von einer anderen Tabelle an der sich Postfix bedient. Nun noch ein winziges Problemchen. Ich bekomme immer hohe Wertungen bei Newslettern in spanischer Sprache, kleine Kostprobe im Anhang. Vielen Dank im vorraus. Felipe -----Mensaje original----- De: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] En nombre de Kai Fürstenberg Enviado el: viernes, 21 de junio de 2013 14:23 Para: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Asunto: Re: [Postfixbuch-users] amavisd Hi Felipe, Am 19.06.2013 19:04, schrieb Felipe: > Bisher lösche ich alle Emails die einen score ab 12.0 bekommen durch header_checks ich glaube es gibt aber eine Möglichkeit eines reject. > Das kann aber nur funktionieren wenn postfix die Annahme an den einliefernden Server nicht bestätigt bis amavis die Spamprüfung abgeschlossen hat. Richtig. Deshalb wird ja auch empfohlen, Amavis als SMTPD-Proxy einzubinden. Da geht das. Einfach löschen ist niemals gut: Entweder ablehnen, oder zustellen. > Ausserdem werden meine Benutzerdefinierten Regeln in Dateien unter /etc/mail/spamassassin nicht benutzt. Du musst Amavis neu starten, wenn du Änderungen vornimmst. Eventuell sind auch die Regeln nicht korrekt eingetragen. > Ich möchte gerne alle Email mit einem score zwischen 6.2 und 12.0 an eine andere Emailaddresse umleiten und was drüber ist ablehenen. Ablehnen geht nur als SMTPD-Proxy. Dann setzt du in der amavisd.conf: $final_spam_destiny=D_REJECT Umleiten kannst du über amavis nicht. Du kannst aber die Mails mit REDIRECT über die Header Checks umleiten. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : Tenemos 8 empleos nuevos de dependienta en España.msg Dateityp : application/octet-stream Dateigröße : 47616 bytes Beschreibung: Tenemos 8 empleos nuevos de dependienta en España.msg URL : From kai_postfix at fuerstenberg.ws Mon Jun 24 10:00:42 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 24 Jun 2013 10:00:42 +0200 Subject: [Postfixbuch-users] amavisd In-Reply-To: References: <51C19B7E.6080207@fuerstenberg.ws> <51C4455B.4070800@fuerstenberg.ws> Message-ID: <51C7FCAA.3060805@fuerstenberg.ws> Hallo Felipe, bitte gewöhn die das TOFU ab. Am 23.06.2013 19:52, schrieb Felipe: > Nun noch ein winziges Problemchen. > > Ich bekomme immer hohe Wertungen bei Newslettern in spanischer Sprache, kleine Kostprobe im Anhang. Mit dem Anhang kann ich nichts anfangen. Es verwendet nicht jeder ein M$-Produkt um Emails zu bearbeiten. Und ich habe nicht vor, irgendein Programm extra dafür zu installieren. Für mich ist das nur Binärschrott. Du könntest aber versuchen herauszufinden, welche Regeln hier die Punkte ausmachen, und diese händisch in der Spamassassin-Konfig anpassen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From postfixmail at dncom.de Mon Jun 24 10:43:43 2013 From: postfixmail at dncom.de (Felipe) Date: Mon, 24 Jun 2013 08:43:43 +0000 Subject: [Postfixbuch-users] amavisd In-Reply-To: <51C7FCAA.3060805@fuerstenberg.ws> References: <51C19B7E.6080207@fuerstenberg.ws> <51C4455B.4070800@fuerstenberg.ws> <51C7FCAA.3060805@fuerstenberg.ws> Message-ID: Ich war gerade dabei die Ursachen der Punkte zu analisieren. Manchmal denke ich komme nicht mehr weiter und dann plötzlich habe ein ein paar Einfälle. Ich warte jetzt mal ab wie es läuft und melde mich dann wenn ich wieder Fragen habe. Vielen Dank erstmal Saludos Felipe -----Mensaje original----- De: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] En nombre de Kai Fürstenberg Enviado el: lunes, 24 de junio de 2013 10:02 Para: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Asunto: Re: [Postfixbuch-users] amavisd Hallo Felipe, bitte gewöhn die das TOFU ab. Am 23.06.2013 19:52, schrieb Felipe: > Nun noch ein winziges Problemchen. > > Ich bekomme immer hohe Wertungen bei Newslettern in spanischer Sprache, kleine Kostprobe im Anhang. Mit dem Anhang kann ich nichts anfangen. Es verwendet nicht jeder ein M$-Produkt um Emails zu bearbeiten. Und ich habe nicht vor, irgendein Programm extra dafür zu installieren. Für mich ist das nur Binärschrott. Du könntest aber versuchen herauszufinden, welche Regeln hier die Punkte ausmachen, und diese händisch in der Spamassassin-Konfig anpassen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From gjn at gjn.priv.at Tue Jun 25 13:41:45 2013 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 25 Jun 2013 13:41:45 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? Message-ID: <4974184.CHZEqPHQKM@techz.gjn.prv> Hallo Liste, Habt Ihr so was schon erlebt oder kennt Ihr das Problem. Seit gestern war ich wieder mal SpamVerteiler genau nach diesem Log wurde mein Postfix missbraucht. Ein Neustart und löschen (/defer) hat es wieder normalisiert. Habe es aber erst Heute bemerkt :(. Einen USER anonymous gibt es nicht Jun 24 15:59:34 smtp postfix/qmgr[3640]: DD23D340CA: removed Jun 24 16:00:41 smtp postfix/smtpd[1526]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1594]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1596]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1598]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1599]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1601]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1600]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1597]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1602]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:41 smtp postfix/smtpd[1603]: connect from 87-252-5-215.oxyd.net[87.252.5.215] Jun 24 16:00:43 smtp postfix/smtpd[1526]: 7B5F2340C7: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1596]: 81B91340CA: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1598]: 86014340CB: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1603]: 89332340CC: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1594]: 8D319340CD: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1602]: 9038D340CE: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1600]: 941FF340CF: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1597]: 97FB4340D0: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1599]: 9CB12340D1: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:43 smtp postfix/smtpd[1601]: A24C4340D2: client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, sasl_username=anonymous Jun 24 16:00:45 smtp postfix/cleanup[1610]: 89332340CC: message- id=<2klmpwe0w2MHgkkv2geb5wuWM4pUbtBxBDQUMfaTkOdo at yahoo.com> Was kann man da noch dagegen machen. -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer From postfix at jpkessler.info Tue Jun 25 13:53:59 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Tue, 25 Jun 2013 13:53:59 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? In-Reply-To: <4974184.CHZEqPHQKM@techz.gjn.prv> References: <4974184.CHZEqPHQKM@techz.gjn.prv> Message-ID: <51C984D7.2090909@jpkessler.info> Am 25.06.2013 13:41, schrieb Günther J. Niederwimmer: > Hallo Liste, > > Habt Ihr so was schon erlebt oder kennt Ihr das Problem. > > Seit gestern war ich wieder mal SpamVerteiler genau nach diesem Log wurde mein > Postfix missbraucht. Ein Neustart und löschen (/defer) hat es wieder > normalisiert. Habe es aber erst Heute bemerkt :(. > > Einen USER anonymous gibt es nicht > > Jun 24 16:00:41 smtp postfix/smtpd[1597]: connect from > 87-252-5-215.oxyd.net[87.252.5.215] > Jun 24 16:00:41 smtp postfix/smtpd[1602]: connect from > 87-252-5-215.oxyd.net[87.252.5.215] > Jun 24 16:00:41 smtp postfix/smtpd[1603]: connect from > 87-252-5-215.oxyd.net[87.252.5.215] > Jun 24 16:00:43 smtp postfix/smtpd[1526]: 7B5F2340C7: > client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, > sasl_username=anonymous > Jun 24 16:00:43 smtp postfix/smtpd[1596]: 81B91340CA: > client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, > sasl_username=anonymous > Jun 24 16:00:43 smtp postfix/smtpd[1598]: 86014340CB: > client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, > sasl_username=anonymous Hast Du smtpd_sasl_security_options = noanonymous gesetzt? Referenz: http://www.postfix.org/SASL_README.html#smtpd_sasl_security_options From gjn at gjn.priv.at Tue Jun 25 14:30:53 2013 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 25 Jun 2013 14:30:53 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? In-Reply-To: <51C984D7.2090909@jpkessler.info> References: <4974184.CHZEqPHQKM@techz.gjn.prv> <51C984D7.2090909@jpkessler.info> Message-ID: <2418368.HoOKN8Atqv@techz.gjn.prv> Am Dienstag, 25. Juni 2013, 13:53:59 schrieb Jan P. Kessler: > Am 25.06.2013 13:41, schrieb Günther J. Niederwimmer: > > Hallo Liste, > > > > Habt Ihr so was schon erlebt oder kennt Ihr das Problem. > > > > Seit gestern war ich wieder mal SpamVerteiler genau nach diesem Log wurde > > mein Postfix missbraucht. Ein Neustart und löschen (/defer) hat es wieder > > normalisiert. Habe es aber erst Heute bemerkt :(. > > > > Einen USER anonymous gibt es nicht > > > > Jun 24 16:00:41 smtp postfix/smtpd[1597]: connect from > > 87-252-5-215.oxyd.net[87.252.5.215] > > Jun 24 16:00:41 smtp postfix/smtpd[1602]: connect from > > 87-252-5-215.oxyd.net[87.252.5.215] > > Jun 24 16:00:41 smtp postfix/smtpd[1603]: connect from > > 87-252-5-215.oxyd.net[87.252.5.215] > > Jun 24 16:00:43 smtp postfix/smtpd[1526]: 7B5F2340C7: > > client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, > > sasl_username=anonymous > > Jun 24 16:00:43 smtp postfix/smtpd[1596]: 81B91340CA: > > client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, > > sasl_username=anonymous > > Jun 24 16:00:43 smtp postfix/smtpd[1598]: 86014340CB: > > client=87-252-5-215.oxyd.net[87.252.5.215], sasl_method=LOGIN, > > sasl_username=anonymous > > Hast Du > > smtpd_sasl_security_options = noanonymous > > gesetzt? Danke, das war wirklich verschwunden (?), in einer Sicherungsdatei vor 2 Tagen war es noch vorhanden Etwas verwirrt, denn ich habe seit einiger Zeit nichts geändert.... > Referenz: > http://www.postfix.org/SASL_README.html#smtpd_sasl_security_options -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer From max at freecards.de Tue Jun 25 15:32:22 2013 From: max at freecards.de (Markus Heinze) Date: Tue, 25 Jun 2013 15:32:22 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql Message-ID: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> Moin moin, ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur versenden über Postfix nicht. --> postfix/smtpd[28494]: SQL engine 'mysql' not supported postfix/smtpd[28494]: auxpropfunc error no mechanism available <-- gibt es schon eine Lösung dafür ? mfg M.Heinze From postfixbuch at cboltz.de Tue Jun 25 21:47:12 2013 From: postfixbuch at cboltz.de (Christian Boltz) Date: Tue, 25 Jun 2013 21:47:12 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> Message-ID: <2881925.Abxpon3U2V@tux.boltz.de.vu> Hallo Markus, hallo Leute, Am Dienstag, 25. Juni 2013 schrieb Markus Heinze: > ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe > mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur > versenden über Postfix nicht. > > --> > postfix/smtpd[28494]: SQL engine 'mysql' not supported > postfix/smtpd[28494]: auxpropfunc error no mechanism available > <-- > > gibt es schon eine Lösung dafür ? postfix-mysql ist installiert? Davon abgesehen hat SMTP Auth via cyrus-sasl und MySQL unter openSUSE 12.2 mit meiner gewohnten Config nicht funktioniert. Ich habe das allerdings nicht näher untersucht, sondern als Anlass genommen, endlich mal Dovecot zu installieren ;-) Unter 12.3 habe ich cyrus-sasl dann gar nicht mehr getestet - ich habe ja jetzt eine passende Dovecot-Config ;-) Gruß Christian Boltz -- > Und wo legst Du das Backup ab, wenn die einzige Partition > read-only gemountet ist? *SCNR* Am besten auf /dev/null - das geht am schnellsten :-) [> Christian Boltz und Rainer Kaluscha in suse-linux] From ad+lists at uni-x.org Tue Jun 25 21:39:53 2013 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Tue, 25 Jun 2013 21:39:53 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> Message-ID: <51C9F209.80501@uni-x.org> Am 25.06.2013 15:32, schrieb Markus Heinze: > Moin moin, > > ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe > mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur > versenden über Postfix nicht. > > --> > postfix/smtpd[28494]: SQL engine 'mysql' not supported > postfix/smtpd[28494]: auxpropfunc error no mechanism available > <-- > > gibt es schon eine Lösung dafür ? Ich würde mal mit "zypper install cyrus-sasl-sqlauxprop" beginnen, sofern Du cyrus-sasl mit auxprop gegen eine SQL Datenbank wie MySQL betreiben willst. Ansonsten ist die Liste der cyrus-sasl-* Pakete lang. > mfg > M.Heinze Alexander From klaus at tachtler.net Wed Jun 26 13:48:07 2013 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 26 Jun 2013 13:48:07 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? In-Reply-To: <2418368.HoOKN8Atqv@techz.gjn.prv> References: <4974184.CHZEqPHQKM@techz.gjn.prv> <51C984D7.2090909@jpkessler.info> <2418368.HoOKN8Atqv@techz.gjn.prv> Message-ID: <20130626134807.Horde.2B0nApxrSS4Eufjmlh-zEA3@buero.tachtler.net> Hallo Zusammen, Wenn ich # postconf -d | grep smtpd_sasl_security_options smtpd_sasl_security_options = noanonymous smtpd_sasl_tls_security_options = $smtpd_sasl_security_options mache, ist das standardmäßig gesetzt... Ist das bei Euch anders? >> Hast Du >> >> smtpd_sasl_security_options = noanonymous >> >> gesetzt? > > Danke, > > das war wirklich verschwunden (?), in einer Sicherungsdatei vor 2 > Tagen war es > noch vorhanden > > Etwas verwirrt, denn ich habe seit einiger Zeit nichts geändert.... > >> Referenz: >> http://www.postfix.org/SASL_README.html#smtpd_sasl_security_options Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From pascal.weisshaupt at metagmbh.de Wed Jun 26 15:05:38 2013 From: pascal.weisshaupt at metagmbh.de (=?iso-8859-1?Q?Pascal_Wei=DFhaupt?=) Date: Wed, 26 Jun 2013 15:05:38 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Einbruch_oder_gekapert_=3F?= In-Reply-To: <20130626134807.Horde.2B0nApxrSS4Eufjmlh-zEA3@buero.tachtler.net> References: <4974184.CHZEqPHQKM@techz.gjn.prv> Message-ID: Bei mir genau so: # etc/postfix# postconf -d | grep smtpd_sasl_security_ smtpd_sasl_security_options = noanonymous smtpd_sasl_tls_security_options = $smtpd_sasl_security_options > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch- > users-bounces at listen.jpberlin.de] Im Auftrag von Klaus Tachtler > Gesendet: Mittwoch, 26. Juni 2013 13:48 > An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Betreff: Re: [Postfixbuch-users] Einbruch oder gekapert ? > > Hallo Zusammen, > > Wenn ich > > # postconf -d | grep smtpd_sasl_security_options > smtpd_sasl_security_options = noanonymous > smtpd_sasl_tls_security_options = $smtpd_sasl_security_options > > mache, ist das standardmäßig gesetzt... > > Ist das bei Euch anders? > > >> Hast Du > >> > >> smtpd_sasl_security_options = noanonymous > >> > >> gesetzt? > > > > Danke, > > > > das war wirklich verschwunden (?), in einer Sicherungsdatei vor 2 > > Tagen war es noch vorhanden > > > > Etwas verwirrt, denn ich habe seit einiger Zeit nichts geändert.... > > > >> Referenz: > >> > http://www.postfix.org/SASL_README.html#smtpd_sasl_security_options > > Grüße > Klaus. > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux > Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Diese E-Mail ist vertraulich. Wenn Sie nicht der rechtmäßige Empfänger sind, dürfen Sie den Inhalt weder kopieren, verbreiten noch benutzen. Sollten Sie diese E-Mail versehentlich erhalten haben, senden Sie sie bitte an uns zurück und löschen sie anschließend. This e-mail is confidential. If you are not the intended recipient, you must not copy, disclose or use its contents. If you have received it in error, please inform us immediately by return e-mail and delete the document. Meta Motoren- und Energie-Technik GmbH Kaiserstraße 100, D-52134 Herzogenrath, T: +49 (0)2407-9554-0 F: +49 (0)2407-9554-19 Handelsregister Aachen HRB 5174, Geschäftsleitung: Dr.-Ing. Peter Kreuter, Dr.-Ing. Joachim Reinicke From Ralf.Hildebrandt at charite.de Wed Jun 26 15:35:59 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 26 Jun 2013 15:35:59 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? In-Reply-To: <20130626134807.Horde.2B0nApxrSS4Eufjmlh-zEA3@buero.tachtler.net> References: <4974184.CHZEqPHQKM@techz.gjn.prv> <51C984D7.2090909@jpkessler.info> <2418368.HoOKN8Atqv@techz.gjn.prv> <20130626134807.Horde.2B0nApxrSS4Eufjmlh-zEA3@buero.tachtler.net> Message-ID: <20130626133559.GQ14570@charite.de> * Klaus Tachtler : > Hallo Zusammen, > > Wenn ich > > # postconf -d | grep smtpd_sasl_security_options > smtpd_sasl_security_options = noanonymous > smtpd_sasl_tls_security_options = $smtpd_sasl_security_options > > mache, ist das standardmäßig gesetzt... > > Ist das bei Euch anders? Natürlich nicht. Aber solltest Du nicht deine aktuelle Konfig prüfen statt der korrekten standardkonfig? postconf grep smtpd_sasl_security_options -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From klaus at tachtler.net Wed Jun 26 15:56:16 2013 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 26 Jun 2013 15:56:16 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? In-Reply-To: <20130626133559.GQ14570@charite.de> References: <4974184.CHZEqPHQKM@techz.gjn.prv> <51C984D7.2090909@jpkessler.info> <2418368.HoOKN8Atqv@techz.gjn.prv> <20130626134807.Horde.2B0nApxrSS4Eufjmlh-zEA3@buero.tachtler.net> <20130626133559.GQ14570@charite.de> Message-ID: <20130626155616.Horde.ZRg-93cl4eklGodbygmsAA5@buero.tachtler.net> Hallo, nun, ich habe eben mit postconf -n | grep smtpd_sasl_security_options nichts gefunden, also habe ich mal den Standard angesehen. Mich hat etwas verwundert, das seine Konfiguration "smtpd_sasl_security_options" beinhaltet hat und jetzt nicht mehr - ergo, wenn er nicht "smtpd_sasl_security_options" konfiguriert hat, sollte er den Standard haben und "anonymouse" sollte nicht funktionieren. > Natürlich nicht. Aber solltest Du nicht deine aktuelle Konfig prüfen > statt der korrekten standardkonfig? > > postconf grep smtpd_sasl_security_options > > -- > Ralf Hildebrandt Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From Ralf.Hildebrandt at charite.de Wed Jun 26 15:58:37 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 26 Jun 2013 15:58:37 +0200 Subject: [Postfixbuch-users] Einbruch oder gekapert ? In-Reply-To: <20130626155616.Horde.ZRg-93cl4eklGodbygmsAA5@buero.tachtler.net> References: <4974184.CHZEqPHQKM@techz.gjn.prv> <51C984D7.2090909@jpkessler.info> <2418368.HoOKN8Atqv@techz.gjn.prv> <20130626134807.Horde.2B0nApxrSS4Eufjmlh-zEA3@buero.tachtler.net> <20130626133559.GQ14570@charite.de> <20130626155616.Horde.ZRg-93cl4eklGodbygmsAA5@buero.tachtler.net> Message-ID: <20130626135837.GR14570@charite.de> * Klaus Tachtler : > Hallo, > > nun, ich habe eben mit > > postconf -n | grep smtpd_sasl_security_options > > nichts gefunden, also habe ich mal den Standard angesehen. Ja ok. "-n" zeigt nur an was man geändert hat, -d nur den Standard. Also in einem von beiden sollte es dann logischerweise drinsein. > Mich hat etwas verwundert, das seine Konfiguration > "smtpd_sasl_security_options" > beinhaltet hat und jetzt nicht mehr - ergo, wenn er nicht > "smtpd_sasl_security_options" > konfiguriert hat, sollte er den Standard haben und "anonymouse" > sollte nicht funktionieren. > > >Natürlich nicht. Aber solltest Du nicht deine aktuelle Konfig prüfen > >statt der korrekten standardkonfig? > > > >postconf grep smtpd_sasl_security_options > > > >-- > >Ralf Hildebrandt > > Grüße > Klaus. > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From max at freecards.de Wed Jun 26 17:58:18 2013 From: max at freecards.de (Markus Heinze) Date: Wed, 26 Jun 2013 17:58:18 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <51C9F209.80501@uni-x.org> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> <51C9F209.80501@uni-x.org> Message-ID: <51CB0F9A.7010806@freecards.de> Hallo, Am 25.06.2013 21:39, schrieb Alexander Dalloz: > Am 25.06.2013 15:32, schrieb Markus Heinze: >> Moin moin, >> >> ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe >> mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur >> versenden über Postfix nicht. >> >> --> >> postfix/smtpd[28494]: SQL engine 'mysql' not supported >> postfix/smtpd[28494]: auxpropfunc error no mechanism available >> <-- >> >> gibt es schon eine Lösung dafür ? > Ich würde mal mit "zypper install cyrus-sasl-sqlauxprop" beginnen, > sofern Du cyrus-sasl mit auxprop gegen eine SQL Datenbank wie MySQL > betreiben willst. Ansonsten ist die Liste der cyrus-sasl-* Pakete lang. Alle notwendigen Pakete sind installiert. Ich habe mir jetzt mal die SRC-RPM geladen und ein rpmbuild mit dem specfile probiert dort meckert er schon an mysql rum. Configure findet die Clientlibs nicht. Als nächsten Schritt hab ich mir die Sourcen der 2.1.26 aus dem Web geladen dort gibt es beim configure das Prob nicht. Ich werd mir mal ein passendes spec basteln und schaun was passiert. Danke für die Antwort >> mfg >> M.Heinze > Alexander > lg M.Heinze From max at freecards.de Wed Jun 26 18:02:05 2013 From: max at freecards.de (Markus Heinze) Date: Wed, 26 Jun 2013 18:02:05 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <2881925.Abxpon3U2V@tux.boltz.de.vu> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> <2881925.Abxpon3U2V@tux.boltz.de.vu> Message-ID: <51CB107D.2090908@freecards.de> Hallo Christian, Am 25.06.2013 21:47, schrieb Christian Boltz: > Hallo Markus, hallo Leute, > > Am Dienstag, 25. Juni 2013 schrieb Markus Heinze: >> ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe >> mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur >> versenden über Postfix nicht. >> >> --> >> postfix/smtpd[28494]: SQL engine 'mysql' not supported >> postfix/smtpd[28494]: auxpropfunc error no mechanism available >> <-- >> >> gibt es schon eine Lösung dafür ? > postfix-mysql ist installiert? > > Davon abgesehen hat SMTP Auth via cyrus-sasl und MySQL unter openSUSE > 12.2 mit meiner gewohnten Config nicht funktioniert. Ich habe das > allerdings nicht näher untersucht, sondern als Anlass genommen, endlich > mal Dovecot zu installieren ;-) > > Unter 12.3 habe ich cyrus-sasl dann gar nicht mehr getestet - ich habe > ja jetzt eine passende Dovecot-Config ;-) ja ist installiert, sonst würden die virtuellen Domainen & User nicht gehen. Mailempfang amavis & Co funktionieren wie gewollt nur SMTP AUTH geht halt nicht scheint wohl an der cyrus-sasl Version zu liegen ich probier es nun mal mit der aktuellen aus dem Web und wenn dies nicht hinhaut werd ich mich wohl auch mit Dovecot beschäftigen, vllt. kannst Du mir dann etwas Hilfe leisten ;) > > Gruß > > Christian Boltz lg M.Heinze From peter at datentraeger.li Thu Jun 27 10:06:53 2013 From: peter at datentraeger.li (Peter Beck) Date: Thu, 27 Jun 2013 10:06:53 +0200 Subject: [Postfixbuch-users] Adress-Manipulation Message-ID: <51CBF29D.6060705@datentraeger.li> Hallo Leute, ich habe folgendes Anliegen: Ich moechte, dass interne Adressen von *@*.internal Mails senden duerfen. Diese Adressen sollen dann auf *@domain.com umgeschrieben werden. Soweit, so gut, das funktioniert auch mittels smtpd_sender_restrictions = check_sender_access pcre:/etc/postfix/access-sender .... und folgendem Inhalt: /(.*)@.*\.internal$/ OK Auch das Umschreiben klappt ohne Probleme mit smtp_generic_maps = pcre:/etc/postfix/generic und diesem Regex: (.*)@.*\.internal$/ $1 at domain.com Nun aber zu meiner Frage: Hier mache ich doch dies auch nach aussen verfuegbar. Wenn also jemand weiss, dass mein Server *@*.internal mailen laesst, kann der ohne Probleme ueber mein System Mails senden. Das will ich natuerlich nicht. Wie kann ich das ganze einschraenken, dass nur intern diese Regel angewendet wird ? Vielen Dank und Gruss Peter From Ralf.Hildebrandt at charite.de Thu Jun 27 10:18:12 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Jun 2013 10:18:12 +0200 Subject: [Postfixbuch-users] Adress-Manipulation In-Reply-To: <51CBF29D.6060705@datentraeger.li> References: <51CBF29D.6060705@datentraeger.li> Message-ID: <20130627081812.GG11463@charite.de> * Peter Beck : > Hallo Leute, > > ich habe folgendes Anliegen: > > Ich moechte, dass interne Adressen von *@*.internal Mails senden duerfen. > Diese Adressen sollen dann auf *@domain.com umgeschrieben werden. > > Soweit, so gut, das funktioniert auch mittels smtpd_sender_restrictions = > check_sender_access pcre:/etc/postfix/access-sender > .... > > und folgendem Inhalt: /(.*)@.*\.internal$/ OK Warum so kompliziert? permit_mynetworks! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From kai_postfix at fuerstenberg.ws Thu Jun 27 11:49:46 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 27 Jun 2013 11:49:46 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> Message-ID: <51CC0ABA.80904@fuerstenberg.ws> Hi Markus, Am 25.06.2013 15:32, schrieb Markus Heinze: > postfix/smtpd[28494]: SQL engine 'mysql' not supported > postfix/smtpd[28494]: auxpropfunc error no mechanism available zeig mal bitte deine smtpd.conf. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Thu Jun 27 11:58:50 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 27 Jun 2013 11:58:50 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> Message-ID: <51CC0CDA.3000308@heinlein-support.de> Am 25.06.2013 15:32, schrieb Markus Heinze: > Moin moin, > > ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe > mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur > versenden über Postfix nicht. > > --> > postfix/smtpd[28494]: SQL engine 'mysql' not supported > postfix/smtpd[28494]: auxpropfunc error no mechanism available > <-- Ist das vielleicht das ur-alte Problem, daß die Pluzgins bei 64-Bit-Systemen nicht richtig / woanders / gar nicht installiert wurden? Also: a) Ist das eine 64er SUSI? b) Wo liegen die Cyrus-Plugins? c) Gibt's dazu einen parallelen /usr/lib64/...-Pfad der vielleicht leer ist? Eigentlich stellt sich für mich ja eher Frage x) Cyrus-SASL ist halt immer typisch für so ein Gedöhns. Warum nicht Dovecot und die Nummer wäre up and running. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From max at freecards.de Thu Jun 27 12:00:39 2013 From: max at freecards.de (Markus Heinze) Date: Thu, 27 Jun 2013 12:00:39 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <51CC0ABA.80904@fuerstenberg.ws> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> <51CC0ABA.80904@fuerstenberg.ws> Message-ID: <4ed3ecd3bb9a6c0e003b3239357c8824@freecards.de> Am 2013-06-27 11:49, schrieb Kai Fürstenberg: > Hi Markus, > > Am 25.06.2013 15:32, schrieb Markus Heinze: >> postfix/smtpd[28494]: SQL engine 'mysql' not supported >> postfix/smtpd[28494]: auxpropfunc error no mechanism available > > zeig mal bitte deine smtpd.conf. > ok, --> pwcheck_method: auxprop auxprop_plugin: sql mech_list: plain login cram-md5 digest-md5 sql_engine: mysql sql_hostnames: 127.0.0.1 sql_user: postfix sql_passwd: passfuerpostfix sql_database: dbmail sql_select: select password from mail_users where username='%u@%r' <-- damit hat es seit der 11.1 funktioniert, naja das muss nun nix heissen aber vermutlich liegts daran nicht. nunja kurzer zwischenstand, ich haben die 2.1.25 und 2.1.26 kompiliert bekommen, die libsql.so ist nun auch mit den mysql funktionen bestückt, der Fehler taucht in den Logfiles auch nicht mehr auf allerdings funktioniert auth genauso wenig, bin im mMoment etwas ratlos was da wieder dran geschraubt wurde. > -- > Kai Fürstenberg > > PM an: kai at fuerstenberg punkt ws ich schick es mal an die Liste denn ich glaub es gibt mehrere mit diesem Problem lg M.Heinze From max at freecards.de Thu Jun 27 12:15:10 2013 From: max at freecards.de (Markus Heinze) Date: Thu, 27 Jun 2013 12:15:10 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <51CC0CDA.3000308@heinlein-support.de> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> <51CC0CDA.3000308@heinlein-support.de> Message-ID: Hallo, Am 2013-06-27 11:58, schrieb Peer Heinlein: > Am 25.06.2013 15:32, schrieb Markus Heinze: >> Moin moin, >> >> ist jemand auch schon einmal über dieses Problem gestolpert ? Ich >> habe >> mir grad 'ne neuen SuSi installiert und alles funktioniert soweit >> nur >> versenden über Postfix nicht. >> >> --> >> postfix/smtpd[28494]: SQL engine 'mysql' not supported >> postfix/smtpd[28494]: auxpropfunc error no mechanism available >> <-- > > Ist das vielleicht das ur-alte Problem, daß die Pluzgins bei > 64-Bit-Systemen nicht richtig / woanders / gar nicht installiert > wurden? naja die Plugins sind da aber die libsql.so ist im Original sehr klein. Lief auf der 11.1 x86_64 klaglos. > > Also: > > a) Ist das eine 64er SUSI? > b) Wo liegen die Cyrus-Plugins? > c) Gibt's dazu einen parallelen /usr/lib64/...-Pfad der vielleicht > leer ist? zu a) ja es ist eine 12.3 x86_64 zu b) /usr/lib64/sasl2/libsql.so /usr/lib64/sasl2/libsql.so.2 /usr/lib64/sasl2/libsql.so.2.0.25 zu c) nein er ist nicht leer, s.o > > > > Eigentlich stellt sich für mich ja eher Frage > > x) Cyrus-SASL ist halt immer typisch für so ein Gedöhns. Warum nicht > Dovecot und die Nummer wäre up and running. naja wie man sicherlich aus dem Eingangssatz errät habe ich einfach die 11.1 durch 12.3 ersetzt aufgrund des Alters eben etc.pp. Da bis zur 12.1 (auf einem anderen Server, 12.2 ist nicht im Einsatz) diese Konfiguration auch problemlos lief bestand einfach nicht die Notwendigkeit zu wechseln. Offensichtlich ist der Zeitpunkt nun gekommen, allerdings würde mich das konkrete Problem schon interessieren. > > Peer > > > lg M.Heinze From mwibbing at bfs.de Thu Jun 27 13:31:38 2013 From: mwibbing at bfs.de (Martin Wibbing) Date: Thu, 27 Jun 2013 13:31:38 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen Message-ID: <51CC229A.2090008@bfs.de> Hallo, wir haben in der DMZ ein Postfix als Mailrelay, der für das Versenden von Mail zuständig ist. Wenn Benutzer eine Mail an eine Unbekannte Adresse versendet bleibt die Mail in der Mailqueue des Mail-Server mit der Meldung: (host mx01-sz.bfs.de[10.1.1.1] said: 450 4.1.2 : Recipient address rejected: Domain not found (in reply to RCPT TO command)) hängen. Der Benutzer bekommt dann erst nach 5 Tagen eine Nachricht das die Zustellung nicht geklappt hat. Kann man das so einstellen das der Benutzer sofort eine Nachricht bekommt ? Mit freundlichen Grüßen Martin Wibbing From werner at aloah-from-hell.de Thu Jun 27 13:47:02 2013 From: werner at aloah-from-hell.de (Werner Detter) Date: Thu, 27 Jun 2013 13:47:02 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <51CC229A.2090008@bfs.de> References: <51CC229A.2090008@bfs.de> Message-ID: <51CC2636.4050503@aloah-from-hell.de> Hi, http://www.postfix.org/postconf.5.html#bounce_queue_lifetime Am 27.06.13 13:31, schrieb Martin Wibbing: > Hallo, > > wir haben in der DMZ ein Postfix als Mailrelay, der für das Versenden > von Mail zuständig ist. Wenn Benutzer eine Mail an eine Unbekannte > Adresse versendet bleibt die Mail in der Mailqueue des Mail-Server mit > der Meldung: > > > (host mx01-sz.bfs.de[10.1.1.1] said: 450 4.1.2 : > Recipient address rejected: Domain not found (in reply to RCPT TO command)) > > hängen. > > Der Benutzer bekommt dann erst nach 5 Tagen eine Nachricht das die > Zustellung nicht geklappt hat. Kann man das so einstellen das der > Benutzer sofort eine Nachricht bekommt ? > > Mit freundlichen Grüßen > > Martin Wibbing From Ralf.Hildebrandt at charite.de Thu Jun 27 14:17:34 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Jun 2013 14:17:34 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <51CC229A.2090008@bfs.de> References: <51CC229A.2090008@bfs.de> Message-ID: <20130627121734.GM11463@charite.de> * Martin Wibbing : > Hallo, > > wir haben in der DMZ ein Postfix als Mailrelay, der für das Versenden > von Mail zuständig ist. Wenn Benutzer eine Mail an eine Unbekannte > Adresse versendet bleibt die Mail in der Mailqueue des Mail-Server > mit der Meldung: > > > (host mx01-sz.bfs.de[10.1.1.1] said: 450 4.1.2 > : Recipient address rejected: Domain not found > (in reply to RCPT TO command)) > > hängen. > > Der Benutzer bekommt dann erst nach 5 Tagen eine Nachricht das die > Zustellung nicht geklappt hat. Kann man das so einstellen das der > Benutzer sofort eine Nachricht bekommt ? Nur via transport_maps mit: blablubb.bfs.de error:5.1.2 Tippfehler nach dem @! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From technoworx at gmx.de Thu Jun 27 14:42:55 2013 From: technoworx at gmx.de (Alexander Stoll) Date: Thu, 27 Jun 2013 14:42:55 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <20130627121734.GM11463@charite.de> References: <51CC229A.2090008@bfs.de> <20130627121734.GM11463@charite.de> Message-ID: <51CC334F.2070504@gmx.de> Am 27.06.2013 14:17, schrieb Ralf Hildebrandt: > * Martin Wibbing : >> Hallo, >> >> wir haben in der DMZ ein Postfix als Mailrelay, der für das Versenden >> von Mail zuständig ist. Wenn Benutzer eine Mail an eine Unbekannte >> Adresse versendet bleibt die Mail in der Mailqueue des Mail-Server >> mit der Meldung: >> >> >> (host mx01-sz.bfs.de[10.1.1.1] said: 450 4.1.2 >> : Recipient address rejected: Domain not found >> (in reply to RCPT TO command)) >> >> hängen. >> >> Der Benutzer bekommt dann erst nach 5 Tagen eine Nachricht das die >> Zustellung nicht geklappt hat. Kann man das so einstellen das der >> Benutzer sofort eine Nachricht bekommt ? > > Nur via transport_maps mit: > > blablubb.bfs.de error:5.1.2 Tippfehler nach dem @! Verstehe nicht, warum man so etwas machen möchte, in einem Produktivsystem möchte man doch NXD - erst gar nicht annehmen, d.h. man überprüft schon bei der Einlieferung, ob die Nachricht überhaupt zustellbar ist - NXD _HART_ ablehnen, nicht mit einem temporären Fehler Ich zitiere mich selbst: Postfix ist intelligent genug bei einer _ausbleibenden_ Antwort des Resolvers _nicht_ hart abzulehnen, da mangels einer autoritativen Information die Entscheidung nicht getroffen werden kann -> damit hat man schon Failsafe, was viele missverstehen. Liefert der Resolver aufgrund einer autoritativen Antwort des zuständigen NS ein NXD für die angefragte Domain zurück - das ist eine AKTIVE Antwort und kein Ausbleiben aufgrund eines Übertragungsfehlers, etc. - lehnt man ab, weil die Domain eben nicht existent ist. Das ist kein "hab ich nicht gefunden, gibts vielleicht doch" sondern ein "gibts ganz sicher nicht im DNS Baum"! Alle Versuche, im MTA _mehr_ Failsafe als eh schon implementiert ist über eine zu weiche Konfig einbauen zu wollen, sind meiner Ansicht nach an der falschen Stelle platziert und man generiert sich eben die hier beobachteten Nachteile, ohne dem Nutzer besonders dienlich sein zu können... From Ralf.Hildebrandt at charite.de Thu Jun 27 15:19:23 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Jun 2013 15:19:23 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <51CC334F.2070504@gmx.de> References: <51CC229A.2090008@bfs.de> <20130627121734.GM11463@charite.de> <51CC334F.2070504@gmx.de> Message-ID: <20130627131923.GS11463@charite.de> * Alexander Stoll : > Verstehe nicht, warum man so etwas machen möchte, in einem > Produktivsystem möchte man doch NXD > > - erst gar nicht annehmen, d.h. man überprüft schon bei der > Einlieferung, ob die Nachricht überhaupt zustellbar ist Das könnte man machen. Aber es gibt solche Dinger oft als Folge einer out-of-office-Reply (die an den From: Header geht - und der wurde beim Reinkommen NICHT geprüft). > - NXD _HART_ ablehnen, nicht mit einem temporären Fehler Das geht natürlich nicht, wenn der DNS nur einen Temporären Fehler zurückgibt. 3bgxYj30jnzBrj6 3449 Thu Jun 27 12:05:13 MAILER-DAEMON (Host or domain name not found. Name service error for name=qina.com type=MX: Host not found, try again) hua1 at qina.com > Ich zitiere mich selbst: Postfix ist intelligent genug bei einer > _ausbleibenden_ Antwort des Resolvers _nicht_ hart abzulehnen, da > mangels einer autoritativen Information die Entscheidung nicht > getroffen werden kann -> damit hat man schon Failsafe, was viele > missverstehen. Genau > Liefert der Resolver aufgrund einer autoritativen Antwort des > zuständigen NS ein NXD für die angefragte Domain zurück - das ist > eine AKTIVE Antwort und kein Ausbleiben aufgrund eines > Übertragungsfehlers, etc. - lehnt man ab, weil die Domain eben nicht > existent ist. Genau > Das ist kein "hab ich nicht gefunden, gibts vielleicht doch" sondern > ein "gibts ganz sicher nicht im DNS Baum"! > > Alle Versuche, im MTA _mehr_ Failsafe als eh schon implementiert ist > über eine zu weiche Konfig einbauen zu wollen, sind meiner Ansicht > nach an der falschen Stelle platziert und man generiert sich eben die > hier beobachteten Nachteile, ohne dem Nutzer besonders dienlich sein > zu können... > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From mailinglisten at it-blog.net Thu Jun 27 16:10:06 2013 From: mailinglisten at it-blog.net (mailinglisten at it-blog.net) Date: Thu, 27 Jun 2013 16:10:06 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Leerer_Envelope-Sender_durch_sender?= =?utf-8?q?=5Fcanonical=5Fmaps?= Message-ID: <0e764612c9c59bc2a829276fa694ba2f@it-blog.net> Hallo! Für einen speziellen Anwendungsfall muss ich bei bestimmten E-Mails den Envelope-Sender umschreiben. Aus sender at example.com soll dabei "sender at example.com"@ex2.example.com werden. Dies habe ich derzeit wie folgt gelöst: # main.cf sender_canonical_maps = regexp:/etc/postfix/exchange_sender_rewrite.regex sender_canonical_classes = envelope_sender # /etc/postfix/exchange_sender_rewrite.regex /^(.+)$/ "${1}"@ex2.example.com Das Problem ist nun aber, dass der Envelope-Sender im Ergebnis leer ist. Dies führt natürlich unweigerlich zu Problemen. Im Log finde ich auch dauernd folgende Einträge, aus denen ich aber noch nicht schlau werde: warning: 20B5AAA231: multi-valued sender_canonical_maps entry for "sender at example.com"@ex2.example.com warning: 20B5AAA231: multi-valued sender_canonical_maps entry for "" Hat jemand eine Idee, was das Problem sein könnte und was die Log-Einträge bedeuten? MfG Pascal ========================================== Interessantes aus den Themenbereichen Computer, Internet und Programmierung gibt es unter www.it-blog.net From postfix at jpkessler.info Thu Jun 27 16:27:27 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Thu, 27 Jun 2013 16:27:27 +0200 Subject: [Postfixbuch-users] Leerer Envelope-Sender durch sender_canonical_maps In-Reply-To: <0e764612c9c59bc2a829276fa694ba2f@it-blog.net> References: <0e764612c9c59bc2a829276fa694ba2f@it-blog.net> Message-ID: <51CC4BCF.40905@jpkessler.info> > Für einen speziellen Anwendungsfall muss ich bei bestimmten E-Mails > den Envelope-Sender umschreiben. Aus sender at example.com soll dabei > "sender at example.com"@ex2.example.com werden. Dies habe ich derzeit wie > folgt gelöst: > > # main.cf > sender_canonical_maps = regexp:/etc/postfix/exchange_sender_rewrite.regex > sender_canonical_classes = envelope_sender > > # /etc/postfix/exchange_sender_rewrite.regex > /^(.+)$/ "${1}"@ex2.example.com > > Das Problem ist nun aber, dass der Envelope-Sender im Ergebnis leer > ist. Dies führt natürlich unweigerlich zu Problemen. Im Log finde ich > auch dauernd folgende Einträge, aus denen ich aber noch nicht schlau > werde: > > warning: 20B5AAA231: multi-valued sender_canonical_maps entry for > "sender at example.com"@ex2.example.com > warning: 20B5AAA231: multi-valued sender_canonical_maps entry for "" > > > Hat jemand eine Idee, was das Problem sein könnte und was die > Log-Einträge bedeuten? postfix interpretiert das als zwei Mailadressen und das führt bei canonical_maps zur beschriebenen Fehlermeldung. Versuche doch mal /^(.+)$/ \"${1}\"@ex2.example.com The restrictions for special characters are that they must only be used when contained between quotation marks, and that 2 of them (the backslash \ and quotation mark " (ASCII: 92, 34)) must also be preceded by a backslash \ (e.g. "\\\""). From mwibbing at bfs.de Thu Jun 27 16:44:43 2013 From: mwibbing at bfs.de (Martin Wibbing) Date: Thu, 27 Jun 2013 16:44:43 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen Message-ID: <51CC4FDB.6000901@bfs.de> Hallo, das Verhalten soll so sein das Mail sofort abgelehnt wird wenn die Domain ungültig ist. Der innere Mail-Server hat relayhost = mx01-sz.bfs.de eingetragen. Wird dann der innere Mail-Server angefragt oder das Relay ? Mit freundlichen Grüßen Martin WIbbing From technoworx at gmx.de Thu Jun 27 16:57:37 2013 From: technoworx at gmx.de (Alexander Stoll) Date: Thu, 27 Jun 2013 16:57:37 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <20130627131923.GS11463@charite.de> References: <51CC229A.2090008@bfs.de> <20130627121734.GM11463@charite.de> <51CC334F.2070504@gmx.de> <20130627131923.GS11463@charite.de> Message-ID: <51CC52E1.3090302@gmx.de> Am 27.06.2013 15:19, schrieb Ralf Hildebrandt: > * Alexander Stoll : > >> Verstehe nicht, warum man so etwas machen möchte, in einem >> Produktivsystem möchte man doch NXD >> >> - erst gar nicht annehmen, d.h. man überprüft schon bei der >> Einlieferung, ob die Nachricht überhaupt zustellbar ist > > Das könnte man machen. Aber es gibt solche Dinger oft als Folge einer > out-of-office-Reply (die an den From: Header geht - und der wurde beim > Reinkommen NICHT geprüft). Da hast Du natürlich vollkommen recht, da der TO aber von Usern sprach, die lange auf einen Bounce warten, war für mich das Szenario in seiner Frage auf User Aktivität begrenzt... Der Vollständigkeit halber, es gibt natürlich weiterhin noch Fälle von besonders krüppligen SMTP-Clients oder sonstigen abkippenden Progrämmchen, die Speziallösungen erfordern, wo man nicht alle Checks so durchsetzen kann... -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2576 bytes Beschreibung: S/MIME Kryptografische Unterschrift URL : From Ralf.Hildebrandt at charite.de Thu Jun 27 17:05:07 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Jun 2013 17:05:07 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <51CC52E1.3090302@gmx.de> References: <51CC229A.2090008@bfs.de> <20130627121734.GM11463@charite.de> <51CC334F.2070504@gmx.de> <20130627131923.GS11463@charite.de> <51CC52E1.3090302@gmx.de> Message-ID: <20130627150507.GZ11463@charite.de> * Alexander Stoll : > Da hast Du natürlich vollkommen recht, da der TO aber von Usern > sprach, die lange auf einen Bounce warten, war für mich das Szenario > in seiner Frage auf User Aktivität begrenzt... Ja, stimmt. > Der Vollständigkeit halber, es gibt natürlich weiterhin noch Fälle > von besonders krüppligen SMTP-Clients oder sonstigen abkippenden > Progrämmchen, die Speziallösungen erfordern, wo man nicht alle Checks > so durchsetzen kann... :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Thu