From christian at bricart.de  Tue Apr  1 16:02:45 2014
From: christian at bricart.de (Christian Bricart)
Date: Tue, 01 Apr 2014 16:02:45 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?SOLVED!_OT=3A_SonicWall_und_recipie?=
 =?utf-8?q?nt=5Fdelimiter_=3D_+?=
In-Reply-To: <9494be2a116962e405e5b32f9f9fd20f@aachalon.de>
References: <9494be2a116962e405e5b32f9f9fd20f@aachalon.de>
Message-ID: <368dec1705c1cd802cd0ed8f5cd5e193@aachalon.de>

Grüsse miteinander,

(ich lasse meine Orginal-Problembeschreibung mal als TOFU drin - im 
Endeffekt war's aber nur halb richtig..)

Erstmal: Die SonicWall ist aus dem eigentlichen Problem raus - die kann 
nichts dafür ;-)

"Schuld" war ein Relay-Server innerhalb des anderen Unternehmens noch 
davor, bei dem die Clients ihre Mails initial abkippen.
Dieser scheint (für sich selber für's Archiv oder zur "Beweissicherung" 
oder was auch immer, auch(!) wenn nicht vom Absender gewünscht(!)) einen 
DSN anzufordern..
Da mein Postfix bis eben auch brav "250 DSN" auf das EHLO annonciert hat 
ist folgendes passiert:
aus dem
   RCPT TO: <foo+bar at example.com>
wurde natürlich flugs ein:
   RCPT TO: <foo+bar at example.com> ORCPT=rfc822;<foo+bar at example.com>
und genau das hat schon im smtp-dialog den u.g. Fehler erzeugt:
   501 5.5.4 Error: Bad ORCPT parameter syntax
(und landet bei mir auch nicht im Log - nur der connect und der 
disconnect des Clients steht da drin..)

also scheint die DSN Anforderung keinen recipient-delimiter zu können.. 
also der Postfix..
(Eigentlich auch klar.. die "Box" ist ja auch foo at example.com und nicht 
foo+bar at example.com ..)
Und mit
   RCPT TO: <foo+bar at example.com> ORCPT=rfc822;<foo at example.com>
funktioniert das auch wie gewollt - aber woher soll der Client das 
wissen...

Ich habe DSN bei mir erstmal komplett über die dokumentierten
   smtpd_discard_ehlo_keywords = silent-discard, dsn
abgeschaltet

und schon geht's ...

Grüsse
   Christian


Am 2014-03-04 14:06, schrieb Christian Bricart:
> juuten Tach,
> 
> hat jemand zufällig (schlechte ;-) ) Erfahrung mit den
> Filter(?)-Einstellungen einer "SonicWALL Email Security" (version
> 7.4.5.1395 wenn das wichtig ist) und der Zustellbarkeit/Weiterleitung
> an $recipient_delimiter benutzende Mailadressen..?
> 
> Also:
>  Client schickt über eine solche SonicWall eine Mail an
> <foo at example.com>   -> geht, kommt an
>  der selbe Client schickt über selbe Setup eine Mail an
> <foo+bar at example.com> -> geht nicht, Fehlermeldung: 5.5.4 (invalid
> command arguments) smtp;501 5.5.4 Error: Bad ORCPT parameter syntax
> 
> Diese Fehlermeldung kommt aber nicht vom Postfix - obwohl die
> SonicWALL den Absender im DSN damit *anlügt*, dass der Postfix-Server
> die Mail mit dem o.g. 5XXer abgeleht hätte! dort wurde aber NIE
> connected.. - nebst, dass Postfix diese Fehlermeldung in diesem
> Wortlaut und mit diesen Codes gar nicht generieren kann..
> 
> Ist evtl. in der standard SonicWALL ein "+" kein zulässiges Zeichen im
> localpart? Und wenn ja, wo konfiguriert man das..?
> 
> Grüsse
>   Christian


From usenet at schani.com  Tue Apr  1 20:34:37 2014
From: usenet at schani.com (usenet at schani.com)
Date: Tue, 01 Apr 2014 20:34:37 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail Account
Message-ID: <533B06BD.3060502@schani.com>

Ich habe einen dovecot 1.x am laufen, der ca 60 Mailboxen verwaltet.
Soweit läuft Dovcot auf dem Server seit 3 Jahren Problemlos.

Ein User greift über eine langsame Internetverbindung per
Outlook2010/IMAP drauf zu.
In dem Postfach liegen ca. 30TSD Emails in INBOX und noch 15 anderen
Unterordnern.

Seit ein paar Tagen verschwinden Email aus dem Account. Nach längeren
Phase des Versuchs Emails abzugleichen/abzurufen sind plötzlich in der
INBOX nur noch 200 Emails vorhanden. Es werden also Mails auf dem Server
gelöscht. Nach dem Rückspielen des Backups auf dem Server kann man die
Emails sofort im Webmailer wieder aufrufen. Ach von einem anderen
Rechner der vernünftig angebunden ist funktioniert es einwandfrei.

Ich habe bei dem User jetzt mal Thunderbird installiert, da ich denke
das der sich evtl. besser an IMAP hält. Aber auch da gibt es immer
Probleme. Auch schon beim einfachen Abrufen der Header bleibt TB hängen.
Auch frisches Installieren von Thunderbird hilft nicht.

Mit iPhone und Android und langsamen mobilen Verbindungen habe ich mit
dem selben Server aber auch keine Probleme. Es gibt auch Accounts mit
deutlich mehr Emails auf dem Server.

Ist der Account defekt? Ich hab schon mal die index Files gelöscht, die
dovecot dann wieder sauber anlegt.

Was kann ich da tun? Bin schon am verzweifeln. Dauert immer eine Zeit
die Emails wieder zurück zuspielen und alles für ein paar Stunden wieder
für den User sichtbar zu haben. Bis er wieder anruft und sagt das seine
Emails schon wieder weg sind, oder TB nichts neues runter lädt.

Bitte gebt mir einen Tipp

Danke

Christian




From p.heinlein at heinlein-support.de  Tue Apr  1 21:32:31 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 01 Apr 2014 21:32:31 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <533B06BD.3060502@schani.com>
References: <533B06BD.3060502@schani.com>
Message-ID: <533B144F.2010707@heinlein-support.de>

Am 01.04.2014 20:34, schrieb usenet at schani.com:


> Seit ein paar Tagen verschwinden Email aus dem Account. Nach längeren
> Phase des Versuchs Emails abzugleichen/abzurufen sind plötzlich in der
> INBOX nur noch 200 Emails vorhanden. Es werden also Mails auf dem Server

Wann immer es diese Probleme gab, existierte ein POP3-Client, der
irgendwo irgendwie mal eingerichtet mitlief und das Postfach "leerpoppte".

Das wurde stets vehement geleugnet, aber nach einiger Suche fand sich
der immer doch an. Schon fünf mal gehabt.

Ansonsten: Bei Dovecot das "mail_log"-Plugin installieren, dann siehst
Du genau, wer hier wann was löscht. "Verlieren" tut Dovecot nichts.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From usenet at schani.com  Tue Apr  1 21:53:34 2014
From: usenet at schani.com (usenet at schani.com)
Date: Tue, 01 Apr 2014 21:53:34 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <533B144F.2010707@heinlein-support.de>
References: <533B06BD.3060502@schani.com>
 <533B144F.2010707@heinlein-support.de>
Message-ID: <533B193E.7020005@schani.com>

Hallo Peer,
ja ich glaube auch nicht das dovecot was verliert. Dazu habe ich damit
schon zu gute Erfahrung.
Aber kann es sein das bei einer "Session" ein Befehl von TB rausgeht
etwas zu viel zu löschen?

Ich klappere gerade alles an anderen Geräten ab. Ein Samsung Android
greift noch drauf zu, ist aber IMAP.
Ich suche weiter.

Ich mache Backups der Ordnerstrucktur mit rsync. Wenn Emails abgehen
spiele ich die auch mit rsync zurück, bzw ganze OrdnerBäume. Lösche dann
aber die dovecot index Dateien raus.
Benennt dovecot die Emails um? Mir kommt es vor als ob ich dauernd
Emails doppelt zurück kopieren muss.

Wenn ich mir auch nebenbei dann die /var/log/dovecot.log anschauen
bekomme ich auch Hinweise das es doppelte gibt

Apr 01 21:23:58 IMAP(werner.wiesxxx at 3xxxx.de): Warning: Fixed a
duplicate:
/home/mail/consulting/werner.wiesxxx at 3xxxx.de/cur/1337689309.M621780P3425.wwl7.leht.info,S=88037,W=89703:2,S
-> 1396380238.M930415P20401.wwl7.leht.info

Das mit dem mail_log Plug In mache ich gleich

Christian



Am 01.04.2014 21:32, schrieb Peer Heinlein:
> Am 01.04.2014 20:34, schrieb usenet at schani.com:
>
>
>> Seit ein paar Tagen verschwinden Email aus dem Account. Nach längeren
>> Phase des Versuchs Emails abzugleichen/abzurufen sind plötzlich in der
>> INBOX nur noch 200 Emails vorhanden. Es werden also Mails auf dem Server
> Wann immer es diese Probleme gab, existierte ein POP3-Client, der
> irgendwo irgendwie mal eingerichtet mitlief und das Postfach "leerpoppte".
>
> Das wurde stets vehement geleugnet, aber nach einiger Suche fand sich
> der immer doch an. Schon fünf mal gehabt.
>
> Ansonsten: Bei Dovecot das "mail_log"-Plugin installieren, dann siehst
> Du genau, wer hier wann was löscht. "Verlieren" tut Dovecot nichts.
>
> Peer
>
>
>



From p.heinlein at heinlein-support.de  Wed Apr  2 00:15:54 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 02 Apr 2014 00:15:54 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <533B193E.7020005@schani.com>
References: <533B06BD.3060502@schani.com>
 <533B144F.2010707@heinlein-support.de> <533B193E.7020005@schani.com>
Message-ID: <533B3A9A.5070009@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 01.04.2014 21:53, schrieb usenet at schani.com:



- -> 1396380238.M930415P20401.wwl7.leht.info


Ah, jetzt kommt er ja doch noch mit Infos um die Ecke :-)

Ja, so sieht das natürlich deutlich merkwürdiger aus.

Da würde sich jetzt die Frage nach dem Setup stellen:

a) Output von "doveconf -n"
b) Ist hier ein besonderes Dateisystem, insb. NFS im Spiel?
c) Gibt's da vielleicht noch mehr Logfiles?

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTOzqaAAoJEAOLLpq5E82HPo8IAMbftsiqrtDVcPSxZ1bQLDvG
76/aqvjbqubB766F4OMdwlKp225VfC/KXwxPOGtRl3zwteIDOZKHqqj4oJAtNKIe
F8Q9R4V5BAdOkzu2WyFJOhOgorRhtrkYQri/rttjF6UjvqJTAd+r/BRegLG0/DW6
5HwMKvGw5089tJjAKjmimT0pmDIWlMKHQHrlXL1DghcVJeHzGANGCKOVOUnNxy2u
qBiD9Efd+tc4IRGvpFa5mq0sALOxHQ2SGrBDfZ9mDJDeFl2RnJYypAI6NZe9avJv
dmEH+Hqv4uVTRc92YdJLrULl8lE5iqkBQdOlO3dTTWZ5AxkWqCKV+LjKwUOWXcI=
=FBcb
-----END PGP SIGNATURE-----


From usenet at schani.com  Wed Apr  2 01:10:19 2014
From: usenet at schani.com (usenet at schani.com)
Date: Wed, 02 Apr 2014 01:10:19 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <533B3A9A.5070009@heinlein-support.de>
References: <533B06BD.3060502@schani.com>
 <533B144F.2010707@heinlein-support.de> <533B193E.7020005@schani.com>
 <533B3A9A.5070009@heinlein-support.de>
Message-ID: <533B475B.8040404@schani.com>

Hier die Infos die ich noch auftreiben kann:
dovecot 1.2.15

doveconf hab ich nicht - wo bekomme ich das her?
Kann es sein das in meinen Server Mailordner defekte Files sind?
Thunderbird schafft es nicht den gesamten Index aller Mails zu laden. Er
bricht mittendrin immer ab und macht nicht weiter. Nachdem ich dann die
.msf Files lokal in TB lösche kann ich wieder von vorne Anfangen, aber
dann bricht er wieder irgendwann ab. Aber nicht an der selben Stelle. 


Hier die doveconf.conf

root at ww7:/etc/dovecot# cat dovecot.conf
protocols = imap imaps pop3 pop3s

listen = *
mail_access_groups = vmail
mail_debug = yes

log_path = /var/log/dovecot.log

## allow Plaintext Logins from foreign IP if the Connection doesn't use TLS
disable_plaintext_auth = no

### SSL Settings
### After setting this options, set disable_plaintext_auth to yes (see
above)
### and add imaps pop3s to the protocols
ssl_cert_file = /usr/share/assp/certs/mail.leicht.info.crt
ssl_key_file = /usr/share/assp/certs/mail.leicht.info.key.ohnepass
## This is an example with CACerts class3 cert!
#ssl_ca_file = /path/to/cacert.class3.crt
#ssl_cipher_list = ALL:!LOW:!SSLv2
mail_log_max_lines_per_sec = 0

protocol imap {
###      mail_plugins = quota imap_quota
         mail_max_userip_connections = 25
         mail_plugins = mail_log

}

protocol pop3 {
    # leave this uncommented if you are migrating from Courier also see
Migration from Courier
    pop3_uidl_format = UID%u-%v
###    mail_plugins = quota

}
protocol lda {
         # postmaster is the one in charge of the mail system. MUST be
set to a valid address!
    postmaster_address = webmaster at leicht.info
    auth_socket_path = /var/run/dovecot/auth-master
    mail_plugins = quota
    sendmail_path = /usr/sbin/sendmail
}


plugin {
  quota = maildir:User quota
  quota_rule = *:storage=100GB
  # 10% of 1GB = 100MB
  ##quota_rule2 = Trash:storage=10%%
  # 20% of 1GB = 200MB
  ##quota_rule3 = Spam:storage=20%%
      # sieve = /var/customers/sieve/%u/sieve
      # sieve_storage = /var/customers/sieve/%u
}

protocol managesieve {
        listen = 127.0.0.1:2000
        login_executable = /usr/lib/dovecot/managesieve-login
        mail_executable = /usr/lib/dovecot/managesieve
        managesieve_max_line_length = 65536
}

auth default {
    mechanisms = plain login
    passdb sql {
        args = /etc/dovecot/dovecot-sql.conf
    }

userdb prefetch {
    }

userdb sql {
        args = /etc/dovecot/dovecot-sql.conf
    }

    user = vmail
    socket listen {
           # Postfix uses the client socket for SMTP Auth
        client {
            # Assuming the default Postfix $queue_directory setting
            path = /var/spool/postfix/private/auth
            mode = 0660
            # Assuming the default Postfix user and group
            user = postfix
            group = postfix
        }
        # Note that we're setting a master socket. SMTP AUTH for Postfix
and Exim uses client sockets.
        master {
                path = /var/run/dovecot/auth-master
                mode = 0660
                user = vmail
                group = vmail
    }

    }
}



Am 02.04.2014 00:15, schrieb Peer Heinlein:
> Am 01.04.2014 21:53, schrieb usenet at schani.com:
>
>
>
> -> 1396380238.M930415P20401.wwl7.leht.info
>
>
> Ah, jetzt kommt er ja doch noch mit Infos um die Ecke :-)
>
> Ja, so sieht das natürlich deutlich merkwürdiger aus.
>
> Da würde sich jetzt die Frage nach dem Setup stellen:
>
> a) Output von "doveconf -n"
> b) Ist hier ein besonderes Dateisystem, insb. NFS im Spiel?
> c) Gibt's da vielleicht noch mehr Logfiles?
>
> Peer
>
>



From atann at alphasrv.net  Wed Apr  2 08:35:25 2014
From: atann at alphasrv.net (Andre Tann)
Date: Wed, 2 Apr 2014 08:35:25 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <533B475B.8040404@schani.com>
References: <533B06BD.3060502@schani.com>
 <533B144F.2010707@heinlein-support.de> <533B193E.7020005@schani.com>
 <533B3A9A.5070009@heinlein-support.de> <533B475B.8040404@schani.com>
Message-ID: <533BABE7.8090607@alphasrv.net>

Moin,

Am 02.04.2014 01:10, schrieb usenet at schani.com:

> doveconf hab ich nicht - wo bekomme ich das her?
> Kann es sein das in meinen Server Mailordner defekte Files sind?
> Thunderbird schafft es nicht den gesamten Index aller Mails zu laden. Er
> bricht mittendrin immer ab und macht nicht weiter. Nachdem ich dann die
> .msf Files lokal in TB lösche kann ich wieder von vorne Anfangen, aber
> dann bricht er wieder irgendwann ab. Aber nicht an der selben Stelle. 

kann mich erinnern, daß ich sowas auch schon mal hatte. Ist aber drei,
vier Jahre her, deswegen kann ich ich nicht mehr genau erinnern. Die
Symptome waren ähnlich wie bei Dir. Ich hab einiges an Zeit drauf
verwendet, die "schuldige" Mail zu finden, bei der das abbricht, konnte
aber nichts finden.

Letztlich hat mir ein Dovecot-Upgrade geholfen.


Daß die User irgendwelche merkwürdigen Filter am Laufen haben, die Mails
selbständig versenken, hast Du vermutlich schon ausgeschlossen?

Cheers

-- 
Andre Tann



From max at freecards.de  Wed Apr  2 09:06:01 2014
From: max at freecards.de (Markus Heinze)
Date: Wed, 02 Apr 2014 09:06:01 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <533B06BD.3060502@schani.com>
References: <533B06BD.3060502@schani.com>
Message-ID: <9fc82c8b5149d664dc4f3ab872be9129@freecards.de>

Moin moin,

Am 2014-04-01 20:34, schrieb usenet at schani.com:
> Ich habe einen dovecot 1.x am laufen, der ca 60 Mailboxen verwaltet.
> Soweit läuft Dovcot auf dem Server seit 3 Jahren Problemlos.
> 
> Ein User greift über eine langsame Internetverbindung per
> Outlook2010/IMAP drauf zu.
> In dem Postfach liegen ca. 30TSD Emails in INBOX und noch 15 anderen
> Unterordnern.
> 
> Seit ein paar Tagen verschwinden Email aus dem Account. Nach längeren
> Phase des Versuchs Emails abzugleichen/abzurufen sind plötzlich in der
> INBOX nur noch 200 Emails vorhanden. Es werden also Mails auf dem 
> Server
> gelöscht. Nach dem Rückspielen des Backups auf dem Server kann man die
> Emails sofort im Webmailer wieder aufrufen. Ach von einem anderen
> Rechner der vernünftig angebunden ist funktioniert es einwandfrei.
> 
> Ich habe bei dem User jetzt mal Thunderbird installiert, da ich denke
> das der sich evtl. besser an IMAP hält. Aber auch da gibt es immer
> Probleme. Auch schon beim einfachen Abrufen der Header bleibt TB 
> hängen.
> Auch frisches Installieren von Thunderbird hilft nicht.
> 
> Mit iPhone und Android und langsamen mobilen Verbindungen habe ich mit
> dem selben Server aber auch keine Probleme. Es gibt auch Accounts mit
> deutlich mehr Emails auf dem Server.
> 
> Ist der Account defekt? Ich hab schon mal die index Files gelöscht, die
> dovecot dann wieder sauber anlegt.
> 
> Was kann ich da tun? Bin schon am verzweifeln. Dauert immer eine Zeit
> die Emails wieder zurück zuspielen und alles für ein paar Stunden 
> wieder
> für den User sichtbar zu haben. Bis er wieder anruft und sagt das seine
> Emails schon wieder weg sind, oder TB nichts neues runter lädt.
> 
> Bitte gebt mir einen Tipp

Hört sich für mich an, als sei die Auto-Archivierungsfunktion im Outlook 
aktiviert, einfach mal die Einstellungen checken und prüfen ob die 
verschwundenen Mails im Archiv.pst liegen

> 
> Danke
> 
> Christian

lg max


From usenet at schani.com  Wed Apr  2 14:57:56 2014
From: usenet at schani.com (usenet at schani.com)
Date: Wed, 02 Apr 2014 14:57:56 +0200
Subject: [Postfixbuch-users] Undefinierbares Problem mit einem Mail
	Account
In-Reply-To: <9fc82c8b5149d664dc4f3ab872be9129@freecards.de>
References: <533B06BD.3060502@schani.com>
 <9fc82c8b5149d664dc4f3ab872be9129@freecards.de>
Message-ID: <533C0954.7090607@schani.com>

Hallo zusammen,

ich habe heut eine Nachtschicht eingelegt und den Email Account noch mal
komplett angelegt.
Alle alten Daten weg, den Account gelöscht, Verzeichnisse gelöscht und
alles neu angelegt. Clientseitig noch mal TB neu installiert. Dann die
alte Ordnerstuktur mittels TB angelegt und auf dem Server per Hand nur
die alten Emails wieder in die Verzeichnisse geschoben.
Dann erst den Thunderbird mal wieder drauf zugreifen lassen. Und bis
jetzt läuft es soweit.
Sind jetzt so ca. 40GB an Emails. Einiges ist noch doppelt, die ich
jetzt per TB AddOn raussuchen werde.

Ich hab gestern noch den dovecot auf debug umgestellt, wobei ich nun
alle paar Stunden folgende Emails ohne Subject, Absender oder Empfänger
bekomme (pro Email 12MB):

Was will mir Dovecot damit sagen? Was wird hier angezeigt? Kann ich was
daraus ersehen?
Hier der Inhalt

      32.77K   4%    0.00kB/s    0:00:00  
     776.23K 100%    5.72MB/s    0:00:00 (xfer#1, to-check=5021/5034)
consulting/werner.wiesmeier at 3wconsulting.de/dovecot.index

      32.77K  15%  242.42kB/s    0:00:00  
     208.60K 100%    1.21MB/s    0:00:00 (xfer#2, to-check=5012/5034)
consulting/werner.wiesmeier at 3wconsulting.de/dovecot.index.cache

      32.77K   0%  182.86kB/s    0:01:00  
       8.44M  76%    8.05MB/s    0:00:00  
      11.10M 100%    8.75MB/s    0:00:01 (xfer#3, to-check=5011/5034)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/dovecot-keywords

          17 100%    0.08kB/s    0:00:00  
          17 100%    0.08kB/s    0:00:00 (xfer#4, to-check=4857/5034)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/dovecot-uidlist

         700   3%    3.24kB/s    0:00:06  
      20.20K 100%   93.03kB/s    0:00:00 (xfer#5, to-check=4856/5034)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/dovecot.index

       7.62K 100%   34.79kB/s    0:00:00  
       7.62K 100%   34.79kB/s    0:00:00 (xfer#6, to-check=4855/5034)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/dovecot.index.cache

      18.02K   6%   80.01kB/s    0:00:03  
     292.86K 100%    1.17MB/s    0:00:00 (xfer#7, to-check=4854/5034)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/cur/
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/cur/1348725962.M82785P3357.wwl7.leicht.info,W=7766,S=7560:2,

       7.56K 100%    0.00kB/s    0:00:00  
       7.56K 100%    0.00kB/s    0:00:00 (xfer#8, to-check=26988/27200)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/cur/1348725972.M409217P3357.wwl7.leicht.info,W=3380533,S=3337095:2,

      32.77K   0%    5.21MB/s    0:00:00  
     622.59K  18%  581.26kB/s    0:00:04  
     950.27K  28%  442.33kB/s    0:00:05  
       1.15M  34%  312.06kB/s    0:00:07  
       2.10M  62%  433.44kB/s    0:00:02  
       2.65M  79%  419.98kB/s    0:00:01  
       3.08M  92%  440.21kB/s    0:00:00  
       3.34M 100%  443.57kB/s    0:00:07 (xfer#9, to-check=26986/27200)
consulting/werner.wiesmeier at 3wconsulting.de/.Gel&APY-schte Elemente/cur/1348726171.M65485P3357.wwl7.leicht.info,W=5853,S=5742:2,a

und tausende weitere solche Zeilen

Christian

Am 02.04.2014 09:06, schrieb Markus Heinze:
> Moin moin,
>
> Am 2014-04-01 20:34, schrieb usenet at schani.com:
>> Ich habe einen dovecot 1.x am laufen, der ca 60 Mailboxen verwaltet.
>> Soweit läuft Dovcot auf dem Server seit 3 Jahren Problemlos.
>>
>> Ein User greift über eine langsame Internetverbindung per
>> Outlook2010/IMAP drauf zu.
>> In dem Postfach liegen ca. 30TSD Emails in INBOX und noch 15 anderen
>> Unterordnern.
>>
>> Seit ein paar Tagen verschwinden Email aus dem Account. Nach längeren
>> Phase des Versuchs Emails abzugleichen/abzurufen sind plötzlich in der
>> INBOX nur noch 200 Emails vorhanden. Es werden also Mails auf dem Server
>> gelöscht. Nach dem Rückspielen des Backups auf dem Server kann man die
>> Emails sofort im Webmailer wieder aufrufen. Ach von einem anderen
>> Rechner der vernünftig angebunden ist funktioniert es einwandfrei.
>>
>> Ich habe bei dem User jetzt mal Thunderbird installiert, da ich denke
>> das der sich evtl. besser an IMAP hält. Aber auch da gibt es immer
>> Probleme. Auch schon beim einfachen Abrufen der Header bleibt TB hängen.
>> Auch frisches Installieren von Thunderbird hilft nicht.
>>
>> Mit iPhone und Android und langsamen mobilen Verbindungen habe ich mit
>> dem selben Server aber auch keine Probleme. Es gibt auch Accounts mit
>> deutlich mehr Emails auf dem Server.
>>
>> Ist der Account defekt? Ich hab schon mal die index Files gelöscht, die
>> dovecot dann wieder sauber anlegt.
>>
>> Was kann ich da tun? Bin schon am verzweifeln. Dauert immer eine Zeit
>> die Emails wieder zurück zuspielen und alles für ein paar Stunden wieder
>> für den User sichtbar zu haben. Bis er wieder anruft und sagt das seine
>> Emails schon wieder weg sind, oder TB nichts neues runter lädt.
>>
>> Bitte gebt mir einen Tipp
>
> Hört sich für mich an, als sei die Auto-Archivierungsfunktion im
> Outlook aktiviert, einfach mal die Einstellungen checken und prüfen ob
> die verschwundenen Mails im Archiv.pst liegen
>
>>
>> Danke
>>
>> Christian
>
> lg max



From jk at jkart.de  Wed Apr  2 15:51:02 2014
From: jk at jkart.de (Jim Knuth)
Date: Wed, 02 Apr 2014 15:51:02 +0200
Subject: [Postfixbuch-users] Postfix/Dovecot zwangsweise auf TLS umstellen
Message-ID: <533C15C6.8010507@jkart.de>

Hallo Gemeinde,

ich habe vor, zwangsweise auf die Benutzung von TLS,
bzw. SSL umzustellen. Ausserdem möchte ich nur den
Submission Port zum Senden zulassen. Hat jemand einen
Link (oder Bsp. Config) für mich, wo ich das nachvollziehen
könnte? Speziell für diese Aufgabe kann ich leider im Netz
nix finden. Danke.

-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth


From p at sys4.de  Wed Apr  2 16:04:31 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Wed, 2 Apr 2014 16:04:31 +0200
Subject: [Postfixbuch-users] Postfix/Dovecot zwangsweise auf TLS
	umstellen
In-Reply-To: <533C15C6.8010507@jkart.de>
References: <533C15C6.8010507@jkart.de>
Message-ID: <20140402140430.GA31659@sys4.de>

* Jim Knuth <postfixbuch-users at listen.jpberlin.de>:
> Hallo Gemeinde,
> 
> ich habe vor, zwangsweise auf die Benutzung von TLS,
> bzw. SSL umzustellen. Ausserdem möchte ich nur den
> Submission Port zum Senden zulassen. Hat jemand einen
> Link (oder Bsp. Config) für mich, wo ich das nachvollziehen
> könnte? Speziell für diese Aufgabe kann ich leider im Netz
> nix finden. Danke.

Beachte folgendes:

- Auf Port 25 ist das bei einem im DNS referenzierten MX-Host nicht gestattet
- Auf Port 587 kannst Du TLS erzwingen
- Auf Port 143 ebenso

Das TLS_README von Postfix hält wohl das nötigste bereit. Info zu Perfect
Forward Secrecy findest Du hier:

<https://sys4.de/de/blog/2013/08/14/postfix-tls-forward-secrecy/>
<https://sys4.de/en/blog/2013/08/15/dovecot-tls-perfect-forward-secrecy/>



> 
> -- 
> Mit freundlichen Grüßen,
> with kind regards,
> Jim Knuth
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From markus at hohlmeier.de  Wed Apr  2 16:00:39 2014
From: markus at hohlmeier.de (Markus Hohlmeier)
Date: Wed, 02 Apr 2014 16:00:39 +0200
Subject: [Postfixbuch-users] Postfix/Dovecot zwangsweise auf TLS
	umstellen
In-Reply-To: <533C15C6.8010507@jkart.de>
References: <533C15C6.8010507@jkart.de>
Message-ID: <533C1807.3090106@hohlmeier.de>

Servus,

Am 02.04.2014 15:51, schrieb Jim Knuth:
> ich habe vor, zwangsweise auf die Benutzung von TLS,
> bzw. SSL umzustellen. Ausserdem möchte ich nur den
> Submission Port zum Senden zulassen. Hat jemand einen
> Link (oder Bsp. Config) für mich, wo ich das nachvollziehen
> könnte? Speziell für diese Aufgabe kann ich leider im Netz
> nix finden. Danke.
>
Beim Versand und Empfang über andere Server wäre ich persönlich aber 
eher vorsichtig, denn einige machen da sicherlich nicht mit.

1. http://www.postfix.org/postconf.5.html#smtpd_tls_security_level --> 
encrypt
2. alle Sachen rund um SASL aus den smtp_restrictions raus bzw. nur bei 
Submission drin lassen

Und damit sollte es das auch schon gewesen sein wenn ich mich grad nicht 
irre.


Markus


From Marc.Grooz at regioit.de  Wed Apr  2 16:58:25 2014
From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT))
Date: Wed, 2 Apr 2014 14:58:25 +0000
Subject: [Postfixbuch-users] Postfix smtpd_proxy_filter tls/ssl
Message-ID: <243016E7989B3045AA79AADDA1830825476BC156@srv02029.Admin.local>

Hallo Ihr,

ist jemand bekannt wie man Postfix dazu überredet bei einer smtpd_proxy_filter Verbindung TLS zu sprechen?

In meinem Fall zwischen Postfix und Amavis. Generell nutzt der Postfix tls/ssl auch schon beim empfangen und versenden, nur nicht bei der Proxyfilter Verbindung.

Vielen Dank.

Gruß Marc


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140402/3a626d03/attachment.htm>

From p at sys4.de  Wed Apr  2 17:26:46 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Wed, 2 Apr 2014 17:26:46 +0200
Subject: [Postfixbuch-users] Postfix smtpd_proxy_filter tls/ssl
In-Reply-To: <243016E7989B3045AA79AADDA1830825476BC156@srv02029.Admin.local>
References: <243016E7989B3045AA79AADDA1830825476BC156@srv02029.Admin.local>
Message-ID: <20140402152645.GD31659@sys4.de>

* Grooz, Marc (regio iT) <postfixbuch-users at listen.jpberlin.de>:
> ist jemand bekannt wie man Postfix dazu überredet bei einer
> smtpd_proxy_filter Verbindung TLS zu sprechen?
> 
> In meinem Fall zwischen Postfix und Amavis. Generell nutzt der Postfix
> tls/ssl auch schon beim empfangen und versenden, nur nicht bei der
> Proxyfilter Verbindung.

Amavis kann TLS anbieten:

  $tls_security_level_in  = undef;  # undef, 'may', 'encrypt', ...
  $smtpd_tls_cert_file = undef;  # e.g. "$MYHOME/cert/amavisd-cert.pem"
  $smtpd_tls_key_file  = undef;  # e.g. "$MYHOME/cert/amavisd-key.pem"

Ob Postfix das dann nutzt, kann ich Dir nicht sagen. Alternativ kannst Du
anstatt smtpd_proxy_filter auch die MILTER-Schnittstelle verwenden.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From postfixer99 at gmail.com  Thu Apr  3 12:27:50 2014
From: postfixer99 at gmail.com (Carsten)
Date: Thu, 03 Apr 2014 12:27:50 +0200
Subject: [Postfixbuch-users] RBL-Liste DSBL existiert nicht mehr
	(dnsbl.njabl.org)
Message-ID: <533D37A6.2070608@gmail.com>

Es ist  zwar schon seit längerer Zeit der Fall, aber für Eure Chekliste, 
da es mir gerade wieder beim Lesen der 3. Auflage aufgefallen ist.

RBL-Liste DSBL existiert nicht mehr (dnsbl.njabl.org)

Im Buch ist es noch auf den Seiten 262, 212, 227, 232  in den Beispielen 
enthalten.


Gruß

Carsten




From django at nausch.org  Sat Apr  5 10:27:51 2014
From: django at nausch.org (Django)
Date: Sat, 05 Apr 2014 10:27:51 +0200
Subject: [Postfixbuch-users] Postfix smtpd_proxy_filter tls/ssl
In-Reply-To: <20140402152645.GD31659@sys4.de>
References: <243016E7989B3045AA79AADDA1830825476BC156@srv02029.Admin.local>
 <20140402152645.GD31659@sys4.de>
Message-ID: <4016962.H1yaOjCLKH@localhost.localdomain>

Griasde Patrick!

Am Mittwoch, 2. April 2014, 17:26:46 schrieb Patrick Ben Koetter:

> Alternativ kannst Du
> anstatt smtpd_proxy_filter auch die MILTER-Schnittstelle verwenden.

ja aber die Kommunikation zwischen Milter-Port und AMaVis, oder genauer gesagt 
zwischen Postfix und Milter-Port ist da ja auch nicht verschlüsselt, oder?

Die komplette Mail mit allen Headern geht doch bei der amavisd-milter 
Geschichte über diesen Weg/Port zum AMaVis und ein O.K. oder N.O.K., oder bin 
ich da auf dem Holzweg?


Servus
Django


From p at sys4.de  Sat Apr  5 12:56:31 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Sat, 5 Apr 2014 12:56:31 +0200
Subject: [Postfixbuch-users] Postfix smtpd_proxy_filter tls/ssl
In-Reply-To: <4016962.H1yaOjCLKH@localhost.localdomain>
References: <243016E7989B3045AA79AADDA1830825476BC156@srv02029.Admin.local>
 <20140402152645.GD31659@sys4.de>
 <4016962.H1yaOjCLKH@localhost.localdomain>
Message-ID: <20140405105630.GA593@sys4.de>

* Django <postfixbuch-users at listen.jpberlin.de>:
> Griasde Patrick!
> 
> Am Mittwoch, 2. April 2014, 17:26:46 schrieb Patrick Ben Koetter:
> 
> > Alternativ kannst Du
> > anstatt smtpd_proxy_filter auch die MILTER-Schnittstelle verwenden.
> 
> ja aber die Kommunikation zwischen Milter-Port und AMaVis, oder genauer gesagt 
> zwischen Postfix und Milter-Port ist da ja auch nicht verschlüsselt, oder?
> 
> Die komplette Mail mit allen Headern geht doch bei der amavisd-milter 
> Geschichte über diesen Weg/Port zum AMaVis und ein O.K. oder N.O.K., oder bin 
> ich da auf dem Holzweg?

Die Kommunikation ist per default nicht verschlüsselt. In der Regel findet sie
über einen UNIX-Domain-Socket statt. Denn kannst Du restriktiv mit r/w-perms
und ownership ausstatten. Wenn Du einen TCP-Socket nutzt, das geht mit Milter
auch, dann kannst du stunnel verwenden.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From igor.sverkos at googlemail.com  Mon Apr  7 03:18:34 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 7 Apr 2014 03:18:34 +0200
Subject: [Postfixbuch-users] Nur freigegebene Absender-Domains auf Relayhost
	zulassen
Message-ID: <CAAyQC42bdrE3xp76VLrsA5PDaMiMG=56J9Ed3g_m9tx1Zcw5Mw@mail.gmail.com>

Hallo,

ich würde gerne einen nur intern erreichbaren Relay-Server dahingehend
einschränken, dass er nur dann Mails entgegenimmt und sie rausführt,
wenn die Sender-Domain stimmt. Also quasi eine Whitelist für zulässige
Sender-Domains.

Hintergrund: Ein Netzwerk mit >40 App-Servern. Auf den Servern laufen
soweit Null-Mailer die alles über einen zentralen Relay-Server
rausleiten. Das läuft eigentlich alles unter spezifizierten Adressen
(also eigentlich dürften nur Mails mit @example.org oder @example.com
rausgehen). Sollte da mal etwas anderes dabei sein, dann handelt es
sich mit großer Sicherheit um einen Fehler (evtl. gar ein
kompromittierter Server). Wenn der Relay-Server diese Mail dann
ablehnen würde, hätten wir etwas im Log was hoffentlich beim
Monitoring auffällt und vor allem ist kein Schaden angerichtet, da
eben keine Mail rausging.

Ich habe an

smtpd_recipient_restrictions =
    check_sender_access hash:/etc/postfix/allowed_sender_domains

gedacht, stehe aber gerade vor dem Problem, dass mir hier ein Default
"REJECT" fehlt. Muss ich das per RegExp lösen, so in der Form
(ungetestet)

/^(.+)@example\.org$/ OK
/^(.+)@example\.com$/ OK
/^(.+)@(.+)$/ REJECT

oder gibt es da noch einen eleganteren Weg?


-- 
Ich Grüße,
Igor


From beat at juckers.ch  Mon Apr  7 08:13:30 2014
From: beat at juckers.ch (Beat Jucker)
Date: Mon, 07 Apr 2014 08:13:30 +0200
Subject: [Postfixbuch-users] Nur freigegebene Absender-Domains auf
 Relayhost zulassen
In-Reply-To: <CAAyQC42bdrE3xp76VLrsA5PDaMiMG=56J9Ed3g_m9tx1Zcw5Mw@mail.gmail.com>
References: <CAAyQC42bdrE3xp76VLrsA5PDaMiMG=56J9Ed3g_m9tx1Zcw5Mw@mail.gmail.com>
Message-ID: <5342420A.8000604@juckers.ch>

Am 07.04.2014 03:18, schrieb Igor Sverkos:
> Ich habe an
>
> smtpd_recipient_restrictions =
>      check_sender_access hash:/etc/postfix/allowed_sender_domains
>
> gedacht, stehe aber gerade vor dem Problem, dass mir hier ein Default
> "REJECT" fehlt. Muss ich das per RegExp lösen, so in der Form
> (ungetestet)

direkt am Schluss in den SMTPD Restrictions:

smtpd_recipient_restrictions =
     check_sender_access hash:/etc/postfix/allowed_sender_domains
     reject

Gruss
-- Beat


From hajo.locke at gmx.de  Mon Apr  7 08:52:07 2014
From: hajo.locke at gmx.de (Hajo Locke)
Date: Mon, 7 Apr 2014 08:52:07 +0200
Subject: [Postfixbuch-users] Nur freigegebene Absender-Domains auf
	Relayhostzulassen
References: <CAAyQC42bdrE3xp76VLrsA5PDaMiMG=56J9Ed3g_m9tx1Zcw5Mw@mail.gmail.com>
Message-ID: <E018CF881EB24A41B6F67C330FDE433D@ai.local>

Hallo,

das müsste doch sowas sein:
http://arschkrebs.de/postfix/postfix_valid_sender.shtml


>>ich würde gerne einen nur intern erreichbaren Relay-Server dahingehend
>>einschränken, dass er nur dann Mails entgegenimmt und sie rausführt,
>>wenn die Sender-Domain stimmt. Also quasi eine Whitelist für zulässige
>>Sender-Domains.

Hans 



From igor.sverkos at googlemail.com  Mon Apr  7 14:44:21 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 7 Apr 2014 14:44:21 +0200
Subject: [Postfixbuch-users] Nur freigegebene Absender-Domains auf
	Relayhostzulassen
In-Reply-To: <E018CF881EB24A41B6F67C330FDE433D@ai.local>
References: <CAAyQC42bdrE3xp76VLrsA5PDaMiMG=56J9Ed3g_m9tx1Zcw5Mw@mail.gmail.com>
 <E018CF881EB24A41B6F67C330FDE433D@ai.local>
Message-ID: <CAAyQC41jfhkuwgxRFAZGrGTFcP3wk=6XBeGP==+R0MD9+EnpbQ@mail.gmail.com>

Danke euch beiden. Ich habe mich für den Weg den Beat vorgeschlagen
hat entschieden.

Allerdings führt das zu einem neuen Problem, dass ich aber in einem
gesonderten Mail erläutern werde. Danke soweit!


