From arnold.bechtoldt at matchbit.de Sun Sep 1 13:58:19 2013 From: arnold.bechtoldt at matchbit.de (Arnold Bechtoldt) Date: Sun, 01 Sep 2013 13:58:19 +0200 Subject: [Postfixbuch-users] Backscatter-Spam abwehren Message-ID: <52232BDB.2060706@matchbit.de> Hallo zusammen, mich würde grundsätzlich interessieren wie ihr gegen Backscatter-Spam vorgeht und welche Vorgehensweise sich für eure Systeme bewährt hat. - Statische Header Checks in Postfix - Amavis - SpamAssassin Hintergrund: Seit 1-2 Monaten bekomme ich in ein Postfach täglich ca. 1-2 non-delivery notifications, die am (sehr) restriktivem Postfix, Amavisd-New und SpamAssassin durchgewunken wurden. Verschiedene Checks (SMTPD-Restriction, RBLs, Postscreen. u.a.) sind bereits im Einsatz. Aus dem Web habe ich bereits einige Lösungsvorschläge gesammelt, die auf dem ersten Blick alle ihre Vor- und Nachteile haben. http://www.postfix.org/BACKSCATTER_README.html http://wiki.apache.org/spamassassin/VBounceRuleset Danke & Gruß Arnold -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5995 bytes Beschreibung: S/MIME Kryptografische Unterschrift URL : From hajo.locke at gmx.de Mon Sep 2 16:39:41 2013 From: hajo.locke at gmx.de (Hajo Locke) Date: Mon, 2 Sep 2013 16:39:41 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins Message-ID: Hallo, bisher habe ich im postfix die Authentifizierung vom dovecot übernehmen lassen und war zufrieden. Nun soll aber Versand und Empfang getrennt regelbar/abschaltbar sein. Um das umzusetzen, habe vor postfix über das pam_mysql authentifizieren zu lassen. Mit normalen Usernamen hajo123 klappt das gut, sobald aber eine Mailadresse als Loginname verwendet wird bekomme ich Probleme. Dies ist meine smtpd.conf ### pwcheck_method: saslauthd saslauthd_path: /var/run/saslauthd/mux mech_list: PLAIN LOGIN ### Dies ist die /etc/pam.d/smtp ### auth required pam_mysql.so user=postfix passwd=geheim db=mysql table=mail_users_postfix usercolumn=login passwdcolumn=password crypt ### Die /etc/default/saslauthd sieht so aus: ### START=yes DESC="SASL Authentication Daemon" NAME="saslauthd" MECHANISMS="pam" MECH_OPTIONS="" THREADS=5 OPTIONS="-r -c -m /var/run/saslauthd" ### Ich habe bewußt -r als Option verwendet damit der realm angehangen wird. Ohne realm würde er nur den local-part verwenden. Mit normalen Namen klappt das gut, sobald ich aber Emailadresse als Loginnamen verwende, erhalte ich im authlog sowas: Sep 2 16:26:03 testkiste postfix/smtpd[678]: sql_select option missing Sep 2 16:26:03 testkiste postfix/smtpd[678]: auxpropfunc error no mechanism available Sep 2 16:26:03 testkiste postfix/smtpd[678]: _sasl_plugin_load failed on sasl_auxprop_plug_init for plugin: sql Sep 2 16:26:03 testkiste saslauthd[480]: pam_unix(smtp:account): could not identify user (from getpwnam(hajo123 at example.com)) Sep 2 16:26:03 testkiste saslauthd[480]: DEBUG: auth_pam: pam_acct_mgmt failed: Authentication failure Sep 2 16:26:03 testkiste saslauthd[480]: do_auth : auth failure: [user=hajo123 at example.com] [service=smtp] [realm=example.com] [mech=pam] [reason=PAM acct error] Username stimmt aber. Ich hab das mysql-log ebenfalls aktiv und auch die Abfrage die angeblich falsch läuft sieht ok aus und bringt auch das Passwort wenn ich es manuell ausführe. SELECT password FROM mail_users_postfix WHERE login = 'hajo123 at example.com'; Was könnte das sein? Weiß grad nicht was ich anpassen muss. Ich hatte vorher die auxprop-sql Variante laufen, dies ging vollständig. Ich bin aber erstmal davon abgegangen weil ich gelesen habe dass auxprop keine Verschlüsselung akzeptiert und ich Passwörter im Klartext ablegen müsste. Ich würde es erstmal mit pam_mysql hinbekommen und mich danach um die Verschlüsselung kümmern wollen. Danke, Hajo From postfixbuch-users at 0xaffe.de Mon Sep 2 17:09:36 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 02 Sep 2013 17:09:36 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins In-Reply-To: References: Message-ID: <5224AA30.3080202@0xaffe.de> Hallo Hajo, Am 02.09.13 16:39, schrieb Hajo Locke: > Hallo, > > bisher habe ich im postfix die Authentifizierung vom dovecot übernehmen > lassen und war zufrieden. Nun soll aber Versand und Empfang getrennt > regelbar/abschaltbar sein. > Um das umzusetzen, habe vor postfix über das pam_mysql authentifizieren > zu lassen. > Mit normalen Usernamen hajo123 klappt das gut, sobald aber eine > Mailadresse als Loginname verwendet wird bekomme ich Probleme. Warum lässt Du nicht einfach eine Dovecot-Instanz auf dem Postfix-Server laufen, die nur AUTH bereit stellt und das eigene MySQL-Backend benutzt? Dürfte deutlich einfacher zu konfigurieren sein als Dein Ansatz und ein ähnliches Laufzeitverhalten haben ... Just my 0,02 ? Gruß, Mathias. From hajo.locke at gmx.de Mon Sep 2 18:58:50 2013 From: hajo.locke at gmx.de (Hajo Locke) Date: Mon, 2 Sep 2013 18:58:50 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins References: <5224AA30.3080202@0xaffe.de> Message-ID: Hallo, >>Warum lässt Du nicht einfach eine Dovecot-Instanz auf dem Postfix-Server >>laufen, die nur AUTH bereit stellt und das eigene MySQL-Backend benutzt? Da läuft leider schon die Instanz die auch für pop/imap der User zuständig ist. Die soll unverändert weiter laufen. Hajo From postfixbuch-users at 0xaffe.de Mon Sep 2 19:08:31 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 02 Sep 2013 19:08:31 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins In-Reply-To: References: <5224AA30.3080202@0xaffe.de> Message-ID: <5224C60F.2080709@0xaffe.de> Hallo Hajo, Am 02.09.13 18:58, schrieb Hajo Locke: > Hallo, > >>> Warum lässt Du nicht einfach eine Dovecot-Instanz auf dem Postfix-Server >>> laufen, die nur AUTH bereit stellt und das eigene MySQL-Backend benutzt? > > > Da läuft leider schon die Instanz die auch für pop/imap der User > zuständig ist. Die soll unverändert weiter laufen. Ich bin mir nicht ganz sicher, ob ich den Use-Case verstanden habe - geht es nur um eine Fallback-Lösung, falls Dovecot nicht funktioniert, oder warum benutzt Du den existierenden Dovecot nicht? Was spricht gegen einen regelmäßigen Export MySQL->Datei und SMTP-AUTH gegen diese Datei als Fallback? Viele Grüße, Mathias. From hajo.locke at gmx.de Mon Sep 2 19:23:44 2013 From: hajo.locke at gmx.de (Hajo Locke) Date: Mon, 2 Sep 2013 19:23:44 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins References: <5224AA30.3080202@0xaffe.de> <5224C60F.2080709@0xaffe.de> Message-ID: Hallo, >> Ich bin mir nicht ganz sicher, ob ich den Use-Case verstanden habe - >> geht es nur um eine Fallback-Lösung, falls Dovecot nicht funktioniert, >> oder warum benutzt Du den existierenden Dovecot nicht? Die Lösung mit Dovecot-sasl hat gut funktioniert, ich war damit zufrieden. Es soll nun zukünftig aber möglich sein den Mailabruf zu gestatten, den Versand aber zu verweigern. Wenn ich alles über dovecot authentifizieren lasse, bekomme ich es nicht hin das zu separieren. Daher die Idee für Postfix eine andere Variante zu nutzen, die andere Daten ausliest als dovecot. Weiß nicht, vielleicht gibts ja noch eine ganz andere Möglichkeit. Danke, Hajo From werner at aloah-from-hell.de Mon Sep 2 20:47:11 2013 From: werner at aloah-from-hell.de (Werner Detter) Date: Mon, 02 Sep 2013 20:47:11 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins In-Reply-To: References: <5224AA30.3080202@0xaffe.de> <5224C60F.2080709@0xaffe.de> Message-ID: <5224DD2F.7020808@aloah-from-hell.de> Hi, > Daher die Idee für Postfix eine andere Variante zu nutzen, die andere > Daten ausliest als dovecot. Weiß nicht, vielleicht gibts ja noch eine > ganz andere Möglichkeit. Also ich weiss auch grad nicht, ob ich dich hier richtig verstehe. Aber warum nicht einfach mit Postfix-Bordmitteln wie check_sender_access oder restriction_classes für die entsprechenden Benutzern die Mail eben abweisen? Grüsse, Werner From postfixbuch-users at 0xaffe.de Mon Sep 2 21:00:44 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 02 Sep 2013 21:00:44 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins In-Reply-To: References: <5224AA30.3080202@0xaffe.de> <5224C60F.2080709@0xaffe.de> Message-ID: <5224E05C.7090001@0xaffe.de> Hallo Hajo, Am 02.09.13 19:23, schrieb Hajo Locke: > Die Lösung mit Dovecot-sasl hat gut funktioniert, ich war damit zufrieden. > Es soll nun zukünftig aber möglich sein den Mailabruf zu gestatten, den > Versand aber zu verweigern. Wenn ich alles über dovecot authentifizieren > lasse, bekomme ich es nicht hin das zu separieren. Daher die Idee für > Postfix eine andere Variante zu nutzen, die andere Daten ausliest als > dovecot. Weiß nicht, vielleicht gibts ja noch eine ganz andere Möglichkeit. Das einfachste (was mir gerade einfällt) ist die "Services", für die ein User Auth benutzen darf, in einer Extra-DB-Tabelle zu verwalten: > mysql> select * from test.test; > +-------------+----------+ > | user | services | > +-------------+----------+ > | mmustermann | smtp | > | mmustermann | imap | > +-------------+----------+ und dann die password_query zu erweitern: > password_query = SELECT ... WHERE user_name='%n' AND '%s' IN (SELECT services FROM test.test WHERE user='%n') Dabei wird "%s" von Dovecot zum entsprechenden Service aufgelöst, siehe auch: http://wiki2.dovecot.org/Variables Gruß, Mathias. From roellig at roellig-ltd.de Tue Sep 3 00:04:27 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Mon, 02 Sep 2013 22:04:27 +0000 Subject: [Postfixbuch-users] Telekom Probleme Message-ID: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> Hallo, ich hab mit einem Kunden Probleme der Mails an die Telekom schickt. Sobald er eine Mail verschickt bleibt diese hängen mit der üblichen Fehlermeldung "554 refused to talk me.. blabla übliches Telekom geschwafel tosar at rx.t-online.de" Da hab ich aber über die Transport gelöst und hat mit den üblichen Adressen auch gut Funktioniert. Also Kunden SMTP zu mir und dann zur Telekom. Nur jetzt ist das eine Domain die über die Telekom gehostet wird und aus dem Domainpart den Host mail.webpage.t-com.de macht, merkwürdiger weise werden alle Einträge in der Transport ignoriert. Im Moment hab ich jetzt einfach die Domain des Kunden in die Transport gezimmert was den Relay zu einem meiner Systeme macht was von der Telekom Akzeptiert wird. Das wird bei vielen Telekom Domains aber irgendwann zu viel Arbeit, und im Moment stehe ich auf den Schlauch bzw. sehe den Wald vor lauter Bäumen nicht mehr. Wäre schön wenn mal jemand einen Passenden Tipp hätte. Grüße Sven -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From hajo.locke at gmx.de Tue Sep 3 08:56:35 2013 From: hajo.locke at gmx.de (Hajo Locke) Date: Tue, 3 Sep 2013 08:56:35 +0200 Subject: [Postfixbuch-users] pam_mysql emailadressen als logins References: <5224AA30.3080202@0xaffe.de> <5224C60F.2080709@0xaffe.de> <5224E05C.7090001@0xaffe.de> Message-ID: <2601EB9B0A17450B8D9E677B7B3718AA@ai.local> Hallo, >> Das einfachste (was mir gerade einfällt) ist die "Services", für die ein >> User Auth benutzen darf, in einer Extra-DB-Tabelle zu verwalten: >>und dann die password_query zu erweitern: >> password_query = SELECT ... WHERE user_name='%n' AND '%s' IN (SELECT >> services FROM test.test WHERE user='%n') Danke, das klappt und ist eine gute Lösung. Eigentlich klar dass dovecot wissen muss welcher Dienst die Authentifizierung abfragt, aber darauf muss man erstmal kommen. Danke, Hajo From postfixbuch-users at 0xaffe.de Tue Sep 3 09:54:33 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 03 Sep 2013 09:54:33 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> Message-ID: <522595B9.7010500@0xaffe.de> Hallo Sven, Am 03.09.13 00:04, schrieb roellig at roellig-ltd.de: > ich hab mit einem Kunden Probleme der Mails an die Telekom schickt. > > Sobald er eine Mail verschickt bleibt diese hängen mit der üblichen > Fehlermeldung "554 refused to talk me.. blabla übliches Telekom > geschwafel tosar at rx.t-online.de" Und warum lehnt die Telekom die Mails Deines Kunden ab? Ich schätze hier liegt das eigentliche Problem. > Da hab ich aber über die Transport gelöst und hat mit den üblichen > Adressen auch > gut Funktioniert. Also Kunden SMTP zu mir und dann zur Telekom. > > Nur jetzt ist das eine Domain die über die Telekom gehostet wird und aus > dem Domainpart > den Host mail.webpage.t-com.de macht, merkwürdiger weise werden alle > Einträge in der > Transport ignoriert. Warum lässt Du nur die Mails "an die Telekom" über Deinen Relay transportieren und nicht alle Mails? Mit "postmap -q" kannst Du übrigens die Postfix-Maps manuell abfragen, also z.B. (bei Transport-Map im Format "hash"): $ postmap -q mail.webpage.t-com.de hash:/etc/postfix/transport Wie eingangs erwähnt - versuche lieber die Ursache zu beheben, als an den Symptomen "herumzudoktern". Viele Grüße, Mathias. From roellig at roellig-ltd.de Tue Sep 3 10:10:45 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Tue, 03 Sep 2013 08:10:45 +0000 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <522595B9.7010500@0xaffe.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> Message-ID: <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> Hallo Zitat von Mathias Jeschke : > Hallo Sven, > > Am 03.09.13 00:04, schrieb roellig at roellig-ltd.de: > >> ich hab mit einem Kunden Probleme der Mails an die Telekom schickt. >> >> Sobald er eine Mail verschickt bleibt diese hängen mit der üblichen >> Fehlermeldung "554 refused to talk me.. blabla übliches Telekom >> geschwafel tosar at rx.t-online.de" > > Und warum lehnt die Telekom die Mails Deines Kunden ab? > Ich schätze hier liegt das eigentliche Problem. Na der übliche Kram halt. nen reverse lookup fehlt, der Dienstanbieter meines Kunden will dafür aber 20 ? im Monat haben und der Kunde hat natürlich nicht daran geachtet als der Server angemietet wurde. >> Da hab ich aber über die Transport gelöst und hat mit den üblichen >> Adressen auch gut Funktioniert. Also Kunden SMTP zu mir und dann >> zur Telekom. >> >> Nur jetzt ist das eine Domain die über die Telekom gehostet wird und aus >> dem Domainpart >> den Host mail.webpage.t-com.de macht, merkwürdiger weise werden alle >> Einträge in der >> Transport ignoriert. > > Warum lässt Du nur die Mails "an die Telekom" über Deinen Relay > transportieren und nicht alle Mails? die verschicken halt so viel Mails das ich das nicht will, außerdem haben die nur das relaying für die Telekom Mails gebucht. > Mit "postmap -q" kannst Du übrigens die Postfix-Maps manuell abfragen, > also z.B. (bei Transport-Map im Format "hash"): > $ postmap -q mail.webpage.t-com.de hash:/etc/postfix/transport die Idee hab ich ja schon getestet. aber die Mails gehen trotzdem nicht. im übrigen ist ja die Adresse ganz normal, also kunde1 at domain.de und postfix versucht das an mail.webpage.t-com.de zu relayen aber genau das soll er nicht machen sondern wenn er die Relay Adresse hat zu mir und dann zur Telekom. > > Wie eingangs erwähnt - versuche lieber die Ursache zu beheben, als an > den Symptomen "herumzudoktern". > > Viele Grüße, > Mathias. -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From postfixbuch-users at 0xaffe.de Tue Sep 3 10:24:13 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 03 Sep 2013 10:24:13 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> Message-ID: <52259CAD.8090509@0xaffe.de> Hallo Sven, Am 03.09.13 10:10, schrieb roellig at roellig-ltd.de: >> Und warum lehnt die Telekom die Mails Deines Kunden ab? >> Ich schätze hier liegt das eigentliche Problem. > Na der übliche Kram halt. nen reverse lookup fehlt, der Dienstanbieter > meines Kunden will dafür aber 20 ? im Monat haben und der Kunde > hat natürlich nicht daran geachtet als der Server angemietet wurde. Ich weiß ja nicht welche Stundensätze Du so nimmst, aber ich würde dem Kunden raten den Dienstleister zu wechseln (bzw. einen Wechsel androhen) und in der Zwischenzeit die 20 ? monatlich zu zahlen. >> Warum lässt Du nur die Mails "an die Telekom" über Deinen Relay >> transportieren und nicht alle Mails? > die verschicken halt so viel Mails das ich das nicht will, außerdem > haben die nur das relaying für die Telekom Mails gebucht. Ich hoffe dem Kunden ist bewusst, dass sein eigenes Setup (s.o.) kaputt ist und nicht nur Telekom-Mails betroffen sind. >> Mit "postmap -q" kannst Du übrigens die Postfix-Maps manuell abfragen, >> also z.B. (bei Transport-Map im Format "hash"): >> $ postmap -q mail.webpage.t-com.de hash:/etc/postfix/transport > die Idee hab ich ja schon getestet. > > aber die Mails gehen trotzdem nicht. > im übrigen ist ja die Adresse ganz normal, also > kunde1 at domain.de und postfix versucht das an mail.webpage.t-com.de > zu relayen aber genau das soll er nicht machen sondern wenn er die > Relay Adresse hat zu mir und dann zur Telekom. Klar geht das nicht, weil der Transport-Lookup auf Basis der Zieladresse/-domain statt findet und nicht auf Basis des (bereits aufgelösten) Ziel-MX. Da wirst Du wohl um Black- bzw. Whitelisting nicht herumkommen, wo wir wieder bei der Wirtschaftlichkeit bzw. Ursachenbehebung wären ;-) Mathias. From r.sander at heinlein-support.de Tue Sep 3 10:25:12 2013 From: r.sander at heinlein-support.de (Robert Sander) Date: Tue, 03 Sep 2013 10:25:12 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> Message-ID: <52259CE8.2050607@heinlein-support.de> On 03.09.2013 10:10, roellig at roellig-ltd.de wrote: > nen reverse lookup fehlt, der Dienstanbieter > meines Kunden will dafür aber 20 ? im Monat haben Hm, das ist ja ein interessantes Geschäftsmodell... Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 901 bytes Beschreibung: OpenPGP digital signature URL : From roellig at roellig-ltd.de Tue Sep 3 11:43:47 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Tue, 03 Sep 2013 09:43:47 +0000 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <52259CAD.8090509@0xaffe.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> Message-ID: <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> Hallo Zitat von Mathias Jeschke : > Hallo Sven, > > Am 03.09.13 10:10, schrieb roellig at roellig-ltd.de: > >>> Und warum lehnt die Telekom die Mails Deines Kunden ab? >>> Ich schätze hier liegt das eigentliche Problem. > >> Na der übliche Kram halt. nen reverse lookup fehlt, der Dienstanbieter >> meines Kunden will dafür aber 20 ? im Monat haben und der Kunde >> hat natürlich nicht daran geachtet als der Server angemietet wurde. > > Ich weiß ja nicht welche Stundensätze Du so nimmst, aber ich würde dem > Kunden raten den Dienstleister zu wechseln (bzw. einen Wechsel androhen) > und in der Zwischenzeit die 20 ? monatlich zu zahlen. Schon vorgeschlagen wurde aber rigoros abgelehnt. >>> Warum lässt Du nur die Mails "an die Telekom" über Deinen Relay >>> transportieren und nicht alle Mails? >> die verschicken halt so viel Mails das ich das nicht will, außerdem >> haben die nur das relaying für die Telekom Mails gebucht. > > Ich hoffe dem Kunden ist bewusst, dass sein eigenes Setup (s.o.) kaputt > ist und nicht nur Telekom-Mails betroffen sind. Nein das Setup ist nicht Kaputt, es betrifft halt nur die Domains die durch die Telekom gehostet werden und als Relay eben mail.webpage.t-com.de zurückliefern. Die normalen Mailadressen mit der Telekomdomain hinten dran werden sauber über die Transport zu mir Relayed. >>> Mit "postmap -q" kannst Du übrigens die Postfix-Maps manuell abfragen, >>> also z.B. (bei Transport-Map im Format "hash"): >>> $ postmap -q mail.webpage.t-com.de hash:/etc/postfix/transport >> die Idee hab ich ja schon getestet. >> >> aber die Mails gehen trotzdem nicht. >> im übrigen ist ja die Adresse ganz normal, also >> kunde1 at domain.de und postfix versucht das an mail.webpage.t-com.de >> zu relayen aber genau das soll er nicht machen sondern wenn er die >> Relay Adresse hat zu mir und dann zur Telekom. > > Klar geht das nicht, weil der Transport-Lookup auf Basis der > Zieladresse/-domain statt findet und nicht auf Basis des (bereits > aufgelösten) Ziel-MX. > > Da wirst Du wohl um Black- bzw. Whitelisting nicht herumkommen, wo wir > wieder bei der Wirtschaftlichkeit bzw. Ursachenbehebung wären ;-) gibt es trotzdem ne Möglichkeit das anhand der Telekom relayadresse zu lösen? das wäre nämlich nur ein Eintrag und ziemlich wartungsarm. das eintragen der Telekomdomains in die Transport wird mir auf Dauer zu viel Handarbeit und ist auch zu Fehler trächtig. Ausserdem müsste man das für jeden meiner Kunden, die eine solche Konstellation haben, erneut einbauen. > > Mathias. Grüsse Sven -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From roellig at roellig-ltd.de Tue Sep 3 11:49:57 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Tue, 03 Sep 2013 09:49:57 +0000 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <52259CE8.2050607@heinlein-support.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CE8.2050607@heinlein-support.de> Message-ID: <20130903094957.Horde.lTEedmOTUHD_MF8888iXFA2@mail.roellig-ltd.de> Hallo, Zitat von Robert Sander : > On 03.09.2013 10:10, roellig at roellig-ltd.de wrote: >> nen reverse lookup fehlt, der Dienstanbieter >> meines Kunden will dafür aber 20 ? im Monat haben > > Hm, das ist ja ein interessantes Geschäftsmodell... Ja, :) ist aber für mich eigentlich schei**e weil die Kunden sich solch einen Murks sich andrehen lassen und wir dann um Hilfe gebeten werden das wieder gerade zu bügeln. Die meisten IT´ler die da draußen sowas aufstellen haben halt keine ordentlichen Kurse bei PEER gemacht. Klar verdiene ich damit einiges an Geld aber mir wäre nen Ordentliches Blech mit nem Reverse Lookup Eintrag lieber weil das eben ORDENTLICH ist. Grüsse Sven > > Viele Grüße > -- > Robert Sander > Heinlein Support GmbH > Schwedter Str. 8/9b, 10119 Berlin > > http://www.heinlein-support.de > > Tel: 030 / 405051-43 > Fax: 030 / 405051-19 > > Zwangsangaben lt. §35a GmbHG: > HRB 93818 B / Amtsgericht Berlin-Charlottenburg, > Geschäftsführer: Peer Heinlein -- Sitz: Berlin -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From postfixbuch-users at 0xaffe.de Tue Sep 3 13:29:37 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 03 Sep 2013 13:29:37 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> Message-ID: <5225C821.3080806@0xaffe.de> Hallo, Am 03.09.13 11:43, schrieb roellig at roellig-ltd.de: >> Ich weiß ja nicht welche Stundensätze Du so nimmst, aber ich würde dem >> Kunden raten den Dienstleister zu wechseln (bzw. einen Wechsel androhen) >> und in der Zwischenzeit die 20 ? monatlich zu zahlen. > Schon vorgeschlagen wurde aber rigoros abgelehnt. Dann kann der Kunde offenbar nicht rechnen ;-) >> Ich hoffe dem Kunden ist bewusst, dass sein eigenes Setup (s.o.) kaputt >> ist und nicht nur Telekom-Mails betroffen sind. > Nein das Setup ist nicht Kaputt, es betrifft halt nur die Domains die > durch die Telekom gehostet werden und als Relay eben mail.webpage.t-com.de > zurückliefern. Die normalen Mailadressen mit der Telekomdomain hinten dran > werden sauber über die Transport zu mir Relayed. Sorry, aber ein Setup mit Mailserver ohne PTR-Eintrag im DNS ist kaputt! Da kann die Telekom erst einmal gar nichts dafür und es ist (aus meiner Sicht) auch nicht verwerflich Anfragen von solchen Systemen abzulehnen, wenn dieses Verhalten i.d.R. auf Spammer zutrifft. Das muss halt jeder Postmaster für sich selbst entscheiden, ob er solche Mails annimmt - meine Server tun das nicht. > gibt es trotzdem ne Möglichkeit das anhand der Telekom relayadresse zu > lösen? das wäre nämlich nur ein Eintrag und ziemlich wartungsarm. Die einzige "saubere" Lösung (ohne Hacks mit anderen Nachteilen) ist das Problem (fehlender PTR-Record) zu beheben. Mathias. From pug+postfixbuch-users at felsing.net Tue Sep 3 13:37:13 2013 From: pug+postfixbuch-users at felsing.net (Christian Felsing) Date: Tue, 03 Sep 2013 13:37:13 +0200 Subject: [Postfixbuch-users] smtpd_sender_login_maps Message-ID: <5225C9E9.1070209@felsing.net> Hallo zusammen, für sasl authentifizierte User kann man smtpd_sender_login_maps als Map setzen, um festzustellen, dass das Sender Name = auth. E-Mail User ist. Kann man das beim Postfis auch so hinbiegen, dass das mit Clientzertifikaten funktioniert? Mit smtpd_tls_req_ccert=no smtpd_tls_ask_ccert=yes kann ich ihm ja sagen, dass er nach einem Clientzertifikat fragen soll, und über die Restrictions kann man festlegen, dass entweder permit_tls_all_clientcerts, permit_sasl_authenticated, reject greift was dazu führen sollte, dass er auf Sasl Auth verzichtet, wenn der Client ein Client Zertifikat hat, ansonsten eben Reject. Bleibt also nur noch die Frage, wie man dem Postfix beibiegen kann, dass er prüfen soll, ob im Zertifikatsattribut email= gleich Sender ist. Die Postfix Doku und auch das Postfixbuch hüllen sich dazu in Schweigen... Viele Grüße Christian From andreas.schulze at datev.de Tue Sep 3 14:13:55 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 3 Sep 2013 14:13:55 +0200 Subject: [Postfixbuch-users] smtpd_sender_login_maps In-Reply-To: <5225C9E9.1070209@felsing.net> References: <5225C9E9.1070209@felsing.net> Message-ID: <20130903121355.GB14758@spider.services.datevnet.de> Am 03.09.2013 13:37 schrieb Christian Felsing: > smtpd_sender_login_maps verarbeitet lt. doku wirklich nur "SASL login names" > Bleibt also nur noch die Frage, wie man dem Postfix beibiegen kann, dass > er prüfen soll, ob im Zertifikatsattribut email= gleich > Sender ist. da musst Du wohl mal auf der englischen postfix liste anfragen... > Die Postfix Doku und auch das Postfixbuch hüllen sich dazu in Schweigen... wenn's da nicht drin steht, geht's auch nicht. Andreas -- auf Jobsuche? https://www.datev.de/bms/cgi-bin/appl/selfservice.pl?action=jobdetail;job_pub_nr=6E35B076-D894-4000-8F02-F99B85163DF7;p=homepage Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From p at sys4.de Tue Sep 3 14:32:14 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 3 Sep 2013 14:32:14 +0200 Subject: [Postfixbuch-users] smtpd_sender_login_maps In-Reply-To: <5225C9E9.1070209@felsing.net> References: <5225C9E9.1070209@felsing.net> Message-ID: <20130903123213.GA10977@sys4.de> * Christian Felsing : > Hallo zusammen, > > für sasl authentifizierte User kann man smtpd_sender_login_maps als Map > setzen, um festzustellen, dass das Sender Name = auth. E-Mail User ist. > > Kann man das beim Postfis auch so hinbiegen, dass das mit > Clientzertifikaten funktioniert? Nein. Ich hatte mit Wietse mal Parameter spezifiziert und Dokumentation dazu verfaßt, aber Wietse fand dann wohl keine Zeit, es zu implementieren. Im Moment kannst Du das 'nur' mit einem policy-Service erreichen. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From bjoern.meier at gmail.com Tue Sep 3 15:20:26 2013 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Tue, 3 Sep 2013 15:20:26 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <52259CE8.2050607@heinlein-support.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CE8.2050607@heinlein-support.de> Message-ID: hi, Am 3. September 2013 10:25 schrieb Robert Sander : > On 03.09.2013 10:10, roellig at roellig-ltd.de wrote: >> nen reverse lookup fehlt, der Dienstanbieter >> meines Kunden will dafür aber 20 ? im Monat haben > > Hm, das ist ja ein interessantes Geschäftsmodell... > Ging mir auch durch den Sinn. Ich sollte den Wirtschaftsbereich wechseln. 20? für jeden DNS Eintrag (gilt nur für A-Einträge und deren Referenzen; AAAA kosten 80?/mnt. logisch, ne). Gruß, Björn From t.schneider at tms-itdienst.at Wed Sep 4 10:52:51 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 10:52:51 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? Message-ID: <5226F4E3.5020509@tms-itdienst.at> Hallo, hat das jemand schon im Einsatz? Ich meine was ist beim Empfangsserver zutun, dass der dieses Zertifikat als vertrauenswürdig ansieht, oder ist das hier nicht notwendig? Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From Jogie at quantentunnel.de Wed Sep 4 11:18:02 2013 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Wed, 4 Sep 2013 11:18:02 +0200 (CEST) Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5226F4E3.5020509@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> Message-ID: Hi Timm, > hat das jemand schon im Einsatz? > Ich meine was ist beim Empfangsserver zutun, dass der dieses Zertifikat > als vertrauenswürdig ansieht, oder ist das hier nicht notwendig? Habe es nach dem http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/ Artikel eingerichtet. Läuft super. Gruß, Jörg From t.schneider at tms-itdienst.at Wed Sep 4 11:25:55 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 11:25:55 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: References: <5226F4E3.5020509@tms-itdienst.at> Message-ID: <5226FCA3.4040501@tms-itdienst.at> Hallo Jörg, > > Habe es nach dem http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/ Artikel eingerichtet. Läuft super. > > Gruß, Jörg > bekomme hier ein "No route to Host", es scheint wohl den Server nicht mehr zu geben, oder die Seite ist Temporär nicht erreichbar, leider. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From Ralf.Hildebrandt at charite.de Wed Sep 4 11:28:59 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 4 Sep 2013 11:28:59 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5226FCA3.4040501@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> Message-ID: <20130904092859.GA23784@charite.de> * Timm Schneider : > Hallo Jörg, > > > > > > Habe es nach dem http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/ Artikel eingerichtet. Läuft super. > > > > Gruß, Jörg > > > > bekomme hier ein "No route to Host", es scheint wohl den Server nicht > mehr zu geben, oder die Seite ist Temporär nicht erreichbar, leider. geht 1a -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From technoworx at gmx.de Wed Sep 4 11:32:52 2013 From: technoworx at gmx.de (Alexander Stoll) Date: Wed, 04 Sep 2013 11:32:52 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <20130904092859.GA23784@charite.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> Message-ID: <5226FE44.2040402@gmx.de> Am 04.09.2013 11:28, schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo Jörg, >> >> >>> >>> Habe es nach dem http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/ Artikel eingerichtet. Läuft super. >>> >>> Gruß, Jörg >>> >> >> bekomme hier ein "No route to Host", es scheint wohl den Server nicht >> mehr zu geben, oder die Seite ist Temporär nicht erreichbar, leider. > > geht 1a ...wieder... bestätige ein temporäres Problem mit der Route... -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2576 bytes Beschreibung: S/MIME Kryptografische Unterschrift URL : From t.schneider at tms-itdienst.at Wed Sep 4 11:57:14 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 11:57:14 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5226FE44.2040402@gmx.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> Message-ID: <522703FA.5010402@tms-itdienst.at> Hallo, ja super geht wieder. Danke gut erklärt, soweit. ABER, wie verhält sich nun der Server an dem mein Postfix die Mail dann ausliefert, wenn der ein durch CAcert ausgestelltes Zertifikat nicht als vertrauenswürdig sieht? bzw. wo sieht postfix nach den root Zertifikaten nach? Grüße Timm Am 04.09.2013 11:32, schrieb Alexander Stoll: > Am 04.09.2013 11:28, schrieb Ralf Hildebrandt: >> * Timm Schneider : >>> Hallo Jörg, >>> >>> >>>> >>>> Habe es nach dem >>>> http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/ >>>> Artikel eingerichtet. Läuft super. >>>> >>>> Gruß, Jörg >>>> >>> >>> bekomme hier ein "No route to Host", es scheint wohl den Server nicht >>> mehr zu geben, oder die Seite ist Temporär nicht erreichbar, leider. >> >> geht 1a > > ...wieder... > > bestätige ein temporäres Problem mit der Route... > > > > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From Ralf.Hildebrandt at charite.de Wed Sep 4 12:00:10 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 4 Sep 2013 12:00:10 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522703FA.5010402@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> Message-ID: <20130904100010.GE23784@charite.de> * Timm Schneider : > Hallo, > > ja super geht wieder. > Danke gut erklärt, soweit. > ABER, wie verhält sich nun der Server an dem mein Postfix die Mail dann > ausliefert, wenn der ein durch CAcert ausgestelltes Zertifikat nicht als > vertrauenswürdig sieht? Wer prüft sowas denn? > bzw. wo sieht postfix nach den root Zertifikaten nach? smtpd_tls_CAfile smtp_tls_CAfile -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From w.flamme at web.de Wed Sep 4 12:43:23 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 12:43:23 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <20130904100010.GE23784@charite.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904100010.GE23784@charite.de> Message-ID: <52270ECB.9060409@web.de> Ralf Hildebrandt [04.09.2013 12:00]: > * Timm Schneider : >> bzw. wo sieht postfix nach den root Zertifikaten nach? > > smtpd_tls_CAfile > smtp_tls_CAfile und/oder smtp{,d}_tls_CApath ergänzt Werner -- From p at sys4.de Wed Sep 4 13:32:05 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 4 Sep 2013 13:32:05 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522703FA.5010402@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> Message-ID: <20130904113203.GB20407@sys4.de> * Timm Schneider : > Hallo, > > ja super geht wieder. > Danke gut erklärt, soweit. > ABER, wie verhält sich nun der Server an dem mein Postfix die Mail dann > ausliefert, wenn der ein durch CAcert ausgestelltes Zertifikat nicht als > vertrauenswürdig sieht? Das entscheidet der Client. Üblicherweise nehmen die Meisten "may" als policy und dann nimmt Postfix es z.B. dann wenn es angeboten wird. Zusätzlich kannst Du mit smtp_tls_per_site per Site policies definieren, die vom globalen "may" abweichen. Ist es wichtig, ob der Client das Server-Cert verifizieren kann? Nicht immer! Den meisten genügt es, verschlüsselt zu senden und Datenintegrität zu wahren. Identität, ist da meist nachranging. Die bekommst du über einen Check der Signatur beim CA. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From t.schneider at tms-itdienst.at Wed Sep 4 14:07:05 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 14:07:05 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <20130904113203.GB20407@sys4.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> Message-ID: <52272269.2060106@tms-itdienst.at> Hi evtl. lege ich hier einem Irrtum nahe. Da ich derzeit mit meinem Thunderbird signiere und verschlüssel, und hier ein Zertifikat erst verwendet werden kann, wenn die Kette passt, also die rootCA Stelle vom TB als vertrauenswürdig erachtet wird. Ist es von Maiserver zu Mailserver nicht so? Wahrscheinlich ist es so, dass mir der Zielserver sein public Cert sendet mit dem dann meiner verschlüsselt und umgekehrt, sonst wird nichts weiter überprüft. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From t.schneider at tms-itdienst.at Wed Sep 4 14:19:53 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 14:19:53 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52272269.2060106@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> Message-ID: <52272569.6030109@tms-itdienst.at> Hallo, ach noch etwas, benötige ich ein Klasse1 oder 3? Ich nehme an Klasse 1, da hier keine Identität geprüft wird? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Wed Sep 4 14:35:42 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 14:35:42 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52272269.2060106@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> Message-ID: <5227291E.2060604@web.de> Timm Schneider [04.09.2013 14:07]: > Hi > > evtl. lege ich hier einem Irrtum nahe. > Da ich derzeit mit meinem Thunderbird signiere und verschlüssel, und > hier ein Zertifikat erst verwendet werden kann, wenn die Kette passt, > also die rootCA Stelle vom TB als vertrauenswürdig erachtet wird. > > Ist es von Maiserver zu Mailserver nicht so? > Wahrscheinlich ist es so, dass mir der Zielserver sein public Cert > sendet mit dem dann meiner verschlüsselt und umgekehrt, sonst wird > nichts weiter überprüft. Ich glaube, Du vermischt hier das Verschlüsseln der Mail an sich (bzw. des Mailinhalts; das geschieht im Mailclient (Thunderbird, z. B. mit Enigmail)) und den Transport der Mails zwischen Mailservern - per TLS. Das eine hat mit dem anderen nichts zu tun. Eine verschlüsselte Mail kann sowohl verschlüsselt als auch unverschlüsselt transportiert werden - ihr Inhalt ist trotzdem verschlüsselt. Gruß Werner -- From Jogie at quantentunnel.de Wed Sep 4 14:41:56 2013 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Wed, 4 Sep 2013 14:41:56 +0200 (CEST) Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52272569.6030109@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at>, <52272569.6030109@tms-itdienst.at> Message-ID: Hi Timm, > ach noch etwas, benötige ich ein Klasse1 oder 3? > Ich nehme an Klasse 1, da hier keine Identität geprüft wird? Klasse 1, ja. Das billigste Standard SSL reicht. -- Oder kann das auch self signed sein weil ja die Gültigkeit nicht geprüft wird? Gruß, Jörg From t.schneider at tms-itdienst.at Wed Sep 4 14:49:19 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 14:49:19 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at>, <52272569.6030109@tms-itdienst.at> Message-ID: <52272C4F.1070301@tms-itdienst.at> Hi, langsam komme ich der Sache näher. Habe nun mir ein CSR erstellt welches ich bei CAcert eingegeben habe und die haben mir nun ein signed Cert erstellt. so nun gehts dann im postfix weiter. Grüße Timm Am 04.09.2013 14:41, schrieb "Jörg Sitek": > Hi Timm, > >> ach noch etwas, benötige ich ein Klasse1 oder 3? >> Ich nehme an Klasse 1, da hier keine Identität geprüft wird? > > Klasse 1, ja. Das billigste Standard SSL reicht. > -- > > Oder kann das auch self signed sein weil ja die Gültigkeit nicht geprüft wird? > > Gruß, Jörg > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From igor.sverkos at googlemail.com Wed Sep 4 15:10:55 2013 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Wed, 4 Sep 2013 15:10:55 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52272C4F.1070301@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> Message-ID: H allo, bist du dir sicher das du weißt was du da machst? Mit x509 fallen mir im Zusammenhang mit Postfix folgende Dinge ein: - Verbindung zwischen Mailserver und Nutzer schützen (der Nutzer ist in dem Falle jemand, der bspw. per POP3 Mails abruft oder per Submission-Port Mails einliefert). - Verbindungen zwischen Mailserver absichern (wenn einer deiner Nutzer nun eine Mail bei dir eingeliefert hat und dein Mailserver losrennt um diese Mail beim Zielserver abzugeben, dann kann auch diese Verbindung, ähnlich wie die Verbindung zuvor, auf x509-Basis verschlüsselt werden). - Ein Nutzer kann via x509 eine Mail auf MUA-Ebene signieren/verschlüsseln. Das ist völlig unabhängig vom Mailserver, ähnlich wie via GPG. Stichwort S/MIME. Das wäre echte End-to-End Verschlüsselung. - Man kann statt eines Kennworts die Authentifizierung auch via x509 regeln, wobei mir da jetzt auf MUA-Ebene nichts einfällt. Ich nehme mal an, du probierst dich am zweiten Punkt. Wenn dem so ist dann lies noch einmal Ralfs Mail: > Wer prüft sowas denn? Darauf geht IMHO auch der sys4-Artikel ein, dass irgendeine Verschlüsselung besser ist als gar keine. Aber genau das ist ja ein Problem bei der Sache: Da wird etwas suggeriert, was nur gehalten werden kann, wenn das Vertrauen stimmt. Doch das ist noch nicht wirklich geregelt. Wenn also mein Mailserver dein Zertifikat nicht mag, mag er es nicht und du musst nichts falsch gemacht haben (und ich auch nicht). Also kannst du da auch das gute alte SneakOil-Zertifikat verwenden (self-signed). ...aber das hatte dir Peer doch alles schon am 28.08 geschrieben... -- Ich Grüße, Igor -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From t.schneider at tms-itdienst.at Wed Sep 4 15:22:44 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 15:22:44 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> Message-ID: <52273424.1010600@tms-itdienst.at> Hi Igor, ich test das ganze mal, darum geht es erstmal. Learning bei doing, heisst mein Motto. Grundsätzlich ist mir das jetzt schon klar um was es geht. Habe ich nun bei der Einrichtung in Postfix gesehen, da muß doch ein CAfile angegeben werden, wie ich mir das zu Anfang eben dachte. Wenn das CAfile von CAcert in dem einliefernden Server nicht vorhanden ist, dann wird wohl auch nicht der Transport verschlüsselt. Aber ich denke dass doch mehr das CAcert RootCA File in Ihrem Server haben wie ein SelfSigned. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Wed Sep 4 15:35:13 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 15:35:13 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273424.1010600@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> Message-ID: <52273711.5040700@web.de> Timm Schneider [04.09.2013 15:22]: > Hi Igor, > > > ich test das ganze mal, darum geht es erstmal. > Learning bei doing, heisst mein Motto. > Grundsätzlich ist mir das jetzt schon klar um was es geht. > Habe ich nun bei der Einrichtung in Postfix gesehen, da muß doch ein > CAfile angegeben werden, wie ich mir das zu Anfang eben dachte. Nein, muss nicht. Geht auch ohne. Dann hast Du eben im Log stehen, dass eine untrusted Verbindung aufgebaut wurde. > Wenn das CAfile von CAcert in dem einliefernden Server nicht vorhanden > ist, dann wird wohl auch nicht der Transport verschlüsselt. Nein, stimmt nicht. Ich habe mindestens 20 VMs laufen, die mit selbstsigniertem Zertifikat einliefern, das ist kein Problem. > Aber ich denke dass doch mehr das CAcert RootCA File in Ihrem Server > haben wie ein SelfSigned. Ja, schon, aber was hat das mit der TLS-Verschlüsselung zu tun? Gruß Werner -- From igor.sverkos at googlemail.com Wed Sep 4 15:44:04 2013 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Wed, 4 Sep 2013 15:44:04 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273711.5040700@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> Message-ID: Wenn direkt kein CA-File angegeben ist, gibt es da ja auch noch Default-Werte, die meistens auf /etc/ssl... zeigen. In den meisten "ca-certificates" Paketen sollte CACert.org enthalten sein, ja. >> Wenn das CAfile von CAcert in dem einliefernden Server nicht vorhanden >> ist, dann wird wohl auch nicht der Transport verschlüsselt. > > Nein, stimmt nicht. Ich habe mindestens 20 VMs laufen, die mit > selbstsigniertem Zertifikat einliefern, das ist kein Problem. Danach habe ich gerade in http://www.postfix.org/TLS_README.html geschaut. Ich würde zumindest erwarten das es eine Option gibt, welche die Validierung abschaltet. Aber so etwas habe ich beim Überfliegen jetzt nicht entdeckt, im Gegenteil, dort heißt es: Das präsentierte Zertifikat muss einer Prüfung mit "openssl verify -purpose sslserver ..." bestehen, was ein selbstsigniertes Zertifikat jetzt nicht schaffen sollte... Mhh... -- Ich Grüße, Igor -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From t.schneider at tms-itdienst.at Wed Sep 4 15:44:44 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 15:44:44 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273711.5040700@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> Message-ID: <5227394C.6080404@tms-itdienst.at> Hallo Werner, naja ich musste zumindest CAfile mit angeben(main.cf), habe nun eine Mail verschickt und das sieht so aus: 2013-09-04T15:40:42.693567+02:00 lsrv04 postfix/smtp[17904]: Host offered STARTTLS: [mx00.kundenserver.de] 2013-09-04T15:40:43.449321+02:00 lsrv04 postfix/smtp[17904]: 46CC34C931: to=, relay=mx00.kundenserver.de[212.227.17.175]:25, delay=1.2, delays=0.08/0.02/0.3/0.75, dsn=2.0.0, status=sent (250 Message 0LtGrD-1W0kjo0CiJ-012NRL accepted by mxbap0.kundenserver.de) 2013-09-04T15:40:43.452152+02:00 lsrv04 postfix/qmgr[17821]: 46CC34C931: removed Nachdem hier host offered STARTTLS steht, hat das nun funktioniert? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From t.schneider at tms-itdienst.at Wed Sep 4 15:51:09 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 15:51:09 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5227394C.6080404@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> Message-ID: <52273ACD.8050105@tms-itdienst.at> Hallo nochmal, jetzt bekomme ich diese Meldung: 2013-09-04T15:48:17.991289+02:00 lsrv04 postfix/smtp[18016]: warning: connect to private/tlsmgr: No such file or directory 2013-09-04T15:48:17.995442+02:00 lsrv04 postfix/smtpd[18010]: disconnect from moutng.kundenserver.de[212.227.17.10] 2013-09-04T15:48:18.995955+02:00 lsrv04 postfix/smtp[18016]: warning: connect to private/tlsmgr: No such file or directory 2013-09-04T15:48:18.996053+02:00 lsrv04 postfix/smtp[18016]: warning: problem talking to server private/tlsmgr: No such file or directory 2013-09-04T15:48:18.999697+02:00 lsrv04 postfix/smtp[18016]: warning: no entropy for TLS key generation: disabling TLS support habe aber in den Dokumenten mit private nichts gefunden. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Wed Sep 4 15:51:07 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 15:51:07 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5227394C.6080404@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> Message-ID: <52273ACB.9020501@web.de> Timm Schneider [04.09.2013 15:44]: > Hallo Werner, > > naja ich musste zumindest CAfile mit angeben(main.cf), habe nun eine > Mail verschickt und das sieht so aus: > > 2013-09-04T15:40:42.693567+02:00 lsrv04 postfix/smtp[17904]: Host > offered STARTTLS: [mx00.kundenserver.de] > 2013-09-04T15:40:43.449321+02:00 lsrv04 postfix/smtp[17904]: 46CC34C931: > to=, relay=mx00.kundenserver.de[212.227.17.175]:25, > delay=1.2, delays=0.08/0.02/0.3/0.75, dsn=2.0.0, status=sent (250 > Message 0LtGrD-1W0kjo0CiJ-012NRL accepted by mxbap0.kundenserver.de) > 2013-09-04T15:40:43.452152+02:00 lsrv04 postfix/qmgr[17821]: 46CC34C931: > removed > > > Nachdem hier host offered STARTTLS steht, hat das nun funktioniert? Ja, denn im Protokoll findest Du "status=sent (250 ...", also hat die Gegenstelle angenommen. Außerdem hat Postfix die Mail nicht zurückgestellt (deferred), sondern aus der Queue entfernt (removed), was nur passiert, wenn sie versandt wurde. postconf -e "smtpd_tls_loglevel = 1" postconf -e "smtp_tls_loglevel = 1" und die Infos werden ausführlicher :-) Gruß Werner -- From w.flamme at web.de Wed Sep 4 15:54:21 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 15:54:21 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> Message-ID: <52273B8D.2030208@web.de> Igor Sverkos [04.09.2013 15:44]: > Wenn direkt kein CA-File angegeben ist, gibt es da ja auch noch > Default-Werte, die meistens auf /etc/ssl... zeigen. > > In den meisten "ca-certificates" Paketen sollte CACert.org enthalten sein, > ja. > > >>> Wenn das CAfile von CAcert in dem einliefernden Server nicht vorhanden >>> ist, dann wird wohl auch nicht der Transport verschlüsselt. >> >> Nein, stimmt nicht. Ich habe mindestens 20 VMs laufen, die mit >> selbstsigniertem Zertifikat einliefern, das ist kein Problem. > > Danach habe ich gerade in http://www.postfix.org/TLS_README.html geschaut. > Ich würde zumindest erwarten das es eine Option gibt, welche die > Validierung abschaltet. Aber so etwas habe ich beim Überfliegen jetzt nicht > entdeckt, im Gegenteil, dort heißt es: Das präsentierte Zertifikat muss > einer Prüfung mit "openssl verify -purpose sslserver ..." bestehen, was ein > selbstsigniertes Zertifikat jetzt nicht schaffen sollte... Für meine Zertifikate bin ich nach vorgegangen. Klappt. Zitat aus der Seite: "Funktionsbezogen ist allerdings nur der CN (Common Name). Hier muss der Hostname des Mailservers eingetragen werden[...]" Ach ja, und falls der tlsmgr fehlen sollte, den muss man in der master.cf auskommentieren, so dass der Eintrag aktiv ist :-) Gruß Werner -- From w.flamme at web.de Wed Sep 4 15:55:55 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 15:55:55 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273ACD.8050105@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> Message-ID: <52273BEB.1020107@web.de> Timm Schneider [04.09.2013 15:51]: > Hallo nochmal, > > > jetzt bekomme ich diese Meldung: > > 2013-09-04T15:48:17.991289+02:00 lsrv04 postfix/smtp[18016]: warning: > connect to private/tlsmgr: No such file or directory > 2013-09-04T15:48:17.995442+02:00 lsrv04 postfix/smtpd[18010]: disconnect > from moutng.kundenserver.de[212.227.17.10] > 2013-09-04T15:48:18.995955+02:00 lsrv04 postfix/smtp[18016]: warning: > connect to private/tlsmgr: No such file or directory > 2013-09-04T15:48:18.996053+02:00 lsrv04 postfix/smtp[18016]: warning: > problem talking to server private/tlsmgr: No such file or directory > 2013-09-04T15:48:18.999697+02:00 lsrv04 postfix/smtp[18016]: warning: no > entropy for TLS key generation: disabling TLS support > > > habe aber in den Dokumenten mit private nichts gefunden. # grep tlsmgr /etc/postfix/master.cf tlsmgr unix - - n 1000? 1 tlsmgr Also die Zeile ent-kommentieren! Gruß Werner -- From rmayer at nerd-residenz.de Wed Sep 4 15:48:44 2013 From: rmayer at nerd-residenz.de (Ralph J.Mayer) Date: Wed, 04 Sep 2013 15:48:44 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522703FA.5010402@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> Message-ID: <52273A3C.6070000@nerd-residenz.de> Moin, > ABER, wie verhält sich nun der Server an dem mein Postfix die Mail dann > ausliefert, wenn der ein durch CAcert ausgestelltes Zertifikat nicht als > vertrauenswürdig sieht? > bzw. wo sieht postfix nach den root Zertifikaten nach? Gegenfrage, was ist der Unterschied zwischen einem selbstgniertem, einem von CACert signiertem und ein für teuer Geld signiertem Zertifikat? Das ist DER Grund daß sich DANE duchsetzen muss, der Tot dieser elenden SSL Industrie. -- Viele Grüße / Kind Regards / Cordiali Saluti / Met vriendelijke groet Ralph J.Mayer From rmayer at nerd-residenz.de Wed Sep 4 15:51:52 2013 From: rmayer at nerd-residenz.de (Ralph J.Mayer) Date: Wed, 04 Sep 2013 15:51:52 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> Message-ID: <52273AF8.3060106@nerd-residenz.de> Moin, > Darauf geht IMHO auch der sys4-Artikel ein, dass irgendeine > Verschlüsselung besser ist als gar keine. Aber genau das ist ja ein > Problem bei der Sache: Da wird etwas suggeriert, was nur gehalten werden > kann, wenn das Vertrauen stimmt. Doch das ist noch nicht wirklich geregelt. Über den Punkt kann man trefflich streiten. Letztendlich ist es für den Enduser egal ob da irgendwo dazwischen verschlüsselt wird oder nicht. Er kann es nicht enforcen und ihm bleibt nur Ende zu Ende Verschlüsselung. -- Viele Grüße / Kind Regards / Cordiali Saluti / Met vriendelijke groet Ralph J.Mayer From t.schneider at tms-itdienst.at Wed Sep 4 16:01:52 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 16:01:52 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273B8D.2030208@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <52273B8D.2030208@web.de> Message-ID: <52273D50.40503@tms-itdienst.at> Hallo Werner, ja der tlsmgr war noch nicht aktiv, habe ihn in der master.cf aktiviert und postfix restartet. Nun bekomme ich das hier 2013-09-04T15:57:58.659075+02:00 lsrv04 postfix/smtp[18281]: Trusted TLS connection established to mx00.kundenserver.de[212.227.15.134]:25: TLSv1 with cipher AES256-SHA (256/256 bits) Also funzt es jetzt und sogar Trusted, durch CAcert. Ansonsten kommt das: 2013-09-04T15:58:25.960482+02:00 lsrv04 postfix/smtpd[18237]: Anonymous TLS connection established from ilpostino.jpberlin.de[213.203.238.6]: TLSv1 with cipher AECDH-AES256-SHA (256/256 bits) Danke euch vielmals. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Wed Sep 4 16:04:16 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 04 Sep 2013 16:04:16 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273D50.40503@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <52273B8D.2030208@web.de> <52273D50.40503@tms-itdienst.at> Message-ID: <52273DE0.4010408@web.de> Timm Schneider [04.09.2013 16:01]: > Hallo Werner, > > > ja der tlsmgr war noch nicht aktiv, habe ihn in der master.cf aktiviert > und postfix restartet. > > Nun bekomme ich das hier > > 2013-09-04T15:57:58.659075+02:00 lsrv04 postfix/smtp[18281]: Trusted TLS > connection established to mx00.kundenserver.de[212.227.15.134]:25: TLSv1 > with cipher AES256-SHA (256/256 bits) > > Also funzt es jetzt und sogar Trusted, durch CAcert. > > Ansonsten kommt das: > > 2013-09-04T15:58:25.960482+02:00 lsrv04 postfix/smtpd[18237]: Anonymous > TLS connection established from ilpostino.jpberlin.de[213.203.238.6]: > TLSv1 with cipher AECDH-AES256-SHA (256/256 bits) Jedenfalls beide Male "TLS connection established" :-) Jetzt kannst Du ja noch implementieren :-) > Danke euch vielmals. Es war mir ein Vergnügen :-) Gruß Werner -- From t.schneider at tms-itdienst.at Wed Sep 4 16:05:47 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 16:05:47 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273BEB.1020107@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> <52273BEB.1020107@web.de> Message-ID: <52273E3B.7000501@tms-itdienst.at> Hallo Werner, ja das mit dem tlsmgr habe ich ja schon gemacht, das läuft jetzt. Irgendwie sind die Mail nun alle verzögert von der Liste bei mir eingetroffen. Wenn ich ne Mail an die Liste sende, dann kommt das 2013-09-04T16:01:32.028284+02:00 lsrv04 postfix/smtp[18316]: Untrusted TLS connection established to mx1.jpberlin.de[91.198.250.10]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits) Ich denke Untrusted weil das CACert nicht drin steht. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From igor.sverkos at googlemail.com Wed Sep 4 16:21:03 2013 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Wed, 4 Sep 2013 16:21:03 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273B8D.2030208@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <52273B8D.2030208@web.de> Message-ID: H allo, O K, das Detail war jetzt in diesem Zusammenhang neu für mich: "openssl verify" hat keinen Grund ein selbst signiertes Zertifikat abzulehnen, sofern dieses noch gültig ist (Valid From/To). Da postfix eben genau damit prüft (was ich jetzt mal hinterfragen würde, aber in Anbetracht von Peers Antwort, auf Timms Mail vom 28.08 vermute ich, dass genau an dieser Sache gearbeitet wird), erklärt das, weshalb selbst signierte Zertifikate gefressen werden - ohne zusätzliche Konfigurationsoption. Wenn man wohl mehr will, muss man die "TLS policy table" entsprechend setzen/anpassen. Damit habe ich so aber selber noch nichts gemacht. -- Ich Grüße, Igor -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From rico at netbreaker.de Wed Sep 4 16:50:04 2013 From: rico at netbreaker.de (Rico Koerner) Date: Wed, 04 Sep 2013 16:50:04 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5227291E.2060604@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <5227291E.2060604@web.de> Message-ID: <5227489C.3090707@netbreaker.de> Am 04.09.2013 14:35, schrieb Werner Flamme: > Timm Schneider [04.09.2013 14:07]: >> Hi >> >> evtl. lege ich hier einem Irrtum nahe. >> Da ich derzeit mit meinem Thunderbird signiere und verschlüssel, und >> hier ein Zertifikat erst verwendet werden kann, wenn die Kette passt, >> also die rootCA Stelle vom TB als vertrauenswürdig erachtet wird. >> >> Ist es von Maiserver zu Mailserver nicht so? >> Wahrscheinlich ist es so, dass mir der Zielserver sein public Cert >> sendet mit dem dann meiner verschlüsselt und umgekehrt, sonst wird >> nichts weiter überprüft. > > Ich glaube, Du vermischt hier das Verschlüsseln der Mail an sich (bzw. > des Mailinhalts; das geschieht im Mailclient (Thunderbird, z. B. mit > Enigmail)) und den Transport der Mails zwischen Mailservern - per TLS. > Das eine hat mit dem anderen nichts zu tun. Eine verschlüsselte Mail > kann sowohl verschlüsselt als auch unverschlüsselt transportiert werden > - ihr Inhalt ist trotzdem verschlüsselt. Ich glaube nicht, daß Timm da etwas vermischt, auch wenn er den MUA mit dem MTA vergleicht. Es geht hier wohl nicht darum was/wie verschlüsselt wird, sondern ob die Zertifikate akzeptiert werden und danach überhaupt verschlüsselt wird, was sich aber in beiden Fällen auf die Verbindung und nicht auf die Nachricht bezieht. Um den Vergleich fortzuführen: Im MUA kann die CA des Serverzertifikats importiert werden, daß er alle davon signierten Zertifikate akzeptiert. Ob er das von der CA abhängig macht oder das einzelne Zertifikat akzeptiert, ist ein anderes Problem. Dem MUA kannst du auch sagen, akzeptiere das Zertifikat, ohne dabei die CA zu importieren. In dem Falle muß das Folgezertifikat dann aber auch wieder manuell akzeptiert werden. Der sendende Mailserver ist hier ebenso ein Client, d.h. er muß das Zertifikat des empfangenden Mailservers akzeptieren. Bei smtp_tls steht kein cert/key, welches der Zielserver gegen eine CA verifizieren kann. CAfile/path ist hier für die Überprüfung der CA des Zielservers zuständig. Das Zertifikat wird nur bei smtpd_tls angegeben, also für den Mailempfang. Wenn du jetzt ein Zertifikat von CAcert einsetzt, ist das nur also relevant, wenn dir die Gegenseite eine Mail zustellen will. Gruß Rico -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From rico at netbreaker.de Wed Sep 4 17:16:13 2013 From: rico at netbreaker.de (Rico Koerner) Date: Wed, 04 Sep 2013 17:16:13 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> Message-ID: <52274EBD.4060207@netbreaker.de> Am 03.09.2013 11:43, schrieb roellig at roellig-ltd.de: > gibt es trotzdem ne Möglichkeit das anhand der Telekom relayadresse zu > lösen? das wäre nämlich nur ein Eintrag und ziemlich wartungsarm. Werden die Mails nur von einem Ort gesendet? Also ein ausgehender Server beim Kunden bzw. Clients aus einem Büro? Quick & Dirty: Du könntest einen Eintrag für den Hostnamen des T-Com-Relays im lokalen DNS oder in der /etc/hosts mit der IP deines Servers vornehmen. So etwas ähnliches hab ich bisher in einer pfsense eingestellt, weil dort die Smartphones wahlweise von extern (via Portforwarding) auf eine interne Maschine zugreifen oder im WLAN dann die interne IP ansprechen müssen. Also hab ich für das (W)LAN den Hostnamen im Router/DNS mit der internen IP überschrieben. Gruß Rico -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From postfixbuch-users at 0xaffe.de Wed Sep 4 17:23:19 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 04 Sep 2013 17:23:19 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5227489C.3090707@netbreaker.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <5227291E.2060604@web.de> <5227489C.3090707@netbreaker.de> Message-ID: <52275067.4000904@0xaffe.de> Hallo, Am 04.09.13 16:50, schrieb Rico Koerner: > Ich glaube nicht, daß Timm da etwas vermischt, auch wenn er den MUA mit > dem MTA vergleicht. Es geht hier wohl nicht darum was/wie verschlüsselt > wird, sondern ob die Zertifikate akzeptiert werden und danach überhaupt > verschlüsselt wird, was sich aber in beiden Fällen auf die Verbindung > und nicht auf die Nachricht bezieht. Man sollte dennoch vorsichtig mit den Termini sein, da MUA (oftmals) auch S/MIME unterstützen, das auch auf X.509-Zertifikaten basiert, und Ende-zu-Ende-Verschlüsselung ermöglicht. Ansonsten ist der Thread ziemlich Off-Topic geworden. Cheers, Mathias. From t.schneider at tms-itdienst.at Wed Sep 4 17:24:40 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 04 Sep 2013 17:24:40 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5227489C.3090707@netbreaker.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <5227291E.2060604@web.de> <5227489C.3090707@netbreaker.de> Message-ID: <522750B8.2020005@tms-itdienst.at> Hallo Rico, danke für die Info, bzw. statement. Eine letzte Frage habe ich noch, wenn in den Logfiles das steht: 2013-09-04T17:21:33.952155+02:00 lsrv04 postfix/smtp[18698]: Trusted TLS connection established to mx1.emailsrvr.com[98.129.184.131]:25: TLSv1 with cipher AES256-SHA (256/256 bits) Was genau bedeuted das Trusted, ich meine wer Trusted wem? Trusted meiner dann dem Zielserver, oder ist das eine Info des empfangenden Server, dass der meinem Trusted? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From postfixbuch-users at 0xaffe.de Wed Sep 4 17:34:04 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 04 Sep 2013 17:34:04 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <52274EBD.4060207@netbreaker.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> Message-ID: <522752EC.5020507@0xaffe.de> Hallo, Am 04.09.13 17:16, schrieb Rico Koerner: > Quick & Dirty: > Du könntest einen Eintrag für den Hostnamen des T-Com-Relays im lokalen > DNS oder in der /etc/hosts mit der IP deines Servers vornehmen. Ganz schlechte Idee, da es die Transport-Verschlüsselung kaputt macht und eher mehr Problem verursacht als löst. Bitte beachte auch, dass /etc/hosts nicht standardmäßig von Postfix berücksichtigt wird (zumindest nicht unter Debian). Gruß, Mathias. From postfixbuch-users at 0xaffe.de Wed Sep 4 17:37:21 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 04 Sep 2013 17:37:21 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522750B8.2020005@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <5227291E.2060604@web.de> <5227489C.3090707@netbreaker.de> <522750B8.2020005@tms-itdienst.at> Message-ID: <522753B1.7040004@0xaffe.de> Hi Timm, Am 04.09.13 17:24, schrieb Timm Schneider: > Was genau bedeuted das Trusted, ich meine wer Trusted wem? > Trusted meiner dann dem Zielserver, oder ist das eine Info des > empfangenden Server, dass der meinem Trusted? Der Zielserver (TLS server) verifiziert/trusted gar nichts, solange Dein Server (TLS client) keine Client-Zertifikate benutzt. Ist wie bei einem Browser mit HTTPS - da musst Du Dich i.d.R. auch noch authentifizieren, solange Dein Browser keine Client-Zertifikate benutzt. Mathias. From roellig at roellig-ltd.de Wed Sep 4 17:42:51 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Wed, 04 Sep 2013 15:42:51 +0000 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <52274EBD.4060207@netbreaker.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> Message-ID: <20130904154251.Horde.3KgTVVjhcoJ9iKzDxAJK9A1@mail.roellig-ltd.de> Hallo, Zitat von Rico Koerner : > Am 03.09.2013 11:43, schrieb roellig at roellig-ltd.de: >> gibt es trotzdem ne Möglichkeit das anhand der Telekom relayadresse zu >> lösen? das wäre nämlich nur ein Eintrag und ziemlich wartungsarm. > > Werden die Mails nur von einem Ort gesendet? Also ein ausgehender Server > beim Kunden bzw. Clients aus einem Büro? Ja, ist nen Kundenblech und alle Mails des Kunden laufen darüber. Die Telekom Mails eben über das Routing zu mir. > Quick & Dirty: > Du könntest einen Eintrag für den Hostnamen des T-Com-Relays im lokalen > DNS oder in der /etc/hosts mit der IP deines Servers vornehmen. > > So etwas ähnliches hab ich bisher in einer pfsense eingestellt, weil > dort die Smartphones wahlweise von extern (via Portforwarding) auf eine > interne Maschine zugreifen oder im WLAN dann die interne IP ansprechen > müssen. Also hab ich für das (W)LAN den Hostnamen im Router/DNS mit der > internen IP überschrieben. Bleibt aber immer noch das Risiko das die Telekom IP´s wegnimmt oder dazubaut und somit ne Mail wieder Hängenbleibt. Schöner wäre die Lösung das Postfix das selbst machen kann und das ich das auch andere Kunden System mit einbauen kann. Trotzdem danke für die Anregung > Gruß > Rico Gruß Sven -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From postfix at jpkessler.info Wed Sep 4 17:38:56 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Wed, 04 Sep 2013 17:38:56 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522750B8.2020005@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <5227291E.2060604@web.de> <5227489C.3090707@netbreaker.de> <522750B8.2020005@tms-itdienst.at> Message-ID: <52275410.30004@jpkessler.info> > 2013-09-04T17:21:33.952155+02:00 lsrv04 postfix/smtp[18698]: Trusted TLS > connection established to mx1.emailsrvr.com[98.129.184.131]:25: TLSv1 > with cipher AES256-SHA (256/256 bits) > > > Was genau bedeuted das Trusted, ich meine wer Trusted wem? > Trusted meiner dann dem Zielserver, oder ist das eine Info des > empfangenden Server, dass der meinem Trusted? Das bedeutet, dass Dein Postfix das Serverzertifikat der Gegenseite korrekt mittels der bei Dir hinterlegten CAs verifizieren konnte. From postfixbuch-users at 0xaffe.de Wed Sep 4 17:51:02 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 04 Sep 2013 17:51:02 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130904154251.Horde.3KgTVVjhcoJ9iKzDxAJK9A1@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <20130904154251.Horde.3KgTVVjhcoJ9iKzDxAJK9A1@mail.roellig-ltd.de> Message-ID: <522756E6.7000400@0xaffe.de> Hallo Sven, Ich glaube Du hast das Prinzip nicht verstanden! Am 04.09.13 17:42, schrieb roellig at roellig-ltd.de: > Bleibt aber immer noch das Risiko das die Telekom IP´s wegnimmt oder > dazubaut > und somit ne Mail wieder Hängenbleibt. Schöner wäre die Lösung das Postfix > das selbst machen kann und das ich das auch andere Kunden System mit > einbauen > kann. Es ging darum den DNS-Namen des Telekom-Servers auf DEINE IP-Adresse zeigen zu lassen. Gruß, Mathias. From w.flamme at web.de Thu Sep 5 11:16:59 2013 From: w.flamme at web.de (Werner Flamme) Date: Thu, 05 Sep 2013 11:16:59 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52273E3B.7000501@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> <52273BEB.1020107@web.de> <52273E3B.7000501@tms-itdienst.at> Message-ID: <52284C0B.8010408@web.de> Timm Schneider [04.09.2013 16:05]: > Hallo Werner, > > ja das mit dem tlsmgr habe ich ja schon gemacht, das läuft jetzt. > Irgendwie sind die Mail nun alle verzögert von der Liste bei mir > eingetroffen. > Wenn ich ne Mail an die Liste sende, dann kommt das > > 2013-09-04T16:01:32.028284+02:00 lsrv04 postfix/smtp[18316]: Untrusted > TLS connection established to mx1.jpberlin.de[91.198.250.10]:25: TLSv1.2 > with cipher AECDH-AES256-SHA (256/256 bits) > > Ich denke Untrusted weil das CACert nicht drin steht. Weil die CA, die das Zertifikat auf mx1.jpberlin.de ausgestellt hat, von Deinem Postfix nicht als vertraut erkannt wird. Du siehst ja die Meldungen Deines Servers. Wenn die Verbindung für Deinen Server untrusted ist, kann er mit dem Zertifikat der Gegenseite nichts anfangen. Die Meldung ändert sich vielleicht, wenn Du den Wert für smtp_tls_CApath auf /etc/ssl/certs setzt (wenn Deine Distri die Root-CA-Zertifikate dort ablegt, sonst halt der entsprechende Wert). Gruß Werner -- From w.flamme at web.de Thu Sep 5 11:21:13 2013 From: w.flamme at web.de (Werner Flamme) Date: Thu, 05 Sep 2013 11:21:13 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <522752EC.5020507@0xaffe.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <522752EC.5020507@0xaffe.de> Message-ID: <52284D09.3080302@web.de> Mathias Jeschke [04.09.2013 17:34]: > Hallo, > > Am 04.09.13 17:16, schrieb Rico Koerner: > >> Quick & Dirty: >> Du könntest einen Eintrag für den Hostnamen des T-Com-Relays im lokalen >> DNS oder in der /etc/hosts mit der IP deines Servers vornehmen. > > Ganz schlechte Idee, da es die Transport-Verschlüsselung kaputt macht > und eher mehr Problem verursacht als löst. > > Bitte beachte auch, dass /etc/hosts nicht standardmäßig von Postfix > berücksichtigt wird (zumindest nicht unter Debian). Nirgendwo, wo nicht eine gehackte Postfix-Version im Einsatz ist :-) Postfix benutzt den DNS. Wer Einträge in /etc/hosts berücksichtigen will, kann einen lokalen Hilfs-DNS wie DNSmasq benutzen. Im Default liest er /etc/hosts und liefert die Einträge per DNS aus. Dann sollte natürlich an erster Stelle der /etc/resolv.conf der nameserver 127.0.0.1 eingetragen sein :-) Gruß Werner -- From t.schneider at tms-itdienst.at Thu Sep 5 11:45:50 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 05 Sep 2013 11:45:50 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <52284C0B.8010408@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> <52273BEB.1020107@web.de> <52273E3B.7000501@tms-itdienst.at> <52284C0B.8010408@web.de> Message-ID: <522852CE.7030506@tms-itdienst.at> Hallo Werner, Am 05.09.2013 11:16, schrieb Werner Flamme: > Du siehst ja die Meldungen Deines Servers. Wenn die Verbindung für > Deinen Server untrusted ist, kann er mit dem Zertifikat der Gegenseite > nichts anfangen. Ah ok, verstehe, was bedeutet dann Anonym, ich meine damit was ist der Unterschied zwischen Untrusted und Anonym? Ist damit gemeint, dass dann das Zertifikat nicht mit dem Servernamen übereinstimmt, o.ä.? > > Die Meldung ändert sich vielleicht, wenn Du den Wert für smtp_tls_CApath > auf /etc/ssl/certs setzt (wenn Deine Distri die Root-CA-Zertifikate dort > ablegt, sonst halt der entsprechende Wert). Das ist auch der Pfad bei mir, ist auch in postfix eingebunden, es gibt auch bei mir Trusted verbindungen. Wie könnte ich die CA vom Peer erfahren und mit einbinden? Thx Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From t.schneider at tms-itdienst.at Thu Sep 5 11:56:07 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 05 Sep 2013 11:56:07 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted Message-ID: <52285537.4080701@tms-itdienst.at> Hallo Werner, habe ich gerade gesehen 2013-09-05T11:46:58.633382+02:00 lsrv04 postfix/smtpd[22623]: connect from ilpostino.jpberlin.de[213.203.238.6] 2013-09-05T11:46:58.818233+02:00 lsrv04 postfix/smtpd[22623]: Anonymous TLS connection established from ilpostino.jpberlin.de[213.203.238.6]: TLSv1 with cipher AECDH-AES256-SHA (256/256 bits) 2013-09-05T11:45:31.399099+02:00 lsrv04 postfix/smtp[22631]: Untrusted TLS connection established to mx1.jpberlin.de[91.198.250.10]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits) Thx Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Thu Sep 5 12:04:44 2013 From: w.flamme at web.de (Werner Flamme) Date: Thu, 05 Sep 2013 12:04:44 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522852CE.7030506@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> <52273BEB.1020107@web.de> <52273E3B.7000501@tms-itdienst.at> <52284C0B.8010408@web.de> <522852CE.7030506@tms-itdienst.at> Message-ID: <5228573C.4090107@web.de> Timm Schneider [05.09.2013 11:45]: > Hallo Werner, > > Am 05.09.2013 11:16, schrieb Werner Flamme: >> Du siehst ja die Meldungen Deines Servers. > Wenn die Verbindung für >> Deinen Server untrusted ist, kann er mit dem Zertifikat der Gegenseite >> nichts anfangen. > > Ah ok, verstehe, was bedeutet dann Anonym, ich meine damit was ist der > Unterschied zwischen Untrusted und Anonym? > Ist damit gemeint, dass dann das Zertifikat nicht mit dem Servernamen > übereinstimmt, o.ä.? Die Meldung hatte ich noch nicht, aber das kann gut sein. In , Abschnitt "Client TLS limitations " meine ich das herauszulesen. >> Die Meldung ändert sich vielleicht, wenn Du den Wert für smtp_tls_CApath >> auf /etc/ssl/certs setzt (wenn Deine Distri die Root-CA-Zertifikate dort >> ablegt, sonst halt der entsprechende Wert). > > Das ist auch der Pfad bei mir, ist auch in postfix eingebunden, es gibt > auch bei mir Trusted verbindungen. Wie könnte ich die CA vom Peer > erfahren und mit einbinden? Fällt mir spontan nicht ein. Das kann ich vom Büro aus nicht ausprobieren, wir kommen nur über einen Relayhost in die weite Welt :-\ Vielleicht bekommst Du ja eine Antwort, wenn Du an den postmaster schreibst :-) Gruß Werner -- From w.flamme at web.de Thu Sep 5 12:30:32 2013 From: w.flamme at web.de (Werner Flamme) Date: Thu, 05 Sep 2013 12:30:32 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <5228573C.4090107@web.de> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> <52273BEB.1020107@web.de> <52273E3B.7000501@tms-itdienst.at> <52284C0B.8010408@web.de> <522852CE.7030506@tms-itdienst.at> <5228573C.4090107@web.de> Message-ID: <52285D48.9050705@web.de> Werner Flamme [05.09.2013 12:04]: > Timm Schneider [05.09.2013 11:45]: >> >> Das ist auch der Pfad bei mir, ist auch in postfix eingebunden, es gibt >> auch bei mir Trusted verbindungen. Wie könnte ich die CA vom Peer >> erfahren und mit einbinden? *stirnpatsch* Steht doch in Peers Blog, dessen URL ich gestern geschickt habe :-) openssl s_client -starttls smtp -connect remotehost:25 Statt "remotehost" schreibst Du den Server hin, den Du untersuchen willst... Gruß Werner -- From postfixbuch-users at 0xaffe.de Thu Sep 5 13:57:16 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Thu, 05 Sep 2013 13:57:16 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <52284D09.3080302@web.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <522752EC.5020507@0xaffe.de> <52284D09.3080302@web.de> Message-ID: <5228719C.4040109@0xaffe.de> Hi Werner, Am 05.09.13 11:21, schrieb Werner Flamme: > Nirgendwo, wo nicht eine gehackte Postfix-Version im Einsatz ist :-) Dazu braucht man Postfix nicht zu hacken: http://www.postfix.org/postconf.5.html#smtp_host_lookup > Postfix benutzt den DNS. Wer Einträge in /etc/hosts berücksichtigen > will, kann einen lokalen Hilfs-DNS wie DNSmasq benutzen. [...] Das ist definitiv der bessere Weg, zumal man mit dnsmasq auch die MX-Records kontrollieren kann, sofern man dass denn muss ;-) Gruß, Mathias. From w.flamme at web.de Thu Sep 5 15:16:29 2013 From: w.flamme at web.de (Werner Flamme) Date: Thu, 05 Sep 2013 15:16:29 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <5228719C.4040109@0xaffe.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <522752EC.5020507@0xaffe.de> <52284D09.3080302@web.de> <5228719C.4040109@0xaffe.de> Message-ID: <5228842D.7030809@web.de> Mathias Jeschke [05.09.2013 13:57]: > Hi Werner, > > Am 05.09.13 11:21, schrieb Werner Flamme: > >> Nirgendwo, wo nicht eine gehackte Postfix-Version im Einsatz ist :-) > > Dazu braucht man Postfix nicht zu hacken: > http://www.postfix.org/postconf.5.html#smtp_host_lookup Peinlich. Der Parameter ist mir entgangen :-] sichschämt Werner -- From postfix at jpkessler.info Thu Sep 5 16:26:15 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Thu, 05 Sep 2013 16:26:15 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52285537.4080701@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> Message-ID: <52289487.9040806@jpkessler.info> > 2013-09-05T11:46:58.633382+02:00 lsrv04 postfix/smtpd[22623]: connect > from ilpostino.jpberlin.de[213.203.238.6] > 2013-09-05T11:46:58.818233+02:00 lsrv04 postfix/smtpd[22623]: Anonymous > TLS connection established from ilpostino.jpberlin.de[213.203.238.6]: > TLSv1 with cipher AECDH-AES256-SHA (256/256 bits) > > > 2013-09-05T11:45:31.399099+02:00 lsrv04 postfix/smtp[22631]: Untrusted > TLS connection established to mx1.jpberlin.de[91.198.250.10]:25: TLSv1.2 > with cipher AECDH-AES256-SHA (256/256 bits) Anonymous = kein Client Zertifikat (wie idR beim Browsen) Untrusted = Zertifikat kann nicht gegen die Liste bekannter CAs verifiziert werden From postfix at jpkessler.info Thu Sep 5 16:32:35 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Thu, 05 Sep 2013 16:32:35 +0200 Subject: [Postfixbuch-users] Postfix TLS mit CAcert? In-Reply-To: <522852CE.7030506@tms-itdienst.at> References: <5226F4E3.5020509@tms-itdienst.at> <5226FCA3.4040501@tms-itdienst.at> <20130904092859.GA23784@charite.de> <5226FE44.2040402@gmx.de> <522703FA.5010402@tms-itdienst.at> <20130904113203.GB20407@sys4.de> <52272269.2060106@tms-itdienst.at> <52272569.6030109@tms-itdienst.at> <52272C4F.1070301@tms-itdienst.at> <52273424.1010600@tms-itdienst.at> <52273711.5040700@web.de> <5227394C.6080404@tms-itdienst.at> <52273ACD.8050105@tms-itdienst.at> <52273BEB.1020107@web.de> <52273E3B.7000501@tms-itdienst.at> <52284C0B.8010408@web.de> <522852CE.7030506@tms-itdienst.at> Message-ID: <52289603.7010801@jpkessler.info> > Das ist auch der Pfad bei mir, ist auch in postfix eingebunden, es gibt > auch bei mir Trusted verbindungen. Wie könnte ich die CA vom Peer > erfahren und mit einbinden? Du solltest dabei bedenken, dass Du somit *jedem* von der CA ausgestellten Zertifikat vertraust. Also die Reputation der Betreiber dieser Liste in allen Ehren, aber Du solltest generell nicht zu freizügig mit dem Import "fremder" CAs umgehen. Ich würde sogar soweit gehen, zu behaupten, dass verifiziertes TLS bei einer öffentlichen Mailingliste wie dieser wenig Sinn macht - kann sowieso jeder lesen. From t.schneider at tms-itdienst.at Thu Sep 5 16:43:29 2013 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Thu, 05 Sep 2013 16:43:29 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52289487.9040806@jpkessler.info> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> Message-ID: <52289891.7080703@tms-itdienst.at> Hi Jan, Du meinst wenn bei mir im Log Anonymous steht, dann sendet mir der Client kein Zertifikat? Wenn der Connect von einem E-Mail-Client kommt, kann ich das verstehen, aber wenn das ein anderer Mailserver ist, wie ist das dann zu bewerten? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vööcklabruck(VB) T.+43.720.501 078 (Per ENUM kostenlo erreichbar) T.+49.89.721010-77792 F.+43.720.501 078-57 Meine Public Keys finden Sie unter www.tms-itdienst.at/kontakt.htm From postfix at jpkessler.info Thu Sep 5 16:52:04 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Thu, 05 Sep 2013 16:52:04 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52289891.7080703@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> Message-ID: <52289A94.4020204@jpkessler.info> > Du meinst wenn bei mir im Log Anonymous steht, dann sendet mir der > Client kein Zertifikat? Ja. > Wenn der Connect von einem E-Mail-Client kommt, kann ich das verstehen, > aber wenn das ein anderer Mailserver ist, wie ist das dann zu bewerten? Naja, er liefert halt kein Zertifikat ;-) Im Ernst: Zu "bewerten" gibt es da (imo) nicht viel. Das hier ist eine öffentliche Mailingsliste. Weshalb sollte da mittels eines Client Zertifikates eingeliefert werden? Es gibt 2 Szenarien, bei denen Client Zertifikate Sinn machen: - Authentisierung (ähnlich SASL) - Verifiziertes (und somit gegen MITM geschütztes) TLS, wenn es wirklich auf Vertraulichkeit ankommt. Beides ist hier nicht erforderlich. From Ralf.Hildebrandt at charite.de Thu Sep 5 17:03:46 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 5 Sep 2013 17:03:46 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52289891.7080703@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> Message-ID: <20130905150346.GL30396@charite.de> * Timm M.Schneider : > Hi Jan, > > Du meinst wenn bei mir im Log Anonymous steht, dann sendet mir der > Client kein Zertifikat? > Wenn der Connect von einem E-Mail-Client kommt, kann ich das verstehen, > aber wenn das ein anderer Mailserver ist, wie ist das dann zu bewerten? Genauso. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From t.schneider at tms-itdienst.at Thu Sep 5 17:40:05 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 05 Sep 2013 17:40:05 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52289A94.4020204@jpkessler.info> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> Message-ID: <5228A5D5.6040705@tms-itdienst.at> Hi, Am 05.09.2013 16:52, schrieb Jan P. Kessler: > >> Du meinst wenn bei mir im Log Anonymous steht, dann sendet mir der >> Client kein Zertifikat? > > Ja. > >> Wenn der Connect von einem E-Mail-Client kommt, kann ich das verstehen, >> aber wenn das ein anderer Mailserver ist, wie ist das dann zu bewerten? > > Naja, er liefert halt kein Zertifikat ;-) > ja das dachte ich mir schon, aber was ich noch nicht verstehe, ist, ein Mailserver der TLS verarbeiten kann, benötigt doch ein Zertifikat. Warum verwendet er dass dann nicht? Oder wird das Zertifikat was ja mein Server jetzt für TLS verwendet nicht auch zur Identifikation beim anderen Mailserver verwendet? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From postfixbuch-users at 0xaffe.de Thu Sep 5 21:59:28 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Thu, 05 Sep 2013 21:59:28 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <5228A5D5.6040705@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> Message-ID: <5228E2A0.1000204@0xaffe.de> Hallo Timm, Am 05.09.13 17:40, schrieb Timm Schneider: > ja das dachte ich mir schon, aber was ich noch nicht verstehe, ist, ein > Mailserver der TLS verarbeiten kann, benötigt doch ein Zertifikat. > Warum verwendet er dass dann nicht? > Oder wird das Zertifikat was ja mein Server jetzt für TLS verwendet > nicht auch zur Identifikation beim anderen Mailserver verwendet? Der entscheidende Punkt ist: In welcher Rolle agiert ein "Mailserver"? Wenn Dein "Mailserver" (also die Maschine auf der Postfix läuft) als SMTP-Server mit TLS-Support agiert (durch den smtpd-Prozess), benötigt er sehr wohl ein Zertifikat: das TLS-Server-Zertifikat. Wenn Dein "Mailserver" als SMTP-Client agiert (smtp-Prozess - ohne "d"!) um Mail zuzustellen benötigt er für TLS-Verbindungen eben nicht zwingend ein Zertifikat, sonst bräuchte Dein Webbrowser ja auch immer ein Client-Zertifikat. Natürlich könnte Dein SMTP-Client das TLS-Server-Zertifikat des SMTP-Servers der Maschine als Client-Zertifikat benutzen[*], es dürfte in den meisten Szenarien aber keinen Vorteil bringen. [*] Es kann auch sein, dass Dein Zertifikat hinsichtlich der Nutzung eingeschränkt ist (KeyUsage) - dann geht das natürlich nicht. Viele Grüße, Mathias. From t.schneider at tms-itdienst.at Thu Sep 5 22:17:40 2013 From: t.schneider at tms-itdienst.at (Timm M.Schneider) Date: Thu, 05 Sep 2013 22:17:40 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <5228E2A0.1000204@0xaffe.de> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> Message-ID: <5228E6E4.7020703@tms-itdienst.at> Hallo Matthias, ah ja, jetzt versteh ich dass, klar der Daemon als horchender ist der Server, deshalb steht auch bei smtpd das crt und der key und bei smtp nur der CApath. Ob mein cert auch für den smtp geht, kann ich klären, wenn ich also zusätzlich 2 Zeilen mit smtp cert und key hinzufüge, sollte der smtp(client das benützen. Thx für die super Erklärung. -- Timm M.Schneider TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4267 bytes Beschreibung: S/MIME Kryptografische Unterschrift URL : From t.schneider at tms-itdienst.at Fri Sep 6 09:36:39 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 06 Sep 2013 09:36:39 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <5228E6E4.7020703@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> Message-ID: <52298607.8040700@tms-itdienst.at> Hallo, habe jetzt in der main.cf die beiden Zeilen smtp_tls_cert_file smtp_tls_key_file mit dem Pfad hinzugefügt, nur kann ich es nicht testen ob das wirklich verwendet wird, in den Logs sehe ich hier nichts. Bestünde die Möglichkeit eine Mail zu senden, damit jemand in seinen Mailserverlogs nachsieht, ob da jetzt eben untrusted oder trusted steht? Ich kenne leider niemanden der diese Möglichkeit hat. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From andreas.schulze at datev.de Fri Sep 6 09:44:15 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 6 Sep 2013 09:44:15 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52298607.8040700@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> Message-ID: <20130906074415.GA20531@spider.services.datevnet.de> Am 06.09.2013 09:36 schrieb Timm Schneider: > in den Logs sehe ich hier nichts. mach' das Licht an: smtp_tls_loglevel=1 -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From c.wally at cwrm.at Fri Sep 6 09:42:21 2013 From: c.wally at cwrm.at (Christian Wally) Date: Fri, 06 Sep 2013 09:42:21 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52298607.8040700@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> Message-ID: <5229875D.3060500@cwrm.at> Hallo Timm, On 06.09.13 09:36, Timm Schneider wrote: > habe jetzt in der main.cf die beiden Zeilen > smtp_tls_cert_file > smtp_tls_key_file > > mit dem Pfad hinzugefügt, nur kann ich es nicht testen ob das wirklich > verwendet wird, in den Logs sehe ich hier nichts. > Bestünde die Möglichkeit eine Mail zu senden, damit jemand in seinen > Mailserverlogs nachsieht, ob da jetzt eben untrusted oder trusted steht? Sep 6 09:39:48 dhaulagiri postfix/smtp[15215]: Untrusted TLS connection established to mail.tms-it.net[91.118.53.102]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) ciao chris -- Christian Wally ZCE, CSSA ______________________ Christian Wally Risk Management Sturnengasse 9 6700 Bludenz T: +43-5552-20803 M: +43-699-19439834 W: http://www.cwrm.at From t.schneider at tms-itdienst.at Fri Sep 6 09:54:06 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 06 Sep 2013 09:54:06 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <20130906074415.GA20531@spider.services.datevnet.de> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <20130906074415.GA20531@spider.services.datevnet.de> Message-ID: <52298A1E.3080301@tms-itdienst.at> Hallo Andreas, steht auf 1, aber wenn mein Mailserver eine Mail an jemanden verschickt, sehe ich doch nicht, ob der mir vertraut, bzw. ob der hier ein Anonymous TLS bekommt? Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From t.schneider at tms-itdienst.at Fri Sep 6 10:04:26 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 06 Sep 2013 10:04:26 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <5229875D.3060500@cwrm.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> Message-ID: <52298C8A.2080509@tms-itdienst.at> Hallo Chris, > > > Sep 6 09:39:48 dhaulagiri postfix/smtp[15215]: Untrusted TLS connection > established to mail.tms-it.net[91.118.53.102]:25: TLSv1 with cipher > ADH-AES256-SHA (256/256 bits) > > > ciao > chris jetzt steht ich echt aufm Schlauch, ich habe hier in meinem Logfile stehen: 2013-09-06T09:39:47.232941+02:00 lsrv04 postfix/smtpd[27353]: connect from dhaulagiri.cwrm.at[213.163.227.130] 2013-09-06T09:39:47.657132+02:00 lsrv04 postfix/smtpd[27353]: Anonymous TLS connection established from dhaulagiri.cwrm.at[213.163.227.130]: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) Warum steht jetzt bei Dir Untrusted und bei mir Anonymous? Aus den Mails vorher verstehe ich das so: Dein Server connected meinen, meiner sendet sein public key zu Deinem, Deiner sagt Untrusted zu dem public key, aber warum schreibt dann meiner Anonymous rein? Andersherum: Sep 6 09:49:32 dhaulagiri postfix/smtpd[15457]: Anonymous TLS connection established from mail.tms-it.net[91.118.53.102]: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) 2013-09-06T09:49:31.440142+02:00 lsrv04 postfix/smtp[27412]: Untrusted TLS connection established to dhaulagiri.cwrm.at[213.163.227.130]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) Dein Server schickt sein public key, meiner vertraut dem nicht, nun schreibt Deiner Anonymous rein. Irgendwo ist da der Wurm in meinem Verständnis drin, würde dies aber gerne beheben. Thx Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From andreas.schulze at datev.de Fri Sep 6 10:26:07 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 6 Sep 2013 10:26:07 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52298A1E.3080301@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <20130906074415.GA20531@spider.services.datevnet.de> <52298A1E.3080301@tms-itdienst.at> Message-ID: <20130906082607.GB20933@spider.services.datevnet.de> Am 06.09.2013 09:54 schrieb Timm Schneider: > steht auf 1, aber wenn mein Mailserver eine Mail an jemanden verschickt, > sehe ich doch nicht, ob der mir vertraut, bzw. ob der hier ein Anonymous > TLS bekommt? Das kannst du ja auch nicht beeinflußen. Wenn Du jemandem was schickst, kontaktierst Du dessen MX Server. Dieser wird meistens kein Client-Zertifikat anfordern. Dass muss der Server nämlich explizit tun Bei Postfix aktiviert man das mittels smtpd_tls_ask_ccert = yes Genau das soll man aber am MX nicht tun: http://www.postfix.org/TLS_README.html "Note, that unless client certificates are used to allow greater access to TLS authenticated clients, it is best to not ask for client certificates at all, as in addition to increased overhead some clients (notably in some cases qmail) are unable to complete the TLS handshake when client certificates are requested." Du kannst aber auf Deiner Client-Seite eine Liste mit CAs hinterlegen und dich dann erfreuen, wenn Dein SMTP-Client zu einem externen Server rennt, da ein Serverzertifikat präsentiert bekommt und das gegen deine Liste der vertrauenswürdigens CAs validieren kann. Dann steht in Deinem Log wenigstens drin "Nachricht vai trusterds SMTP Session zu ...i übertragen" -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From w.flamme at web.de Fri Sep 6 10:54:58 2013 From: w.flamme at web.de (Werner Flamme) Date: Fri, 06 Sep 2013 10:54:58 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52298C8A.2080509@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> <52298C8A.2080509@tms-itdienst.at> Message-ID: <52299862.2040605@web.de> Timm Schneider [06.09.2013 10:04]: > Hallo Chris, > > >> >> >> Sep 6 09:39:48 dhaulagiri postfix/smtp[15215]: Untrusted TLS connection >> established to mail.tms-it.net[91.118.53.102]:25: TLSv1 with cipher >> ADH-AES256-SHA (256/256 bits) >> >> >> ciao >> chris > > > jetzt steht ich echt aufm Schlauch, ich habe hier in meinem Logfile stehen: > > 2013-09-06T09:39:47.232941+02:00 lsrv04 postfix/smtpd[27353]: connect > from dhaulagiri.cwrm.at[213.163.227.130] > 2013-09-06T09:39:47.657132+02:00 lsrv04 postfix/smtpd[27353]: Anonymous > TLS connection established from dhaulagiri.cwrm.at[213.163.227.130]: > TLSv1 with cipher ADH-AES256-SHA (256/256 bits) > > Warum steht jetzt bei Dir Untrusted und bei mir Anonymous? > > Aus den Mails vorher verstehe ich das so: > > Dein Server connected meinen, meiner sendet sein public key zu Deinem, > Deiner sagt Untrusted zu dem public key, aber warum schreibt dann meiner > Anonymous rein? Weil der remote Client kein Zertifikat schickt. > Andersherum: > > Sep 6 09:49:32 dhaulagiri postfix/smtpd[15457]: Anonymous TLS > connection established from mail.tms-it.net[91.118.53.102]: TLSv1 with > cipher ADH-AES256-SHA (256/256 bits) > > > 2013-09-06T09:49:31.440142+02:00 lsrv04 postfix/smtp[27412]: Untrusted > TLS connection established to dhaulagiri.cwrm.at[213.163.227.130]:25: > TLSv1 with cipher ADH-AES256-SHA (256/256 bits) > > > Dein Server schickt sein public key, meiner vertraut dem nicht, nun > schreibt Deiner Anonymous rein. > > Irgendwo ist da der Wurm in meinem Verständnis drin, würde dies aber > gerne beheben. Anscheinend schickt Dein Client auch kein Zertifikat. Gruß Werner -- From t.schneider at tms-itdienst.at Fri Sep 6 11:03:04 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 06 Sep 2013 11:03:04 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52299862.2040605@web.de> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> <52298C8A.2080509@tms-itdienst.at> <52299862.2040605@web.de> Message-ID: <52299A48.50708@tms-itdienst.at> Hallo Werner, Du meinst meiner schickt kein Zertifikat wenn mir jemand etwas schickt, aber wie will der andere dann verschlüsseln? Wahrscheinlich ist es so, dass dazu der sendende meinen key verwendet und nicht mein Zertifikat dazu? Aber wie bringe ich meinen Server dazu dass er eines schickt, denn beim Andreas kam ja auch Trusted, also muß der mir ja eines geschickt haben, ich frage aber nicht nach, denn smtpd_tls_ask_ccert ist bei mir nicht gesetzt. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From t.schneider at tms-itdienst.at Fri Sep 6 11:10:42 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 06 Sep 2013 11:10:42 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52299862.2040605@web.de> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> <52298C8A.2080509@tms-itdienst.at> <52299862.2040605@web.de> Message-ID: <52299C12.8090902@tms-itdienst.at> Liegt es an diesen Dingen(Auszug aus postconf): smtpd_use_tls = no smtpd_tls_req_ccert = no smtpd_tls_eccert_file = smtpd_tls_eccert_file = smtpd_tls_ask_ccert = no Was ist heir der unterschied zwischen request und ask? cert smtp_tls_eccert_file = smtp_tls_dcert_file = Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From andreas.schulze at datev.de Fri Sep 6 13:17:29 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 6 Sep 2013 13:17:29 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <522997D5.3000301@tms-itdienst.at> References: <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <20130906074415.GA20531@spider.services.datevnet.de> <52298A1E.3080301@tms-itdienst.at> <20130906080702.GA20933@spider.services.datevnet.de> <52298E9A.3090200@tms-itdienst.at> <20130906084439.GC20933@spider.services.datevnet.de> <522997D5.3000301@tms-itdienst.at> Message-ID: <20130906111729.GA23695@spider.services.datevnet.de> Am 06.09.2013 10:52 schrieb Timm Schneider: > ok, das habe ich verstanden, aber ich fordere auch keines an, zumindest > steht das ask cert nicht in meinem cf file drin, und trotzdem steht bei > Dir Trusted drin, das verstehe ich dann nicht. Du muss bei dem Spiel immer Client und Server unterscheiden. Du bis beim Versenden der Client. Die Gegenstelle ist der öffentliche MX-Server. Als Client rennst Du los und baust eine TLS-Verbindung auf. Der Server präsentiert dabei ungefragt sein Zertifikat. Das kannst Du als Client in jedem Fall validieren und bekommtst ev. eine Trusted TLS Session. Der Server hingegen, sieht einen Client, dem er ungefragt sein Zertifikat schickt. Der hält halt einfach mal seinen Ausweis in die Landschaft. *Wer* da draußen der Cleint ist, interessiert primär nicht. Daher kann er nur "Anonymous" loggen. Erst, wenn der Server seinerseits auch vom Client ein Zertifikat anfordert, kennt er den im TLS-Sinn und kann dann einen Trust aufbauen. Und genau das soll ein MX-Server nicht tun: jeden dahergelaufenen Client fragen, ob er denn auch ein Zertifikat hat. Lt. Wietse würde das mit irgendwelchen kaputten Clients mehr schaden als nutzen. Ich persönlich habe da recht wenig Probleme gehabt. Falls es doch klemmt, wird der kaputte Client einfach ohne STARTTLS bedient (smtpd_discard_ehlo_keyword_address_maps) Eine Falle gibt es aber noch, wenn man als MX-Server Client-Zertifikate anfordert. Wenn man das tut, will man die natürlich auch gegen eine Trusted-CA Liste validieren. Sonst wäre das ja sinnfrei. Dazu muss man dem SMTP-Server also auch eine Liste der valieden CAs mitgeben. Nutzt man dazu smtpd_tls_CAfile, wird die komplette Liste aller CA-Namen im TLS Handshake übertragen. Wenn man sich einen typischen CA-Store mit > 100 CAs anschaut, kommen da gut und gerne einige KB zusammen. Das bringt in der Tat einige Clients zum Husten... Daher sollte man am SMTP-Server die Version smtpd_tls_CApath wählen. Das Problem ist auf http://www.postfix.org/TLS_README.html auch beschrieben: "When you configure the Postfix SMTP server to request client certificates, the DNs of certificate authorities in $smtpd_tls_CAfile are sent to the client, in order to allow it to choose an identity signed by a CA you trust. If no $smtpd_tls_CAfile is specified, no preferred CA list is sent, and the client is free to choose an identity signed by any CA. Many clients use a fixed identity regardless of the preferred CA list and you may be able to reduce TLS negotiation overhead by installing client CA certificates mostly or only in $smtpd_tls_CApath. In the latter case you need not specify a $smtpd_tls_CAfile. " Andreas -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From postfixbuch-users at 0xaffe.de Fri Sep 6 13:26:04 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 06 Sep 2013 13:26:04 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <20130906111729.GA23695@spider.services.datevnet.de> References: <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <20130906074415.GA20531@spider.services.datevnet.de> <52298A1E.3080301@tms-itdienst.at> <20130906080702.GA20933@spider.services.datevnet.de> <52298E9A.3090200@tms-itdienst.at> <20130906084439.GC20933@spider.services.datevnet.de> <522997D5.3000301@tms-itdienst.at> <20130906111729.GA23695@spider.services.datevnet.de> Message-ID: <5229BBCC.4050705@0xaffe.de> Hallo, Am 06.09.13 13:17, schrieb Andreas Schulze: > "When you configure the Postfix SMTP server to request client certificates, > the DNs of certificate authorities in $smtpd_tls_CAfile are sent to the client, > in order to allow it to choose an identity signed by a CA you trust. > If no $smtpd_tls_CAfile is specified, no preferred CA list is sent, > and the client is free to choose an identity signed by any CA. ..." Das ist ja blöd gelöst - smtpd_tls_CAfile wird normalerweise benutzt um dem Client eine Zertifikatskette von Zwischen-CAs zu senden, so dass der das Server-Zertifikat validieren kann, wenn er nur die Root-CA kennt. Somit kann man wohl in diesem Szenario dem Client nicht die freie CA-Wahl lassen - gut das will man i.d.R. wahrscheinlich eh nicht. (Client-Zertifikate benutzt man ja auch um seine eigene Clients zu authentifizieren und nicht fremde MXer). Mathias. From andreas.schulze at datev.de Fri Sep 6 13:48:24 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 6 Sep 2013 13:48:24 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <5229BBCC.4050705@0xaffe.de> References: <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <20130906074415.GA20531@spider.services.datevnet.de> <52298A1E.3080301@tms-itdienst.at> <20130906080702.GA20933@spider.services.datevnet.de> <52298E9A.3090200@tms-itdienst.at> <20130906084439.GC20933@spider.services.datevnet.de> <522997D5.3000301@tms-itdienst.at> <20130906111729.GA23695@spider.services.datevnet.de> <5229BBCC.4050705@0xaffe.de> Message-ID: <20130906114824.GA24388@spider.services.datevnet.de> Am 06.09.2013 13:26 schrieb Mathias Jeschke: > Das ist ja blöd gelöst - smtpd_tls_CAfile wird normalerweise benutzt um > dem Client eine Zertifikatskette von Zwischen-CAs zu senden, so dass der > das Server-Zertifikat validieren kann, wenn er nur die Root-CA kennt. nö, ich hänge mein Zertifikat und die Zwischen-CA mit cat zusammen und nehme fuer smtp_tls_cert_file sowie smtpd_tls_cert_file. Ein Root-Zertifikat sende ich nie¹ mit. Das muss die Gegenstelle sowieso haben, um irgendwas validieren zu können. smtp_tls_CAfile zeigt auf eine Datei außerhalb der Postfix chroot, in der alle CAs (wieder mit cat zusammengehangen) drinstehen, die beim Versand vertrauenswürdig sein sollen. der smtpD bekommt smtpd_tls_CApath eine (möglicherweise abweichende) CA-Liste inform eines Verzeichnisses mit mehreren .PEM Dateien. (c_rehash $dir nicht vergessen) Das muss dann auch *in* der chroot aktualisiert werden. Die Liste ist dann nur dafür zusändig, dass "via Trusted TLS Session" im Log des MX und in den Headern der empfangenen Nachrichten drinsteht. ¹) wenn doch, ist's 'ne Altlast ... -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From w.flamme at web.de Fri Sep 6 13:49:17 2013 From: w.flamme at web.de (Werner Flamme) Date: Fri, 06 Sep 2013 13:49:17 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52299C12.8090902@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> <52298C8A.2080509@tms-itdienst.at> <52299862.2040605@web.de> <52299C12.8090902@tms-itdienst.at> Message-ID: <5229C13D.7030707@web.de> Timm Schneider [06.09.2013 11:10]: > Liegt es an diesen Dingen(Auszug aus postconf): > > smtpd_use_tls = no > smtpd_tls_req_ccert = no > smtpd_tls_eccert_file = > smtpd_tls_eccert_file = > smtpd_tls_ask_ccert = no > smtp_tls_eccert_file = > smtp_tls_dcert_file = > > > Was ist heir der unterschied zwischen request und ask? cert Ich glaube wirklich, auf ist alles erklärt. Versuche die Seite (bzw. die relevanten Abschnitte rund um die gesuchten Parameter) sinnentnehmend zu lesen :-) Gruß Werner -- From postfixbuch-users at 0xaffe.de Fri Sep 6 14:00:05 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 06 Sep 2013 14:00:05 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <20130906114824.GA24388@spider.services.datevnet.de> References: <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <20130906074415.GA20531@spider.services.datevnet.de> <52298A1E.3080301@tms-itdienst.at> <20130906080702.GA20933@spider.services.datevnet.de> <52298E9A.3090200@tms-itdienst.at> <20130906084439.GC20933@spider.services.datevnet.de> <522997D5.3000301@tms-itdienst.at> <20130906111729.GA23695@spider.services.datevnet.de> <5229BBCC.4050705@0xaffe.de> <20130906114824.GA24388@spider.services.datevnet.de> Message-ID: <5229C3C5.40907@0xaffe.de> Am 06.09.13 13:48, schrieb Andreas Schulze: > ich hänge mein Zertifikat und die Zwischen-CA mit cat zusammen und > nehme fuer smtp_tls_cert_file sowie smtpd_tls_cert_file. Ein > Root-Zertifikat sende ich nie¹ mit. Das muss die Gegenstelle sowieso > haben, um irgendwas validieren zu können. Wieder was dazugelernt ;-) Viele Grüße, Mathias. From postfix at jpkessler.info Fri Sep 6 15:02:03 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Fri, 06 Sep 2013 15:02:03 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <52299C12.8090902@tms-itdienst.at> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> <52298C8A.2080509@tms-itdienst.at> <52299862.2040605@web.de> <52299C12.8090902@tms-itdienst.at> Message-ID: <5229D24B.7070206@jpkessler.info> Am 06.09.2013 11:10, schrieb Timm Schneider: > Liegt es an diesen Dingen(Auszug aus postconf): > > smtpd_use_tls = no Nu' mal ernsthaft. Klingt der ganzen TLS Sache irgendwie abträglich, oder? ;-) > smtpd_tls_req_ccert = no > smtpd_tls_ask_ccert = no > > Was ist heir der unterschied zwischen request und ask? cert ask => frag nach einem Client-Zertifikat req => fordere zwingend ein Client-Zertifikat (nicht "request", sondern "require"). Ansonsten beende die Verbindung. Aber wie schon mal jemand aus der Doku zitiert hat: Client Zertifikate sollten nur abgefragt werden, wenn sie wirklich notwendig sind (also auch wirklich geprüft werden). Wir nutzen das ganze betrieblich (in einer separaten Instanz auf einem Port != 25, um Relays an Außenstandorten zu authentisieren). Da haben wir dann auch req_ccert gesetzt. Wir hatten aber auch schon mal jene (wenn auch sehr seltenen) Interoperabilitätsprobleme, vor denen in der Doku gewarnt wird. From t.schneider at tms-itdienst.at Fri Sep 6 15:29:18 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 06 Sep 2013 15:29:18 +0200 Subject: [Postfixbuch-users] TLS - Anonymous vs. Untrusted In-Reply-To: <5229D24B.7070206@jpkessler.info> References: <52285537.4080701@tms-itdienst.at> <52289487.9040806@jpkessler.info> <52289891.7080703@tms-itdienst.at> <52289A94.4020204@jpkessler.info> <5228A5D5.6040705@tms-itdienst.at> <5228E2A0.1000204@0xaffe.de> <5228E6E4.7020703@tms-itdienst.at> <52298607.8040700@tms-itdienst.at> <5229875D.3060500@cwrm.at> <52298C8A.2080509@tms-itdienst.at> <52299862.2040605@web.de> <52299C12.8090902@tms-itdienst.at> <5229D24B.7070206@jpkessler.info> Message-ID: <5229D8AE.4060206@tms-itdienst.at> Hallo Jan, inzwischen ist es mir soweit klar. Grüße und Danke Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From wolfgang.routschka at drumedar.de Mon Sep 9 10:05:51 2013 From: wolfgang.routschka at drumedar.de (Wolfgang Routschka) Date: Mon, 9 Sep 2013 08:05:51 +0000 Subject: [Postfixbuch-users] Welche Postfix-Resourcen in DRBD Message-ID: <560ed117b58d44afaeeb3de6ee226729@AMSPR06MB590.eurprd06.prod.outlook.com> Guten Morgen Patrick, sorry wenn ich den alten Post noch einmal aufmache aber mir hat sich noch eine Frage augedr?ngt. Ich dachte ja auch an spool, lib und etc als DRBD-Volume. Berichtige mich bitte wenn ich falsch liegen sollte aber im lib-verzeichnis habe ich alle daemon-programme - in meinem Fall master.lock. Warum w?rdest du lib ins DRBD-Volume hinzunehmen? Gr??e Wolfgang * Wolfgang Routschka >: > kurze Frage bzgl. Postfix und DRBD. Welche Verzeichnisse w?rdet ihr in ein DRBD-Volume reinnehmen? > > Wir haben ein pacemaker/cman Cluster unter Scientifc Linux 6.4 64 Bit am > Laufen bzw. installiere es gerade. U. a. m?chten wir Postfix als > Cluster-Ressource einbinden. Um bei einem Failover aktuell zu bleiben wird > DRBD benutzt. > > Postfix ist aus den Source selbst kompiliert in Version 2.10. Als > DRBD-Ressourcen waren von mir die Verzeichnisse etc, spool und lib > vorgesehen. spool und lib ?ber DRBD. etc ?ber einen Versionierungsmechanismus und optional gerne ?ber ein Konfigurationsmanagementsystem. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstra?e 15, 81669 M?nchen Sitz der Gesellschaft: M?nchen, Amtsgericht M?nchen: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wolfgang.routschka at drumedar.de Mon Sep 9 10:11:26 2013 From: wolfgang.routschka at drumedar.de (Wolfgang Routschka) Date: Mon, 9 Sep 2013 08:11:26 +0000 Subject: [Postfixbuch-users] postfix benchmar/testing Message-ID: <038d93736364445d94e29ccc495655a4@AMSPR06MB590.eurprd06.prod.outlook.com> Guten Morgen, ich wollte mich hierzu noch einmal melden und danke sagen. Mein Benchmark sah nun 3 Systeme vor. Client (smtp-source), Postfix-Instanz und n?chste Postfix-Instanz bzw. Client (smtp-sink). Jage auf die Postfix-Instanz mit smtp-source Mails und Postfix stellt die Mail an smtp-sink zu. Sollte f?r meine Zwecke reichen und ich habe gesehen was ich rein bzw. raus kriege. Danke f?r die Anregungen. Gr??e Wolfgang * Wolfgang Routschka >: > > * Patrick Ben Koetter

>: > > * Wolfgang Routschka >: > > > Hallo zusammen, > > > > > > kurz Frage bzgl. Postfix-Benchmark/Performance-Tests. > > > > > > Ich w?rde gerne meine Postfix-Umgebung insofern testen das ich sehen kann wie Leistungsf?hig mein System ist. Wieviele Mails kann nich annehmen/bearbeiten/senden etc. > > > > > > Habe diesbzgl. smtp-source und smtp-sink gesehen nur m?chte ich direkt postfix benutzen ohne das Mails zugestellt werden. > > > > > > Wie kann ich dies am besten bewerksteligen bzw. wie testet Ihr eure Umgebung (Performance-Sicht). > > > > Bau Dir eine Testdomain, sende alles an sie und sorge daf?r, dass Postfix die > > Nachrichten an 'discard' routet. > > Das ist aber unrealistisch :) Gerade wenn es sich um einen Server > handelt, der das auf die Platte schreibt (in Mailboxen) dann > eliminiert DISCARD einiges an IO. > > > Wei?t Du schon was genau Du testen willst? > > Genau! > > Guten Morgen, > > danke f?r eure Antworten. > > nachdem ich Postfix unter einem DRBD laufen lassen werde interessiert mich in erster Linie was ich durchsetzen kann. Ich w?rde es mehr differenzieren, denn die Menge dessen was Du annehmen kannst sollte ggf. auch der Menge was Du loswerden (zustellen) kannst entsprechen. Oder auch nicht. Kann ja sein, dass Dein Server (auch mal) als Cache dienen soll, falls die nachgelagerten Systeme down sind. "Dicke Backen" (read: queue) kann ja ein Designziel des Servers sein. > Ich dachte mir ganz unbedacht ich sende x Mails mit einer Gr??e von x Byte an den Postfix und schaue wie viel ich durchbekomme (senden!) - im Hintergrund mein DRBD-Device. Da kann man sich streiten. Ich stehe auf dem Standpunkt, dass man Traffic m?glichst realit?tsnah simulieren sollte. smtp-source variiert nicht in Gr?sse, Frequenz und Varianz. mstone ist da IMO besser. Allerdings ist mstone richtig einstellen schon eine Sache f?r sich. > M?chte nat?rlich nicht tausende Mails real zustellen. Du willst wissen, wann das System wegkippt? Zu schwimmen anf?ngt? Ggf ist queue-Monitoring mit amavisd snmp subagent interessant f?r Dich. Der scannt auch die Postfix queues. > Wie schon anfangs beschrieben w?rde sich hier ja smtp-sink als Annahmestelle empfehlen aber dies w?re auch ein unrealistischer Test da Postfix nicht h?rt. Wenn Du die I/O-Performance mitmessen willst, ist DISCARD der falsche Ansatz. Das hat Ralf richtig bem?ngelt. Dann ist smtp-sink gut, weil die Mails auf der Platte (queue) landen bevor sie wieder an smtp-sink geroutet werden. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstra?e 15, 81669 M?nchen Sitz der Gesellschaft: M?nchen, Amtsgericht M?nchen: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From p at sys4.de Mon Sep 9 10:47:46 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Mon, 9 Sep 2013 10:47:46 +0200 Subject: [Postfixbuch-users] Welche Postfix-Resourcen in DRBD In-Reply-To: <560ed117b58d44afaeeb3de6ee226729@AMSPR06MB590.eurprd06.prod.outlook.com> References: <560ed117b58d44afaeeb3de6ee226729@AMSPR06MB590.eurprd06.prod.outlook.com> Message-ID: <20130909084746.GA23942@sys4.de> * Wolfgang Routschka : > Guten Morgen Patrick, > > sorry wenn ich den alten Post noch einmal aufmache aber mir hat sich noch eine Frage augedr?ngt. > > Ich dachte ja auch an spool, lib und etc als DRBD-Volume. > > Berichtige mich bitte wenn ich falsch liegen sollte aber im lib-verzeichnis habe ich alle daemon-programme - in meinem Fall master.lock. > > Warum w?rdest du lib ins DRBD-Volume hinzunehmen? Ich nicht. Ich würde die spool über DRBD machen, Programme lokal installiert nutzen und Konfigurationen mit Konfigurationsmanagement deployen. So mache ich das schon lange und weil das so stabil ist und gut funktioniert und weil mir nichts neueres und besseres bekannt ist, sehe ich keinen Grund es zu ändern. p at rick > > Gr??e > > Wolfgang > > > * Wolfgang Routschka >: > > kurze Frage bzgl. Postfix und DRBD. Welche Verzeichnisse w?rdet ihr in ein DRBD-Volume reinnehmen? > > > > Wir haben ein pacemaker/cman Cluster unter Scientifc Linux 6.4 64 Bit am > > Laufen bzw. installiere es gerade. U. a. m?chten wir Postfix als > > Cluster-Ressource einbinden. Um bei einem Failover aktuell zu bleiben wird > > DRBD benutzt. > > > > Postfix ist aus den Source selbst kompiliert in Version 2.10. Als > > DRBD-Ressourcen waren von mir die Verzeichnisse etc, spool und lib > > vorgesehen. > > spool und lib ?ber DRBD. > etc ?ber einen Versionierungsmechanismus und optional gerne ?ber ein > Konfigurationsmanagementsystem. > > p at rick > > -- > [*] sys4 AG > > http://sys4.de, +49 (89) 30 90 46 64 > Franziskanerstra?e 15, 81669 M?nchen > > Sitz der Gesellschaft: M?nchen, Amtsgericht M?nchen: HRB 199263 > Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer > Aufsichtsratsvorsitzender: Florian Kirstein > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From wolfgang.routschka at drumedar.de Mon Sep 9 11:14:06 2013 From: wolfgang.routschka at drumedar.de (Wolfgang Routschka) Date: Mon, 9 Sep 2013 09:14:06 +0000 Subject: [Postfixbuch-users] Welche Postfix-Resourcen in DRBD Message-ID: <4169abe06e8c4e27a803a9c09c0a059b@AMSPR06MB590.eurprd06.prod.outlook.com> Hallo, das verwundert mich nachdem ich das in meiner Mail gelesen hatte aber egal. Ich wollte ja nur h?ren das die DRBD-Konfiguration stabil l?uft. Perfekt. Vielen Dank Wolfgang > Warum w?rdest du lib ins DRBD-Volume hinzunehmen? Ich nicht. Ich w?rde die spool ?ber DRBD machen, Programme lokal installiert nutzen und Konfigurationen mit Konfigurationsmanagement deployen. So mache ich das schon lange und weil das so stabil ist und gut funktioniert und weil mir nichts neueres und besseres bekannt ist, sehe ich keinen Grund es zu ?ndern. p at rick > > Gr??e > > Wolfgang > > > * Wolfgang Routschka >: > > kurze Frage bzgl. Postfix und DRBD. Welche Verzeichnisse w?rdet ihr in ein DRBD-Volume reinnehmen? > > > > Wir haben ein pacemaker/cman Cluster unter Scientifc Linux 6.4 64 Bit am > > Laufen bzw. installiere es gerade. U. a. m?chten wir Postfix als > > Cluster-Ressource einbinden. Um bei einem Failover aktuell zu bleiben wird > > DRBD benutzt. > > > > Postfix ist aus den Source selbst kompiliert in Version 2.10. Als > > DRBD-Ressourcen waren von mir die Verzeichnisse etc, spool und lib > > vorgesehen. > > spool und lib ?ber DRBD. > etc ?ber einen Versionierungsmechanismus und optional gerne ?ber ein > Konfigurationsmanagementsystem. > > p at rick > > -- > [*] sys4 AG > > http://sys4.de,> +49 (89) 30 90 46 64 > Franziskanerstra?e 15, 81669 M?nchen > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Mon Sep 9 11:20:27 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 9 Sep 2013 11:20:27 +0200 Subject: [Postfixbuch-users] Welche Postfix-Resourcen in DRBD In-Reply-To: <4169abe06e8c4e27a803a9c09c0a059b@AMSPR06MB590.eurprd06.prod.outlook.com> References: <4169abe06e8c4e27a803a9c09c0a059b@AMSPR06MB590.eurprd06.prod.outlook.com> Message-ID: <20130909092027.GK15437@charite.de> * Wolfgang Routschka : > Hallo, > > das verwundert mich nachdem ich das in meiner Mail gelesen hatte aber egal. Ja, stand da so drin :) > > spool und lib ?ber DRBD. Eigentlich will man nur die Queue, damit die im Fehlerfalle übernommen werden kann. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From cite at incertum.net Mon Sep 9 12:35:48 2013 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 9 Sep 2013 12:35:48 +0200 Subject: [Postfixbuch-users] Welche Postfix-Resourcen in DRBD In-Reply-To: <20130909092027.GK15437@charite.de> References: <4169abe06e8c4e27a803a9c09c0a059b@AMSPR06MB590.eurprd06.prod.outlook.com> <20130909092027.GK15437@charite.de> Message-ID: <20130909103547.GA15660@mail.incertum.net> * Ralf Hildebrandt : > * Wolfgang Routschka : > > Hallo, > > > > das verwundert mich nachdem ich das in meiner Mail gelesen hatte aber egal. > > Ja, stand da so drin :) > > > > spool und lib ?ber DRBD. > > Eigentlich will man nur die Queue, damit die im Fehlerfalle übernommen > werden kann. Wie ist das eigentlich, wenn man früher, also ohne lange Queue-IDs ne Queue auf ne andere Kiste kopiert hat (und nein, das ist im vorliegenden Fall mit DRBD irrelevant, es fiel mir nur gerade ein), dann hat man ja normalerweise so lange "postsuper -s" ausführen müssen, bis sich die Queue-Filenamen nicht mehr geändert haben. Ist das mit langen Queue-IDs immer noch so? Stefan From t.schneider at tms-itdienst.at Tue Sep 10 09:28:02 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 10 Sep 2013 09:28:02 +0200 Subject: [Postfixbuch-users] Welche CA Stelle wird verwendet Message-ID: <522ECA02.1000207@tms-itdienst.at> Hallo Liste, abschließend zu dem TLS Thema noch eine Frage. Wenn ich eine Untrusted TLS Verbindung bekomme, würde mich interessieren welche Stelle hier die ausgebende CA Stelle ist, ohne hier ein Zertifikat gleich zu installieren zu müssen. Besteht diese Möglichkeit? Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From andreas.schulze at datev.de Tue Sep 10 10:39:01 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 10 Sep 2013 10:39:01 +0200 Subject: [Postfixbuch-users] Welche CA Stelle wird verwendet In-Reply-To: <522ECA02.1000207@tms-itdienst.at> References: <522ECA02.1000207@tms-itdienst.at> Message-ID: <20130910083901.GA12602@spider.services.datevnet.de> Am 10.09.2013 09:28 schrieb Timm Schneider: > Wenn ich eine Untrusted TLS Verbindung bekomme, würde mich interessieren > welche Stelle hier die ausgebende CA Stelle ist, ohne hier ein > Zertifikat gleich zu installieren zu müssen. beim Mailempfang kannst Du nur dein eigenes Logging hochdrehen http://www.postfix.org/TLS_README.html#server_logging und "smtpd_tls_received_header=yes" setzen. beim Versand kannst Du mit "openssl s_client -starttls smtp -showcerts -connect mx.example.org:25" versuchen, manuell Infos über die CA rauszufinden. -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From t.schneider at tms-itdienst.at Tue Sep 10 10:54:43 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 10 Sep 2013 10:54:43 +0200 Subject: [Postfixbuch-users] Welche CA Stelle wird verwendet In-Reply-To: <20130910083901.GA12602@spider.services.datevnet.de> References: <522ECA02.1000207@tms-itdienst.at> <20130910083901.GA12602@spider.services.datevnet.de> Message-ID: <522EDE53.4020105@tms-itdienst.at> Hallo Andreas, Am 10.09.2013 10:39, schrieb Andreas Schulze: > openssl s_client -starttls smtp -showcerts -connect mx.example.org:25 danke für die Info. Das Zertifikat ist abgelaufen, daher bei dem Untrusted. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From rico at netbreaker.de Tue Sep 10 20:20:04 2013 From: rico at netbreaker.de (Rico Koerner) Date: Tue, 10 Sep 2013 20:20:04 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <20130904154251.Horde.3KgTVVjhcoJ9iKzDxAJK9A1@mail.roellig-ltd.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <20130904154251.Horde.3KgTVVjhcoJ9iKzDxAJK9A1@mail.roellig-ltd.de> Message-ID: <522F62D4.7030208@netbreaker.de> Am 04.09.2013 17:42, schrieb roellig at roellig-ltd.de: > Ja, ist nen Kundenblech und alle Mails des Kunden laufen darüber. Was für eine Mailserver läuft dort? Ist der irgendwie anpassbar, abgesehen von einem Smarthost? > Die Telekom Mails eben über das Routing zu mir. Das Routing kannst du ja in dem Fall nur an dem MX festmachen. > Bleibt aber immer noch das Risiko das die Telekom IP´s wegnimmt oder > dazubaut und somit ne Mail wieder Hängenbleibt. Die IPs der t-com überschreibst du ja in dem Fall, daher ist das egal. Der Hostname des Relays ist die einzige Konstante, da du auch nicht weißt, welche Domains davon betroffen sind. > Schöner wäre die Lösung das Postfix das selbst machen kann und das ich > das auch andere Kunden System mit einbauen kann. Postfix wo? Auf deinem Server? Das klappt nicht, da du ja beim Kunden schon entscheiden willst, welcher Teil zu deinem Server soll. Gruß Rico -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From rico at netbreaker.de Tue Sep 10 20:50:52 2013 From: rico at netbreaker.de (Rico Koerner) Date: Tue, 10 Sep 2013 20:50:52 +0200 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <5228719C.4040109@0xaffe.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <522752EC.5020507@0xaffe.de> <52284D09.3080302@web.de> <5228719C.4040109@0xaffe.de> Message-ID: <522F6A0C.1010902@netbreaker.de> Am 05.09.2013 13:57, schrieb Mathias Jeschke: > Hi Werner, > > Am 05.09.13 11:21, schrieb Werner Flamme: > >> Postfix benutzt den DNS. Wer Einträge in /etc/hosts berücksichtigen >> will, kann einen lokalen Hilfs-DNS wie DNSmasq benutzen. [...] > > Das ist definitiv der bessere Weg, zumal man mit dnsmasq auch die > MX-Records kontrollieren kann, sofern man dass denn muss ;-) DNS ist der elegantere Weg, hängt aber in dem Falle von den Möglichkeiten beim Kunden ab. Deshalb hab ich beides erwähnt. Die pfsense verwendet ja in dem von mir beschriebenen Fall auch dnsmasq. Es ist ja noch nicht mal klar, was für ein Mailserver beim Kunden läuft. Der muß ja davon überzeugt werden, die t-com-Mails woanders abzuladen. MX-Records zu kontrollieren ist in dem Fall übrigens wahrscheinlich nicht möglich, da wir ja dann wieder beim Ursprungsproblem wären und wissen müssen, um welche Domains es sich handelt. Oder kann man dem dnsmasq ein dynamisches Überschreiben beibringen? Also wenn ein bestimmter Hostname (als MX) zurückgeliefert wird, überschreibe ihn mit einem anderen Hostnamen und gib diesen weiter. (das wird jetzt aber langsam OT) geht das vielleicht: $t-com-mailrelay CNAME $mein-mailserver ? Ich glaube, mich schwach daran zu erinnern, daß MX-Records keine CNAMEs sein dürfen. (ungeprüft) Gruß Rico -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From roellig at roellig-ltd.de Wed Sep 11 13:13:29 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Wed, 11 Sep 2013 11:13:29 +0000 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <522F6A0C.1010902@netbreaker.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <522752EC.5020507@0xaffe.de> <52284D09.3080302@web.de> <5228719C.4040109@0xaffe.de> <522F6A0C.1010902@netbreaker.de> Message-ID: <20130911111329.Horde.J928DX95_1OhgbIpbBY4jg5@mail.roellig-ltd.de> Hallo, Zitat von Rico Koerner : > Am 05.09.2013 13:57, schrieb Mathias Jeschke: >> Hi Werner, >> >> Am 05.09.13 11:21, schrieb Werner Flamme: >> >>> Postfix benutzt den DNS. Wer Einträge in /etc/hosts berücksichtigen >>> will, kann einen lokalen Hilfs-DNS wie DNSmasq benutzen. [...] >> >> Das ist definitiv der bessere Weg, zumal man mit dnsmasq auch die >> MX-Records kontrollieren kann, sofern man dass denn muss ;-) > > DNS ist der elegantere Weg, hängt aber in dem Falle von den > Möglichkeiten beim Kunden ab. Deshalb hab ich beides erwähnt. > Die pfsense verwendet ja in dem von mir beschriebenen Fall auch dnsmasq. > > Es ist ja noch nicht mal klar, was für ein Mailserver beim Kunden läuft. > Der muß ja davon überzeugt werden, die t-com-Mails woanders abzuladen. In beiden Fällen Postfix, ganz selten mal Exim > MX-Records zu kontrollieren ist in dem Fall übrigens wahrscheinlich > nicht möglich, da wir ja dann wieder beim Ursprungsproblem wären und > wissen müssen, um welche Domains es sich handelt. > Oder kann man dem dnsmasq ein dynamisches Überschreiben beibringen? > Also wenn ein bestimmter Hostname (als MX) zurückgeliefert wird, > überschreibe ihn mit einem anderen Hostnamen und gib diesen weiter. > (das wird jetzt aber langsam OT) > geht das vielleicht: $t-com-mailrelay CNAME $mein-mailserver ? > Ich glaube, mich schwach daran zu erinnern, daß MX-Records keine CNAMEs > sein dürfen. (ungeprüft) Da wären wir dann schon wieder beim anderen Problem, das ich da in mehrere System eingreifen müsste und so das auch nicht wirklich Zentral lösen könnte. Bei Postfix ist das einfacher weil ich da viele Sachen Zentral über eine LDAP DB machen kann und somit alle Kunden die das Problem haben auf einen Schlag ändern kann, ohne lange am Kundenblech selbst zu Fummel. > Gruß > Rico Grüsse Sven -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From roellig at roellig-ltd.de Wed Sep 11 13:07:05 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Wed, 11 Sep 2013 11:07:05 +0000 Subject: [Postfixbuch-users] Telekom Probleme In-Reply-To: <522F62D4.7030208@netbreaker.de> References: <20130902220427.Horde.mj6LhrJwmkJZGn4qrkggJg5@mail.roellig-ltd.de> <522595B9.7010500@0xaffe.de> <20130903081045.Horde.ppo10dgKzFO1xFI-YLeAvA1@mail.roellig-ltd.de> <52259CAD.8090509@0xaffe.de> <20130903094347.Horde.-8TU0uTMaWOFc6aqRueg-w9@mail.roellig-ltd.de> <52274EBD.4060207@netbreaker.de> <20130904154251.Horde.3KgTVVjhcoJ9iKzDxAJK9A1@mail.roellig-ltd.de> <522F62D4.7030208@netbreaker.de> Message-ID: <20130911110705.Horde.xPG9rstHHLhtg-s02tkWoQ1@mail.roellig-ltd.de> Hallo Zitat von Rico Koerner : > Am 04.09.2013 17:42, schrieb roellig at roellig-ltd.de: >> Ja, ist nen Kundenblech und alle Mails des Kunden laufen darüber. > > Was für eine Mailserver läuft dort? Ist der irgendwie anpassbar, > abgesehen von einem Smarthost? Postfix >> Die Telekom Mails eben über das Routing zu mir. > > Das Routing kannst du ja in dem Fall nur an dem MX festmachen. Das ist ja gerade die frage ob man das mit Postfix im Vorfeld auseinander Pflücken kann und Postfix dann selbst entscheidet wo er das hinschiebt. >> Bleibt aber immer noch das Risiko das die Telekom IP´s wegnimmt oder >> dazubaut und somit ne Mail wieder Hängenbleibt. > > Die IPs der t-com überschreibst du ja in dem Fall, daher ist das egal. > Der Hostname des Relays ist die einzige Konstante, da du auch nicht > weißt, welche Domains davon betroffen sind. Ja war eigentlich auch so gemeint, das man das nur an den Lookups festmachen kann. Da man ja im Vorfeld nicht weis welche Domain bei der Telekom liegt. >> Schöner wäre die Lösung das Postfix das selbst machen kann und das ich >> das auch andere Kunden System mit einbauen kann. > > Postfix wo? Auf deinem Server? Das klappt nicht, da du ja beim Kunden > schon entscheiden willst, welcher Teil zu deinem Server soll. Auf beiden blechen. Das komplette Umbiegen des Traffics zu mir um das aus dem weg zugehen ist mir zu viel. Da der Kunde, aber auch einige anderen Kunden die die gleiche Problematik haben, viel mit Mailinglisten Arbeiten und das wär mit dann doch zu Doof. Wenn die Mails in meinem System erzeugt werden, wär das was anderes. Bei den Kunden die nur kleinen Traffic haben mach ich das ja schon so, da wird dann alles zu mir geroutet und ich schleuse das zum Kundenblech durch, was Viren und Spam filtern einfacher macht. > Gruß > Rico Gruss Sven -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From anmeyer at anup.de Thu Sep 12 00:05:43 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Thu, 12 Sep 2013 00:05:43 +0200 Subject: [Postfixbuch-users] eine Frage zu spamcop.net Message-ID: <20130912000543.28e11f1a@itxnew.bitcorner.intern> Hallo alle! Blocked - see http://www.spamcop.net/bl.shtml?194.25.134.80 # host 194.25.134.80 80.134.25.194.in-addr.arpa domain name pointer mailout01.t-online.de. spamcop.net meint dazu: 194.25.134.80 listed in bl.spamcop.net (127.0.0.2) Kann mir jemand den Zusammenhang mit 127.0.0.2 erklären? Grüße Andreas From p at sys4.de Thu Sep 12 00:26:08 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 12 Sep 2013 00:26:08 +0200 Subject: [Postfixbuch-users] eine Frage zu spamcop.net In-Reply-To: <20130912000543.28e11f1a@itxnew.bitcorner.intern> References: <20130912000543.28e11f1a@itxnew.bitcorner.intern> Message-ID: <20130911222607.GG15330@sys4.de> * Andreas Meyer : > Hallo alle! > > Blocked - see http://www.spamcop.net/bl.shtml?194.25.134.80 > > # host 194.25.134.80 > 80.134.25.194.in-addr.arpa domain name pointer mailout01.t-online.de. > > spamcop.net meint dazu: > 194.25.134.80 listed in bl.spamcop.net (127.0.0.2) > > Kann mir jemand den Zusammenhang mit 127.0.0.2 erklären? If you get back an IP address (typically 127.0.0.2), then the IP you asked about is listed. If you get back a non-existant message, then the IP you asked about is not listed. -- http://www.spamcop.net/fom-serve/cache/351.html p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From ffiene at veka.com Thu Sep 12 21:36:44 2013 From: ffiene at veka.com (Frank Fiene) Date: Thu, 12 Sep 2013 21:36:44 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Kennt_jemand_Barracudas_AntiSP?= =?iso-8859-1?q?AM-Antivirus_L=F6sung?= Message-ID: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> N?Abend Kollegen, in der nächsten Woche will mich ein Vertriebler von Barracuda davon überzeugen, dass seine Lösung viiieeel besser ist als meine Postfix/Amavisd/Postgrey/Clamd-Installation. Was muss ich fragen? Kennt die Lösung jemand? Haben die wenigstens smtp korrekt implementiert? Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 841 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From wolfgang.zeikat at desy.de Thu Sep 12 22:13:54 2013 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Thu, 12 Sep 2013 22:13:54 +0200 Subject: [Postfixbuch-users] eine Frage zu spamcop.net In-Reply-To: <20130911222607.GG15330@sys4.de> References: <20130912000543.28e11f1a@itxnew.bitcorner.intern> <20130911222607.GG15330@sys4.de> Message-ID: <52322082.3060200@desy.de> In an older episode, on 2013-09-12 00:26, Patrick Ben Koetter wrote: > If you get back an IP address (typically 127.0.0.2), then the IP you asked > about is listed. If you get back a non-existant message, then the IP you asked > about is not listed. > -- http://www.spamcop.net/fom-serve/cache/351.html Die Verwendung von 127.0.0.* als Rückgabewert mit bestimmter Bedeutung ist auch bei anderen RBLs zu finden, siehe z.B. http://www.spamhaus.org/zen/ wolfgang From postfixbuch at cboltz.de Thu Sep 12 23:43:35 2013 From: postfixbuch at cboltz.de (Christian Boltz) Date: Thu, 12 Sep 2013 23:43:35 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Kennt_jemand_Barracudas_AntiSPAM-An?= =?utf-8?q?tivirus_L=C3=B6sung?= In-Reply-To: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> Message-ID: <11055201.VtGdoO9xn3@tux.boltz.de.vu> Hallo Frank, hallo Leute, Am Donnerstag, 12. September 2013 schrieb Frank Fiene: > in der nächsten Woche will mich ein Vertriebler von Barracuda davon > überzeugen, dass seine Lösung viiieeel besser ist als meine > Postfix/Amavisd/Postgrey/Clamd-Installation. Falls Dein Server einigermaßen sinnvoll aufgesetzt ist, wird er das nicht schaffen ;-) - und falls Dein Problem nur ist, dass Du Geld übrig hast [1], bin ich da gern behilflich ;-)) > Was muss ich fragen? Kennt die Lösung jemand? > Haben die wenigstens smtp korrekt implementiert? smtp? Halbwegs - das Listenarchiv kennt einige lustige Geschichten. Nur mal als Beispiele: http://listi.jpberlin.de/pipermail/postfixbuch-users/2010-August/054214.html "Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet, da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt (von Real-time-Filterung kann auch keine Rede sein))." http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-February/048386.html (bitte komplett lesen ;-) http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-February/048456.html (ebenfalls komplett lesenswert) http://listi.jpberlin.de/pipermail/postfixbuch-users/2010-February/052594.html und http://listi.jpberlin.de/pipermail/postfixbuch-users/2012-March/058183.html und http://listi.jpberlin.de/pipermail/postfixbuch-users/2012-October/059264.html (sehr interessante[tm] Konfiguration) Oh, und ich habe tatsächlich noch eine Frage für den Vertriebler: http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-January/041310.html ;-) Es wäre schön, wenn Du uns kurz berichtest, ob Du den Vertriebler erfolgreich vertreiben ;-) konntest und was er zu den genannten Dingen sagt. Ich leg schonmal das Popcorn bereit ;-) Gruß Christian Boltz [1] Dieses Problem lässt sich mit $appliance recht zuverlässig lösen. Leider oft _nur_ dieses Problem ;-) -- Fragen Sie im Zweifel sofort nach dem Absenden telefonisch beim Empfänger nach, ob Ihre E-Mail angekommen ist. Bei Schwierigkeiten wenden Sie sich bitte grundsätzlich nie an den eigenen Administrator. Es ist stets das gegnerische Mailsystem schuld. [Peer Heinlein in postfixbuch-users] From fstoyan at swapon.de Fri Sep 13 05:57:09 2013 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Fri, 13 Sep 2013 05:57:09 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Kennt_jemand_Barracudas_AntiSPAM-An?= =?utf-8?q?tivirus_L=C3=B6sung?= In-Reply-To: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> Message-ID: <20130913035708.GA18113@excelsior.lab.swapon.de> On 12.09.13 21:36, Frank Fiene wrote: > N?Abend Kollegen, > > in der nächsten Woche will mich ein Vertriebler von Barracuda davon > überzeugen, dass seine Lösung viiieeel besser ist als meine > Postfix/Amavisd/Postgrey/Clamd-Installation. Die XFS-Mailingliste¹ nutzt eine Barracuda Software. Jedenfalls steht das so in den Headern. Das Ergebnis ist eher bescheiden. mfg Friedemann ¹: http://oss.sgi.com/mailman/listinfo/xfs From ffiene at veka.com Fri Sep 13 07:50:18 2013 From: ffiene at veka.com (Frank Fiene) Date: Fri, 13 Sep 2013 07:50:18 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Kennt_jemand_Barracudas_AntiSP?= =?iso-8859-1?q?AM-Antivirus_L=F6sung?= In-Reply-To: <11055201.VtGdoO9xn3@tux.boltz.de.vu> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> <11055201.VtGdoO9xn3@tux.boltz.de.vu> Message-ID: <126E58C1-2653-49B4-8957-692B67766AF8@veka.com> Am 12.09.2013 um 23:43 schrieb Christian Boltz : > Hallo Frank, hallo Leute, > > Am Donnerstag, 12. September 2013 schrieb Frank Fiene: >> in der nächsten Woche will mich ein Vertriebler von Barracuda davon >> überzeugen, dass seine Lösung viiieeel besser ist als meine >> Postfix/Amavisd/Postgrey/Clamd-Installation. > > Falls Dein Server einigermaßen sinnvoll aufgesetzt ist, wird er das > nicht schaffen ;-) - und falls Dein Problem nur ist, dass Du Geld übrig > hast [1], bin ich da gern behilflich ;-)) Das ist natürlich ein Nachteil einer $Appliance. >> Was muss ich fragen? Kennt die Lösung jemand? >> Haben die wenigstens smtp korrekt implementiert? > > smtp? Halbwegs - das Listenarchiv kennt einige lustige Geschichten. > Nur mal als Beispiele: > > http://listi.jpberlin.de/pipermail/postfixbuch-users/2010-August/054214.html > "Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen > (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet, > da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt > (von Real-time-Filterung kann auch keine Rede sein))." > > http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-February/048386.html > (bitte komplett lesen ;-) > > http://listi.jpberlin.de/pipermail/postfixbuch-users/2009-February/048456.html > (ebenfalls komplett lesenswert) > > http://listi.jpberlin.de/pipermail/postfixbuch-users/2010-February/052594.html und > http://listi.jpberlin.de/pipermail/postfixbuch-users/2012-March/058183.html und > http://listi.jpberlin.de/pipermail/postfixbuch-users/2012-October/059264.html > (sehr interessante[tm] Konfiguration) Das sieht mir aber alles so aus, als wenn jemand die Geräte nicht korrekt konfiguriert hätte, natürlich ersetzt eine Klicki-Bunti-Oberfläche keinen guten Admin! Die Frage ist ja, kann man das überhaupt richtig einstellen oder sind das "Best Practices" von Barracuda, die man nicht verändern kann! Das einzige, was ich gefunden habe ist aus 2009, wo es eine Sicherheitslücke in der Admin-Oberfläche gab und die ssh-Backdoor aus 2012, die Monate lang nicht gepatcht worden ist. > Oh, und ich habe tatsächlich noch eine Frage für den Vertriebler: > http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-January/041310.html > ;-) OK, auf so etwas reagiere ich sehr allergisch, da werde ich nach fragen. > Es wäre schön, wenn Du uns kurz berichtest, ob Du den Vertriebler > erfolgreich vertreiben ;-) konntest und was er zu den genannten Dingen > sagt. Ich leg schonmal das Popcorn bereit ;-) Da ich die Entscheidung selber treffe, ist das Ergebnis wahrscheinlich klar. ;-) Da müssten schon sehr triftige Gründe kommen. Ich muss mir nämlich mal wieder eine Vertretung ausbilden und im Moment bin ich der einzige, der unserer Lösung administriert. Nicht das es da viel zu administrieren gäbe, aber ... Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From p.heinlein at heinlein-support.de Fri Sep 13 08:30:40 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 13 Sep 2013 08:30:40 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Kennt_jemand_Barracudas_AntiSP?= =?iso-8859-1?q?AM-Antivirus_L=F6sung?= In-Reply-To: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> Message-ID: <5232B110.40500@heinlein-support.de> Am 12.09.2013 21:36, schrieb Frank Fiene: Hallo, > in der nächsten Woche will mich ein Vertriebler von Barracuda davon überzeugen, dass seine Lösung viiieeel besser ist als meine Postfix/Amavisd/Postgrey/Clamd-Installation. > > Was muss ich fragen? Kennt die Lösung jemand? Kann er rechtssicher filtern, d.h. alle (!) Checks in Echtzeit, so daß er gänzlich ohne Tagging und Quarantäne auskommt? https://www.heinlein-support.de/vortrag/spam-quarant%C3%A4ne-und-tagging-der-gro%C3%9Fe-irrtum Kann sein SMTP auch ESN und DSN? Peer P.S.: Wenn Dein Chef unbedingt $appliance will, Du aber auf die guten Ergebnisse und Qualitäten von Amavis/SpamAssassin/Greylisting/Policyd-Weight & Co nicht verzichten willst, dann kenne ich da einen Hersteller, der das passende Produkt in der Pipeline hat. https://www.heinlein-support.de/anti-spam -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Fri Sep 13 09:25:16 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 13 Sep 2013 09:25:16 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Kennt_jemand_Barracudas_AntiSPAM-An?= =?utf-8?q?tivirus_L=C3=B6sung?= In-Reply-To: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> Message-ID: <20130913072516.GD15324@charite.de> * Frank Fiene : > N?Abend Kollegen, > > in der nächsten Woche will mich ein Vertriebler von Barracuda davon überzeugen, dass seine Lösung viiieeel besser ist als meine Postfix/Amavisd/Postgrey/Clamd-Installation. > > Was muss ich fragen? Kennt die Lösung jemand? > Haben die wenigstens smtp korrekt implementiert? Ich habe den Eindruck die blocken standardmäßig Bounces. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Fri Sep 13 09:45:35 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 13 Sep 2013 09:45:35 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Kennt_jemand_Barracudas_AntiSPAM-An?= =?utf-8?q?tivirus_L=C3=B6sung?= In-Reply-To: <20130913072516.GD15324@charite.de> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> <20130913072516.GD15324@charite.de> Message-ID: <5232C29F.3090001@heinlein-support.de> Am 13.09.2013 09:25, schrieb Ralf Hildebrandt: > * Frank Fiene : >> N?Abend Kollegen, >> >> in der nächsten Woche will mich ein Vertriebler von Barracuda davon überzeugen, dass seine Lösung viiieeel besser ist als meine Postfix/Amavisd/Postgrey/Clamd-Installation. >> >> Was muss ich fragen? Kennt die Lösung jemand? >> Haben die wenigstens smtp korrekt implementiert? > > Ich habe den Eindruck die blocken standardmäßig Bounces. > Genau. Alles, was mit leerem SMTP-Envelope daherkommt, ist ja eh böse und bestimmt falsch. Steht zwar nicht im RFC, hat aber ja mal der Programmierer per trial-and-error getestet. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Fri Sep 13 10:09:01 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 13 Sep 2013 10:09:01 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Kennt_jemand_Barracudas_AntiSPAM-An?= =?utf-8?q?tivirus_L=C3=B6sung?= In-Reply-To: <5232C29F.3090001@heinlein-support.de> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> <20130913072516.GD15324@charite.de> <5232C29F.3090001@heinlein-support.de> Message-ID: <20130913080901.GG15324@charite.de> > Genau. Alles, was mit leerem SMTP-Envelope daherkommt, ist ja eh böse > und bestimmt falsch. > > Steht zwar nicht im RFC, hat aber ja mal der Programmierer per > trial-and-error getestet. Immerhin konnte ich das mal bei uns empirisch überprüfen und fand heraus, daß Mail mit dem leeren Absender doppelt so spammig ist wie Mail mit einem nicht-leeren Absender... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From bjoern.meier at gmail.com Fri Sep 13 10:16:40 2013 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Fri, 13 Sep 2013 10:16:40 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Kennt_jemand_Barracudas_AntiSP?= =?iso-8859-1?q?AM-Antivirus_L=F6sung?= In-Reply-To: <20130913080901.GG15324@charite.de> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> <20130913072516.GD15324@charite.de> <5232C29F.3090001@heinlein-support.de> <20130913080901.GG15324@charite.de> Message-ID: hi, Am 13. September 2013 10:09 schrieb Ralf Hildebrandt : > Immerhin konnte ich das mal bei uns empirisch überprüfen und fand > heraus, daß Mail mit dem leeren Absender doppelt so spammig ist wie > Mail mit einem nicht-leeren Absender... kann ich auch bei snail-mail empirisch nachvollziehen ;) Gruß, Björn From gregor at aeppelbroe.de Fri Sep 13 13:49:18 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 13 Sep 2013 13:49:18 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon Message-ID: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> Moin, auf meinem Debian Mailserver startet postgrey nicht mehr als Deamon. ein /etc/init.d/postgrey start gibt zwar keine Fehlermeldung, aber /etc/init.d/postgrey status sagt, [FAIL] postgrey is not running ... failed! starte ich postgrey von Hand: postgrey -v --inet=127.0.0.1:10023 Läuft postgrey. Ein Blick insSstartsript brachte mir leider keine Erkenntnis. in der (etc/default/postgrey steht im Moment: POSTGREY_OPTS="-v --inet 127.0.0.1:10023" als Option, normalerweise soll wohl ein = hinter inet stehen, aber das brach auch ab. Ich kann auch in keinem Log etwas negatives finden, egal ob syslog, mail.info oder oder ? Ich habe postgrey jetzt erst mal mit --daemonize gestartet, eine richtige Lösung wäre gut,... Grüße Gregor -- From postfixbuch-users at 0xaffe.de Fri Sep 13 15:43:08 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 13 Sep 2013 15:43:08 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> References: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> Message-ID: <5233166C.3080501@0xaffe.de> Hi Gregor, Also bei mir läuft postgrey unter Debian so: /usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=10023 Hast Du schon mal mit strace geprüft, ob ggf. eine Datei falsche Rechte oder so hat? Was ist denn die Ausgabe von: $ sudo -u postgrey /usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --inet=10023 -v Ich schätze mal Du hast postgrey als "root" gestartet, oder? Viele Grüße, Mathias. Am 13.09.13 13:49, schrieb Gregor Burck: > Moin, > > auf meinem Debian Mailserver startet postgrey nicht mehr als Deamon. > > ein > /etc/init.d/postgrey start > > gibt zwar keine Fehlermeldung, aber > /etc/init.d/postgrey status > > sagt, > [FAIL] postgrey is not running ... failed! > > starte ich postgrey von Hand: > postgrey -v --inet=127.0.0.1:10023 > > Läuft postgrey. > Ein Blick insSstartsript brachte mir leider keine Erkenntnis. > > in der (etc/default/postgrey steht im Moment: > POSTGREY_OPTS="-v --inet 127.0.0.1:10023" > > als Option, normalerweise soll wohl ein = hinter inet stehen, aber das brach auch ab. > > Ich kann auch in keinem Log etwas negatives finden, egal ob syslog, mail.info oder oder ? > > Ich habe postgrey jetzt erst mal mit --daemonize gestartet, eine richtige Lösung wäre gut,... > > Grüße > > Gregor From gregor at aeppelbroe.de Fri Sep 13 16:24:20 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 13 Sep 2013 16:24:20 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <5233166C.3080501@0xaffe.de> Message-ID: <9608a2ad202fde8c5dc2d7a080b06d47@heim.aeppelbroe.de> Moin, > Hast Du schon mal mit strace geprüft, ob ggf. eine Datei falsche Rechte > oder so hat? ich habe es zwar mal mit strace gestartet konnte aber keinen Fehler erkennen > Was ist denn die Ausgabe von: > > $ sudo -u postgrey /usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --inet=127.0.0.1:10023 -v Läuft: root at baikonur :~# sudo -u postgrey /usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --inet=127.0.0.1:10023 -v 2013/09/13-16:22:21 postgrey (type Net::Server::Multiplex) starting! pid(13300) Binding to TCP port 10023 on host 127.0.0.1 with IPv4 2013/09/13-16:22:40 CONNECT TCP Peer: "[127.0.0.1]:42914" Local: "[127.0.0.1]:10023" action=pass, reason=triplet found, client_name=moutng.kundenserver.de, client_address=212.227.126.186, sender=burck at dialog-gmbh.com, recipient=gregor at aeppelbroe.de > > Ich schätze mal Du hast postgrey als "root" gestartet, oder? Jo, wird aber trotzdem als postgrey ausgeführt, steht auch so in der manpage. Grüße Gregor -- From gregor at aeppelbroe.de Fri Sep 13 16:29:35 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 13 Sep 2013 16:29:35 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <5233166C.3080501@0xaffe.de> Message-ID: Kannst Du mir evtl. mal die /etc/init.d/postgrey schicken? Grüße Gregor -- From postfixbuch-users at 0xaffe.de Fri Sep 13 16:44:48 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 13 Sep 2013 16:44:48 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: References: Message-ID: <523324E0.40900@0xaffe.de> Hallo Gregor, Am 13.09.13 16:29, schrieb Gregor Burck: > Kannst Du mir evtl. mal die /etc/init.d/postgrey schicken? > > Das geht auch einfacher: $ cd /tmp $ aptitude download postgrey $ dpkg-deb --fsys-tarfile postgrey_*.deb | tar x ./etc/init.d/postgrey $ diff -u etc/init.d/postgrey /etc/init.d/postgrey Dann hast Du auch die richtige Version für Deine Installation. Ansonsten schicke mal Deine Ausgabe von "killall postgrey; strace /etc/init.d/postgrey start" Gruß, Mathias. From postfixbuch-users at 0xaffe.de Fri Sep 13 16:47:24 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 13 Sep 2013 16:47:24 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <523324E0.40900@0xaffe.de> References: <523324E0.40900@0xaffe.de> Message-ID: <5233257C.8010702@0xaffe.de> Am 13.09.13 16:44, schrieb Mathias Jeschke: > Ansonsten schicke mal Deine Ausgabe von "killall postgrey; strace > /etc/init.d/postgrey start" Ich meinte natürlich "strace -f /etc/init.d/postgrey start" Mathias. From Ralf.Hildebrandt at charite.de Fri Sep 13 17:01:10 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 13 Sep 2013 17:01:10 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> References: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> Message-ID: <20130913150110.GX15324@charite.de> * Gregor Burck : > Moin, > > auf meinem Debian Mailserver startet postgrey nicht mehr als Deamon. > > ein > /etc/init.d/postgrey start bash -x /etc/init.d/postgrey start -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From gregor at aeppelbroe.de Fri Sep 13 21:35:20 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 13 Sep 2013 21:35:20 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <20130913150110.GX15324@charite.de> References: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> <20130913150110.GX15324@charite.de> Message-ID: <2632617.7mHEVTJvs7@sojus> Am Freitag, 13. September 2013, 17:01:10 schrieb Ralf Hildebrandt: > bash -x /etc/init.d/postgrey start: Starting postfix greylisting daemon: postgrey. + set -e + PATH=/sbin:/bin:/usr/sbin:/usr/bin + DAEMON=/usr/sbin/postgrey + NAME=postgrey + DESC='postfix greylisting daemon' + PIDFILE=/var/run/postgrey.pid + SCRIPTNAME=/etc/init.d/postgrey + test -x /usr/sbin/postgrey + . /lib/lsb/init-functions +++ run-parts --lsbsysinit --list /lib/lsb/init-functions.d ++ for hook in '$(run-parts --lsbsysinit --list /lib/lsb/init-functions.d 2>/dev/null)' ++ '[' -r /lib/lsb/init-functions.d/20-left-info-blocks ']' ++ . /lib/lsb/init-functions.d/20-left-info-blocks ++ FANCYTTY= ++ '[' -e /etc/lsb-base-logging.sh ']' ++ true + '[' -r /etc/default/postgrey ']' + . /etc/default/postgrey ++ POSTGREY_OPTS='-v --inet 127.0.0.1:10023' + POSTGREY_OPTS='--pidfile=/var/run/postgrey.pid --daemonize -v --inet 127.0.0.1:10023' + '[' -z '' ']' + POSTGREY_TEXT_OPT= + ret=0 + case "$1" in + log_daemon_msg 'Starting postfix greylisting daemon' postgrey + '[' -z 'Starting postfix greylisting daemon' ']' + log_daemon_msg_pre 'Starting postfix greylisting daemon' postgrey + log_use_fancy_output + TPUT=/usr/bin/tput + EXPR=/usr/bin/expr + '[' -t 1 ']' + '[' xxterm '!=' x ']' + '[' xxterm '!=' xdumb ']' + '[' -x /usr/bin/tput ']' + '[' -x /usr/bin/expr ']' + /usr/bin/tput hpa 60 + /usr/bin/tput setaf 1 + '[' -z ']' + FANCYTTY=1 + case "$FANCYTTY" in + true + echo -n '[....] ' + '[' -z postgrey ']' + echo -n 'Starting postfix greylisting daemon: postgrey' + log_daemon_msg_post 'Starting postfix greylisting daemon' postgrey + : + start-stop-daemon --start --oknodo --quiet --pidfile /var/run/postgrey.pid -- name postgrey --startas /usr/sbin/postgrey -- --pidfile=/var/run/postgrey.pid --daemonize -v --inet 127.0.0.1:10023 '' + log_end_msg 0 + '[' -z 0 ']' + local retval + retval=0 + log_end_msg_pre 0 + log_use_fancy_output + TPUT=/usr/bin/tput + EXPR=/usr/bin/expr + '[' -t 1 ']' + '[' xxterm '!=' x ']' + '[' xxterm '!=' xdumb ']' + '[' -x /usr/bin/tput ']' + '[' -x /usr/bin/expr ']' + /usr/bin/tput hpa 60 + /usr/bin/tput setaf 1 + '[' -z 1 ']' + true + case "$FANCYTTY" in + true ++ /usr/bin/tput setaf 1 + RED='' ++ /usr/bin/tput setaf 2 + GREEN='' ++ /usr/bin/tput setaf 3 + YELLOW='' ++ /usr/bin/tput op + NORMAL='' + /usr/bin/tput civis + /usr/bin/tput sc + /usr/bin/tput hpa 0 + '[' 0 -eq 0 ']' + /bin/echo -ne '[ ok ' + /usr/bin/tput rc + /usr/bin/tput cnorm + log_use_fancy_output + TPUT=/usr/bin/tput + EXPR=/usr/bin/expr + '[' -t 1 ']' + '[' xxterm '!=' x ']' + '[' xxterm '!=' xdumb ']' + '[' -x /usr/bin/tput ']' + '[' -x /usr/bin/expr ']' + /usr/bin/tput hpa 60 + /usr/bin/tput setaf 1 + '[' -z 1 ']' + true + case "$FANCYTTY" in + true ++ /usr/bin/tput setaf 1 + RED='' ++ /usr/bin/tput setaf 3 + YELLOW='' ++ /usr/bin/tput op + NORMAL='' + '[' 0 -eq 0 ']' + echo . + log_end_msg_post 0 + : + return 0 + exit 0 Das Startscript ist übrigens natürlich das aktuelle, Schönes Nächtle, Gregor From anmeyer at anup.de Fri Sep 13 22:38:28 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Fri, 13 Sep 2013 22:38:28 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: <2632617.7mHEVTJvs7@sojus> References: <3c5053bc992c8001d027caa0704d3929@heim.aeppelbroe.de> <20130913150110.GX15324@charite.de> <2632617.7mHEVTJvs7@sojus> Message-ID: <20130913223828.738db928@itxnew.bitcorner.intern> Gregor Burck wrote: > Am Freitag, 13. September 2013, 17:01:10 schrieb Ralf Hildebrandt: > > > bash -x /etc/init.d/postgrey start: > Starting postfix greylisting daemon: postgrey. > + set -e > + PATH=/sbin:/bin:/usr/sbin:/usr/bin > + DAEMON=/usr/sbin/postgrey > + NAME=postgrey > + DESC='postfix greylisting daemon' > + PIDFILE=/var/run/postgrey.pid > + SCRIPTNAME=/etc/init.d/postgrey > + test -x /usr/sbin/postgrey > + . /lib/lsb/init-functions > +++ run-parts --lsbsysinit --list /lib/lsb/init-functions.d > ++ for hook in '$(run-parts --lsbsysinit --list /lib/lsb/init-functions.d > 2>/dev/null)' > ++ '[' -r /lib/lsb/init-functions.d/20-left-info-blocks ']' > ++ . /lib/lsb/init-functions.d/20-left-info-blocks > ++ FANCYTTY= > ++ '[' -e /etc/lsb-base-logging.sh ']' > ++ true > + '[' -r /etc/default/postgrey ']' > + . /etc/default/postgrey > ++ POSTGREY_OPTS='-v --inet 127.0.0.1:10023' > + POSTGREY_OPTS='--pidfile=/var/run/postgrey.pid --daemonize -v --inet > 127.0.0.1:10023' > + '[' -z '' ']' > + POSTGREY_TEXT_OPT= > + ret=0 > + case "$1" in > + log_daemon_msg 'Starting postfix greylisting daemon' postgrey > + '[' -z 'Starting postfix greylisting daemon' ']' > + log_daemon_msg_pre 'Starting postfix greylisting daemon' postgrey > + log_use_fancy_output > + TPUT=/usr/bin/tput > + EXPR=/usr/bin/expr > + '[' -t 1 ']' > + '[' xxterm '!=' x ']' > + '[' xxterm '!=' xdumb ']' > + '[' -x /usr/bin/tput ']' > + '[' -x /usr/bin/expr ']' > + /usr/bin/tput hpa 60 > + /usr/bin/tput setaf 1 > + '[' -z ']' > + FANCYTTY=1 > + case "$FANCYTTY" in > + true > + echo -n '[....] ' > + '[' -z postgrey ']' > + echo -n 'Starting postfix greylisting daemon: postgrey' > + log_daemon_msg_post 'Starting postfix greylisting daemon' postgrey > + : > + start-stop-daemon --start --oknodo --quiet --pidfile /var/run/postgrey.pid -- > name postgrey --startas /usr/sbin/postgrey -- --pidfile=/var/run/postgrey.pid > --daemonize -v --inet 127.0.0.1:10023 '' > + log_end_msg 0 > + '[' -z 0 ']' > + local retval > + retval=0 > + log_end_msg_pre 0 > + log_use_fancy_output > + TPUT=/usr/bin/tput > + EXPR=/usr/bin/expr > + '[' -t 1 ']' > + '[' xxterm '!=' x ']' > + '[' xxterm '!=' xdumb ']' > + '[' -x /usr/bin/tput ']' > + '[' -x /usr/bin/expr ']' > + /usr/bin/tput hpa 60 > + /usr/bin/tput setaf 1 > + '[' -z 1 ']' > + true > + case "$FANCYTTY" in > + true > ++ /usr/bin/tput setaf 1 > + RED='' > ++ /usr/bin/tput setaf 2 > + GREEN='' > ++ /usr/bin/tput setaf 3 > + YELLOW='' > ++ /usr/bin/tput op > + NORMAL='' > + /usr/bin/tput civis > + /usr/bin/tput sc > + /usr/bin/tput hpa 0 > + '[' 0 -eq 0 ']' > + /bin/echo -ne '[ ok ' > + /usr/bin/tput rc > + /usr/bin/tput cnorm > + log_use_fancy_output > + TPUT=/usr/bin/tput > + EXPR=/usr/bin/expr > + '[' -t 1 ']' > + '[' xxterm '!=' x ']' > + '[' xxterm '!=' xdumb ']' > + '[' -x /usr/bin/tput ']' > + '[' -x /usr/bin/expr ']' > + /usr/bin/tput hpa 60 > + /usr/bin/tput setaf 1 > + '[' -z 1 ']' > + true > + case "$FANCYTTY" in > + true > ++ /usr/bin/tput setaf 1 > + RED='' > ++ /usr/bin/tput setaf 3 > + YELLOW='' > ++ /usr/bin/tput op > + NORMAL='' > + '[' 0 -eq 0 ']' > + echo . > + log_end_msg_post 0 > + : > + return 0 > + exit 0 > > Das Startscript ist übrigens natürlich das aktuelle, Und, was sagt ps aux |grep postgrey? > Gregor Andreas From listserv at xtlv.cn Fri Sep 13 23:08:29 2013 From: listserv at xtlv.cn (listserv) Date: Fri, 13 Sep 2013 23:08:29 +0200 Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als Deamon In-Reply-To: References: Message-ID: <52337ECD.1030901@xtlv.cn> > Message: 1 > Date: Fri, 13 Sep 2013 13:49:18 +0200 > From: Gregor Burck > To: "postfixbuch-users - listen.jpberlin.de" > > Subject: [Postfixbuch-users] [OT] postgrey startet nicht (mehr) als > Deamon > Message-ID: <3c5053bc992c8001d027caa0704d3929 at heim.aeppelbroe.de> > Content-Type: text/plain; charset="utf-8" > > /etc/init.d/postgrey status > > sagt, > [FAIL] postgrey is not running ... failed! > > starte ich postgrey von Hand: > postgrey -v --inet=127.0.0.1:10023 Ich hatte das selbe Problem. Im Logfile stand nur "postgrey[21046]: Process Backgrounded" - der Daemon lief aber nicht. Eine Lösung bestand für mich darin /usr/sbin/postgrey von #!/usr/bin/perl -T -w nach #!/usr/bin/perl -w zu ändern. Viele Grüße Mario -- ??????? From gregor at aeppelbroe.de Sat Sep 14 13:23:22 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Sat, 14 Sep 2013 13:23:22 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Gel=C3=B6st=3A__=5BOT=5D_postgrey_s?= =?utf-8?q?tartet_nicht_=28mehr=29_als_Deamon?= In-Reply-To: <52337ECD.1030901@xtlv.cn> References: <52337ECD.1030901@xtlv.cn> Message-ID: <2253410.rOxC78lcis@tschaika> Moin, Am Freitag, 13. September 2013, 23:08:29 schrieb listserv: > Eine Lösung bestand für mich darin > /usr/sbin/postgrey > von #!/usr/bin/perl -T -w > nach #!/usr/bin/perl -w > zu ändern. Bingo, das war es. Ich erinnere mich auch, das von der Konsole aus ein /usr/sbin/postgrey -v --inet 10023 eine Fehlermeldung bezüglich des -T bindings zurückgab. Da aber ein Parameter --inet 127.0.0.1:10023 wiederum lief, schenkte ich dieser Meldung nicht so viel Aufmerksamkeit, da ich sie als Falschaufruf des Parameters interpretierte. Schönes Wochenende, Gregor PS Gibt es dafür eine Übersetzung : ??????? ? From postfix at jpkessler.info Sat Sep 14 14:12:41 2013 From: postfix at jpkessler.info (Jan P. Kessler) Date: Sat, 14 Sep 2013 14:12:41 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Gel=C3=B6st=3A__=5BOT=5D_postgrey_s?