Jun 27 17:06:08 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Jun 2013 17:06:08 +0200 Subject: [Postfixbuch-users] Probleme mit Mailgateway beim Versenden an unbekannte Adressen In-Reply-To: <51CC4FDB.6000901@bfs.de> References: <51CC4FDB.6000901@bfs.de> Message-ID: <20130627150608.GA11463@charite.de> * Martin Wibbing : > Hallo, > > das Verhalten soll so sein das Mail sofort abgelehnt wird wenn die > Domain ungültig ist. Der innere Mail-Server hat > > relayhost = mx01-sz.bfs.de > > eingetragen. Das ist egal, dieser Eintrag ist NUR für's Mailrouting wichtig. > Wird dann der innere Mail-Server angefragt oder das Relay ? Es wird der Server angefragt, den der Client kontaktiert (also wahrscheinlich der innere Mail-Server). -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From max at freecards.de Thu Jun 27 17:43:23 2013 From: max at freecards.de (Markus Heinze) Date: Thu, 27 Jun 2013 17:43:23 +0200 Subject: [Postfixbuch-users] openSUSE 12.3 saslauthd 2.1.25 mysql In-Reply-To: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> References: <85ed52b7610f6748d7f3d6b83c0dc272@freecards.de> Message-ID: <51CC5D9B.6010000@freecards.de> Hallo Liste Am 25.06.2013 15:32, schrieb Markus Heinze: > Moin moin, > > ist jemand auch schon einmal über dieses Problem gestolpert ? Ich habe > mir grad 'ne neuen SuSi installiert und alles funktioniert soweit nur > versenden über Postfix nicht. > > --> > postfix/smtpd[28494]: SQL engine 'mysql' not supported > postfix/smtpd[28494]: auxpropfunc error no mechanism available > <-- > > gibt es schon eine Lösung dafür ? > > mfg > M.Heinze für diejenigen die es interessiert bzw. nicht auf der SuSE Liste lesen Poste ich einfach mal den gleichen Text zu diesem Thema hier hinein --> Es ist zwar noch nicht die endgültige Lösung jedoch folgendes als Ansatz für die/denjenigen der das Paket verwaltet. Nachdem ich mir die original Sourcen installiert und erfolgreich, d.h. ohne Fehler kompiliert hab, hab ich mir mal das src-rpm von 12.3 vorgenommen. Nach diversen Tests bin ich am Patch cyrus-sasl-no_rpath.patch hängen geblieben. Sobald dieser benutzt/angewandt wird, wird jegliche Form von sql Plugin ignoriert da die benötigten Devel-Sourcen nicht mehr gefunden werden können. Kurzerhand hab ich ihn im Spec auskommentiert und ein rpmbuild gemacht, wie man schon an der Größe des resultierenden Binary erkennen kann diesmal mit sql Unterstützung, schnell ein rpm - Uhv cyrus-sasl-saslauthd-2.1.25-24.1.1.x86_64.rpm cyrus-sasl-sqlauxprop-2.1.25-24.1.1.x86_64.rpm und danach ein rcsaslauthd restart rcpostfix restart und schon klappts auch wieder mit mysql, nunja letztlich bleibt die Frage wozu dieser Patch nützlich/wichtig ist zumindest blockiert er das korrekte Erzeugen der RPM. Wie gesagt vllt. könnte sich das mal jemand aus der Dev Abteilung anschauen da dieser Bug nach meinen Recherchen schon seit der 12.2 offen und als kritisch markiert ist. Generell funktioniert mein System mit dieser Lösung jedoch bleibt der Beigeschmackt eine Lücke geöffnet zu haben die so nicht sein soll. <-- Naja soweit vorerst dazu, ich bleib weiter dran an dem Thema. Parallel dazu werde ich mich allerdings mit Dovecot beschäftigen. Ist es eigentlich möglich Dovecot ausschliesslich als SASL Auth Daemon zu betreiben? mfg M.Heinze From peter at datentraeger.li Thu Jun 27 18:26:00 2013 From: peter at datentraeger.li (Peter Beck) Date: Thu, 27 Jun 2013 18:26:00 +0200 Subject: [Postfixbuch-users] Adress-Manipulation In-Reply-To: <20130627081812.GG11463@charite.de> References: <51CBF29D.6060705@datentraeger.li> <20130627081812.GG11463@charite.de> Message-ID: <51CC6798.1070106@datentraeger.li> On 06/27/2013 10:18 AM, Ralf Hildebrandt wrote: > Warum so kompliziert? permit_mynetworks! Naja, das komplizierte Gehabe kommt daher, dass reject_unknown_sender_domain vor permit_mynetworks zieht. Wuerdest Du das einfach nach mynetworks setzen ? Muss ich wohl, wenn das so funktionieren soll. Bisher hatten wir bei Kunden zudem noch einen Eintrag mit "kunde.firma.com" in access-sender eingetragen, wobei firma.com die Domaene von uns ist. Mit dieser Adresse haben wir dann Meldungen von Nagios u.dgl. an uns versendet. Hat mir aber eigentlich von Anfang an nie gefallen. Dies habe ich jetzt jedoch durch einen CNAME-Record in unserem DNS angepasst, dort ist das ganze also hinfaellig. Gruss Peter From max at grobecker-wtal.de Thu Jun 27 18:23:13 2013 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Thu, 27 Jun 2013 18:23:13 +0200 Subject: [Postfixbuch-users] Avira stellt LinuxVirenprodukte ein In-Reply-To: References: <005001ce4b33$72981d70$57c85850$@fblan.de> <51892A64.1020009@grobecker-wtal.de> Message-ID: <51CC66F1.80602@grobecker-wtal.de> Hi, Der Vollständigkeit halber, nur damit es vollständig ist: Es ist nun öffentlich und amtlich ;-) http://www.avira.com/de/support-for-business-knowledgebase-detail/kbid/1491 Viele Grüße aus dem Tal Max Grobecker Am 10.05.2013 11:21, schrieb Tim-Ole: > Moin, > > >> Wir haben die offizielle Mail von Avira auch an die geschäftliche >> Adresse bekommen, dort ist aber bloß ins Avira Partnernet verlinkt (und >> dafür braucht's einen Login). >> >> Ich vermute mal, dass die erstmal ihre Geschäftskunden oder >> Vertriebspartner anschreiben und dann in den nächsten Tagen die >> offizielle Meldung raustreten. > > so ist es! Die Partner haben die Mail als erstes bekommen. > > mfg > > > toag > From Ralf.Hildebrandt at charite.de Thu Jun 27 20:41:00 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Jun 2013 20:41:00 +0200 Subject: [Postfixbuch-users] Adress-Manipulation In-Reply-To: <51CC6798.1070106@datentraeger.li> References: <51CBF29D.6060705@datentraeger.li> <20130627081812.GG11463@charite.de> <51CC6798.1070106@datentraeger.li> Message-ID: <20130627184100.GC10402@charite.de> * Peter Beck : > On 06/27/2013 10:18 AM, Ralf Hildebrandt wrote: > >Warum so kompliziert? permit_mynetworks! > Naja, das komplizierte Gehabe kommt daher, dass > reject_unknown_sender_domain vor permit_mynetworks > zieht. Wuerdest Du das einfach nach mynetworks setzen ? > Muss ich wohl, wenn das so funktionieren soll. Oder Du baust sowas: smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/mynetworks ... und in hash:/etc/postfix/mynetworks dann sowas: 10.0.0.1 reject_unknown_sender_domain 192.168 reject_unknown_sender_domain > Bisher hatten wir bei Kunden zudem noch einen Eintrag > mit "kunde.firma.com" in access-sender eingetragen, wobei > firma.com die Domaene von uns ist. > Mit dieser Adresse haben wir dann Meldungen von Nagios u.dgl. > an uns versendet. Hat mir aber eigentlich von Anfang an nie gefallen. > Dies habe ich jetzt jedoch durch einen CNAME-Record in unserem > DNS angepasst, dort ist das ganze also hinfaellig. > > Gruss > Peter > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p at sys4.de Thu Jun 27 22:00:20 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 27 Jun 2013 22:00:20 +0200 Subject: [Postfixbuch-users] Avira stellt LinuxVirenprodukte ein In-Reply-To: <51CC66F1.80602@grobecker-wtal.de> References: <005001ce4b33$72981d70$57c85850$@fblan.de> <51892A64.1020009@grobecker-wtal.de> <51CC66F1.80602@grobecker-wtal.de> Message-ID: <20130627200019.GH2463@sys4.de> * Maximilian Grobecker : > Der Vollständigkeit halber, nur damit es vollständig ist: > Es ist nun öffentlich und amtlich ;-) > > http://www.avira.com/de/support-for-business-knowledgebase-detail/kbid/1491 Für's Protokoll: Die Avira SAVAPI, also die Core-Engine, mit der Systemintegratoren tolle Sachen anstellen können *HÜSTEL* gibt es weiterhin. Die SAVAPI und amavis sind z.B. ein tolles Gespann wenn es auch mal ein wenig performanter sein darf. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From carsten.delellis at delellis.net Fri Jun 28 07:42:09 2013 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Fri, 28 Jun 2013 07:42:09 +0200 Subject: [Postfixbuch-users] Auth mittels dovecot gegen Samba AD Message-ID: <4daf9d23799b58322c39ce91c428bc4d@delellis.net> Hallo, alle zusammen Ich habe da eine Frage bei der ich nicht so richtig weiter komme. Aktuell setze ich postfix, dovecot und openldap ein, um einen privaten Mailserver zu betreiben. Also nichts kritisches. Zur UserAuth nutze ich dovecot, der widerum gegen ein openldap Directory abfrägt, wie in so mancher Doku beschrieben. Nun möchte ich gerne auf ein Samba AD als backend umstellen, da ich auch gerne openchange und SOGo nutzen möchte. Nun suche ich eine Anleitung, wie man das tun kann. Die Abfragen in postfix für die virtual user habe ich schon hinbekommen. Ich denke mir, dass ich eigentlich auch die Abfrage in dovecot zur Authentifizierung hinbekäme, wenn das Password in plaintext in der AD stehen würde. Wenn ich mich jedoch mit jxplorer zu der AD verbinde ist das Passwortfeld leer bzw. es wird nichts angezeigt. Nun meine konkrete Frage. Hat da jemand Erfahrung mit und kann mir sagen wie es geht, oder mir einen Link senden, wo man das Nachlesen kann? Im voraus vielen Dank. -- Mit freundlichem Gruß Carsten Laun-De Lellis Hauptstrasse 13 D-67705 Trippstadt Phone: +49 6306 992140 Fax: +49 6306 992142 Mobile: +49 151 27530865 email: carsten.delellis at delellis.net http://www.linkedin.com/in/carstenlaundelellis [1] Links: ------ [1] http://www.linkedin.com/in/carstenlaundelellis -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andreas.schulze at datev.de Fri Jun 28 08:00:15 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 28 Jun 2013 08:00:15 +0200 Subject: [Postfixbuch-users] Avira stellt LinuxVirenprodukte ein In-Reply-To: <20130627200019.GH2463@sys4.de> References: <005001ce4b33$72981d70$57c85850$@fblan.de> <51892A64.1020009@grobecker-wtal.de> <51CC66F1.80602@grobecker-wtal.de> <20130627200019.GH2463@sys4.de> Message-ID: <20130628060015.GA14599@spider.services.datevnet.de> Am 27.06.2013 22:00 schrieb Patrick Ben Koetter: > Die SAVAPI und amavis sind z.B. ein tolles Gespann wenn es auch mal ein wenig > performanter sein darf. das kann ich jetzt einfach mal nur bestätigen ... -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From sam71 at gmx.de Fri Jun 28 09:34:56 2013 From: sam71 at gmx.de (sam71 at gmx.de) Date: Fri, 28 Jun 2013 09:34:56 +0200 (CEST) Subject: [Postfixbuch-users] Quota Meldung obwohl nicht konfiguriert Message-ID: Moin Moin, ich hab seit 2 Tagen auf Basis Opensuse 12.2 Postfix mit Dovecot 2.1.13 im Einsatz. Eine Postfach, welches seit gestern 49 MB groß ist, bekommt keine Emails mehr. Ich hab die Queue aufgerufen, wo sie allesamt mit folgender Meldung drin hängen: "postfix/virtual maildir delivery failed: Sorry, the user's maildir has overdrawn his diskspace quota, please try again later. " Das kuriose ist