-- 
Ich Grüße,
Igor


From igor.sverkos at googlemail.com  Mon Apr  7 15:00:42 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 7 Apr 2014 15:00:42 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Bounces_von_Null-Clients_unterdr?=
	=?utf-8?q?=C3=BCcken/umleiten=3F?=
Message-ID: <CAAyQC43mqz6THPZA8bpnN+2++htdjnOYVMQpNg-wP=YMejjZmw@mail.gmail.com>

Hallo,

ich hatte ja heute bereits das Thema "Nur freigegebene
Absender-Domains auf Relayhost zulassen" erstellt (dort habe ich auch
erläutert, was die eigentliche Absicht ist), Das klappt prinzipiell
auch. Hat mir aber ein Problem vor Augen geführt:

Angenommen der Relayserver prüft nun die Sender-Adresse (in meinem
Beispiel lässt er also nur Mails durch, die von @example.org oder
@example.com kommen), dann würde - wenn jetzt bspw. über einen
kompromittierten/falsch konfigurierten Server eine Mail mit dem Sender
fake at gibt-es-nicht.tld eingekippt werden würde, der Relayserver die
Mail ablehnen, der Null-Client daraufhin aber eine Bounce-Meldung
adressiert an fake at gibt-es-nicht.tld generieren, die wiederum vom
Relayserver weitergereicht werden würde. Kurz um: Ich würde den
Adressaten der nicht-legitimen Nachricht schützen, aber womöglich den
gefälschten Absender mit Bounces belästigen. Nicht gut.

Ich weiß aber aktuell nicht, was ich hier tun sollte.

"<>" beim Relay-Server nicht zulassen? Dann würde die Bounce-Meldung
beim Relayserver abgelehnt werden und daraufhin dann beim Null-Client
aus der Queue verschwinden. Irgendwie gefällt mir das aber nicht, weil
die Generierung der unnötigen Bounce-Meldung für mich sinnfrei
erscheint.

Mir fällt zwar aktuell kein Beispiel ein, indem ein Null-Client eine
Bounce-Meldung erzeugen sollte, insofern die Frage ob ich das gleich
unterdrücken kann, aber wer weiß, prinzipiell würde ich davon schon
gerne Kenntnis erlangen, daher die Idee diese unerwarteten Rückläufer
an eine Admin-Adresse umzuleiten.

Alles Quark? Wie handelt ihr Null-Clients und Bounces?


-- 
Ich Grüße,
Igor


From christian.garling at cg-networks.de  Mon Apr  7 21:48:27 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Mon, 07 Apr 2014 21:48:27 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?Woher_aktuelle_Postfix_RPMs_f?=
	=?iso-8859-1?q?=FCr_CentOS_6=3F?=
In-Reply-To: <CAAyQC43mqz6THPZA8bpnN+2++htdjnOYVMQpNg-wP=YMejjZmw@mail.gmail.com>
References: <CAAyQC43mqz6THPZA8bpnN+2++htdjnOYVMQpNg-wP=YMejjZmw@mail.gmail.com>
Message-ID: <5343010B.2070301@cg-networks.de>

Hallo zusammen,

der Titel sagt es ja schon. Gibt es ein verlässliches Repo um aktuelle 
Postfix RPMs zu beziehen? Ähnlich ATRPMS für aktuelle Dovecot RPMs?

Gruß, Christian


From django at nausch.org  Mon Apr  7 22:42:14 2014
From: django at nausch.org (django at nausch.org)
Date: Mon, 07 Apr 2014 22:42:14 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Woher_aktuelle_Postfix_RPMs_f=C3=BC?=
 =?utf-8?q?r_CentOS_6=3F?=
In-Reply-To: <5343010B.2070301@cg-networks.de>
References: <CAAyQC43mqz6THPZA8bpnN+2++htdjnOYVMQpNg-wP=YMejjZmw@mail.gmail.com>
 <5343010B.2070301@cg-networks.de>
Message-ID: <20140407224214.Horde.rvtxR7Dch3mF1oK1wInfUw1@xn--bro-hoa.nausch.org>

HI Christian!

Am Montag, 7. April 2014, 21:48:27 schrieb Christian Garling:

> der Titel sagt es ja schon. Gibt es ein verlässliches Repo um aktuelle
> Postfix RPMs zu beziehen? Ähnlich ATRPMS für aktuelle Dovecot RPMs?

Also ich nehm die von IMT-Systems GmbH her:
http://dokuwiki.nausch.org/doku.php/centos:mail_c6:mta_14#postfix


Servus
Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: Digitale PGP-Signatur
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140407/bd894f20/attachment.sig>

From christian.garling at cg-networks.de  Tue Apr  8 15:33:27 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Tue, 08 Apr 2014 15:33:27 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Woher_aktuelle_Postfix_RPMs_f?=
 =?iso-8859-1?q?=FCr_CentOS_6=3F?=
In-Reply-To: <20140407224214.Horde.rvtxR7Dch3mF1oK1wInfUw1@xn--bro-hoa.nausch.org>
References: <CAAyQC43mqz6THPZA8bpnN+2++htdjnOYVMQpNg-wP=YMejjZmw@mail.gmail.com>
 <5343010B.2070301@cg-networks.de>
 <20140407224214.Horde.rvtxR7Dch3mF1oK1wInfUw1@xn--bro-hoa.nausch.org>
Message-ID: <5343FAA7.5020606@cg-networks.de>

Hallo Django,

mir wäre ein einbindbares Repo am liebsten, damit ich über diesen Weg 
später auch einfach updaten kann.

Gruß, Christian


Am 07.04.2014 22:42, schrieb django at nausch.org:
> HI Christian!
>
> Am Montag, 7. April 2014, 21:48:27 schrieb Christian Garling:
>
>> der Titel sagt es ja schon. Gibt es ein verlässliches Repo um aktuelle
>> Postfix RPMs zu beziehen? Ähnlich ATRPMS für aktuelle Dovecot RPMs?
>
> Also ich nehm die von IMT-Systems GmbH her:
> http://dokuwiki.nausch.org/doku.php/centos:mail_c6:mta_14#postfix
>
>
> Servus
> Django
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140408/2c6020dc/attachment.htm>

From django at nausch.org  Tue Apr  8 16:00:40 2014
From: django at nausch.org (Django aka Bastard Operator from Hell [BOfH])
Date: Tue, 8 Apr 2014 16:00:40 +0200 (CEST)
Subject: [Postfixbuch-users]
 =?utf-8?q?Woher_aktuelle_Postfix_RPMs_f=C3=BC?=
 =?utf-8?q?r_CentOS_6=3F?=
In-Reply-To: <5343FAA7.5020606@cg-networks.de>
References: <CAAyQC43mqz6THPZA8bpnN+2++htdjnOYVMQpNg-wP=YMejjZmw@mail.gmail.com>
 <5343010B.2070301@cg-networks.de>
 <20140407224214.Horde.rvtxR7Dch3mF1oK1wInfUw1@xn--bro-hoa.nausch.org>
 <5343FAA7.5020606@cg-networks.de>
Message-ID: <41ebafa0.kqhkiG.14541a408f1@nausch.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Hi,

> mir wäre ein einbindbares Repo am liebsten, damit ich über diesen Weg
> später auch einfach updaten kann.

Updaten kannst Du auch so einfach via yum localupdate. Aber sonst kann ich Dir nix aktuelleres anbieten.


Cu
Django
- --
Django aka Bastard Operator from Hell [BOfH]
- -----------------
sent with R2Mail2
-----BEGIN PGP SIGNATURE-----
Version: BCPG v1.47
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=f/mZ
-----END PGP SIGNATURE-----


From beat at juckers.ch  Tue Apr  8 18:33:23 2014
From: beat at juckers.ch (Beat Jucker)
Date: Tue, 08 Apr 2014 18:33:23 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?Sicherheitsproblem_in_OpenSSL?=
	=?iso-8859-15?q?_Verschl=FCsselung?=
Message-ID: <534424D3.5090609@juckers.ch>

Dürfte sicher auch in dieser Diskussionsrunde von Interesse sein:

Wer mit OpenSSL Verschlüsselung (SSL/TLS) arbeitet, fühlt sich leider in 
falscher Sicherheit ... bei OpenSSL Version 1.0.1 and 1.0.2 kann der 
private Schlüssel gelesen werden, *OHNE* dass dies bemerkt wird 
(hinterlässt keine Spuren)! Details siehe http://heartbleed.com/

Dieser Bug wurde gestern entdeckt und auch bereits geflickt 
(openssl-1.0.1g). Jetzt müssen nur noch die entsprechenden OpenSSL 
Versionen ausgetauscht werden, was sicher länger dauern wird.

Betroffen sind zum Beispiel viele Web- und Email-Services wie HTTPS, 
SMTPS, IMAPS, etc

-------------------------------------------------------------
OpenSSL Security Advisory [07 Apr 2014]: TLS heartbeat read overrun 
(CVE-2014-0160)

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl at chromium.org> and Bodo Moeller <bmoeller at acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.
-------------------------------------------------------------

Gruss
-- Beat


From p.heinlein at heinlein-support.de  Tue Apr  8 18:52:16 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 08 Apr 2014 18:52:16 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <534424D3.5090609@juckers.ch>
References: <534424D3.5090609@juckers.ch>
Message-ID: <53442940.9010309@heinlein-support.de>

Am 08.04.2014 18:33, schrieb Beat Jucker:

> Dieser Bug wurde gestern entdeckt und auch bereits geflickt
> (openssl-1.0.1g). Jetzt müssen nur noch die entsprechenden OpenSSL
> Versionen ausgetauscht werden, was sicher länger dauern wird.

Alle üblichen Distributionen haben heute Vormittag neue Releases
veröffentlicht. Ein einfaches Update reicht.

Peer




-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From christian at bricart.de  Tue Apr  8 19:07:49 2014
From: christian at bricart.de (Christian Bricart)
Date: Tue, 08 Apr 2014 19:07:49 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <53442940.9010309@heinlein-support.de>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
Message-ID: <53442CE5.3050103@bricart.de>

Am 08.04.2014 18:52, schrieb Peer Heinlein:
> Am 08.04.2014 18:33, schrieb Beat Jucker:
> 
>> Dieser Bug wurde gestern entdeckt und auch bereits geflickt
>> (openssl-1.0.1g). Jetzt müssen nur noch die entsprechenden OpenSSL
>> Versionen ausgetauscht werden, was sicher länger dauern wird.
> 
> Alle üblichen Distributionen haben heute Vormittag neue Releases
> veröffentlicht. Ein einfaches Update reicht.

...und natürlich das Neustarten der laufenden Prozesse, die die alte -
jetzt ersetzte - Version der Library beim Starten geladen haben und den
kaputten Code *immer noch* weiterverwenden... (die meisten Paketmanager
kümmern sich darum nämlich nicht..)

Christian




From mail at arnoldbechtoldt.com  Tue Apr  8 18:59:54 2014
From: mail at arnoldbechtoldt.com (Arnold Bechtoldt)
Date: Tue, 08 Apr 2014 18:59:54 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <53442940.9010309@heinlein-support.de>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
Message-ID: <53442B0A.7000702@arnoldbechtoldt.com>

Installation des OpenSSL-Updates und Neustart aller Applikationen die
OpenSSL dynamisch gelinkt haben.

Debian startet mit der neuesten Version nach einem Update heute einige
Dienste neu um es den Admins [etwas] einfacher zu machen.
Bei RHEL (und AFAIR CentOS) war das heute Morgen nicht der Fall.

-- 
Arnold Bechtoldt

Karlsruhe, Germany

On 08.04.14 18:52, Peer Heinlein wrote:
> Am 08.04.2014 18:33, schrieb Beat Jucker:
> 
>> Dieser Bug wurde gestern entdeckt und auch bereits geflickt
>> (openssl-1.0.1g). Jetzt müssen nur noch die entsprechenden OpenSSL
>> Versionen ausgetauscht werden, was sicher länger dauern wird.
> 
> Alle üblichen Distributionen haben heute Vormittag neue Releases
> veröffentlicht. Ein einfaches Update reicht.
> 
> Peer
> 
> 
> 
> 
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : 0xE2356889.asc
Dateityp    : application/pgp-keys
Dateigröße  : 3134 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140408/30e25319/attachment.skr>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140408/30e25319/attachment.asc>

From beat at juckers.ch  Tue Apr  8 19:18:29 2014
From: beat at juckers.ch (Beat Jucker)
Date: Tue, 08 Apr 2014 19:18:29 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <53442940.9010309@heinlein-support.de>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
Message-ID: <53442F65.8010205@juckers.ch>

Am 08.04.2014 18:52, schrieb Peer Heinlein:
>> Dieser Bug wurde gestern entdeckt und auch bereits geflickt
>> >(openssl-1.0.1g). Jetzt müssen nur noch die entsprechenden OpenSSL
>> >Versionen ausgetauscht werden, was sicher länger dauern wird.
> Alle üblichen Distributionen haben heute Vormittag neue Releases
> veröffentlicht. Ein einfaches Update reicht.

Was meinst du mit "üblichen Distributionen"? Ich habe zB auf einem Linux 
vServer (Debian 7.4 wheezy) fogende Befehle ausgeführt

     $ apt-get update
     $ apt-get upgrade

Je nachdem, wie die verfügbaren Pakete in /etc/apt/sources.list 
konfiguriert sind, hat man nicht unbedingt Erfolg. Bei mir scheint die 
OpenSSL Version nach dem Upgrade nicht auf dem neusten Stand zu sein:

     $ openssl version
     OpenSSL 1.0.1e 11 Feb 2013

Was sollte ich in /etc/apt/sources.list ändern?

$ cat /etc/apt/sources.list
deb http://ftp.hosteurope.de/mirror/ftp.debian.org/debian stable main 
contrib non-free
deb-src http://ftp.hosteurope.de/mirror/ftp.debian.org/debian stable 
main contrib non-free

deb http://ftp.hosteurope.de/mirror/ftp.debian.org/debian wheezy-updates 
main contrib non-free
deb-src http://ftp.hosteurope.de/mirror/ftp.debian.org/debian 
wheezy-updates main contrib non-free

deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free

Danke
-- Beat



From max at grobecker-wtal.de  Tue Apr  8 19:29:36 2014
From: max at grobecker-wtal.de (Maximilian Grobecker)
Date: Tue, 08 Apr 2014 19:29:36 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <53442F65.8010205@juckers.ch>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de> <53442F65.8010205@juckers.ch>
Message-ID: <53443200.8020602@grobecker-wtal.de>

Moin,


Am 08.04.2014 19:18, schrieb Beat Jucker:

> Je nachdem, wie die verfügbaren Pakete in /etc/apt/sources.list
> konfiguriert sind, hat man nicht unbedingt Erfolg. Bei mir scheint die
> OpenSSL Version nach dem Upgrade nicht auf dem neusten Stand zu sein:
> 
>     $ openssl version
>     OpenSSL 1.0.1e 11 Feb 2013
> 
> Was sollte ich in /etc/apt/sources.list ändern?


das liegt an der Versionsnummer-Politik der (sorry) Debian-Spinner.
Versionsnummern ändern sich innerhalb einer Distribution nie, obwohl der
Code gepatched wurde, Features hinzugefügt wurden etc...

Mach mal ein

 dpkg --list | grep "openssl"

und vergleiche die angezeigte installierte Version mit dieser
formschönen Seite:

https://security-tracker.debian.org/tracker/CVE-2014-0160


Wenn du also dort "1.0.1e+deb7u6" angezeigt bekommst, hast du die neue
Version ohne Sicherheitslücke installiert.




Viele Grüße aus dem Tal
 Max


From igor.sverkos at googlemail.com  Tue Apr  8 19:35:25 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Tue, 8 Apr 2014 19:35:25 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
	=?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <53442940.9010309@heinlein-support.de>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
Message-ID: <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>

Am 8. April 2014 18:52 schrieb Peer Heinlein

> Alle üblichen Distributionen haben heute Vormittag neue Releases
> veröffentlicht. Ein einfaches Update reicht.

Gewagte Aussage. Auf betroffenen Systemen (alle anderen müssen ja auch
gar nicht aktualisieren) sollten auch die verwendeten Zertifikate neu
ausgestellt werden, d.h. hier muss Kontakt mit den Zertifikat-Dealern
aufgenommen werden.

In diesem Zusammenhang sei auf
https://twitter.com/startssl/status/453494182544670721 verwiesen..
StartCom gibt kostenfrei Zertifikate aus, aber für's Revoken verlangen
sie Geld. Ein Skandal... Gut, wer für ein paar Euro "richtige"... ;)

Jedenfalls worauf ich hinaus will: Mit einem Update alleine ist es
eben nicht getan. Wer die Sicherheit seiner Dienste ernst nimmt, muss
meiner Meinung nach alle Zertifikate der betroffenen Kisten
austauschen. Natürlich erst, nachdem gepatcht wurde. Nur so ist
sichergestellt, dass die Kommunikation weiterhin gesichert ist. Denn
es besteht nun einmal die Gefahr, siehe die Infoseite
http://heartbleed.com/, dass der private Key bereits ausgelesen wurde.
Mit anderen Worten: Ihr könnt zwar patchen, aber ein Angreifer kann
dann in aller Ruhe den weiterhin verschlüsselten Verkehr mitlesen und
ihn in Ruhe bei sich entschlüsseln.

Ein einfaches Update reicht meiner Meinung nach also *nicht* aus.

Seht ihr das wirklich anders?


-- 
Ich Grüße,
Igor


From igor.sverkos at googlemail.com  Tue Apr  8 19:37:49 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Tue, 8 Apr 2014 19:37:49 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
	=?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <53442F65.8010205@juckers.ch>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <53442F65.8010205@juckers.ch>
Message-ID: <CAAyQC41LRyrYgRSmHwOHfG68=O5WZmq2owXtMVPnx1ND5aawKg@mail.gmail.com>

Hallo Beat,

das ist das Problem mit Spiegeln, die leider nur alle 12-24h
synchronisieren. Auch security.debian.org ist ja ein
Lastenverteiler...

Du kannst dir die Pakete manuell von packages.debian.org ziehen oder
einfach warten, bis dein Spiegel dir das anbietet (sollte spätestens
Morgen der Fall sein).


-- 
Ich Grüße,
Igor


From hajo.locke at gmx.de  Tue Apr  8 20:05:27 2014
From: hajo.locke at gmx.de (Hajo Locke)
Date: Tue, 8 Apr 2014 20:05:27 +0200
Subject: [Postfixbuch-users]
	=?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
	=?iso-8859-1?q?Verschl=FCsselung?=
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de> <53442F65.8010205@juckers.ch>
 <53443200.8020602@grobecker-wtal.de>
Message-ID: <1AA0D55D3723409D9497DAAAE93A4E18@hansadd566750e>

>>Mach mal ein

>> dpkg --list | grep "openssl"

apt-get changelog openssl
müsste auch gehen. bei unserem ubuntu wird dort der cve-2014-0160 genannt in 
der gestrigen version.

Hajo 


---
Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.
http://www.avast.com



From matsimon.lists at simweb.ch  Tue Apr  8 21:34:07 2014
From: matsimon.lists at simweb.ch (Mathieu Simon (Lists))
Date: Tue, 08 Apr 2014 21:34:07 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
Message-ID: <53444F2F.5030000@simweb.ch>

m 08.04.2014 19:35, schrieb Igor Sverkos:
> Am 8. April 2014 18:52 schrieb Peer Heinlein
> 
>> Alle üblichen Distributionen haben heute Vormittag neue Releases
>> veröffentlicht. Ein einfaches Update reicht.
> 
> Gewagte Aussage. Auf betroffenen Systemen (alle anderen müssen ja auch
> gar nicht aktualisieren) sollten auch die verwendeten Zertifikate neu
> ausgestellt werden, d.h. hier muss Kontakt mit den Zertifikat-Dealern
> aufgenommen werden.
> 
> In diesem Zusammenhang sei auf
> https://twitter.com/startssl/status/453494182544670721 verwiesen..
> StartCom gibt kostenfrei Zertifikate aus, aber für's Revoken verlangen
> sie Geld. Ein Skandal... Gut, wer für ein paar Euro "richtige"... ;)
> 
> Jedenfalls worauf ich hinaus will: Mit einem Update alleine ist es
> eben nicht getan. Wer die Sicherheit seiner Dienste ernst nimmt, muss
> meiner Meinung nach alle Zertifikate der betroffenen Kisten
> austauschen. Natürlich erst, nachdem gepatcht wurde. Nur so ist
> sichergestellt, dass die Kommunikation weiterhin gesichert ist. Denn
> es besteht nun einmal die Gefahr, siehe die Infoseite
> http://heartbleed.com/, dass der private Key bereits ausgelesen wurde.
> Mit anderen Worten: Ihr könnt zwar patchen, aber ein Angreifer kann
> dann in aller Ruhe den weiterhin verschlüsselten Verkehr mitlesen und
> ihn in Ruhe bei sich entschlüsseln.
> 
> Ein einfaches Update reicht meiner Meinung nach also *nicht* aus.
> 
> Seht ihr das wirklich anders?

Soweit ich die Sache mitverfolgt habe, stimm ich dir zu:
Erst patchen, dann die Zertifikate wechseln.

Das Problem bestand bereits im ersten OpenSSL 1.0.1 von 2012. Sollte
also jemand vor der öffentlichen disclosure davon gewusst haben, war
genug Zeit da, um massig Keys auszulesen.

Bei heise* findet sich auch ein Link zu einem für Mailserver geeigneten
Prüftool auf github. (ich habs noch nicht ausprobiert)

Aber nicht alle Software, die OpenSSL verwendet scheint gleichermassen
betroffen zu sein. Gerade habe ich das Statement von FreeRADIUS gelesen,
wonach bei bestimmten Verwendungszwecken ein Risiko besteht.

-- Mathieu

*
http://www.heise.de/newsticker/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html

** http://freeradius.org/security.html

---
Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.
http://www.avast.com



From Erasmus.Kuhlmann at gmx.net  Tue Apr  8 22:54:45 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Tue, 8 Apr 2014 22:54:45 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
	dynamischem DNS (554)
Message-ID: <trinity-e4182988-b9ba-449c-9c27-8711d259eaf7-1396990485028@3capp-gmx-bs02>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140408/4ab3ad5b/attachment.htm>

From sebastian at debianfan.de  Tue Apr  8 23:22:37 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Tue, 08 Apr 2014 23:22:37 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-e4182988-b9ba-449c-9c27-8711d259eaf7-1396990485028@3capp-gmx-bs02>
References: <trinity-e4182988-b9ba-449c-9c27-8711d259eaf7-1396990485028@3capp-gmx-bs02>
Message-ID: <5344689D.20102@debianfan.de>

benutzt Du gegenüber gmx smtp-auth ?

das würde ja ein Mailprogramm auch machen


Am 08.04.2014 22:54, schrieb Erasmus Kuhlmann:
> Hallo,
> nachdem ich bereits gefühlt das ganze Internet abgesucht habe, würde 
> ich gerne mein Problem hier schildern.
> Ich betreibe einen postfix (2.8.4)/dovecot / fetchmail - Server hinter 
> meinem Router.
> Als Service für dynamisches DNS melde ich mich per fritz.box bei 
> No-ip.org an.
> ISP ist NetCologne.
> Freemail-Anbieter sind u.a. GMX und Web.de
> Ein gültiges ZErtifikat für meine (dynamische) domäne habe ich gekauft 
> und eingerichtet.
> Mit fetchmail sammle ich mit SSL eMails von verschiedenen Providern 
> ein und verteile diese intern per IMAP an verschiedene Clients, um 
> z.B. per Smartphone, Webmail und PC auf das selbe Postfach zugreifen 
> zu können. Dies hat bis jetzt super funktioniert. Abrufen der eMails 
> klappt problemlos. Allein das Senden per postfix klappt nicht mehr bei 
> GMX und Web.de, wohl aber bei z.B. freenet und bei meiner eigenen 
> (dynamischen) domäne.
> Via sender-dependent relay map sende ich an über die Freemailer wieder 
> emails nach ausserhalb.
> Leider geht dies seit ein wenigen Tagen nicht mehr bei GMX und Web.de.
> Ich erhalte exemplarisch folgende Fehlermeldung:
> 597A524212ED: to=<erasmus.kuhlmann at gmx.net>, 
> relay=mx01.emig.gmx.net[213.165.67.115]:25, delay=373596, 
> delays=373596/0.11/0.45/0, dsn=4.0.0, status=deferred (host 
> mx01.emig.gmx.net[213.165.67.115] refused to talk to me: 554-gmx.net 
> (mxgmx105) Nemesis ESMTP Service not available 554-No SMTP service 
> 554-IP address is black listed. 554 For explanation visit 
> http://postmaster.gmx.com/en/error-messages?ip=78.35.134.20&c=bl)
> Ich habe bereits festgestellt, dass NetCologne seine IP-Ranges an 
> Spamhaus gemeldet hat. Insofern ist die obige Meldung erklärbar.
> Kann ich postfix irgendwie dazu bringen, sich GMX gegenüber wie ein 
> Mail-client zu verhalten?
> Bei freenet z.B. geht es ja auch (noch), die meckern nicht.
> Was mich wundert: müsste GMX nicht meckern, wenn ich z.b. von meiner 
> eigenen domäne (via no-ip) eMails sende? Die gehen durch.
> An der Verschlüsselung / SMTP auth scheint es eher nicht zu liegen, 
> das hat vorher funktioniert.
> Welche anderen Informationen sollte ich noch darstellen?
> LG
> Erasmus
>
>



From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 07:15:55 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 07:15:55 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-e92eaa5b-5725-4da6-81c4-252729d9468e-1397020555125@3capp-gmx-bs11>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/052b702a/attachment.htm>

From p.heinlein at heinlein-support.de  Wed Apr  9 08:15:24 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 09 Apr 2014 08:15:24 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
Message-ID: <5344E57C.4000100@heinlein-support.de>

Am 08.04.2014 19:35, schrieb Igor Sverkos:

> 
> Ein einfaches Update reicht meiner Meinung nach also *nicht* aus.
> 
> Seht ihr das wirklich anders?

Nein. Meine Aussage bezog sich nur auf die Frage, wie Abhilfe geschaffen
wird. Ob Zertifikate zu tauschen sind, dazu habe ich nichts gesagt.

Wir tauschen unsere Zertifikate natürlich.

Peer




-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From wolfgang.zeikat at desy.de  Wed Apr  9 10:07:44 2014
From: wolfgang.zeikat at desy.de (Wolfgang Zeikat)
Date: Wed, 09 Apr 2014 10:07:44 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-e92eaa5b-5725-4da6-81c4-252729d9468e-1397020555125@3capp-gmx-bs11>
References: <trinity-e92eaa5b-5725-4da6-81c4-252729d9468e-1397020555125@3capp-gmx-bs11>
Message-ID: <5344FFD0.6070405@desy.de>

In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
> Hallo,
> danke für den Hinweis.
> Anbei meine Postconf -n.
> System ist Mac OS X 10.7.5.
> Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt:
> smtpd_sasl_auth_enable = yes

smtpd* bezieht sich auf deinen Server (d=daemon).

Wenn dein Rechner Mails verschickt, agiert er aber als Client, nicht als 
Server.

Siehe
http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable

Was du suchst, ist wohl eher
http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable
(ohne d)

Hope this helps,

wolfgang

> LG
> Erasmus



From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 10:28:01 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 10:28:01 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-bdef0ece-c0c6-4c08-8a8d-d547706e09ff-1397032081038@3capp-gmx-bs02>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/39d9517b/attachment.htm>

From sebastian at debianfan.de  Wed Apr  9 10:39:51 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 9 Apr 2014 10:39:51 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
	dynamischem DNS (554)
In-Reply-To: <trinity-bdef0ece-c0c6-4c08-8a8d-d547706e09ff-1397032081038@3capp-gmx-bs02>
References: <trinity-bdef0ece-c0c6-4c08-8a8d-d547706e09ff-1397032081038@3capp-gmx-bs02>
Message-ID: <77ECAEE7-AD6C-47CA-987F-6346F305AF30@debianfan.de>

Du musst dich per smtp auth bei gmx authentifizieren - sonst kann dein Server die Mails dort nicht abliefern....

> Am 09.04.2014 um 10:28 schrieb "Erasmus Kuhlmann" <Erasmus.Kuhlmann at gmx.net>:
> 
> Hallo,
> 
> auch für den Hinweis danke - habe ich aber berücksichtigt.
> 
> postconf -n gibt u.a. diese Zeile aus:
>  
> smtp_sasl_auth_enable = yes
>  
> LG
> Erasmus
>  
> In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
> Hallo, danke für den Hinweis. Anbei meine Postconf -n. System ist Mac OS X 10.7.5. Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt: smtpd_sasl_auth_enable = yes
> smtpd* bezieht sich auf deinen Server (d=daemon). Wenn dein Rechner Mails verschickt, agiert er aber als Client, nicht als Server. Siehe http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable Was du suchst, ist wohl eher http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable (ohne d) Hope this helps, wolfgang
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/cc61bb4c/attachment.htm>

From markus at hohlmeier.de  Wed Apr  9 11:02:00 2014
From: markus at hohlmeier.de (Markus Hohlmeier)
Date: Wed, 09 Apr 2014 11:02:00 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-bdef0ece-c0c6-4c08-8a8d-d547706e09ff-1397032081038@3capp-gmx-bs02>
References: <trinity-bdef0ece-c0c6-4c08-8a8d-d547706e09ff-1397032081038@3capp-gmx-bs02>
Message-ID: <53450C88.7090500@hohlmeier.de>

Servus,

Am 09.04.2014 10:28, schrieb Erasmus Kuhlmann:
> auch für den Hinweis danke - habe ich aber berücksichtigt.
>
> postconf -n gibt u.a. diese Zeile aus:
> smtp_sasl_auth_enable = yes

was ohne eine Angabe der Passwörter herzlich wenig bringt ;-)
--> kurzum: was ist in hash:/etc/postfix/sasl_passwd und 
hash:/etc/postfix/relaymaps drin bzw. stimmt die Syntax
UND hast du "postmap hash:/... " auf beide Dateien angewendet sowie 
postfix reload ausgeführt?

Anleitung SASL Client: 
http://www.postfix.org/SASL_README.html#client_sasl_sender

> In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
>
>     Hallo, danke für den Hinweis. Anbei meine Postconf -n. System ist
>     Mac OS X 10.7.5. Ich hätte gedacht, dass diese Zeile das smtp auth
>     sicherstellt: smtpd_sasl_auth_enable = yes
>
> smtpd* bezieht sich auf deinen Server (d=daemon). Wenn dein Rechner 
> Mails verschickt, agiert er aber als Client, nicht als Server. Siehe 
> http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable Was du 
> suchst, ist wohl eher 
> http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable (ohne d) 
> Hope this helps, wolfgang
>

lg Markus
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/4e7928d4/attachment.htm>

From technoworx at gmx.de  Wed Apr  9 11:23:23 2014
From: technoworx at gmx.de (Alexander Stoll)
Date: Wed, 09 Apr 2014 11:23:23 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-e4182988-b9ba-449c-9c27-8711d259eaf7-1396990485028@3capp-gmx-bs02>
References: <trinity-e4182988-b9ba-449c-9c27-8711d259eaf7-1396990485028@3capp-gmx-bs02>
Message-ID: <5345118B.8010103@gmx.de>

Am 08.04.2014 22:54, schrieb Erasmus Kuhlmann:

> Dies hat bis jetzt super funktioniert. Abrufen der eMails klappt
> problemlos. Allein das Senden per postfix klappt nicht mehr bei GMX und
> Web.de, wohl aber bei z.B. freenet und bei meiner eigenen (dynamischen)
> domäne.

Ähm, die mit großem Gedöns proklamierte "E-Mail Made in Germany 
Offensive" lässt nur noch TLS/SSL Einlieferung zu, der Server wird Dir 
erst AUTH anbieten wenn Du per TLS einlieferst.

Ich habe auf die Schnelle keine TLS Konfiguration für den SMTP-CLIENT 
gesehen....

-> http://www.postfix.org/TLS_README.html#client_tls


From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 12:01:57 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 12:01:57 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-13cdb776-f9cb-4160-94ba-cdbd33bea7c9-1397037717647@3capp-gmx-bs02>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/c60cd04e/attachment.htm>

From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 12:11:36 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 12:11:36 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-871de796-e3e4-4ec0-9a9e-74e045bc707b-1397038296165@3capp-gmx-bs02>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/4ba25608/attachment.htm>

From gregor at a-mazing.de  Wed Apr  9 12:41:50 2014
From: gregor at a-mazing.de (Gregor Hermens)
Date: Wed, 9 Apr 2014 12:41:50 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
	dynamischem DNS (554)
In-Reply-To: <trinity-871de796-e3e4-4ec0-9a9e-74e045bc707b-1397038296165@3capp-gmx-bs02>
References: <trinity-871de796-e3e4-4ec0-9a9e-74e045bc707b-1397038296165@3capp-gmx-bs02>
Message-ID: <201404091241.51214@office.a-mazing.net>

Hallo Erasmus,

Am Mittwoch, 9. April 2014 schrieb Erasmus Kuhlmann:
> das mit dem TLS ist ein neuer Aspekt...
>  
> Welches Niveau benötige ich für GMX?
> 
>  Mit welchem Argument kann ich denn Server-abhängige Niveaus (opportunistic
> / secure...) einstellen? 

TLS sollte grundsätzlich immer genutzt werden, wenn der Server es anbietet:

smtp_tls_security_level = may

http://www.postfix.org/TLS_README.html#client_tls

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 19:46:46 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 19:46:46 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-e404a675-7f2e-4d31-bbca-1bab9530cf0f-1397065605886@3capp-gmx-bs18>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/6a328788/attachment.htm>

From matsimon.lists at simweb.ch  Wed Apr  9 22:16:23 2014
From: matsimon.lists at simweb.ch (Mathieu Simon (Lists))
Date: Wed, 09 Apr 2014 22:16:23 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
Message-ID: <5345AA97.2000504@simweb.ch>



Am 08.04.2014 19:35, schrieb Igor Sverkos:
> Am 8. April 2014 18:52 schrieb Peer Heinlein
> 
>> Alle üblichen Distributionen haben heute Vormittag neue Releases
>> veröffentlicht. Ein einfaches Update reicht.
> 
> Gewagte Aussage. Auf betroffenen Systemen (alle anderen müssen ja auch
> gar nicht aktualisieren) sollten auch die verwendeten Zertifikate neu
> ausgestellt werden, d.h. hier muss Kontakt mit den Zertifikat-Dealern
> aufgenommen werden.
> 
> In diesem Zusammenhang sei auf
> https://twitter.com/startssl/status/453494182544670721 verwiesen..
> StartCom gibt kostenfrei Zertifikate aus, aber für's Revoken verlangen
> sie Geld. Ein Skandal... Gut, wer für ein paar Euro "richtige"... ;)

Hier muss ich fairerweise nachträglich noch ergänzen:
Offiziell (gemäss Webseite) war und ist revocation für EV-Zertifikate
bei StartCom dabei. In meinem einen Fall für zahlende Class 2 Orgs (die
Kategorie darunter) scheinen sie zumindest (hier) eine Ausnahme zu machen.

Mit dem Revocation-Grund die CVE-Nummer resp. Heartbleed kam prompt die
Antwort: "Exceptionally revoked without fee."

Es scheint also nicht wirklich anders als bei anderen CAs: Die Zahlenden
Subscriber werden bei diesem Massenphänomen nicht
zusätzlich zur Kasse gebeten.

Das Problem sind also die kostenlosen Class 1 Zertifikate
(OK, davon dürften nicht wenige bei privaten im Umlauf sein).

-- Mathieu

---
Diese E-Mail ist frei von Viren und Malware, denn der avast! Antivirus Schutz ist aktiv.
http://www.avast.com



From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 22:22:16 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 22:22:16 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-5b9cecdf-a330-4cc8-a71d-52c3cf15f202-1397074936577@3capp-gmx-bs32>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/05860465/attachment.htm>

From postfix at jpkessler.info  Wed Apr  9 23:14:06 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Wed, 09 Apr 2014 23:14:06 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-5b9cecdf-a330-4cc8-a71d-52c3cf15f202-1397074936577@3capp-gmx-bs32>
References: <trinity-5b9cecdf-a330-4cc8-a71d-52c3cf15f202-1397074936577@3capp-gmx-bs32>
Message-ID: <5345B81E.3030306@jpkessler.info>



> habe es heute nochmal versucht und in den Logs einen vorherigen
> Eintrag (s.u.) gefunden und dies heute reproduzieren können. Vor dem
> 554 kommt also der 550 Fehler. Das passt dazu, dass GMX ja aus TLS
> umgestellt hat.
>  
> Wie muss den die Sicherheitseinstellung bei GMX aussehen?
> Fingerprint? Wenn ja, woher bekomme ich den?

Wenn Du den smtp_tls_security_level auf "may" sitzen hast, sollte das
alles automatisch klappen. Es sei denn, Dein Postfix ist ohne TLS
Unterstützung kompiliert. Hast Du denn Zeilen dieser Art im Log?

  setting up TLS connection to mail.gmx.net[212.227.17.190]



From Erasmus.Kuhlmann at gmx.net  Wed Apr  9 23:32:10 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Wed, 9 Apr 2014 23:32:10 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140409/b62c0692/attachment.htm>

From postfix at jpkessler.info  Wed Apr  9 23:56:55 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Wed, 09 Apr 2014 23:56:55 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
References: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
Message-ID: <5345C227.7030300@jpkessler.info>


> certificate verification failed for mail.gmx.net[212.227.17.190]:25:
> untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust
> Center/CN=Deutsche Telekom Root CA 2

harmlos.

> warning: SASL authentication failure: No worthy mechs found

Das ist der Knackpunkt. Die sind sich nicht einig.

> smtp_sasl_security_options = noplaintext, noanonymous

Ich habe zwar kein GMX Konto, aber kann es sein, dass Du bei GMX/tls
Auth plaintext brauchst? Wäre ja in Zusammenhang mit einer TLS
gesicherten Übertragung auch kein Problem. Am besten per
smtp_tls_policy_maps festziehen (auf "encrypt" setzen).

  Jan



From postfix at jpkessler.info  Thu Apr 10 00:05:16 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 10 Apr 2014 00:05:16 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <5345C227.7030300@jpkessler.info>
References: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
 <5345C227.7030300@jpkessler.info>
Message-ID: <5345C41C.5010200@jpkessler.info>

Am 09.04.2014 23:56, schrieb Jan P. Kessler:
> > certificate verification failed for mail.gmx.net[212.227.17.190]:25:
> > untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust
> > Center/CN=Deutsche Telekom Root CA 2
>
> harmlos.
>
> > warning: SASL authentication failure: No worthy mechs found
>
> Das ist der Knackpunkt. Die sind sich nicht einig.
>
> > smtp_sasl_security_options = noplaintext, noanonymous
>
> Ich habe zwar kein GMX Konto, aber kann es sein, dass Du bei GMX/tls
> Auth plaintext brauchst? Wäre ja in Zusammenhang mit einer TLS
> gesicherten Übertragung auch kein Problem. Am besten per
> smtp_tls_policy_maps festziehen (auf "encrypt" setzen).

Nur der Vollständigkeit halber:

Um es richtig gut zu machen, hinterlegst Du die entsprechenden Telekom
CA Zertifikate bei Dir (smtp_tls_ca_path) und setzt den Level in der TLS
Policy Map auf "verify" oder "secure" und dazu ein entsprechendes
"match" statement - siehe
http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps

Dann klappt's auch mit'm MITM ;)

  Jan




From max at grobecker-wtal.de  Thu Apr 10 00:21:14 2014
From: max at grobecker-wtal.de (Maximilian Grobecker)
Date: Thu, 10 Apr 2014 00:21:14 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Sicherheitsproblem_in_OpenSSL_?=
 =?iso-8859-1?q?Verschl=FCsselung?=
In-Reply-To: <5344E57C.4000100@heinlein-support.de>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
 <5344E57C.4000100@heinlein-support.de>
Message-ID: <5345C7DA.3080201@grobecker-wtal.de>

Hallo,

bei den CAs scheint in diesen Tagen echt der Bär zu tanzen (was ja
eigentlich erfreulich ist). Zumindest interpretiere ich diese
Auto-Antwort von Thawte mal so:

-----------

Dear Customer

This is an acknowledgement that we have received your e-mail.

We are currently experiencing high volumes and there might be a slight
delay on our response time.

Thawte Customer Support

-----------


Mal sehen, momentan klemmt meine Reissue-Anforderung seit etwas über
24 Stunden irgendwo bei denen im System :-(




Viele Grüße
 Max


From Erasmus.Kuhlmann at gmx.net  Thu Apr 10 07:23:25 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Thu, 10 Apr 2014 07:23:25 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
References: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
Message-ID: <trinity-b253ba22-904f-4a5a-9a63-a871044ae77f-1397107405029@3capp-gmx-bs31>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140410/486b209e/attachment.htm>

From Erasmus.Kuhlmann at gmx.net  Thu Apr 10 07:25:21 2014
From: Erasmus.Kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Thu, 10 Apr 2014 07:25:21 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
Message-ID: <trinity-f5fbef73-a7b2-4080-a52b-67eea8401f87-1397107520870@3capp-gmx-bs21>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140410/d55e2104/attachment.htm>

From postfix at jpkessler.info  Thu Apr 10 08:03:59 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 10 Apr 2014 08:03:59 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <trinity-b253ba22-904f-4a5a-9a63-a871044ae77f-1397107405029@3capp-gmx-bs31>
References: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
 <trinity-b253ba22-904f-4a5a-9a63-a871044ae77f-1397107405029@3capp-gmx-bs31>
Message-ID: <5346344F.6050303@jpkessler.info>



> smtp_sasl_security_options = noanonymous (noplaintext habe ich
> herausgenommen)
> smtp_tls_security_level=verify (auch mal seucre ausprobiert)

Nein, nicht global setzen, sondern wie in der Mail beschrieben in
Verbindung mit einer TLS Policy Table und dem konkreten Ziel GMX. Das
ist aber wie beschrieben optional. Du kannst Dich auch einfach darauf
verlassen, dass die TLS anbieten, den Level global auf "may" lassen und
fertig.