= =?utf-8?q?tartet_nicht_=28mehr=29_als_Deamon?= In-Reply-To: <2253410.rOxC78lcis@tschaika> References: <52337ECD.1030901@xtlv.cn> <2253410.rOxC78lcis@tschaika> Message-ID: <523452B9.40609@jpkessler.info> > PS Gibt es dafür eine Übersetzung : ??????? ? Volksrepublik China. Wo ist mein Preis? ;) From driessen at fblan.de Sat Sep 14 15:04:16 2013 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Sat, 14 Sep 2013 15:04:16 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Gel=C3=B6st=3A__=5BOT=5D_postgrey_s?= =?utf-8?q?tartet_nicht_=28mehr=29_als_Deamon?= In-Reply-To: <523452B9.40609@jpkessler.info> References: <52337ECD.1030901@xtlv.cn> <2253410.rOxC78lcis@tschaika> <523452B9.40609@jpkessler.info> Message-ID: <000401ceb14a$eb159700$c140c500$@fblan.de> Im Auftrag von Jan P. Kessler > > > > PS Gibt es dafür eine Übersetzung : ??????? ? > > Volksrepublik China. Wo ist mein Preis? ;) > Öhm google sagt japanisch erkannt Und übersetzt "Chinesische Volksrepublik China" Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From kai_postfix at fuerstenberg.ws Sun Sep 15 16:50:10 2013 From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=) Date: Sun, 15 Sep 2013 16:50:10 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Gel=C3=B6st=3A__=5BOT=5D_postgrey_s?= =?utf-8?q?tartet_nicht_=28mehr=29_als_Deamon?= In-Reply-To: <000401ceb14a$eb159700$c140c500$@fblan.de> References: <52337ECD.1030901@xtlv.cn> <2253410.rOxC78lcis@tschaika> <523452B9.40609@jpkessler.info> <000401ceb14a$eb159700$c140c500$@fblan.de> Message-ID: <5235C922.4080302@fuerstenberg.ws> Am 14.09.2013 15:04, schrieb Uwe Drießen: > Im Auftrag von Jan P. Kessler >> >> >>> PS Gibt es dafür eine Übersetzung : ??????? ? >> >> Volksrepublik China. Wo ist mein Preis? ;) >> > > Öhm google sagt japanisch erkannt > > Und übersetzt > "Chinesische Volksrepublik China" wenn du die Sprache händisch nach chinesisch änderst, steht da "Menschen" -- Kai Fürstenberg PM an kai at fuerstenberg punkt ws From anmeyer at anup.de Mon Sep 16 11:59:00 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 16 Sep 2013 11:59:00 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql Message-ID: <20130916115900.4b19e228@itxnew.bitcorner.intern> Hallo! Ich frage mich gerade, ob es möglich ist, eine MySQL-Datenbank für einzelne virtuelle domains zu benutzen? Momentan sieht das so aus: virtual_mailbox_domains = x.de y.de z.de virtual_mailbox_base = /var/spool/vhosts virtual_mailbox_maps = hash:/etc/postfix/mailboxes virtual_alias_maps = hash:/etc/postfix/virtualaliases virtual_minimum_uid = 100 virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 virtual_transport = dovecot Hat jemand so etwas schon mal gemacht und kann mir einen Tip geben? Andreas From andreas.schulze at datev.de Mon Sep 16 13:00:16 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 16 Sep 2013 13:00:16 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916115900.4b19e228@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> Message-ID: <20130916110016.GA25183@spider.services.datevnet.de> Am 16.09.2013 11:59 schrieb Andreas Meyer: > Hat jemand so etwas schon mal gemacht und kann mir einen Tip geben? need more input :-) was ist das Problem, was willst du erreichen? -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From cite at incertum.net Mon Sep 16 13:10:43 2013 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 16 Sep 2013 13:10:43 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916115900.4b19e228@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> Message-ID: <20130916111043.GA2525@mail.incertum.net> * Andreas Meyer : > Ich frage mich gerade, ob es möglich ist, eine MySQL-Datenbank für einzelne > virtuelle domains zu benutzen? man 5 mysql_table | less +/domain.*default.*list From anmeyer at anup.de Mon Sep 16 13:42:06 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 16 Sep 2013 13:42:06 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916110016.GA25183@spider.services.datevnet.de> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> Message-ID: <20130916134206.661a5a11@itxnew.bitcorner.intern> Andreas Schulze wrote: > Am 16.09.2013 11:59 schrieb Andreas Meyer: > > Hat jemand so etwas schon mal gemacht und kann mir einen Tip geben? > need more input :-) > > was ist das Problem, was willst du erreichen? Ich möchte ein System bauen, an dem man eine eamil-Adresse registrieren kann, diese Adresse mit zugehörigem Passwort in eine MySQL-Tabelle eingetragen wird und anschließend von Postfix und Dovecot ausgewertet werden kann. Bislang werden alle Benutzer unter dovecot in ein file eingetragen und Postfix macht per LDA einen lookup. Jetzt möchte ich für eine einzelne Domain und auch für das Login über Webinterface eine MySQL benutzen, aus der alle Inforamtionen geholt werden können, die zum Anmelden und mailen benötigt werden. Die anderen Domainen, die Postfix und Dovecot verwalten, sollen weiterhin über das file, das dovecot managed, benutzt werden. Andreas From anmeyer at anup.de Mon Sep 16 13:42:40 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 16 Sep 2013 13:42:40 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916111043.GA2525@mail.incertum.net> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916111043.GA2525@mail.incertum.net> Message-ID: <20130916134240.7ba4b45a@itxnew.bitcorner.intern> Stefan Förster wrote: > * Andreas Meyer : > > Ich frage mich gerade, ob es möglich ist, eine MySQL-Datenbank für einzelne > > virtuelle domains zu benutzen? > > man 5 mysql_table | less +/domain.*default.*list ohje, da kommt ja richtig Arbeit auf mich zu. Andreas From cite at incertum.net Mon Sep 16 13:50:51 2013 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 16 Sep 2013 13:50:51 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916134206.661a5a11@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> Message-ID: <20130916115051.GB2525@mail.incertum.net> * Andreas Meyer : > Andreas Schulze wrote: > > > Am 16.09.2013 11:59 schrieb Andreas Meyer: > > > Hat jemand so etwas schon mal gemacht und kann mir einen Tip geben? > > need more input :-) > > > > was ist das Problem, was willst du erreichen? > > Ich möchte ein System bauen, an dem man eine eamil-Adresse registrieren > kann, diese Adresse mit zugehörigem Passwort in eine MySQL-Tabelle > eingetragen wird und anschließend von Postfix und Dovecot ausgewertet > werden kann. > > Bislang werden alle Benutzer unter dovecot in ein file eingetragen > und Postfix macht per LDA einen lookup. Jetzt möchte ich für eine > einzelne Domain und auch für das Login über Webinterface eine MySQL > benutzen, aus der alle Inforamtionen geholt werden können, die zum > Anmelden und mailen benötigt werden. Die anderen Domainen, die Postfix > und Dovecot verwalten, sollen weiterhin über das file, das dovecot > managed, benutzt werden. Da brauchst Du dann aber keine Einschränkung. Nenn die MySQL-Tabelle zuerst und dann die Files. Wenn er dann in der DB nicht fündig wird... From anmeyer at anup.de Mon Sep 16 14:29:02 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 16 Sep 2013 14:29:02 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916115051.GB2525@mail.incertum.net> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> Message-ID: <20130916142902.4a9a11c0@itxnew.bitcorner.intern> Stefan Förster wrote: > > > was ist das Problem, was willst du erreichen? > > > > Ich möchte ein System bauen, an dem man eine eamil-Adresse registrieren > > kann, diese Adresse mit zugehörigem Passwort in eine MySQL-Tabelle > > eingetragen wird und anschließend von Postfix und Dovecot ausgewertet > > werden kann. > > > > Bislang werden alle Benutzer unter dovecot in ein file eingetragen > > und Postfix macht per LDA einen lookup. Jetzt möchte ich für eine > > einzelne Domain und auch für das Login über Webinterface eine MySQL > > benutzen, aus der alle Inforamtionen geholt werden können, die zum > > Anmelden und mailen benötigt werden. Die anderen Domainen, die Postfix > > und Dovecot verwalten, sollen weiterhin über das file, das dovecot > > managed, benutzt werden. > > Da brauchst Du dann aber keine Einschränkung. Nenn die MySQL-Tabelle > zuerst und dann die Files. Wenn er dann in der DB nicht fündig wird... ok, ich muss jetzt nur noch rausfinden, ob dovecot gemischt fahren kann, also mit flatfile für die eine domain und MySQL für die andere. Lässt sich dieses Postfixadmin eigentlich dazu bennutzen, nur eine Domain per MySQL zu verwalten und die anderen Domainen von Postfix unberührt zu lassen? Andreas From anmeyer at anup.de Mon Sep 16 21:03:04 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 16 Sep 2013 21:03:04 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916115051.GB2525@mail.incertum.net> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> Message-ID: <20130916210304.15ae4fc8@itxnew.bitcorner.intern> Stefan Förster wrote: > > Bislang werden alle Benutzer unter dovecot in ein file eingetragen > > und Postfix macht per LDA einen lookup. Jetzt möchte ich für eine > > einzelne Domain und auch für das Login über Webinterface eine MySQL > > benutzen, aus der alle Inforamtionen geholt werden können, die zum > > Anmelden und mailen benötigt werden. Die anderen Domainen, die Postfix > > und Dovecot verwalten, sollen weiterhin über das file, das dovecot > > managed, benutzt werden. > > Da brauchst Du dann aber keine Einschränkung. Nenn die MySQL-Tabelle > zuerst und dann die Files. Wenn er dann in der DB nicht fündig wird... Postifx wertet die Datenbank nicht aus. Ich krieg's nicht hin. # postconf -m btree cidr environ hash ldap mysql nis pcre proxy regexp sdbm static tcp unix und der Part aus der main.cf: virtual_mailbox_domains = proxy:mysql:$config_directory/mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf virtual_alias_maps = proxy:mysql:$config_directory/mysql_virtual_alias_maps.cf virtual_mailbox_domains = aa.de bb.de cc.de virtual_mailbox_base = /var/spool/vhosts virtual_mailbox_maps = hash:/etc/postfix/mailboxes virtual_alias_maps = hash:/etc/postfix/virtualaliases virtual_minimum_uid = 100 virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 virtual_mailbox_limit = 524288000 virtual_transport = dovecot Ich hab's schon mit debugging versucht, hat mich aber nicht weitergebracht. Es findet kein Zugriff auf irgendwelche MySQL-relevanten Dateien statt. postfix/smtp[723]: 4B5321B312AA: to=, relay=none, delay=0.13, delays=0.09/0.01/0.03/0, dsn=5.4.6, status=bounced (mail for d.de loops back to myself) Andreas From p.heinlein at heinlein-support.de Mon Sep 16 21:16:35 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Sep 2013 21:16:35 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916210304.15ae4fc8@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> Message-ID: <52375913.9000104@heinlein-support.de> Am 16.09.2013 21:03, schrieb Andreas Meyer: > Postifx wertet die Datenbank nicht aus. Ich krieg's nicht hin. Hört mit diesem doooooooooooooooooooooofen virtual_xxx_domains geraffel auf. Das ist so ein Bullshit-quatsch, der hier von Howto nach Howto nachgequarkt wird. Bä, ich krieg die Krätze bei sowas. Total kompliziert, total überflüssig und vor allem total an der inneren Logik von Postfix vorbei. Einfach PfuiBäh. Das ganze ist TOTAL einfach. a) Setze Dovecot sauber auf. Dovecot muß die User kennen und erkennen, ein "doveadm auth test" und ein "doveadm auth user" muß saubere Ergebnisse liefern. Mit Home-Verzeichnis und überall der User-ID und Group-ID 10000 (alias vmail). b) Öffne in Dovecot den LMTP-Socket. c) Trage bei Postfix in die main.cf ein: relay_domains=hash:/etc/postfix/relay_domains transport_maps=hash:/etc/postfix/transport_maps, $relay_domains und dann ergänzt Du in den restrictions noch an passender Stelle das "reject_unverified_recipient", siehe Restrictions-Kapitel im Postfix-Buch. In /etc/poistfix/relay_domains trägst Du dann ein example.com lmtp:[127.0.0.1] postmap nicht vergessen und FERTIG IST DAS. Und wenn DAS dann alles geht und du nachvollzogen hast, was hier läuft und warum, DANN kannst Du gerne noch mit einem weiteren Handgriff die relay_domains meinetwegen auch noch aus MySQL lesen lassen. Das ist dann auch egal. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Mon Sep 16 21:17:58 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Sep 2013 21:17:58 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916134206.661a5a11@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> Message-ID: <52375966.1030008@heinlein-support.de> Am 16.09.2013 13:42, schrieb Andreas Meyer: > einzelne Domain und auch für das Login über Webinterface eine MySQL > benutzen, aus der alle Inforamtionen geholt werden können, die zum > Anmelden und mailen benötigt werden. Die anderen Domainen, die Postfix > und Dovecot verwalten, sollen weiterhin über das file, das dovecot > managed, benutzt werden. Das geht problemlos, niemand hindert Dich daran sowohl die auth-mysql.conf.ext als auch die auth-passwdfile.conf.ext zu includen und parallel zu benutzen. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfixbuch at cboltz.de Mon Sep 16 23:27:30 2013 From: postfixbuch at cboltz.de (Christian Boltz) Date: Mon, 16 Sep 2013 23:27:30 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916210304.15ae4fc8@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> Message-ID: <4195778.qflAYBap4T@tux.boltz.de.vu> Hallo Andreas, hallo Leute, Am Montag, 16. September 2013 schrieb Andreas Meyer: > Stefan Förster wrote: > > > Bislang werden alle Benutzer unter dovecot in ein file eingetragen > > > und Postfix macht per LDA einen lookup. Jetzt möchte ich für eine > > > einzelne Domain und auch für das Login über Webinterface eine > > > MySQL > > > benutzen, aus der alle Inforamtionen geholt werden können, die zum > > > Anmelden und mailen benötigt werden. Die anderen Domainen, die > > > Postfix und Dovecot verwalten, sollen weiterhin über das file, > > > das dovecot managed, benutzt werden. > > > > Da brauchst Du dann aber keine Einschränkung. Nenn die MySQL-Tabelle > > zuerst und dann die Files. Wenn er dann in der DB nicht fündig > > wird... > Postifx wertet die Datenbank nicht aus. Ich krieg's nicht hin. > und der Part aus der main.cf: ... zeigt genau, warum hier immer nach postconf -n gefragt wird ;-) > virtual_mailbox_domains = > proxy:mysql:$config_directory/mysql_virtual_domains_maps.cf > virtual_mailbox_maps = > proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf > virtual_alias_maps = > proxy:mysql:$config_directory/mysql_virtual_alias_maps.cf Zuerst definierst Du virtual_mailbox_domains etc.... > virtual_mailbox_domains = aa.de bb.de cc.de > virtual_mailbox_base = /var/spool/vhosts > virtual_mailbox_maps = hash:/etc/postfix/mailboxes > virtual_alias_maps = hash:/etc/postfix/virtualaliases ... um sie 3 Zeilen später wieder zu überschreiben. postconf -n dürfte Dir nur die letzten Zeilen ausgeben. Was Du willst, ist eine Kombination in jeweils einer Zeile, also z. B. virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf, hash:/etc/postfix/mailboxes Um die Frage in Deiner anderen Mail zu beantworten: PostfixAdmin stört sich nicht daran, wenn Du einen Teil Deiner Domains in Textdateien verwaltest. BTW: In der PostfixAdmin-Doku (POSTFIX_CONF.TXT) gibt es auch eine Anleitung, wie die Datenbank-Anbindung gemacht wird. In Deinem Fall musst Du eben zusätzlich die hash:/... mit angeben. Gruß Christian Boltz -- RAID: One more disk fails than can be recovered by the redundancy. -- Andreas Dau From anmeyer at anup.de Mon Sep 16 23:51:02 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 16 Sep 2013 23:51:02 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <52375913.9000104@heinlein-support.de> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> Message-ID: <20130916235102.65297637@itxnew.bitcorner.intern> Peer Heinlein wrote: > > Postifx wertet die Datenbank nicht aus. Ich krieg's nicht hin. > > Hört mit diesem doooooooooooooooooooooofen virtual_xxx_domains geraffel > auf. Das ist so ein Bullshit-quatsch, der hier von Howto nach Howto > nachgequarkt wird. Bä, ich krieg die Krätze bei sowas. Total > kompliziert, total überflüssig und vor allem total an der inneren Logik > von Postfix vorbei. Einfach PfuiBäh. > > Das ganze ist TOTAL einfach. Du hast leicht reden ;) > a) Setze Dovecot sauber auf. Dovecot muß die User kennen und erkennen, > ein "doveadm auth test" und ein "doveadm auth user" muß saubere > Ergebnisse liefern. Mit Home-Verzeichnis und überall der User-ID und > Group-ID 10000 (alias vmail). doveadm auth user funktioniert mittlerweile. > b) Öffne in Dovecot den LMTP-Socket. Ist offen. > c) Trage bei Postfix in die main.cf ein: > > relay_domains=hash:/etc/postfix/relay_domains > transport_maps=hash:/etc/postfix/transport_maps, $relay_domains > > und dann ergänzt Du in den restrictions noch an passender Stelle das > "reject_unverified_recipient", siehe Restrictions-Kapitel im Postfix-Buch. > > In /etc/poistfix/relay_domains trägst Du dann ein > > example.com lmtp:[127.0.0.1] Sep 16 23:40:44 delta postfix/lmtp[3737]: connect to 127.0.0.1[127.0.0.1]: Connection refused (port 24) Sep 16 23:40:44 delta postfix/lmtp[3737]: 8831F1B313D9: to=, relay=none, delay=995, delays=995/0.01/0/0, dsn=4.4.1, status=deferred (connect to 127.0.0.1[127.0.0.1]: Connection refused) > postmap nicht vergessen und FERTIG IST DAS. > > Und wenn DAS dann alles geht und du nachvollzogen hast, was hier läuft > und warum, DANN kannst Du gerne noch mit einem weiteren Handgriff die > relay_domains meinetwegen auch noch aus MySQL lesen lassen. Das ist dann > auch egal. Wenn ich die ganzen Zusammenhänge erstmal geschnallt habe, werde ich das ausbauen. Momentan bleibt die Testmail noch in der Queue hängen. srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 amavis srw-rw-rw- 1 postfix postfix 0 17. Aug 2011 amavisfeed srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 anvil srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 bounce srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 bsmtp srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 cyrus srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 defer srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 discard srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 dovecot srw-rw-rw- 1 vmail vmail 0 16. Sep 23:39 dovecot-lmtp srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 error srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 ifmail srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 lmtp srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 local srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 maildrop srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 procmail srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 proxymap srw-rw-rw- 1 postfix root 0 6. Apr 13:16 quota-status srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 relay srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 retry srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 rewrite srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 scache srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 smtp srw-rw-rw- 1 postfix postfix 0 17. Aug 2011 smtp-amavis srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 tlsmgr srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 trace srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 uucp srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 verify srw-rw-rw- 1 postfix postfix 0 16. Sep 23:40 virtual Warum? Was hat das mit dem port 24 auf sich? Auch wenn ich dovecot-lmtp auf postfix:postfix setze ändert das nichts. Andreas From p.heinlein at heinlein-support.de Mon Sep 16 23:56:43 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Sep 2013 23:56:43 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130916235102.65297637@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130916235102.65297637@itxnew.bitcorner.intern> Message-ID: <52377E9B.9070105@heinlein-support.de> Am 16.09.2013 23:51, schrieb Andreas Meyer: >> b) Öffne in Dovecot den LMTP-Socket. > > Ist offen. Pardon, ich meine natürlich den LMTP-Socket unter TCP/IP. Per Default macht Dovecot den socket unter /var/run/dovecot/lmtp auf. Postfix KÖNNTE dahin ausliefern, wenn Du in der relay_domains nun example.com lmtp:unix:/var/run/dovecot/lmtp angeben WÜRDEST. Aber: Da Postfix i.d.R. in einer chroot-Umgebung läuft, hätte er keinen Zugriff auf den Pfad. Abhilfe 1: Dovecot öffnet einen weiteren Unix-Socket unter /var/spool/postfix/private/dovecot-lmtp -oder- Abhilfe 2: Laß Dovecot den Socket einfach auf 127.0.0.1:24 öffnen. Geht auch prima, macht keinen Streß mit Permissions und chroot. Dazu in der 10-master.conf eintragen: service lmtp { unix_listener lmtp { #mode = 0666 } # Create inet listener only if you can't use the above UNIX socket inet_listener lmtp { # Avoid making LMTP visible for the entire internet address = 127.0.0.1 port = 24 } } > Sep 16 23:40:44 delta postfix/lmtp[3737]: connect to 127.0.0.1[127.0.0.1]: Connection refused (port 24) > Sep 16 23:40:44 delta postfix/lmtp[3737]: 8831F1B313D9: to=, relay=none, delay=995, delays=995/0.01/0/0, dsn=4.4.1, status=deferred (connect to 127.0.0.1[127.0.0.1]: Connection refused) Jau, weil "der" Socket eben NICHT offen ist. > Warum? Was hat das mit dem port 24 auf sich? Port 24 ist der Port für LMTP :-) > Auch wenn ich dovecot-lmtp > auf postfix:postfix setze ändert das nichts. Dann müßte der o.g. Weg über unix:lmtp:... gehen, aber bevor Du Dich damit rumstresst: Mach gleich TCP/IP. Sorry, da hatte ich mich ungenau ausgedrückt. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Tue Sep 17 00:57:01 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 00:57:01 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <52377E9B.9070105@heinlein-support.de> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130916235102.65297637@itxnew.bitcorner.intern> <52377E9B.9070105@heinlein-support.de> Message-ID: <20130917005701.71767f9e@itxnew.bitcorner.intern> Peer Heinlein wrote: > Am 16.09.2013 23:51, schrieb Andreas Meyer: > > > >> b) Öffne in Dovecot den LMTP-Socket. > > > > Ist offen. > > Pardon, ich meine natürlich den LMTP-Socket unter TCP/IP. > > Per Default macht Dovecot den socket unter /var/run/dovecot/lmtp auf. > Postfix KÖNNTE dahin ausliefern, wenn Du in der relay_domains nun > > example.com lmtp:unix:/var/run/dovecot/lmtp Das funktioniert, die mail wird über mysql einsortiert. > angeben WÜRDEST. Aber: Da Postfix i.d.R. in einer chroot-Umgebung läuft, > hätte er keinen Zugriff auf den Pfad. > > Abhilfe 1: Dovecot öffnet einen weiteren Unix-Socket unter > /var/spool/postfix/private/dovecot-lmtp > > -oder- > > Abhilfe 2: Laß Dovecot den Socket einfach auf 127.0.0.1:24 öffnen. Geht > auch prima, macht keinen Streß mit Permissions und chroot. Dazu in der > 10-master.conf eintragen: > > service lmtp { > unix_listener lmtp { > #mode = 0666 > } > > # Create inet listener only if you can't use the above UNIX socket > inet_listener lmtp { > # Avoid making LMTP visible for the entire internet > address = 127.0.0.1 > port = 24 > } > } Auch das funktioniert mittlerweile mit example.com lmtp:[127.0.0.1] in relay_domains. > > Warum? Was hat das mit dem port 24 auf sich? > > Port 24 ist der Port für LMTP :-) och, ich hätte ja auch mal schnell in /etc/services nachschauen können. > > Auch wenn ich dovecot-lmtp > > auf postfix:postfix setze ändert das nichts. > > Dann müßte der o.g. Weg über unix:lmtp:... gehen, aber bevor Du Dich > damit rumstresst: Mach gleich TCP/IP. > > Sorry, da hatte ich mich ungenau ausgedrückt. Ich danke Dir sehr! Ich dachte schon, ich seh' da kein Land, nachdem nichts funktioniert hat nach jeder Menge Lektüre über diese MySQL-Anbindung. Ich muss jetzt in der einfachen Tabelle, die ich da habe, noch rausfinden, wie ich den Pfad zum Home-Verzeichnis mit Variablen setzen kann. Momentan steht da /var/spool/vhosts/example.com/harry /var/spool/vhosts/%d/%n wird nicht akzeptiert. Aber das ist eine dovecot Sache. Vielen Dank! > Peer Andreas From anmeyer at anup.de Tue Sep 17 01:01:26 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 01:01:26 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <4195778.qflAYBap4T@tux.boltz.de.vu> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <4195778.qflAYBap4T@tux.boltz.de.vu> Message-ID: <20130917010126.7fc4f908@itxnew.bitcorner.intern> Christian Boltz wrote: > > > Da brauchst Du dann aber keine Einschränkung. Nenn die MySQL-Tabelle > > > zuerst und dann die Files. Wenn er dann in der DB nicht fündig > > > wird... > > Postifx wertet die Datenbank nicht aus. Ich krieg's nicht hin. > > > und der Part aus der main.cf: > > ... zeigt genau, warum hier immer nach postconf -n gefragt wird ;-) > > > virtual_mailbox_domains = > > proxy:mysql:$config_directory/mysql_virtual_domains_maps.cf > > virtual_mailbox_maps = > > proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf > > virtual_alias_maps = > > proxy:mysql:$config_directory/mysql_virtual_alias_maps.cf > > Zuerst definierst Du virtual_mailbox_domains etc.... > > > virtual_mailbox_domains = aa.de bb.de cc.de > > virtual_mailbox_base = /var/spool/vhosts > > virtual_mailbox_maps = hash:/etc/postfix/mailboxes > > virtual_alias_maps = hash:/etc/postfix/virtualaliases > > ... um sie 3 Zeilen später wieder zu überschreiben. > > postconf -n dürfte Dir nur die letzten Zeilen ausgeben. ok, hatte ich nicht getestet. > Was Du willst, ist eine Kombination in jeweils einer Zeile, also z. B. > > virtual_mailbox_maps = > proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf, > hash:/etc/postfix/mailboxes aha, das sieht gut aus. Ich werde mich auch daran nochmal probieren. > Um die Frage in Deiner anderen Mail zu beantworten: > > PostfixAdmin stört sich nicht daran, wenn Du einen Teil Deiner Domains > in Textdateien verwaltest. > > BTW: In der PostfixAdmin-Doku (POSTFIX_CONF.TXT) gibt es auch eine > Anleitung, wie die Datenbank-Anbindung gemacht wird. In Deinem Fall > musst Du eben zusätzlich die hash:/... mit angeben. ok, danke ich schau' mir das an. > Christian Boltz Andreas From p.heinlein at heinlein-support.de Tue Sep 17 01:02:03 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Sep 2013 01:02:03 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130917005701.71767f9e@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130916235102.65297637@itxnew.bitcorner.intern> <52377E9B.9070105@heinlein-support.de> <20130917005701.71767f9e@itxnew.bitcorner.intern> Message-ID: <52378DEB.9090607@heinlein-support.de> Am 17.09.2013 00:57, schrieb Andreas Meyer: >> Port 24 ist der Port für LMTP :-) > > och, ich hätte ja auch mal schnell in /etc/services nachschauen können. Nee, hättest du nicht, weil der da gar nicht drin steht. Port 24 ist für LMTP bis heute nie per RFC definiert worden. Ich hatte das sogar irgendwann mal geschrieben, aber irgendwie nie eingereicht. Muß ich mal wieder ausbuddeln. > Ich danke Dir sehr! Ich dachte schon, ich seh' da kein Land, nachdem > nichts funktioniert hat nach jeder Menge Lektüre über diese MySQL-Anbindung. Die Kunst ist es, Postfix einfach als DUMMES SIMPLES RELAY zu verstehen, das mit dem ganzen Quatsch "was ist eine Mailadresse und wo speichert man die hin" nichts zu tun hat. Wenn Postfix als Relay vor einem Exchange laufen würde, würdest du es auch nicht anders machen. So. Und jetzt rudere ich noch eine Runde zurück: ** WENN ** Du jetzt noch Weiterleitungen (alias virtual_alias_maps) aus der SQL-Datenbank saugen willst, ** DANN ** werden die natürlich schon noch als ganz normaler SQL-Query in virtual_alias_maps in Postfix eingetragen. Aber das ist eben nur für Weiterleitungen und hat mit normalen Mailadressen nichts zu tun. > Ich muss jetzt in der einfachen Tabelle, die ich da habe, noch rausfinden, > wie ich den Pfad zum Home-Verzeichnis mit Variablen setzen kann. > Momentan steht da /var/spool/vhosts/example.com/harry > /var/spool/vhosts/%d/%n wird nicht akzeptiert. Aber das ist eine dovecot > Sache. Doch. %d und %n sind dort möglich. Schönen Gruß Peer (der gerade am Dovecot-Buch in der letzten Kurve vor der Zielgeraden sitzt) -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Tue Sep 17 13:19:10 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 13:19:10 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <52375913.9000104@heinlein-support.de> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> Message-ID: <20130917131910.1019f5c9@itxnew.bitcorner.intern> Peer Heinlein wrote: > a) Setze Dovecot sauber auf. Dovecot muß die User kennen und erkennen, > ein "doveadm auth test" und ein "doveadm auth user" muß saubere > Ergebnisse liefern. Mit Home-Verzeichnis und überall der User-ID und > Group-ID 10000 (alias vmail). > > b) Öffne in Dovecot den LMTP-Socket. > > c) Trage bei Postfix in die main.cf ein: > > relay_domains=hash:/etc/postfix/relay_domains > transport_maps=hash:/etc/postfix/transport_maps, $relay_domains > > und dann ergänzt Du in den restrictions noch an passender Stelle das > "reject_unverified_recipient", siehe Restrictions-Kapitel im Postfix-Buch. > > In /etc/poistfix/relay_domains trägst Du dann ein > > example.com lmtp:[127.0.0.1] > > postmap nicht vergessen und FERTIG IST DAS. Ich möchte hier nochmal zurückkommen. Die oben beschriebene Methode hat den Nachteil, dass eine Domain, die dann nicht in virtual_mailbox_domains steht, dann nicht mehr als von Postfix zu handeln gekannt wird bzw. es kommt eine Warnung sinngemäß do not list domain in both relay_domains and virtual_mailbox_domains oder auch ein bounce weil von zen.spamhaus.org als dialup erkannt. Ich wollte deshalb nochmal die Methode mit virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf Aber postfix wertet die irgendwie nicht aus. Ein # postmap -q 'harry' mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf harry at testdomain.test liefert also ein positives Ergebnis. mysql> SELECT CONCAT(username,'@',domain) FROM mailbox WHERE username='harry' AND active = '1'; +-----------------------------+ | CONCAT(username,'@',domain) | +-----------------------------+ | harry at testdomain.test | +-----------------------------+ 1 row in set (0.00 sec) Sep 17 12:37:54 delta postfix/smtpd[11179]: NOQUEUE: reject: RCPT from p54B32078.dip0.t-ipconnect.de[84.179.32.120]: 450 4.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from= to= proto=ESMTP Warum wertet postfix die mysql_virtual_mailbox_maps.cf nicht aus? user = test password = test hosts = localhost dbname = mailtest table = mailbox select_field = CONCAT(username,'@',maildir) where_field = username additional_conditions = and active = '1' query = SELECT CONCAT(username,'@',domain) FROM mailbox WHERE username='%s' AND active = '1'; Sobald ich das alte flatfile virtual_mailbox_maps = hash:/etc/postfix/mailboxes aktiviere, funktioniert die Benutzerprüfung. ....... dovecot_destination_recipient_limit = 1 virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf, # aa.de bb.de cc.de virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf, # hash:/etc/postfix/mailboxes #virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf, # hash:/etc/postfix/virtualaliases #relay_domains=hash:/etc/postfix/relay_domains #transport_maps=hash:/etc/postfix/transport_maps, $relay_domains virtual_mailbox_base = /var/spool/vhosts virtual_alias_maps = hash:/etc/postfix/virtualaliases virtual_minimum_uid = 100 virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 virtual_mailbox_limit = 524288000 virtual_transport = dovecot Auch die virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf wird nicht beachtet. Ich hatte auch schon virtual_transport = dovecot , der über dovecot-lda ausliefert in Verdacht und kommentiert, ohne Erfolg. Was habe ich für ein Problem? Andreas From p.heinlein at heinlein-support.de Tue Sep 17 14:07:21 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 17 Sep 2013 14:07:21 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130917131910.1019f5c9@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> Message-ID: <523845F9.8000809@heinlein-support.de> Am 17.09.2013 13:19, schrieb Andreas Meyer: > Ich möchte hier nochmal zurückkommen. Die oben beschriebene Methode > hat den Nachteil, dass eine Domain, die dann nicht in virtual_mailbox_domains > steht, dann nicht mehr als von Postfix zu handeln gekannt wird bzw. es > kommt eine Warnung sinngemäß do not list domain in both relay_domains > and virtual_mailbox_domains oder auch ein bounce weil von zen.spamhaus.org > als dialup erkannt. Neenenenenenene, das ist so nicht richtig. Also mal langsam. *) Eine Domain ist immer ENTWEDER eine virtuelle Domain ODER eine "echte" Domain (=mydestination) ODER eine Relay-Domain. Alles andere wäre auch schizophren. Das ist kein Nachteil, sondern zugrundeliegendes Konzept von Postfix. Ist ja auch logisch und geht ja auch nicht anders. *) Wenn die Domain richtigerweise in $relay_domains steht, dann muß/darf sie nicht mehr in virtual_domains_maps stehen. Korrekt. Aber warum sollte sie da auch stehen? Was soll das für ein Nachteil sein? *) Mit einem Bounce von den RBLs hat das absolut nichts zu tun, ich weiß auch nicht, was Du hier meinst. Es gibt da keinen Zusammenhang wie Postfix durch die Restrictions läuft. > Was habe ich für ein Problem? Mach es so, wie ich sagte. Postfix ist ein RELAY und er routet die Mail an ein nachgeordnetes Blackbox-System namens Dovecot. Postfix hat sich nicht dafür zu interessieren, was Dovecot aus der Mailadresse mal macht und wohin Dovecot das abspeichert. Wirklich. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From kai_postfix at fuerstenberg.ws Tue Sep 17 14:07:51 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Sep 2013 14:07:51 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130917131910.1019f5c9@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> Message-ID: <52384617.4070900@fuerstenberg.ws> Hallo Andreas, Am 17.09.2013 13:19, schrieb Andreas Meyer: > Ich wollte deshalb nochmal die Methode mit > virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf > > Aber postfix wertet die irgendwie nicht aus. Ein bist du sicher, dass er das nicht auswertet, ober bekommt er einfach nur nicht das richtige Ergebnis? Woran machst du das fest? An einem "postmap -q"? > user = test > password = test > hosts = localhost > dbname = mailtest > table = mailbox > select_field = CONCAT(username,'@',maildir) > where_field = username > additional_conditions = and active = '1' > query = SELECT CONCAT(username,'@',domain) FROM mailbox WHERE username='%s' AND active = '1'; Du solltest dich entscheiden, welche Abfragemethode du verwenden möchtest: die "query"-Methode, oder die "table-select-where-add"-Methode. Ich persönlich bevorzuge die "query"-Methode und lasse die Felder "table", "select_field", "where_field" und "additional_conditions" einfach weg. > Auch die virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf > wird nicht beachtet. Und woran machst du das fest? Wenn das schlicht nicht beachtet würde, wäre die Fehlermeldung "relay access denied" und nicht "User unknown", denn dann würde die Domain in der Konfig nicht existieren und dein Postfix sich für diese nicht interessieren. > Ich hatte auch schon virtual_transport = dovecot , der über dovecot-lda > ausliefert in Verdacht und kommentiert, ohne Erfolg. Was hat virtual_transport damit zu tun? Das kommt erst nach Annahme der Mail und die Annahme scheint dein derzeitiges Problem zu sein. > Was habe ich für ein Problem? Das Problem ist zunächst mal, dass du bisher noch nicht einmal eine vollständige Konfiguration à la "postconf -n" gepostet hast. Und wir bekommen nur einzelne Log-Zeilen vorgesetzt, aus denen nichts ersichtlich ist. Bitte sende postconf -n (komplett) und ein vollständiges Log (von "connect" bis "disconnect"), bitte unverfälscht, wenn möglich. Wenn da tatsächlich nichts interessanteres drin steht, darf es auch schon mal ein "verbose"-log sein. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From anmeyer at anup.de Tue Sep 17 14:29:30 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 14:29:30 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <523845F9.8000809@heinlein-support.de> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <523845F9.8000809@heinlein-support.de> Message-ID: <20130917142930.71cc840d@itxnew.bitcorner.intern> Hallo Peer! Peer Heinlein wrote: > Am 17.09.2013 13:19, schrieb Andreas Meyer: > > > Ich möchte hier nochmal zurückkommen. Die oben beschriebene Methode > > hat den Nachteil, dass eine Domain, die dann nicht in virtual_mailbox_domains > > steht, dann nicht mehr als von Postfix zu handeln gekannt wird bzw. es > > kommt eine Warnung sinngemäß do not list domain in both relay_domains > > and virtual_mailbox_domains oder auch ein bounce weil von zen.spamhaus.org > > als dialup erkannt. > > Neenenenenenene, das ist so nicht richtig. Also mal langsam. > > *) Eine Domain ist immer ENTWEDER eine virtuelle Domain ODER eine > "echte" Domain (=mydestination) ODER eine Relay-Domain. Alles andere > wäre auch schizophren. Das ist kein Nachteil, sondern zugrundeliegendes > Konzept von Postfix. Ist ja auch logisch und geht ja auch nicht anders. > > *) Wenn die Domain richtigerweise in $relay_domains steht, dann muß/darf > sie nicht mehr in virtual_domains_maps stehen. Korrekt. Aber warum > sollte sie da auch stehen? Was soll das für ein Nachteil sein? > > *) Mit einem Bounce von den RBLs hat das absolut nichts zu tun, ich weiß > auch nicht, was Du hier meinst. Es gibt da keinen Zusammenhang wie > Postfix durch die Restrictions läuft. sorry, falsch ausgedrückt, es war ein blocked. > > Was habe ich für ein Problem? > > Mach es so, wie ich sagte. > > Postfix ist ein RELAY und er routet die Mail an ein nachgeordnetes > Blackbox-System namens Dovecot. Postfix hat sich nicht dafür zu > interessieren, was Dovecot aus der Mailadresse mal macht und wohin > Dovecot das abspeichert. Mit Deiner Methode wird die mail zwar an dovecot übergeben und der sortiert die auch ein. Hole die mail ab und will darauf antworten, bekomme ich einen reject. Ich habe die domain mal händisch geändert: Sep 17 14:18:26 delta postfix/smtpd[12695]: connect from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Sep 17 14:18:26 delta postfix/smtpd[12695]: setting up TLS connection from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Sep 17 14:18:27 delta postfix/smtpd[12695]: TLS connection established from p54B302E4.dip0.t-ipconnect.de[84.179.2.228]: TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits) Sep 17 14:18:27 delta postfix/smtpd[12695]: NOQUEUE: reject: RCPT from p54B302E4.dip0.t-ipconnect.de[84.179.2.228]: 454 4.7.1 Service unavailable; Client host [84.179.2.228] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=84.179.2.228; from= to= proto=ESMTP helo= Sep 17 14:18:27 delta postfix/smtpd[12695]: lost connection after RCPT from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Sep 17 14:18:27 delta postfix/smtpd[12695]: disconnect from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] harry at testdomain.test steht in der sasl.db. # sasldblistusers2 |grep harry harry at testdomain.test: userPassword smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/access_sender, permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unknown_sender_domain, check_sender_access pcre:/etc/postfix/umlaute.pcre, check_recipient_access pcre:/etc/postfix/umlaute.pcre, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, check_client_access cidr:/etc/postfix/client.cidr, check_policy_service inet:127.0.0.1:10023 Wo liegt mein Denkfehler? BTW, es hätte mich dennoch interessiert, warum postfix die MxSQL-Tabellen nicht auswertet. Andreas From anmeyer at anup.de Tue Sep 17 15:21:11 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 15:21:11 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <52384617.4070900@fuerstenberg.ws> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <52384617.4070900@fuerstenberg.ws> Message-ID: <20130917152111.5f26d646@itxnew.bitcorner.intern> Kai Fürstenberg wrote: > bist du sicher, dass er das nicht auswertet, ober bekommt er einfach nur > nicht das richtige Ergebnis? Woran machst du das fest? An einem "postmap > -q"? > > > user = test > > password = test > > hosts = localhost > > dbname = mailtest > > table = mailbox > > select_field = CONCAT(username,'@',maildir) > > where_field = username > > additional_conditions = and active = '1' > > query = SELECT CONCAT(username,'@',domain) FROM mailbox WHERE username='%s' AND active = '1'; > > Du solltest dich entscheiden, welche Abfragemethode du verwenden > möchtest: die "query"-Methode, oder die "table-select-where-add"-Methode. > > Ich persönlich bevorzuge die "query"-Methode und lasse die Felder > "table", "select_field", "where_field" und "additional_conditions" > einfach weg. ok, ich habe das nach deiner Methode mal umgeändert. Ich bin nicht so der SQL-Experte. Und bin erstaunt, das gesagte Domain jetzt beliefert wird. Die Tabelle wird also ausgewertet. Das war offenbar ein goldrichtiger Tip. > > Auch die virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf > > wird nicht beachtet. > > Und woran machst du das fest? Wenn das schlicht nicht beachtet würde, > wäre die Fehlermeldung "relay access denied" und nicht "User unknown", > denn dann würde die Domain in der Konfig nicht existieren und dein > Postfix sich für diese nicht interessieren. ... > Das Problem ist zunächst mal, dass du bisher noch nicht einmal eine > vollständige Konfiguration à la "postconf -n" gepostet hast. Und wir > bekommen nur einzelne Log-Zeilen vorgesetzt, aus denen nichts > ersichtlich ist. > > Bitte sende postconf -n (komplett) und ein vollständiges Log (von > "connect" bis "disconnect"), bitte unverfälscht, wenn möglich. Wenn da > tatsächlich nichts interessanteres drin steht, darf es auch schon mal > ein "verbose"-log sein. # postconf -n # sind sensible daten und manche virtuellen domains habe # ich geschwärtzt alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases biff = no body_checks = regexp:/etc/postfix/body_checks_regexp, pcre:/etc/postfix/body_checks_pcre bounce_queue_lifetime = 1d broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 disable_dns_lookups = no disable_mime_output_conversion = no disable_vrfy_command = yes header_checks = regexp:/etc/postfix/header_checks_regexp, html_directory = /usr/share/doc/packages/postfix/html inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_size_limit = 524288000 mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_exceptions = root maximal_queue_lifetime = 3d message_size_limit = 524288000 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, listen.bitcorner.eu mydomain = bitcorner.eu myhostname = mail.bitcorner.eu mynetworks = 213.239.207.165, 127.0.0.1/32 myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES recipient_bcc_maps = hash:/etc/postfix/archiv sample_directory = /usr/share/doc/packages/postfix/samples sender_bcc_maps = hash:/etc/postfix/archiv sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/postfix/certs/cacert.pem smtp_tls_cert_file = /etc/postfix/certs/hostcert.pem smtp_tls_key_file = /etc/postfix/certs/hostkey.pem smtp_tls_loglevel = 1 smtp_tls_note_starttls_offer = yes smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = smtpd_discard_ehlo_keywords = silent-discard, etrn smtpd_etrn_restrictions = reject smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/access_sender, permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unknown_sender_domain, check_sender_access pcre:/etc/postfix/umlaute.pcre, check_recipient_access pcre:/etc/postfix/umlaute.pcre, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, check_client_access cidr:/etc/postfix/client.cidr, check_policy_service inet:127.0.0.1:10023 smtpd_restriction_classes = local_only smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = anup.de smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = hash:/etc/postfix/sasl_needed smtpd_tls_CAfile = /etc/postfix/certs/cacert.pem smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/certs/hostcert.pem smtpd_tls_key_file = /etc/postfix/certs/hostkey.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_req_ccert = no smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes soft_bounce = yes strict_8bitmime = no strict_rfc821_envelopes = no tls_random_source = dev:/dev/urandom unknown_address_reject_code = 550 unknown_local_recipient_reject_code = 550 virtual_alias_domains = hash:/etc/postfix/virtual virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf, hash:/etc/postfix/virtualaliases virtual_gid_maps = static:5000 virtual_mailbox_base = /var/spool/vhosts virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf, anup.de aaaa.de aaaa.eu bitcorner.de cccc.de virtual_mailbox_limit = 524288000 virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf, virtual_minimum_uid = 100 virtual_transport = dovecot virtual_uid_maps = static:5000 Jetzt kommt das nächste Problem. Bei der Definition virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf, anup.de aaaa.de aaaa.eu bitcorner.de cccc.de virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf, # hash:/etc/postfix/mailboxes wird die anup.de nicht mehr gefunden. Sep 17 15:02:27 delta postfix/smtpd[13048]: connect from dovecot.org[193.210.130.67] Sep 17 15:02:27 delta postfix/smtpd[13048]: NOQUEUE: reject: RCPT from dovecot.org[193.210.130.67]: 450 4.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from= to= proto=ESMTP helo= Sep 17 15:02:27 delta postfix/smtpd[13048]: disconnect from dovecot.org[193.210.130.67] Sep 17 15:02:38 delta postfix/smtpd[13048]: connect from delta.bitcorner.eu[213.239.207.165] Sep 17 15:02:38 delta postfix/smtpd[13048]: NOQUEUE: reject: RCPT from delta.bitcorner.eu[213.239.207.165]: 450 4.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from= to= proto=SMTP helo= Sep 17 15:02:38 delta postfix/smtpd[13048]: lost connection after RCPT from delta.bitcorner.eu[213.239.207.165] Sep 17 15:02:38 delta postfix/smtpd[13048]: disconnect from delta.bitcorner.eu[213.239.207.165] Sep 17 15:03:22 delta postfix/smtpd[13048]: connect from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Sep 17 15:03:22 delta postfix/smtpd[13048]: setting up TLS connection from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Sep 17 15:03:23 delta postfix/smtpd[13048]: TLS connection established from p54B302E4.dip0.t-ipconnect.de[84.179.2.228]: TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits) Sep 17 15:03:24 delta postfix/smtpd[13048]: NOQUEUE: client=p54B302E4.dip0.t-ipconnect.de[84.179.2.228], sasl_method=CRAM-MD5, sasl_username=anmeyer at anup.de Sep 17 15:03:25 delta postfix/smtpd[13058]: connect from localhost[127.0.0.1] Sep 17 15:03:25 delta postfix/smtpd[13058]: 37BC81B3033E: client=localhost[127.0.0.1] Sep 17 15:03:25 delta postfix/cleanup[13059]: 37BC81B3033E: message-id=<20130917150320.4b901e70 at itxnew.bitcorner.intern> Sep 17 15:03:25 delta postfix/smtpd[13058]: disconnect from localhost[127.0.0.1] Sep 17 15:03:25 delta postfix/qmgr[12989]: 37BC81B3033E: from=, size=569, nrcpt=1 (queue active) Sep 17 15:03:25 delta postfix/smtpd[13048]: disconnect from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Sep 17 15:03:25 delta postfix/pipe[13060]: 37BC81B3033E: to=, relay=dovecot, delay=0.42, delays=0.07/0.01/0/0.33, dsn=2.0.0, status=sent (delivered via dovecot service) Sep 17 15:03:25 delta postfix/qmgr[12989]: 37BC81B3033E: removed Besagte harry at testdomain.test, die in der MySQL-Tabelle steht, wird eingeliefert, die anderen virtuellen Domainen werden nicht mehr gefunden, obwohl ich dachte, es gäbe einen fallthrough mit virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf, anup.de aaaa.de aaaa.eu bitcorner.de cccc.de Andreas From kai_postfix at fuerstenberg.ws Tue Sep 17 15:36:07 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Tue, 17 Sep 2013 15:36:07 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130917152111.5f26d646@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <52384617.4070900@fuerstenberg.ws> <20130917152111.5f26d646@itxnew.bitcorner.intern> Message-ID: <52385AC7.2060605@fuerstenberg.ws> Am 17.09.2013 15:21, schrieb Andreas Meyer: > wird die anup.de nicht mehr gefunden. > > Sep 17 15:02:27 delta postfix/smtpd[13048]: connect from > dovecot.org[193.210.130.67] Sep 17 15:02:27 delta > postfix/smtpd[13048]: NOQUEUE: reject: RCPT from > dovecot.org[193.210.130.67]: 450 4.1.1 : Recipient > address rejected: User unknown in virtual mailbox table; > from= to= proto=ESMTP > helo= falsch. Die Domain anup.de wird gefunden, sonst hieße die Fehlermeldung "Relay access denied". Jedoch wird der user anmeyer at anup.de nicht in der MySQL-Tabelle der mailbox_maps gefunden Da du ja nur > virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf, definiert hast, suchst du auch nur in dieser Tabelle. Steht dieser User in dieser Tabelle? -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From anmeyer at anup.de Tue Sep 17 16:19:18 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 16:19:18 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <52385AC7.2060605@fuerstenberg.ws> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <52384617.4070900@fuerstenberg.ws> <20130917152111.5f26d646@itxnew.bitcorner.intern> <52385AC7.2060605@fuerstenberg.ws> Message-ID: <20130917161918.4d510bf3@itxnew.bitcorner.intern> Hallo! Die mail, auf die du dich beziehst, ist noch nicht bei mir eingetroffen wegen dem softbounce. Kai Fürstenberg wrote: > Am 17.09.2013 15:21, schrieb Andreas Meyer: > > wird die anup.de nicht mehr gefunden. > > > > Sep 17 15:02:27 delta postfix/smtpd[13048]: connect from > > dovecot.org[193.210.130.67] Sep 17 15:02:27 delta > > postfix/smtpd[13048]: NOQUEUE: reject: RCPT from > > dovecot.org[193.210.130.67]: 450 4.1.1 : Recipient > > address rejected: User unknown in virtual mailbox table; > > from= to= proto=ESMTP > > helo= > > falsch. Die Domain anup.de wird gefunden, sonst hieße die Fehlermeldung > "Relay access denied". Du hast recht. anup.de wird gefunden. > Jedoch wird der user anmeyer at anup.de nicht in der MySQL-Tabelle der > mailbox_maps gefunden ja, so ist es. > Da du ja nur > > virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf, > definiert hast, suchst du auch nur in dieser Tabelle. > > Steht dieser User in dieser Tabelle? Nein, diese Tabelle soll vorerst nur für die testdomain.test fungieren. Mit virtual_mailbox_maps = proxy:mysql:/etc/postfix/ , hash:/etc/postfix/mailboxes funktioniert es jetzt. Wobei ich der irrigen Meinung war, dass Postfix die /etc/postfix/mailboxes zur Einlieferung an dovecot gar nicht zu Rate zieht, da über dovecot-lda eingeliefert wird. Danke, es funktioniert, mir raucht der Kopf. Es ist komlpiziert, wenn man sich nicht jeden Tag mir dieser Materie beschäftigt. Andreas From anmeyer at anup.de Tue Sep 17 16:23:23 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Tue, 17 Sep 2013 16:23:23 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130917142930.71cc840d@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <523845F9.8000809@heinlein-support.de> <20130917142930.71cc840d@itxnew.bitcorner.intern> Message-ID: <20130917162323.24b53d3f@itxnew.bitcorner.intern> Andreas Meyer wrote: > Peer Heinlein wrote: > > Mach es so, wie ich sagte. > > > > Postfix ist ein RELAY und er routet die Mail an ein nachgeordnetes > > Blackbox-System namens Dovecot. Postfix hat sich nicht dafür zu > > interessieren, was Dovecot aus der Mailadresse mal macht und wohin > > Dovecot das abspeichert. > > Mit Deiner Methode wird die mail zwar an dovecot übergeben und der > sortiert die auch ein. Hole die mail ab und will darauf antworten, > bekomme ich einen reject. > > Ich habe die domain mal händisch geändert: > Sep 17 14:18:26 delta postfix/smtpd[12695]: connect from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] > Sep 17 14:18:26 delta postfix/smtpd[12695]: setting up TLS connection from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] > Sep 17 14:18:27 delta postfix/smtpd[12695]: TLS connection established from p54B302E4.dip0.t-ipconnect.de[84.179.2.228]: TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits) > Sep 17 14:18:27 delta postfix/smtpd[12695]: NOQUEUE: reject: RCPT from p54B302E4.dip0.t-ipconnect.de[84.179.2.228]: 454 4.7.1 Service unavailable; Client host [84.179.2.228] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=84.179.2.228; from= to= proto=ESMTP helo= > Sep 17 14:18:27 delta postfix/smtpd[12695]: lost connection after RCPT from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] > Sep 17 14:18:27 delta postfix/smtpd[12695]: disconnect from p54B302E4.dip0.t-ipconnect.de[84.179.2.228] Mein Denkfehler lag einfach daran, dass ich in meinem MUA vergessen hatte, die SMTP-Authentifizierung beim Senden einzuschalten. Ach, ist das alles so kompliziert. Ich habe den Überblick jetzt. Danke! Andreas From ffiene at veka.com Wed Sep 18 07:41:51 2013 From: ffiene at veka.com (Frank Fiene) Date: Wed, 18 Sep 2013 07:41:51 +0200 Subject: [Postfixbuch-users] =?windows-1252?q?Kennt_jemand_Barracudas_Anti?= =?windows-1252?q?SPAM-Antivirus_L=F6sung?= In-Reply-To: <11055201.VtGdoO9xn3@tux.boltz.de.vu> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> <11055201.VtGdoO9xn3@tux.boltz.de.vu> Message-ID: <7EE30017-F493-4CD4-A007-95D83B6B61AE@veka.com> Hmmm, das war jetzt nicht so schlecht wie erwartet. Am 12.09.2013 um 23:43 schrieb Christian Boltz : > Hallo Frank, hallo Leute, > > Am Donnerstag, 12. September 2013 schrieb Frank Fiene: >> in der nächsten Woche will mich ein Vertriebler von Barracuda davon >> überzeugen, dass seine Lösung viiieeel besser ist als meine >> Postfix/Amavisd/Postgrey/Clamd-Installation. > > Falls Dein Server einigermaßen sinnvoll aufgesetzt ist, wird er das > nicht schaffen ;-) - und falls Dein Problem nur ist, dass Du Geld übrig > hast [1], bin ich da gern behilflich ;-)) OK, zuerst der Preis, für uns wären das ca. ?3.200 pro Jahr. Das ist jetzt nicht so viel. >> Was muss ich fragen? Kennt die Lösung jemand? >> Haben die wenigstens smtp korrekt implementiert? > > smtp? Halbwegs - das Listenarchiv kennt einige lustige Geschichten. > Nur mal als Beispiele: > [...] > Oh, und ich habe tatsächlich noch eine Frage für den Vertriebler: > http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-January/041310.html > ;-) Ich habe den Menschen von Barracuda nicht so ganz richtig verstanden. Entweder nutzen die noch Postfix als Backend und sind gerade dabei einen eigenen MTA zu entwickeln oder sie haben schon einen eigenen und hatten früher Postfix. Inwieweit da jetzt noch GNU lizensierter Code drinsteckt, sagt natürlich keiner. Ich halte es für sehr zweifelhaft, ob ein eigener MTA eine gute Idee ist. Sie denken, dass der schneller und sicherer ist als Postfix oder Exim. Ich glaube, da musste ich mal kurz lächeln. ;-) > Es wäre schön, wenn Du uns kurz berichtest, ob Du den Vertriebler > erfolgreich vertreiben ;-) konntest und was er zu den genannten Dingen > sagt. Ich leg schonmal das Popcorn bereit ;-) Technisch gesehen haben sie kein Greylisting, SPF geht nur "an" oder "aus", man kann damit nicht den SPAM-Score erhöhen. Genausowenig wie mit den RBLs (eigene und fremde). Damit müssen sie auch in der Hilfe empfehlen, SPF check auszuschalten. Im Prinzip machen sie Scoring und Tagging, wenn die Mails erstmal auf dem System sind. Ein Paketfilter ist noch dabei, ich weiß nicht ob mit dem auch die Server aus den RBLs schon abgewiesen werden oder ob das der MTA macht (machen muss). Sie haben einen eigenen Virenscanner, von dem habe ich noch nie gehört und eine zweite Engine, bei der habe ich vergessen nachzufragen welche das ist. Anscheinend hatte ich einen Wirtschaftsinformatiker am Telefon, der sehr angestrengt versuchte, seine sächsische oder thüringische Herkunft zu verleugnen. Auf jeden Fall hat er auf Nachfrage die Funktion um TLS/SSL einzuschalten nicht gefunden und konnte sie mir nicht zeigen. Also das was die Telekom jetzt so großartig angekündigt hat und wir alle wahrscheinlich schon seit fast 20 Jahren benutzen. ;-) Im Prinzip machen die im Grunde dasselbe wie wir mit unseren handkonfigurierten Postfix-Setups, nur mit einer DAU-kompatiblen Oberfläche. Also wird das Expertenwissen zum Hersteller verlagert. Der Zugriff auf das Webinterface war sehr langsam weil er über das Internet darauf zugegriffen hat, da sehe ich die Shell klar im Vorteil. Ich hoffe ich habe nichts vergessen ? Ach so, das Teil kann man noch clustern, ich hoffe, dass das nur für den Abgleich der Datenbanken genutzt wird und nicht für SMTP, das kann SMTP schon ganz gut selber regeln. Fazit: Kann man machen, ich würde aber wenn dann eher so etwas wie eine Astaro (jetzt Sophos) dafür einsetzen, die nutzen Postfix als Backend, haben Greylisting, RBLs und auch ein SPAM-Scoring wenn man das möchte. Wenn man selber Expertenwissen hat, geht trotzdem nichts über ein handoptimiertes/-konfiguriertes System. Damit holt man halt die letzten Prozente heraus. Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From sebastian at debianfan.de Wed Sep 18 09:03:16 2013 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 18 Sep 2013 09:03:16 +0200 Subject: [Postfixbuch-users] blocklist.de ??? Message-ID: <4166C2F5-3549-49B3-A67F-395DED9124B0@debianfan.de> Hallo zusammen, Benutzt jemand diese Listen ? Gruß Sebastian From Ralf.Hildebrandt at charite.de Wed Sep 18 09:25:36 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 18 Sep 2013 09:25:36 +0200 Subject: [Postfixbuch-users] blocklist.de ??? In-Reply-To: <4166C2F5-3549-49B3-A67F-395DED9124B0@debianfan.de> References: <4166C2F5-3549-49B3-A67F-395DED9124B0@debianfan.de> Message-ID: <20130918072536.GC32665@charite.de> * sebastian at debianfan.de : > Hallo zusammen, > > Benutzt jemand diese Listen ? Er könnte ja erstmal das Character Encoding auf der Impressumsseite korrigieren. Mir scheint das eher für Webserver sinnvoll zu sein, wobei man allerdings argumentieren könnte, daß Maschinen von denen Angriffe kommen auch für anderes mißbraucht werden (könnten). -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From ffiene at veka.com Wed Sep 18 09:35:56 2013 From: ffiene at veka.com (Frank Fiene) Date: Wed, 18 Sep 2013 09:35:56 +0200 Subject: [Postfixbuch-users] =?windows-1252?q?Kennt_jemand_Barracudas_Anti?= =?windows-1252?q?SPAM-Antivirus_L=F6sung?= In-Reply-To: <5232C29F.3090001@heinlein-support.de> References: <7AE88348-631F-4E77-9533-15FBC7B66054@veka.com> <20130913072516.GD15324@charite.de> <5232C29F.3090001@heinlein-support.de> Message-ID: <9EB55ED9-4527-4755-B451-2C173E11775F@veka.com> Am 13.09.2013 um 09:45 schrieb Peer Heinlein : > Am 13.09.2013 09:25, schrieb Ralf Hildebrandt: >> * Frank Fiene : >>> N?Abend Kollegen, >>> >>> in der nächsten Woche will mich ein Vertriebler von Barracuda davon überzeugen, dass seine Lösung viiieeel besser ist als meine Postfix/Amavisd/Postgrey/Clamd-Installation. >>> >>> Was muss ich fragen? Kennt die Lösung jemand? >>> Haben die wenigstens smtp korrekt implementiert? >> >> Ich habe den Eindruck die blocken standardmäßig Bounces. >> > > Genau. Alles, was mit leerem SMTP-Envelope daherkommt, ist ja eh böse > und bestimmt falsch. > > Steht zwar nicht im RFC, hat aber ja mal der Programmierer per > trial-and-error getestet. Oh ja, da habe ich nach gefragt, ob sie nur den SMTP-Envelope auswerten! Meine Interpretation der Antwort: Anscheinend ja, aber der Ansprechpartner kannte auch nur den SMTP-Envelope oder er wusste gar nicht wovon er da geredet hat. ;-) VG Frank From Ralf.Hildebrandt at charite.de Wed Sep 18 09:38:09 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 18 Sep 2013 09:38:09 +0200 Subject: [Postfixbuch-users] blocklist.de ??? In-Reply-To: <20130918072536.GC32665@charite.de> References: <4166C2F5-3549-49B3-A67F-395DED9124B0@debianfan.de> <20130918072536.GC32665@charite.de> Message-ID: <20130918073809.GI32665@charite.de> > Mir scheint das eher für Webserver sinnvoll zu sein, wobei man > allerdings argumentieren könnte, daß Maschinen von denen Angriffe > kommen auch für anderes mißbraucht werden (könnten). Ich habe die mal testhalber eingebau, mal sehen was so auftaucht. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From kai_postfix at fuerstenberg.ws Wed Sep 18 09:40:51 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 18 Sep 2013 09:40:51 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130917161918.4d510bf3@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <52384617.4070900@fuerstenberg.ws> <20130917152111.5f26d646@itxnew.bitcorner.intern> <52385AC7.2060605@fuerstenberg.ws> <20130917161918.4d510bf3@itxnew.bitcorner.intern> Message-ID: <52395903.7090503@fuerstenberg.ws> Am 17.09.2013 16:19, schrieb Andreas Meyer: > Mit > virtual_mailbox_maps = proxy:mysql:/etc/postfix/ , > hash:/etc/postfix/mailboxes > > funktioniert es jetzt. Wobei ich der irrigen Meinung war, dass Postfix > die /etc/postfix/mailboxes zur Einlieferung an dovecot gar nicht zu Rate > zieht, da über dovecot-lda eingeliefert wird. Nur weil Postfix die Mail an irgendeinen MDA übergibt, wird längst noch nicht der Empfänger überprüft. Das macht Postfix üblicherweise zunächst mit den angegebenen Tabellen. Deshalb muss auch jeder Empfänger in den Tabellen drinstehen. Erst wenn die Mail angenommen und z.B. an Dovecot deliver übergeben wurde, erfolgt dort die Empfängerprüfung, vorher nicht. Soll die Empfängerprüfung schon während der Einlieferung über Dovecot laufen, müsstest du, wie bereits von Peer erwähnt, in deinen Restrictions mittels "reject_unverified_recipient" den Empfänger explizit prüfen lassen und am Ende mit einem ausdrücklichen "permit" die Mail annehmen ohne den Empfänger gegen die internen Listen zu prüfen. Alternativ ginge statt letzterem auch ein simples smtpd_reject_unlisted_recipient=no, was vermutlich besser wäre. Hier wäre es dann aber ratsam, das Setup nach der Anleitung von Peer als Relay einzurichten, was in diesem Fall wohl auch logischer und damit auch zu bevorzugen wäre. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From anmeyer at anup.de Wed Sep 18 10:08:51 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Wed, 18 Sep 2013 10:08:51 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <52395903.7090503@fuerstenberg.ws> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <52384617.4070900@fuerstenberg.ws> <20130917152111.5f26d646@itxnew.bitcorner.intern> <52385AC7.2060605@fuerstenberg.ws> <20130917161918.4d510bf3@itxnew.bitcorner.intern> <52395903.7090503@fuerstenberg.ws> Message-ID: <20130918100851.2f59c409@itxnew.bitcorner.intern> Kai Fürstenberg wrote: > Am 17.09.2013 16:19, schrieb Andreas Meyer: > > Mit > > virtual_mailbox_maps = proxy:mysql:/etc/postfix/ , > > hash:/etc/postfix/mailboxes > > > > funktioniert es jetzt. Wobei ich der irrigen Meinung war, dass Postfix > > die /etc/postfix/mailboxes zur Einlieferung an dovecot gar nicht zu Rate > > zieht, da über dovecot-lda eingeliefert wird. > > Nur weil Postfix die Mail an irgendeinen MDA übergibt, wird längst noch > nicht der Empfänger überprüft. Das macht Postfix üblicherweise zunächst > mit den angegebenen Tabellen. Deshalb muss auch jeder Empfänger in den > Tabellen drinstehen. Erst wenn die Mail angenommen und z.B. an Dovecot > deliver übergeben wurde, erfolgt dort die Empfängerprüfung, vorher nicht. > > Soll die Empfängerprüfung schon während der Einlieferung über Dovecot > laufen, müsstest du, wie bereits von Peer erwähnt, in deinen > Restrictions mittels "reject_unverified_recipient" den Empfänger > explizit prüfen lassen und am Ende mit einem ausdrücklichen "permit" die > Mail annehmen ohne den Empfänger gegen die internen Listen zu prüfen. # postconf reject_unverified_recipient postconf: warning: reject_unverified_recipient: unknown parameter > Alternativ ginge statt letzterem auch ein simples > smtpd_reject_unlisted_recipient=no, was vermutlich besser wäre. ah, das ist interessant. Muss ich mir merken. > Hier wäre es dann aber ratsam, das Setup nach der Anleitung von Peer als > Relay einzurichten, was in diesem Fall wohl auch logischer und damit > auch zu bevorzugen wäre. Da müsste ich den Server komplett ummoddeln. Das schieb ich mal nach hinten. Mir hat dieser thread mit Peer und Dir erstmal viel gebracht. Läuft alles zur Zufriedenheit und gestern konnte ich den Inhalt der sasldb nach stundenlangen Versuchen auch in eine MySQL-Tabelle verlegen. Es gibt im SASL_README von Postfix einen Fehler, was die Abfrage der Datenbank betrifft. SELECT password FROM users WHERE user = '%u'@'%r' muss heißen SELECT password FROM users WHERE user = '%u@%r' dann klappts auch. Andreas From andreas.schulze at datev.de Wed Sep 18 10:05:00 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 18 Sep 2013 10:05:00 +0200 Subject: [Postfixbuch-users] blocklist.de ??? In-Reply-To: <4166C2F5-3549-49B3-A67F-395DED9124B0@debianfan.de> References: <4166C2F5-3549-49B3-A67F-395DED9124B0@debianfan.de> Message-ID: <20130918080500.GB12345@spider.services.datevnet.de> Am 18.09.2013 09:03 schrieb sebastian at debianfan.de: > Benutzt jemand diese Listen ? privat ja, stehen aber hinter Spamhaus und finden daher eh fast nix. Muss ich mal nach vorn stellen... Andreas -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From kai_postfix at fuerstenberg.ws Wed Sep 18 10:24:03 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Wed, 18 Sep 2013 10:24:03 +0200 Subject: [Postfixbuch-users] Postfix mit partieller mysql In-Reply-To: <20130918100851.2f59c409@itxnew.bitcorner.intern> References: <20130916115900.4b19e228@itxnew.bitcorner.intern> <20130916110016.GA25183@spider.services.datevnet.de> <20130916134206.661a5a11@itxnew.bitcorner.intern> <20130916115051.GB2525@mail.incertum.net> <20130916210304.15ae4fc8@itxnew.bitcorner.intern> <52375913.9000104@heinlein-support.de> <20130917131910.1019f5c9@itxnew.bitcorner.intern> <52384617.4070900@fuerstenberg.ws> <20130917152111.5f26d646@itxnew.bitcorner.intern> <52385AC7.2060605@fuerstenberg.ws> <20130917161918.4d510bf3@itxnew.bitcorner.intern> <52395903.7090503@fuerstenberg.ws> <20130918100851.2f59c409@itxnew.bitcorner.intern> Message-ID: <52396323.7020904@fuerstenberg.ws> Am 18.09.2013 10:08, schrieb Andreas Meyer: > # postconf reject_unverified_recipient > postconf: warning: reject_unverified_recipient: unknown parameter Das ist kein eigener Parameter. Muss heißen: smtpd_recipient_restrictions = reject_unverified_recipient (irgendwo dadrin sinnvoll einfügen) -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From MFischer at newyorker.de Wed Sep 18 15:57:50 2013 From: MFischer at newyorker.de (Fischer, Marcel) Date: Wed, 18 Sep 2013 13:57:50 +0000 Subject: [Postfixbuch-users] LDAP query_filter Problem Message-ID: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> Hallo zusammen, ich stehe zurzeit vor einer Aufgabe, die ich nicht wirklich gelöst bekomme. Ich schildere mal kurz die Situation. Wir haben mehrere Mailserver mit Postfix im Einsatz. Die Empfängerverfizierung läuft gegen ein Active Directory über eine ldap_table. Zurzeit sieht diese so aus. /etc/postfix/virtual_alias_maps_ldap_emea.cf: domain = hash:/etc/postfix/relay_domains server_host = yyy.yyy.yyy.yyy search_base = dc=beispiel, dc=de version = 3 bind_dn = CN=srvPostfix, OU=postfix, dc=beispiel, dc=de bind_pw = password query_filter = (|(proxyAddresses=smtp:%u at standort1.%2.de)(proxyAddresses=smtp:%u at standort2.%2.de)(proxyAddresses=smtp:%u@%d)) result_attribute = mail result_format = %s Die Herausforderung ist nun, dass bestimmte Benutzer im Active Directory von "extern" nicht per Mail erreichbar sein sollen. Es soll also eine "User unknown" Meldung generiert werden. Grundsätzlich habe ich mir vorgestellt, den query_filter anzupassen. Leider bin ich total ratlos, wie ich diese bestimmten Benutzer herausfiltern soll. Ich hatte z.B. daran gedacht, eine Gruppe im AD anzulegen und diese bestimmten Benutzer als Member hinzuzufügen. Aber wie bilde ich das dann in dem Query Filter ab? Könnt Ihr mir helfen? Habt Ihr Ideen? Vielen Danke und viele Grüße Marcel Fischer -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From roellig at roellig-ltd.de Wed Sep 18 16:37:23 2013 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Wed, 18 Sep 2013 14:37:23 +0000 Subject: [Postfixbuch-users] LDAP query_filter Problem In-Reply-To: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> References: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> Message-ID: <20130918143723.Horde.wXZQbSN3joiVG01EUd5ctg7@mail.roellig-ltd.de> Hallo wir benutzen zum Prüfen ob ein Account Aktiv ist mit einem Filter query_filter = (&(cn=%u)(accountstatus=active)) Heisst wenn accountstatus gleich activ ist wird die Mail angenommen, wenn nicht geblockt. Da du die Bedingungen im Query Filter kombinieren kannst sollte man mit zusätzlichen Attributen im LDAP sich das zusammen Bauen können. Im http://www.postfix.org/LDAP_README.html stehen auch noch einige Beispiele drin. Zitat von "Fischer, Marcel" : > Hallo zusammen, > > ich stehe zurzeit vor einer Aufgabe, die ich nicht wirklich gelöst bekomme. > Ich schildere mal kurz die Situation. > Wir haben mehrere Mailserver mit Postfix im Einsatz. Die > Empfängerverfizierung läuft gegen ein Active Directory über eine > ldap_table. > Zurzeit sieht diese so aus. > /etc/postfix/virtual_alias_maps_ldap_emea.cf: > domain = hash:/etc/postfix/relay_domains > server_host = yyy.yyy.yyy.yyy > search_base = dc=beispiel, dc=de > version = 3 > bind_dn = CN=srvPostfix, OU=postfix, dc=beispiel, dc=de > bind_pw = password > query_filter = > (|(proxyAddresses=smtp:%u at standort1.%2.de)(proxyAddresses=smtp:%u at standort2.%2.de)(proxyAddresses=smtp:%u@%d)) > result_attribute = mail > result_format = %s > > Die Herausforderung ist nun, dass bestimmte Benutzer im Active > Directory von "extern" nicht per Mail erreichbar sein sollen. Es > soll also eine "User unknown" Meldung generiert werden. > Grundsätzlich habe ich mir vorgestellt, den query_filter anzupassen. > Leider bin ich total ratlos, wie ich diese bestimmten Benutzer > herausfiltern soll. > Ich hatte z.B. daran gedacht, eine Gruppe im AD anzulegen und diese > bestimmten Benutzer als Member hinzuzufügen. Aber wie bilde ich das > dann in dem Query Filter ab? > Könnt Ihr mir helfen? Habt Ihr Ideen? > > Vielen Danke und viele Grüße > > Marcel Fischer -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From p.heinlein at heinlein-support.de Wed Sep 18 16:46:04 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 18 Sep 2013 16:46:04 +0200 Subject: [Postfixbuch-users] LDAP query_filter Problem In-Reply-To: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> References: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> Message-ID: <5239BCAC.3080202@heinlein-support.de> Am 18.09.2013 15:57, schrieb Fischer, Marcel: > Die Herausforderung ist nun, dass bestimmte Benutzer im Active Directory > von ?extern? nicht per Mail erreichbar sein sollen. Es soll also eine > ?User unknown? Meldung generiert werden. Ganz einfach. :-) Die Lösung liegt in den smtpd_recipient_restrictions. Setze UNTERHALB von permit_mynetworks und permit_sasl_authenticated ein "check_recipient_access". Das gilt dann folglich nur noch für Mails von außen. Die access-Map nnen wir jetzt mal "access-notexternalusers.ldap" und darüber fragst Du nun per LDAP ab und setzt dort irgendeinen passenden LDAP-query-filter, über den DU diese Nutzer identifzierst. Als Result fragst Du irgendein beliebiges LDAP-Attribut ab, zum Beispiel die Mailadresse oder sowas. Egal was, irgendeinen Result brauchst Du halt. Dann aber setzt Du: result_filter="REJECT user unknown" oder was auch immer Dein Ergebnis sein soll, wenn jemand gelistet ist. Das ist hier eine access-Map, Du hast alle Möglichkeiten, die ein "man 5 access" auflistet. Das ganze testest Du sauber mti "postmap -q ldap:/etc/postfix/access-notexternalusers.ldap" Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From MFischer at newyorker.de Wed Sep 18 17:01:48 2013 From: MFischer at newyorker.de (Fischer, Marcel) Date: Wed, 18 Sep 2013 15:01:48 +0000 Subject: [Postfixbuch-users] LDAP query_filter Problem In-Reply-To: <5239BCAC.3080202@heinlein-support.de> References: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> <5239BCAC.3080202@heinlein-support.de> Message-ID: <65AC4D8AB7570940B8E8EFA4781416EE04E9B7B6@EMEAEXMB02.emea.company.newyorker.de> Hallo, das hört sich ja schon mal gut an. Damit hätte ich nur das Problem einen passenden ldap query zu schreiben. Im Grunde muss geprüft werden, ob der User Mitglied einer bestimmten Gruppe im AD ist. Wenn ja, soll ein REJECT folgen. Aber das ist dann eher kein Postfix "Problem" mehr. Falls trotzdem jemand Ideen dazu hat, bitte melden :) Vielen Dank für die schnelle Hilfe! :) Mit freundlichen Grüßen Marcel Fischer NEW YORKER DBA / IT-Systembetrieb Hansestraße 48 38112 Braunschweig Germany Phone                     +49 (0) 531 2135-5661 Mobile                    +49 (0) 151 44018554    E-Mail                     mfischer at newyorker.de Internet                  http://www.newyorker.de NEW YORKER Information Services International GmbH Amtsgericht Braunschweig, HRB 203280 Geschäftsführung: Stefan Beyler, Holger Meißner Diese E-Mail (inklusive aller Anhänge) enthält vertrauliche und/oder rechtlich geschützte Informationen und darf ausschließlich durch den vorgesehenen Empfänger und Adressaten gelesen, kopiert oder genutzt werden. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe oder sonstige Nutzung dieser E-Mail ist nicht gestattet.   This e-mail (including any attachments) may contain confidential and/or privileged information and may be read, copied and used only by the intended recipient. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure, distribution or any other use of the material in this e-mail is strictly forbidden -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein Gesendet: Mittwoch, 18. September 2013 16:46 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] LDAP query_filter Problem Am 18.09.2013 15:57, schrieb Fischer, Marcel: > Die Herausforderung ist nun, dass bestimmte Benutzer im Active > Directory von "extern" nicht per Mail erreichbar sein sollen. Es soll > also eine "User unknown" Meldung generiert werden. Ganz einfach. :-) Die Lösung liegt in den smtpd_recipient_restrictions. Setze UNTERHALB von permit_mynetworks und permit_sasl_authenticated ein "check_recipient_access". Das gilt dann folglich nur noch für Mails von außen. Die access-Map nnen wir jetzt mal "access-notexternalusers.ldap" und darüber fragst Du nun per LDAP ab und setzt dort irgendeinen passenden LDAP-query-filter, über den DU diese Nutzer identifzierst. Als Result fragst Du irgendein beliebiges LDAP-Attribut ab, zum Beispiel die Mailadresse oder sowas. Egal was, irgendeinen Result brauchst Du halt. Dann aber setzt Du: result_filter="REJECT user unknown" oder was auch immer Dein Ergebnis sein soll, wenn jemand gelistet ist. Das ist hier eine access-Map, Du hast alle Möglichkeiten, die ein "man 5 access" auflistet. Das ganze testest Du sauber mti "postmap -q ldap:/etc/postfix/access-notexternalusers.ldap" Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From dieter.ringen at polizei.niedersachsen.de Thu Sep 19 06:14:44 2013 From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme)) Date: Thu, 19 Sep 2013 06:14:44 +0200 Subject: [Postfixbuch-users] LDAP query_filter Problem In-Reply-To: References: <65AC4D8AB7570940B8E8EFA4781416EE04E9B676@EMEAEXMB02.emea.company.newyorker.de> <5239BCAC.3080202@heinlein-support.de> Message-ID: <523A7A34.8050508@polizei.niedersachsen.de> Fischer, Marcel schrieb: > Hallo, > > das hört sich ja schon mal gut an. Damit hätte ich nur das Problem einen passenden ldap query zu schreiben. > Im Grunde muss geprüft werden, ob der User Mitglied einer bestimmten Gruppe im AD ist. Wenn ja, soll ein REJECT folgen. > > Aber das ist dann eher kein Postfix "Problem" mehr. Falls trotzdem jemand Ideen dazu hat, bitte melden :) > > Vielen Dank für die schnelle Hilfe! :) > > Mit freundlichen Grüßen > > Marcel Fischer > > NEW YORKER > > DBA / IT-Systembetrieb > Hansestraße 48 > 38112 Braunschweig > Germany > > Phone +49 (0) 531 2135-5661 > Mobile +49 (0) 151 44018554 > E-Mail mfischer at newyorker.de > Internet http://www.newyorker.de > > NEW YORKER Information Services International GmbH > Amtsgericht Braunschweig, HRB 203280 > Geschäftsführung: Stefan Beyler, Holger Meißner > > Diese E-Mail (inklusive aller Anhänge) enthält vertrauliche und/oder rechtlich geschützte Informationen und darf ausschließlich durch den vorgesehenen Empfänger und Adressaten gelesen, kopiert oder genutzt werden. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe oder sonstige Nutzung dieser E-Mail ist nicht gestattet. > > This e-mail (including any attachments) may contain confidential and/or privileged information and may be read, copied and used only by the intended recipient. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure, distribution or any other use of the material in this e-mail is strictly forbidden > > > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein > Gesendet: Mittwoch, 18. September 2013 16:46 > An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Betreff: Re: [Postfixbuch-users] LDAP query_filter Problem > > Am 18.09.2013 15:57, schrieb Fischer, Marcel: > > >> Die Herausforderung ist nun, dass bestimmte Benutzer im Active >> Directory von "extern" nicht per Mail erreichbar sein sollen. Es soll >> also eine "User unknown" Meldung generiert werden. > > Ganz einfach. :-) > > Die Lösung liegt in den smtpd_recipient_restrictions. > > Setze UNTERHALB von permit_mynetworks und permit_sasl_authenticated ein "check_recipient_access". Das gilt dann folglich nur noch für Mails von außen. > > Die access-Map nnen wir jetzt mal "access-notexternalusers.ldap" und darüber fragst Du nun per LDAP ab und setzt dort irgendeinen passenden LDAP-query-filter, über den DU diese Nutzer identifzierst. > > Als Result fragst Du irgendein beliebiges LDAP-Attribut ab, zum Beispiel die Mailadresse oder sowas. Egal was, irgendeinen Result brauchst Du halt. > > Dann aber setzt Du: > > result_filter="REJECT user unknown" > > oder was auch immer Dein Ergebnis sein soll, wenn jemand gelistet ist. > Das ist hier eine access-Map, Du hast alle Möglichkeiten, die ein "man 5 access" auflistet. > > Das ganze testest Du sauber mti "postmap -q ldap:/etc/postfix/access-notexternalusers.ldap" > > Peer > > > > > -- > Heinlein Support GmbH > Schwedter Str. 8/9b, 10119 Berlin > > http://www.heinlein-support.de > > Tel: 030 / 405051-42 > Fax: 030 / 405051-19 > > Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, > Geschäftsführer: Peer Heinlein -- Sitz: Berlin > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users Hallo. Wir haben im LDAP ein zusätzliches Attribut gesetzt, dass entweder leer ist oder als Ergebnis ein permit zurückgibt. In der main.cf haben wir es folgendermaßen eingebunden smtpd_recipient_restrictions = reject_unknown_client, reject_non_fqdn_sender, check_sender_access ldap:/etc/postfix/ldap-internet.cf, reject_unknown_recipient_domain, reject_unauth_destination Die LDAP-Abfrage sieht dann so aus version = 3 timeout = 30 expansion_limit = 0 server_host = ldaps://ldap-server:636/ ldaps://ldap-server1:636/ scope = sub search_base = ou=beispiel, o=Landesverwaltung Niedersachsen, c=de bind_dn = uid=postfix, ou=xxx, ou=yyy, o=Landesverwaltung Niedersachsen, c=de bind_pw = passwort query_filter = (&(|(mail=%s)(mailforwardingaddress=%s)(mailalternateaddress=%s)(mailmessagestore=%s))(objectclass=policepersonni)) result_attribute = polPersInetMailNI Unter server_host haben wir 2 verschiedene LDAP's eingetragen, wenn der erste nicht erreichbar ist, nimmt er den zweiten. Klappt wunderbar -- mit freundlichem Gruß Dieter Ringen Zentrale Polizeidirektion Niedersachsen ( ZPD NI ) Dezernat 42.5.3 - IT - Infrastruktur Tel: 0511 9695 -7653 Fax: 0511 9695-7929 mailto:dieter.ringen at polizei.niedersachsen.de From anmeyer at anup.de Thu Sep 19 10:13:14 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Thu, 19 Sep 2013 10:13:14 +0200 Subject: [Postfixbuch-users] Postfix Logo Message-ID: <20130919101314.4a847caf@itxnew.bitcorner.intern> Hallo! Etwas trivial, aber ich suche ein transpartentes Postfix Logo und kann keins finden. Hat jemand einen Tip? Andreas From kai_postfix at fuerstenberg.ws Thu Sep 19 10:27:02 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 19 Sep 2013 10:27:02 +0200 Subject: [Postfixbuch-users] Postfix Logo In-Reply-To: <20130919101314.4a847caf@itxnew.bitcorner.intern> References: <20130919101314.4a847caf@itxnew.bitcorner.intern> Message-ID: <523AB556.6000003@fuerstenberg.ws> Am 19.09.2013 10:13, schrieb Andreas Meyer: > Etwas trivial, aber ich suche ein transpartentes Postfix Logo und > kann keins finden. Hat jemand einen Tip? Wenn du die kleine Maus meinst, schau mal auf Wikipedia. Da gibts die mit transparentem Hintergrund als PNG, nur nicht sonderlich groß. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From christian at bricart.de Thu Sep 19 19:19:15 2013 From: christian at bricart.de (Christian Bricart) Date: Thu, 19 Sep 2013 19:19:15 +0200 Subject: [Postfixbuch-users] Postfix Logo In-Reply-To: <20130919101314.4a847caf@itxnew.bitcorner.intern> References: <20130919101314.4a847caf@itxnew.bitcorner.intern> Message-ID: <523B3213.3010403@bricart.de> Am 19.09.2013 10:13, schrieb Andreas Meyer: > Hallo! > > Etwas trivial, aber ich suche ein transpartentes Postfix Logo und > kann keins finden. Hat jemand einen Tip? > > Andreas > LMGTFY: https://www.google.de/search?q=postfix+logo&tbm=isch&tbs=ic:trans Grüsse Christian From anmeyer at anup.de Sat Sep 21 12:38:09 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 21 Sep 2013 12:38:09 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage_mynetworks_un?= =?utf-8?q?d_sasl?= Message-ID: <20130921123809.45ec652c@itxnew.bitcorner.intern> Hallo! Bislang war ich der Meinung, nur in der saldb eingetragene User dürfen nach außen senden, wenn die Domain nicht in mynetworks steht. Jetzt mache ich gerade die Erfahrung, dass ein user senden kann, auch ohne dass er in der sasldb eintragen ist, wenn er roundcube benutzt, das auf dem gleichen Server läuft. Hat das etwas damit zu tun, das mynetworks = 213.239.207.165, 127.0.0.1/32 ? smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/access_sender, permit_mynetworks, permit_sasl_authenticated, #warn_if_reject check_policy_service inet:127.0.0.1:12340 reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unknown_sender_domain, check_sender_access pcre:/etc/postfix/umlaute.pcre, check_recipient_access pcre:/etc/postfix/umlaute.pcre, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, check_client_access cidr:/etc/postfix/client.cidr, check_policy_service inet:127.0.0.1:10023 Andreas From p at sys4.de Sat Sep 21 13:37:34 2013 From: p at sys4.de (Patrick Ben Koetter) Date: Sat, 21 Sep 2013 13:37:34 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage_mynetworks_un?= =?utf-8?q?d_sasl?= In-Reply-To: <20130921123809.45ec652c@itxnew.bitcorner.intern> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> Message-ID: <20130921113734.GB18008@sys4.de> * Andreas Meyer : > Hallo! > > Bislang war ich der Meinung, nur in der saldb eingetragene User dürfen > nach außen senden, wenn die Domain nicht in mynetworks steht. > > Jetzt mache ich gerade die Erfahrung, dass ein user senden kann, auch > ohne dass er in der sasldb eintragen ist, wenn er roundcube benutzt, > das auf dem gleichen Server läuft. > > Hat das etwas damit zu tun, das mynetworks = 213.239.207.165, 127.0.0.1/32 ? Richtig. Aus Sicht von Postfix kommt der Client "Roundcube" von 127.0.0.1 und wenn Du permit_mynetworks gesetzt hast (hast du) dann "darf wer zu mynetworks" gehört "was tun" - in dem Fall "relayen. Wenn Du das ändern willst, dann kannst Du z.B. eine weitere Instanz des Postfix smtpd starten, bei der mynetworks leeren und SMTP AUTH aktivieren. Dann in roundcube mit smtp_auth_type festlegen wie es sich an Postfix anmelden soll. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From postfixbuch-users at 0xaffe.de Sat Sep 21 13:44:54 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sat, 21 Sep 2013 13:44:54 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage_mynetworks_un?= =?utf-8?q?d_sasl?= In-Reply-To: <20130921123809.45ec652c@itxnew.bitcorner.intern> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> Message-ID: <523D86B6.9010305@0xaffe.de> Hallo Andreas, Am 21.09.13 12:38, schrieb Andreas Meyer: > Hallo! > > Bislang war ich der Meinung, nur in der saldb eingetragene User dürfen > nach außen senden, wenn die Domain nicht in mynetworks steht. In mynetworks stehen keine Domains aber Hosts/Subnets (in Form von IP-Adressen). > Jetzt mache ich gerade die Erfahrung, dass ein user senden kann, auch > ohne dass er in der sasldb eintragen ist, wenn er roundcube benutzt, > das auf dem gleichen Server läuft. > > Hat das etwas damit zu tun, das mynetworks = 213.239.207.165, 127.0.0.1/32 ? Unter Umständen. Zunächst sagt Deine Konfiguration, dass alle SMTP-Clients von 213.239.207.165 und 127.0.0.1 ohne weitere Prüfung (sofern in /etc/postfix/access_sender nicht gegenteiliges steht) an alle Ziele senden dürfen. Erst _danach_ wird geprüft, ob der SMTP-Client sich per AUTH (gegen Deine sasldb) erfolgreich authentifiziert hat. In Deinem Gespann Postfix/.../Roundcube ist zudem noch zu beachten, wie RoundCube die Mail an Postfix übergibt. Die Standardeinstellung ist per "sendmail", d.h. die SMTP-Prüfungen finden nicht statt. Man kann man in RoundCube einstellen [*], dass SMTP benutzt wird (auch mit AUTH), allerdings müsstestet Du noch dafür sorgen, dass der SMTP-Client von RoundCube nicht von 127.0.0.1 kommt, sondern von 127.0.0.2 oder so. [*] Die Einstellungen lauten beginnen mit smtp_ also $rcmail_config['smtp_auth_type'] usw. siehe main.inc.php. Viele Grüße, Mathias. From anmeyer at anup.de Sat Sep 21 13:53:02 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 21 Sep 2013 13:53:02 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage__mynetworks_u?= =?utf-8?q?nd_sasl?= In-Reply-To: <20130921113734.GB18008@sys4.de> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <20130921113734.GB18008@sys4.de> Message-ID: <20130921135302.3b2c936d@itxnew.bitcorner.intern> Patrick Ben Koetter

wrote: > * Andreas Meyer : > > Hallo! > > > > Bislang war ich der Meinung, nur in der saldb eingetragene User dürfen > > nach außen senden, wenn die Domain nicht in mynetworks steht. > > > > Jetzt mache ich gerade die Erfahrung, dass ein user senden kann, auch > > ohne dass er in der sasldb eintragen ist, wenn er roundcube benutzt, > > das auf dem gleichen Server läuft. > > > > Hat das etwas damit zu tun, das mynetworks = 213.239.207.165, 127.0.0.1/32 ? > > Richtig. Aus Sicht von Postfix kommt der Client "Roundcube" von 127.0.0.1 und > wenn Du permit_mynetworks gesetzt hast (hast du) dann "darf wer zu mynetworks" > gehört "was tun" - in dem Fall "relayen. > > Wenn Du das ändern willst, dann kannst Du z.B. eine weitere Instanz des > Postfix smtpd starten, bei der mynetworks leeren und SMTP AUTH aktivieren. > Dann in roundcube mit smtp_auth_type festlegen wie es sich an Postfix anmelden > soll. Ich habe gerade mal mit mynetworks = 213.239.207.165 getestet und auch in diesem Fall kann ich über Roundcube mit einem user senden, der nicht in der sasldb steht. Ich bin erschüttert. Womit hängt das zusammen? Kommt Roundcube auch von 213.239.207.165 ? Andreas From anmeyer at anup.de Sat Sep 21 14:16:40 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 21 Sep 2013 14:16:40 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage__mynetworks_u?= =?utf-8?q?nd_sasl?= In-Reply-To: <523D86B6.9010305@0xaffe.de> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <523D86B6.9010305@0xaffe.de> Message-ID: <20130921141640.6df25426@itxnew.bitcorner.intern> Mathias Jeschke wrote: > > Bislang war ich der Meinung, nur in der saldb eingetragene User dürfen > > nach außen senden, wenn die Domain nicht in mynetworks steht. > > In mynetworks stehen keine Domains aber Hosts/Subnets (in Form von > IP-Adressen). > > > Jetzt mache ich gerade die Erfahrung, dass ein user senden kann, auch > > ohne dass er in der sasldb eintragen ist, wenn er roundcube benutzt, > > das auf dem gleichen Server läuft. > > > > Hat das etwas damit zu tun, das mynetworks = 213.239.207.165, 127.0.0.1/32 ? > > Unter Umständen. Zunächst sagt Deine Konfiguration, dass alle > SMTP-Clients von 213.239.207.165 und 127.0.0.1 ohne weitere Prüfung > (sofern in /etc/postfix/access_sender nicht gegenteiliges steht) an alle > Ziele senden dürfen. > > Erst _danach_ wird geprüft, ob der SMTP-Client sich per AUTH (gegen > Deine sasldb) erfolgreich authentifiziert hat. > > In Deinem Gespann Postfix/.../Roundcube ist zudem noch zu beachten, > wie RoundCube die Mail an Postfix übergibt. Die Standardeinstellung ist > per "sendmail", d.h. die SMTP-Prüfungen finden nicht statt. > > Man kann man in RoundCube einstellen [*], dass SMTP benutzt wird (auch > mit AUTH), allerdings müsstestet Du noch dafür sorgen, dass der > SMTP-Client von RoundCube nicht von 127.0.0.1 kommt, sondern von > 127.0.0.2 oder so. > > [*] Die Einstellungen lauten beginnen mit smtp_ also > $rcmail_config['smtp_auth_type'] usw. siehe main.inc.php. ok, danke! Das erklärt natürlich auch, warum mynetworks = 213.239.207.165 funktioniert in meiner anderen Frage an Patrick. Da muss ich mich wohl noch ein bißchen mit Roundcube beschäftigen. Grüße Andreas From postfixbuch-users at 0xaffe.de Sat Sep 21 14:35:48 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sat, 21 Sep 2013 14:35:48 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage__mynetworks_u?= =?utf-8?q?nd_sasl?= In-Reply-To: <20130921141640.6df25426@itxnew.bitcorner.intern> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <523D86B6.9010305@0xaffe.de> <20130921141640.6df25426@itxnew.bitcorner.intern> Message-ID: <523D92A4.6090207@0xaffe.de> Hallo Andreas, Am 21.09.13 14:16, schrieb Andreas Meyer: >> [*] Die Einstellungen lauten beginnen mit smtp_ also >> $rcmail_config['smtp_auth_type'] usw. siehe main.inc.php. > > ok, danke! Das erklärt natürlich auch, warum mynetworks = 213.239.207.165 > funktioniert in meiner anderen Frage an Patrick. Da muss ich mich wohl > noch ein bißchen mit Roundcube beschäftigen. An sich recht einfach: 1. In Postfix (master.cf) eine weitere SMTP-Instanz definieren, z.B. auf 2525 - analog zu der vorhandenen submission-Instanz (ist bir Dir ggf. auskommentiert). TLS ist bei loopback-Verbindungen nicht nötig! 127.0.0.1:2525 inet n - - - - smtpd -o syslog_name=postfix/roundcube-submission -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject 2. Postfix neustarten. 3. RounCube wie beschrieben anpassen: $rcmail_config['smtp_server'] = '127.0.0.1'; $rcmail_config['smtp_port'] = 2525; $rcmail_config['smtp_user'] = '%u'; $rcmail_config['smtp_pass'] = '%p'; $rcmail_config['smtp_auth_type'] = 'PLAIN' 4. Testen. Viele Grüße, Mathias. From postfixbuch-users at 0xaffe.de Sat Sep 21 19:01:10 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sat, 21 Sep 2013 19:01:10 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage__mynetworks_u?= =?utf-8?q?nd_sasl?= In-Reply-To: <523D92A4.6090207@0xaffe.de> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <523D86B6.9010305@0xaffe.de> <20130921141640.6df25426@itxnew.bitcorner.intern> <523D92A4.6090207@0xaffe.de> Message-ID: <523DD0D6.20106@0xaffe.de> Hallo Andreas, Noch ein Nachtrag: Denke bitte auch daran Deine Webserver/PHP-Umgebung abzusichern (z.B. mit chroot, ...). Wenn Du dem RoundCube schon mistraust, hilft es natürlich nichts wenn ein Exploit letztlich wieder "sendmail()" benutzt, um an SMTP-AUTH vorbei Mails zu senden. Viele Grüße, Mathias. From anmeyer at anup.de Sat Sep 21 20:54:14 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 21 Sep 2013 20:54:14 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage__mynetworks_u?= =?utf-8?q?nd_sasl?= In-Reply-To: <523DD0D6.20106@0xaffe.de> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <523D86B6.9010305@0xaffe.de> <20130921141640.6df25426@itxnew.bitcorner.intern> <523D92A4.6090207@0xaffe.de> <523DD0D6.20106@0xaffe.de> Message-ID: <20130921205414.486a7605@itxnew.bitcorner.intern> Hallo! Mathias Jeschke wrote: > Hallo Andreas, > > Noch ein Nachtrag: > > Denke bitte auch daran Deine Webserver/PHP-Umgebung abzusichern (z.B. > mit chroot, ...). Ich musste nicht, dass man den Apache auch chrooten kann kann. Ich arbeite in den virtuellen host da nur mit php_admin_x Optionen und den üblichen Methoden wie .htaccess und Rewrites und so. Es gibt da ja auch das nette php_admin_value sendmail_path "sendmail -t -i -f ... und disable_functions in der php.ini > Wenn Du dem RoundCube schon mistraust, hilft es natürlich nichts wenn > ein Exploit letztlich wieder "sendmail()" benutzt, um an SMTP-AUTH > vorbei Mails zu senden. Wie sollte ich sendmail() davor behüten? Ich kenne bislang nur einen Exploit für Apache, der war vor Jahren mal aktuell, konnte man aber durch safe_mode_x Einstellungen absichern. read()) { echo $entry . '
'; } $parent->close(); ?> Andreas From foobar at web.de Sun Sep 22 21:50:02 2013 From: foobar at web.de (Foo Bar) Date: Sun, 22 Sep 2013 21:50:02 +0200 Subject: [Postfixbuch-users] address_verify_map funktioniert nicht Message-ID: <523F49EA.6070305@web.de> hi @all, ich hab address_verify_map und reject_unverified_recipient eingebaut, postconf und reload ... aber die /var/spool/postfix/data/verify wird nicht angelegt und irgendwas von status=deliverable kann ich im log auch nicht finden, obwohl das schon irgendwie zu funktionieren scheint, auf jeden fall kommen mail an und werden auch bei nicht existierenden usern gebounced ... warum legt er seine btree-verify-db nich an ? cat etc/postfix/relay_domains AAAAA.com :[groupware.AAAAA.com] AAAAA.de :[groupware.AAAAA.com] AAAAA.net :[groupware.AAAAA.com] address_verify_map = btree:/var/spool/postfix/data/verify alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 3d config_directory = /etc/postfix delay_warning_time = 4h inet_interfaces = all inet_protocols = ipv4 mailbox_size_limit = 0 maximal_queue_lifetime = 3d mydestination = $myhostname, localhost mydomain = AAAAA.com myhostname = relay.AAAAA.com mynetworks = 127.0.0.0/8 readme_directory = no recipient_delimiter = + relay_domains = btree:/etc/postfix/relay_domains relayhost = remote_header_rewrite_domain = domain.invalid smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name smtpd_helo_required = yes smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_recipient_rfc, check_client_access btree:/etc/postfix/access_client, check_helo_access btree:/etc/postfix/access_helo, check_sender_access btree:/etc/postfix/access_sender, check_recipient_access btree:/etc/postfix/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:10023, reject_unverified_recipient, permit_mx_backup, reject_unauth_destination, permit smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes transport_maps = btree:/etc/postfix/relay_domains unverified_recipient_reject_code = 577 From postfixbuch-users at 0xaffe.de Sun Sep 22 22:59:47 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sun, 22 Sep 2013 22:59:47 +0200 Subject: [Postfixbuch-users] address_verify_map funktioniert nicht In-Reply-To: <523F49EA.6070305@web.de> References: <523F49EA.6070305@web.de> Message-ID: <523F5A43.4020909@0xaffe.de> Hi Foo Bar, Am 22.09.13 21:50, schrieb Foo Bar: > hi @all, > > ich hab address_verify_map und reject_unverified_recipient eingebaut, > postconf und reload ... aber die /var/spool/postfix/data/verify wird nicht > angelegt und irgendwas von status=deliverable kann ich im log auch nicht finden, > obwohl das schon irgendwie zu funktionieren scheint, auf jeden fall kommen > mail an und werden auch bei nicht existierenden usern gebounced ... > warum legt er seine btree-verify-db nich an ? Also bei mir wird die Datei erst dann angelegt, wenn der verify-Prozess gestartet wird (also eine Adress-Verifikation statt findet), was auch dem Manual entspricht: http://www.postfix.org/postconf.5.html#address_verify_map Kann es sein, dass die Restriction "reject_unverified_recipient" bei Dir gar nicht zum Zuge kommt? Viele Grüße, Mathias. From postfixbuch-users at 0xaffe.de Sun Sep 22 23:05:20 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sun, 22 Sep 2013 23:05:20 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage__mynetworks?= =?iso-8859-1?q?_und_sasl?= In-Reply-To: <20130921205414.486a7605@itxnew.bitcorner.intern> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <523D86B6.9010305@0xaffe.de> <20130921141640.6df25426@itxnew.bitcorner.intern> <523D92A4.6090207@0xaffe.de> <523DD0D6.20106@0xaffe.de> <20130921205414.486a7605@itxnew.bitcorner.intern> Message-ID: <523F5B90.4050706@0xaffe.de> Hi Andreas, Am 21.09.13 20:54, schrieb Andreas Meyer: > Ich musste nicht, dass man den Apache auch chrooten kann kann. Ich > arbeite in den virtuellen host da nur mit php_admin_x Optionen und > den üblichen Methoden wie .htaccess und Rewrites und so. Man kann jeden Prozess "chrooten" - macht natürlich nur Sinn bei Prozessen, die nicht mit root-Rechten laufen. > Es gibt da ja auch das nette php_admin_value sendmail_path "sendmail -t -i -f ... > und disable_functions in der php.ini > >> Wenn Du dem RoundCube schon mistraust, hilft es natürlich nichts wenn >> ein Exploit letztlich wieder "sendmail()" benutzt, um an SMTP-AUTH >> vorbei Mails zu senden. > > Wie sollte ich sendmail() davor behüten? Ich kenne bislang nur > einen Exploit für Apache, der war vor Jahren mal aktuell, konnte > man aber durch safe_mode_x Einstellungen absichern. Die Frage ist halt, warum Du die Zustellung per SMTP-AUTH in RoundCube erzwingen willst? Zudem funktioniert(e) offenbar die Zustellung per sendmail() bei Dir, wie diskutiert. Also scheinen Deine php-Settings nicht zu funktionieren. Viele Grüße, Mathias. From foobar at web.de Sun Sep 22 23:17:39 2013 From: foobar at web.de (Foo Bar) Date: Sun, 22 Sep 2013 23:17:39 +0200 Subject: [Postfixbuch-users] address_verify_map funktioniert nicht In-Reply-To: <523F5A43.4020909@0xaffe.de> References: <523F49EA.6070305@web.de> <523F5A43.4020909@0xaffe.de> Message-ID: <523F5E73.6060004@web.de> On 22.09.2013 22:59, Mathias Jeschke wrote: > Hi Foo Bar, > > Am 22.09.13 21:50, schrieb Foo Bar: > >> hi @all, >> >> ich hab address_verify_map und reject_unverified_recipient eingebaut, >> postconf und reload ... aber die /var/spool/postfix/data/verify wird nicht >> angelegt und irgendwas von status=deliverable kann ich im log auch nicht finden, >> obwohl das schon irgendwie zu funktionieren scheint, auf jeden fall kommen >> mail an und werden auch bei nicht existierenden usern gebounced ... >> warum legt er seine btree-verify-db nich an ? > > Also bei mir wird die Datei erst dann angelegt, wenn der verify-Prozess > gestartet wird (also eine Adress-Verifikation statt findet), was auch > dem Manual entspricht: > http://www.postfix.org/postconf.5.html#address_verify_map > > Kann es sein, dass die Restriction "reject_unverified_recipient" bei Dir > gar nicht zum Zuge kommt? joop, genau das war das problem, mann muß schon vernünftige test-mail zusammenbaue, sonst wird das nix ;) danke für den hinweis ... cu From w.flamme at web.de Mon Sep 23 11:04:10 2013 From: w.flamme at web.de (Werner Flamme) Date: Mon, 23 Sep 2013 11:04:10 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage__mynetworks?= =?iso-8859-1?q?_und_sasl?= In-Reply-To: <20130921135302.3b2c936d@itxnew.bitcorner.intern> References: <20130921123809.45ec652c@itxnew.bitcorner.intern> <20130921113734.GB18008@sys4.de> <20130921135302.3b2c936d@itxnew.bitcorner.intern> Message-ID: <5240040A.8080906@web.de> Andreas Meyer [21.09.2013 13:53]: > Patrick Ben Koetter

wrote: > >> * Andreas Meyer : >>> Hallo! >>> >>> Bislang war ich der Meinung, nur in der saldb eingetragene User dürfen >>> nach außen senden, wenn die Domain nicht in mynetworks steht. >>> >>> Jetzt mache ich gerade die Erfahrung, dass ein user senden kann, auch >>> ohne dass er in der sasldb eintragen ist, wenn er roundcube benutzt, >>> das auf dem gleichen Server läuft. >>> >>> Hat das etwas damit zu tun, das mynetworks = 213.239.207.165, 127.0.0.1/32 ? >> >> Richtig. Aus Sicht von Postfix kommt der Client "Roundcube" von 127.0.0.1 und >> wenn Du permit_mynetworks gesetzt hast (hast du) dann "darf wer zu mynetworks" >> gehört "was tun" - in dem Fall "relayen. >> >> Wenn Du das ändern willst, dann kannst Du z.B. eine weitere Instanz des >> Postfix smtpd starten, bei der mynetworks leeren und SMTP AUTH aktivieren. >> Dann in roundcube mit smtp_auth_type festlegen wie es sich an Postfix anmelden >> soll. > > Ich habe gerade mal mit mynetworks = 213.239.207.165 getestet und auch in diesem > Fall kann ich über Roundcube mit einem user senden, der nicht in der sasldb steht. > Ich bin erschüttert. Womit hängt das zusammen? Kommt Roundcube auch von > 213.239.207.165 ? Wenn es auf dem gleichen Server liegt, ja. Werner -- From sebastian at feltel.de Mon Sep 23 16:00:59 2013 From: sebastian at feltel.de (Sebastian Feltel) Date: Mon, 23 Sep 2013 16:00:59 +0200 Subject: [Postfixbuch-users] Postfix+Dovecot2: zwei Maildirs nach Empfang an eMail-Adresse mit +-Extension Message-ID: <53bca4a01b4be558a50acfaa6991aadc@feltel.de> Hallo, ich habe hier einen Postfix-Mailserver, der über den Dovecot-LDA deliver eMails in Maildirs ausliefert. Die User sind virtuelle User, konfiguriert in Textfiles. Das System funktioniert soweit ganz gut, bis auf eine Sache. Kommt eine eMail an eine Adresse herein, die eine Extenstion nutzt, z.B. benutzer+test at example.com, dann wird die Mail sauber nach /srv/mail/example.com/benutzer/ zugestellt, gleichzeitig wird aber ein leeres IMAP-Verzeichnis /srv/mail/example.com/benutzer+test/ erstellt, worin sich nur cur, new und tmp befinden, jedoch keine Maildatei. Der LDA ist nach dem Dovecot2-Wiki so konfiguriert, das er die Extension wegfallen lässt und ins Maildir zustellt. Lasse ich Postfix direkt zustellen, dann klappt das ohne Probleme, nur habe ich dann kein Sieve-Filtering etc. Ich weiß nicht, welcher Prozeß das überflüssige Maildir erstellt; es ist zwar nur ein Schönheitsfehler, aber stören tut es trotzdem. Die Postfix-Config liegt unter http://feltel.de/tmp/postconf und die Dovecot-Config unter http://feltel.de/tmp/dovecot. Sieht einer den Wald, den ich vor lauter Bäumen nicht mehr sehe? Viele Grüße Sebastian From sd at schnied.net Mon Sep 23 20:02:19 2013 From: sd at schnied.net (Stefan Dorn) Date: Mon, 23 Sep 2013 20:02:19 +0200 Subject: [Postfixbuch-users] iOS7 + IMAP In-Reply-To: <523A953B.5080204@schnied.net> References: <523A953B.5080204@schnied.net> Message-ID: <5240822B.9010003@schnied.net> Hallo, auf der Dovecot Mailingliste hat sich niemand dafür interessiert. Ist zwar die falsche Liste, aber vielleicht ist hier jemand dabei? ;-) Gruß Stefan -------- Original-Nachricht -------- Betreff: [Dovecot-de] iOS7 Datum: Thu, 19 Sep 2013 08:10:03 +0200 Von: Stefan Dorn Antwort an: Alles rund um Dovecot-Server An: dovecot at listen.jpberlin.de Guten Morgen, hat schon jemand solche Beobachtungen in freier Wildbahn machen können? http://blog.fastmail.fm/2013/09/17/ios-7-mail-app-uses-multi-folder-body-searches-by-default/ Die iOS7 Mail App macht mehrere Verbindungen gleichzeitig auf. Bei einer Suche wird standardmäßig auch im Body gesucht - und das auch in mehreren Ordnern gleichzeitig. Kann man das mit Dovecot unterbinden? Gruß Stefan _______________________________________________ Dovecot Mailingliste JPBerlin - Politischer Provider Dovecot at listen.jpberlin.de https://listen.jpberlin.de/mailman/listinfo/dovecot -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Mon Sep 23 21:55:08 2013 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 23 Sep 2013 21:55:08 +0200 Subject: [Postfixbuch-users] iOS7 + IMAP In-Reply-To: <5240822B.9010003@schnied.net> References: <523A953B.5080204@schnied.net> <5240822B.9010003@schnied.net> Message-ID: <20130923195508.GA12426@charite.de> * Stefan Dorn : > Hallo, > > auf der Dovecot Mailingliste hat sich niemand dafür interessiert. > Ist zwar die falsche Liste, aber vielleicht ist hier jemand dabei? ;-) @charite ist es noch nicht unangenehm aufgefallen. > hat schon jemand solche Beobachtungen in freier Wildbahn machen können? > > http://blog.fastmail.fm/2013/09/17/ios-7-mail-app-uses-multi-folder-body-searches-by-default/ > > Die iOS7 Mail App macht mehrere Verbindungen gleichzeitig auf. Bei einer > Suche wird standardmäßig auch im Body gesucht - und das auch in mehreren > Ordnern gleichzeitig. > Kann man das mit Dovecot unterbinden? Man kann zumindest die ANzahl der max. simultanen Verbindungen limitieren. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From t.schneider at tms-itdienst.at Wed Sep 25 15:26:30 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 25 Sep 2013 15:26:30 +0200 Subject: [Postfixbuch-users] CA Certs einbinden Message-ID: <5242E486.10306@tms-itdienst.at> Hallo, habe das Root-CA von einem Kunden bekommen, somit habe ich es unter dem Pfad smtpd_tls_CApath = /etc/ssl/certs smtp_tls_CApath = /etc/ssl/certs reinkopiert, jedoch schreibt mir Postfix in seinen Logs immer noch Untrusted TLS Connection, muß hier noch etwas unternommen werden, denn in dem Pfad sind aus der lesbaren Zertifikatsnamen auch solle mit nur reinen Nummern, die als Link auf die Zertifikate im selben Verzecihnis zeigen? Grüße und Danke Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Wed Sep 25 15:49:11 2013 From: w.flamme at web.de (Werner Flamme) Date: Wed, 25 Sep 2013 15:49:11 +0200 Subject: [Postfixbuch-users] CA Certs einbinden In-Reply-To: <5242E486.10306@tms-itdienst.at> References: <5242E486.10306@tms-itdienst.at> Message-ID: <5242E9D7.7010700@web.de> Timm Schneider [25.09.2013 15:26]: > Hallo, > > > habe das Root-CA von einem Kunden bekommen, somit habe ich es unter dem Pfad > > smtpd_tls_CApath = /etc/ssl/certs > smtp_tls_CApath = /etc/ssl/certs > > reinkopiert, jedoch schreibt mir Postfix in seinen Logs immer noch > Untrusted TLS Connection, muß hier noch etwas unternommen werden, denn > in dem Pfad sind aus der lesbaren Zertifikatsnamen auch solle mit nur > reinen Nummern, die als Link auf die Zertifikate im selben Verzecihnis > zeigen? Yo. cd /etc/ssl/certs c_rehash :-) -- From t.schneider at tms-itdienst.at Wed Sep 25 15:56:34 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 25 Sep 2013 15:56:34 +0200 Subject: [Postfixbuch-users] CA Certs einbinden In-Reply-To: <5242E9D7.7010700@web.de> References: <5242E486.10306@tms-itdienst.at> <5242E9D7.7010700@web.de> Message-ID: <5242EB92.4050601@tms-itdienst.at> Hallo, > > Yo. > > cd /etc/ssl/certs > c_rehash > > :-) > Super danke. Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at anup.de Wed Sep 25 21:20:50 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Wed, 25 Sep 2013 21:20:50 +0200 Subject: [Postfixbuch-users] Illegal address syntax Message-ID: <20130925212050.377b5955@itxnew.bitcorner.intern> Hallo! warning: Illegal address syntax from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] in RCPT command: Sehe ich das richtig, dass einer unserer user da mit einer solchen syntax kontaktiert wird? Sep 25 20:38:10 delta postfix/smtpd[10517]: connect from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] Sep 25 20:38:11 delta postfix/smtpd[10517]: setting up TLS connection from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] Sep 25 20:38:12 delta postfix/smtpd[10517]: TLS connection established from 117-179-165-046.ip-addr.inexio.net[46.165.179.117]: TLSv1 with cipher RC4-MD5 (128/128 bits) Sep 25 20:38:13 delta postfix/smtpd[10517]: warning: Illegal address syntax from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] in RCPT command: Sep 25 20:38:13 delta postfix/smtpd[10517]: disconnect from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] Was ist der Sinn eines solchen connects? Findet immer wieder auf ein bestimmtes Smartphone von einem unserer Benutzer statt. Auch bei wechselnder IP-Adresse. Andreas From sschu at computerteam.de Wed Sep 25 21:54:57 2013 From: sschu at computerteam.de (Sven Schumacher) Date: Wed, 25 Sep 2013 21:54:57 +0200 Subject: [Postfixbuch-users] Illegal address syntax In-Reply-To: <20130925212050.377b5955@itxnew.bitcorner.intern> References: <20130925212050.377b5955@itxnew.bitcorner.intern> Message-ID: <0C406F64-4802-428D-A401-8A071436DECA@computerteam.de> Sieht für mich so aus, als hätte der Mail Client (das Smartphone des Nutzers) nicht geprüft, ob ein @ in der Empfänger-Angabe ist und der User aus Versehen statt im Body im To: seine Bestätigung "ok danke" eingegeben. Schönen Abend noch Sven > Am 25.09.2013 um 21:20 schrieb Andreas Meyer : > > Hallo! > > warning: Illegal address syntax from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] in RCPT command: > > Sehe ich das richtig, dass einer unserer user da mit einer solchen syntax > kontaktiert wird? > > Sep 25 20:38:10 delta postfix/smtpd[10517]: connect from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] > Sep 25 20:38:11 delta postfix/smtpd[10517]: setting up TLS connection from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] > Sep 25 20:38:12 delta postfix/smtpd[10517]: TLS connection established from 117-179-165-046.ip-addr.inexio.net[46.165.179.117]: TLSv1 with cipher RC4-MD5 (128/128 bits) > Sep 25 20:38:13 delta postfix/smtpd[10517]: warning: Illegal address syntax from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] in RCPT command: > Sep 25 20:38:13 delta postfix/smtpd[10517]: disconnect from 117-179-165-046.ip-addr.inexio.net[46.165.179.117] > > Was ist der Sinn eines solchen connects? Findet immer wieder auf ein bestimmtes > Smartphone von einem unserer Benutzer statt. Auch bei wechselnder IP-Adresse. > > Andreas > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From igor.sverkos at googlemail.com Thu Sep 26 08:47:09 2013 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Thu, 26 Sep 2013 08:47:09 +0200 Subject: [Postfixbuch-users] CA Certs einbinden In-Reply-To: <5242EB92.4050601@tms-itdienst.at> References: <5242E486.10306@tms-itdienst.at> <5242E9D7.7010700@web.de> <5242EB92.4050601@tms-itdienst.at> Message-ID: H allo, das funktioniert, ist aber nicht korrekt. Kommt ein Update für dein ca-certificates Paket deiner Distribution gehen alle deine Änderungen dahin. Richtig: Unterhalb von /usr/local/share/ca-certificates/ legst du bspw. einen Unterordner für deinen Kunden an. Dort packst du dann dessen Zertifikat rein (die Ordnerstruktur muss womöglich erstmalig komplett erstellt werden). Anschließend führst du "update-ca-certificates" aus. M ehr Details entnimmst du der Dokumentation deines ca-certificates-Pakets. -- Ich Grüße, Igor -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From petry at cypy.de Thu Sep 26 10:18:39 2013 From: petry at cypy.de (Ralf Petry) Date: Thu, 26 Sep 2013 10:18:39 +0200 Subject: [Postfixbuch-users] Mails verloren Message-ID: <5243EDDF.3050903@cypy.de> Hallo, mein Server wurde versehentlich kalt gestellt und als ich ihn heute morgen wieder angestellt hatte, funktionierte zwar der Mailabruf (fetchmail), aber postfix verwirft die eingehenden Mails. Folgende Fehlermeldung taucht in den Logs auf: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 504 5.5.2 : Helo command rejected: need fully-qualified hostname; from=<> to= proto=SMTP helo= Ich kann Mails raussenden. Ich habe die Fehlermeldung gegoogelt, und Ergebnisse gefunden, die sich zwischen einer Konfiguration von ipv6 und smtpd_helo_restrictions bewegen. Wahrscheinlich ist die Fehlerbehebung simpel, aber ich krieg einfach nicht die Tomaten von den Augen. postconf -n nachfolgend: biff = no command_directory = /usr/sbin config_directory = /Library/Server/Mail/Config/postfix daemon_directory = /usr/libexec/postfix data_directory = /Library/Server/Mail/Data/mta debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5 dovecot_destination_recipient_limit = 1 html_directory = /usr/share/doc/postfix/html imap_submit_cred_file = /Library/Server/Mail/Config/postfix/submit.cred inet_interfaces = loopback-only inet_protocols = all mail_owner = _postfix mailbox_size_limit = 0 mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man message_size_limit = 104857600 mydomain_fallback = localhost mynetworks = 127.0.0.0/8, [::1]/128 newaliases_path = /usr/bin/newaliases queue_directory = /Library/Server/Mail/Data/spool readme_directory = /usr/share/doc/postfix recipient_delimiter = + sample_directory = /usr/share/doc/postfix/examples sendmail_path = /usr/sbin/sendmail setgid_group = _postdrop smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated permit smtpd_tls_ciphers = medium smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL tls_random_source = dev:/dev/urandom unknown_local_recipient_reject_code = 550 use_sacl_cache = yes danke im voraus. grusz, ralf. From petry at cypy.de Thu Sep 26 11:10:40 2013 From: petry at cypy.de (Ralf Petry) Date: Thu, 26 Sep 2013 11:10:40 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: <5243EDDF.3050903@cypy.de> References: <5243EDDF.3050903@cypy.de> Message-ID: <5243FA10.7050604@cypy.de> hm merkenwürdig: habe mynetworks um den Eintrag für mein ipv4 subnetz ergänzt. läuft wieder. und wie komme ich jetzt an die verworfenen mails? gruß, ralf. Am 26.09.13 10:18, schrieb Ralf Petry: > Hallo, > mein Server wurde versehentlich kalt gestellt und als ich ihn heute > morgen wieder angestellt hatte, funktionierte zwar der Mailabruf > (fetchmail), aber postfix verwirft die eingehenden Mails. > Folgende Fehlermeldung taucht in den Logs auf: > > NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 504 5.5.2 > : Helo command rejected: need fully-qualified hostname; > from=<> to= proto=SMTP helo= > > Ich kann Mails raussenden. Ich habe die Fehlermeldung gegoogelt, und > Ergebnisse gefunden, die sich zwischen einer Konfiguration von ipv6 > und smtpd_helo_restrictions bewegen. Wahrscheinlich ist die > Fehlerbehebung simpel, aber ich krieg einfach nicht die Tomaten von > den Augen. > > postconf -n nachfolgend: > > biff = no > command_directory = /usr/sbin > config_directory = /Library/Server/Mail/Config/postfix > daemon_directory = /usr/libexec/postfix > data_directory = /Library/Server/Mail/Data/mta > debug_peer_level = 2 > debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin > xxgdb $daemon_directory/$process_name $process_id & sleep 5 > dovecot_destination_recipient_limit = 1 > html_directory = /usr/share/doc/postfix/html > imap_submit_cred_file = /Library/Server/Mail/Config/postfix/submit.cred > inet_interfaces = loopback-only > inet_protocols = all > mail_owner = _postfix > mailbox_size_limit = 0 > mailq_path = /usr/bin/mailq > manpage_directory = /usr/share/man > message_size_limit = 104857600 > mydomain_fallback = localhost > mynetworks = 127.0.0.0/8, [::1]/128 > newaliases_path = /usr/bin/newaliases > queue_directory = /Library/Server/Mail/Data/spool > readme_directory = /usr/share/doc/postfix > recipient_delimiter = + > sample_directory = /usr/share/doc/postfix/examples > sendmail_path = /usr/sbin/sendmail > setgid_group = _postdrop > smtpd_client_restrictions = permit_mynetworks > permit_sasl_authenticated permit > smtpd_tls_ciphers = medium > smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL > tls_random_source = dev:/dev/urandom > unknown_local_recipient_reject_code = 550 > use_sacl_cache = yes > > > danke im voraus. grusz, ralf. From pascal.weisshaupt at metagmbh.de Thu Sep 26 12:08:44 2013 From: pascal.weisshaupt at metagmbh.de (=?iso-8859-1?Q?Pascal_Wei=DFhaupt?