jedoch, das ich keine quota eingerichtet habe. Weder postfix noch Dovecot. Ich habe jede config-Datei durchgesehen. Ich finde den Fehler nicht. Könnt ihr mir bitte weiter helfen. Danke im Voraus. Murat Senyuva From max at freecards.de Fri Jun 28 10:13:13 2013 From: max at freecards.de (Markus Heinze) Date: Fri, 28 Jun 2013 10:13:13 +0200 Subject: [Postfixbuch-users] Nachtrag openSuSE 12.3 + mysql + cyrus saslauthd 2.1.25 Message-ID: <5d226dedfa2ae5c76afce11821c42b5e@freecards.de> Da ich nur den Webmailer grad zur Hand habe, mach ich mal einen neuen Thread auf um die Lösung zu diesem Problem zu posten. Das Problem liegt an bzw. in einem Patch Namens 'cyrus-sasl-no_rpath.patch' Dort muss folgendes geändert werden + andrew_runpath_switch="none" in + andrew_cv_runpath_switch="none" danach ein rpmbuild und alles ist schick. Offensichtlich ein Typo der seit der 12.2 die Nutzung des sql-auxprop unmöglich macht. Danke an Christian Boltz der diesen Typo nach meine vorigen Post auf der SuSE Liste zuerst gesehen und mir mitgeteilt hat. hier der Link für den neuen Bugreport https://bugzilla.novell.com/show_bug.cgi?id=827230 hier der offene von der 12.2 https://bugzilla.novell.com/show_bug.cgi?id=784705 so nun hat diese Odyssee auch ein Ende. Btw das Thema dovecot bleibt dennoch aktuell, hat jemand eine kurze knackige Anleitung für eine SuSi mit virtuelle domains, sprich saslauth für postfix, imaps und pop3s user/domains sollen defintiv aus mysql/mariadb kommen/liegen glg M.Heinze From max at freecards.de Fri Jun 28 10:56:12 2013 From: max at freecards.de (Markus Heinze) Date: Fri, 28 Jun 2013 10:56:12 +0200 Subject: [Postfixbuch-users] Quota Meldung obwohl nicht konfiguriert In-Reply-To: References: Message-ID: Hallo Murat, Am 2013-06-28 9:34, schrieb sam71 at gmx.de: > Moin Moin, > > ich hab seit 2 Tagen auf Basis Opensuse 12.2 Postfix mit Dovecot > 2.1.13 im Einsatz. > Eine Postfach, welches seit gestern 49 MB groß ist, bekommt keine > Emails mehr. Ich hab die Queue aufgerufen, wo sie allesamt mit > folgender Meldung drin hängen: > "postfix/virtual maildir delivery failed: Sorry, the user's maildir > has overdrawn his diskspace quota, please try again later. " > > Das kuriose ist jedoch, das ich keine quota eingerichtet habe. Weder > postfix noch Dovecot. > Ich habe jede config-Datei durchgesehen. Ich finde den Fehler nicht. > > Könnt ihr mir bitte weiter helfen. Danke im Voraus. > > Murat Senyuva Da ich auch gerade die Tücken der Softwareaktualisierung hinter mir habe bin ich auch darüber gestolper. Früher reichte ein mailbox_size_limit = 0 nun musste ich noch virtual_mailbox_limit = 0 setzen damit dieses Problem nicht auftritt hth lg max From peter at datentraeger.li Fri Jun 28 13:30:39 2013 From: peter at datentraeger.li (Peter Beck) Date: Fri, 28 Jun 2013 13:30:39 +0200 Subject: [Postfixbuch-users] Adress-Manipulation In-Reply-To: <20130627184100.GC10402@charite.de> References: <51CBF29D.6060705@datentraeger.li> <20130627081812.GG11463@charite.de> <51CC6798.1070106@datentraeger.li> <20130627184100.GC10402@charite.de> Message-ID: <51CD73DF.8020301@datentraeger.li> On 06/27/2013 08:41 PM, Ralf Hildebrandt wrote: > Oder Du baust sowas: > > smtpd_recipient_restrictions = > check_client_access hash:/etc/postfix/mynetworks > ... > > und in hash:/etc/postfix/mynetworks dann sowas: > 10.0.0.1 reject_unknown_sender_domain > 192.168 reject_unknown_sender_domain Hi Ralf, das gefaellt mir irgendwie schon um einiges besser. Werd es mal mit einer solchen Variante versuchen, vielen Dank fuer den Tip! Gruss Peter From joeml at fv-berlin.de Fri Jun 28 13:52:32 2013 From: joeml at fv-berlin.de (Joe =?iso-8859-1?q?Sch=F6nberg?=) Date: Fri, 28 Jun 2013 13:52:32 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers Message-ID: <201306281352.32692.joeml@fv-berlin.de> Hallo, wir betreiben hier zwei vorgelagerte Mailrelays für mehrere Domains mit Postfix, Greylisting und Amavisd. Beide sind identisch konfiguriert, haben MX-Einträge mit gleicher Wichtung, keine CNAME-Einträge, kein permit_mx_backup o.ä. Jeder kann für alle Domains empfangen und an alle ausliefern. Bisher war es Praxis, bei OS-Upgrades (SLES) beim betreffenden Server einfach Postfix zu deaktivieren und das Update zu machen, während der zweite Server die Arbeit übernimmt. Funktioniert natürlich unauffällig. Jetzt wurde bei der Ankündigung einer solchen Aktion von einem Postmaster der beteiligten Domains das Schreckgespenst der Mailverzögerung beschworen. Man müsse das doch langfristig vorbereiten, dazu u. a. Lifetimes im DNS herabsetzen, um dann rechtzeitig vor Abschaltung die MX-Wichtung anzupassen und müsse die Nutzer vorwarnen. Unser Bind liefert wie üblich die MX-Records Round-Robin aus (was man ändern könnte), ein einliefernder Server könnte in der Tat zuerst den Server ansprechen wollen, der gerade aus ist. Wie real ist da nun Eurer Erfahrung nach die Gefahr von Verzögerungen? Mit welchem zeitlichen Abstand machen Postfix (und andere Systeme) einen zweiten Zustellversuch? Gibt es Kandidaten, die das nur mit großem Delay oder gar nicht machen (da sind die natürlich eigentlich selbst schuld ...)? Mir ist natürlich klar, daß man Postmastern erklären kann, daß Mail nicht auf Echtzeitkommunikation ausgelegt ist, aber bei den Usern und besonders bei "hohen Tieren" scheitert man da gern. Danke für Meinungen + ein schönes Wochenende Joe Schönberg From postfix at cebe.cc Fri Jun 28 13:58:36 2013 From: postfix at cebe.cc (Carsten Brandt) Date: Fri, 28 Jun 2013 13:58:36 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers In-Reply-To: <201306281352.32692.joeml@fv-berlin.de> References: <201306281352.32692.joeml@fv-berlin.de> Message-ID: <51CD7A6C.1070006@cebe.cc> Am 28.06.2013 13:52, schrieb Joe Schönberg: > Wie real ist da nun Eurer Erfahrung nach die Gefahr von Verzögerungen? > Mit welchem zeitlichen Abstand machen Postfix (und andere Systeme) > einen zweiten Zustellversuch? Ein vernünftiger Mailserver wird bei Ausfall des einen MX direkt den anderen ansprechen, da sollte keine Verzögerung erkennbar sein. Dein Verfahren sollte somit eigentlich keinerlei Auswirkung auf die Geschwindigkeit der Mailzustellung haben. > Gibt es Kandidaten, die das nur mit großem Delay oder gar nicht > machen (da sind die natürlich eigentlich selbst schuld ...)? Richtig, die sind selbst schuld, da kannst du eh nichts gegen machen. Grüße, Carsten -- mail: mail at cebe.cc mobil: 0176 / 96 52 999 7 www: http://cebe.cc/ pgp: http://cebe.cc/cebe_pub.asc skype: skype://cebe08 From p.heinlein at heinlein-support.de Fri Jun 28 13:59:05 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 28 Jun 2013 13:59:05 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers In-Reply-To: <201306281352.32692.joeml@fv-berlin.de> References: <201306281352.32692.joeml@fv-berlin.de> Message-ID: <51CD7A89.6050504@heinlein-support.de> Am 28.06.2013 13:52, schrieb Joe Schönberg: > Jetzt wurde bei der Ankündigung einer solchen Aktion von einem Postmaster > der beteiligten Domains das Schreckgespenst der Mailverzögerung > beschworen. Man müsse das doch langfristig vorbereiten, dazu u. a. > Lifetimes im DNS herabsetzen, um dann rechtzeitig vor Abschaltung die > MX-Wichtung anzupassen und müsse die Nutzer vorwarnen. Wenn das so wäre, dann müßte man zu dem Schluß kommen, daß SCHON JETZT das Setup nicht HA ist und einen Hardware-Tod eines Servers nicht überleben würde. Dann müßte man SCHON JETZT eigentlich einen HA-Cluster draus bauen. Stellt sich die Frage, wozu man dann jetzt schon einen zweiten Server hat, wenn der doch gar nichts bringt? > Unser Bind liefert wie üblich die MX-Records Round-Robin aus (was man > ändern könnte), ein einliefernder Server könnte in der Tat zuerst den > Server ansprechen wollen, der gerade aus ist. Ja, das wird in 50% der Fälle der Fall sein. Na und? > Wie real ist da nun Eurer Erfahrung nach die Gefahr von Verzögerungen? Kein normaler lebender Mailserver wird eine Verzögerung haben. > Mit welchem zeitlichen Abstand machen Postfix (und andere Systeme) > einen zweiten Zustellversuch? KEINE zeitliche Verzögerung. Die einliefernden Systeme werden SOFORT auf den anderen MXer gehen und erst, wenn der (auch) nicht da ist, wird die Mail in die deferred queue gehen. > Gibt es Kandidaten, die das nur mit großem Delay oder gar nicht > machen (da sind die natürlich eigentlich selbst schuld ...)? Irgendwen auf der Welt gibt es immer, der irgendwas macht. Mein Bügelbrett zum Beispiel, das macht keinen Retry. Ein Mailserver (MTA) wird keine Verzögerung haben. > Mir ist natürlich klar, daß man Postmastern erklären kann, daß > Mail nicht auf Echtzeitkommunikation ausgelegt ist, aber bei den > Usern und besonders bei "hohen Tieren" scheitert man da gern. Ich finde es total unverantwortlich von Euch, daß Ihr nicht schon jetzt einen HA-Cluster habt. Am besten für beide MXer jeweils nochmal einen passiven Standby dazu. Außerdem bitte noch die MXer 3-7 mit installieren falls mal Lastspitzen sind (nee, besser: Backup-MX-Vertrag mit uns abschließen.) Sorry, das ist totaler Unsinn. Zweiten Node abschalten und upgraden. Das mache ich drei mal die Woche so. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Fri Jun 28 14:00:13 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 28 Jun 2013 14:00:13 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers In-Reply-To: <51CD7A89.6050504@heinlein-support.de> References: <201306281352.32692.joeml@fv-berlin.de> <51CD7A89.6050504@heinlein-support.de> Message-ID: <51CD7ACD.2090004@heinlein-support.de> Am 28.06.2013 13:59, schrieb Peer Heinlein: Nachtrag: > Die einliefernden Systeme werden SOFORT auf den anderen MXer gehen und > erst, wenn der (auch) nicht da ist, wird die Mail in die deferred queue > gehen. Und hier sind die Parameter, die das bei Postfix auf Client-Seite steuern: smtp_mx_address_limit = 5 smtp_mx_session_limit = 2 Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From joeml at fv-berlin.de Fri Jun 28 14:29:39 2013 From: joeml at fv-berlin.de (Joe =?iso-8859-1?q?Sch=F6nberg?