Gruß, Jan



From igor.sverkos at googlemail.com  Thu Apr 10 16:52:40 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Thu, 10 Apr 2014 16:52:40 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
	=?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <5345AA97.2000504@simweb.ch>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
 <5345AA97.2000504@simweb.ch>
Message-ID: <CAAyQC42Z989XAZR8AtM_k49NRv7yUzUvpgmB=ArOFZt6bZ+Pzg@mail.gmail.com>

Hallo,

nur um meine Kritik an StartCom hier zu präzisieren:
Deren Geschäftsmodell ist mir prinzipiell egal. Die verheimlichen
nichts. Wer sich also bevor er sich für ein in der Ausstellung
kostenfreies StartCom Class 1 Zertifikat entschieden hat nicht
informiert hat und somit nun überraschend feststellt, dass die aber
für's Revoken Geld verlangen (und solange ein bestehendes Zertifikat
nicht widerrufen wurde, gibt es von denen auch kein neues - in der
Ausstellung kostenfreies - Zertifikat), ist selber Schuld.

Aber: Die wollen, dass ich dieser CA vertraue (das StartCom
Root-Zertifikat ist ja in allen System soweit drinnen). Wie kann ich
das weiterhin tun, wenn ich jetzt weiß, dass es da draußen zahlreiche
Zertifikate gibt die eigentlich widerrufen gehören, worum sich der
ursprüngliche Zertifikatsbesitzer aber nicht mehr kümmert, weil er
nicht einsieht dafür zu zahlen?

Und hier übe ich dann eben schon Kritik an deren Geschäftsmodell, als
nicht-StartCom-Kunde: Ein wesentlicher Bestandteil dieses CA-Modells
(Web-of-Trust) ist es, dass Zertifikate eben zu widerrufen sind, wenn
deren Integrität in irgendeiner Form gefährdet ist. Das sie das bei
Class 1 Zertifikaten, die sie kostenfrei ausstellen, nur gegen Geld
tun, ist nun einmal für viele Leute eine Hürde. Damit gefährden sie
dann aber das gesamte Web-of-Trust-Modell weshalb ich mich frage,
weshalb ich denen noch vertrauen soll...


-- 
Ich Grüße,
Igor


From erasmus.kuhlmann at gmx.net  Thu Apr 10 21:17:48 2014
From: erasmus.kuhlmann at gmx.net (Erasmus Kuhlmann)
Date: Thu, 10 Apr 2014 21:17:48 +0200
Subject: [Postfixbuch-users] GMX verweigert Annahme von Server mit
 dynamischem DNS (554)
In-Reply-To: <5346344F.6050303@jpkessler.info>
References: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
 <trinity-b253ba22-904f-4a5a-9a63-a871044ae77f-1397107405029@3capp-gmx-bs31>
 <5346344F.6050303@jpkessler.info>
Message-ID: <97F340C182054BF1B7B124C06DAD2DB2@gmx.net>

Hallo,  

nach den vielen Änderungen habe ich einiges von Grund auf neu eingegeben.  

Jetzt scheint es zu klappen.  

Falls ja würde ich dann am WE nochmal die neue Konfiguration angeben zum nachvollziehen.  

Es scheint auch damit zu tun gehabt zu haben, dass ich noch mail.gmx.DE als Server angegeben habe in den relaymaps. Außerdem habe ich die canonical-Map neu aufgesetzt.  

Schau'n 'mer mal :)  

--  
Erasmus Kuhlmann
Sent with Sparrow (http://www.sparrowmailapp.com/?sig)


Am Donnerstag, 10. April 2014 um 08:03 schrieb Jan P. Kessler:

>  
>  
> > smtp_sasl_security_options = noanonymous (noplaintext habe ich
> > herausgenommen)
> > smtp_tls_security_level=verify (auch mal seucre ausprobiert)
> >  
>  
>  
> Nein, nicht global setzen, sondern wie in der Mail beschrieben in
> Verbindung mit einer TLS Policy Table und dem konkreten Ziel GMX. Das
> ist aber wie beschrieben optional. Du kannst Dich auch einfach darauf
> verlassen, dass die TLS anbieten, den Level global auf "may" lassen und
> fertig.
>  
> Gruß, Jan
>  
> --  
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>  
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>  
>  


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140410/ee8bb069/attachment.htm>

From christian.garling at cg-networks.de  Fri Apr 11 00:00:55 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Fri, 11 Apr 2014 00:00:55 +0200
Subject: [Postfixbuch-users] Neues Postfix Buch?!
In-Reply-To: <97F340C182054BF1B7B124C06DAD2DB2@gmx.net>
References: <trinity-ad8da138-80e1-4ebd-b48f-8df0afbc64fb-1397079130584@3capp-gmx-bs17>
 <trinity-b253ba22-904f-4a5a-9a63-a871044ae77f-1397107405029@3capp-gmx-bs31>
 <5346344F.6050303@jpkessler.info> <97F340C182054BF1B7B124C06DAD2DB2@gmx.net>
Message-ID: <53471497.6040407@cg-networks.de>

Hallo zusammen,

ich hatte Ende letzten Jahres zufällig bei der Mayerschen ein neues 
Postfix Buch gesehen, das damals vorbestellbar war. Jetzt finde ich das 
nicht mehr? Habe ich da halluziniert oder kommt da was?

Gruß, Christian


From postfix at kabelplus.at  Sun Apr 13 06:54:38 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Sun, 13 Apr 2014 06:54:38 +0200
Subject: [Postfixbuch-users] MySQL Datenbank erstellen (Postfix)
Message-ID: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>

Hallo,

ich bin ein absoluter Postfix Neuling und mit dem Postfix-Buch 2. Auflage, bin ich bis jetzt ganz gut klar gekommen. 

Ich versuche wie im Buch auf der Seite 295 eine Tabelle (virtual_mailbox_domains) in meiner MySql Datenbank anzulegen.

Ich verwende die folgende MySql-Version:
+-------------------------+
| version()               |
+-------------------------+
| 5.5.35-0ubuntu0.13.10.2 |
+-------------------------+

Der Befehl aus dem Buch funktioniert leider nicht:

CREATE TABLE virtual_mailbox_domains (
  Id int(10) unsigned NOT NULL auto_increment,
  domain varchar(255) default NULL,
  PRIMARY KEY  (Id),
  FULLTEXT KEY domains (domain)
) TYPE=MyISAM COMMENT='Postfix virtual domains?;

TYPE=MyISAM - wurde seit der Version 5.5 durch - ENGINE=InnoDB - ersetzt
FULLTEXT KEY - Fulltext Indizes können nur bei MyISAM eingesetzt werden

Braucht Postfix den Fulltext Key? Ist der wichtig?

Kann ich die Tabelle mit dem folgenden Befehl erstellen:

CREATE TABLE virtual_mailbox_domains (
  Id int(10) unsigned NOT NULL auto_increment,
  domain varchar(255) default NULL,
  PRIMARY KEY  (Id)
) ENGINE=InnoDB /* Postfix virtual domains */;

Kommt Postfix damit klar?

Lg Dejan





-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140413/e8f73443/attachment.htm>

From pug+postfixbuch-users at felsing.net  Sun Apr 13 08:35:07 2014
From: pug+postfixbuch-users at felsing.net (Christian Felsing)
Date: Sun, 13 Apr 2014 08:35:07 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
 =?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <CAAyQC42Z989XAZR8AtM_k49NRv7yUzUvpgmB=ArOFZt6bZ+Pzg@mail.gmail.com>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
 <5345AA97.2000504@simweb.ch>
 <CAAyQC42Z989XAZR8AtM_k49NRv7yUzUvpgmB=ArOFZt6bZ+Pzg@mail.gmail.com>
Message-ID: <534A301B.1070503@felsing.net>

Hallo Igor,

Am 10.04.2014 16:52, schrieb Igor Sverkos:
> Aber: Die wollen, dass ich dieser CA vertraue (das StartCom
> Root-Zertifikat ist ja in allen System soweit drinnen). Wie kann ich
> das weiterhin tun, wenn ich jetzt weiß, dass es da draußen zahlreiche
> Zertifikate gibt die eigentlich widerrufen gehören, worum sich der
> ursprüngliche Zertifikatsbesitzer aber nicht mehr kümmert, weil er
> nicht einsieht dafür zu zahlen?

wenn Du das als Kriterium nehmen willst, dann kannst Du keiner CA mehr
trauen. Viele Leute wissen gerade so einmal, wie man ein Zertifikat
generiert und installiert, aber wie ein Revoke funktioniert, wissen
viele nicht.

Weiterhin möchte ich auch nicht wissen, wie viele "Admins" sich ein
Zertifikat mit dem gleichen privaten Schlüssel erzeugt haben, der
bereits für das kompromittierte Zertifikat verwendet wurde.

Die Zertifikateanbieter wissen alle, dass sie nur Schlangenöl verkaufen,
bei StartCom ist das Zertifikat eben billiger, nur dass die eben dann
jeden Handgriff extra berechnen. Es gibt keine CA, der man vertrauen kann.

Viele Grüße
Christian



From p at sys4.de  Sun Apr 13 10:09:55 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Sun, 13 Apr 2014 10:09:55 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
 =?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <534A301B.1070503@felsing.net>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
 <5345AA97.2000504@simweb.ch>
 <CAAyQC42Z989XAZR8AtM_k49NRv7yUzUvpgmB=ArOFZt6bZ+Pzg@mail.gmail.com>
 <534A301B.1070503@felsing.net>
Message-ID: <20140413080955.GF16033@sys4.de>

* Christian Felsing <postfixbuch-users at listen.jpberlin.de>:
> Hallo Igor,
> 
> Am 10.04.2014 16:52, schrieb Igor Sverkos:
> > Aber: Die wollen, dass ich dieser CA vertraue (das StartCom
> > Root-Zertifikat ist ja in allen System soweit drinnen). Wie kann ich
> > das weiterhin tun, wenn ich jetzt weiß, dass es da draußen zahlreiche
> > Zertifikate gibt die eigentlich widerrufen gehören, worum sich der
> > ursprüngliche Zertifikatsbesitzer aber nicht mehr kümmert, weil er
> > nicht einsieht dafür zu zahlen?
> 
> wenn Du das als Kriterium nehmen willst, dann kannst Du keiner CA mehr
> trauen. Viele Leute wissen gerade so einmal, wie man ein Zertifikat
> generiert und installiert, aber wie ein Revoke funktioniert, wissen
> viele nicht.
> 
> Weiterhin möchte ich auch nicht wissen, wie viele "Admins" sich ein
> Zertifikat mit dem gleichen privaten Schlüssel erzeugt haben, der
> bereits für das kompromittierte Zertifikat verwendet wurde.
> 
> Die Zertifikateanbieter wissen alle, dass sie nur Schlangenöl verkaufen,
> bei StartCom ist das Zertifikat eben billiger, nur dass die eben dann
> jeden Handgriff extra berechnen. Es gibt keine CA, der man vertrauen kann.

Carsten Strotmann und ich haben einen Artikel über DANE verfasst, der in der
nächsten c't erscheinen wird. DANE bietet einen Ausweg aus der CA-Misere.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From ckubu at so36.net  Sun Apr 13 11:55:32 2014
From: ckubu at so36.net (ckubu)
Date: Sun, 13 Apr 2014 11:55:32 +0200
Subject: [Postfixbuch-users] =?utf-8?q?minimale_Schl=C3=BCssell=C3=A4nge?=
Message-ID: <534A5F14.8010807@so36.net>

Hallo,

kann ich die minimale Schlüssellänge auf strong (128bit) hochsetzen,
auch mit smtpd_tls_security_level=may (opportunistic)

LG
Christoph

-- 
e: ckubu at so36.net


From ckubu at so36.net  Sun Apr 13 11:55:26 2014
From: ckubu at so36.net (ckubu)
Date: Sun, 13 Apr 2014 11:55:26 +0200
Subject: [Postfixbuch-users] verschiedene Zertifikate auf verschiedenen Ports
Message-ID: <534A5F0E.4060107@so36.net>

Hallo,

ist es möglich, auf Port 25 ein anderes Zertifikat auszuliefern als
bspw. auf Port 587 ?

LG
Christoph

-- 
e: ckubu at so36.net


From p at sys4.de  Sun Apr 13 12:14:03 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Sun, 13 Apr 2014 12:14:03 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?minimale_Schl=C3=BCssell=C3=A4nge?=
In-Reply-To: <534A5F14.8010807@so36.net>
References: <534A5F14.8010807@so36.net>
Message-ID: <20140413101403.GK16033@sys4.de>

* ckubu <postfixbuch-users at listen.jpberlin.de>:
> kann ich die minimale Schlüssellänge auf strong (128bit) hochsetzen,
> auch mit smtpd_tls_security_level=may (opportunistic)

Setze:

smtpd_tls_ciphers = medium

Ggf. möchtest Du noch ganz bestimmte ciphers rausnehmen. Dazu dann mit sslscan
auf DEMSELBEN HOST arbeiten:

$ sslscan --no-failed -starttls localhost:25

Dann siehst Du was der Server noch anbietet. Wenn Du dann einschränken willst,
mit smtpd_tls_exclude_ciphers arbeiten. Beispiel:

smtpd_tls_exclude_ciphers =
        RC4
        aNULL
        SEED-SHA
        EXP

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From p at sys4.de  Sun Apr 13 12:16:51 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Sun, 13 Apr 2014 12:16:51 +0200
Subject: [Postfixbuch-users] verschiedene Zertifikate auf verschiedenen
 Ports
In-Reply-To: <534A5F0E.4060107@so36.net>
References: <534A5F0E.4060107@so36.net>
Message-ID: <20140413101651.GL16033@sys4.de>

* ckubu <postfixbuch-users at listen.jpberlin.de>:
> ist es möglich, auf Port 25 ein anderes Zertifikat auszuliefern als
> bspw. auf Port 587 ?

Ja. In master.cf ist es allerdings fies, sowas zu notieren, weil Leerzeichen
nicht gestattet sind. 

Workaround:

Erfinde in main.cf andere Parameternamen für cert und key. Beispiel:

submission_tls_cert_file = ...
submission_tls_key_file = ...

Die kannst Du dann in der master.cf referenzieren:

    -o smptd_tls_cert_file = $submission_tls_cert_file
    -o smptd_tls_key_file = $submission_tls_key_file

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From pug+postfixbuch-users at felsing.net  Sun Apr 13 12:23:08 2014
From: pug+postfixbuch-users at felsing.net (Christian Felsing)
Date: Sun, 13 Apr 2014 12:23:08 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
 =?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <20140413080955.GF16033@sys4.de>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
 <5345AA97.2000504@simweb.ch>
 <CAAyQC42Z989XAZR8AtM_k49NRv7yUzUvpgmB=ArOFZt6bZ+Pzg@mail.gmail.com>
 <534A301B.1070503@felsing.net> <20140413080955.GF16033@sys4.de>
Message-ID: <534A658C.2010106@felsing.net>

Am 13.04.2014 10:09, schrieb Patrick Ben Koetter:
> Carsten Strotmann und ich haben einen Artikel über DANE verfasst, der in der
> nächsten c't erscheinen wird. DANE bietet einen Ausweg aus der CA-Misere.

Prüft irgend ein Browser das per DNS?

Es war ja schon ein Kampf, bis Firefox&Co über TLSv1.2 oder OCSP
unterstützt haben. Unterstützt Postfix überhaupt OCSP bei Client Cert Auth?

Viele Grüße
Christian




From p at sys4.de  Sun Apr 13 13:12:47 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Sun, 13 Apr 2014 13:12:47 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Sicherheitsproblem_in_OpenSSL_Versc?=
 =?utf-8?q?hl=C3=BCsselung?=
In-Reply-To: <534A658C.2010106@felsing.net>
References: <534424D3.5090609@juckers.ch>
 <53442940.9010309@heinlein-support.de>
 <CAAyQC42E8tFGUJhQ9vfDYA4NhyjteC8xygNd1vhVs0QM69MAQg@mail.gmail.com>
 <5345AA97.2000504@simweb.ch>
 <CAAyQC42Z989XAZR8AtM_k49NRv7yUzUvpgmB=ArOFZt6bZ+Pzg@mail.gmail.com>
 <534A301B.1070503@felsing.net> <20140413080955.GF16033@sys4.de>
 <534A658C.2010106@felsing.net>
Message-ID: <20140413111246.GB4124@sys4.de>

* Christian Felsing <postfixbuch-users at listen.jpberlin.de>:
> Am 13.04.2014 10:09, schrieb Patrick Ben Koetter:
> > Carsten Strotmann und ich haben einen Artikel über DANE verfasst, der in der
> > nächsten c't erscheinen wird. DANE bietet einen Ausweg aus der CA-Misere.
> 
> Prüft irgend ein Browser das per DNS?

Aktuell nur per Plugin: https://www.dnssec-validator.cz/

Ich habe aber das Plugin noch nicht auf alle DANE Use Cases geprüft. Aktuell
weis ich, es meldet grün wenn alles passt und wenn TLSA und Cert nicht passen
(Jetzt gerade bei uns auf https://sys4.de weil ich key rollover mache...).

Ob es auch bei falschen Policies (TLSA = CA cert, CERT = self signed) Alarm
gibt, habe ich noch nicht verifiziert.


> Es war ja schon ein Kampf, bis Firefox&Co über TLSv1.2 oder OCSP
> unterstützt haben. Unterstützt Postfix überhaupt OCSP bei Client Cert Auth?

Nein, das war eine Design-Entscheidung. Irgendwo in den Archiven vergraben. :)

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From werner at aloah-from-hell.de  Sun Apr 13 14:36:05 2014
From: werner at aloah-from-hell.de (Werner Detter)
Date: Sun, 13 Apr 2014 14:36:05 +0200
Subject: [Postfixbuch-users] MySQL Datenbank erstellen (Postfix)
In-Reply-To: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
References: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
Message-ID: <534A84B5.8020008@aloah-from-hell.de>

Hi, 

> Der Befehl aus dem Buch funktioniert leider nicht:
> 
> CREATE TABLE virtual_mailbox_domains (
>   Id int(10) unsigned NOT NULL auto_increment,
>   domain varchar(255) default NULL,
>   PRIMARY KEY  (Id),
>   FULLTEXT KEY domains (domain)
> ) TYPE=MyISAM COMMENT='Postfix virtual domains?;
> 
> TYPE=MyISAM - wurde seit der Version 5.5 durch - ENGINE=InnoDB - ersetzt
> FULLTEXT KEY - Fulltext Indizes können nur bei MyISAM eingesetzt werden
> 
> Braucht Postfix den Fulltext Key? Ist der wichtig?
> 
> Kann ich die Tabelle mit dem folgenden Befehl erstellen:
> 
> CREATE TABLE virtual_mailbox_domains (
>   Id int(10) unsigned NOT NULL auto_increment,
>   domain varchar(255) default NULL,
>   PRIMARY KEY  (Id)
> ) ENGINE=InnoDB /* Postfix virtual domains */;
> 
> Kommt Postfix damit klar?

Klar kommt Postfix damit klar. Postfix ist's wurscht welche Storage-Engine für 
die Datenbank/Tabelle verwendet wird. Aus Performance-Sicht ist MyISAM bei
einer Tabelle, auf die zu 99,9% lesend zugegriffen besser geeignet als InnoDB. 

Du kannst die Tabelle natürlich in MyISAM erstellen, der Syntax in MySQL hat
sich dafür allerdings geändert: 

CREATE TABLE virtual_mailbox_domains (
  Id int(10) unsigned NOT NULL auto_increment,
  domain varchar(255) default NULL,
  PRIMARY KEY  (Id),
  FULLTEXT KEY domains (domain)
) ENGINE=MyISAM COMMENT='Postfix virtual domains?;

VG,
Werner







From postfix at kabelplus.at  Sun Apr 13 17:34:07 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Sun, 13 Apr 2014 17:34:07 +0200
Subject: [Postfixbuch-users] MySQL Datenbank erstellen (Postfix)
In-Reply-To: <534A84B5.8020008@aloah-from-hell.de>
References: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
 <534A84B5.8020008@aloah-from-hell.de>
Message-ID: <B7FC0910-7EB6-41AF-BE0C-0F43CBE6DF72@kabelplus.at>

Danke für deine Hilfe Werner?

> CREATE TABLE virtual_mailbox_domains (
>  Id int(10) unsigned NOT NULL auto_increment,
>  domain varchar(255) default NULL,
>  PRIMARY KEY  (Id),
>  FULLTEXT KEY domains (domain)
> ) ENGINE=MyISAM COMMENT='Postfix virtual domains?;


Damit ich die Datenbank anlegen kann, muss ich  COMMENT='Postfix virtual domains entfernen ansonsten bekomme ich die folgende Fehlermeldung:

#1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''Postfix virtual domainsâ??' at line 6

Im Internet finde ich nichts zu "COMMENT=???, ich denke das wird einfach nur ein Kommentar sein den ich durch "/* Postfix virtual domains */" ersetzen kann.

Lg Dejan

Am 13.04.2014 um 14:36 schrieb Werner Detter <werner at aloah-from-hell.de>:

> Hi, 
> 
>> Der Befehl aus dem Buch funktioniert leider nicht:
>> 
>> CREATE TABLE virtual_mailbox_domains (
>>  Id int(10) unsigned NOT NULL auto_increment,
>>  domain varchar(255) default NULL,
>>  PRIMARY KEY  (Id),
>>  FULLTEXT KEY domains (domain)
>> ) TYPE=MyISAM COMMENT='Postfix virtual domains?;
>> 
>> TYPE=MyISAM - wurde seit der Version 5.5 durch - ENGINE=InnoDB - ersetzt
>> FULLTEXT KEY - Fulltext Indizes können nur bei MyISAM eingesetzt werden
>> 
>> Braucht Postfix den Fulltext Key? Ist der wichtig?
>> 
>> Kann ich die Tabelle mit dem folgenden Befehl erstellen:
>> 
>> CREATE TABLE virtual_mailbox_domains (
>>  Id int(10) unsigned NOT NULL auto_increment,
>>  domain varchar(255) default NULL,
>>  PRIMARY KEY  (Id)
>> ) ENGINE=InnoDB /* Postfix virtual domains */;
>> 
>> Kommt Postfix damit klar?
> 
> Klar kommt Postfix damit klar. Postfix ist's wurscht welche Storage-Engine für 
> die Datenbank/Tabelle verwendet wird. Aus Performance-Sicht ist MyISAM bei
> einer Tabelle, auf die zu 99,9% lesend zugegriffen besser geeignet als InnoDB. 
> 
> Du kannst die Tabelle natürlich in MyISAM erstellen, der Syntax in MySQL hat
> sich dafür allerdings geändert: 
> 
> CREATE TABLE virtual_mailbox_domains (
>  Id int(10) unsigned NOT NULL auto_increment,
>  domain varchar(255) default NULL,
>  PRIMARY KEY  (Id),
>  FULLTEXT KEY domains (domain)
> ) ENGINE=MyISAM COMMENT='Postfix virtual domains?;
> 
> VG,
> Werner
> 
> 
> 
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From christian.garling at cg-networks.de  Sun Apr 13 17:49:00 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Sun, 13 Apr 2014 17:49:00 +0200
Subject: [Postfixbuch-users] SASL Auth auf Port 25 verbieten
Message-ID: <534AB1EC.6060703@cg-networks.de>

Hallo zusammen,

mein Mailsystem ist so konfiguriert, das Port 25 für die Server to 
Server Kommunikation verwendet wird. Meine Clients nutzen Port 587 zum 
einliefern von Mails.

Ist es demnach eine gute Idee, in der master.cf folgendes zu tun um auf 
Port 25 konfigurierte Clients erst gar nicht mit einer falschen Config 
laufen zu lassen?

smtp      inet  n       -       n       -       -       smtpd
         -o smtpd_sasl_auth_enable=no

Gruß, Christian



From christian.garling at cg-networks.de  Sun Apr 13 20:01:53 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Sun, 13 Apr 2014 20:01:53 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
Message-ID: <534AD111.4030003@cg-networks.de>

Hallo Liste,

ich habe ein Problem bei der Einbindung von Amavis in Postfix, wenn Port 
587 submission genutzt wird.
Im Log kommt die Meldung:

warning: connect to transport private/[127.0.0.1]: No such file or directory

Meine master.cf sieht so aus:

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
         -o smtpd_proxy_filter=127.0.0.1:10024
         -o content_filter=
         -o smtpd_sasl_auth_enable=no
submission inet n       -       n       -       -       smtpd
         -o smtpd_proxy_filter=
         -o content_filter=127.0.0.1:10024
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       n       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       - trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
         -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
#maildrop  unix  -       n       n       -       -       pipe
#  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# The Cyrus deliver program has changed incompatibly, multiple times.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -m 
${extension} ${user}
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -r ${sender} -m 
${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
#uucp      unix  -       n       n       -       -       pipe
#  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
($recipient)
#
# ====================================================================
#
# Other external delivery methods.
#
#ifmail    unix  -       n       n       -       -       pipe
#  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
#
#bsmtp     unix  -       n       n       -       -       pipe
#  flags=Fq. user=bsmtp argv=/usr/local/sbin/bsmtp -f $sender $nexthop 
$recipient
#
#scalemail-backend unix -       n       n       -       2       pipe
#  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
#  ${nexthop} ${user} ${extension}
#
#mailman   unix  -       n       n       -       -       pipe
#  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
#  ${nexthop} ${user}

# from amavis to postfix (reinjection)
127.0.0.1:10025 inet n    -       n       -       -     smtpd
      -o content_filter=
      -o smtpd_delay_reject=no
      -o smtpd_client_restrictions=permit_mynetworks,reject
      -o smtpd_helo_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o smtpd_data_restrictions=reject_unauth_pipelining
      -o smtpd_end_of_data_restrictions=
      -o smtpd_restriction_classes=
      -o mynetworks=127.0.0.0/8
      -o smtpd_error_sleep_time=0
      -o smtpd_soft_error_limit=1001
      -o smtpd_hard_error_limit=1000
      -o smtpd_client_connection_count_limit=0
      -o smtpd_client_connection_rate_limit=0
      -o 
receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
      -o local_header_rewrite_clients=
      -o smtpd_milters=
      -o local_recipient_maps=
      -o relay_recipient_maps=

postconf -n:

address_verify_map = btree:$data_directory/verify_cache
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
body_checks = pcre:/etc/postfix/header_body_checks/body_checks
bounce_queue_lifetime = 3d
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
disable_vrfy_command = yes
header_checks = pcre:/etc/postfix/header_body_checks/header_checks
html_directory = no
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
maximal_queue_lifetime = 3d
message_size_limit = 33554432
mydestination = localhost, localhost.$mydomain, $myhostname, 
lvps87-230-14-179.dedicated.hosteurope.de
mydomain = cg-networks.de
myhostname = mail.cg-networks.de
mynetworks = 127.0.0.0/8
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
relay_domains = hash:/etc/postfix/relay_domains
sample_directory = /usr/share/doc/postfix-2.6.6/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_tls_security_level = may
smtpd_helo_required = yes
smtpd_recipient_restrictions = check_recipient_access 
hash:/etc/postfix/access_maps/role_accounts, check_client_access 
hash:/etc/postfix/access_maps/hostname, check_client_access 
cidr:/etc/postfix/access_maps/ip.cidr, check_helo_access 
hash:/etc/postfix/access_maps/helo, check_helo_access 
pcre:/etc/postfix/access_maps/helo.pcre, check_sender_access 
hash:/etc/postfix/access_maps/sender, check_recipient_access 
hash:/etc/postfix/access_maps/recipient, reject_non_fqdn_sender, 
reject_non_fqdn_recipient, reject_unknown_sender_domain, 
reject_unknown_recipient_domain, reject_invalid_hostname, 
permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, 
check_policy_service inet:127.0.0.1:12525, check_policy_service 
inet:127.0.0.1:10023, reject_unverified_recipient, 
reject_unauth_pipelining,                check_policy_service 
inet:127.0.0.1:12340,                                permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/pki/mail/mail.cg-networks.de.crt
smtpd_tls_key_file = /etc/pki/mail/mail.cg-networks.de.key
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
soft_bounce = no
transport_maps = hash:/etc/postfix/transport, $relay_domains
unknown_local_recipient_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps

Gruß, Christian



From christian.garling at cg-networks.de  Sun Apr 13 20:49:39 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Sun, 13 Apr 2014 20:49:39 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534AD111.4030003@cg-networks.de>
References: <534AD111.4030003@cg-networks.de>
Message-ID: <534ADC43.8010905@cg-networks.de>

Hallo zusammen,

content_filter wird ja per Triple angesprochen, habe dann selber 
herausgefunden das es so dann doch funktioniert:

content_filter=amavisfeed:127.0.0.1:10024

Hat sich also erledigt.

Gruß, Christian


Am 13.04.2014 20:01, schrieb Christian Garling:
> Hallo Liste,
>
> ich habe ein Problem bei der Einbindung von Amavis in Postfix, wenn 
> Port 587 submission genutzt wird.
> Im Log kommt die Meldung:
>
> warning: connect to transport private/[127.0.0.1]: No such file or 
> directory
>
> Meine master.cf sieht so aus:
>
> #
> # Postfix master process configuration file.  For details on the format
> # of the file, see the master(5) manual page (command: "man 5 master").
> #
> # Do not forget to execute "postfix reload" after editing this file.
> #
> # 
> ==========================================================================
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> # 
> ==========================================================================
> smtp      inet  n       -       n       -       -       smtpd
>         -o smtpd_proxy_filter=127.0.0.1:10024
>         -o content_filter=
>         -o smtpd_sasl_auth_enable=no
> submission inet n       -       n       -       -       smtpd
>         -o smtpd_proxy_filter=
>         -o content_filter=127.0.0.1:10024
> #  -o smtpd_tls_security_level=encrypt
> #  -o smtpd_sasl_auth_enable=yes
> #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> #  -o milter_macro_daemon_name=ORIGINATING
> #smtps     inet  n       -       n       -       -       smtpd
> #  -o smtpd_tls_wrappermode=yes
> #  -o smtpd_sasl_auth_enable=yes
> #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> #  -o milter_macro_daemon_name=ORIGINATING
> #628      inet  n       -       n       -       -       qmqpd
> pickup    fifo  n       -       n       60      1       pickup
> cleanup   unix  n       -       n       -       0       cleanup
> qmgr      fifo  n       -       n       300     1       qmgr
> #qmgr     fifo  n       -       n       300     1       oqmgr
> tlsmgr    unix  -       -       n       1000?   1       tlsmgr
> rewrite   unix  -       -       n       -       - trivial-rewrite
> bounce    unix  -       -       n       -       0       bounce
> defer     unix  -       -       n       -       0       bounce
> trace     unix  -       -       n       -       0       bounce
> verify    unix  -       -       n       -       1       verify
> flush     unix  n       -       n       1000?   0       flush
> proxymap  unix  -       -       n       -       -       proxymap
> proxywrite unix -       -       n       -       1       proxymap
> smtp      unix  -       -       n       -       -       smtp
> # When relaying mail as backup MX, disable fallback_relay to avoid MX 
> loops
> relay     unix  -       -       n       -       -       smtp
>         -o smtp_fallback_relay=
> #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
> showq     unix  n       -       n       -       -       showq
> error     unix  -       -       n       -       -       error
> retry     unix  -       -       n       -       -       error
> discard   unix  -       -       n       -       -       discard
> local     unix  -       n       n       -       -       local
> virtual   unix  -       n       n       -       -       virtual
> lmtp      unix  -       -       n       -       -       lmtp
> anvil     unix  -       -       n       -       1       anvil
> scache    unix  -       -       n       -       1       scache
> #
> # ====================================================================
> # Interfaces to non-Postfix software. Be sure to examine the manual
> # pages of the non-Postfix software to find out what options it wants.
> #
> # Many of the following services use the Postfix pipe(8) delivery
> # agent.  See the pipe(8) man page for information about ${recipient}
> # and other message envelope options.
> # ====================================================================
> #
> # maildrop. See the Postfix MAILDROP_README file for details.
> # Also specify in main.cf: maildrop_destination_recipient_limit=1
> #
> #maildrop  unix  -       n       n       -       -       pipe
> #  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
> #
> # ====================================================================
> #
> # The Cyrus deliver program has changed incompatibly, multiple times.
> #
> #old-cyrus unix  -       n       n       -       -       pipe
> #  flags=R user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -m 
> ${extension} ${user}
> #
> # ====================================================================
> #
> # Cyrus 2.1.5 (Amos Gouaux)
> # Also specify in main.cf: cyrus_destination_recipient_limit=1
> #
> #cyrus     unix  -       n       n       -       -       pipe
> #  user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -r ${sender} -m 
> ${extension} ${user}
> #
> # ====================================================================
> #
> # See the Postfix UUCP_README file for configuration details.
> #
> #uucp      unix  -       n       n       -       -       pipe
> #  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
> ($recipient)
> #
> # ====================================================================
> #
> # Other external delivery methods.
> #
> #ifmail    unix  -       n       n       -       -       pipe
> #  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
> #
> #bsmtp     unix  -       n       n       -       -       pipe
> #  flags=Fq. user=bsmtp argv=/usr/local/sbin/bsmtp -f $sender $nexthop 
> $recipient
> #
> #scalemail-backend unix -       n       n       -       2 pipe
> #  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
> #  ${nexthop} ${user} ${extension}
> #
> #mailman   unix  -       n       n       -       -       pipe
> #  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
> #  ${nexthop} ${user}
>
> # from amavis to postfix (reinjection)
> 127.0.0.1:10025 inet n    -       n       -       -     smtpd
>      -o content_filter=
>      -o smtpd_delay_reject=no
>      -o smtpd_client_restrictions=permit_mynetworks,reject
>      -o smtpd_helo_restrictions=
>      -o smtpd_sender_restrictions=
>      -o smtpd_recipient_restrictions=permit_mynetworks,reject
>      -o smtpd_data_restrictions=reject_unauth_pipelining
>      -o smtpd_end_of_data_restrictions=
>      -o smtpd_restriction_classes=
>      -o mynetworks=127.0.0.0/8
>      -o smtpd_error_sleep_time=0
>      -o smtpd_soft_error_limit=1001
>      -o smtpd_hard_error_limit=1000
>      -o smtpd_client_connection_count_limit=0
>      -o smtpd_client_connection_rate_limit=0
>      -o 
> receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
>      -o local_header_rewrite_clients=
>      -o smtpd_milters=
>      -o local_recipient_maps=
>      -o relay_recipient_maps=
>
> postconf -n:
>
> address_verify_map = btree:$data_directory/verify_cache
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> body_checks = pcre:/etc/postfix/header_body_checks/body_checks
> bounce_queue_lifetime = 3d
> broken_sasl_auth_clients = yes
> command_directory = /usr/sbin
> config_directory = /etc/postfix
> daemon_directory = /usr/libexec/postfix
> data_directory = /var/lib/postfix
> debug_peer_level = 2
> disable_vrfy_command = yes
> header_checks = pcre:/etc/postfix/header_body_checks/header_checks
> html_directory = no
> mail_owner = postfix
> mailq_path = /usr/bin/mailq.postfix
> manpage_directory = /usr/share/man
> maximal_queue_lifetime = 3d
> message_size_limit = 33554432
> mydestination = localhost, localhost.$mydomain, $myhostname, 
> lvps87-230-14-179.dedicated.hosteurope.de
> mydomain = cg-networks.de
> myhostname = mail.cg-networks.de
> mynetworks = 127.0.0.0/8
> myorigin = $mydomain
> newaliases_path = /usr/bin/newaliases.postfix
> queue_directory = /var/spool/postfix
> readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
> relay_domains = hash:/etc/postfix/relay_domains
> sample_directory = /usr/share/doc/postfix-2.6.6/samples
> sendmail_path = /usr/sbin/sendmail.postfix
> setgid_group = postdrop
> smtp_tls_security_level = may
> smtpd_helo_required = yes
> smtpd_recipient_restrictions = check_recipient_access 
> hash:/etc/postfix/access_maps/role_accounts, check_client_access 
> hash:/etc/postfix/access_maps/hostname, check_client_access 
> cidr:/etc/postfix/access_maps/ip.cidr, check_helo_access 
> hash:/etc/postfix/access_maps/helo, check_helo_access 
> pcre:/etc/postfix/access_maps/helo.pcre, check_sender_access 
> hash:/etc/postfix/access_maps/sender, check_recipient_access 
> hash:/etc/postfix/access_maps/recipient, reject_non_fqdn_sender, 
> reject_non_fqdn_recipient, reject_unknown_sender_domain, 
> reject_unknown_recipient_domain, reject_invalid_hostname, 
> permit_sasl_authenticated, permit_mynetworks, 
> reject_unauth_destination, check_policy_service inet:127.0.0.1:12525, 
> check_policy_service inet:127.0.0.1:10023, 
> reject_unverified_recipient, reject_unauth_pipelining,                
> check_policy_service 
> inet:127.0.0.1:12340,                                permit
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_path = private/auth
> smtpd_sasl_type = dovecot
> smtpd_tls_auth_only = yes
> smtpd_tls_cert_file = /etc/pki/mail/mail.cg-networks.de.crt
> smtpd_tls_key_file = /etc/pki/mail/mail.cg-networks.de.key
> smtpd_tls_received_header = yes
> smtpd_tls_security_level = may
> soft_bounce = no
> transport_maps = hash:/etc/postfix/transport, $relay_domains
> unknown_local_recipient_reject_code = 550
> virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps
>
> Gruß, Christian
>



From p.heinlein at heinlein-support.de  Sun Apr 13 20:50:50 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Sun, 13 Apr 2014 20:50:50 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534AD111.4030003@cg-networks.de>
References: <534AD111.4030003@cg-networks.de>
Message-ID: <534ADC8A.8080607@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 13.04.2014 20:01, schrieb Christian Garling:

> submission inet n       -       n       -       -       smtpd -o
> smtpd_proxy_filter= -o content_filter=127.0.0.1:10024 #  -o
> smtpd_tls_security_level=encrypt #  -o smtpd_sasl_auth_enable=yes #
> -o smtpd_client_restrictions=permit_sasl_authenticated,reject #  -o
> milter_macro_daemon_name=ORIGINATING

Der Syntax vom content_filter ist ein "nexthop"-Syntax wie in der
transport_maps.

Also:

smtp:[127.0.0.1]:10024

Außerdem hast Du submission kaputt gemacht. Die vier Zeilen dadrunter
müssen ebenfalls aktiv sein.

Peer



- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTStyKAAoJEAOLLpq5E82H8+gH/3cRULQEPdErcwxTqqon/wXs
92CY6CIuEUPRjgKblcjmC41C0vuWYXnEGLGbySVBwSM8cDQNmR+vE+VIiLmdjz5g
uto8T1VIhnmSBM7RnU9yQm9QEvMnteChKAsWo612defcEK2yOnxDa0lLk32zLb4C
cjvOtPDLIjd+eh3Wpu1ZmCcQ45epIve02GopHLYsimAq6bKUn6l+HauU9oxExL5q
L/RUavouCmSC2Tg7SdAkNTev1vh6lseNVXA1LCb254Agv74SrKrXpnDMwiPslJgM
IRW57CYCsQ+u2fI4dRcNE3mR0oS4DxlpUVzQ+nilJWN8R4zkdbiGfLxLLkahx8k=
=XMbp
-----END PGP SIGNATURE-----


From bluewind at xinu.at  Sun Apr 13 21:21:31 2014
From: bluewind at xinu.at (Florian Pritz)
Date: Sun, 13 Apr 2014 21:21:31 +0200
Subject: [Postfixbuch-users] SASL Auth auf Port 25 verbieten
In-Reply-To: <534AB1EC.6060703@cg-networks.de>
References: <534AB1EC.6060703@cg-networks.de>
Message-ID: <534AE3BB.9070709@xinu.at>

On 13.04.2014 17:49, Christian Garling wrote:
> Ist es demnach eine gute Idee, in der master.cf folgendes zu tun um auf 
> Port 25 konfigurierte Clients erst gar nicht mit einer falschen Config 
> laufen zu lassen?

Natürlich.

Ich hoffe du hast auf 587 (gut und bei imap, pop usw auch) auth nur für
verschlüsselte Verbindungen erlaubt.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140413/3a32509e/attachment.asc>

From christian.garling at cg-networks.de  Sun Apr 13 21:44:09 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Sun, 13 Apr 2014 21:44:09 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534ADC8A.8080607@heinlein-support.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de>
Message-ID: <534AE909.4010801@cg-networks.de>

Hi Peer,

submission sieht nun so aus:

submission inet n    -    n    -    -    smtpd
         -o smtpd_proxy_filter=
         -o content_filter=amavisfeed:[127.0.0.1]:10024
         -o smtpd_tls_security_level=encrypt
         -o smtpd_sasl_auth_enable=yes
         -o smtpd_client_restrictions=permit_sasl_authenticated,reject
         -o milter_macro_daemon_name=ORIGINATING

Und so der amavisfeed (laut README.postfix aus der Doku von Amavis):

# from postfix to amavis
amavisfeed unix    -       -       n        -       2     lmtp
      -o lmtp_data_done_timeout=1200
      -o lmtp_send_xforward_command=yes
      -o lmtp_tls_note_starttls_offer=no

Ist das so nun korrekt?