=) Date: Thu, 26 Sep 2013 12:08:44 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Mails_verloren?= In-Reply-To: <5243FA10.7050604@cypy.de> References: <5243EDDF.3050903@cypy.de> Message-ID: Ich denke mal gar nicht, da sie mit einem 500er Fehler abgewiesen worden sind. Wenn ich mich richtig an das Buch erinnere, ist das eine permanente Ablehnung für den Zustellversuch. Der Absender sollte eine Fehlermail bekommen haben und muss es erneut probieren. Bitte korrigieren, wenn ich hier falsche Informationen geliefert habe - habe das Buch gerade nicht vorliegen Gruß, Pascal -----Ursprüngliche Nachricht----- Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Ralf Petry Gesendet: Donnerstag, 26. September 2013 11:11 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Mails verloren hm merkenwürdig: habe mynetworks um den Eintrag für mein ipv4 subnetz ergänzt. läuft wieder. und wie komme ich jetzt an die verworfenen mails? gruß, ralf. Am 26.09.13 10:18, schrieb Ralf Petry: > Hallo, > mein Server wurde versehentlich kalt gestellt und als ich ihn heute > morgen wieder angestellt hatte, funktionierte zwar der Mailabruf > (fetchmail), aber postfix verwirft die eingehenden Mails. > Folgende Fehlermeldung taucht in den Logs auf: > > NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 504 5.5.2 > : Helo command rejected: need fully-qualified hostname; > from=<> to= proto=SMTP helo= > > Ich kann Mails raussenden. Ich habe die Fehlermeldung gegoogelt, und > Ergebnisse gefunden, die sich zwischen einer Konfiguration von ipv6 > und smtpd_helo_restrictions bewegen. Wahrscheinlich ist die > Fehlerbehebung simpel, aber ich krieg einfach nicht die Tomaten von > den Augen. > > postconf -n nachfolgend: > > biff = no > command_directory = /usr/sbin > config_directory = /Library/Server/Mail/Config/postfix > daemon_directory = /usr/libexec/postfix data_directory = > /Library/Server/Mail/Data/mta debug_peer_level = 2 debugger_command = > PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin > xxgdb $daemon_directory/$process_name $process_id & sleep 5 > dovecot_destination_recipient_limit = 1 html_directory = > /usr/share/doc/postfix/html imap_submit_cred_file = > /Library/Server/Mail/Config/postfix/submit.cred > inet_interfaces = loopback-only > inet_protocols = all > mail_owner = _postfix > mailbox_size_limit = 0 > mailq_path = /usr/bin/mailq > manpage_directory = /usr/share/man > message_size_limit = 104857600 > mydomain_fallback = localhost > mynetworks = 127.0.0.0/8, [::1]/128 > newaliases_path = /usr/bin/newaliases > queue_directory = /Library/Server/Mail/Data/spool readme_directory = > /usr/share/doc/postfix recipient_delimiter = + sample_directory = > /usr/share/doc/postfix/examples sendmail_path = /usr/sbin/sendmail > setgid_group = _postdrop smtpd_client_restrictions = permit_mynetworks > permit_sasl_authenticated permit smtpd_tls_ciphers = medium > smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL tls_random_source > = dev:/dev/urandom unknown_local_recipient_reject_code = 550 > use_sacl_cache = yes > > > danke im voraus. grusz, ralf. -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From petry at cypy.de Thu Sep 26 12:26:10 2013 From: petry at cypy.de (Ralf Petry) Date: Thu, 26 Sep 2013 12:26:10 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: References: <5243EDDF.3050903@cypy.de> Message-ID: <52440BC2.7090902@cypy.de> Habe einen der Absender kontaktiert, er hat keine Fehlermail erhalten. Für mich sah es auch eher so aus, dass sich Postfix intern selbst mitgeteilt hat, dass es die Mail nicht annimmt... :-D aber was weiss ich schon... Am 26.09.13 12:08, schrieb Pascal Weißhaupt: > Ich denke mal gar nicht, da sie mit einem 500er Fehler abgewiesen worden sind. Wenn ich mich richtig an das Buch erinnere, ist das eine permanente Ablehnung für den Zustellversuch. > > Der Absender sollte eine Fehlermail bekommen haben und muss es erneut probieren. > > Bitte korrigieren, wenn ich hier falsche Informationen geliefert habe - habe das Buch gerade nicht vorliegen > > > Gruß, > > Pascal > > -----Ursprüngliche Nachricht----- > Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Ralf Petry > Gesendet: Donnerstag, 26. September 2013 11:11 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: [Postfixbuch-users] Mails verloren > > hm merkenwürdig: habe mynetworks um den Eintrag für mein ipv4 subnetz ergänzt. läuft wieder. > und wie komme ich jetzt an die verworfenen mails? > gruß, ralf. > > Am 26.09.13 10:18, schrieb Ralf Petry: >> Hallo, >> mein Server wurde versehentlich kalt gestellt und als ich ihn heute >> morgen wieder angestellt hatte, funktionierte zwar der Mailabruf >> (fetchmail), aber postfix verwirft die eingehenden Mails. >> Folgende Fehlermeldung taucht in den Logs auf: >> >> NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 504 5.5.2 >> : Helo command rejected: need fully-qualified hostname; >> from=<> to= proto=SMTP helo= >> >> Ich kann Mails raussenden. Ich habe die Fehlermeldung gegoogelt, und >> Ergebnisse gefunden, die sich zwischen einer Konfiguration von ipv6 >> und smtpd_helo_restrictions bewegen. Wahrscheinlich ist die >> Fehlerbehebung simpel, aber ich krieg einfach nicht die Tomaten von >> den Augen. >> >> postconf -n nachfolgend: >> >> biff = no >> command_directory = /usr/sbin >> config_directory = /Library/Server/Mail/Config/postfix >> daemon_directory = /usr/libexec/postfix data_directory = >> /Library/Server/Mail/Data/mta debug_peer_level = 2 debugger_command = >> PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin >> xxgdb $daemon_directory/$process_name $process_id & sleep 5 >> dovecot_destination_recipient_limit = 1 html_directory = >> /usr/share/doc/postfix/html imap_submit_cred_file = >> /Library/Server/Mail/Config/postfix/submit.cred >> inet_interfaces = loopback-only >> inet_protocols = all >> mail_owner = _postfix >> mailbox_size_limit = 0 >> mailq_path = /usr/bin/mailq >> manpage_directory = /usr/share/man >> message_size_limit = 104857600 >> mydomain_fallback = localhost >> mynetworks = 127.0.0.0/8, [::1]/128 >> newaliases_path = /usr/bin/newaliases >> queue_directory = /Library/Server/Mail/Data/spool readme_directory = >> /usr/share/doc/postfix recipient_delimiter = + sample_directory = >> /usr/share/doc/postfix/examples sendmail_path = /usr/sbin/sendmail >> setgid_group = _postdrop smtpd_client_restrictions = permit_mynetworks >> permit_sasl_authenticated permit smtpd_tls_ciphers = medium >> smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL tls_random_source >> = dev:/dev/urandom unknown_local_recipient_reject_code = 550 >> use_sacl_cache = yes >> >> >> danke im voraus. grusz, ralf. From t.schneider at tms-itdienst.at Thu Sep 26 17:30:03 2013 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 26 Sep 2013 17:30:03 +0200 Subject: [Postfixbuch-users] CA Certs einbinden In-Reply-To: References: <5242E486.10306@tms-itdienst.at> <5242E9D7.7010700@web.de> <5242EB92.4050601@tms-itdienst.at> Message-ID: <524452FB.2020403@tms-itdienst.at> Hallo Igor, danke, das habe ich jetzt gemacht und er hat auch dann gleich in /etc/ssl/ den link zu den beiden certs angelegt. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From gregor at aeppelbroe.de Fri Sep 27 07:02:07 2013 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 27 Sep 2013 07:02:07 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: <52440BC2.7090902@cypy.de> References: <5243EDDF.3050903@cypy.de> <52440BC2.7090902@cypy.de> Message-ID: <1624914.bBiNUNgiXG@sojus> Am Donnerstag, 26. September 2013, 12:26:10 schrieb Ralf Petry: > Habe einen der Absender kontaktiert, er hat keine Fehlermail erhalten. Du rufst über fetchmail ab? Klar, Dein gegenüber hat ja die Emails korrekt an Deinen Providermailserver ausgeliefert, für den sendenden Mailserver ist alles OK Warum schaust Du nicht auf dem Mailserver Deines Providers nach? Je nach Fetchmaileinstellungen könnten sie sort noch liegen,... Grüße Gregor PS Evtl. gibt es für Fetchmail ein lokalen Cache? From petry at cypy.de Fri Sep 27 11:27:00 2013 From: petry at cypy.de (Ralf Petry) Date: Fri, 27 Sep 2013 11:27:00 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: <1624914.bBiNUNgiXG@sojus> References: <5243EDDF.3050903@cypy.de> <52440BC2.7090902@cypy.de> <1624914.bBiNUNgiXG@sojus> Message-ID: <52454F64.103@cypy.de> danke aber so ist es leider nicht. fetchmail holt alle mails ab und übergibt die postfix. und wenn postfix die rejected, tja, wo landen die dann? im orkus, nehme ich mal an. beim provider liegen sie jedenfalls nicht. gruß, ralf. Am 27.09.13 07:02, schrieb Gregor Burck: > Am Donnerstag, 26. September 2013, 12:26:10 schrieb Ralf Petry: >> Habe einen der Absender kontaktiert, er hat keine Fehlermail erhalten. > Du rufst über fetchmail ab? > > Klar, Dein gegenüber hat ja die Emails korrekt an Deinen Providermailserver > ausgeliefert, für den sendenden Mailserver ist alles OK > > Warum schaust Du nicht auf dem Mailserver Deines Providers nach? Je nach > Fetchmaileinstellungen könnten sie sort noch liegen,... > > Grüße > > Gregor > > PS Evtl. gibt es für Fetchmail ein lokalen Cache? From wolfgang.zeikat at desy.de Fri Sep 27 13:24:58 2013 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Fri, 27 Sep 2013 13:24:58 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: <52454F64.103@cypy.de> References: <5243EDDF.3050903@cypy.de> <52440BC2.7090902@cypy.de> <1624914.bBiNUNgiXG@sojus> <52454F64.103@cypy.de> Message-ID: <52456B0A.8090304@desy.de> On 2013-09-27 11:27, Ralf Petry wrote: > danke aber so ist es leider nicht. fetchmail holt alle mails ab und > übergibt die postfix. und wenn postfix die rejected, tja, wo landen > die dann? im orkus, nehme ich mal an. In deinem Log stand ja: > NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 504 5.5.2 > : Helo command rejected: need fully-qualified hostname; > from=<> to= proto=SMTP helo= Wenn da irgendein Bounce hätte geschickt werden sollen, dann ist in diesem Fall wohl Orkus richtig, denn der Absender war ja: <> Gruß, wolfgang From tobster at brain-force.ch Fri Sep 27 17:21:25 2013 From: tobster at brain-force.ch (Tobi) Date: Fri, 27 Sep 2013 17:21:25 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: <52454F64.103@cypy.de> References: <5243EDDF.3050903@cypy.de> <52440BC2.7090902@cypy.de> <1624914.bBiNUNgiXG@sojus> <52454F64.103@cypy.de> Message-ID: <5245A275.6030102@brain-force.ch> liegen denn die Ziel-Mailboxen direkt auf demselben Server wo auch fetchmail läuft? Wenn ja dann wieso ned direkt in die mailboxen schreiben lassen durch fetchmail? eigentlich bin ich bis anhin davon ausgegangen, dass fetchmail eine Mail in einer externen Mailbox erst dann löscht wenn die lokale Zustellung bestätigt wurde. Allerdings weiss ich ned wie es bei einer Übergabe an postfix ist, denn ich nutze als LDA den deliver von dovecot. Bei deliver ist es jedoch so, dass nur bei einem error Code 0 (zustellung erfolgreich) die Mail extern auch weggeputzt wird. Zumindest war es so als ich letztens mal Ärger mit deliver hatte, gab immer Fehler zurück und die Mails waren in den externen Mailboxen noch vorhanden. Am 27.09.2013 11:27, schrieb Ralf Petry: > danke aber so ist es leider nicht. fetchmail holt alle mails ab und > übergibt die postfix. und wenn postfix die rejected, tja, wo landen > die dann? im orkus, nehme ich mal an. beim provider liegen sie > jedenfalls nicht. > gruß, ralf. > > Am 27.09.13 07:02, schrieb Gregor Burck: >> Am Donnerstag, 26. September 2013, 12:26:10 schrieb Ralf Petry: >>> Habe einen der Absender kontaktiert, er hat keine Fehlermail erhalten. >> Du rufst über fetchmail ab? >> >> Klar, Dein gegenüber hat ja die Emails korrekt an Deinen >> Providermailserver >> ausgeliefert, für den sendenden Mailserver ist alles OK >> >> Warum schaust Du nicht auf dem Mailserver Deines Providers nach? Je nach >> Fetchmaileinstellungen könnten sie sort noch liegen,... >> >> Grüße >> >> Gregor >> >> PS Evtl. gibt es für Fetchmail ein lokalen Cache? > From anmeyer at anup.de Sat Sep 28 14:36:49 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 28 Sep 2013 14:36:49 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting Message-ID: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> Hallo! Sollte man von gmx.net nicht erwarten können, dass es innerhalb von drei Stunden nochmal einen Einlieferungsversuch macht? Sep 28 11:00:40 delta postgrey[16682]: action=greylist, reason=new, client_name=mout.gmx.net, client_address=212.227.17.22, sender=someemail at gmx.de, recipient=ameyer at bitcorner.de Sep 28 11:00:40 delta postfix/smtpd[23091]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.17.22]: 450 4.2.0 : Recipient address rejected: greylisted for 300 seconds; from= to= proto=ESMTP helo= Da kann man wohl nichts machen? Andreas From p.heinlein at heinlein-support.de Sat Sep 28 16:09:55 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 28 Sep 2013 16:09:55 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting In-Reply-To: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> References: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> Message-ID: <5246E333.2080301@heinlein-support.de> Am 28.09.2013 14:36, schrieb Andreas Meyer: Hallo, > Sollte man von gmx.net nicht erwarten können, dass es innerhalb von drei > Stunden nochmal einen Einlieferungsversuch macht? GMX *macht* innerhalb von drei Stunden noch weitere Einlieferungsversuche. > Sep 28 11:00:40 delta postgrey[16682]: action=greylist, reason=new, client_name=mout.gmx.net, client_address=212.227.17.22, sender=someemail at gmx.de, recipient=ameyer at bitcorner.de > Sep 28 11:00:40 delta postfix/smtpd[23091]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.17.22]: 450 4.2.0 : Recipient address rejected: greylisted for 300 seconds; from= to= proto=ESMTP helo= Das ist ein Logeintrag von Greylisting. Ja? Und? > Da kann man wohl nichts machen? Wogegen? Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Sat Sep 28 17:40:24 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Sat, 28 Sep 2013 17:40:24 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting In-Reply-To: <5246E333.2080301@heinlein-support.de> References: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> <5246E333.2080301@heinlein-support.de> Message-ID: <20130928174024.5086a46a@itxnew.bitcorner.intern> Hallo Peer! Peer Heinlein wrote: > GMX *macht* innerhalb von drei Stunden noch weitere Einlieferungsversuche. > > > Sep 28 11:00:40 delta postgrey[16682]: action=greylist, reason=new, client_name=mout.gmx.net, client_address=212.227.17.22, sender=someemail at gmx.de, recipient=ameyer at bitcorner.de > > Sep 28 11:00:40 delta postfix/smtpd[23091]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.17.22]: 450 4.2.0 : Recipient address rejected: greylisted for 300 seconds; from= to= proto=ESMTP helo= > > Das ist ein Logeintrag von Greylisting. Ja? Und? 3 Stunden sind mit entschieden zu lang :-) Nach genau 4 Stunden wurde mit einem erneuten Versuch dann eingeliefert. > > Da kann man wohl nichts machen? > > Wogegen? Gegen die lange Verzögerung. Aber wenn GMX meint, das ist ok so, soll mir's recht sein. Andreas From stickybit at myhm.de Sun Sep 29 14:05:16 2013 From: stickybit at myhm.de (Andre) Date: Sun, 29 Sep 2013 14:05:16 +0200 Subject: [Postfixbuch-users] hotmail & co. Message-ID: <5248177C.40001@myhm.de> Servus, wir haben hin und wieder Probleme mit Freemail-Anbietern wie Hotmail, MSN, Yahoo, Live. Vor Kurzem landete eine unserer IPs auf deren eigene Blacklist. 2013-09-24T17:35:56+02:00 out-03 mail:info out-03/smtp[2017]: 6D0B0E018B: to=<******@hotmail.com>, relay=mx1.hotmail.com[65.55.92.152]:25, delay=1, delays=0.02/0/0.87/0.13, dsn=5.0.0, status=bounced (host mx1.hotmail.com[65.55.92.152] said: 550 SC-001 (SNT0-MC2-F9) Unfortunately, messages from XX.XX.XX.XXX weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command)) 2013-09-24T17:35:56+02:00 out-03 mail:info out-03/smtp[2017]: 6D0B0E018B: lost connection with mx1.hotmail.com[65.55.92.152] while sending RCPT TO Wir haben die Logfiles analysiert und keinen möglichen Grund feststellen können bzw. es wurde offensichtlich KEIN Spam versendet. Unsere IP steht auf keiner Blacklist, nur Hotmail blockt sie. Wir haben die IP bei uns für den Mailversand deaktiviert bzw. getauscht. Jetzt läuft alles sauber. Fällt euch eine elegantere Lösung ein? Danke für jeden Hinweis! Gruß Andre From igor.sverkos at googlemail.com Sun Sep 29 15:38:45 2013 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Sun, 29 Sep 2013 15:38:45 +0200 Subject: [Postfixbuch-users] hotmail & co. In-Reply-To: <5248177C.40001@myhm.de> References: <5248177C.40001@myhm.de> Message-ID: Hi, ist uns auch schon einmal passiert. Über irgendein obskures Onlineformular haben wir uns dann bei denen gemeldet. Beim Abschicken des Formulars hat die Website dann alles andere als den Eindruck erweckt, dass wir da richtig wären. Auch im automatischen Reply schien es als ginge es um etwas anderes, allerdings war da der Satz "Note: Errors are unlikely, however, if an error is indicated, please resubmit the specific IP or IP range." Die Absenderadresse wirkt auch sehr seltsam... jedenfalls haben wir auf die Mail geantwortet und binnen 10 Minuten gab es eine menschliche Reaktion (Anruf aus USA) ähnlich wie bei der Telekom-Abuse-Stelle (haben sich wohl versichert, dass die Kontaktdaten stimmen). Nach weiteren 10min kam von dem Agent dann per Mail die Bestätigung, dass die Sperre aufgehoben wurde (es aber bis zu 24 Stunden dauern könnte, bis sich das bei allen Empfangspunkten herum gesprochen hat). Nach ca. 2 1/2 Stunden gingen dann Mails wieder problemlos durch. Alles in allem also eine überraschend positive Erfahrung, nur das Formular war schwer zu finden. ...dich wird nun wahrscheinlich das Formular interessieren. Die URL habe ich leider gerade nicht zur Hand. War auch ein Kollege. Müsste ich am Montag einmal nachschauen. -- Ich Grüße, Igor -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From stickybit at myhm.de Sun Sep 29 19:28:20 2013 From: stickybit at myhm.de (Andre) Date: Sun, 29 Sep 2013 19:28:20 +0200 Subject: [Postfixbuch-users] hotmail & co. In-Reply-To: References: <5248177C.40001@myhm.de> Message-ID: <52486334.6070108@myhm.de> Am 29.09.2013 15:38, schrieb Igor Sverkos: danke Igor, > ...dich wird nun wahrscheinlich das Formular interessieren. Die URL habe > ich leider gerade nicht zur Hand. War auch ein Kollege. Müsste ich am > Montag einmal nachschauen. das ist sehr nett von Dir. Ich meinte aber, ob das Problem grundsätzlich gelöst werden kann. Z.B. eigene IPs whitlisten lassen, irgendwie? Bei uns ist es schon mehrmals vorgekommen, für uns ohne nachvollziehbaren Grund, dass eine unserer IPs gesperrt wurde. Das ist natürlich inakzeptabel. From postfix at cebe.cc Mon Sep 30 00:05:14 2013 From: postfix at cebe.cc (Carsten Brandt) Date: Mon, 30 Sep 2013 00:05:14 +0200 Subject: [Postfixbuch-users] hotmail & co. In-Reply-To: <52486334.6070108@myhm.de> References: <5248177C.40001@myhm.de> <52486334.6070108@myhm.de> Message-ID: <5248A41A.30009@cebe.cc> Am 29.09.2013 19:28, schrieb Andre: >> ...dich wird nun wahrscheinlich das Formular interessieren. Die URL habe >> ich leider gerade nicht zur Hand. War auch ein Kollege. Müsste ich am >> Montag einmal nachschauen. Für den Fall, dass es jemand ausfüllen möchte: https://support.live.com/eform.aspx?productKey=edfsmsbl3&ct=eformts Hatte ich vor einem Monat auch mal. Formular ausgefüllt, kurzer Mail-Wechsel und alles funktioniert wieder. > Ich meinte aber, ob das Problem grundsätzlich gelöst werden kann. Z.B. > eigene IPs whitlisten lassen, irgendwie? Glaube nicht, dass sowas möglich ist bzw. die sowas machen würden. Maintaining einer Whitelist ist wesentlich aufwändiger als von ner Blacklist. Bei letzterer melden sich betroffene freiwillig, bei ersterer nicht, sofern alles läuft. Ip listen können also schnell veralten. Viele Grüße, Carsten -- mail: mail at cebe.cc mobil: 0176 / 96 52 999 7 www: http://cebe.cc/ pgp: http://cebe.cc/cebe_pub.asc skype: skype://cebe08 From andreas.schulze at datev.de Mon Sep 30 07:27:07 2013 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 30 Sep 2013 07:27:07 +0200 Subject: [Postfixbuch-users] hotmail & co. In-Reply-To: <5248177C.40001@myhm.de> References: <5248177C.40001@myhm.de> Message-ID: <20130930052707.GB14521@spider.services.datevnet.de> Am 29.09.2013 14:05 schrieb Andre: > Danke für jeden Hinweis! Bei uns hat sich ein Plan B bewährt. Ausgehende Mails in der eigenen Outgoing-Queue halten, obwohl der Empfänger mit 550 ablehnt: main.cf smtp_reply_filter = pcre:${config_directory}/smtp_reply_filter.pcre smtp_reply_filter.pcre /^550 5.7.1 Message rejected due to content restrictions/ 450 4.7.1 Message deferred due to content restrictions klappt ab postfix-2.7, wenn man die konkrete Fehlermeldung kennt und das Monitoring sofort alarmiert. -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Michael Leistenschneider Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From petry at cypy.de Mon Sep 30 09:47:27 2013 From: petry at cypy.de (Ralf Petry) Date: Mon, 30 Sep 2013 09:47:27 +0200 Subject: [Postfixbuch-users] Mails verloren In-Reply-To: <5245A275.6030102@brain-force.ch> References: <5243EDDF.3050903@cypy.de> <52440BC2.7090902@cypy.de> <1624914.bBiNUNgiXG@sojus> <52454F64.103@cypy.de> <5245A275.6030102@brain-force.ch> Message-ID: <52492C8F.7030009@cypy.de> gute frage, hätte eigentlich auch erwartet, dass fetchmail das direkt in meine mailbox pumpt. ich muss mir das bei gelegenheit (wenn der influenza-bedingte neben im kopf sich gelichtet hat) noch mal genauer ansehen... danke für die rückmeldung. Am 27.09.13 17:21, schrieb Tobi: > liegen denn die Ziel-Mailboxen direkt auf demselben Server wo auch > fetchmail läuft? Wenn ja dann wieso ned direkt in die mailboxen > schreiben lassen durch fetchmail? > eigentlich bin ich bis anhin davon ausgegangen, dass fetchmail eine > Mail in einer externen Mailbox erst dann löscht wenn die lokale > Zustellung bestätigt wurde. Allerdings weiss ich ned wie es bei einer > Übergabe an postfix ist, denn ich nutze als LDA den deliver von > dovecot. Bei deliver ist es jedoch so, dass nur bei einem error Code 0 > (zustellung erfolgreich) die Mail extern auch weggeputzt wird. > Zumindest war es so als ich letztens mal Ärger mit deliver hatte, gab > immer Fehler zurück und die Mails waren in den externen Mailboxen noch > vorhanden. > > Am 27.09.2013 11:27, schrieb Ralf Petry: >> danke aber so ist es leider nicht. fetchmail holt alle mails ab und >> übergibt die postfix. und wenn postfix die rejected, tja, wo landen >> die dann? im orkus, nehme ich mal an. beim provider liegen sie >> jedenfalls nicht. >> gruß, ralf. >> >> Am 27.09.13 07:02, schrieb Gregor Burck: >>> Am Donnerstag, 26. September 2013, 12:26:10 schrieb Ralf Petry: >>>> Habe einen der Absender kontaktiert, er hat keine Fehlermail erhalten. >>> Du rufst über fetchmail ab? >>> >>> Klar, Dein gegenüber hat ja die Emails korrekt an Deinen >>> Providermailserver >>> ausgeliefert, für den sendenden Mailserver ist alles OK >>> >>> Warum schaust Du nicht auf dem Mailserver Deines Providers nach? Je >>> nach >>> Fetchmaileinstellungen könnten sie sort noch liegen,... >>> >>> Grüße >>> >>> Gregor >>> >>> PS Evtl. gibt es für Fetchmail ein lokalen Cache? >> > From kai_postfix at fuerstenberg.ws Mon Sep 30 09:56:16 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 30 Sep 2013 09:56:16 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting In-Reply-To: <20130928174024.5086a46a@itxnew.bitcorner.intern> References: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> <5246E333.2080301@heinlein-support.de> <20130928174024.5086a46a@itxnew.bitcorner.intern> Message-ID: <52492EA0.70302@fuerstenberg.ws> Hi Andreas, Am 28.09.2013 17:40, schrieb Andreas Meyer: > 3 Stunden sind mit entschieden zu lang :-) Nach genau 4 Stunden wurde > mit einem erneuten Versuch dann eingeliefert. ich habe schon gehört, dass die Telekom z.T. bis zu 5 Tage (!) benötigt, eine Mail nochmal zuzustellen. >>> Da kann man wohl nichts machen? >> >> Wogegen? > > Gegen die lange Verzögerung. Aber wenn GMX meint, das ist ok so, > soll mir's recht sein. Du kannst dagegen gar nichts machen. Außer, du wirst verantwortlicher Admin bei GMX. Außerdem ist E-Mail keine Echtzeitkommunikation. Verzögerungen sind an der Tagesordnung, Fehler treten ständig auf und Greylisting ist nichts anderes, als ein künstlich erzeugter Fehler, genauso wie Postscreen. Also: kein Grund, sich 'n Kopf zu machen. Die Mail wurde doch zugestellt, oder? -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Mon Sep 30 10:13:40 2013 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 30 Sep 2013 10:13:40 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting In-Reply-To: <52492EA0.70302@fuerstenberg.ws> References: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> <5246E333.2080301@heinlein-support.de> <20130928174024.5086a46a@itxnew.bitcorner.intern> <52492EA0.70302@fuerstenberg.ws> Message-ID: <524932B4.4060709@heinlein-support.de> Am 30.09.2013 09:56, schrieb Kai Fürstenberg: Hi, > ich habe schon gehört, dass die Telekom z.T. bis zu 5 Tage (!) benötigt, > eine Mail nochmal zuzustellen. TOL hat Exim-Mailrelay und die verhalten sich so (ordentlich), wie Exim-Mailrelays. Da parkt niemand 5 Tage Mails. TOL hat weder ein Interesse daran, die Daten 5 Tage zu lagern, noch machen sie das. Ich halte solche Aussagen für Gerüchte die entweder nicht stimmen, oder die wesentliche Details außen vor lassen, z.B. selber Fehler in den Konfigurationen beim Empfänger. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at anup.de Mon Sep 30 10:33:51 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 30 Sep 2013 10:33:51 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting In-Reply-To: <52492EA0.70302@fuerstenberg.ws> References: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> <5246E333.2080301@heinlein-support.de> <20130928174024.5086a46a@itxnew.bitcorner.intern> <52492EA0.70302@fuerstenberg.ws> Message-ID: <20130930103351.4c57641c@itxnew.bitcorner.intern> Hallo! Kai Fürstenberg wrote: > > 3 Stunden sind mit entschieden zu lang :-) Nach genau 4 Stunden wurde > > mit einem erneuten Versuch dann eingeliefert. > > ich habe schon gehört, dass die Telekom z.T. bis zu 5 Tage (!) benötigt, > eine Mail nochmal zuzustellen. Andere email wurde gestern von GMX mit wenigen Minuten Verzögerung zugestellt, nachdem zwei clients von denen mit unterschiedlichen IP-Adressen aber gleiche email greylisted waren. > >>> Da kann man wohl nichts machen? > >> > >> Wogegen? > > > > Gegen die lange Verzögerung. Aber wenn GMX meint, das ist ok so, > > soll mir's recht sein. > > Du kannst dagegen gar nichts machen. Außer, du wirst verantwortlicher > Admin bei GMX. > > Außerdem ist E-Mail keine Echtzeitkommunikation. Verzögerungen sind an > der Tagesordnung, Fehler treten ständig auf und Greylisting ist nichts > anderes, als ein künstlich erzeugter Fehler, genauso wie Postscreen. > > Also: kein Grund, sich 'n Kopf zu machen. Die Mail wurde doch > zugestellt, oder? Jo, wurde zugesetllt! Andreas From anmeyer at anup.de Mon Sep 30 12:47:58 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 30 Sep 2013 12:47:58 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage_zu_content_fi?= =?utf-8?q?lter_mit_amavis?= Message-ID: <20130930124758.0f1c5ca4@itxnew.bitcorner.intern> Hallo! Ich habe amavis als pre_queue filert eingebunden und mich ein bißchen bei http://postfix.state-of-mind.de/patrick.koetter/amavisd-new/ belesen. smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o content_filter= -o receive_override_options=no_address_mappings -o smtpd_proxy_options=speed_adjust Ich habe da aber Verständnisprobleme. Wenn ich sage header_checks = regexp:/etc/postfix/filter_header und es wird per filter_header /^Subject: .*offer/ FILTER amavisfeed:[127.0.0.1]:10024 an amavis übergeben, weis amavis nicht, was es mit dieser email anfangen soll. Was verstehe ich an dieser Konstellation nicht? Ziel ist, die alten header_- und body_checks in Postfix weiterhin nutzbar zu halten, wenn in localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o mynetworks=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks steht. Andreas From kai_postfix at fuerstenberg.ws Mon Sep 30 13:22:36 2013 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Mon, 30 Sep 2013 13:22:36 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Verst=E4ndnisfrage_zu_content_?= =?iso-8859-1?q?filter_mit_amavis?= In-Reply-To: <20130930124758.0f1c5ca4@itxnew.bitcorner.intern> References: <20130930124758.0f1c5ca4@itxnew.bitcorner.intern> Message-ID: <52495EFC.2040102@fuerstenberg.ws> Hi Andreas, Am 30.09.2013 12:47, schrieb Andreas Meyer: > smtp inet n - n - - smtpd > -o smtpd_proxy_filter=127.0.0.1:10024 > -o content_filter= > -o receive_override_options=no_address_mappings > -o smtpd_proxy_options=speed_adjust > > Ich habe da aber Verständnisprobleme. Wenn ich sage > header_checks = regexp:/etc/postfix/filter_header > und es wird per filter_header > /^Subject: .*offer/ FILTER amavisfeed:[127.0.0.1]:10024 > an amavis übergeben, weis amavis nicht, was es mit dieser > email anfangen soll. Was verstehe ich an dieser Konstellation > nicht? Du schickst die Mail doch schon während der Einlieferung zwangsweise durch den Amavis (smtpd_proxy_filter). Warum willst du sie denn jetzt nochmal per Header-Check da durch schicken? Und was meinst du mit > weis amavis nicht, was es mit dieser > email anfangen soll. ??? > Ziel ist, die alten header_- und body_checks in Postfix weiterhin > nutzbar zu halten, wenn in Die Header-Checks kannst du grundsätzlich beibehalten. Auf dem Rückweg werden sie ausgeschaltet und gut ist. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From igor.sverkos at googlemail.com Mon Sep 30 14:14:47 2013 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Mon, 30 Sep 2013 14:14:47 +0200 Subject: [Postfixbuch-users] hotmail & co. In-Reply-To: <52486334.6070108@myhm.de> References: <5248177C.40001@myhm.de> <52486334.6070108@myhm.de> Message-ID: Hi, den Link hat ja bereits Carsten genannt. Ich wollte aber noch auf Deine Fragen eingehen: > Ich meinte aber, ob das Problem grundsätzlich gelöst werden kann. > Z.B. eigene IPs whitlisten lassen, irgendwie? Nein. Überlege doch einmal was das bedeuten würde... Microsoft schreibt ja auch selber: > Does Outlook operate an ?allow list? that I can get on? > > No. An "allow list" is essentially a "free pass" which allows emails > from certain senders to bypass junk email filters and other > precautions. ...und ich denke damit haben sie recht (so verstehe ich auch nicht, weshalb hier manche, wenn ein großer auf Listen gelandet ist, diese gleich whitelisten). > Bei uns ist es schon mehrmals vorgekommen, für uns ohne > nachvollziehbaren Grund, dass eine unserer IPs gesperrt wurde. Das > ist natürlich inakzeptabel. Die Gründe wären in der Tat interessant. Aber selbst wenn dabei heraus käme, dass da jeden Tag jemand würfelt... Ich kann da nur spekulieren: - Mailserver steht in einem Netz eines Massenhosters (Hetzner, OVH...) der nicht unbedingt die beste Reputation genießt (dann mag der eigene Server, das eigene Subnet, nicht böse sein, wird aber Bauernopfer, weil die großen Netzblöcke statt einzelne IPs sperren - Gerade bei Hotmail habe ich die Befürchtung, dass es ausreicht, wenn ein Mailempfänger eine Mail im Webmailer als "Spam" meldet. Selbst wenn ihr (oder ein Kunde von euch) dann ein Portal/Onlineshop betreibt, der sich an alle Gesetze/Empfehlungen hält... wenn der nette Nutzer dieses Portals/Shop zu faul ist seinen zuvor selbst bestellen Newsletter mit einem einfachen Klick wieder abzubestellen und es einfacher findet auf den "Das ist SPAM"-Button zu klicken... *zack* - und die Reputation fällt. Aber wie gesagt, nur eine Befürchtung, beweisen kann ich das nicht... -- Ich Grüße, Igor -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch-users at 0xaffe.de Mon Sep 30 16:55:17 2013 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 30 Sep 2013 16:55:17 +0200 Subject: [Postfixbuch-users] kein erneuter Einlieferungsversuch nach greylisting In-Reply-To: <524932B4.4060709@heinlein-support.de> References: <20130928143649.5cf8f62f@itxnew.bitcorner.intern> <5246E333.2080301@heinlein-support.de> <20130928174024.5086a46a@itxnew.bitcorner.intern> <52492EA0.70302@fuerstenberg.ws> <524932B4.4060709@heinlein-support.de> Message-ID: <524990D5.2090501@0xaffe.de> Hallo Peer, Am 30.09.13 10:13, schrieb Peer Heinlein: >> ich habe schon gehört, dass die Telekom z.T. bis zu 5 Tage (!) benötigt, >> eine Mail nochmal zuzustellen. > > TOL hat Exim-Mailrelay und die verhalten sich so (ordentlich), wie > Exim-Mailrelays. Da parkt niemand 5 Tage Mails. > > TOL hat weder ein Interesse daran, die Daten 5 Tage zu lagern, noch > machen sie das. Ich halte solche Aussagen für Gerüchte die entweder > nicht stimmen, oder die wesentliche Details außen vor lassen, z.B. > selber Fehler in den Konfigurationen beim Empfänger. Ich hatte vor zwei Jahren auch schon mal bei einer Mail von einem TOL-User 4,5 Tage Verzögerung: > Received: from mailout02.t-online.de (mailout02.t-online.de [194.25.134.17]) > by mail.XXXXX.de (Postfix) with ESMTP id A5B71209D > for ; Mon, 12 Sep 2011 03:18:56 +0200 (CEST) > Received: from fwd18.aul.t-online.de (fwd18.aul.t-online.de ) > by mailout02.t-online.de with smtp > id 1R1FOn-0006RS-RW; Wed, 07 Sep 2011 12:30:29 +0200 > Received: from localhost (Ttig1gZOrhgnTi4OHR4dl8a4VBxbPUnWOEQQNbOL6RnpXB66N701oCn5lJ8Rk4zQAW@[172.20.101.250]) by fwd18.aul.t-online.de > with esmtp id 1R1FOf-0EPgwq0; Wed, 7 Sep 2011 12:30:21 +0200 > MIME-Version: 1.0 > Received: from 141.43.41.120:3347 by cmpweb35.aul.t-online.de with HTTP/1.1 > (NGCS V3-6-1-2 on API V3-11-4-1) > Date: Wed, 07 Sep 2011 12:30:21 +0200 > [...] An eine Fehlkonfiguration beim Empfänger glaube ich eher nicht, da im gleichen Zeitraum Mails von anderen Mailservern problemlos empfangen wurden. Vorstellbar ist aber dass die TOL-Server generell höhere Delays hatten damals, da im Sommer 2011 einige TOL-Server hin und wieder für 24h auf einigen DNSBL waren, evtl. wurde obiger Server für ~24h geblockt und er hat es halt erst nach Tagen wieder versucht. Postfix-Logs habe ich aus der Zeit natürlich nicht mehr. Gruß, Mathias. From anmeyer at anup.de Mon Sep 30 17:24:58 2013 From: anmeyer at anup.de (Andreas Meyer) Date: Mon, 30 Sep 2013 17:24:58 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Verst=C3=A4ndnisfrage_zu_content_fi?= =?utf-8?q?lter_mit_amavis?= In-Reply-To: <52495EFC.2040102@fuerstenberg.ws> References: <20130930124758.0f1c5ca4@itxnew.bitcorner.intern> <52495EFC.2040102@fuerstenberg.ws> Message-ID: <20130930172458.0f800abc@itxnew.bitcorner.intern> Hallo! Kai Fürstenberg wrote: > Am 30.09.2013 12:47, schrieb Andreas Meyer: > > smtp inet n - n - - smtpd > > -o smtpd_proxy_filter=127.0.0.1:10024 > > -o content_filter= > > -o receive_override_options=no_address_mappings > > -o smtpd_proxy_options=speed_adjust > > > > Ich habe da aber Verständnisprobleme. Wenn ich sage > > header_checks = regexp:/etc/postfix/filter_header > > und es wird per filter_header > > /^Subject: .*offer/ FILTER amavisfeed:[127.0.0.1]:10024 > > an amavis übergeben, weis amavis nicht, was es mit dieser > > email anfangen soll. Was verstehe ich an dieser Konstellation > > nicht? > > Du schickst die Mail doch schon während der Einlieferung zwangsweise > durch den Amavis (smtpd_proxy_filter). Warum willst du sie denn jetzt > nochmal per Header-Check da durch schicken? Ja, ok, der Ablauf durch die Instanzen war mir nicht klar. Was macht denn ein /^Subject: .*offer/ FILTER amavisfeed:[127.0.0.1]:10024 ? Ich versteh' das so, dass Postfix die email nur an amavis schicken wird, wenn der check des filter_header positiv ist. Da amavis aber eh schon als smtpd_proxy_filter eingebunden ist, ist es eh bei jeder eingehenden email involviert. aha, ok, danke, da hat mich das readme von p at trick irritiert. > Und was meinst du mit > > weis amavis nicht, was es mit dieser > > email anfangen soll. > ??? > > Ziel ist, die alten header_- und body_checks in Postfix weiterhin > > nutzbar zu halten, wenn in > > Die Header-Checks kannst du grundsätzlich beibehalten. Auf dem Rückweg > werden sie ausgeschaltet und gut ist. Meine header_ und body_checks greifen nicht, wenn der smtpd_proxy_filter auf port 10024 aktiv ist. Sie greifen nur, wenn ich sie auf [localhost]:10025 nicht ausgeschaltet habe. Und deshalb bin ich verwirrt. Andreas From stickybit at myhm.de Mon Sep 30 17:48:16 2013 From: stickybit at myhm.de (Andre) Date: Mon, 30 Sep 2013 17:48:16 +0200 Subject: [Postfixbuch-users] hotmail & co. In-Reply-To: References: <5248177C.40001@myhm.de> <52486334.6070108@myhm.de> Message-ID: <52499D40.9000200@myhm.de> Hallo, danke an euch. Sehr schön, jetzt kommen unsere Mails aus dem letzten Newsletter zurück. Remote-MTA: dns; mx-eu.mail.am0.yahoodns.net Diagnostic-Code: smtp; 421 4.7.1 [TS03] All messages from XXX.XXX.XXX.XXX will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html Der Code 421 und "Retrying will NOT succeed". Ist das nicht lustig? Gruß Andre