=) Date: Fri, 28 Jun 2013 14:29:39 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers In-Reply-To: <51CD7ACD.2090004@heinlein-support.de> References: <201306281352.32692.joeml@fv-berlin.de> <51CD7A89.6050504@heinlein-support.de> <51CD7ACD.2090004@heinlein-support.de> Message-ID: <201306281429.39954.joeml@fv-berlin.de> Danke für die "tröstenden" Worte ;-) On Friday 28 June 2013 14:00:13 Peer Heinlein wrote: > Am 28.06.2013 13:59, schrieb Peer Heinlein: > > Nachtrag: > > Die einliefernden Systeme werden SOFORT auf den anderen MXer gehen und > > erst, wenn der (auch) nicht da ist, wird die Mail in die deferred queue > > gehen. > > Und hier sind die Parameter, die das bei Postfix auf Client-Seite steuern: > > smtp_mx_address_limit = 5 > smtp_mx_session_limit = 2 Das ist natürlich die "Gegenseite", auf die ich keinen Einfluß habe, aber danke für den Config-Schnipsel. Joe From Ralf.Hildebrandt at charite.de Fri Jun 28 14:33:11 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 28 Jun 2013 14:33:11 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers In-Reply-To: <201306281352.32692.joeml@fv-berlin.de> References: <201306281352.32692.joeml@fv-berlin.de> Message-ID: <20130628123311.GS17772@charite.de> * Joe Schönberg : > Hallo, > > wir betreiben hier zwei vorgelagerte Mailrelays für mehrere Domains > mit Postfix, Greylisting und Amavisd. > Beide sind identisch konfiguriert, haben MX-Einträge mit gleicher > Wichtung, keine CNAME-Einträge, kein permit_mx_backup o.ä. > Jeder kann für alle Domains empfangen und an alle ausliefern. > > Bisher war es Praxis, bei OS-Upgrades (SLES) beim betreffenden Server > einfach Postfix zu deaktivieren und das Update zu machen, während der > zweite Server die Arbeit übernimmt. Funktioniert natürlich unauffällig. So machen wir das auch > Jetzt wurde bei der Ankündigung einer solchen Aktion von einem Postmaster > der beteiligten Domains das Schreckgespenst der Mailverzögerung > beschworen. Wieso? > Man müsse das doch langfristig vorbereiten, dazu u. a. Lifetimes im > DNS herabsetzen, um dann rechtzeitig vor Abschaltung die MX-Wichtung > anzupassen und müsse die Nutzer vorwarnen. Nö. > Unser Bind liefert wie üblich die MX-Records Round-Robin aus (was man > ändern könnte), ein einliefernder Server könnte in der Tat zuerst den > Server ansprechen wollen, der gerade aus ist. Dann nimmt der den anderen. > Wie real ist da nun Eurer Erfahrung nach die Gefahr von Verzögerungen? > Mit welchem zeitlichen Abstand machen Postfix (und andere Systeme) > einen zweiten Zustellversuch? Das hängt imemr vom MTA ab. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Jogie at quantentunnel.de Fri Jun 28 14:57:50 2013 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 28 Jun 2013 14:57:50 +0200 (CEST) Subject: [Postfixbuch-users] "To:" Adresse umschreiben Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From p.heinlein at heinlein-support.de Fri Jun 28 15:00:55 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 28 Jun 2013 15:00:55 +0200 Subject: [Postfixbuch-users] "To:" Adresse umschreiben In-Reply-To: References: Message-ID: <51CD8907.4030602@heinlein-support.de> Am 28.06.2013 14:57, schrieb "Jörg Sitek": > Reicht noch eine recipient_canonical_map, oder muss da schon zum > header_check gegriffen werden? Nur *canonical* kann überhaupt das, was Du willst. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Jogie at quantentunnel.de Fri Jun 28 16:57:25 2013 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 28 Jun 2013 16:57:25 +0200 (CEST) Subject: [Postfixbuch-users] "To:" Adresse umschreiben In-Reply-To: <51CD8907.4030602@heinlein-support.de> References: , <51CD8907.4030602@heinlein-support.de> Message-ID: Hi Peer, >> Reicht noch eine recipient_canonical_map, oder muss da schon zum >> header_check gegriffen werden? > Nur *canonical* kann überhaupt das, was Du willst. Reicht in meinem Fall nicht, da die recipient_canonical_maps den Header nicht umschreiben. Das Tool hält sich am To Feld fest. Wenn da nicht _die_ eine Adresse drin steht, dann ignoriert es die Mails. Ich habe das jetzt mit smtp_generic_maps realisiert. Da wird das To Feld umgeschrieben. Danke & ein schönes Wochenende. Gruß, Jörg From stickybit at myhm.de Sat Jun 29 10:35:37 2013 From: stickybit at myhm.de (Andre) Date: Sat, 29 Jun 2013 10:35:37 +0200 Subject: [Postfixbuch-users] Spam Problem Message-ID: <51CE9C59.8010100@myhm.de> Servus, ein Kunde hat sich bei uns wegen Spam gemeldet und meinte, er würde 50-70 Spam-Mails pro Tag bekommen. Diese Nachricht habe ich zunächst mit Skepsis empfangen. Unser Anti-Spam-System funktioniert schließlich gut, dachte ich mir. Als ich das Monitoring für seinen E-Mail-Account aktiviert habe, kam die Ernüchterung. Policyd-weight quittiert alle Spam-Mails mit gutem Score (um -7). Spamassassin lässt Mails einfach durch. Bei der Analyse der eingehenden Spam-Mails konnten wir Folgendes feststellen. Es handelt sich um automatisch generierte Mails, die von Scripten versendet werden (PHP, etc.). Man findet im Header stets Hinweise hierzu. Jede Mail kommt von einer anderen IP, IP-Sperre ist also wirkungslos. Mails kommen von gehackten Websites. Der Inhalt jeder Mail besteht meistens nur aus einem HTML-Link, der auf Unterseite einer sonst normalen Website verweist. In jeder Spam-Mail stets ein anderer Link! Wenn man den Link anklickt, wird eine HTML-Seite aufgerufen, auf der nur steht "...Loading". Nach zwei Sekunden wird man via HTML-Code auf eine Pornoseite umgeleitet. Die URL der Zielseite ist ebenfalls jedes Mail anders, alle Seiten haben allerdings den gleichen Inhalt. Ich kann mich noch erinnern, dass einige Hoster vor ca. zwei Monaten Brut Force Attacken auf Wordpress Installationen von Kunden gemeldet haben. Die Vorgehensweise der Spammer ist also klar. Man bekommt den Zugang zu den Serverressourcen, wie auch immer, durch Hacken von CMS-Systemen, FTP-Zugängen, usw., und versendet Spam von IPs, die nicht geblockt sind. Protokoll-Fehler sind da auch keine, ist je stets ein gut funktionierender SMTP-Server. Der Inhalt der E-Mail wechselt sich stets und wird eigentlich ins Internet "ausgelagert". Ein Content-Filter hilft da auch nicht. Jemand eine Idee zur Lösung des Problems? Gruß Andre From driessen at fblan.de Sat Jun 29 11:14:16 2013 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sat, 29 Jun 2013 11:14:16 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CE9C59.8010100@myhm.de> References: <51CE9C59.8010100@myhm.de> Message-ID: <028801ce74a9$07a17580$16e46080$@fblan.de> Im Auftrag von Andre > Die Vorgehensweise der Spammer ist also klar. Man bekommt den Zugang zu > den Serverressourcen, wie auch immer, durch Hacken von CMS-Systemen, > FTP-Zugängen, usw., und versendet Spam von IPs, die nicht geblockt sind. > Protokoll-Fehler sind da auch keine, ist je stets ein gut > funktionierender SMTP-Server. Der Inhalt der E-Mail wechselt sich stets > und wird eigentlich ins Internet "ausgelagert". Ein Content-Filter hilft > da auch nicht. > > Jemand eine Idee zur Lösung des Problems? > Sanesecuritys an Amavis schon drangehängt ? Hast Postscreen laufen Hast du Greylisting laufen Die scripte sind in der Regel Fire and forgett Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From stickybit at myhm.de Sat Jun 29 11:33:16 2013 From: stickybit at myhm.de (Andre) Date: Sat, 29 Jun 2013 11:33:16 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <028801ce74a9$07a17580$16e46080$@fblan.de> References: <51CE9C59.8010100@myhm.de> <028801ce74a9$07a17580$16e46080$@fblan.de> Message-ID: <51CEA9DC.4030000@myhm.de> danke für die Tipps. Am 29.06.2013 11:14, schrieb Uwe Drießen: > Sanesecuritys an Amavis schon drangehängt ? nein, ich werd's mir anschauen. > Hast Postscreen laufen nein, soweit ich die Funktionsweise von Postscreen richtig verstanden habe, wird es bei dem Problem nicht helfen, oder? > Hast du Greylisting laufen ja Grüße Andre From andreas.schulze at datev.de Sat Jun 29 12:09:41 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Sat, 29 Jun 2013 12:09:41 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <028801ce74a9$07a17580$16e46080$@fblan.de> References: <51CE9C59.8010100@myhm.de> <028801ce74a9$07a17580$16e46080$@fblan.de> Message-ID: <20130629100941.GB8635@spider.services.datevnet.de> Am 29.06.2013 11:14 schrieb Uwe Drießen: > Sanesecuritys an Amavis schon drangehängt ? ich dachte, Sanesecurity ist für clamav? -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From driessen at fblan.de Sat Jun 29 12:29:34 2013 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sat, 29 Jun 2013 12:29:34 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CEA9DC.4030000@myhm.de> References: <51CE9C59.8010100@myhm.de> <028801ce74a9$07a17580$16e46080$@fblan.de> <51CEA9DC.4030000@myhm.de> Message-ID: <028901ce74b3$8c846d20$a58d4760$@fblan.de> Im Auftrag von Andre > > danke für die Tipps. > > Am 29.06.2013 11:14, schrieb Uwe Drießen: > > Sanesecuritys an Amavis schon drangehängt ? > nein, ich werd's mir anschauen. > > > Hast Postscreen laufen > nein, soweit ich die Funktionsweise von Postscreen richtig verstanden > habe, wird es bei dem Problem nicht helfen, oder? > > > Hast du Greylisting laufen > ja > Bis dato habe zumindest ich noch keine solchen Mails hier eingefangen und von meinen Kunden kamen auch noch keine Beschwerden diesbezüglich. Ich habe hier beides laufen Postscreen für alle mit folgenden Einstellungen postscreen_non_smtp_command_enable = yes postscreen_bare_newline_enable = yes postscreen_bare_newline_action = drop postscreen_greet_action = drop postscreen_dnsbl_action = drop postscreen_dnsbl_threshold = 2 postscreen_dnsbl_sites = black.uribl.com zen.spamhaus.org, bl.spamcop.net, ix.dnsbl.manitu.net, und Greylisting selectiv auf so ziemlich alles außer DE smtpd_recipient_restrictions =...... reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unlisted_sender, ............ check_client_access pcre:/etc/postfix/maps/dialups.grey, (ziemlich am Ende) /etc/postfix/maps/dialups.grey : /eu\.blackberry\.com$/ DUNNO /sipgate\.net$/ DUNNO /(\-.+){4}$/ greylisting /(\..+){4}$/ greylisting # everything with 3 or more dots/hyphens in the hostname /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2? |cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home| in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[ :alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|p cp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/ greylisting /\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|i l|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/ greylisting /clients\.your-server\.de$/ greylisting /unknown/ greylisting Dazu kommt dann noch smtpd_restriction_classes = greylisting , ..... und greylisting = check_policy_service inet:127.0.0.1:10023 und was du dir auch noch anschauen kannst ist : http://www.postfix.org/postconf.5.html reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_client_hostname, reject_unknown_helo_hostname, in der Regel haben die gehackten Webserver niemals alles richtig sitzen mal fehlt der richtige Helo, der PTR oder sonst was Du mußt halt die Balance zwischen annahme und reject bei deinem Mailserver finden. Mit den Restriction_classes kann man ganz abgefahrene Dinge bauen. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Sat Jun 29 12:32:37 2013 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sat, 29 Jun 2013 12:32:37 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <20130629100941.GB8635@spider.services.datevnet.de> References: <51CE9C59.8010100@myhm.de> <028801ce74a9$07a17580$16e46080$@fblan.de> <20130629100941.GB8635@spider.services.datevnet.de> Message-ID: <028a01ce74b3$f9d50ba0$ed7f22e0$@fblan.de> Im Auftrag von Andreas Schulze > Am 29.06.2013 11:14 schrieb Uwe Drießen: > > Sanesecuritys an Amavis schon drangehängt ? > ich dachte, Sanesecurity ist für clamav? > Jap wo du recht hast hast du recht Ist so amavis -> Spamassasin -> CLamav (oder umgekehrt zuerst Clamav dann Spamassassin) Da waren die Finger wieder schneller wie der Kopf oder war es umgekehrt :-)) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From postfix at jpkessler.info Sat Jun 29 13:45:45 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sat, 29 Jun 2013 13:45:45 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CE9C59.8010100@myhm.de> References: <51CE9C59.8010100@myhm.de> Message-ID: <51CEC8E9.4020003@jpkessler.info> > Jemand eine Idee zur Lösung des Problems? Zeig' mal Samples - inkl komplettem Header. From postfix at jpkessler.info Sat Jun 29 13:49:28 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sat, 29 Jun 2013 13:49:28 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CE9C59.8010100@myhm.de> References: <51CE9C59.8010100@myhm.de> Message-ID: <51CEC9C8.9070205@jpkessler.info> > Wenn man den Link anklickt, wird eine HTML-Seite aufgerufen, auf der nur Und sei damit etwas vorsichtig. Häufig genug enthalten solche Sites Browser Exploits. Zu diesem Zweck habe ich eine read-only (non-persistant disk) VM @work. Sorry, wg des Doppelposts! From stickybit at myhm.de Sat Jun 29 14:07:50 2013 From: stickybit at myhm.de (Andre) Date: Sat, 29 Jun 2013 14:07:50 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CEC8E9.4020003@jpkessler.info> References: <51CE9C59.8010100@myhm.de> <51CEC8E9.4020003@jpkessler.info> Message-ID: <51CECE16.2090009@myhm.de> Am 29.06.2013 13:45, schrieb Jan P. Kessler: > Zeig' mal Samples - inkl komplettem Header. weiter unten die komplette E-Mail. Ich habe lediglich die A-Tags durch aa ersetzt und http durch h t t p, um den Link zu "deaktivieren". Return-Path: Received: from m001.domain.name by m001.domain.name (Dovecot) with LMTP id qjMsG9e9zlEEPAAAVdQqrA ; Sat, 29 Jun 2013 12:58:34 +0200 Received: from mx3.domain.name (mx3.domain.name [XXX.XX.XX.XXX]) (using TLSv1 with cipher ADH-AES256-SHA (256/256 bits)) (No client certificate requested) by m001.domain.name (Postfix) with ESMTPS id 1CBD21460094; Sat, 29 Jun 2013 12:58:34 +0200 (CEST) X-spam-virus-scanned: SpamAssassin/ESET/ClamAV X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 CL_IP_EQ_FROM_IP=-2 (check from: .vincecaruana. - helo: .polpdesign. - helo-domain: .polpdesign.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -7 Received: from polpdesign.com (unknown [50.56.212.213]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by mx3.domain.name (Postfix) with ESMTPS for ; Sat, 29 Jun 2013 12:58:31 +0200 (CEST) Received: from polpdesign.com (localhost [127.0.0.1]) by polpdesign.com (8.13.8/8.13.8) with ESMTP id r5TAwRoh003724 for ; Sat, 29 Jun 2013 10:58:28 GMT Received: (from apache at localhost) by polpdesign.com (8.13.8/8.13.8/Submit) id r5TAwQb1003718; Sat, 29 Jun 2013 10:58:26 GMT Date: Sat, 29 Jun 2013 10:58:26 GMT Message-Id: <201306291058.r5TAwQb1003718 at polpdesign.com> X-Authentication-Warning: polpdesign.com: apache set sender to josie_gentry at vincecaruana.com using -f To: kunden at name.de Subject: Hey there ! X-PHP-Originating-Script: 48:css.php From: "Josie Gentry" Reply-To: "Josie Gentry" X-Priority: 3 (Normal) MIME-Version: 1.0 Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit

Aliha and Jack Couple Sex Tape

From postfix at jpkessler.info Sat Jun 29 14:27:10 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sat, 29 Jun 2013 14:27:10 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CECE16.2090009@myhm.de> References: <51CE9C59.8010100@myhm.de> <51CEC8E9.4020003@jpkessler.info> <51CECE16.2090009@myhm.de> Message-ID: <51CED29E.6020000@jpkessler.info> > weiter unten die komplette E-Mail. Ich habe lediglich die A-Tags durch > aa ersetzt und http durch h t t p, um den Link zu "deaktivieren". Also gleich vorweg: Ein Patentrezept sehe ich auch nicht. Schade, dass kein Spamassassin X-Spam-Status Header enthalten ist. Wäre interessant zu sehen, wie der genau bewertet hat. Ich kenne mich nicht mit amavis aus. Bei Spamassassin kannst Du etwas in dieser Art verwenden: add_header all Status _YESNO_, score=_SCORE_ required=_REQD_ tests=_TESTS_ autolearn=_AUTOLEARN_ version=_VERSION_ http://spamassassin.apache.org/full/3.3.x/doc/Mail_SpamAssassin_Conf.html#basic_message_tagging_options Haben die Mails bzgl der folgenden beiden Header etwas gemeinsam? Evtl könnte man auf dieser Basis eine SA-Regel schreiben... > X-Authentication-Warning: polpdesign.com: apache set sender to > josie_gentry at vincecaruana.com using -f > X-PHP-Originating-Script: 48:css.php From stickybit at myhm.de Sat Jun 29 14:47:15 2013 From: stickybit at myhm.de (Andre) Date: Sat, 29 Jun 2013 14:47:15 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CED29E.6020000@jpkessler.info> References: <51CE9C59.8010100@myhm.de> <51CEC8E9.4020003@jpkessler.info> <51CECE16.2090009@myhm.de> <51CED29E.6020000@jpkessler.info> Message-ID: <51CED753.2050306@myhm.de> Am 29.06.2013 14:27, schrieb Jan P. Kessler: > add_header all Status _YESNO_, score=_SCORE_ required=_REQD_ tests=_TESTS_ autolearn=_AUTOLEARN_ version=_VERSION_ ok, danke. > Haben die Mails bzgl der folgenden beiden Header etwas gemeinsam? Evtl > könnte man auf dieser Basis eine SA-Regel schreiben... leider nein. >> X-Authentication-Warning: polpdesign.com: apache set sender to >> josie_gentry at vincecaruana.com using -f >> X-PHP-Originating-Script: 48:css.php die beiden Zeilen sind hier zufällig vorhanden. Wie gesagt, ist gibt keinen Zusammenhang. Das einzige ist die Pornoseite, die über den Umweg der Weiterleitung erreichbar ist. Das Einzige, was ich mir vorstellen kann, ist ein Plug-In für die Spamassassin. Dieser soll in Echtzeit im Mail-Body nach Links (zumindest nach dem ersten Link) suchen und die Seite herunterladen. In diesem Quell-Code soll er dann nach der Weiterleitung suchen und dann die Ziel-Seite herunterladen und den Quell-Code untersuchen. Was meint ihr? Gruß Andre From postfix at jpkessler.info Sat Jun 29 15:25:00 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sat, 29 Jun 2013 15:25:00 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CED753.2050306@myhm.de> References: <51CE9C59.8010100@myhm.de> <51CEC8E9.4020003@jpkessler.info> <51CECE16.2090009@myhm.de> <51CED29E.6020000@jpkessler.info> <51CED753.2050306@myhm.de> Message-ID: <51CEE02C.1080108@jpkessler.info> > Das Einzige, was ich mir vorstellen kann, ist ein Plug-In für die > Spamassassin. Dieser soll in Echtzeit im Mail-Body nach Links (zumindest > nach dem ersten Link) suchen und die Seite herunterladen. In diesem > Quell-Code soll er dann nach der Weiterleitung suchen und dann die > Ziel-Seite herunterladen und den Quell-Code untersuchen. Als erstes schicke ich Dir dann 300 Mails mit Links zu Seiten, die jeweils 15 Weiterleitungsloops enthalten. Am besten alle noch https. Zu der Sache gehört dann natürlich auch ein OCR-Flash-Modul, falls die 16te Zielseite nur so etwas und keinen interessanten Source enthält. Hoffe, Du hast das ganze prequeue eingebunden ;) Im Ernst: Das könnte ein bisschen schwierig und ressourcenhungrig werden. Browser sind nicht ohne Grund solche Monster geworden. Zudem handelst Du Dir leicht enorme Schwachstellen (DoS) ein. From postfix at jpkessler.info Sat Jun 29 15:53:29 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sat, 29 Jun 2013 15:53:29 +0200 Subject: [Postfixbuch-users] Spam Problem In-Reply-To: <51CECE16.2090009@myhm.de> References: <51CE9C59.8010100@myhm.de> <51CEC8E9.4020003@jpkessler.info> <51CECE16.2090009@myhm.de> Message-ID: <51CEE6D9.5030306@jpkessler.info> > /a4iu.html Folgen die Seitenlinks irgendeinem greifbaren Muster? Immer 4 Zeichen? Immer Zahlen mittendrin (also nicht am Anfang und am Ende)? Könnte natürlich ein bisschen dünn hinsichtlich False-Positives sein, aber vll reicht es für 'ne tagging- oder quarantäne-regel. Ansonsten bleibt wohl nur darauf zu warten, dass die bekannten Dnsbls/Uribls reagieren :( Der Server aus der Beispielmail ist z.B. inzwischen bei barracudacentral gelistet: 50.56.212.213 RBL: b.barracudacentral.org 50.56.212.213 127.0.0.2 (time: 0.2s) (ttl: 900s) 50.56.212.213 http://www.barracudanetworks.com/reputation/?pr=1&ip=50.56.212.213 Die Liste macht sich bei uns ganz gut. From rmayer at nerd-residenz.de Sat Jun 29 23:06:56 2013 From: rmayer at nerd-residenz.de (Ralph J.Mayer) Date: Sat, 29 Jun 2013 23:06:56 +0200 Subject: [Postfixbuch-users] Zwei MXer und (geplanter) Ausfall eines Servers In-Reply-To: <201306281352.32692.joeml@fv-berlin.de> References: <201306281352.32692.joeml@fv-berlin.de> Message-ID: <51CF4C70.2030502@nerd-residenz.de> Moin, > Mir ist natürlich klar, daß man Postmastern erklären kann, daß > Mail nicht auf Echtzeitkommunikation ausgelegt ist, aber bei den > Usern und besonders bei "hohen Tieren" scheitert man da gern. Ich stell jetzt mal die "böse" Frage: was ist die SLA dem Kunden gegenüber? Wenn der Kunde unbedingt was besseres als das vorhandene will, darf er das dediziert für ihn gebaute gerne bezahlen. Im Moment hat er nur nen shared Service und bezahlt hoffentlich auch nur das. Man muss sich nicht alles als Admin ans Bein binden, der Vertrieb darf ruhig auch mal was für sein Geld tun. -- Viele Grüße / Kind Regards / Cordiali Saluti / Met vriendelijke groet Ralph J.Mayer From mailinglisten at it-blog.net Sun Jun 30 23:42:37 2013 From: mailinglisten at it-blog.net (mailinglisten at it-blog.net) Date: Sun, 30 Jun 2013 23:42:37 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Leerer_Envelope-Sender_durch_sender?= =?utf-8?q?=5Fcanonical=5Fmaps?= In-Reply-To: <51CC4BCF.40905@jpkessler.info> References: <0e764612c9c59bc2a829276fa694ba2f@it-blog.net> <51CC4BCF.40905@jpkessler.info> Message-ID: > Versuche doch mal > > /^(.+)$/ \"${1}\"@ex2.example.com > > The restrictions for special characters are that they must only be > used when contained between quotation marks, and that 2 of them (the > backslash \ and quotation mark " (ASCII: 92, 34)) must also be > preceded by a backslash \ (e.g. "\\\""). Ich habe es ausprobiert, leider ohne Erfolg. Der Envelope-Sender ist nach dem Umschreiben trotzdem leer.