Gruß, Christian


Am 13.04.2014 20:50, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 13.04.2014 20:01, schrieb Christian Garling:
>
>> submission inet n       -       n       -       -       smtpd -o
>> smtpd_proxy_filter= -o content_filter=127.0.0.1:10024 #  -o
>> smtpd_tls_security_level=encrypt #  -o smtpd_sasl_auth_enable=yes #
>> -o smtpd_client_restrictions=permit_sasl_authenticated,reject #  -o
>> milter_macro_daemon_name=ORIGINATING
> Der Syntax vom content_filter ist ein "nexthop"-Syntax wie in der
> transport_maps.
>
> Also:
>
> smtp:[127.0.0.1]:10024
>
> Außerdem hast Du submission kaputt gemacht. Die vier Zeilen dadrunter
> müssen ebenfalls aktiv sein.
>
> Peer
>
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTStyKAAoJEAOLLpq5E82H8+gH/3cRULQEPdErcwxTqqon/wXs
> 92CY6CIuEUPRjgKblcjmC41C0vuWYXnEGLGbySVBwSM8cDQNmR+vE+VIiLmdjz5g
> uto8T1VIhnmSBM7RnU9yQm9QEvMnteChKAsWo612defcEK2yOnxDa0lLk32zLb4C
> cjvOtPDLIjd+eh3Wpu1ZmCcQ45epIve02GopHLYsimAq6bKUn6l+HauU9oxExL5q
> L/RUavouCmSC2Tg7SdAkNTev1vh6lseNVXA1LCb254Agv74SrKrXpnDMwiPslJgM
> IRW57CYCsQ+u2fI4dRcNE3mR0oS4DxlpUVzQ+nilJWN8R4zkdbiGfLxLLkahx8k=
> =XMbp
> -----END PGP SIGNATURE-----



From postfix at kabelplus.at  Mon Apr 14 05:31:49 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 14 Apr 2014 05:31:49 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
Message-ID: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>

Hallo,

ich bin am verzweifeln und hoffe, dass Ihr mir helfen könnt.

Ich habe Virtual Mailbox Domains angelegt, hat super geklappt, mein nächstes Ziel war das ganze mit MySql.

MySql ist für Postfix installiert:

root at c5773:~# postconf -m
btree
cidr
environ
fail
hash
internal
memcache
mysql
nis
pcre
proxy
regexp
sdbm
socketmap
sqlite
static
tcp
texthash
unix

Alle diese Tests haben geklappt:

mysql -u postfix -p -h localhost -A
CONNECT mail;
SELECT domain FROM virtual_mailbox_domains WHERE domain = 'c5773.rasic.at';
SELECT virtual_uid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
SELECT virtual_gid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
SELECT virtual_mailbox FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
postmap -q "c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_domains.cf
postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_uid_maps.cf
postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_gid_maps.cf
postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf
postmap -q "dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_alias_maps.cf

Testmail senden hat nicht geklappt, bekomme die folgende Fehlermeldung:

Apr 14 04:56:38 c5773 postfix/smtpd[1550]: connect from mx04.kabsi.at[62.40.128.131]
Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)
Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
Apr 14 04:56:38 c5773 postfix/smtpd[1550]: NOQUEUE: reject: RCPT from mx04.kabsi.at[62.40.128.131]: 451 4.3.0 <dejan at c5773.rasic.at>: Temporary lookup failure; from=<r.dejan at kabelplus.at> to=<dejan at c5773.rasic.at> proto=ESMTP helo=<mx04.kabsi.at>
Apr 14 04:56:38 c5773 postfix/smtpd[1550]: disconnect from mx04.kabsi.at[62.40.128.131]

Aus irgendeinen Grund kann sich Postfix nicht mit MySql verbinden, was habe ich falsch gemacht?

Als Anhang gibt es noch meine main.cf und Master.cf

Ich hoffe Ihr könnt mir helfen, Danke im voraus.

Lg Dejan

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : main.cf
Dateityp    : application/octet-stream
Dateigröße  : 4654 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/e5ef7568/attachment.obj>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : master.cf
Dateityp    : application/octet-stream
Dateigröße  : 6952 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/e5ef7568/attachment-0001.obj>

From christian.garling at cg-networks.de  Mon Apr 14 07:43:45 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Mon, 14 Apr 2014 07:43:45 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
Message-ID: <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>

Hi Dejan,

Postfix läuft im Chroot, dein MySQL Socket liegt außerhalb dessen, weshalb Postfix da nicht dran kommt. Nutze einfach statt Unix Sockets eine TCP Verbindung auf 127.0.0.1:3306 dann sollte es gehen.

Gruß, Christian

Von meinem Wählscheibentelefon 
gesendet

> Am 14.04.2014 um 05:31 schrieb "Dejan (Postfix)" <postfix at kabelplus.at>:
> 
> Hallo,
> 
> ich bin am verzweifeln und hoffe, dass Ihr mir helfen könnt.
> 
> Ich habe Virtual Mailbox Domains angelegt, hat super geklappt, mein nächstes Ziel war das ganze mit MySql.
> 
> MySql ist für Postfix installiert:
> 
> root at c5773:~# postconf -m
> btree
> cidr
> environ
> fail
> hash
> internal
> memcache
> mysql
> nis
> pcre
> proxy
> regexp
> sdbm
> socketmap
> sqlite
> static
> tcp
> texthash
> unix
> 
> Alle diese Tests haben geklappt:
> 
> mysql -u postfix -p -h localhost -A
> CONNECT mail;
> SELECT domain FROM virtual_mailbox_domains WHERE domain = 'c5773.rasic.at';
> SELECT virtual_uid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
> SELECT virtual_gid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
> SELECT virtual_mailbox FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
> postmap -q "c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_domains.cf
> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_uid_maps.cf
> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_gid_maps.cf
> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf
> postmap -q "dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_alias_maps.cf
> 
> Testmail senden hat nicht geklappt, bekomme die folgende Fehlermeldung:
> 
> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: connect from mx04.kabsi.at[62.40.128.131]
> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)
> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: NOQUEUE: reject: RCPT from mx04.kabsi.at[62.40.128.131]: 451 4.3.0 <dejan at c5773.rasic.at>: Temporary lookup failure; from=<r.dejan at kabelplus.at> to=<dejan at c5773.rasic.at> proto=ESMTP helo=<mx04.kabsi.at>
> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: disconnect from mx04.kabsi.at[62.40.128.131]
> 
> Aus irgendeinen Grund kann sich Postfix nicht mit MySql verbinden, was habe ich falsch gemacht?
> 
> Als Anhang gibt es noch meine main.cf und Master.cf
> 
> Ich hoffe Ihr könnt mir helfen, Danke im voraus.
> 
> Lg Dejan
> 
> <main.cf>
> <master.cf>
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From werner at aloah-from-hell.de  Mon Apr 14 08:35:41 2014
From: werner at aloah-from-hell.de (Werner Detter)
Date: Mon, 14 Apr 2014 08:35:41 +0200
Subject: [Postfixbuch-users] MySQL Datenbank erstellen (Postfix)
In-Reply-To: <B7FC0910-7EB6-41AF-BE0C-0F43CBE6DF72@kabelplus.at>
References: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
 <534A84B5.8020008@aloah-from-hell.de>
 <B7FC0910-7EB6-41AF-BE0C-0F43CBE6DF72@kabelplus.at>
Message-ID: <534B81BD.8000306@aloah-from-hell.de>

Am 13.04.14 17:34, schrieb Dejan (Postfix):
> CREATE TABLE virtual_mailbox_domains (
>>  Id int(10) unsigned NOT NULL auto_increment,
>>  domain varchar(255) default NULL,
>>  PRIMARY KEY  (Id),
>>  FULLTEXT KEY domains (domain)
>> ) ENGINE=MyISAM COMMENT='Postfix virtual domains?;

Weil das Hochkomma am Ende falsch ist, das Statement klappt wunderbar:

mysql> CREATE TABLE virtual_mailbox_domains (
    ->  Id int(10) unsigned NOT NULL auto_increment,
    ->  domain varchar(255) default NULL,
    ->  PRIMARY KEY  (Id),
    ->  FULLTEXT KEY domains (domain)
    -> ) ENGINE=MyISAM COMMENT='Postfix virtual domains';

Query OK, 0 rows affected (0.00 sec)





From postfix at kabelplus.at  Mon Apr 14 08:39:27 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 14 Apr 2014 08:39:27 +0200
Subject: [Postfixbuch-users] MySQL Datenbank erstellen (Postfix)
In-Reply-To: <534B81BD.8000306@aloah-from-hell.de>
References: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
 <534A84B5.8020008@aloah-from-hell.de>
 <B7FC0910-7EB6-41AF-BE0C-0F43CBE6DF72@kabelplus.at>
 <534B81BD.8000306@aloah-from-hell.de>
Message-ID: <5DEBE281-0563-4870-A348-CE6EE1A31AC7@kabelplus.at>

Danke, für deine Antwort, habe ich gesehen, ich bin etwas müde, kämpfe schon lange damit, habe zu spät gesehen.

Lg Dejan

Am 14.04.2014 um 08:35 schrieb Werner Detter <werner at aloah-from-hell.de>:

> Am 13.04.14 17:34, schrieb Dejan (Postfix):
>> CREATE TABLE virtual_mailbox_domains (
>>> Id int(10) unsigned NOT NULL auto_increment,
>>> domain varchar(255) default NULL,
>>> PRIMARY KEY  (Id),
>>> FULLTEXT KEY domains (domain)
>>> ) ENGINE=MyISAM COMMENT='Postfix virtual domains?;
> 
> Weil das Hochkomma am Ende falsch ist, das Statement klappt wunderbar:
> 
> mysql> CREATE TABLE virtual_mailbox_domains (
>    ->  Id int(10) unsigned NOT NULL auto_increment,
>    ->  domain varchar(255) default NULL,
>    ->  PRIMARY KEY  (Id),
>    ->  FULLTEXT KEY domains (domain)
>    -> ) ENGINE=MyISAM COMMENT='Postfix virtual domains';
> 
> Query OK, 0 rows affected (0.00 sec)
> 
> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From postfix at kabelplus.at  Mon Apr 14 09:01:52 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 14 Apr 2014 09:01:52 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
 <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
Message-ID: <581C739C-AD74-4289-A319-5E2D8F4DE90A@kabelplus.at>

danke für deine schnelle Antwort Christian. Ich habe vergessen zu erwähnen, dass ich ein Postfix Neuling bin.

chroot kann ich in Master.cf so ausschalten?

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
.
.
.
smtp      unix  -       -       n       -       -       smtp

Ist das richtig?

Wie richte ich die TCP Verbindung ein?
oder meinst du, soll ich z.B. in der virtual_mailbox_domains.cf bei hosts = 127.0.0.1:3306 eintragen?

user = postfix
password = ***********
hosts = 127.0.0.1:3306
dbname = mail
table = virtual_mailbox_domains
query = SELECT domain FROM virtual_mailbox_domains WHERE domain = '%s'

Lg Dejan

Am 14.04.2014 um 07:43 schrieb Christian Garling <christian.garling at cg-networks.de>:

> Hi Dejan,
> 
> Postfix läuft im Chroot, dein MySQL Socket liegt außerhalb dessen, weshalb Postfix da nicht dran kommt. Nutze einfach statt Unix Sockets eine TCP Verbindung auf 127.0.0.1:3306 dann sollte es gehen.
> 
> Gruß, Christian
> 
> Von meinem Wählscheibentelefon 
> gesendet
> 
>> Am 14.04.2014 um 05:31 schrieb "Dejan (Postfix)" <postfix at kabelplus.at>:
>> 
>> Hallo,
>> 
>> ich bin am verzweifeln und hoffe, dass Ihr mir helfen könnt.
>> 
>> Ich habe Virtual Mailbox Domains angelegt, hat super geklappt, mein nächstes Ziel war das ganze mit MySql.
>> 
>> MySql ist für Postfix installiert:
>> 
>> root at c5773:~# postconf -m
>> btree
>> cidr
>> environ
>> fail
>> hash
>> internal
>> memcache
>> mysql
>> nis
>> pcre
>> proxy
>> regexp
>> sdbm
>> socketmap
>> sqlite
>> static
>> tcp
>> texthash
>> unix
>> 
>> Alle diese Tests haben geklappt:
>> 
>> mysql -u postfix -p -h localhost -A
>> CONNECT mail;
>> SELECT domain FROM virtual_mailbox_domains WHERE domain = 'c5773.rasic.at';
>> SELECT virtual_uid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>> SELECT virtual_gid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>> SELECT virtual_mailbox FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>> postmap -q "c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_domains.cf
>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_uid_maps.cf
>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_gid_maps.cf
>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf
>> postmap -q "dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_alias_maps.cf
>> 
>> Testmail senden hat nicht geklappt, bekomme die folgende Fehlermeldung:
>> 
>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: connect from mx04.kabsi.at[62.40.128.131]
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: NOQUEUE: reject: RCPT from mx04.kabsi.at[62.40.128.131]: 451 4.3.0 <dejan at c5773.rasic.at>: Temporary lookup failure; from=<r.dejan at kabelplus.at> to=<dejan at c5773.rasic.at> proto=ESMTP helo=<mx04.kabsi.at>
>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: disconnect from mx04.kabsi.at[62.40.128.131]
>> 
>> Aus irgendeinen Grund kann sich Postfix nicht mit MySql verbinden, was habe ich falsch gemacht?
>> 
>> Als Anhang gibt es noch meine main.cf und Master.cf
>> 
>> Ich hoffe Ihr könnt mir helfen, Danke im voraus.
>> 
>> Lg Dejan
>> 
>> <main.cf>
>> <master.cf>
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>> 
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/de4154b8/attachment.htm>

From postfix at kabelplus.at  Mon Apr 14 09:02:43 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 14 Apr 2014 09:02:43 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
 <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
Message-ID: <61FEDC21-F3CD-4019-8AB9-4C5F9A752B04@kabelplus.at>

danke für deine schnelle Antwort Christian. Ich habe vergessen zu erwähnen, dass ich ein Postfix Neuling bin.

chroot kann ich in Master.cf so ausschalten?

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
.
.
.
smtp      unix  -       -       n       -       -       smtp

Ist das richtig?

Wie richte ich die TCP Verbindung ein?
oder meinst du, soll ich z.B. in der virtual_mailbox_domains.cf bei hosts = 127.0.0.1:3306 eintragen?

user = postfix
password = ***********
hosts = 127.0.0.1:3306
dbname = mail
table = virtual_mailbox_domains
query = SELECT domain FROM virtual_mailbox_domains WHERE domain = '%s'

Lg Dejan

Am 14.04.2014 um 07:43 schrieb Christian Garling <christian.garling at cg-networks.de>:

> Hi Dejan,
> 
> Postfix läuft im Chroot, dein MySQL Socket liegt außerhalb dessen, weshalb Postfix da nicht dran kommt. Nutze einfach statt Unix Sockets eine TCP Verbindung auf 127.0.0.1:3306 dann sollte es gehen.
> 
> Gruß, Christian
> 
> Von meinem Wählscheibentelefon 
> gesendet
> 
>> Am 14.04.2014 um 05:31 schrieb "Dejan (Postfix)" <postfix at kabelplus.at>:
>> 
>> Hallo,
>> 
>> ich bin am verzweifeln und hoffe, dass Ihr mir helfen könnt.
>> 
>> Ich habe Virtual Mailbox Domains angelegt, hat super geklappt, mein nächstes Ziel war das ganze mit MySql.
>> 
>> MySql ist für Postfix installiert:
>> 
>> root at c5773:~# postconf -m
>> btree
>> cidr
>> environ
>> fail
>> hash
>> internal
>> memcache
>> mysql
>> nis
>> pcre
>> proxy
>> regexp
>> sdbm
>> socketmap
>> sqlite
>> static
>> tcp
>> texthash
>> unix
>> 
>> Alle diese Tests haben geklappt:
>> 
>> mysql -u postfix -p -h localhost -A
>> CONNECT mail;
>> SELECT domain FROM virtual_mailbox_domains WHERE domain = 'c5773.rasic.at';
>> SELECT virtual_uid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>> SELECT virtual_gid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>> SELECT virtual_mailbox FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>> postmap -q "c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_domains.cf
>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_uid_maps.cf
>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_gid_maps.cf
>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf
>> postmap -q "dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_alias_maps.cf
>> 
>> Testmail senden hat nicht geklappt, bekomme die folgende Fehlermeldung:
>> 
>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: connect from mx04.kabsi.at[62.40.128.131]
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: NOQUEUE: reject: RCPT from mx04.kabsi.at[62.40.128.131]: 451 4.3.0 <dejan at c5773.rasic.at>: Temporary lookup failure; from=<r.dejan at kabelplus.at> to=<dejan at c5773.rasic.at> proto=ESMTP helo=<mx04.kabsi.at>
>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: disconnect from mx04.kabsi.at[62.40.128.131]
>> 
>> Aus irgendeinen Grund kann sich Postfix nicht mit MySql verbinden, was habe ich falsch gemacht?
>> 
>> Als Anhang gibt es noch meine main.cf und Master.cf
>> 
>> Ich hoffe Ihr könnt mir helfen, Danke im voraus.
>> 
>> Lg Dejan
>> 
>> <main.cf>
>> <master.cf>
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>> 
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/d7c0cbf8/attachment.htm>

From christian.garling at cg-networks.de  Mon Apr 14 10:26:38 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Mon, 14 Apr 2014 10:26:38 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534ADC8A.8080607@heinlein-support.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de>
Message-ID: <534B9BBE.6060306@cg-networks.de>

Ich muss da nochmal einhaken. Warum sollte ich die 
smtpd_recipient_restrictions für meine Clients die per submission 
einliefern so lasch setzen?
Aus meiner Sicht können und sollten die Clients die Checks durchlaufen, 
die in der main.cf definiert sind:

                         # role accounts (abuse and postmaster)
                                 check_recipient_access 
hash:/etc/postfix/access_maps/role_accounts,
                         # whitelists / blacklists
                                 check_client_access 
hash:/etc/postfix/access_maps/hostname,
                                 check_client_access 
cidr:/etc/postfix/access_maps/ip.cidr,
                                 check_helo_access 
hash:/etc/postfix/access_maps/helo,
                                 check_helo_access 
pcre:/etc/postfix/access_maps/helo.pcre,
                                 check_sender_access 
hash:/etc/postfix/access_maps/sender,
                                 check_recipient_access 
hash:/etc/postfix/access_maps/recipient,
                         # reject non-compliant mails
                                 reject_non_fqdn_sender,
                                 reject_non_fqdn_recipient,
                                 reject_unknown_sender_domain,
                                 reject_unknown_recipient_domain,
                                 reject_invalid_hostname,
                         # permit authenticated and local users
                                 permit_sasl_authenticated,
                                 permit_mynetworks,
                                 [...]

Was spricht dagegen? Was spricht stattdessen für:

         -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Als gravierenden Unterschied sehe ich das sofortige reject für alles 
außer meinen Clients. Macht es stattdessen Sinn die Option zu erweitern?

         -o 
smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject

Im Grunde könnte ich dann ja als letzte Konsequenz auch 
permit_sasl_authenticated aus den smtpd_recipient_restrictions in der 
main.cf gänzlich entfernen, da meine Clients ja nur noch per Port 587 
einliefern (müssen) und Port 25 dem Empfang von "außen" vorbehalten bleibt.

Ich freue mich auf eure Kommentare.

Gruß, Christian


Am 13.04.2014 20:50, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 13.04.2014 20:01, schrieb Christian Garling:
>
>> submission inet n       -       n       -       -       smtpd -o
>> smtpd_proxy_filter= -o content_filter=127.0.0.1:10024 #  -o
>> smtpd_tls_security_level=encrypt #  -o smtpd_sasl_auth_enable=yes #
>> -o smtpd_client_restrictions=permit_sasl_authenticated,reject #  -o
>> milter_macro_daemon_name=ORIGINATING
> Der Syntax vom content_filter ist ein "nexthop"-Syntax wie in der
> transport_maps.
>
> Also:
>
> smtp:[127.0.0.1]:10024
>
> Außerdem hast Du submission kaputt gemacht. Die vier Zeilen dadrunter
> müssen ebenfalls aktiv sein.
>
> Peer
>
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTStyKAAoJEAOLLpq5E82H8+gH/3cRULQEPdErcwxTqqon/wXs
> 92CY6CIuEUPRjgKblcjmC41C0vuWYXnEGLGbySVBwSM8cDQNmR+vE+VIiLmdjz5g
> uto8T1VIhnmSBM7RnU9yQm9QEvMnteChKAsWo612defcEK2yOnxDa0lLk32zLb4C
> cjvOtPDLIjd+eh3Wpu1ZmCcQ45epIve02GopHLYsimAq6bKUn6l+HauU9oxExL5q
> L/RUavouCmSC2Tg7SdAkNTev1vh6lseNVXA1LCb254Agv74SrKrXpnDMwiPslJgM
> IRW57CYCsQ+u2fI4dRcNE3mR0oS4DxlpUVzQ+nilJWN8R4zkdbiGfLxLLkahx8k=
> =XMbp
> -----END PGP SIGNATURE-----



From p at sys4.de  Mon Apr 14 10:37:03 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 14 Apr 2014 10:37:03 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534B9BBE.6060306@cg-networks.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de>
 <534B9BBE.6060306@cg-networks.de>
Message-ID: <20140414083703.GB5221@sys4.de>

Die Aufgabe eines Submission-Hosts ist, E-Mail in den Transport-Verkehr
aufzunehmen. Zentraler Bestandteil dieser Aufgabe ist, die Nachricht auf
Transportfähigkeit zu prüfen und sie nur dann anzunehmen, wenn das gegeben
ist.

Transportfähig ist eine Nachricht dann, wenn

- Envelope-Sender und -Recipient RFC-konform sind (localpart at domainpart)
- der Submission-Host zum Zeitpunkt der Transportanfrage in der Lage ist,
  Quell- und Zieldomain aufzulösen, um Transport und Rücktransport (bounce)
  abzuwickeln

RFC-konform ist sie u.a. wenn From:-Header, Subject:-Header UND Date:-Header
gesetzt sind. Ist das nicht der Fall, sollte der Submission-Host (und nur DER)
nachbessern.

Insofern finde ich Deine Restrictions grundsätzlich richtig. Wenn Du darüber
hinaus noch anderen Tests durchführst, ist das Deine persönliche Entscheidung
bzw. Company Policy. Hauptsache, Du hast das Recht dazu. Ausgehend Spam prüfen
ist z.B. nicht per default gestattet.

p at rick


* Christian Garling <postfixbuch-users at listen.jpberlin.de>:
> Ich muss da nochmal einhaken. Warum sollte ich die
> smtpd_recipient_restrictions für meine Clients die per submission
> einliefern so lasch setzen?
> Aus meiner Sicht können und sollten die Clients die Checks
> durchlaufen, die in der main.cf definiert sind:
> 
>                         # role accounts (abuse and postmaster)
>                                 check_recipient_access
> hash:/etc/postfix/access_maps/role_accounts,
>                         # whitelists / blacklists
>                                 check_client_access
> hash:/etc/postfix/access_maps/hostname,
>                                 check_client_access
> cidr:/etc/postfix/access_maps/ip.cidr,
>                                 check_helo_access
> hash:/etc/postfix/access_maps/helo,
>                                 check_helo_access
> pcre:/etc/postfix/access_maps/helo.pcre,
>                                 check_sender_access
> hash:/etc/postfix/access_maps/sender,
>                                 check_recipient_access
> hash:/etc/postfix/access_maps/recipient,
>                         # reject non-compliant mails
>                                 reject_non_fqdn_sender,
>                                 reject_non_fqdn_recipient,
>                                 reject_unknown_sender_domain,
>                                 reject_unknown_recipient_domain,
>                                 reject_invalid_hostname,
>                         # permit authenticated and local users
>                                 permit_sasl_authenticated,
>                                 permit_mynetworks,
>                                 [...]
> 
> Was spricht dagegen? Was spricht stattdessen für:
> 
>         -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> 
> Als gravierenden Unterschied sehe ich das sofortige reject für alles
> außer meinen Clients. Macht es stattdessen Sinn die Option zu
> erweitern?
> 
>         -o smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
> 
> Im Grunde könnte ich dann ja als letzte Konsequenz auch
> permit_sasl_authenticated aus den smtpd_recipient_restrictions in
> der main.cf gänzlich entfernen, da meine Clients ja nur noch per
> Port 587 einliefern (müssen) und Port 25 dem Empfang von "außen"
> vorbehalten bleibt.
> 
> Ich freue mich auf eure Kommentare.
> 
> Gruß, Christian
> 
> 
> Am 13.04.2014 20:50, schrieb Peer Heinlein:
> >-----BEGIN PGP SIGNED MESSAGE-----
> >Hash: SHA1
> >
> >Am 13.04.2014 20:01, schrieb Christian Garling:
> >
> >>submission inet n       -       n       -       -       smtpd -o
> >>smtpd_proxy_filter= -o content_filter=127.0.0.1:10024 #  -o
> >>smtpd_tls_security_level=encrypt #  -o smtpd_sasl_auth_enable=yes #
> >>-o smtpd_client_restrictions=permit_sasl_authenticated,reject #  -o
> >>milter_macro_daemon_name=ORIGINATING
> >Der Syntax vom content_filter ist ein "nexthop"-Syntax wie in der
> >transport_maps.
> >
> >Also:
> >
> >smtp:[127.0.0.1]:10024
> >
> >Außerdem hast Du submission kaputt gemacht. Die vier Zeilen dadrunter
> >müssen ebenfalls aktiv sein.
> >
> >Peer
> >
> >
> >
> >- -- Heinlein Support GmbH
> >Schwedter Str. 8/9b, 10119 Berlin
> >
> >http://www.heinlein-support.de
> >
> >Tel: 030 / 405051-42
> >Fax: 030 / 405051-19
> >
> >Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> >Berlin-Charlottenburg,
> >Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> >-----BEGIN PGP SIGNATURE-----
> >Version: GnuPG v2.0.22 (GNU/Linux)
> >Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
> >
> >iQEcBAEBAgAGBQJTStyKAAoJEAOLLpq5E82H8+gH/3cRULQEPdErcwxTqqon/wXs
> >92CY6CIuEUPRjgKblcjmC41C0vuWYXnEGLGbySVBwSM8cDQNmR+vE+VIiLmdjz5g
> >uto8T1VIhnmSBM7RnU9yQm9QEvMnteChKAsWo612defcEK2yOnxDa0lLk32zLb4C
> >cjvOtPDLIjd+eh3Wpu1ZmCcQ45epIve02GopHLYsimAq6bKUn6l+HauU9oxExL5q
> >L/RUavouCmSC2Tg7SdAkNTev1vh6lseNVXA1LCb254Agv74SrKrXpnDMwiPslJgM
> >IRW57CYCsQ+u2fI4dRcNE3mR0oS4DxlpUVzQ+nilJWN8R4zkdbiGfLxLLkahx8k=
> >=XMbp
> >-----END PGP SIGNATURE-----
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From p.heinlein at heinlein-support.de  Mon Apr 14 11:13:25 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 14 Apr 2014 11:13:25 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534B9BBE.6060306@cg-networks.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
Message-ID: <534BA6B5.4090807@heinlein-support.de>

Am 14.04.2014 10:26, schrieb Christian Garling:


> Was spricht dagegen? Was spricht stattdessen für:
> 
>         -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Das sind ja nur die CLIENT-Restrictions. Und die dienen beim
Submission.-Port dazu, die nicht-authentifizierten User rauszukicken.

> Als gravierenden Unterschied sehe ich das sofortige reject für alles
> außer meinen Clients. Macht es stattdessen Sinn die Option zu erweitern?

Nein, weil Du ja weiterhin die normalen RECIPIENT-restrictions hast und
dort alles ganz normal prüfst. Du verlierst ja nichts. Du schaltest die
client-restrictions ja quasi nur als Filter davor.

>         -o
> smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject

Wie gesagt: Doppelt, ist in den smtpd_recipient_restrictions ja
weiterhin dabei.

Peer




-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From christian.garling at cg-networks.de  Mon Apr 14 11:31:29 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Mon, 14 Apr 2014 11:31:29 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534BA6B5.4090807@heinlein-support.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
 <534BA6B5.4090807@heinlein-support.de>
Message-ID: <534BAAF1.6070207@cg-networks.de>

Hallo

Am 14.04.2014 11:13, schrieb Peer Heinlein:
> Am 14.04.2014 10:26, schrieb Christian Garling:
>
>
>> Was spricht dagegen? Was spricht stattdessen für:
>>
>>          -o smtpd_client_restrictions=permit_sasl_authenticated,reject
da habe ich wohl smtpd_client_restrictions und 
smtpd_recipient_restrictions miteinander vermischt bzw. gar nicht drauf 
geachtet, das hier client und nicht recipient steht, mea culpa!

> Das sind ja nur die CLIENT-Restrictions. Und die dienen beim
> Submission.-Port dazu, die nicht-authentifizierten User rauszukicken.
>
>> Als gravierenden Unterschied sehe ich das sofortige reject für alles
>> außer meinen Clients. Macht es stattdessen Sinn die Option zu erweitern?
> Nein, weil Du ja weiterhin die normalen RECIPIENT-restrictions hast und
> dort alles ganz normal prüfst. Du verlierst ja nichts. Du schaltest die
> client-restrictions ja quasi nur als Filter davor.
>
>>          -o
>> smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
> Wie gesagt: Doppelt, ist in den smtpd_recipient_restrictions ja
> weiterhin dabei.
Ich habe es nun etwas umgebaut. master.cf:

smtp      inet  n    -    n    -    -    smtpd
         -o smtpd_proxy_filter=[127.0.0.1]:10024
         -o content_filter=
         -o smtpd_sasl_auth_enable=no
submission inet n    -    n    -    -    smtpd
         -o smtpd_proxy_filter=
         -o content_filter=amavisfeed:[127.0.0.1]:10024
         -o smtpd_tls_security_level=encrypt
         -o smtpd_sasl_auth_enable=yes
         -o smtpd_sasl_type=dovecot
         -o smtpd_sasl_path=private/auth
         -o smtpd_tls_auth_only=yes
         -o broken_sasl_auth_clients=yes
         -o smtpd_client_restrictions=permit_sasl_authenticated,reject
         -o milter_macro_daemon_name=ORIGINATING

# from postfix to amavis
amavisfeed unix    -       -       n        -      2     lmtp
      -o lmtp_data_done_timeout=1200
      -o lmtp_send_xforward_command=yes
      -o lmtp_tls_note_starttls_offer=no

Außerdem in der main.cf:

# sasl authentication
#smtpd_sasl_type = dovecot
#smtpd_sasl_path = private/auth
#smtpd_sasl_auth_enable = yes
#smtpd_tls_auth_only = yes
#broken_sasl_auth_clients = yes

Und aus den smtpd_recipient_restrictions habe ich 
permit_sasl_authenticated herausgenommen, weil die sind ja vorher schon weg.

In Amavis werde ich noch eine policy-bank einrichten, die durch 
submission eingelieferte Mails nur auf Viren aber nicht auf Spam prüft, 
damit ich auch hier sauber bin.

Passt das nun so oder habe ich einen Denkfehler gemacht?

>
> Peer
Christian
>
>
>
>



From dieter.ringen at polizei.niedersachsen.de  Mon Apr 14 11:36:17 2014
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme))
Date: Mon, 14 Apr 2014 11:36:17 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <LV-MX-00013DiBkVWXD00042f93@LV-MX-00013.LV.ads.niedersachsen.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
 <534BA6B5.4090807@heinlein-support.de>
 <LV-MX-00013DiBkVWXD00042f93@LV-MX-00013.LV.ads.niedersachsen.de>
Message-ID: <534BAC11.8020503@polizei.niedersachsen.de>



Am 14.04.2014 11:31, schrieb Christian Garling:
> Hallo
> 
> Am 14.04.2014 11:13, schrieb Peer Heinlein:
>> Am 14.04.2014 10:26, schrieb Christian Garling:
>>
>>
>>> Was spricht dagegen? Was spricht stattdessen für:
>>>
>>>          -o smtpd_client_restrictions=permit_sasl_authenticated,reject
> da habe ich wohl smtpd_client_restrictions und
> smtpd_recipient_restrictions miteinander vermischt bzw. gar nicht drauf
> geachtet, das hier client und nicht recipient steht, mea culpa!
> 
>> Das sind ja nur die CLIENT-Restrictions. Und die dienen beim
>> Submission.-Port dazu, die nicht-authentifizierten User rauszukicken.
>>
>>> Als gravierenden Unterschied sehe ich das sofortige reject für alles
>>> außer meinen Clients. Macht es stattdessen Sinn die Option zu erweitern?
>> Nein, weil Du ja weiterhin die normalen RECIPIENT-restrictions hast und
>> dort alles ganz normal prüfst. Du verlierst ja nichts. Du schaltest die
>> client-restrictions ja quasi nur als Filter davor.
>>
>>>          -o
>>> smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
>>>
>> Wie gesagt: Doppelt, ist in den smtpd_recipient_restrictions ja
>> weiterhin dabei.
> Ich habe es nun etwas umgebaut. master.cf:
> 
> smtp      inet  n    -    n    -    -    smtpd
>         -o smtpd_proxy_filter=[127.0.0.1]:10024
Beim Proxyfilter mußt du die eckigen Klammern weglassen
smtpd_proxy_filter              = 127.0.0.1:10024



>         -o content_filter=
>         -o smtpd_sasl_auth_enable=no
> submission inet n    -    n    -    -    smtpd
>         -o smtpd_proxy_filter=
>         -o content_filter=amavisfeed:[127.0.0.1]:10024
>         -o smtpd_tls_security_level=encrypt
>         -o smtpd_sasl_auth_enable=yes
>         -o smtpd_sasl_type=dovecot
>         -o smtpd_sasl_path=private/auth
>         -o smtpd_tls_auth_only=yes
>         -o broken_sasl_auth_clients=yes
>         -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>         -o milter_macro_daemon_name=ORIGINATING
> 
> # from postfix to amavis
> amavisfeed unix    -       -       n        -      2     lmtp
>      -o lmtp_data_done_timeout=1200
>      -o lmtp_send_xforward_command=yes
>      -o lmtp_tls_note_starttls_offer=no
> 
> Außerdem in der main.cf:
> 
> # sasl authentication
> #smtpd_sasl_type = dovecot
> #smtpd_sasl_path = private/auth
> #smtpd_sasl_auth_enable = yes
> #smtpd_tls_auth_only = yes
> #broken_sasl_auth_clients = yes
> 
> Und aus den smtpd_recipient_restrictions habe ich
> permit_sasl_authenticated herausgenommen, weil die sind ja vorher schon
> weg.
> 
> In Amavis werde ich noch eine policy-bank einrichten, die durch
> submission eingelieferte Mails nur auf Viren aber nicht auf Spam prüft,
> damit ich auch hier sauber bin.
> 
> Passt das nun so oder habe ich einen Denkfehler gemacht?
> 
>>
>> Peer
> Christian
>>
>>
>>
>>
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
Dezernat 42.5.3 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695-7929
mailto:dieter.ringen at polizei.niedersachsen.de



From christian.garling at cg-networks.de  Mon Apr 14 11:45:36 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Mon, 14 Apr 2014 11:45:36 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534BAC11.8020503@polizei.niedersachsen.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
 <534BA6B5.4090807@heinlein-support.de>
 <LV-MX-00013DiBkVWXD00042f93@LV-MX-00013.LV.ads.niedersachsen.de>
 <534BAC11.8020503@polizei.niedersachsen.de>
Message-ID: <534BAE40.8080008@cg-networks.de>

Danke Dieter, habs direkt angepasst. Noch ist kein Live-Betrieb, daher 
stelle ich gerade auch die ganzen Fragen :-)

Am 14.04.2014 11:36, schrieb Ringen, Dieter (ZPD Dez. 42.5 - Zentrale 
Systeme):
>
> Am 14.04.2014 11:31, schrieb Christian Garling:
>> Hallo
>>
>> Am 14.04.2014 11:13, schrieb Peer Heinlein:
>>> Am 14.04.2014 10:26, schrieb Christian Garling:
>>>
>>>
>>>> Was spricht dagegen? Was spricht stattdessen für:
>>>>
>>>>           -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>> da habe ich wohl smtpd_client_restrictions und
>> smtpd_recipient_restrictions miteinander vermischt bzw. gar nicht drauf
>> geachtet, das hier client und nicht recipient steht, mea culpa!
>>
>>> Das sind ja nur die CLIENT-Restrictions. Und die dienen beim
>>> Submission.-Port dazu, die nicht-authentifizierten User rauszukicken.
>>>
>>>> Als gravierenden Unterschied sehe ich das sofortige reject für alles
>>>> außer meinen Clients. Macht es stattdessen Sinn die Option zu erweitern?
>>> Nein, weil Du ja weiterhin die normalen RECIPIENT-restrictions hast und
>>> dort alles ganz normal prüfst. Du verlierst ja nichts. Du schaltest die
>>> client-restrictions ja quasi nur als Filter davor.
>>>
>>>>           -o
>>>> smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
>>>>
>>> Wie gesagt: Doppelt, ist in den smtpd_recipient_restrictions ja
>>> weiterhin dabei.
>> Ich habe es nun etwas umgebaut. master.cf:
>>
>> smtp      inet  n    -    n    -    -    smtpd
>>          -o smtpd_proxy_filter=[127.0.0.1]:10024
> Beim Proxyfilter mußt du die eckigen Klammern weglassen
> smtpd_proxy_filter              = 127.0.0.1:10024
>
>
>
>>          -o content_filter=
>>          -o smtpd_sasl_auth_enable=no
>> submission inet n    -    n    -    -    smtpd
>>          -o smtpd_proxy_filter=
>>          -o content_filter=amavisfeed:[127.0.0.1]:10024
>>          -o smtpd_tls_security_level=encrypt
>>          -o smtpd_sasl_auth_enable=yes
>>          -o smtpd_sasl_type=dovecot
>>          -o smtpd_sasl_path=private/auth
>>          -o smtpd_tls_auth_only=yes
>>          -o broken_sasl_auth_clients=yes
>>          -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>>          -o milter_macro_daemon_name=ORIGINATING
>>
>> # from postfix to amavis
>> amavisfeed unix    -       -       n        -      2     lmtp
>>       -o lmtp_data_done_timeout=1200
>>       -o lmtp_send_xforward_command=yes
>>       -o lmtp_tls_note_starttls_offer=no
>>
>> Außerdem in der main.cf:
>>
>> # sasl authentication
>> #smtpd_sasl_type = dovecot
>> #smtpd_sasl_path = private/auth
>> #smtpd_sasl_auth_enable = yes
>> #smtpd_tls_auth_only = yes
>> #broken_sasl_auth_clients = yes
>>
>> Und aus den smtpd_recipient_restrictions habe ich
>> permit_sasl_authenticated herausgenommen, weil die sind ja vorher schon
>> weg.
>>
>> In Amavis werde ich noch eine policy-bank einrichten, die durch
>> submission eingelieferte Mails nur auf Viren aber nicht auf Spam prüft,
>> damit ich auch hier sauber bin.
>>
>> Passt das nun so oder habe ich einen Denkfehler gemacht?
>>
>>> Peer
>> Christian
>>>
>>>
>>>
> mit freundlichem Gruß
>
> Dieter Ringen
> Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
> Dezernat 42.5.3 - IT - Infrastruktur
> Tel: 0511 9695 -7653
> Fax: 0511 9695-7929
> mailto:dieter.ringen at polizei.niedersachsen.de
>



From p.heinlein at heinlein-support.de  Mon Apr 14 12:40:31 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 14 Apr 2014 12:40:31 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534BAAF1.6070207@cg-networks.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
 <534BA6B5.4090807@heinlein-support.de> <534BAAF1.6070207@cg-networks.de>
Message-ID: <534BBB1F.7060805@heinlein-support.de>

Am 14.04.2014 11:31, schrieb Christian Garling:
> smtp      inet  n    -    n    -    -    smtpd
>         -o smtpd_proxy_filter=[127.0.0.1]:10024

Im proxy-Filter keine eckigen Klammern, solange es nicht IPv6 ist.

> Und aus den smtpd_recipient_restrictions habe ich
> permit_sasl_authenticated herausgenommen, weil die sind ja vorher schon
> weg.

Nein. Bitte drin lassen, sonst geht es nicht. Postfix prüft die
Restrictions auch VOR dem Proxy zu Amavis. Sonst lehnt er Deine Mails ab.

> In Amavis werde ich noch eine policy-bank einrichten, die durch
> submission eingelieferte Mails nur auf Viren aber nicht auf Spam prüft,
> damit ich auch hier sauber bin.

Klar. Niemand auf der Welt verschickt Spam. Den empfängt man ja immer nur.

> Passt das nun so oder habe ich einen Denkfehler gemacht?

Du solltest ausgehende Mails auf Spam filtern.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From christian.garling at cg-networks.de  Mon Apr 14 13:06:28 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Mon, 14 Apr 2014 13:06:28 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534BBB1F.7060805@heinlein-support.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
 <534BA6B5.4090807@heinlein-support.de> <534BAAF1.6070207@cg-networks.de>
 <534BBB1F.7060805@heinlein-support.de>
Message-ID: <534BC134.5010209@cg-networks.de>

Hi,

Am 14.04.2014 12:40, schrieb Peer Heinlein:
> Am 14.04.2014 11:31, schrieb Christian Garling:
>> smtp      inet  n    -    n    -    -    smtpd
>>          -o smtpd_proxy_filter=[127.0.0.1]:10024
> Im proxy-Filter keine eckigen Klammern, solange es nicht IPv6 ist.
>
>> Und aus den smtpd_recipient_restrictions habe ich
>> permit_sasl_authenticated herausgenommen, weil die sind ja vorher schon
>> weg.
> Nein. Bitte drin lassen, sonst geht es nicht. Postfix prüft die
> Restrictions auch VOR dem Proxy zu Amavis. Sonst lehnt er Deine Mails ab.
>
>> In Amavis werde ich noch eine policy-bank einrichten, die durch
>> submission eingelieferte Mails nur auf Viren aber nicht auf Spam prüft,
>> damit ich auch hier sauber bin.
> Klar. Niemand auf der Welt verschickt Spam. Den empfängt man ja immer nur.
>
>> Passt das nun so oder habe ich einen Denkfehler gemacht?
> Du solltest ausgehende Mails auf Spam filtern.
Ich hatte mich damit auf den Satz von Patrick bezogen:

Ausgehend Spam prüfen ist z.B. nicht per default gestattet.

Daher hatte ich das in Erwägung gezogen.

>
> Peer
Christian
>
>



From p.heinlein at heinlein-support.de  Mon Apr 14 13:16:45 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 14 Apr 2014 13:16:45 +0200
Subject: [Postfixbuch-users] Einbindung Amavis in submission klappt nicht
In-Reply-To: <534BC134.5010209@cg-networks.de>
References: <534AD111.4030003@cg-networks.de>
 <534ADC8A.8080607@heinlein-support.de> <534B9BBE.6060306@cg-networks.de>
 <534BA6B5.4090807@heinlein-support.de> <534BAAF1.6070207@cg-networks.de>
 <534BBB1F.7060805@heinlein-support.de> <534BC134.5010209@cg-networks.de>
Message-ID: <534BC39D.4030204@heinlein-support.de>

Am 14.04.2014 13:06, schrieb Christian Garling:

> Ausgehend Spam prüfen ist z.B. nicht per default gestattet.

Pauschalisierte generische Aussagen sind selten richtig. Und von
juristischen Laien erst recht.

Man kann diese Frage keinesfalls in einem Satz und ohne mindestens fünf
"wenn-dann" beantworten. Grundsätzlich sind aus- und eingehende
Spamfilterung gleich, also was hier erlaubt ist, ist dort auch erlaubt.
Diese Unterscheidung hier ist schon im Grundsatz nicht richtig.

Noch viel wichtiger muß man aber erstmal schauen, um welche Situationen,
welche Mails und welche Nutzungsbedingungen es sich handelt. Das läßt
sich ohne Details nicht beantworten.



Peer




-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From postfixbuch at cboltz.de  Mon Apr 14 13:19:58 2014
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Mon, 14 Apr 2014 13:19:58 +0200
Subject: [Postfixbuch-users] MySQL Datenbank erstellen (Postfix)
In-Reply-To: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
References: <8C80196F-F30E-4795-86C1-DEE0661488CE@kabelplus.at>
Message-ID: <16841842.CpMSaaLfzi@tux.boltz.de.vu>

Hallo Dejan, hallo Leute,

Am Sonntag, 13. April 2014 schrieb Dejan:
> ich bin ein absoluter Postfix Neuling und mit dem Postfix-Buch 2.
> Auflage, bin ich bis jetzt ganz gut klar gekommen.
> 
> Ich versuche wie im Buch auf der Seite 295 eine Tabelle
> (virtual_mailbox_domains) in meiner MySql Datenbank anzulegen.

Mal ganz unabhängig von Deinem eigentlichen Problem - mit was willst Du 
die Datenbank später pflegen (Postfächer und Aliase anlegen usw.)?

<eigenwerbung>
Ich kann PostfixAdmin empfehlen ;-)  - 
http://sourceforge.net/projects/postfixadmin
</eigenwerbung>

Falls Du Dich für PostfixAdmin entscheidest, lass bitte auch von dessen 
setup.php die Datenbank anlegen. Die Struktur ist ein wenig anders als 
im Buch, und wenn Du eh von Null startest, kannst Du Dir später den 
Migrationsaufwand auf die passende Datenbank-Struktur sparen ;-)

BTW: Die Einbindung der PostfixAdmin-Datenbank in Postfix und Dovecot 
ist in der PostfixAdmin-Doku beschrieben.


Gruß

Christian Boltz
-- 
> Yapp, wir hamm uns wieder lieb ;) Pinguine zeigen sich den Schnabel,
> dann geht dat wieder.
Mönsch ist das Langweilig.   *poppcornwiederwegräum*
[> Thorsten von Plotho-Kettner und Bernd Brodesser in suse-linux]



From postfix at kabelplus.at  Mon Apr 14 16:04:06 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 14 Apr 2014 16:04:06 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <581C739C-AD74-4289-A319-5E2D8F4DE90A@kabelplus.at>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
 <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
 <581C739C-AD74-4289-A319-5E2D8F4DE90A@kabelplus.at>
Message-ID: <BF20E12A-01E5-48AE-A5A9-A91D109E62E9@kabelplus.at>

Kann mir jemand dabei Bitte helfen?

Danke...

Am 14.04.2014 um 09:01 schrieb Dejan (Postfix) <postfix at kabelplus.at>:

> danke für deine schnelle Antwort Christian. Ich habe vergessen zu erwähnen, dass ich ein Postfix Neuling bin.
> 
> chroot kann ich in Master.cf so ausschalten?
> 
> # ==========================================================================
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> # ==========================================================================
> smtp      inet  n       -       n       -       -       smtpd
> .
> .
> .
> smtp      unix  -       -       n       -       -       smtp
> 
> Ist das richtig?
> 
> Wie richte ich die TCP Verbindung ein?
> oder meinst du, soll ich z.B. in der virtual_mailbox_domains.cf bei hosts = 127.0.0.1:3306 eintragen?
> 
> user = postfix
> password = ***********
> hosts = 127.0.0.1:3306
> dbname = mail
> table = virtual_mailbox_domains
> query = SELECT domain FROM virtual_mailbox_domains WHERE domain = '%s'
> 
> Lg Dejan
> 
> Am 14.04.2014 um 07:43 schrieb Christian Garling <christian.garling at cg-networks.de>:
> 
>> Hi Dejan,
>> 
>> Postfix läuft im Chroot, dein MySQL Socket liegt außerhalb dessen, weshalb Postfix da nicht dran kommt. Nutze einfach statt Unix Sockets eine TCP Verbindung auf 127.0.0.1:3306 dann sollte es gehen.
>> 
>> Gruß, Christian
>> 
>> Von meinem Wählscheibentelefon 
>> gesendet
>> 
>>> Am 14.04.2014 um 05:31 schrieb "Dejan (Postfix)" <postfix at kabelplus.at>:
>>> 
>>> Hallo,
>>> 
>>> ich bin am verzweifeln und hoffe, dass Ihr mir helfen könnt.
>>> 
>>> Ich habe Virtual Mailbox Domains angelegt, hat super geklappt, mein nächstes Ziel war das ganze mit MySql.
>>> 
>>> MySql ist für Postfix installiert:
>>> 
>>> root at c5773:~# postconf -m
>>> btree
>>> cidr
>>> environ
>>> fail
>>> hash
>>> internal
>>> memcache
>>> mysql
>>> nis
>>> pcre
>>> proxy
>>> regexp
>>> sdbm
>>> socketmap
>>> sqlite
>>> static
>>> tcp
>>> texthash
>>> unix
>>> 
>>> Alle diese Tests haben geklappt:
>>> 
>>> mysql -u postfix -p -h localhost -A
>>> CONNECT mail;
>>> SELECT domain FROM virtual_mailbox_domains WHERE domain = 'c5773.rasic.at';
>>> SELECT virtual_uid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>>> SELECT virtual_gid FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>>> SELECT virtual_mailbox FROM virtual_users WHERE email = 'rasic.dejan at c5773.rasic.at';
>>> postmap -q "c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_domains.cf
>>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_uid_maps.cf
>>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_gid_maps.cf
>>> postmap -q "rasic.dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf
>>> postmap -q "dejan at c5773.rasic.at" mysql:/etc/postfix/sql/virtual_alias_maps.cf
>>> 
>>> Testmail senden hat nicht geklappt, bekomme die folgende Fehlermeldung:
>>> 
>>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: connect from mx04.kabsi.at[62.40.128.131]
>>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)
>>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
>>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
>>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: mysql:/etc/postfix/sql/virtual_mailbox_domains.cf: table lookup problem
>>> Apr 14 04:56:38 c5773 postfix/trivial-rewrite[1552]: warning: virtual_mailbox_domains lookup failure
>>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: NOQUEUE: reject: RCPT from mx04.kabsi.at[62.40.128.131]: 451 4.3.0 <dejan at c5773.rasic.at>: Temporary lookup failure; from=<r.dejan at kabelplus.at> to=<dejan at c5773.rasic.at> proto=ESMTP helo=<mx04.kabsi.at>
>>> Apr 14 04:56:38 c5773 postfix/smtpd[1550]: disconnect from mx04.kabsi.at[62.40.128.131]
>>> 
>>> Aus irgendeinen Grund kann sich Postfix nicht mit MySql verbinden, was habe ich falsch gemacht?
>>> 
>>> Als Anhang gibt es noch meine main.cf und Master.cf
>>> 
>>> Ich hoffe Ihr könnt mir helfen, Danke im voraus.
>>> 
>>> Lg Dejan
>>> 
>>> <main.cf>
>>> <master.cf>
>>> -- 
>>> _______________________________________________
>>> Postfixbuch-users -- http://www.postfixbuch.de
>>> Heinlein Professional Linux Support GmbH
>>> 
>>> Postfixbuch-users at listen.jpberlin.de
>>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>> 
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/2944b50e/attachment.htm>

From markus at hohlmeier.de  Mon Apr 14 17:38:52 2014
From: markus at hohlmeier.de (Markus Hohlmeier)
Date: Mon, 14 Apr 2014 17:38:52 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <BF20E12A-01E5-48AE-A5A9-A91D109E62E9@kabelplus.at>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
 <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
 <581C739C-AD74-4289-A319-5E2D8F4DE90A@kabelplus.at>
 <BF20E12A-01E5-48AE-A5A9-A91D109E62E9@kabelplus.at>
Message-ID: <534C010C.5030509@hohlmeier.de>


Am 14.04.2014 16:04, schrieb Dejan (Postfix):
> Kann mir jemand dabei Bitte helfen?
>
> Danke...

Servus,

ganz ruhig ;-)

>> danke für deine schnelle Antwort Christian. Ich habe vergessen zu 
>> erwähnen, dass ich ein Postfix Neuling bin.

Auch kein Problem, Postfix sagt ja wo genau es hackt.

>>
>> chroot kann ich in Master.cf so ausschalten?
>>
>> # 
>> ==========================================================================
>> # service type  private unpriv  chroot  wakeup  maxproc command + args
>> #               (yes) (yes)   (yes)   (never) (100)
>> # 
>> ==========================================================================
>> smtp      inet  n       -       n       - -       smtpd
>> .
>> .
>> .
>> smtp      unix  -       -       n       - -       smtp
>>
>> Ist das richtig?

Jup. 5. Spalte.

>>
>> Wie richte ich die TCP Verbindung ein?
>> oder meinst du, soll ich z.B. in der virtual_mailbox_domains.cf bei 
>> hosts = 127.0.0.1:3306 eintragen?

Exakt.

>>
>> user = postfix
>> password = ***********
>> hosts = 127.0.0.1:3306
>> dbname = mail
>> table = virtual_mailbox_domains
>> query = SELECT domain FROM virtual_mailbox_domains WHERE domain = '%s'
>>
>>
>> Am 14.04.2014 um 07:43 schrieb Christian Garling 
>> <christian.garling at cg-networks.de 
>> <mailto:christian.garling at cg-networks.de>>:
>>
>>> Postfix läuft im Chroot, dein MySQL Socket liegt außerhalb dessen, 
>>> weshalb Postfix da nicht dran kommt. Nutze einfach statt Unix 
>>> Sockets eine TCP Verbindung auf 127.0.0.1:3306 dann sollte es gehen.
>>>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/1570992d/attachment.htm>

From postfix at kabelplus.at  Mon Apr 14 21:24:59 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 14 Apr 2014 21:24:59 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <534C010C.5030509@hohlmeier.de>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
 <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
 <581C739C-AD74-4289-A319-5E2D8F4DE90A@kabelplus.at>
 <BF20E12A-01E5-48AE-A5A9-A91D109E62E9@kabelplus.at>
 <534C010C.5030509@hohlmeier.de>
Message-ID: <3A2DD3D3-BFA7-452A-97F4-D8876B628B06@kabelplus.at>

Vielen Dank für eure Hilfe und Entschuldigt Bitte meine Ungeduld. Hab die ganze Nacht mit der Konfiguration gekämpft, ein kleines Stück bin ich weiter gekommen aber es will leider noch immer nicht.

Die Anweisungen habe ich befolgt, jetzt spielt aber der Virtual Deamon nicht mit, chroot ist beim virtual auch ausgeschalten in der master.cf

Apr 14 21:13:28 c5773 postfix/smtpd[5224]: connect from mx05.kabsi.at[195.202.128.131]
Apr 14 21:13:28 c5773 postgrey[582]: action=pass, reason=triplet found, client_name=mx05.kabsi.at, client_address=195.202.128.131, sender=r.dejan at kabelplus.at, recipient=dejan at c5773.rasic.at 
Apr 14 21:13:28 c5773 postfix/smtpd[5224]: 77EEC1C8905E: client=mx05.kabsi.at[195.202.128.131]
Apr 14 21:13:28 c5773 postfix/cleanup[5231]: 77EEC1C8905E: message-id=<0BDF1FB7-C51E-4335-B947-25C2D856CDDB at kabelplus.at>
Apr 14 21:13:28 c5773 postfix/qmgr[5220]: 77EEC1C8905E: from=<r.dejan at kabelplus.at>, size=764, nrcpt=1 (queue active)
Apr 14 21:13:28 c5773 postfix/smtpd[5224]: disconnect from mx05.kabsi.at[195.202.128.131]
Apr 14 21:13:28 c5773 postfix/smtpd[5236]: connect from localhost.localdomain[127.0.0.1]
Apr 14 21:13:28 c5773 postfix/smtpd[5236]: 8BE151C89060: client=localhost.localdomain[127.0.0.1]
Apr 14 21:13:28 c5773 postfix/cleanup[5231]: 8BE151C89060: message-id=<0BDF1FB7-C51E-4335-B947-25C2D856CDDB at kabelplus.at>
Apr 14 21:13:28 c5773 postfix/qmgr[5220]: 8BE151C89060: from=<r.dejan at kabelplus.at>, size=1255, nrcpt=1 (queue active)
Apr 14 21:13:28 c5773 amavis[581]: (00581-07) Passed CLEAN {RelayedOpenRelay}, [195.202.128.131]:53580 [193.53.80.80] <r.dejan at kabelplus.at> -> <rasic.dejan at c5773.rasic.at>, Queue-ID: 77EEC1C8905E, Message-ID: <0BDF1FB7-C51E-4335-B947-25C2D856CDDB at kabelplus.at>, mail_id: b_00_Ai1KOry, Hits: -, size: 764, queued_as: 8BE151C89060, 84 ms
Apr 14 21:13:28 c5773 postfix/lmtp[5233]: 77EEC1C8905E: to=<rasic.dejan at c5773.rasic.at>, orig_to=<dejan at c5773.rasic.at>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.28, delays=0.19/0/0/0.09, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8BE151C89060)
Apr 14 21:13:28 c5773 postfix/smtpd[5236]: disconnect from localhost.localdomain[127.0.0.1]
Apr 14 21:13:28 c5773 postfix/qmgr[5220]: 77EEC1C8905E: removed
Apr 14 21:13:28 c5773 postfix/virtual[5237]: error: open /etc/postfix/sql/virtual_mailbox_recipients.cf: Permission denied
Apr 14 21:13:28 c5773 postfix/virtual[5237]: error: open /etc/postfix/sql/virtual_uid_maps.cf: Permission denied
Apr 14 21:13:28 c5773 postfix/virtual[5237]: error: open /etc/postfix/sql/virtual_gid_maps.cf: Permission denied
Apr 14 21:13:28 c5773 postfix/virtual[5237]: warning: mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf is unavailable. open /etc/postfix/sql/virtual_mailbox_recipients.cf: Permission denied
Apr 14 21:13:28 c5773 postfix/virtual[5237]: warning: mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf lookup error for "rasic.dejan at c5773.rasic.at"
Apr 14 21:13:28 c5773 postfix/virtual[5237]: warning: table virtual_mailbox_maps: lookup rasic.dejan at c5773.rasic.at: Permission denied
Apr 14 21:13:28 c5773 postfix/virtual[5237]: 8BE151C89060: to=<rasic.dejan at c5773.rasic.at>, relay=virtual, delay=0.03, delays=0.01/0.02/0/0, dsn=4.3.5, status=deferred (mail system configuration error)

Habt Ihr einen Tipp für mich? außer das ich es lassen soll :)

Lg Dejan

Am 14.04.2014 um 17:38 schrieb Markus Hohlmeier <markus at hohlmeier.de>:

> 
> Am 14.04.2014 16:04, schrieb Dejan (Postfix):
>> Kann mir jemand dabei Bitte helfen?
>> 
>> Danke...
> 
> Servus,
> 
> ganz ruhig ;-)
> 
>>> danke für deine schnelle Antwort Christian. Ich habe vergessen zu erwähnen, dass ich ein Postfix Neuling bin.
> 
> Auch kein Problem, Postfix sagt ja wo genau es hackt.
> 
>>> 
>>> chroot kann ich in Master.cf so ausschalten?
>>> 
>>> # ==========================================================================
>>> # service type  private unpriv  chroot  wakeup  maxproc command + args
>>> #               (yes)   (yes)   (yes)   (never) (100)
>>> # ==========================================================================
>>> smtp      inet  n       -       n       -       -       smtpd
>>> .
>>> .
>>> .
>>> smtp      unix  -       -       n       -       -       smtp
>>> 
>>> Ist das richtig?
> 
> Jup. 5. Spalte.
> 
>>> 
>>> Wie richte ich die TCP Verbindung ein?
>>> oder meinst du, soll ich z.B. in der virtual_mailbox_domains.cf bei hosts = 127.0.0.1:3306 eintragen?
> 
> Exakt.
> 
>>> 
>>> user = postfix
>>> password = ***********
>>> hosts = 127.0.0.1:3306
>>> dbname = mail
>>> table = virtual_mailbox_domains
>>> query = SELECT domain FROM virtual_mailbox_domains WHERE domain = '%s'
>>> 
>>> 
>>> Am 14.04.2014 um 07:43 schrieb Christian Garling <christian.garling at cg-networks.de>:
>>> 
>>>> Postfix läuft im Chroot, dein MySQL Socket liegt außerhalb dessen, weshalb Postfix da nicht dran kommt. Nutze einfach statt Unix Sockets eine TCP Verbindung auf 127.0.0.1:3306 dann sollte es gehen.
>>>> 
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140414/5afdfed4/attachment.htm>

From postfixbuch-users at 0xaffe.de  Mon Apr 14 21:31:26 2014
From: postfixbuch-users at 0xaffe.de (Mathias Jeschke)
Date: Mon, 14 Apr 2014 21:31:26 +0200
Subject: [Postfixbuch-users] Postfix MySql Virtual Mailbox Domain
In-Reply-To: <3A2DD3D3-BFA7-452A-97F4-D8876B628B06@kabelplus.at>
References: <17A32D3A-5061-4887-9CA7-F38CD7A9249A@kabelplus.at>
 <83AD3F45-9A72-49E9-9591-191E472B872B@cg-networks.de>
 <581C739C-AD74-4289-A319-5E2D8F4DE90A@kabelplus.at>
 <BF20E12A-01E5-48AE-A5A9-A91D109E62E9@kabelplus.at>
 <534C010C.5030509@hohlmeier.de>
 <3A2DD3D3-BFA7-452A-97F4-D8876B628B06@kabelplus.at>
Message-ID: <534C378E.6070701@0xaffe.de>

Hi Dejan,

Am 14.04.14 21:24, schrieb Dejan (Postfix):

> Habt Ihr einen Tipp für mich? außer das ich es lassen soll :)

Das Problem liegt hier:

> Apr 14 21:13:28 c5773 postfix/virtual[5237]: error: open /etc/postfix/sql/virtual_mailbox_recipients.cf: Permission denied
> Apr 14 21:13:28 c5773 postfix/virtual[5237]: error: open /etc/postfix/sql/virtual_uid_maps.cf: Permission denied
> Apr 14 21:13:28 c5773 postfix/virtual[5237]: error: open /etc/postfix/sql/virtual_gid_maps.cf: Permission denied

Sprich: Prüfe bitte die Zugriffsrechte von /etc/postfix/sql/*.cf:

$ ls -la /etc/postfix/sql/

hier darf der User "postfix" offenbar nicht lesend darauf zugreifen.

Viele Grüße,
Mathias.



From django at nausch.org  Mon Apr 14 22:37:07 2014
From: django at nausch.org (Django)
Date: Mon, 14 Apr 2014 22:37:07 +0200
Subject: [Postfixbuch-users] DOS_OUTLOOK_TO_MX
Message-ID: <534C46F3.6070208@nausch.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Servus!

Ich steh grad ein wenig arg auf'm Schlauch, vielelicht kann mich ja
einer einen Tritt in die richtige Richtung verpassen. Meine Konfig
entspricht im Wesentlichem folgender Grundstruktur:
http://dokuwiki.nausch.org/doku.php/centos:mail_c6:spam_5#grundlagen

Also, ein (Outlook-)Nutzer schickt eine eMail an mehrere Empfänger der
gleichen Domäne und nutzt dabei ausführlich "Cc:"

hier mal der Logauszug vom AMaViS-Host:
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09)
ESMTP:[127.0.0.1]:10026
/var/amavis/tmp/amavis-20140411T162941-1337-foxKNT6J:
<zipfegladscha at it-ignorant.de> ->
<bazibua at it-ignorant.de>,<deandl at it-ignorant.de>,<zipfegladscha at it-ignorant.de>,<grischbal at it-ignorant.de>,<muadda at it-ignorant.de>,<grossvoda at it-ignorant.de>,<stefan.wars
inke at it-ignorant.de> Received: from mx01nausch.org ([10.0.0.80]) by
viruswall.dmz.nausch.org (viruswall.dmz.nausch.org [10.0.0.60])
(amavisd-new, port 1
0026) with ESMTP; Fri, 11 Apr 2014 17:26:45 +0200 (CEST)
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp connection
cache, dt: 250.1, state: 0
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) body hash:
8107cbf2a5ad35d2c6d1dd2e08d02b98
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) Checking:
EAutRP2AU92V ORIGINATING [79.254.109.108]
<zipfegladscha at it-ignorant.de> ->
<bazibua at it-ignorant.de>,<deandl at it-ignorant.de>,<zipfegladscha at it-ignorant.de>,<grischbal at it-ignorant.de>,<muadda at it-ignorant.de>,<grossvoda at it-ignorant.de>,<grossmuddae at it-ignorant.de>
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) 2822.From:
<zipfegladscha at it-ignorant.de>
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) p001 1 Content-Type:
text/plain, size: 6784 B, name:
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) inspect_dsn: not a
bounce
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) Checking for banned
types and filenames
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) skipping banned
check: all recipients bypass banned checks
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) presenting full
original message to scanners as
/var/amavis/tmp/amavis-20140411T162941-1337-foxKNT6J/parts/p002
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) run_av Using
(ClamAV-clamd): (code) CONTSCAN
/var/amavis/tmp/amavis-20140411T162941-1337-foxKNT6J/parts\n
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) ClamAV-clamd:
Connecting to socket  /var/run/clamav/clamd.sock
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) new socket by
IO::Socket::UNIX to /var/run/clamav/clamd.sock, timeout 10
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) ClamAV-clamd:
Sending CONTSCAN
/var/amavis/tmp/amavis-20140411T162941-1337-foxKNT6J/parts\n to socket
/var/run/clamav/clamd.sock
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) rw_loop read: got eof
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) run_av
(ClamAV-clamd): CLEAN
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) run_av
(ClamAV-clamd) result: clean
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) calling SA parse
(0), SA vers 3.3.1, 3.003001, data as STRING, recips_ind
[0,1,2,3,4,5,6], user: "amavis"
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) spam_scan:
score=6.614 autolearn=no
tests=[BAYES_00=-1.9,DOS_OUTLOOK_TO_MX=2.845,FSL_HELO_NON_FQDN_1=0.001,HELO_NO_DOMAIN=1.023,RCV
D_IN_PBL=3.335,RCVD_IN_RP_RNBL=1.31] recips=0,1,2,3,4,5,6
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for bazibua at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for deandl at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for zipfegladscha at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for grischbal at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for muadda at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for grossvoda at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) blocking contents
category is (6) for grossmuddae at it-ignorant.de
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) do_notify_and_quar:
ccat=Spam (6,0) ("6":Spam, "5":Spammy, "1,1":CleanTag, "1":Clean,
"0":CatchAll) ccat_block=(6), qar_mth=
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) dkim: candidate
originators: From:<n3rd at c3n705.guru>
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) dkim: signing
(author), From: <n3rd at c3n705.guru> (From:<n3rd at c3n705.guru>),
KEY.key_ind=>0, a
=>rsa-sha256, c=>relaxed/simple, d=>c3n705.guru, s=>140310
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp session:
setting up a new session
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) new socket using
IO::Socket::INET to [127.0.0.1]:10025, timeout 35
Apr 11 17:26:45 vml000060postfix/smtpd[2496]: connect from
localhost[127.0.0.1]
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp greeting: 220
mx01.nausch.org ESMTP Postfix, dt: 0.9 ms
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp cmd> EHLO
viruswall.dmz.nausch.org
Apr 11 17:26:45 vml000060postfix/smtpd[2496]: discarding EHLO
keywords: DSN
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp resp to EHLO:
250 mx01.nausch.org\nPIPELINING\nSIZE 52428800\nETRN\nSTARTTLS\nAUTH
PLAIN LOGIN\nAUTH=PLAIN LOGIN\n
XFORWARD NAME ADDR PROTO HELO SOURCE PORT\nENHANCEDSTATUSCODES\n8BITMIME

Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) AUTH not needed,
user='', MTA offers 'PLAIN LOGIN'
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp cmd> MAIL
FROM:<n3rd at c3n705.guru>
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp cmd> RCPT
TO:<virusalert at c3n705.guru>
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp cmd> DATA
Apr 11 17:26:45 vml000060postfix/smtpd[2496]: F24C3180:
client=localhost[127.0.0.1]
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp resp to MAIL
(pip): 250 2.1.0 Ok
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp resp to RCPT
(pip) (<virusalert at cen705.guru>): 250 2.1.5 Ok
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp resp to DATA:
354 End data with <CR><LF>.<CR><LF>
Apr 11 17:26:45 vml000060 amavis[1337]: (1337-09) smtp cmd> QUIT
Apr 11 17:26:45 vml000060postfix/cleanup[2497]: F24C3180:
message-id=<SAEAutRP2AU92V at mx01.centos.guru>
Apr 11 17:26:46 vml000060postfix/smtpd[2496]: disconnect from
localhost[127.0.0.1]
Apr 11 17:26:46 vml000060postfix/qmgr[14609]: F24C3180:
from=<n3rd at c3n705.guru>, size=5572, nrcpt=1 (queue active)
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) smtp resp to
data-dot (<virusalert at c3n705.guru>): 250 2.0.0 Ok: queued as F24C3180,
dt: 4.4 ms
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09)
Amavis::Out::SMTP::Session close, disconnecting
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) SEND from
<n3rd at c3n705.guru> -> <virusalert at c3n705.guru>, 250 2.0.0 from
MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as F24C3180
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) delivery method is
1, recips: bazibua at it-ignorant.de, deandl at it-ignorant.de,
zipfegladscha at it-ignorant.de, grischbal at it-ignorant.de,
muadda at it-ignorant.de, grossvoda at it-ignorant.de,
grossmuddae at it-ignorant.de
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) DSN: sender is
credible (orig), SA: 6.614, <zipfegladscha at it-ignorant.de>
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) status counters:
InMsgsStatus{Rejected,RejectedInternal,RejectedOriginating}
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) Blocked SPAM
{RejectedInternal}, ORIGINATING LOCAL [79.254.109.108]:52639
[79.254.109.108] <zipfegladscha at it-ignorant.de> ->
<bazibua at it-ignorant.de>,<deandl at it-ignorant.de>,<zipfegladscha at it-ignorant.de>,<grischbal at it-ignorant.de>,<muadda at it-ignorant.de>,<grossvoda at it-ignorant.de>,<grossmuddae at it-ignorant.de>,
Message-ID: <013301cf559a$802d7120$80885360$@it-ignorant.de>, mail_id:
EAutRP2AU92V, Hits: 6.614, size: 8437, 990 ms
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) TIMING-SA total 553
ms - parse: 2 (0.4%), extract_message_metadata: 25 (4.6%),
get_uri_detail_list: 8 (1.4%), tests_pri_-1000: 12 (2.1%),
tests_pri_-950: 1.46 (0.3%), tests_pri_-900: 1.34 (0.2%),
tests_pri_-400: 53 (9.6%), check_bayes: 52 (9.3%), tests_pri_0: 274
(49.5%), check_dkim_adsp: 3 (0.5%), check_spf: 0.23 (0.0%),
check_pyzor: 0.22 (0.0%), tests_pri_500: 161 (29.2%), poll_dns_idle:
152 (27.5%), get_report: 1.44 (0.3%)
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) sending SMTP
response: "554 5.7.0 Reject, id=1337-09 - spam"
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) size: 8437, TIMING
[total 995 ms] - SMTP greeting: 3 (0%)0, SMTP EHLO: 0 (0%)0, SMTP
pre-MAIL: 0 (0%)0, SMTP pre-DATA-flush: 181 (18%)18, SMTP DATA: 158
(16%)34, check_init: 1 (0%)34, digest_hdr: 1 (0%)35, digest_body_dkim:
2 (0%)35, mime_decode: 10 (1%)36, get-file-type1: 12 (1%)37,
parts_decode: 0 (0%)37, check_header: 1 (0%)37, AV-scan-1: 8 (1%)38,
spam-wb-list: 2 (0%)38, SA msg read: 1 (0%)38, SA parse: 3 (0%)38, SA
check: 544 (55%)93, decide_mail_destiny: 12 (1%)94, notif-quar: 1
(0%)94, write-header: 19 (2%)96, fwd-data-dkim: 7 (1%)97, fwd-connect:
3 (0%)97, fwd-mail-pip: 4 (0%)98, fwd-rcpt-pip: 0 (0%)98,
fwd-data-chkpnt: 0 (0%)98, write-header: 0 (0%)98, fwd-data-contents:
4 (0%)98, fwd-end-chkpnt: 7 (1%)99, prepare-dsn: 2 (0%)99,
main_log_entry: 7 (1%)100, update_snmp: 2 (0%)100, SMTP pre-response:
0 (0%)100, SMTP response: 1 (0%)100, unlink-2-files: 0 (0%)100,
rundown: 1 (0%)100
Apr 11 17:26:46 vml000060 amavis[1337]: (1337-09) load: 1 %, total
idle 3398.969 s, busy 25.400 s

Bei einem SPAM-Score von 6.614 wird natürlich gereject. :)

Was natürlich zu Buche schlägt ist:
(1) HELO_NO_DOMAIN=1.023
(2) DOS_OUTLOOK_TO_MX=2.845
(3) RCVD_IN_PBL=3.335
(4) RCVD_IN_RP_RNBL=1.31

(1) ist vermutlich Outlook-Spezigfisch, da würde ich mal darüber hinweg
    sehen
(2) liegt wpohl daran, dass die eMail direkt an die eigenen Domaene
    geht.

(3)(4) O.K. der Nutzer kommt natürlich von irgend einem versaubeutelten
    IP-Adressbereich, liefert aber auf dem Submission-Port ein, ist
    also authentifiziert.

Für Submission steht in der master.cf:
# Django : 2012-10-11
# Submission auf Port 587 geoeffnet
submission inet n       -       n       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o anvil_rate_time_unit=15s
  -o
smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o smtpd_etrn_restrictions=reject
  -o smtpd_proxy_filter=10.0.0.60:10026
  -o milter_macro_daemon_name=ORIGINATING


In der AMaViS-Konfigdatei habe ich natürlich entsprechend, folgendes
stehen:
# Django : 2012-10-11
# default: $inet_socket_port = 10024;
# $inet_socket_port = 10024;   # listen on this local TCP port(s)
$inet_socket_port = [10024,10026];  # listen on multiple TCP ports

$policy_bank{'MYNETS'} = {   # mail originating from @mynetworks
  originating => 1,  # is true in MYNETS by default, but let's make it
explicit
  os_fingerprint_method => undef,  # don't query p0f for internal clients
};

# it is up to MTA to re-route mail from authenticated roaming users or
# from internal hosts to a dedicated TCP port (such as 10026) for
filtering
$interface_policy{'10026'} = 'ORIGINATING';

$policy_bank{'ORIGINATING'} = {  # mail supposedly originating from
our users
  originating => 1,  # declare that mail was submitted by our smtp client
  allow_disclaimers => 1,  # enables disclaimer insertion if available
  # notify administrator of locally originating malware
  virus_admin_maps => [""],
  spam_admin_maps  => [""],
  warnbadhsender   => 0,
  # forward to a smtpd service providing DKIM signing service
  # forward_method => 'smtp:[127.0.0.1]:10027',
  # force MTA conversion to 7-bit (e.g. before DKIM signing)
  smtpd_discard_ehlo_keywords => ['8BITMIME'],
  bypass_banned_checks_maps => [1],  # allow sending any file names
and types
  terminate_dsn_on_notify_success => 0,  # don't remove NOTIFY=SUCCESS
option
};

Irgendwie bin ich ausnahms- und zugegebenerweise etwas ratlos. :/
Warum kommt dieser DOS_OUTLOOK_TO_MX und wieso macht der Spamassassin
noch die beiden PBL und RNBL Checks. Der AMaViS- und SMTP Host sind
alle beide in my_networks.

Any idea? Ich nicht so recht mehr ...



Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQIcBAEBAgAGBQJTTEboAAoJEAdOz2FQpr/tccAP/RtHuHfPePpFwQzX9O8wSHyv
F4dQUW9WPtoi5dFR6d9sqkKiEHkWwZeab/x8m+hBcAi6lY4wppXoSKuKhYq3GqvP
BOxtIsflM7k3856Pn9tHo8at1FFqgLMaDRgWC/bu6trvY1vdjY20vu6I1L47t+fj
KJF/3ZEspv4A2q21R40xTKz+sDCCGU8RAphlmKzbABScHcGQW4gafysRL745AkGF
5qjGlniSDQAqSFyHbAEPP8ylkZlp1/hanBFWU3NNiDvJxGAwX9WMjbK9wsSZY4Gz
gmbgRauSpNz+p0PucMuBVqVQEfn0AF7tP1PEsw98JkmG6zUPIviMrxOS84snI0gO
dKlL0kwXo2Rz4NIO6kBJkDjcPmkPimCpUp9NlzOTaj2eJjNZA7NkGrGKhZApT/JU
0WvToQCMdUbDfV5uS5frnxwmNSSkcTP3v962iEdCQTvvexcdHeJ4kS4zrAbbm8+S
/004fUhAlCxtWBuVJgw5A+YikkO7q8bbeGWlr0HJ501+oelNge8M2MXAVamMO23y
wHdsTNX9eNrJNNkexoGz5Qujg93pWKxO/YarQYXcyixOFWfFKWGDpFMfph1XVkpu
Ga6iw5w2x/Qr9H6ms9hy14XQsGqKn+CtXgcYDE2bZb73s+UiBDMYXuTgfJfo/dDv
4PDNlZmMpNIMebRx5aL1
=VDPf
-----END PGP SIGNATURE-----


From django at nausch.org  Mon Apr 14 23:20:39 2014
From: django at nausch.org (Django)
Date: Mon, 14 Apr 2014 23:20:39 +0200
Subject: [Postfixbuch-users] DOS_OUTLOOK_TO_MX
In-Reply-To: <534C46F3.6070208@nausch.org>
References: <534C46F3.6070208@nausch.org>
Message-ID: <534C5127.6090408@nausch.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

HI!

Am 14.04.2014 22:37, schrieb Django:

> In der AMaViS-Konfigdatei habe ich natürlich entsprechend,
> folgendes stehen: # Django : 2012-10-11 # default:
> $inet_socket_port = 10024; # $inet_socket_port = 10024;   # listen
> on this local TCP port(s) $inet_socket_port = [10024,10026];  #
> listen on multiple TCP ports
> 
> $policy_bank{'MYNETS'} = {   # mail originating from @mynetworks 
> originating => 1,  # is true in MYNETS by default, but let's make
> it explicit os_fingerprint_method => undef,  # don't query p0f for
> internal clients };
> 
> # it is up to MTA to re-route mail from authenticated roaming users
> or # from internal hosts to a dedicated TCP port (such as 10026)
> for filtering $interface_policy{'10026'} = 'ORIGINATING';
> 
> $policy_bank{'ORIGINATING'} = {  # mail supposedly originating
> from our users originating => 1,  # declare that mail was submitted
> by our smtp client allow_disclaimers => 1,  # enables disclaimer
> insertion if available # notify administrator of locally
> originating malware virus_admin_maps => [""], spam_admin_maps  =>
> [""], warnbadhsender   => 0, # forward to a smtpd service providing
> DKIM signing service # forward_method => 'smtp:[127.0.0.1]:10027', 
> # force MTA conversion to 7-bit (e.g. before DKIM signing) 
> smtpd_discard_ehlo_keywords => ['8BITMIME'], 
> bypass_banned_checks_maps => [1],  # allow sending any file names 
> and types terminate_dsn_on_notify_success => 0,  # don't remove
> NOTIFY=SUCCESS option };

O.K., wenn ich nun noch ein bypass_spam_checks_maps   => [1], in der
policy_bank{'ORIGINATING'} eingetragen würde, dann würde das
höchstwahrscheinlich das Problem mit der ganz großen Keule erschlagen,
da die SPAM-Bewertung für die eigenen Nutzer-eMails deaktiviert würde.
Würde dort nun ein client Amok laufen und spammen wir ein Weltmeister,
würde das natürlich sehr schnell die eigenen Reputation zu nichte
machen, oder?

service Django stop
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=Q4OE
-----END PGP SIGNATURE-----


From christian.garling at cg-networks.de  Wed Apr 16 13:36:27 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Wed, 16 Apr 2014 13:36:27 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?DISCARD_bei_Verwendung_von_sm?=
 =?iso-8859-15?q?tpd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
Message-ID: <534E6B3B.7030609@cg-networks.de>

Hallo zusammen,

ich benutze Amavis als smtpd_proxy_filter und wollte gerade verschiedene 
Absenderdomains blocken in dem ich sie mit Action DISCARD in eine von 
check_sender_access referenzierte Map eingetragen habe. Das Log sagt 
dazu dann aber:

warning: access table hash:/etc/postfix/access_maps/sender: with 
smtpd_proxy_filter specified, action DISCARD is unavailable

Ich möchte ungern stattdessen REJECT nutzen, da ich keine Lust auf 
Bounces wegen nicht-existenter Postfächer etc. habe.

Wie kann ich diese Absender trotzdem discarden? Geht das evtl. direkt in 
Amavis bzw. SpamAssassin? Wenn ja, wie?

Gruß, Christian


From p.heinlein at heinlein-support.de  Wed Apr 16 13:49:51 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 16 Apr 2014 13:49:51 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534E6B3B.7030609@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de>
Message-ID: <534E6E5F.6000203@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 16.04.2014 13:36, schrieb Christian Garling:
> 
> Ich möchte ungern stattdessen REJECT nutzen, da ich keine Lust auf 
> Bounces wegen nicht-existenter Postfächer etc. habe.
> 
> Wie kann ich diese Absender trotzdem discarden? Geht das evtl.
> direkt in Amavis bzw. SpamAssassin? Wenn ja, wie?

Du benutzt auf Port 10025 die ganz normalen
smtpd_recipient_restrictions (siehe Musterlösung Buch) und discardest
darum die Mail wenn sie auf Port 10025 zurückkommt.

Du machst NICHT das, was die ganzen Howtos erklären, die Dir
weismachen wollen, Du solltest auf Port 10025 in der master.cf die
smtpd_recipient_restrictions auf ein kastriertes "permit_mynetworks"
setzen und Dir darum die access-Maps abschneiden.

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTTm5fAAoJEAOLLpq5E82HvXEIAMaUetGMZR8pwojSXn187s8V
cAqOWsvdN5IYqJDtwlTUFrm4q7TzaFScmXwcstczxKgkDzL4/3cmK0DeYc281VXp
19vgzTuRYjXa8OVZ/wd8XxCgIEcSj3viKF2xWIF8YNAQwWrL+MQ4bP9Pdt7k/yOS
SNNfci8zo5WZdS5YvjXpC1rkwB01u6NWEK+Tg8Ry5h5lijT/Fssg2WxlMw236UbA
66B305PGg4YmRiOt+bHEqKYPkJZ10YtCOOwX/q7wkjxOihj/8X4cTfnKGlRxZ0Kj
q2dt6ktZEDguYjod0dREZsgsGTJQ+8F/aloYv4imTIOsVmBgxFfvP0vfdtl3ZnY=
=u2/U
-----END PGP SIGNATURE-----


From p at sys4.de  Wed Apr 16 13:49:53 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Wed, 16 Apr 2014 13:49:53 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?DISCARD_bei_Verwendung_von_smtpd=5F?=
 =?utf-8?q?proxy=5Ffilter_nicht_verf=C3=BCgbar_-_Alternativen=3F?=
In-Reply-To: <534E6B3B.7030609@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de>
Message-ID: <20140416114953.GS30867@sys4.de>

* Christian Garling <postfixbuch-users at listen.jpberlin.de>:
> Hallo zusammen,
> 
> ich benutze Amavis als smtpd_proxy_filter und wollte gerade
> verschiedene Absenderdomains blocken in dem ich sie mit Action
> DISCARD in eine von check_sender_access referenzierte Map
> eingetragen habe. Das Log sagt dazu dann aber:
> 
> warning: access table hash:/etc/postfix/access_maps/sender: with
> smtpd_proxy_filter specified, action DISCARD is unavailable

Discarde NACH dem smtpd_proxy_filter, also beim Reentry mach amavis.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From christian.garling at cg-networks.de  Wed Apr 16 13:53:14 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Wed, 16 Apr 2014 13:53:14 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534E6E5F.6000203@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de>
 <534E6E5F.6000203@heinlein-support.de>
Message-ID: <534E6F2A.9070400@cg-networks.de>

Am 16.04.2014 13:49, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 16.04.2014 13:36, schrieb Christian Garling:
>> Ich möchte ungern stattdessen REJECT nutzen, da ich keine Lust auf
>> Bounces wegen nicht-existenter Postfächer etc. habe.
>>
>> Wie kann ich diese Absender trotzdem discarden? Geht das evtl.
>> direkt in Amavis bzw. SpamAssassin? Wenn ja, wie?
> Du benutzt auf Port 10025 die ganz normalen
> smtpd_recipient_restrictions (siehe Musterlösung Buch) und discardest
> darum die Mail wenn sie auf Port 10025 zurückkommt.
>
> Du machst NICHT das, was die ganzen Howtos erklären, die Dir
> weismachen wollen, Du solltest auf Port 10025 in der master.cf die
> smtpd_recipient_restrictions auf ein kastriertes "permit_mynetworks"
> setzen und Dir darum die access-Maps abschneiden.
Das Buch liegt leider zu Hause, habt ihr daher gerade ein Beispiel zur 
Hand, an dem ich mir das jetzt mal angucken kann?
>
> Peer
Christian
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTTm5fAAoJEAOLLpq5E82HvXEIAMaUetGMZR8pwojSXn187s8V
> cAqOWsvdN5IYqJDtwlTUFrm4q7TzaFScmXwcstczxKgkDzL4/3cmK0DeYc281VXp
> 19vgzTuRYjXa8OVZ/wd8XxCgIEcSj3viKF2xWIF8YNAQwWrL+MQ4bP9Pdt7k/yOS
> SNNfci8zo5WZdS5YvjXpC1rkwB01u6NWEK+Tg8Ry5h5lijT/Fssg2WxlMw236UbA
> 66B305PGg4YmRiOt+bHEqKYPkJZ10YtCOOwX/q7wkjxOihj/8X4cTfnKGlRxZ0Kj
> q2dt6ktZEDguYjod0dREZsgsGTJQ+8F/aloYv4imTIOsVmBgxFfvP0vfdtl3ZnY=
> =u2/U
> -----END PGP SIGNATURE-----



From p.heinlein at heinlein-support.de  Wed Apr 16 14:05:46 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 16 Apr 2014 14:05:46 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534E6F2A.9070400@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de>
 <534E6E5F.6000203@heinlein-support.de> <534E6F2A.9070400@cg-networks.de>
Message-ID: <534E721A.6050001@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 16.04.2014 13:53, schrieb Christian Garling:



Siehe Anhang.

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTTnIaAAoJEAOLLpq5E82HH3oIALxakPLHMnppCWqGRkGjxrhM
RErlHr8B4y+2hoc5JsBbZ4IUitEdw4CKh4UAcHtyeO6Bxcs2TaRwdWiwMzeeZf+S
uVaa0QfBoK/jiJOo94vWzj/eeuhUr2wn6QOozf0Ndyk8ILd7Hlic4Blxx36aPe1W
M6AumqHvGVVTeVCyhsm3znBtSgGhvtqgrNGjucxY4+rDlLtNRZEa9NFr9J3d2S2a
fDxs/w2pe7lzi4uSTBa5nLFf0Y496on+72AY+I86JNJ2w/fb1Oia/AvQ8Py5u6gM
boOeVooyT2LzpuiCev5QoeBMUvKYwdOL7OIXB988/VUdrVeo+uC3ZVwpmkZg1+8=
=OROZ
-----END PGP SIGNATURE-----
-------------- nächster Teil --------------
#
# Muster-Lösung smtpd_recipient_restrictions nach Postfix-Buch
# Heinlein Support GmbH, http://www.heinlein-support.de
#
smtpd_recipient_restrictions =
# Empfaenger whitelisten?
        check_recipient_access hash:/etc/postfix/access_recipient
# Hosts und Absender blacklisten?
        check_client_access cidr:/etc/postfix/access_client, 
        check_helo_access hash:/etc/postfix/access_helo,  
        check_sender_access hash:/etc/postfix/access_sender,
# Keine unsauberen Mails annehmen!
        reject_non_fqdn_sender,   
        reject_non_fqdn_recipient,   
        reject_unknown_sender_domain,   
        reject_unknown_recipient_domain,
        reject_invalid_hostname,
# Unsere Kinderchens erlauben!
        permit_sasl_authenticated,
        permit_mynetworks,
# RBL checken!
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client ix.dnsbl.manitu.net,
# Policyd-weight
        check_policy_service inet:127.0.0.1:12525
# Greylisting checken!
        check_policy_service inet:127.0.0.1:10023
# Dynamische Empfängervalidierung
	reject_unverified_recipient,
# Backup MX erlauben!
        permit_mx_backup,
# Alles andere Relaying verbieten!
        reject_unauth_destination,
# Was jetzt noch ist darf durch!
        permit
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : postfix-restrictions-muster.txt.sig
Dateityp    : application/pgp-signature
Dateigröße  : 287 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140416/89fc364b/attachment.sig>

From p at sys4.de  Wed Apr 16 14:18:55 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Wed, 16 Apr 2014 14:18:55 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?DISCARD_bei_Verwendung_von_smtpd=5F?=
 =?utf-8?q?proxy=5Ffilter_nicht_verf=C3=BCgbar_-_Alternativen=3F?=
In-Reply-To: <534E6E5F.6000203@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de>
 <534E6E5F.6000203@heinlein-support.de>
Message-ID: <20140416121854.GV30867@sys4.de>

* Peer Heinlein <postfixbuch-users at listen.jpberlin.de>:
> Am 16.04.2014 13:36, schrieb Christian Garling:
> > 
> > Ich möchte ungern stattdessen REJECT nutzen, da ich keine Lust auf 
> > Bounces wegen nicht-existenter Postfächer etc. habe.
> > 
> > Wie kann ich diese Absender trotzdem discarden? Geht das evtl.
> > direkt in Amavis bzw. SpamAssassin? Wenn ja, wie?
> 
> Du benutzt auf Port 10025 die ganz normalen
> smtpd_recipient_restrictions (siehe Musterlösung Buch) und discardest
> darum die Mail wenn sie auf Port 10025 zurückkommt.
> 
> Du machst NICHT das, was die ganzen Howtos erklären, die Dir
> weismachen wollen, Du solltest auf Port 10025 in der master.cf die

Meinst Du damit auch das amavis Howto, das ich für amavisd verfasst habe,
Peer?

p at rick

> smtpd_recipient_restrictions auf ein kastriertes "permit_mynetworks"
> setzen und Dir darum die access-Maps abschneiden.
> 
> Peer
> 
> 
> -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
> 
> http://www.heinlein-support.de
> 
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
> 
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From christian.garling at cg-networks.de  Wed Apr 16 14:28:14 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Wed, 16 Apr 2014 14:28:14 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534E721A.6050001@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de>
 <534E6E5F.6000203@heinlein-support.de> <534E6F2A.9070400@cg-networks.de>
 <534E721A.6050001@heinlein-support.de>
Message-ID: <534E775E.2050602@cg-networks.de>

Hallo,

Am 16.04.2014 14:05, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 16.04.2014 13:53, schrieb Christian Garling:
>
>
>
> Siehe Anhang.
so sehen meine im Grunde auch aus (in Anlehnung an das Quota Kapitel aus 
dem Dovecot Buch):

smtpd_recipient_restrictions =
                         # role accounts (abuse and postmaster)
                                 check_recipient_access 
hash:/etc/postfix/access_maps/role_accounts,
                         # whitelists / blacklists
                                 check_client_access 
hash:/etc/postfix/access_maps/hostname,
                                 check_client_access 
cidr:/etc/postfix/access_maps/ip.cidr,
                                 check_helo_access 
hash:/etc/postfix/access_maps/helo,
                                 check_helo_access 
pcre:/etc/postfix/access_maps/helo.pcre,
                                 check_sender_access 
hash:/etc/postfix/access_maps/sender,
                                 check_recipient_access 
hash:/etc/postfix/access_maps/recipient,
                         # reject non-compliant mails
                                 reject_non_fqdn_sender,
                                 reject_non_fqdn_recipient,
                                 reject_unknown_sender_domain,
                                 reject_unknown_recipient_domain,
                                 reject_invalid_hostname,
                         # permit local users
                                 permit_sasl_authenticated,
                                 permit_mynetworks,
                         # reject non-final-destination mails
                                 reject_unauth_destination,
                         # policyd-weight
                                 check_policy_service inet:127.0.0.1:12525,
                         # postgrey
                                 check_policy_service inet:127.0.0.1:10023,
                         # dynamic recipient verification
                                 reject_unverified_recipient,
                         # reject unauthenticated pipelining
                                 reject_unauth_pipelining,
                         # check quota status of dovecot users
                                 check_policy_service inet:127.0.0.1:12340,
                         # permit anything else
                                 permit

Was mir aber gerade nicht klar ist, wie ich sauber erreiche, dass die 
smtpd_recipient_restrictions NACH dem smtpd_proxy_filter gecheckt werden?

Auszug aus der master.cf wie es aktuell aussieht:

smtp      inet  n       -       n       -       -       smtpd
         -o smtpd_proxy_filter=127.0.0.1:10024
         -o content_filter=
         -o smtpd_sasl_auth_enable=no

# from amavis to postfix (reinjection)
127.0.0.1:10025 inet n    -       n       -       -     smtpd
      -o content_filter=
      -o smtpd_delay_reject=no
      -o smtpd_client_restrictions=permit_mynetworks,reject
      -o smtpd_helo_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o smtpd_data_restrictions=reject_unauth_pipelining
      -o smtpd_end_of_data_restrictions=
      -o smtpd_restriction_classes=
      -o mynetworks=127.0.0.0/8
      -o smtpd_error_sleep_time=0
      -o smtpd_soft_error_limit=1001
      -o smtpd_hard_error_limit=1000
      -o smtpd_client_connection_count_limit=0
      -o smtpd_client_connection_rate_limit=0
      -o 
receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
      -o local_header_rewrite_clients=
      -o smtpd_milters=
      -o local_recipient_maps=
      -o relay_recipient_maps=

Laut den Empfehlungen würde ich nun intuitiv folgendes machen:

Den smtp Eintrag um -o smtpd_recipient_restrictions= ergänzen, damit 
hier erstmal nichts passiert, außerdem aus 127.0.0.1:12025 den Eintrag 
-o smtpd_recipient_restrictions=permit_mynetworks,reject entfernen, 
damit meine Checks aus der main.cf gelten. Wäre das das richtige 
Vorgehen? Fehlt noch etwas oder ist das der komplett falsche Ansatz?

>
> Peer
Christian
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTTnIaAAoJEAOLLpq5E82HH3oIALxakPLHMnppCWqGRkGjxrhM
> RErlHr8B4y+2hoc5JsBbZ4IUitEdw4CKh4UAcHtyeO6Bxcs2TaRwdWiwMzeeZf+S
> uVaa0QfBoK/jiJOo94vWzj/eeuhUr2wn6QOozf0Ndyk8ILd7Hlic4Blxx36aPe1W
> M6AumqHvGVVTeVCyhsm3znBtSgGhvtqgrNGjucxY4+rDlLtNRZEa9NFr9J3d2S2a
> fDxs/w2pe7lzi4uSTBa5nLFf0Y496on+72AY+I86JNJ2w/fb1Oia/AvQ8Py5u6gM
> boOeVooyT2LzpuiCev5QoeBMUvKYwdOL7OIXB988/VUdrVeo+uC3ZVwpmkZg1+8=
> =OROZ
> -----END PGP SIGNATURE-----
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140416/40a9bf20/attachment.htm>

From p.heinlein at heinlein-support.de  Wed Apr 16 15:10:32 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 16 Apr 2014 15:10:32 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <20140416121854.GV30867@sys4.de>
References: <534E6B3B.7030609@cg-networks.de>
 <534E6E5F.6000203@heinlein-support.de> <20140416121854.GV30867@sys4.de>
Message-ID: <534E8148.8050208@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 16.04.2014 14:18, schrieb Patrick Ben Koetter:



Weiß ich nicht, weil ich nicht genau weiß, was da drin steht.

Ich meine allgemein alle Howtos, die mir erklären, man solle auf Port
10025 ein

- -o smtpd-recipient_restrictions=permit_mynetworks,reject
- -o receive_override_options=no_header_body_checks

(o.ä.) setzen. Das ist alles lustig und nett WENN man als
content_filter läuft und darum die Mail durch cleanup lief (der
body/header_checks gemacht hat) UND darum auch die access-maps auf
Port 25 mit HOLD und BCC und Co funktionieren konnten, weil die Mail
in die Queue lief.

ABER:

Wenn man nun mit smtpd_proxy_filter arbeitet (und das sollte Standard
sein) dann findet auf dem "Hinweg" auf Port 25 das eben genau NICHT
statt und wenn an sich dann Port 10025 kastriert, dann werden am Ende
die Body-/Header-Checks gar nicht ausgeführt und auch HOLD kann man in
den access-Maps nicht mehr nutzen, weil die mail ja direkt per IP
durchgereicht wird und eine Queue nicht im Spiel ist. Oder eben
DISCARD, was ja genau die Ursache dieses Threads hier war.

Darum:

Die Idee an sich ist nicht doof, aber man darf halt Konzepte nicht
mischen. Und ich bin halt immer wieder frustriert das Leute die
üblichen 12 Standard-Howtos ohne Sinn und Verstand abtippen und nicht
kapieren, daß die alle auf einer ganz wesentlichen Grund-Voraussetzung
basieren: Daß per content_filter gearbeitet wird.

Und wenn man die Restrictions "richtig" setzt (wie in meiner
Musterlösung) dann braucht man übrigens auch gar nicht die
restrictions auf Port 10025 kastrieren, weil dort bei
permit_mynetworks eh Schluß ist und man die nachfolgenden
Restrictions-Prüfungen nicht durchläuft. Man spart also nix, macht
stattdessen eine kompliziertere Konfiguration mit Sonderlocken UND hat
sich am Ende noch seiner elementar wichtigen Funktionen der access-Map
beraubt.

Aufwand, Komplexität, weniger Möglichkeiten. Geil.

Und am Ende investieren Leute viel Zeit in die suche, warum die
body_header_checks nicht gehen obwohl sie doch in der main.cf stehen.
Das ist doch 'n Standard-Support-Fall, so oft kommt die Frage.

Immer wenn ich bei Kunden bin wird morgens als erstes erstmal die
master.cf aufgeräumt. Da fliegen normalerweise 20 Zeilen raus und
anschließend ist das Setup auch wieder schön, übersichtlich und
fehlerfrei.

Peer

- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTToFIAAoJEAOLLpq5E82H7JoH/jzs9/ngKvFnqCyllUyCUgmM
c8Ji21zhy/3RCGeL37VCMsWXsICar0X1sUEsqUgQ0jHuIizDN5w7oTxTQRqETmHS
T34gkYFWVDUplSqK5pVunK6nf96hE/GI76/LUyfLKlo4RlVGWhvBfN1tB2JHxFAw
CjXM61dkml/xOpfkEacDUfJviaRhGXDo05Vsf9Pe1wMkk2NC2GjMUOXznyQg6djf
Ghwe1h/9gnylvSITZM3Kl0DsJG8W1oQCxgh32rR+v9rVt2xMiNSZSR/9QFe4FVKe
rmq/iU7g6xQ8HhII8perZ/txC7rqLZ3w4YX7kZFoJX5L89dCVV4CA2ylv7+V+Pw=
=mHFc
-----END PGP SIGNATURE-----


From p.heinlein at heinlein-support.de  Wed Apr 16 15:12:29 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 16 Apr 2014 15:12:29 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534E8148.8050208@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de>
 <534E6E5F.6000203@heinlein-support.de> <20140416121854.GV30867@sys4.de>
 <534E8148.8050208@heinlein-support.de>
Message-ID: <534E81BD.9060105@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 16.04.2014 15:10, schrieb Peer Heinlein:


> Weiß ich nicht, weil ich nicht genau weiß, was da drin steht.
> 
> Ich meine allgemein alle Howtos, die mir erklären, man solle auf
> Po


Grr. Da fehlte das Zitat von Patrick mit der Frage, ob ich sein Howto
meint.

Ist übrigens ein Thunderbird-Bug. Wenn man eine Mail dort mehrfach
editiert verliert er zitierte Texte. Seufz.

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTToG9AAoJEAOLLpq5E82HE0gH/2SssgPjPsgTonyAb44Lm2Aw
XPVyycRJHQG/4DA3J10zkf6NEWcnUvvbO/w4kx8JgrdZnltHeiB9zINyp1V4jUOo
f2TIJGdvTmRnV7KzAQIoPaZaJbBF/N8lR3NBCwjfD8+DcUe5SnojGOm9fYLNA5Ne
ko0s+fdn5ntt1RB7jkNesgqvigYf1CfD9GYPoCD4avaVsuxyYgc+LqkcugfYvcFW
++7DH/E4sVVOWy4aSeH5p612rxiWhKOKeoH5kzY1ByGyjQ5zpUKj9wXFIGoJZejj
bEOIgAICRlfK0TQ3ZV2F3agNOrtHnVFHic+slqIpyiCccc4ooma4rgdYjUjE8ow=
=+CWI
-----END PGP SIGNATURE-----


From christian.garling at cg-networks.de  Thu Apr 17 11:03:17 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 11:03:17 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <20140416114953.GS30867@sys4.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
Message-ID: <534F98D5.1060406@cg-networks.de>

Hallo zusammen,

Am 16.04.2014 13:49, schrieb Patrick Ben Koetter:
> * Christian Garling <postfixbuch-users at listen.jpberlin.de>:
>> Hallo zusammen,
>>
>> ich benutze Amavis als smtpd_proxy_filter und wollte gerade
>> verschiedene Absenderdomains blocken in dem ich sie mit Action
>> DISCARD in eine von check_sender_access referenzierte Map
>> eingetragen habe. Das Log sagt dazu dann aber:
>>
>> warning: access table hash:/etc/postfix/access_maps/sender: with
>> smtpd_proxy_filter specified, action DISCARD is unavailable
> Discarde NACH dem smtpd_proxy_filter, also beim Reentry mach amavis.
ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige ich das?
>
> p at rick
>
Hier nochmal zur Übersicht meine master.cf:

smtp      inet  n       -       n       -       -       smtpd
         -o smtpd_proxy_filter=127.0.0.1:10024
         -o content_filter=
         -o smtpd_sasl_auth_enable=no
submission inet n       -       n       -       -       smtpd
         -o smtpd_proxy_filter=
         -o content_filter=amavisfeed:[127.0.0.1]:10024
         -o smtpd_tls_security_level=encrypt
         -o smtpd_sasl_auth_enable=yes
         -o smtpd_client_restrictions=permit_sasl_authenticated,reject
         -o milter_macro_daemon_name=ORIGINATING
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       - trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
         -o smtp_fallback_relay=
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache

amavisfeed unix    -       -       n        -      2     lmtp
      -o lmtp_data_done_timeout=1200
      -o lmtp_send_xforward_command=yes
      -o lmtp_tls_note_starttls_offer=no

127.0.0.1:10025 inet n    -       n       -       -     smtpd
      -o content_filter=
      -o smtpd_delay_reject=no
      -o smtpd_client_restrictions=permit_mynetworks,reject
      -o smtpd_helo_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o smtpd_data_restrictions=reject_unauth_pipelining
      -o smtpd_end_of_data_restrictions=
      -o smtpd_restriction_classes=
      -o mynetworks=127.0.0.0/8
      -o smtpd_error_sleep_time=0
      -o smtpd_soft_error_limit=1001
      -o smtpd_hard_error_limit=1000
      -o smtpd_client_connection_count_limit=0
      -o smtpd_client_connection_rate_limit=0
      -o 
receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
      -o local_header_rewrite_clients=
      -o smtpd_milters=
      -o local_recipient_maps=
      -o relay_recipient_maps=

Sowie postconf -n:

address_verify_map = btree:$data_directory/verify_cache
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
body_checks = pcre:/etc/postfix/header_body_checks/body_checks
bounce_queue_lifetime = 3d
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
disable_vrfy_command = yes
header_checks = pcre:/etc/postfix/header_body_checks/header_checks
html_directory = no
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
maximal_queue_lifetime = 3d
message_size_limit = 33554432
mydestination = localhost, localhost.$mydomain, $myhostname, 
lvps87-230-14-179.dedicated.hosteurope.de
mydomain = cg-networks.de
myhostname = mail.cg-networks.de
mynetworks = 127.0.0.0/8
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
relay_domains = hash:/etc/postfix/relay_domains
sample_directory = /usr/share/doc/postfix-2.6.6/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_tls_security_level = may
smtpd_helo_required = yes
smtpd_recipient_restrictions = check_recipient_access 
hash:/etc/postfix/access_maps/role_accounts, check_client_access 
hash:/etc/postfix/access_maps/hostname, check_client_access 
cidr:/etc/postfix/access_maps/ip.cidr, check_helo_access 
hash:/etc/postfix/access_maps/helo, check_helo_access 
pcre:/etc/postfix/access_maps/helo.pcre, check_sender_access 
hash:/etc/postfix/access_maps/sender, check_recipient_access 
hash:/etc/postfix/access_maps/recipient, reject_non_fqdn_sender, 
reject_non_fqdn_recipient, reject_unknown_sender_domain, 
reject_unknown_recipient_domain, reject_invalid_hostname, 
permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, 
check_policy_service inet:127.0.0.1:12525, check_policy_service 
inet:127.0.0.1:10023, reject_unverified_recipient, 
reject_unauth_pipelining,                check_policy_service 
inet:127.0.0.1:12340,                                permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/pki/mail/mail.cg-networks.de.crt
smtpd_tls_key_file = /etc/pki/mail/mail.cg-networks.de.key
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
soft_bounce = no
transport_maps = hash:/etc/postfix/transport, $relay_domains
unknown_local_recipient_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps

Gruß, Christian


From christian.garling at cg-networks.de  Thu Apr 17 12:44:09 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 12:44:09 +0200
Subject: [Postfixbuch-users] Offtopic - Mail aus PHP mit Attachment senden
Message-ID: <534FB079.4060102@cg-networks.de>

Hallo Liste,

hat nicht direkt mit Postfix zu tun, vielleicht kann trotzdem jemand 
helfen. Meine Kollegen aus der Entwicklung haben Mailversand mit 
Attachment in eine unserer PHP Applikationen implementiert. Sie nutzen 
dafür folgenden Code:

$fileToAttach = 'test.zip';

$boundary = md5(date('r', time()));
$fileSize = filesize($fileToAttach);
$fd = fopen($fileToAttach, 'r');
$fileContent = fread($fd, $fileSize);
$content = chunk_split(base64_encode($fileContent));

$mailHeader  = 'Reply-To: '.$doNotReplyTo."\n";
$mailHeader .= "MIME-Version: 1.0\r\n";
$mailHeader .= 'Content-Type: multipart/mixed; 
boundary="'.$boundary.'"'."\r\n\r\n";
$mailHeader .= 'Content-Type:text/plain; charset=UTF-8'."\r\n";
$mailHeader .= 'Content-Transfer-Encoding: 7bit'."\r\n\r\n";
$mailHeader .= '--'.$boundary."\r\n";
$mailHeader .= 'Content-Type: application/octet-stream; 
name="'.$fileToAttach.'"'."\"\r\n";
$mailHeader .= 'Content-Transfer-Encoding: base64'."\r\n";
$mailHeader .= 'Content-Disposition: attachment; 
filename="'.$fileToAttach.'"'."\r\n\r\n";
$mailHeader .= $content;
$mailHeader .= '--'.$boundary."\r\n";

mail($toMail, $subject, $body, $mailHeader);

Die daraus resultierende Mail beinhaltet das Attachment base64 codiert 
im Body der Mail, das Attachment ist so nicht verwendbar. Was machen die 
Jungs verkehrt?

Gruß, Christian


From max at freecards.de  Thu Apr 17 13:31:48 2014
From: max at freecards.de (Markus Heinze)
Date: Thu, 17 Apr 2014 13:31:48 +0200
Subject: [Postfixbuch-users] Offtopic - Mail aus PHP mit Attachment
	senden
In-Reply-To: <534FB079.4060102@cg-networks.de>
References: <534FB079.4060102@cg-networks.de>
Message-ID: <9784a350a8c91a73c236b82d4477dbd0@freecards.de>

Moin moin

Am 2014-04-17 12:44, schrieb Christian Garling:
> Hallo Liste,
> 
> hat nicht direkt mit Postfix zu tun, vielleicht kann trotzdem jemand
> helfen. Meine Kollegen aus der Entwicklung haben Mailversand mit
> Attachment in eine unserer PHP Applikationen implementiert. Sie nutzen
> dafür folgenden Code:
> 
> $fileToAttach = 'test.zip';
> 
> $boundary = md5(date('r', time()));
> $fileSize = filesize($fileToAttach);
> $fd = fopen($fileToAttach, 'r');
> $fileContent = fread($fd, $fileSize);
> $content = chunk_split(base64_encode($fileContent));
> 
> $mailHeader  = 'Reply-To: '.$doNotReplyTo."\n";
> $mailHeader .= "MIME-Version: 1.0\r\n";
> $mailHeader .= 'Content-Type: multipart/mixed;
> boundary="'.$boundary.'"'."\r\n\r\n";
> $mailHeader .= 'Content-Type:text/plain; charset=UTF-8'."\r\n";
> $mailHeader .= 'Content-Transfer-Encoding: 7bit'."\r\n\r\n";
> $mailHeader .= '--'.$boundary."\r\n";
> $mailHeader .= 'Content-Type: application/octet-stream;
> name="'.$fileToAttach.'"'."\"\r\n";
> $mailHeader .= 'Content-Transfer-Encoding: base64'."\r\n";
> $mailHeader .= 'Content-Disposition: attachment;
> filename="'.$fileToAttach.'"'."\r\n\r\n";
> $mailHeader .= $content;
> $mailHeader .= '--'.$boundary."\r\n";
> 
> mail($toMail, $subject, $body, $mailHeader);
> 

Schaut Euch einfach mal die übergebenen Parameter an und dann in welcher 
Variable der Content ist, warum heissen die wohl header und body ...
Ausserdem werden Zeilen mit "\n" und nicht mit "\r\n" separiert 
ausserdem sollte jede Zeile nicht mehr als 70 Zeichen enthalten. 
Desweiteren ist UTF-8 mit 7Bit zu encoden sehr sportlich

Naja ich würd einfach mir ne MultipartMail entsprechend der Anforderung 
mit einem Standarmailclient an mich selbst senden, den Quellcode 
anschauen und danach header und body programmieren, wem das nicht liegt 
eine fertige Klasse aus dem Netz laden, fertig.


> Die daraus resultierende Mail beinhaltet das Attachment base64 codiert
> im Body der Mail, das Attachment ist so nicht verwendbar. Was machen
> die Jungs verkehrt?
> 
> Gruß, Christian


From postfix at wmsmt.com  Thu Apr 17 13:49:50 2014
From: postfix at wmsmt.com (Wolfgang Murth)
Date: Thu, 17 Apr 2014 13:49:50 +0200
Subject: [Postfixbuch-users] Offtopic - Mail aus PHP mit Attachment
	senden
In-Reply-To: <534FB079.4060102@cg-networks.de>
References: <534FB079.4060102@cg-networks.de>
Message-ID: <534FBFDE.1060907@wmsmt.com>


Hallo Christian,

> Die daraus resultierende Mail beinhaltet das Attachment base64 codiert 
> im Body der Mail, das Attachment ist so nicht verwendbar. Was machen 
> die Jungs verkehrt?

Ich verwende für PHP Projekte PHPMailer. Einfacher gehts nicht.
Siehe https://github.com/PHPMailer/PHPMailer

Gruß Wolfgang



From postfix at jpkessler.info  Thu Apr 17 14:39:11 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 17 Apr 2014 14:39:11 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534F98D5.1060406@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de>
Message-ID: <534FCB6F.4090303@jpkessler.info>


> ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige ich das?

Indem Du im folgenden Abschnitt:

> 127.0.0.1:10025 inet n    -       n       -       -     smtpd
>      -o content_filter=
>      -o smtpd_delay_reject=no
>      -o smtpd_client_restrictions=permit_mynetworks,reject
>      -o smtpd_helo_restrictions=
>      -o smtpd_sender_restrictions=

die folgende Zeile so änderst, dass der Check mit dem DISCARD 
durchgeführt wird:

> -o smtpd_recipient_restrictions=permit_mynetworks,reject

ACHTUNG: Da dort keine Leerzeichen stehen dürfen, macht es evtl Sinn, 
dazu eine passende Restriction Class in der main.cf zu definieren.



From christian.garling at cg-networks.de  Thu Apr 17 14:46:18 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 14:46:18 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534FCB6F.4090303@jpkessler.info>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
Message-ID: <534FCD1A.5070103@cg-networks.de>

Sorry aber ich komm gerade nicht mehr ganz mit. Ich dachte das Konzept 
wäre dann so, dass VOR dem smtpd_proxy_filter die 
smtpd_recipient_restrictions nicht ausgewertet werden sondern erst DANACH.
Demnach müsste ich doch auf dem "hinweg" smtpd_recipient_restrictions= 
setzen, also leer damit hier keine gelten und in dem u.g. Listing 
smtpd_recipient_restrictions gar nicht aufführen, damit die aus der 
main.cf gelten. So habe ich Peer und Patrick in den vorherigen Mails 
verstanden.

Am 17.04.2014 14:39, schrieb Jan P. Kessler:
>
>> ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige ich 
>> das?
>
> Indem Du im folgenden Abschnitt:
>
>> 127.0.0.1:10025 inet n    -       n -       -     smtpd
>>      -o content_filter=
>>      -o smtpd_delay_reject=no
>>      -o smtpd_client_restrictions=permit_mynetworks,reject
>>      -o smtpd_helo_restrictions=
>>      -o smtpd_sender_restrictions=
>
> die folgende Zeile so änderst, dass der Check mit dem DISCARD 
> durchgeführt wird:
>
>> -o smtpd_recipient_restrictions=permit_mynetworks,reject
>
> ACHTUNG: Da dort keine Leerzeichen stehen dürfen, macht es evtl Sinn, 
> dazu eine passende Restriction Class in der main.cf zu definieren.
>



From beat at juckers.ch  Thu Apr 17 14:54:55 2014
From: beat at juckers.ch (Beat Jucker)
Date: Thu, 17 Apr 2014 14:54:55 +0200
Subject: [Postfixbuch-users] Offtopic - Mail aus PHP mit Attachment
	senden
In-Reply-To: <534FBFDE.1060907@wmsmt.com>
References: <534FB079.4060102@cg-networks.de> <534FBFDE.1060907@wmsmt.com>
Message-ID: <534FCF1F.3060302@juckers.ch>

Am 17.04.2014 13:49, schrieb Wolfgang Murth:
>
>> Die daraus resultierende Mail beinhaltet das Attachment base64 
>> codiert im Body der Mail, das Attachment ist so nicht verwendbar. Was 
>> machen die Jungs verkehrt?
>
> Ich verwende für PHP Projekte PHPMailer. Einfacher gehts nicht. 

Auch ich würde auf eine highlevel Funktion/Class zurückgreifen - 
insbesondere wenn man die entsprechenden RFC nicht kennt respektive 
adäquat anwendet. Boundaries verwendet man, um multipart Meldungen 
zusammenzubasteln.  RFC1341 beschreibt das letzte Boundary wie folgt:

     " The encapsulation boundary following the last body part is a 
distinguished delimiter that indicates that no further body parts will 
follow. Such a delimiter is identical to the previous delimiters, with 
the addition of two more hyphens at the end of the line"

In deinem Fall also für das letzte Boundary: $mailHeader .= 
'--'.$boundary.'--';

Da du aber keine multipart Meldung versendest, bräuchte es nicht einmal 
Boundaries.

Zudem gibt es bei deinem PHP Script eine Vermischung von Header und 
Body: $mailHeader .= $content;

Gruss
-- Beat


From christian.garling at cg-networks.de  Thu Apr 17 15:03:39 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 15:03:39 +0200
Subject: [Postfixbuch-users] Offtopic - Mail aus PHP mit Attachment
	senden
In-Reply-To: <534FCF1F.3060302@juckers.ch>
References: <534FB079.4060102@cg-networks.de> <534FBFDE.1060907@wmsmt.com>
 <534FCF1F.3060302@juckers.ch>
Message-ID: <534FD12B.6050606@cg-networks.de>

Hallo,

ich habe schon die verschiedenen Antworten weitergereicht und auch 
ausdrücklich dazu geraten, eine fertige Lösung zu nutzen.

Danke!

Christian


Am 17.04.2014 14:54, schrieb Beat Jucker:
> Am 17.04.2014 13:49, schrieb Wolfgang Murth:
>>
>>> Die daraus resultierende Mail beinhaltet das Attachment base64 
>>> codiert im Body der Mail, das Attachment ist so nicht verwendbar. 
>>> Was machen die Jungs verkehrt?
>>
>> Ich verwende für PHP Projekte PHPMailer. Einfacher gehts nicht. 
>
> Auch ich würde auf eine highlevel Funktion/Class zurückgreifen - 
> insbesondere wenn man die entsprechenden RFC nicht kennt respektive 
> adäquat anwendet. Boundaries verwendet man, um multipart Meldungen 
> zusammenzubasteln.  RFC1341 beschreibt das letzte Boundary wie folgt:
>
>     " The encapsulation boundary following the last body part is a 
> distinguished delimiter that indicates that no further body parts will 
> follow. Such a delimiter is identical to the previous delimiters, with 
> the addition of two more hyphens at the end of the line"
>
> In deinem Fall also für das letzte Boundary: $mailHeader .= 
> '--'.$boundary.'--';
>
> Da du aber keine multipart Meldung versendest, bräuchte es nicht 
> einmal Boundaries.
>
> Zudem gibt es bei deinem PHP Script eine Vermischung von Header und 
> Body: $mailHeader .= $content;
>
> Gruss
> -- Beat



From postfix at jpkessler.info  Thu Apr 17 15:20:00 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 17 Apr 2014 15:20:00 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534FCD1A.5070103@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de>
Message-ID: <534FD500.8010400@jpkessler.info>


> Sorry aber ich komm gerade nicht mehr ganz mit. Ich dachte das Konzept 
> wäre dann so, dass VOR dem smtpd_proxy_filter die 
> smtpd_recipient_restrictions nicht ausgewertet werden sondern erst 
> DANACH.
> Demnach müsste ich doch auf dem "hinweg" smtpd_recipient_restrictions= 
> setzen, also leer damit hier keine gelten und in dem u.g. Listing 
> smtpd_recipient_restrictions gar nicht aufführen, damit die aus der 
> main.cf gelten. So habe ich Peer und Patrick in den vorherigen Mails 
> verstanden.

Um die Wahrheit zu sagen, habe ich mir nicht jeden anderen Tipp 
durchgelesen, sondern einfach nur geglaubt zu verstehen, dass Du Mails 
in Abhängigkeit bestimmter Versender DISCARDen möchtest. Das solltest Du 
mit dem u.g. erreichen. Das bedeutet aber nicht, dass es keine anderen 
Lösungen gibt. Falls Du eine Lösung findest, die besser als die von mir 
beschriebene Variante passt, nimm auf jeden Fall diese.





>
>>
>>> ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige ich 
>>> das?
>>
>> Indem Du im folgenden Abschnitt:
>>
>>> 127.0.0.1:10025 inet n    -       n -       -     smtpd
>>>      -o content_filter=
>>>      -o smtpd_delay_reject=no
>>>      -o smtpd_client_restrictions=permit_mynetworks,reject
>>>      -o smtpd_helo_restrictions=
>>>      -o smtpd_sender_restrictions=
>>
>> die folgende Zeile so änderst, dass der Check mit dem DISCARD 
>> durchgeführt wird:
>>
>>> -o smtpd_recipient_restrictions=permit_mynetworks,reject
>>
>> ACHTUNG: Da dort keine Leerzeichen stehen dürfen, macht es evtl Sinn, 
>> dazu eine passende Restriction Class in der main.cf zu definieren.
>>
>



From p.heinlein at heinlein-support.de  Thu Apr 17 19:23:08 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 17 Apr 2014 19:23:08 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534F98D5.1060406@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de>
Message-ID: <53500DFC.2090504@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 17.04.2014 11:03, schrieb Christian Garling:

>>> warning: access table hash:/etc/postfix/access_maps/sender:
>>> with smtpd_proxy_filter specified, action DISCARD is
>>> unavailable
>> Discarde NACH dem smtpd_proxy_filter, also beim Reentry mach
>> amavis.
> ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige
> ich das?

Wie ich in meinen Mails schrieb: Du mußt auch auf Port 10025 die
normalen smtpd_recipient_restrictions benutzen.

Dein Problem ist:

> -o smtpd_recipient_restrictions=permit_mynetworks,reject

weil Du da Deine access-maps rauswirfst und Dein DISCARD nicht mehr
greifen kann.

Also: Mach aus diesem ganzen Quark:

> 127.0.0.1:10025 inet n    -       n       -       -     smtpd -o
> content_filter= -o smtpd_delay_reject=no -o
> smtpd_client_restrictions=permit_mynetworks,reject -o
> smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o
> smtpd_recipient_restrictions=permit_mynetworks,reject -o
> smtpd_data_restrictions=reject_unauth_pipelining -o
> smtpd_end_of_data_restrictions= -o smtpd_restriction_classes= -o
> mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o
> smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o
> smtpd_client_connection_count_limit=0 -o
> smtpd_client_connection_rate_limit=0 -o 
> receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
>
>  -o local_header_rewrite_clients= -o smtpd_milters= -o
> local_recipient_maps= -o relay_recipient_maps=

Ganz einfach diese saubere Lösung:

127.0.0.1:10025 inet n    -       n       -       -     smtpd
      -o content_filter=
      -o smtpd_proxy_filter=
      -o smtpd_authorized_xforward_hosts=127.0.0.0/8

und schon scheint die Sonne.

Peer



- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTUA38AAoJEAOLLpq5E82HClAH/RFWTFcNqnGCOJN+n/Q+fsrb
difRjouJD5INtT7W7XfBBfL6GCT1r0r5wUifoKDfCBRDNDTvqxJfs9gXgE96SFn9
F9iVhZLmiXQWo6PLDarImH2r0/jf6csenlVXtd7W84ZMG83i9iYpxGKvIlhLhXxT
938kjcm2xzkz2y0iugq/uEWYCyeevccqu8FJOO9+yL1zgcGregtSE9oeKXNXpEJt
9hx2JtpiII6vE1lhG4nsaebqrmtBed980DXXRgyiWTnZ2xNNztq3e+fTApkYUTnR
TLwD3bF8xi0yXfe5ed9NAsb1Ux4vN5mwgKOGeMZwyESB8efUwOsIz4xNnY/aA+E=
=PhZK
-----END PGP SIGNATURE-----


From christian.garling at cg-networks.de  Thu Apr 17 19:23:52 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 19:23:52 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <534FD500.8010400@jpkessler.info>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
Message-ID: <53500E28.9050505@cg-networks.de>

Hallo Liste,

ich habe mir das gerade nochmal angesehen und komme noch nicht auf eine 
vernünftige Lösung.

Einliefernde Server (Port 25) werden durch den smtpd_proxy_filter 
geschickt. Meine Clients die auf Port 587 einliefern durch den 
content_filter, da ich den Versand nicht unnötig verlangsamen will, 
indem auf den smtpd_proxy_filter gewartet wird.

Für smtpd_proxy_filter ist die Empfehlung die 
smtpd_recipient_restrictions erst nach dem Durchlauf durch den Amavis zu 
durchlaufen. Beim content_filter können und sollen sie vorher. Wenn ich 
jetzt die smtpd_recipient_restrictions in den Rückkanal auf Port 10025 
einbaue, durchlaufen meine Clients per Port 587 die zumindest bis 
permit_sasl_authenticated doppelt. Auch doof.

Peer und Patrick ich würde mich freuen hier von euch nochmal ein 
Feedback zu bekommen, wie hier eine sauber Lösung aussehen könnte.

Viele Grüße, Christian


Am 17.04.2014 15:20, schrieb Jan P. Kessler:
>
>> Sorry aber ich komm gerade nicht mehr ganz mit. Ich dachte das 
>> Konzept wäre dann so, dass VOR dem smtpd_proxy_filter die 
>> smtpd_recipient_restrictions nicht ausgewertet werden sondern erst 
>> DANACH.
>> Demnach müsste ich doch auf dem "hinweg" 
>> smtpd_recipient_restrictions= setzen, also leer damit hier keine 
>> gelten und in dem u.g. Listing smtpd_recipient_restrictions gar nicht 
>> aufführen, damit die aus der main.cf gelten. So habe ich Peer und 
>> Patrick in den vorherigen Mails verstanden.
>
> Um die Wahrheit zu sagen, habe ich mir nicht jeden anderen Tipp 
> durchgelesen, sondern einfach nur geglaubt zu verstehen, dass Du Mails 
> in Abhängigkeit bestimmter Versender DISCARDen möchtest. Das solltest 
> Du mit dem u.g. erreichen. Das bedeutet aber nicht, dass es keine 
> anderen Lösungen gibt. Falls Du eine Lösung findest, die besser als 
> die von mir beschriebene Variante passt, nimm auf jeden Fall diese.
>
>
>
>
>
>>
>>>
>>>> ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige 
>>>> ich das?
>>>
>>> Indem Du im folgenden Abschnitt:
>>>
>>>> 127.0.0.1:10025 inet n    -       n -       -     smtpd
>>>>      -o content_filter=
>>>>      -o smtpd_delay_reject=no
>>>>      -o smtpd_client_restrictions=permit_mynetworks,reject
>>>>      -o smtpd_helo_restrictions=
>>>>      -o smtpd_sender_restrictions=
>>>
>>> die folgende Zeile so änderst, dass der Check mit dem DISCARD 
>>> durchgeführt wird:
>>>
>>>> -o smtpd_recipient_restrictions=permit_mynetworks,reject
>>>
>>> ACHTUNG: Da dort keine Leerzeichen stehen dürfen, macht es evtl 
>>> Sinn, dazu eine passende Restriction Class in der main.cf zu 
>>> definieren.
>>>
>>
>



From christian.garling at cg-networks.de  Thu Apr 17 19:27:49 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 19:27:49 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <53500DFC.2090504@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <53500DFC.2090504@heinlein-support.de>
Message-ID: <53500F15.6080307@cg-networks.de>

Hallo Peer,

Am 17.04.2014 19:23, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 17.04.2014 11:03, schrieb Christian Garling:
>
>>>> warning: access table hash:/etc/postfix/access_maps/sender:
>>>> with smtpd_proxy_filter specified, action DISCARD is
>>>> unavailable
>>> Discarde NACH dem smtpd_proxy_filter, also beim Reentry mach
>>> amavis.
>> ich stehe gerade noch etwas auf dem Schlauch. Wie bewerkstellige
>> ich das?
> Wie ich in meinen Mails schrieb: Du mußt auch auf Port 10025 die
> normalen smtpd_recipient_restrictions benutzen.
>
> Dein Problem ist:
>
>> -o smtpd_recipient_restrictions=permit_mynetworks,reject
> weil Du da Deine access-maps rauswirfst und Dein DISCARD nicht mehr
> greifen kann.
>
> Also: Mach aus diesem ganzen Quark:
>
>> 127.0.0.1:10025 inet n    -       n       -       -     smtpd -o
>> content_filter= -o smtpd_delay_reject=no -o
>> smtpd_client_restrictions=permit_mynetworks,reject -o
>> smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o
>> smtpd_recipient_restrictions=permit_mynetworks,reject -o
>> smtpd_data_restrictions=reject_unauth_pipelining -o
>> smtpd_end_of_data_restrictions= -o smtpd_restriction_classes= -o
>> mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o
>> smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o
>> smtpd_client_connection_count_limit=0 -o
>> smtpd_client_connection_rate_limit=0 -o
>> receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
>>
>>   -o local_header_rewrite_clients= -o smtpd_milters= -o
>> local_recipient_maps= -o relay_recipient_maps=
> Ganz einfach diese saubere Lösung:
>
> 127.0.0.1:10025 inet n    -       n       -       -     smtpd
>        -o content_filter=
>        -o smtpd_proxy_filter=
>        -o smtpd_authorized_xforward_hosts=127.0.0.0/8
das kann ich bis hier nachvollziehen, danke schonmal. Wie ist das aber 
mit der Unterscheidung zwischen Port 25 (smtpd_proxy_filter) und Port 
587 (content_filter)? Macht es in jedemfall Sinn auf dem Rückweg die 
smtpd_recipient_restrictions zu durchlaufen und vorher per 
smtpd_recipient_restrictions= nichts zu tun?

>
> und schon scheint die Sonne.
Ich hoffe meine Fragen sind nicht allzu anstrengend, aber ich wills ja 
auch richtig verstehen.

>
> Peer
Christian
>
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTUA38AAoJEAOLLpq5E82HClAH/RFWTFcNqnGCOJN+n/Q+fsrb
> difRjouJD5INtT7W7XfBBfL6GCT1r0r5wUifoKDfCBRDNDTvqxJfs9gXgE96SFn9
> F9iVhZLmiXQWo6PLDarImH2r0/jf6csenlVXtd7W84ZMG83i9iYpxGKvIlhLhXxT
> 938kjcm2xzkz2y0iugq/uEWYCyeevccqu8FJOO9+yL1zgcGregtSE9oeKXNXpEJt
> 9hx2JtpiII6vE1lhG4nsaebqrmtBed980DXXRgyiWTnZ2xNNztq3e+fTApkYUTnR
> TLwD3bF8xi0yXfe5ed9NAsb1Ux4vN5mwgKOGeMZwyESB8efUwOsIz4xNnY/aA+E=
> =PhZK
> -----END PGP SIGNATURE-----



From p.heinlein at heinlein-support.de  Thu Apr 17 20:53:04 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 17 Apr 2014 20:53:04 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <53500E28.9050505@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
 <53500E28.9050505@cg-networks.de>
Message-ID: <53502310.9070205@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 17.04.2014 19:23, schrieb Christian Garling:

> Für smtpd_proxy_filter ist die Empfehlung die 
> smtpd_recipient_restrictions erst nach dem Durchlauf durch den
> Amavis zu durchlaufen. Beim content_filter können und sollen sie
> vorher. Wenn ich jetzt die smtpd_recipient_restrictions in den
> Rückkanal auf Port 10025 einbaue, durchlaufen meine Clients per
> Port 587 die zumindest bis permit_sasl_authenticated doppelt. Auch
> doof.

Nein. Irrelevant und belanglos.

Abgesehen davon, daß Du irrst, weil Sie auch beim smtpd_proxy_filter
durchlaufen werden.

Nochmal: Das ist doch TOTAL egal.

> Peer und Patrick ich würde mich freuen hier von euch nochmal ein 
> Feedback zu bekommen, wie hier eine sauber Lösung aussehen könnte.

Ich empfehle zum dritten mal es so zu machen, wie ich hier schrieb,
wie es in vielen Tausend Exemplaren Postfixbuch beschrieben ist und
wie ich es in rund 1.000 Kundenprojekten exakt so gebaut habe.

Was für eine andere Antwort soll ich dir sonst geben?!

Peer

- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTUCMQAAoJEAOLLpq5E82HQuEH/2VTL2+s24WC2vqVD9DhZVl7
tflDMWNJuVg0HSHzcVvYTjM4KZ0Dmq7PobWYOrcba++k+a5YBkcPckuTWxmhQqMS
+yg+U0gTU7u8DLpTepu7T9G0WMNd1y5aOXlQLhvkZj27KtethDf+Ga323ncyXUj/
EVX3Mr4ZYNtVL32lxFy0hAa2plFsxWN6YdRCiKKlYeMk7v1Zgh118HFMygFuaMz4
ypVbCmXkMnt9t9tt2Pwy/D/UmzdUe7pWv3xIrG1vWwVykcIyBa/ySjyI8AsdB30k
CnL4zC/CX/cnMqA9HUdSlbyTkRBUkjoJ1Rc0b6hwBCHp2kQVWEHtoZEH0JpaEEY=
=U2gR
-----END PGP SIGNATURE-----


From p.heinlein at heinlein-support.de  Thu Apr 17 20:53:52 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 17 Apr 2014 20:53:52 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <53500F15.6080307@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <53500DFC.2090504@heinlein-support.de>
 <53500F15.6080307@cg-networks.de>
Message-ID: <53502340.3060201@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 17.04.2014 19:27, schrieb Christian Garling:
> das kann ich bis hier nachvollziehen, danke schonmal. Wie ist das
> aber mit der Unterscheidung zwischen Port 25 (smtpd_proxy_filter)
> und Port 587 (content_filter)? Macht es in jedemfall Sinn auf dem
> Rückweg die smtpd_recipient_restrictions zu durchlaufen und vorher
> per smtpd_recipient_restrictions= nichts zu tun?

Nein.

Und: Das würde auch gar nicht gehen.

Peer



- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTUCNAAAoJEAOLLpq5E82HtTYH+wZecElyj2mRfNYqDQediprm
H3agWCVbnSEBIWTfP34Pl2Yz5X/wN77LbY79sXrRut6ehPTCsadfs75GPxdYGUWw
iHvl8ZgAJyW+zJcLkNTQLyOvIlFH1PeAMfpojEUHgpirkj6cUS984V3Iknm2Mg2c
lTAWi/i8lB4KHGA7s9FUwtXR/Jn5TUCQNf56ikZ/LXuWh07wi7DvfoiLG5NemKS+
A0Fhl2u7iW0vc5eYW0Xu4KPnF0Mq8Gr0RyoSrtppN6O8avI3hCl/lMnuyP+97Q3B
PstDvzB7S42rZ0Pj1g9Cy9ZMaZ7CB7Xs/aHDKC6IkzfqHIOFO2bBdBhN1MBct00=
=jSgK
-----END PGP SIGNATURE-----


From christian.garling at cg-networks.de  Thu Apr 17 21:15:39 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Thu, 17 Apr 2014 21:15:39 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <53502310.9070205@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
 <53500E28.9050505@cg-networks.de> <53502310.9070205@heinlein-support.de>
Message-ID: <5350285B.1050600@cg-networks.de>

Hallo,

Am 17.04.2014 20:53, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 17.04.2014 19:23, schrieb Christian Garling:
>
>> Für smtpd_proxy_filter ist die Empfehlung die
>> smtpd_recipient_restrictions erst nach dem Durchlauf durch den
>> Amavis zu durchlaufen. Beim content_filter können und sollen sie
>> vorher. Wenn ich jetzt die smtpd_recipient_restrictions in den
>> Rückkanal auf Port 10025 einbaue, durchlaufen meine Clients per
>> Port 587 die zumindest bis permit_sasl_authenticated doppelt. Auch
>> doof.
> Nein. Irrelevant und belanglos.
>
> Abgesehen davon, daß Du irrst, weil Sie auch beim smtpd_proxy_filter
> durchlaufen werden.
>
> Nochmal: Das ist doch TOTAL egal.
OK
>
>> Peer und Patrick ich würde mich freuen hier von euch nochmal ein
>> Feedback zu bekommen, wie hier eine sauber Lösung aussehen könnte.
> Ich empfehle zum dritten mal es so zu machen, wie ich hier schrieb,
> wie es in vielen Tausend Exemplaren Postfixbuch beschrieben ist und
> wie ich es in rund 1.000 Kundenprojekten exakt so gebaut habe.
>
> Was für eine andere Antwort soll ich dir sonst geben?!
Ich habe es nun so gemacht, kann aber trotzdem DISCARD nicht in den 
access_maps nutzen:

  postfix/smtpd[4150]: warning: access table 
hash:/etc/postfix/access_maps/sender: with smtpd_proxy_filter specified, 
action DISCARD is unavailable
>
> Peer
Christian
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTUCMQAAoJEAOLLpq5E82HQuEH/2VTL2+s24WC2vqVD9DhZVl7
> tflDMWNJuVg0HSHzcVvYTjM4KZ0Dmq7PobWYOrcba++k+a5YBkcPckuTWxmhQqMS
> +yg+U0gTU7u8DLpTepu7T9G0WMNd1y5aOXlQLhvkZj27KtethDf+Ga323ncyXUj/
> EVX3Mr4ZYNtVL32lxFy0hAa2plFsxWN6YdRCiKKlYeMk7v1Zgh118HFMygFuaMz4
> ypVbCmXkMnt9t9tt2Pwy/D/UmzdUe7pWv3xIrG1vWwVykcIyBa/ySjyI8AsdB30k
> CnL4zC/CX/cnMqA9HUdSlbyTkRBUkjoJ1Rc0b6hwBCHp2kQVWEHtoZEH0JpaEEY=
> =U2gR
> -----END PGP SIGNATURE-----



From p.heinlein at heinlein-support.de  Fri Apr 18 08:36:37 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 18 Apr 2014 08:36:37 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <5350285B.1050600@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
 <53500E28.9050505@cg-networks.de> <53502310.9070205@heinlein-support.de>
 <5350285B.1050600@cg-networks.de>
Message-ID: <5350C7F5.6090608@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 17.04.2014 21:15, schrieb Christian Garling:
>> Was für eine andere Antwort soll ich dir sonst geben?!
> Ich habe es nun so gemacht, kann aber trotzdem DISCARD nicht in
> den access_maps nutzen:
> 
> postfix/smtpd[4150]: warning: access table 
> hash:/etc/postfix/access_maps/sender: with smtpd_proxy_filter
> specified, action DISCARD is unavailable

das ist die Meldung vom Port 25, dem "Hinweg". Dort geht das auch
nicht. Er loggt eine Warnung und ignoriert das. Also egal.

Und wenn die Mail auf Port 10025 von Amavis zurückkommt wird er WIEDER
durch die access-Map laufen und DANN wird er auch ein Discard ausführen.

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTUMf1AAoJEAOLLpq5E82HoaIIAJHVD9QE6JbQNyMLF2a7Biqe
5RhWxC3yIEA9DCBphc+DSzXUcdTvfmd7D7n5tra/wKx1MJGdVNW6ShnwtRt9Xk+J
BdK41nWwz+dIUze5AhA8gztQzKsDIqcizZJX4BSPv2juNlFIl0Fp+m2aEYPjSYgO
8ktkKavWtO1X7XvB+AijOoueBdU8T5hWRiq8+oPO8C0rRhtQweTX25x2XaKA8JEA
3HKroOZjaQ+4/4GD14g15y3PQV5ybo4+VugDy88jlSL2+KzAVa4dSEYfqQqwBGXX
eH+klmaxJEtQC8s+NyC5edNOdSOroXhxecEj6ONn8s77svyGZVXoi9Q6AFkisw0=
=VZD1
-----END PGP SIGNATURE-----


From christian.garling at cg-networks.de  Fri Apr 18 11:06:27 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Fri, 18 Apr 2014 11:06:27 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <5350C7F5.6090608@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
 <53500E28.9050505@cg-networks.de> <53502310.9070205@heinlein-support.de>
 <5350285B.1050600@cg-networks.de> <5350C7F5.6090608@heinlein-support.de>
Message-ID: <5350EB13.6000004@cg-networks.de>

Hallo zusammen,

Am 18.04.2014 08:36, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 17.04.2014 21:15, schrieb Christian Garling:
>>> Was für eine andere Antwort soll ich dir sonst geben?!
>> Ich habe es nun so gemacht, kann aber trotzdem DISCARD nicht in
>> den access_maps nutzen:
>>
>> postfix/smtpd[4150]: warning: access table
>> hash:/etc/postfix/access_maps/sender: with smtpd_proxy_filter
>> specified, action DISCARD is unavailable
> das ist die Meldung vom Port 25, dem "Hinweg". Dort geht das auch
> nicht. Er loggt eine Warnung und ignoriert das. Also egal.
>
> Und wenn die Mail auf Port 10025 von Amavis zurückkommt wird er WIEDER
> durch die access-Map laufen und DANN wird er auch ein Discard ausführen.
wo ich so über das Thema nachgedacht habe, kam ich auf den selben 
Schluss. Irgendwie ja auch logisch.

Kann es sein das die Logmeldungen in der /var/log/maillog nicht immer 
ganz chronologisch sind? Als ich das gerade getestet habe, wurde der 
erfolgreiche DISCARD schon vor dem Ergebnis von Amavis geloggt, siehe hier:

Apr 18 10:53:27 lvps87-230-14-179 postfix/smtpd[8233]: connect from 
localhost[127.0.0.1]
Apr 18 10:53:27 lvps87-230-14-179 postfix/smtpd[8233]: NOQUEUE: discard: 
RCPT from localhost[127.0.0.1]: <christian.garling at peakwork.de>: Sender 
address "Hau ab"; from=<christian.garling at peakwork.de> 
to=<christian.garling at cg-networks.de> proto=ESMTP helo=<localhost>
Apr 18 10:53:27 lvps87-230-14-179 postfix/smtpd[8233]: 360E120E43: 
client=mail.peakwork.de[213.203.211.174]
Apr 18 10:53:27 lvps87-230-14-179 postfix/smtpd[8233]: disconnect from 
localhost[127.0.0.1]
Apr 18 10:53:27 lvps87-230-14-179 amavis[4372]: (04372-11) Passed CLEAN 
{RelayedInbound}, [213.203.211.174]:42837 [89.0.42.70] 
<christian.garling at peakwork.de> -> <christian.garling at cg-networks.de>, 
Message-ID: <5350E806.4040300 at peakwork.de>, mail_id: 5H_OiLudo_y4, Hits: 
-0.652, size: 1058, queued_as: 360E120E43, 268 ms
Apr 18 10:53:27 lvps87-230-14-179 postfix/smtpd[8223]: disconnect from 
mail.peakwork.de[213.203.211.174]

Von der Abfolge her muss es ja anders herum passiert sein. Und noch eine 
letzte Frage:

Müssten nicht die Logmeldungen von z.B. policyd-weight und postgrey bei 
erfolgreicher Einlieferung einer Mail doppelt im Log auftauchen, weil 
einmal vor und einmal nach dem smtpd_proxy_filter?

>
> Peer
Christian
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTUMf1AAoJEAOLLpq5E82HoaIIAJHVD9QE6JbQNyMLF2a7Biqe
> 5RhWxC3yIEA9DCBphc+DSzXUcdTvfmd7D7n5tra/wKx1MJGdVNW6ShnwtRt9Xk+J
> BdK41nWwz+dIUze5AhA8gztQzKsDIqcizZJX4BSPv2juNlFIl0Fp+m2aEYPjSYgO
> 8ktkKavWtO1X7XvB+AijOoueBdU8T5hWRiq8+oPO8C0rRhtQweTX25x2XaKA8JEA
> 3HKroOZjaQ+4/4GD14g15y3PQV5ybo4+VugDy88jlSL2+KzAVa4dSEYfqQqwBGXX
> eH+klmaxJEtQC8s+NyC5edNOdSOroXhxecEj6ONn8s77svyGZVXoi9Q6AFkisw0=
> =VZD1
> -----END PGP SIGNATURE-----



From p.heinlein at heinlein-support.de  Fri Apr 18 12:28:14 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 18 Apr 2014 12:28:14 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <5350EB13.6000004@cg-networks.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
 <53500E28.9050505@cg-networks.de> <53502310.9070205@heinlein-support.de>
 <5350285B.1050600@cg-networks.de> <5350C7F5.6090608@heinlein-support.de>
 <5350EB13.6000004@cg-networks.de>
Message-ID: <5350FE3E.4010906@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 18.04.2014 11:06, schrieb Christian Garling:

Hi,

>> Kann es sein das die Logmeldungen in der /var/log/maillog nicht
>> immer ganz chronologisch sind? Als ich das gerade getestet habe,
>> wurde der

Sie sind chronologisch. :-)

Du übersiehst nur, daß Mailserver (und damit auc Postfix und Amavis)
sich "faile safe" verhalten. Ich nenne das in den Kursen immer das
"Staffelstab-Prinzip". Erst wenn die Gegenstelle meine Mail sicher und
quittiert (250 OK) abgenommen hat, darf ich den Staffelstab loslassen
(=Mail bei mir aus der Queue löschen).

Also:

Amavis gibt die Mail an Postfix Port 10025 -- dort wird dann auch
Discard ausgelöst. Dann quittiert Postfix auf 10025 die Mail ggü.
Amavis. ERST DANN kann Amavis seinerseits die Mail als erfolgreich
gefiltert und übergeben quittieren und wird das an den ursprünglichen
Postfix per 250 OK zurückgeben und ERST DANN wird Postfix nach außen
auf Port 25 dem einliefernden Client das 250 OK geben.

Die ganze Kette dröselt sich also von hinte auf.

Das siehst Du im Proxy-Modus ja auch. Wenn Du eine Mail auf Port 25
einleferst siehst Du im Result-Text die Rückmeldung von Postfix auf
10025 zitiert.

>> Müssten nicht die Logmeldungen von z.B. policyd-weight und
>> postgrey bei erfolgreicher Einlieferung einer Mail doppelt im Log
>> auftauchen, weil einmal vor und einmal nach dem
>> smtpd_proxy_filter?

Nein.

auf Port 10025 greift das sehr frühe permit_mynetworks. Und darum
kommt es auf alle nachfolgenden Restrictions nicht mehr drauf an.

Darum ist es ja auch totaler Humbug dort jetzt partout in der
master.cf ganz kurze smtpd_recipient_restrictions setzen zu wollen:
Die access-maps braucht man und alles nach permit_mynetworks wird
nicht geprüft, so daß auch die ursprünglichen recipient-restrictions
stehen bleiben können. Darum sind die ganzen diesbezüglichen
komplizierten Anleitungen ja auch Mist, weil sinnfrei und destruktiv.


Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTUP4+AAoJEAOLLpq5E82HIFkIAKyYszCZWi/FbUsNznv7/Pku
ozD/TXGp8sBDTRl7O6hhw2F9z2A5TNVBNP3YlNOd9X7i0VXF6XOOeVdRVW2wodwL
1ynd4lF1Nltqi8Olc0LxDjdHQhUW3dA8zIeEiqG9PjdQHQ5b9jta6EqtTc9h1Ptk
EZIyIoOqUXz9T5wwpZh71RIgCGpQhvqagrTcLmHR3C/I7ZdbVJ3HjphSpnHyvK34
+lQ5mh9XcNMj7VquAjy6dMikPrJnxOpuQFtvSEgMtyrW1f6i1z2IaZqK7DmAlZHB
e7nRdAKqh3tceHvDd1HgV2q7aJTAXAil/tRTyV54pgrMqUTeycCmxuGKDza+oKk=
=ZwrV
-----END PGP SIGNATURE-----


From christian.garling at cg-networks.de  Fri Apr 18 12:31:35 2014
From: christian.garling at cg-networks.de (Christian Garling)
Date: Fri, 18 Apr 2014 12:31:35 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?DISCARD_bei_Verwendung_von_smt?=
 =?iso-8859-1?q?pd=5Fproxy=5Ffilter_nicht_verf=FCgbar_-_Alternativen=3F?=
In-Reply-To: <5350FE3E.4010906@heinlein-support.de>
References: <534E6B3B.7030609@cg-networks.de> <20140416114953.GS30867@sys4.de>
 <534F98D5.1060406@cg-networks.de> <534FCB6F.4090303@jpkessler.info>
 <534FCD1A.5070103@cg-networks.de> <534FD500.8010400@jpkessler.info>
 <53500E28.9050505@cg-networks.de> <53502310.9070205@heinlein-support.de>
 <5350285B.1050600@cg-networks.de> <5350C7F5.6090608@heinlein-support.de>
 <5350EB13.6000004@cg-networks.de> <5350FE3E.4010906@heinlein-support.de>
Message-ID: <5350FF07.1030008@cg-networks.de>

Hallo Peer,

Am 18.04.2014 12:28, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 18.04.2014 11:06, schrieb Christian Garling:
>
> Hi,
>
>>> Kann es sein das die Logmeldungen in der /var/log/maillog nicht
>>> immer ganz chronologisch sind? Als ich das gerade getestet habe,
>>> wurde der
> Sie sind chronologisch. :-)
>
> Du übersiehst nur, daß Mailserver (und damit auc Postfix und Amavis)
> sich "faile safe" verhalten. Ich nenne das in den Kursen immer das
> "Staffelstab-Prinzip". Erst wenn die Gegenstelle meine Mail sicher und
> quittiert (250 OK) abgenommen hat, darf ich den Staffelstab loslassen
> (=Mail bei mir aus der Queue löschen).
>
> Also:
>
> Amavis gibt die Mail an Postfix Port 10025 -- dort wird dann auch
> Discard ausgelöst. Dann quittiert Postfix auf 10025 die Mail ggü.
> Amavis. ERST DANN kann Amavis seinerseits die Mail als erfolgreich
> gefiltert und übergeben quittieren und wird das an den ursprünglichen
> Postfix per 250 OK zurückgeben und ERST DANN wird Postfix nach außen
> auf Port 25 dem einliefernden Client das 250 OK geben.
>
> Die ganze Kette dröselt sich also von hinte auf.
>
> Das siehst Du im Proxy-Modus ja auch. Wenn Du eine Mail auf Port 25
> einleferst siehst Du im Result-Text die Rückmeldung von Postfix auf
> 10025 zitiert.
>
>>> Müssten nicht die Logmeldungen von z.B. policyd-weight und
>>> postgrey bei erfolgreicher Einlieferung einer Mail doppelt im Log
>>> auftauchen, weil einmal vor und einmal nach dem
>>> smtpd_proxy_filter?
> Nein.
>
> auf Port 10025 greift das sehr frühe permit_mynetworks. Und darum
> kommt es auf alle nachfolgenden Restrictions nicht mehr drauf an.
>
> Darum ist es ja auch totaler Humbug dort jetzt partout in der
> master.cf ganz kurze smtpd_recipient_restrictions setzen zu wollen:
> Die access-maps braucht man und alles nach permit_mynetworks wird
> nicht geprüft, so daß auch die ursprünglichen recipient-restrictions
> stehen bleiben können. Darum sind die ganzen diesbezüglichen
> komplizierten Anleitungen ja auch Mist, weil sinnfrei und destruktiv.
danke für die ausführliche Erklärung, das hier permit_mynetworks greift 
ist auch wieder mal logisch, man muss es nur "sehen" :-)
>
>
> Peer
Schöne Ostertage!

Christian
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTUP4+AAoJEAOLLpq5E82HIFkIAKyYszCZWi/FbUsNznv7/Pku
> ozD/TXGp8sBDTRl7O6hhw2F9z2A5TNVBNP3YlNOd9X7i0VXF6XOOeVdRVW2wodwL
> 1ynd4lF1Nltqi8Olc0LxDjdHQhUW3dA8zIeEiqG9PjdQHQ5b9jta6EqtTc9h1Ptk
> EZIyIoOqUXz9T5wwpZh71RIgCGpQhvqagrTcLmHR3C/I7ZdbVJ3HjphSpnHyvK34
> +lQ5mh9XcNMj7VquAjy6dMikPrJnxOpuQFtvSEgMtyrW1f6i1z2IaZqK7DmAlZHB
> e7nRdAKqh3tceHvDd1HgV2q7aJTAXAil/tRTyV54pgrMqUTeycCmxuGKDza+oKk=
> =ZwrV
> -----END PGP SIGNATURE-----



From akilah.sebuturo at gmx.net  Tue Apr 22 10:22:51 2014
From: akilah.sebuturo at gmx.net (Akilah Sebuturo)
Date: Tue, 22 Apr 2014 10:22:51 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
	=?utf-8?b?IG3DtmdsaWNo?=
Message-ID: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140422/d66165b5/attachment.htm>

From michael.reincke at atlas-elektronik.com  Tue Apr 22 11:43:56 2014
From: michael.reincke at atlas-elektronik.com (Michael Reincke)
Date: Tue, 22 Apr 2014 11:43:56 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
 =?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
Message-ID: <535639DC.6080708@atlas-elektronik.com>

Hallo,

On 22/04/14 10:22, Akilah Sebuturo wrote:
> Hallo,
> nach einem Upgrade von Debian Lenny nach Wheezy ließ sich mein
> Amavis-new nicht mehr neustarten, so dass ich Spamassassin und Amavis
> noch einmal neuinstalliert und konfiguiert habe. Die Erkennung von
> Spam eingehender Mails klappt jetzt wieder. Nur kann ich jetzt mit der
> bisherigen main.cf und master.cf nicht mehr versenden. Hier habe ich
> folgende Meldungen im Logfile.
>  
> Apr 22 09:48:37 mail amavis[19219]: (19219-01) (!)ClamAV-clamd
> av-scanner FAILED: CODE(0x2557750) unexpected ,
> output="/var/lib/amavis/tmp/amavis-20140422T094837-19219-tajfmV1g/parts:
> lstat() failed: Permission denied. ERROR\n" at (eval 136) line 899.
Die Rechte für das Verzeichnis

    /var/lib/amavis/tmpbzw. /var/lib/amavis

sind anscheinend nicht korrekt. Sie sollten so aussehen:

    drwxr-x--- 6 amavis amavis 4096 Apr 22 08:58 /var/lib/amavis/

    drwxrwx--- 5 amavis amavis 4096 Apr 22 09:15 /var/lib/amavis/tmp


 
> Weil ich erst vermutet habe, dass das ein Problem von Bernutzerrechten
> ist, habe ich den clamav mit usermod -G zusätzlich der Gruppe amavis
> zu gewiesen und die Dienste neugestartet. Die Meldungen "Blocked
> MTA-BLOCKED {RejectedInbound}" und "ClamAV-clamd av-scanner FAILED"
> treten leider immer noch auf, so dass ich im Moment ratlos bin.
>  
> Vielleicht könnt ihr mir auf dei Sprünge helfen. Vielen Dank,
>  
> Akilah

Weil Amavis die Teile der Mail nicht auf Platte schreiben
kannfunktioniert der Virus-Scan nicht.
Als zusätzliche Maßnahme solltest du vielleicht auch clamscan als Backup
AV-Scanner einschalten:
In "/etc/amavis/conf.d/15-av_scanners"

@av_scanners_backup = (

  ### http://www.clamav.net/   - backs up clamd or Mail::ClamAV
  ['ClamAV-clamscan', 'clamscan',
    "--stdout --no-summary -r --tempdir=$TEMPBASE {}",
    [0], qr/:.*\sFOUND$/m, qr/^.*?: (?!Infected Archive)(.*) FOUND$/m ],


Gruß
Michael

-- 
Dipl.-Math. Michael Reincke
System Services

ATLAS ELEKTRONIK GmbH
Sebaldsbruecker Heerstrasse 235
28309 BREMEN
GERMANY

Telefon / Phone +49 (0)421 457-2302
Telefax / Fax   +49 (0)421 457-2977
michael.reincke at atlas-elektronik.com
www.atlas-elektronik.com

Geschäftsführung/Management Board:
Volker Paltzo (Sprecher/Speaker), Alexander Kocherscheidt 
Vorsitzender des Aufsichtsrats/Chairman Supervisory Board:
       Dr. Hans Christoph Atzpodien
Sitz der Gesellschaft/Registered Office: Bremen
Register/Commercial Register: Amtsgericht Bremen, HRB 21570

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140422/8b6b061e/attachment.htm>

From kai_postfix at fuerstenberg.ws  Tue Apr 22 12:38:01 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Tue, 22 Apr 2014 12:38:01 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Versand_=FCber_Amavis_nicht_me?=
 =?iso-8859-1?q?hr_m=F6glich?=
In-Reply-To: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
Message-ID: <53564689.3020406@fuerstenberg.ws>

Am 22.04.2014 10:22, schrieb Akilah Sebuturo:
> smtpd_client_restrictions = check_sender_access
> hash:/etc/postfix/access permit_mynetworks permit

> smtpd_recipient_restrictions = permit_sasl_authenticated 
> reject_unauth_destination check_client_access
> hash:/etc/postfix/ip-block permit_mynetworks
> reject_non_fqdn_recipient reject_non_fqdn_sender 
> reject_unknown_sender_domain reject_unknown_recipient_domain 
> reject_sender_login_mismatch check_recipient_access 
> hash:/etc/postfix/roleaccount_exceptions
> reject_multi_recipient_bounce reject_non_fqdn_hostname
> reject_invalid_hostname warn_if_reject check_policy_service
> inet:127.0.0.1:12525 check_client_access 
> hash:/etc/postfix/policyd_weight_hosts_whitelist
> check_recipient_access hash:/etc/postfix/policyd_weight_users
> check_helo_access pcre:/etc/postfix/helo_checks check_sender_access 
> hash:/etc/postfix/common_spam_senderdomains check_sender_access 
> regexp:/etc/postfix/common_spam_senderdomain_keywords permit

> smtpd_relay_restrictions = permit_sasl_authenticated 
> reject_unauth_destination check_client_access
> hash:/etc/postfix/ip-block permit_mynetworks
> reject_non_fqdn_recipient reject_non_fqdn_sender 
> reject_unknown_sender_domain reject_unknown_recipient_domain 
> reject_sender_login_mismatch check_recipient_access 
> hash:/etc/postfix/roleaccount_exceptions
> reject_multi_recipient_bounce reject_non_fqdn_hostname
> reject_invalid_hostname warn_if_reject check_policy_service
> inet:127.0.0.1:12525 check_client_access 
> hash:/etc/postfix/policyd_weight_hosts_whitelist
> check_recipient_access hash:/etc/postfix/policyd_weight_users
> check_helo_access pcre:/etc/postfix/helo_checks check_sender_access 
> hash:/etc/postfix/common_spam_senderdomains check_sender_access 
> regexp:/etc/postfix/common_spam_senderdomain_keywords permit

zu allererst solltest du hier mal aufräumen. Hier werden einige Test
doppelt und dreifach ausgeführt, was erstens nicht nötig und zweitens
irreführend und fehlerträchtig ist.

smtpd_relay_restrictions kann man in den meisten Fällen auf default
stehen lassen: permit_mynetworks, permit_sasl_authenticated,
defer_unauth_destination
(oder die Zeile gleich ganz weglassen)

Alle (!) anderen Restriktionen kommen in die
smtpd_recipient_restrictions rein.

Vorteil: Es ist übersichtlich, die Reihenfolge der Restriktionen lässt
sich nach persönlichen Vorlieben ändern und man findet Fehler schneller.

> Apr 22 09:48:44 mail postfix/smtpd[19230]: NOQUEUE: reject: RCPT from
> localhost[127.0.0.1]: 554 5.7.1 <akilah.sebuturo at gmx.net>: Relay
> access denied; from=<a.mahler at thinktank.com>
> to=<akilah.sebuturo at gmx.net> proto=ESMTP helo=<localhost>

Dein Postfix ist nicht für gmx.net zuständig. Du hast aber in den
smtpd_relay_restrictions, die du auf dem Rückkanal in der master.cf
_nicht_ geleert hast, noch ein "reject_unauth_destination" drinstehen
und zwar noch vor dem permit_mynetworks.

Deine Konfiguration ist etwas unübersichtlich, aber wenn ich raten soll,
würde ich hier ansetzen.

Dann ist noch was aufgefallen:

In deiner master.cf:
smtp      inet  n       -       -       -       -       smtpd

Dein smtpd läuft chrooted. Der Rückkanal aber nicht:
localhost:10025   inet  n       -       n       -       -       smtpd

Absicht?
Ich weiß, dass chroot Debian-typisch ist, aber chroot benötigt man
normalerweise nicht. Du hast noch verschiedene andere Prozesse im
chroot, andere wiederum nicht.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From postfix_ml at rirasoft.de  Tue Apr 22 12:59:46 2014
From: postfix_ml at rirasoft.de (postfix_ml at rirasoft.de)
Date: Tue, 22 Apr 2014 12:59:46 +0200
Subject: [Postfixbuch-users] =?utf-8?q?/etc/postfix/sender=5Faccess?=
Message-ID: <5dd7b9a496f1ae6c32791f34606efa35@rirasoft.de>

Hallo zusammen,

folgende Ausgangsbasis: Ich habe einen Mailserver mit fester IP und 
biete Mail-Dienste für meine Familie an. Mein Schwiegervater schickt und 
empfängt seine Mails mittels Thunderbird über meinem Server (postfix und 
dovecot). Abholung der Mails über imaps und schicken direkt über 
Thunderbird auf meinem postfix (Port 25).
Da er seine IP-Adresse über DSL als dynamische IP bekommt, kommt es in 
letzter Zeit öfters vor, das mein postfix (postscreen) ihn ablehnt: 
80.146.33.254 listed by domain zen.spamhaus.org

Nun habe ich folgendes gemacht:

smtpd_recipient_restrictions =
reject_unauth_destination,
check_sender_access hash:/etc/postfix/sender_access,

und in der /etc/postfix/sender_access folgenden Eintrag
schwiegervater at meinedomain.de  permit

sowie
postmap /etc/postfix/sender_access

Würde dies so funktionieren?


Gruß
Andreas



From kai_postfix at fuerstenberg.ws  Tue Apr 22 13:03:24 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Tue, 22 Apr 2014 13:03:24 +0200
Subject: [Postfixbuch-users] /etc/postfix/sender_access
In-Reply-To: <5dd7b9a496f1ae6c32791f34606efa35@rirasoft.de>
References: <5dd7b9a496f1ae6c32791f34606efa35@rirasoft.de>
Message-ID: <53564C7C.4020306@fuerstenberg.ws>

Am 22.04.2014 12:59, schrieb postfix_ml at rirasoft.de:
> Hallo zusammen,
> 
> folgende Ausgangsbasis: Ich habe einen Mailserver mit fester IP und 
> biete Mail-Dienste für meine Familie an. Mein Schwiegervater schickt und 
> empfängt seine Mails mittels Thunderbird über meinem Server (postfix und 
> dovecot). Abholung der Mails über imaps und schicken direkt über 
> Thunderbird auf meinem postfix (Port 25).
> Da er seine IP-Adresse über DSL als dynamische IP bekommt, kommt es in 
> letzter Zeit öfters vor, das mein postfix (postscreen) ihn ablehnt: 
> 80.146.33.254 listed by domain zen.spamhaus.org
> 
> Nun habe ich folgendes gemacht:
> 
> smtpd_recipient_restrictions =
> reject_unauth_destination,
> check_sender_access hash:/etc/postfix/sender_access,
> 
> und in der /etc/postfix/sender_access folgenden Eintrag
> schwiegervater at meinedomain.de  permit
> 
> sowie
> postmap /etc/postfix/sender_access
> 
> Würde dies so funktionieren?

nein, denn jeder gefälschte Absender schwiegervater at meinedomain.de würde
über deinen Server senden können.

Warum kein SASL ("permit_sasl_authenticated")? Das wäre hier nämlich das
Mittel der Wahl.


-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From akilah.sebuturo at gmx.net  Tue Apr 22 13:29:03 2014
From: akilah.sebuturo at gmx.net (Akilah Sebuturo)
Date: Tue, 22 Apr 2014 13:29:03 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
 =?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <535639DC.6080708@atlas-elektronik.com>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>, 
 <535639DC.6080708@atlas-elektronik.com>
Message-ID: <trinity-29fb9fab-75f5-4092-a5df-9fa034b4457b-1398166143148@3capp-gmx-bs14>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140422/fbbd8328/attachment.htm>

From p.heinlein at heinlein-support.de  Tue Apr 22 22:47:53 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Tue, 22 Apr 2014 22:47:53 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Versand_=FCber_Amavis_nicht_me?=
 =?iso-8859-1?q?hr_m=F6glich?=
In-Reply-To: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
Message-ID: <5356D579.30607@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 22.04.2014 10:22, schrieb Akilah Sebuturo:
> Apr 22 09:48:37 mail amavis[19219]: (19219-01) (!)ClamAV-clamd 
> av-scanner FAILED: CODE(0x2557750) unexpected , 
> output="/var/lib/amavis/tmp/amavis-20140422T094837-19219-tajfmV1g/parts:
>
> 
lstat() failed: Permission denied. ERROR\n" at (eval 136) line 899.
> Apr 22 09:48:37 mail amavis[19219]: (19219-01) (!)WARN: all
> primary virus scanners failed, considering backups

Gehe in /etc/groups und füge den User clamav in die Gruppe amavis mit ein.

Alt:

amavis:x:120:

Neu:

amavis:x:120:clamav

(Zahl kan variieren)

Danach dem Clam-Daemon neu starten.

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTVtV5AAoJEAOLLpq5E82H118IAKMIoVvtHIJEy301HhBr86w+
oiDoyFkW142VvTTH5h4wdzL6x8ArVjAHOcq7hoOWDuoJE2uAb6DxKx0dmlnjzh1m
mt2dzse2fnui4lJkltqGET0wV+bVKbxv/oWbB5KUKK9NNck6c9tg1mlcTc89mCer
Du+V7LuzLMzRNLH3MG2Cr71fM1Qft1rZ+gRRHuKNxQoJG/udwk1axa0Yg2VYUlwU
CQQoGx8fQeqWaDy9YoNdIFBiBGxhwGmoafbdxnSULsG2Rl4QbkltbGh0NphmJsTT
zthTrB0NfHYsAj54tnkU3QJicUA7NRprGU4N4vT+CLE+eyqEWNXg8UULFVn0IaU=
=AkJu
-----END PGP SIGNATURE-----


From akilah.sebuturo at gmx.net  Wed Apr 23 06:36:42 2014
From: akilah.sebuturo at gmx.net (Akilah Sebuturo)
Date: Wed, 23 Apr 2014 06:36:42 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
 =?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <5356D579.30607@heinlein-support.de>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>, 
 <5356D579.30607@heinlein-support.de>
Message-ID: <trinity-89828f1c-8348-4d74-86ba-087b71786a4f-1398227802013@3capp-gmx-bs01>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140423/d09f0c0a/attachment.htm>

From p.heinlein at heinlein-support.de  Wed Apr 23 07:56:47 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 23 Apr 2014 07:56:47 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Versand_=FCber_Amavis_nicht_me?=
 =?iso-8859-1?q?hr_m=F6glich?=
In-Reply-To: <trinity-89828f1c-8348-4d74-86ba-087b71786a4f-1398227802013@3capp-gmx-bs01>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>,
 <5356D579.30607@heinlein-support.de>
 <trinity-89828f1c-8348-4d74-86ba-087b71786a4f-1398227802013@3capp-gmx-bs01>
Message-ID: <5357561F.90302@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 23.04.2014 06:36, schrieb Akilah Sebuturo:


> Das hatte ich doch bereits gesagt, dass ich das gemacht hatte "Weil
> ich erst vermutet habe, dass das ein Problem von Bernutzerrechten
> ist, habe ich den clamav mit usermod -G zusätzlich der Gruppe
> amavis zu gewiesen und die Dienste neugestartet."

Sorry, dann hatte ich das überlesen, ich bin derzeit etwas kurz
angebunden weil Urlaub.

> Apr 22 09:48:37 mail amavis[19219]: (19219-01) (!)ClamAV-clamd 
> av-scanner FAILED: CODE(0x2557750) unexpected , 
> output="/var/lib/amavis/tmp/amavis-20140422T094837-19219-tajfmV1g/parts:
>
> 
lstat() failed: Permission denied. ERROR\n" at (eval 136) line 899.
> tritt immer noch auf.

Es hilft aber nichts, das HAT etwas mit Dateirechten zu tun. Also such
genau da weiter.

a) Output von "ls -la /var/lib/amavis/tmp/"
b) Output von "ps ax | grep clam"
c) Output von "grep clam /etc/groups"

???

Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTV1YfAAoJEAOLLpq5E82HJbUH/34+vmZAvb/qDtXkUst405sZ
asW50wmhDkM88A6GDU3WQwnd1DgrrSXaXsoPmnzIALM8VUMuKShH2e/uqQYubgaq
XgNZvoMXwWt7PlORrng4PdEQkbWCODQCX2VBgh2h2rKNweQ/Y8e5J0j8+9hizMNX
Uh83cVcNtdM79WvEuc/zQvD+Fidl+ME9gsBkHfolxTICZvfPswPvtik6zJGmI0Xi
CGNo8gnZUW65UwVQS42kBwuUdpmT9Y6Ze6ngQ+h/cHMoG2UwDeZXbuED/8oKjhjT
TuQFt0d4kKqcB/US7HLC+DKeYXovESvR0FPopheaouIZ3Gn3q0swdPJV1jf+20w=
=raKT
-----END PGP SIGNATURE-----


From akilah.sebuturo at gmx.net  Wed Apr 23 08:17:37 2014
From: akilah.sebuturo at gmx.net (Akilah Sebuturo)
Date: Wed, 23 Apr 2014 08:17:37 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
 =?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <5357561F.90302@heinlein-support.de>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>, 
 <5356D579.30607@heinlein-support.de>
 <trinity-89828f1c-8348-4d74-86ba-087b71786a4f-1398227802013@3capp-gmx-bs01>,
 <5357561F.90302@heinlein-support.de>
Message-ID: <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140423/558ecf18/attachment.htm>

From p.heinlein at heinlein-support.de  Wed Apr 23 08:27:04 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 23 Apr 2014 08:27:04 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Versand_=FCber_Amavis_nicht_me?=
 =?iso-8859-1?q?hr_m=F6glich?=
In-Reply-To: <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>,
 <5356D579.30607@heinlein-support.de>
 <trinity-89828f1c-8348-4d74-86ba-087b71786a4f-1398227802013@3capp-gmx-bs01>,
 <5357561F.90302@heinlein-support.de>
 <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
Message-ID: <53575D38.8020008@heinlein-support.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 23.04.2014 08:17, schrieb Akilah Sebuturo:

> Die beiden sind heute ohne Gruppenschreibrechte angelegt wurden.
> Ich weiß bloss nicht warum.

Warum sollten sie eines haben?

> Hmm, umask von amavis ist "u=rwx,g=rx,o=rx" bzw. 0022 Vielleicht
> sollte ich das mal auf "u=rwx,g=rwx,o=rx" ändern.

Nö. warum solltest Du irgendwo irgendwas irgendwie blind rumstochern?

> ps ax | grep clam 2224 ?        Ss     2:44 /usr/bin/freshclam -d
> --quiet 3605 ?        Ssl    2:04 /usr/sbin/clamd 22072 pts/1    S+
> 0:00 grep clam

Sorry, ich meinte "ps axu".


> amavis:x:112:clamav

Sieht richtig aus.

Ist in "/etc/clamav/clamd.conf" (o.ä.) ein "AllowSupplementaryGroups
yes" gesetzt?


Peer


- -- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTV104AAoJEAOLLpq5E82HNRgIAKoMm5A42DQvF2xLsp+N5TbI
pl9GxDW+0FUrbxvAvPffc5tFx//lQh/A5+MaKhiyL03qm+iwUWKEaO2p9mjMJxJq
mI2wJfaLaxzayPsLrIE/ullx3vw4kiCByyw0ER/txAAvUk34PqzELD5KoSiS6PPD
zMv0mvng19So4A9QiXDNDAt4i+zxLbKjV5bPV5MeyRTtNZNNUAXGonwmCmXxb3Jt
QnARXdpCxMKp5Xmt9ColTCqyS+XmgOZ42edq1Oxt1SLqpbjQGADDBSFjw/dnb0TC
+FsxwyNllJpdmWlnYWthwjK/ywwGdohihKJ1ZVhvX7YyccgucZnb/qvDfnYWZis=
=oi75
-----END PGP SIGNATURE-----


From akilah.sebuturo at gmx.net  Wed Apr 23 09:23:22 2014
From: akilah.sebuturo at gmx.net (Akilah Sebuturo)
Date: Wed, 23 Apr 2014 09:23:22 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
 =?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <53575D38.8020008@heinlein-support.de>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>, 
 <5356D579.30607@heinlein-support.de>
 <trinity-89828f1c-8348-4d74-86ba-087b71786a4f-1398227802013@3capp-gmx-bs01>,
 <5357561F.90302@heinlein-support.de>
 <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>,
 <53575D38.8020008@heinlein-support.de>
Message-ID: <trinity-dfe97396-4541-4fb9-a575-41caec92c369-1398237802075@3capp-gmx-bs20>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140423/f1cb0f8c/attachment.htm>

From Jogie at quantentunnel.de  Wed Apr 23 13:10:13 2014
From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=)
Date: Wed, 23 Apr 2014 13:10:13 +0200
Subject: [Postfixbuch-users] =?utf-8?q?postscreen_-_gro=C3=9Fe_provider_vo?=
 =?utf-8?q?m_client_check_ausschlie=C3=9Fen?=
Message-ID: <trinity-62c0ab13-11d6-40ea-b480-a25b4d423662-1398251413024@3capp-gmx-bs44>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140423/9fd549d2/attachment.htm>

From postfixbuch at cboltz.de  Wed Apr 23 13:49:49 2014
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Wed, 23 Apr 2014 13:49:49 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
	=?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
 <5357561F.90302@heinlein-support.de>
 <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
Message-ID: <1808535.ITFhHEkovJ@tux.boltz.de.vu>

Hallo Akilah, hallo Leute,

Am Mittwoch, 23. April 2014 schrieb Akilah Sebuturo:
> Und zuletzt noch
> grep clam /etc/group
> clamav:x:111:
> amavis:x:112:clamav

Probiers mal andersrum - der Benutzer clamav sollte in der Gruppe amavis 
sein ;-)

Falls das auch nicht hilft und immer noch ein "permission denied" kommt: 
Hast Du AppArmor oder SELinux im Einsatz?


Gruß

Christian Boltz
-- 
> > Moin Moin,            > Wann stehst Du denn üblicherwiese auf ;-)
So grüßt man sich z. B. in Hamburg von 0 bis ca. 23:59:59 Uhr. 
Faulpelze und Rucksack-Fischköppe wie ich sagen nur einmal *Moin* :-)
P.S.: Wer jetzt fragt, wie man sich hier in der restlichen Zeit
grüßt, ist doof ;-) 
[>> Mathias Bölke, > Manfred Tremmel und Jan Trippler in suse-linux]



From postfixbuch at cboltz.de  Wed Apr 23 13:49:49 2014
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Wed, 23 Apr 2014 13:49:49 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
	=?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
 <5357561F.90302@heinlein-support.de>
 <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
Message-ID: <1808535.ITFhHEkovJ@tux.boltz.de.vu>

Hallo Akilah, hallo Leute,

Am Mittwoch, 23. April 2014 schrieb Akilah Sebuturo:
> Und zuletzt noch
> grep clam /etc/group
> clamav:x:111:
> amavis:x:112:clamav

Probiers mal andersrum - der Benutzer clamav sollte in der Gruppe amavis 
sein ;-)

Falls das auch nicht hilft und immer noch ein "permission denied" kommt: 
Hast Du AppArmor oder SELinux im Einsatz?


Gruß

Christian Boltz
-- 
> > Moin Moin,            > Wann stehst Du denn üblicherwiese auf ;-)
So grüßt man sich z. B. in Hamburg von 0 bis ca. 23:59:59 Uhr. 
Faulpelze und Rucksack-Fischköppe wie ich sagen nur einmal *Moin* :-)
P.S.: Wer jetzt fragt, wie man sich hier in der restlichen Zeit
grüßt, ist doof ;-) 
[>> Mathias Bölke, > Manfred Tremmel und Jan Trippler in suse-linux]



From igor.sverkos at googlemail.com  Wed Apr 23 16:12:23 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 23 Apr 2014 16:12:23 +0200
Subject: [Postfixbuch-users] "Untrusted TLS connection" bei Verbindungen zum
 internen Mailrelay, obwohl dem Zertifikat vom Mailrelay vertraut wird
Message-ID: <CAAyQC41un+MEA4vxNsx_pPtF9xVy-Difpx+yXdyp_6JB+TdYDg@mail.gmail.com>

Hallo,

hier im lokalen Netz steht ein Postfix-Relay, welches von allen
anderen Servern im LAN Mails annehmen und diese dann zustellen soll.
Eben ein Relayserver ;)

Ich versuche gerade auch intern alles mit TLS abzusichern. Scheitere
aber daran, dass in den Logs der Server immer folgendes steht:

  Apr 23 15:09:55 srv8 postfix-null/smtp[5545]: Untrusted TLS
connection established to relay.example.intern[10.72.44.101]:25:
TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

Ich störe mich an dem "Untrusted TLS connection", da das Zertifikat
von relay.example.intern eigentlich gültig ist:

server23 ~ # echo "QUIT" | openssl s_client -CApath /etc/ssl/certs
-starttls smtp -connect relay.example.intern:25
CONNECTED(00000003)
depth=2 CN = Example Inc. Root CA, O = Example Inc., C = DE
verify return:1
depth=1 CN = Example Inc. TLS CA, O = Example Inc., C = DE
verify return:1
depth=0 CN = relay.example.intern, O = Example Inc., C = DE
verify return:1
---
Certificate chain
 0 s:/CN=relay.example.intern/O=Example Inc./C=DE
   i:/CN=Example Inc. TLS CA/O=Example Inc./C=DE
 1 s:/CN=Example Inc. TLS CA/O=Example Inc./C=DE
   i:/CN=Example Inc. Root CA/O=Example Inc./C=DE
---
Server certificate
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/CN=relay.example.intern/O=Example Inc./C=DE
issuer=/CN=Example Inc. TLS CA/O=Example Inc./C=DE
---
No client certificate CA names sent
---
SSL handshake has read 3379 bytes and written 687 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: zlib compression
Expansion: zlib compression
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: A3E50648D98AD48F538CA861B464F7A1B5D6CF...
    Session-ID-ctx:
    Master-Key: 1F760F2C668FC93B9D15B0A1B440DA85991086...
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
        ....

    Compression: 1 (zlib compression)
    Start Time: 1398258861
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---
250 DSN
DONE

Das ist für mich der Beweis, dass unser "Example Inc. Root CA" korrekt
in "/etc/ssl/certs" installiert ist. Ggenauer gesagt ist es
richtigerweise in
"/usr/local/share/ca-certificates/example_root_ca.crt" installiert und
"update-ca-certificates" (welches c_rehash aufruft) packt das an die
richtige Stelle, siehe

server23 ~ # ls -l /etc/ssl/certs/example*
lrwxrwxrwx 1 root root 57 Apr 23 15:07
/etc/ssl/certs/example_root_ca.pem ->
/usr/local/share/ca-certificates/example_root_ca.crt

Die Gegenprobe mit

server23 ~ # echo "QUIT" | openssl s_client -CApath
/etc/ssl/gibtesnicht -starttls smtp -connect relay.example.intern:25

liefert auch korrekterweise das erwartete

  Verify return code: 20 (unable to get local issuer certificate)

zurück. Mit anderen Worten, die Zertifikatskette sollte also passen.

Nun zur Postfix-Konfiguration:

server23 ~ # postconf -n
# postconf -n
alias_database =
alias_maps =
config_directory = /etc/postfix
inet_interfaces = loopback-only
local_recipient_maps =
local_transport = error:5.1.1 Mailbox unavailable
mydestination =
myhostname = server23.example.intern
mynetworks_style = host
recipient_delimiter = +
relay_domains =
relayhost = [relay.example.intern]
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_security_level = encrypt
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_ask_ccert = no
smtpd_tls_cert_file = /etc/ssl/private/server23.chained
smtpd_tls_key_file = /etc/ssl/private/server23.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_use_tls = yes
syslog_name = postfix-null


relay ~ # postconf -n
[...]
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtpd_tls_CApath = /etc/ssl/certs
smtpd_tls_ask_ccert = no
smtpd_tls_cert_file = /etc/ssl/postfix/relay.example.intern.chained
smtpd_tls_key_file = /etc/ssl/postfix/relay.example.intern.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_use_tls = yes

Das "relay" ist eine andere physische Kiste wie "server23", nur um das
klarzustellen.

Wo liegt nun mein Denkfehler? Es ist doch richtig, dass wenn server23,
der hier ja als smtp-Client fungiert, dem vom Relay-Server
präsentierte Zertifikat vertraut, im smtp-Log von server23 nichts von
"Untrusted TLS connection" stehen sollte, oder?


Vielen Dank für eure Hilfe.


-- 
Ich Grüße,
Igor


From igor.sverkos at googlemail.com  Wed Apr 23 16:40:06 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 23 Apr 2014 16:40:06 +0200
Subject: [Postfixbuch-users] "Untrusted TLS connection" bei Verbindungen
 zum internen Mailrelay, obwohl dem Zertifikat vom Mailrelay vertraut wird
In-Reply-To: <CAAyQC41un+MEA4vxNsx_pPtF9xVy-Difpx+yXdyp_6JB+TdYDg@mail.gmail.com>
References: <CAAyQC41un+MEA4vxNsx_pPtF9xVy-Difpx+yXdyp_6JB+TdYDg@mail.gmail.com>
Message-ID: <CAAyQC42mmqTQMQmqSyvPY+XH6qH-=NysvG087km+gz_m=60a+g@mail.gmail.com>

Hallo,

ich scheine den "Fehler" gerade selber gefunden haben.

Es liegt an "smtp_tls_security_level = encrypt". Da postfix auf dem
Level wohl noch keine Überprüfung vornimmt, schreibt er folglich auch
ins Log "Untrusted". Erst ab "verify" bzw. "secure" prüft er u.a.
gegen die CA. Mit "secure" bekomme ich bspw. nun

  Apr 23 16:34:03 server23 postfix-null/smtp[814]: Verified TLS
connection established to relay.example.intern[10.72.44.101]:25:
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

ins Log.

Sofern ich falsch liege, möge man mich doch bitte korrigieren. Danke.


-- 
Ich Grüße,
Igor


From akilah.sebuturo at gmx.net  Wed Apr 23 17:21:31 2014
From: akilah.sebuturo at gmx.net (Akilah Sebuturo)
Date: Wed, 23 Apr 2014 17:21:31 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
 =?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <1808535.ITFhHEkovJ@tux.boltz.de.vu>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
 <5357561F.90302@heinlein-support.de>
 <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>,
 <1808535.ITFhHEkovJ@tux.boltz.de.vu>
Message-ID: <trinity-46495da0-8c55-4405-b07a-920e1f69db7e-1398266491798@3capp-gmx-bs06>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140423/25359373/attachment.htm>

From w.flamme at web.de  Thu Apr 24 07:44:06 2014
From: w.flamme at web.de (Werner Flamme)
Date: Thu, 24 Apr 2014 07:44:06 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Versand_=FCber_Amavis_nicht_me?=
 =?iso-8859-1?q?hr_m=F6glich?=
In-Reply-To: <1808535.ITFhHEkovJ@tux.boltz.de.vu>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
 <5357561F.90302@heinlein-support.de>
 <trinity-8f9546b0-b584-4075-aefd-cda7c55ba47c-1398233857832@3capp-gmx-bs48>
 <1808535.ITFhHEkovJ@tux.boltz.de.vu>
Message-ID: <5358A4A6.6060303@web.de>

Christian Boltz [23.04.2014 13:49]:
> Hallo Akilah, hallo Leute,
> 
> Am Mittwoch, 23. April 2014 schrieb Akilah Sebuturo:
>> Und zuletzt noch
>> grep clam /etc/group
>> clamav:x:111:
>> amavis:x:112:clamav
> 
> Probiers mal andersrum - der Benutzer clamav sollte in der Gruppe amavis 
> sein ;-)

Das steht doch da? In /etc/group wird der Gruppe amavis (= 112) der User
clamav zugeordnet.

> Falls das auch nicht hilft und immer noch ein "permission denied" kommt: 
> Hast Du AppArmor oder SELinux im Einsatz?

Oh ja, böse Falle, das! Insbesondere AppArmor auf SLES 11 *sing*

grummelt Werner
-- 


From pkoch at bgc-jena.mpg.de  Thu Apr 24 08:59:14 2014
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Thu, 24 Apr 2014 08:59:14 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
	versendet)
Message-ID: <5358B642.3070301@bgc-jena.mpg.de>

Hallo,

folgendes Problem. Ein Nutzer(A) sagt er hat eine Mail an Nutzer (B) 
versendet.
Die Mail ist im Sent-Folder bei ihm gespeichert, aber es gibt keinen 
Eintrag irgendwo im
Log im Zeitraum(Zeitstempel der Mail) über einen Einlieferungsversuch 
von Nutzer A (muss
sich anmelden zum Einliefern).
Es gibt Einträge Minuten(~10min) vorher und nachher an andere Nutzer die 
von A Mails bekommen haben,
aber diese Mail ist nirgendwo vermerkt.

Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?
Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?

Was kann man da machen, um die Ursache einzuschränken ? Mich stört etwas,
das davor bzw. später Mails von Nutzer A "normal" im SMTP Log zu sehen sind,
aber diese Mail nicht (ich habe allerdings den Sent Folder nicht 
kontrolliert, welche Mails
dort alle enthalten sind ..).
Als Ergänzung: Nutzer A verwendet Mac-Mail.

Was kann man noch zur Klärung tun ?

-- 
Ciao,
     Peer
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140424/e035e925/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4641 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140424/e035e925/attachment.p7s>

From postfix at jpkessler.info  Thu Apr 24 09:20:32 2014
From: postfix at jpkessler.info (Jan P. Kessler)
Date: Thu, 24 Apr 2014 09:20:32 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <5358B642.3070301@bgc-jena.mpg.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
Message-ID: <5358BB40.9080905@jpkessler.info>


> Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?
> Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?

Ja, "Gesendet" = IMAP. Wobei die meisten MUAs das erst machen, nachdem
per SMTP versendet werden konnte (andernfalls "Entwurf"). Insofern also
schon ungewöhnlich - ich kenne allerdings auch MacMail nicht.

> Was kann man noch zur Klärung tun ?

Evtl noch die Timestamps anderer erfolgreicher Sendeversuche des
gleichen Client abgleichen - nur damit sichergestellt ist, dass es bei
der Suche nach Logeinträgen kein Problem mit unterschiedlichen
Timestamps gibt (z.B. einer der beiden protokolliert in UTC, usw).



From Malesur at gmx.de  Thu Apr 24 09:35:05 2014
From: Malesur at gmx.de (Malesur at gmx.de)
Date: Thu, 24 Apr 2014 09:35:05 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <5358B642.3070301@bgc-jena.mpg.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
Message-ID: <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140424/930a1608/attachment.htm>

From pug at felsing.net  Thu Apr 24 16:49:15 2014
From: pug at felsing.net (Christian Felsing)
Date: Thu, 24 Apr 2014 16:49:15 +0200
Subject: [Postfixbuch-users] Postfix/Dovecot und Thunderbird :
	Authentifizierung mit Clientzertifikaten
Message-ID: <5359246B.9030908@felsing.net>

Hallo zusammen,

inzwischen läuft auf der Testumgebung eine Postfix/Dovecot Installation,
die wahlweise gegen einen Samba4 Server oder mit Client Zertifikaten
authentifiziert (PAM/Kerberos + LDAP) wobei sich doch noch Fragen
ergeben haben:

1. SASL oder Client Zertifikat auf gleichem Port/IP scheint bei Postfix
wohl nicht zu gehen, oder liege ich da falsch? Vorgabe ist wahlweise
Auth mit Username/Passwort wie bei SASL üblich, _oder_ Client Zertifikat.

2. Etwas OT: Der Thunderbird scheint sein Client Zertifikat immer global
zu benutzen, d.h. er fragt einmal nach dem Client Zertifikat und benutzt
dann für alle Accounts das gleiche Zertifikat. Gibt es da evtl. noch
einen Weg, dass der für jeden Mailaccount ein eigenes Zertifikat benutzt?

Die Dovecot/Postfix Config zieht sich den Usernamen aus dem Subject des
Zertifikats und user1 at example.net ist nun einmal etwas Anderes als
user2 at example.net

Viele Grüße
Christian


From sebastian at debianfan.de  Thu Apr 24 19:47:42 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Thu, 24 Apr 2014 19:47:42 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?verschl=FCsselte_Server_=3C-?=
 =?iso-8859-15?q?=3E_Server_Kommunikation?=
Message-ID: <53594E3E.7020902@debianfan.de>

Hallo & Guten Abend zusammen,

ich habe das Tutorial von Peer nachgebaut "Perfect Forward Secrecy (PFS) 
für Postfix und Dovecot einrichten".

Dann habe ich zu verschiedenen "vertrauenswürdigen Mailservern" auf 
welchen ich Accounts habe versucht eine Mail zu senden.

Es kam bei allen Mailservern zu folgendem Eintrag in mein Postfix-Log:

Apr 24 19:43:22 meinhost postfix/smtp[5598]: Untrusted TLS connection 
established to mx2.mailbox.org[80.241.60.215]:25: TLSv1.2 with cipher 
ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)


Untrusted TLS... - jo mei - ich kann ja wohl kaum gemeint sein.

Der SSL-Test für den Mailserver bei https://de.ssl-tools.net war "3 mal 
grün" - das Zertifikat ist ein gekauftes und von PSW signiertes Zertifikat.


Ist das jetzt "normal" das dort untrusted steht oder deutet das auf ein 
Konfigurationsproblem bei mir hin?

gruß

Sebastian


From rudi.floren at googlemail.com  Thu Apr 24 21:15:41 2014
From: rudi.floren at googlemail.com (Rudi Floren)
Date: Thu, 24 Apr 2014 21:15:41 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?verschl=C3=BCsselte_Server_=3C-=3E_?=
 =?utf-8?q?Server_Kommunikation?=
In-Reply-To: <53594E3E.7020902@debianfan.de>
References: <53594E3E.7020902@debianfan.de>
Message-ID: <535962DD.5020704@gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Sebastion,
Schau mal in dem Thread "Untrusted TLS connection" bei Verbindungen zum
internen Mailrelay. Vll. trifft das auch auf dich zu.

Ansonsten hilft es auch hier mal die ausgabe von postconf -n zu posten.


Rudi

Am Donnerstag, 24. April 2014 19:47:42 schrieb sebastian at debianfan.de:
> Hallo & Guten Abend zusammen,
>
> ich habe das Tutorial von Peer nachgebaut "Perfect Forward Secrecy
> (PFS) für Postfix und Dovecot einrichten".
>
> Dann habe ich zu verschiedenen "vertrauenswürdigen Mailservern" auf
> welchen ich Accounts habe versucht eine Mail zu senden.
>
> Es kam bei allen Mailservern zu folgendem Eintrag in mein Postfix-Log:
>
> Apr 24 19:43:22 meinhost postfix/smtp[5598]: Untrusted TLS connection
> established to mx2.mailbox.org[80.241.60.215]:25: TLSv1.2 with cipher
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
>
>
> Untrusted TLS... - jo mei - ich kann ja wohl kaum gemeint sein.
>
> Der SSL-Test für den Mailserver bei https://de.ssl-tools.net war "3
> mal grün" - das Zertifikat ist ein gekauftes und von PSW signiertes
> Zertifikat.
>
>
> Ist das jetzt "normal" das dort untrusted steht oder deutet das auf
> ein Konfigurationsproblem bei mir hin?
>
> gruß
>
> Sebastian
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (MingW32)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=OiL4
-----END PGP SIGNATURE-----



From j_adam at web.de  Thu Apr 24 23:13:14 2014
From: j_adam at web.de (Jens Adam)
Date: Thu, 24 Apr 2014 23:13:14 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?verschl=C3=BCsselte_Server_=3C-=3E_?=
 =?utf-8?q?Server_Kommunikation?=
In-Reply-To: <53594E3E.7020902@debianfan.de>
References: <53594E3E.7020902@debianfan.de>
Message-ID: <20140424231314.6c4a16fa@titan.byte.cx>

Am Thu, 24 Apr 2014 19:47:42 +0200
schrieb "sebastian at debianfan.de" <sebastian at debianfan.de>:

> Ist das jetzt "normal" das dort untrusted steht oder deutet das auf
> ein Konfigurationsproblem bei mir hin?

Ja, das ist normal.

Es bedeutet, dass die Zertifikatshierarchie und -gültigkeit nicht
überprüft wird. Dazu reicht "smtp_tls_security_level=may" nicht aus, und
höhere Level eignen sich nicht für einen 'normalen' Mailserver, der auch
Mails an Server loswerden soll, die kein STARTTLS anbieten.
Du könntest allerdings probieren, dir mit smtp_tls_policy_maps eine
Whitelist zu bauen.

"PFS" hat ja nur mit dem Verschlüsselungsalgo zu tun und nicht mit der
Authentifizierung.

Gruß,
Jens
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 455 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140424/956cd94b/attachment.asc>

From postfixbuch at cboltz.de  Thu Apr 24 23:20:26 2014
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Thu, 24 Apr 2014 23:20:26 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Versand_=C3=BCber_Amavis_nicht_mehr?=
	=?utf-8?b?IG3DtmdsaWNo?=
In-Reply-To: <5358A4A6.6060303@web.de>
References: <trinity-7e391811-4425-4132-9538-644da8a03c9d-1398154971366@3capp-gmx-bs43>
 <1808535.ITFhHEkovJ@tux.boltz.de.vu> <5358A4A6.6060303@web.de>
Message-ID: <4333225.vbjyuIc6F8@tux.boltz.de.vu>

Hallo Werner, hallo Leute,

Am Donnerstag, 24. April 2014 schrieb Werner Flamme:
> Christian Boltz [23.04.2014 13:49]:
> > Am Mittwoch, 23. April 2014 schrieb Akilah Sebuturo:
> >> Und zuletzt noch
> >> grep clam /etc/group
> >> clamav:x:111:
> >> amavis:x:112:clamav
> > 
> > Probiers mal andersrum - der Benutzer clamav sollte in der Gruppe
> > amavis sein ;-)
> 
> Das steht doch da? In /etc/group wird der Gruppe amavis (= 112) der
> User clamav zugeordnet.

Äh, ja, stimmt - ich hatte wohl die "Spaltenüberschriften" in falscher 
Reihenfolge im Kopf (oder hatte schlicht an /etc/passwd statt /etc/group 
gedacht). Sorry für die Verwirrung!

> > Falls das auch nicht hilft und immer noch ein "permission denied"
> > kommt: Hast Du AppArmor oder SELinux im Einsatz?
> 
> Oh ja, böse Falle, das! Insbesondere AppArmor auf SLES 11 *sing*

Bei AppArmor in openSUSE hättest Du Dich bei mir ausweinen dürfen ;-)) 
aber SLES ist "not my bug" ;-) und ich weiß auch nicht genau, welche 
AppArmor-Version (und vor allem welche Profile) im SLES enthalten sind.

"Sing" trotzdem mal etwas lauter (gern auch off-list, wenn es OT wird). 
Vielleicht kann ich Dir ja weiterhelfen - so groß sollten die 
Unterschiede zwischen openSUSE und SLES wohl nicht sein ;-)


Gruß

Christian Boltz
-- 
Jedes meiner Postings ist alt genug, um für sich selbst zu sprechen.
Ich übernehme keinerlei Verantwortung für das Verhalten meiner Mails.



From w.flamme at web.de  Fri Apr 25 08:02:55 2014
From: w.flamme at web.de (Werner Flamme)
Date: Fri, 25 Apr 2014 08:02:55 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?verschl=FCsselte_Server_=3C-?=
 =?iso-8859-1?q?=3E_Server_Kommunikation?=
In-Reply-To: <53594E3E.7020902@debianfan.de>
References: <53594E3E.7020902@debianfan.de>
Message-ID: <5359FA8F.9030401@web.de>

sebastian at debianfan.de [24.04.2014 19:47]:
> Hallo & Guten Abend zusammen,
> 
> ich habe das Tutorial von Peer nachgebaut "Perfect Forward Secrecy (PFS) 
> für Postfix und Dovecot einrichten".
> 
> Dann habe ich zu verschiedenen "vertrauenswürdigen Mailservern" auf 
> welchen ich Accounts habe versucht eine Mail zu senden.
> 
> Es kam bei allen Mailservern zu folgendem Eintrag in mein Postfix-Log:
> 
> Apr 24 19:43:22 meinhost postfix/smtp[5598]: Untrusted TLS connection 
> established to mx2.mailbox.org[80.241.60.215]:25: TLSv1.2 with cipher 
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Diese Aussage betrifft das Zertifikat von mx2.mailbox.org.

> Untrusted TLS... - jo mei - ich kann ja wohl kaum gemeint sein.
> 
> Der SSL-Test für den Mailserver bei https://de.ssl-tools.net war "3 mal 
> grün" - das Zertifikat ist ein gekauftes und von PSW signiertes Zertifikat.

Dieser Test testet Dein Zertifikat.

> Ist das jetzt "normal" das dort untrusted steht oder deutet das auf ein 
> Konfigurationsproblem bei mir hin?

Die beiden Ausgaben haben nichts miteinander zu tun :-)

Bei mir kamen trusted connections zustande, als ich

postconf -e "smtp_tls_CApath=/etc/ssl/certs"

gesetzt hatte. Damit sage ich Postfix, dass alle (Stamm-)Zertifikate in
/etc/ssl/certs vertrauenswürdig sind, ergo sind es auch die von denen
signierten Serverzertifikate.

Der Eintrag ist alternativ zu der Einstellung smtp_tls_CAfile - entweder
hast Du vertrauenswürdige Zertifikate in einer Datei (dann
smtp_tls_CAfile) oder in einem Verzeichnis (dann smtp_tls_CApath).

Nachzulesen: <http://www.postfix.org/postconf.5.html#smtp_tls_CAfile>,
<http://www.postfix.org/postconf.5.html#smtp_tls_CApath> und
<http://www.postfix.org/TLS_README.html>.

HDH, Werner


-- 


From pkoch at bgc-jena.mpg.de  Fri Apr 25 09:13:19 2014
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Fri, 25 Apr 2014 09:13:19 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
Message-ID: <535A0B0F.50406@bgc-jena.mpg.de>

Hallo,

danke für die Info. Das würde einiges erklären. Muss ich mal bei 
Mac-Leuten nachfragen, ob Mac-Mail
sich so verhält.

Ciao, peer

On 24.04.2014 09:35, Malesur at gmx.de wrote:
> Hi,
> da ich das erst vor ein paar Tagen hatte gebe ich mal meine 2 Cent 
> dazu. Ich hab das gleiche Problem mit dem E-Mail-Client vom iPhone 
> gehabt bzw. es besteht noch. Hierbei wurde beim Versuch eine Mail über 
> den Submission zu versenden die E-Mail von Amasis als "Spam" 
> abgelehnt. Trotzdem Postfix (Submission) den Versand also ablehnte 
> verschob der iPhone E-Mail-Client die Mail in den "Sent"-Ordner. Da du 
> von MacMail gesprochen hast sehe ich hier einfach mal eine Parallele :)
> Ich persönlich halte das für einen Bug des E-Mail Clients. Der scheint 
> nicht auf ein "OK" beim Versand zu warten sondern packt die Mail 
> einfach so in den "Sent"-Ordner.
> Gruß
> Dominik
> *Gesendet:* Donnerstag, 24. April 2014 um 08:59 Uhr
> *Von:* "Dr.Peer-Joachim Koch" <pkoch at bgc-jena.mpg.de>
> *An:* Postfixbuch-users at listen.jpberlin.de
> *Betreff:* [Postfixbuch-users] Frage zum Versenden von Mails (Mail 
> nicht versendet)
> Hallo,
>
> folgendes Problem. Ein Nutzer(A) sagt er hat eine Mail an Nutzer (B)
> versendet.
> Die Mail ist im Sent-Folder bei ihm gespeichert, aber es gibt keinen
> Eintrag irgendwo im
> Log im Zeitraum(Zeitstempel der Mail) über einen Einlieferungsversuch
> von Nutzer A (muss
> sich anmelden zum Einliefern).
> Es gibt Einträge Minuten(~10min) vorher und nachher an andere Nutzer die
> von A Mails bekommen haben,
> aber diese Mail ist nirgendwo vermerkt.
>
> Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?
> Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?
>
> Was kann man da machen, um die Ursache einzuschränken ? Mich stört etwas,
> das davor bzw. später Mails von Nutzer A "normal" im SMTP Log zu sehen 
> sind,
> aber diese Mail nicht (ich habe allerdings den Sent Folder nicht
> kontrolliert, welche Mails
> dort alle enthalten sind ..).
> Als Ergänzung: Nutzer A verwendet Mac-Mail.
>
> Was kann man noch zur Klärung tun ?
>
> --
> Ciao,
> Peer
> _________________________________________________________
> Max-Planck-Institut fuer Biogeochemie
> Dr. Peer-Joachim Koch
> Hans-Knöll Str.10 Telefon: ++49 3641 57-6705
> D-07745 Jena Telefax: ++49 3641 57-7705
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
>


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140425/383d4cc1/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 321 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140425/383d4cc1/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4641 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140425/383d4cc1/attachment.p7s>

From postfixbuch-users at makomi.de  Fri Apr 25 12:38:38 2014
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Fri, 25 Apr 2014 12:38:38 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
	versendet)
In-Reply-To: <535A0B0F.50406@bgc-jena.mpg.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
 <535A0B0F.50406@bgc-jena.mpg.de>
Message-ID: <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>

Hallo,

als Administrator eines Emailservers mit Postfix/Amavis und Dovecot, der als Clients ebenfalls Macs (Mail.app in diversen Versionen) und diverse iPhones (mit ebenfalls verschiedenen iOS-Versionen) hat, kann ich nur sagen, dass

a. es weder bisher einen Amavis-Ablehner beim Senden über Submission gab,
b. noch Mail.app seine Emails von selbst in den SENT-Ordner ablegt, wenn er vom Server kein OK beim Versenden bekommt.

Das Problem muß also woanders liegen - mangels Logs und Configs kann ich aber dazu nix sagen.

Viele Grüße,
Michael

Am 25.04.2014 um 09:13 schrieb Dr.Peer-Joachim Koch <pkoch at bgc-jena.mpg.de>:

> Hallo,
> 
> danke für die Info. Das würde einiges erklären. Muss ich mal bei Mac-Leuten nachfragen, ob Mac-Mail 
> sich so verhält. 
> 
> Ciao, peer
> 
> On 24.04.2014 09:35, Malesur at gmx.de wrote:
>> Hi,
>> da ich das erst vor ein paar Tagen hatte gebe ich mal meine 2 Cent dazu. Ich hab das gleiche Problem mit dem E-Mail-Client vom iPhone gehabt bzw. es besteht noch. Hierbei wurde beim Versuch eine Mail über den Submission zu versenden die E-Mail von Amasis als "Spam" abgelehnt. Trotzdem Postfix (Submission) den Versand also ablehnte verschob der iPhone E-Mail-Client die Mail in den "Sent"-Ordner. Da du von MacMail gesprochen hast sehe ich hier einfach mal eine Parallele :)
>>  
>> Ich persönlich halte das für einen Bug des E-Mail Clients. Der scheint nicht auf ein "OK" beim Versand zu warten sondern packt die Mail einfach so in den "Sent"-Ordner.
>>  
>> Gruß
>> Dominik
>>  
>> Gesendet: Donnerstag, 24. April 2014 um 08:59 Uhr
>> Von: "Dr.Peer-Joachim Koch" <pkoch at bgc-jena.mpg.de>
>> An: Postfixbuch-users at listen.jpberlin.de
>> Betreff: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht versendet)
>> Hallo,
>> 
>> folgendes Problem. Ein Nutzer(A) sagt er hat eine Mail an Nutzer (B)
>> versendet.
>> Die Mail ist im Sent-Folder bei ihm gespeichert, aber es gibt keinen
>> Eintrag irgendwo im
>> Log im Zeitraum(Zeitstempel der Mail) über einen Einlieferungsversuch
>> von Nutzer A (muss
>> sich anmelden zum Einliefern).
>> Es gibt Einträge Minuten(~10min) vorher und nachher an andere Nutzer die
>> von A Mails bekommen haben,
>> aber diese Mail ist nirgendwo vermerkt.
>> 
>> Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?
>> Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?
>> 
>> Was kann man da machen, um die Ursache einzuschränken ? Mich stört etwas,
>> das davor bzw. später Mails von Nutzer A "normal" im SMTP Log zu sehen sind,
>> aber diese Mail nicht (ich habe allerdings den Sent Folder nicht
>> kontrolliert, welche Mails
>> dort alle enthalten sind ..).
>> Als Ergänzung: Nutzer A verwendet Mac-Mail.
>> 
>> Was kann man noch zur Klärung tun ?
>> 
>> --
>> Ciao,
>> Peer
>> _________________________________________________________
>> Max-Planck-Institut fuer Biogeochemie
>> Dr. Peer-Joachim Koch
>> Hans-Knöll Str.10 Telefon: ++49 3641 57-6705
>> D-07745 Jena Telefax: ++49 3641 57-7705
>> 
>> --
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>> 
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>> 
>> 
> 
> 
> -- 
> Mit freundlichem Gruß
>     Peer-Joachim Koch
> _________________________________________________________
> Max-Planck-Institut fuer Biogeochemie
> Dr. Peer-Joachim Koch
> Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
> D-07745 Jena                 Telefax: ++49 3641 57-7705
> <pkoch.vcf>-- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140425/e62e6456/attachment.htm>

From Malesur at gmx.de  Fri Apr 25 13:11:38 2014
From: Malesur at gmx.de (Malesur at gmx.de)
Date: Fri, 25 Apr 2014 13:11:38 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
 <535A0B0F.50406@bgc-jena.mpg.de>,
 <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>
Message-ID: <trinity-b2b7c8c8-615b-4492-8389-e7241d45d657-1398424298806@3capp-gmx-bs06>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140425/118ce9e7/attachment.htm>

From postfixbuch-users at makomi.de  Fri Apr 25 14:01:55 2014
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Fri, 25 Apr 2014 14:01:55 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
	versendet)
In-Reply-To: <5358B642.3070301@bgc-jena.mpg.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
Message-ID: <907A2F5C-C808-4459-9C6C-D9BBD5E2A08D@makomi.de>

Hallo Peer,

Am 24.04.2014 um 08:59 schrieb Dr.Peer-Joachim Koch <pkoch at bgc-jena.mpg.de>:

> Was kann man noch zur Klärung tun ?

Ich würde folgende Reihenfolge einhalten:

> folgendes Problem. Ein Nutzer(A) sagt er hat eine Mail an Nutzer (B) versendet.
> Die Mail ist im Sent-Folder bei ihm gespeichert, aber es gibt keinen Eintrag irgendwo im
> Log im Zeitraum(Zeitstempel der Mail) über einen Einlieferungsversuch von Nutzer A (muss
> sich anmelden zum Einliefern).

1. Ist dem wirklich so? Auf Aussagen eines Users würde ich mich ehrlich gesagt nicht verlassen. 

> Es gibt Einträge Minuten(~10min) vorher und nachher an andere Nutzer die von A Mails bekommen haben,
> aber diese Mail ist nirgendwo vermerkt.
> Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?

2. Richtig - hier *muss* was im Log stehen - wenn nix drin steht, dann kam auch nix rein.

> Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?

> Als Ergänzung: Nutzer A verwendet Mac-Mail.

Um meine frühere Aussage etwas aufzuweichen: Mir ist solch ein Verhalten nicht bekannt und ich halte es für unwahrscheinlich, dass bei solch einer hohen Anzahl von Usern bisher keinem das Problem aufgefallen sein soll. Ausserdewm: Was keine Erklärung sein sollte: OSX Server nutzt selbst als IMAP-Server Dovecot - ich gehe doch mal davon aus, dass Apple das Zusammenspiel seines Clients (zumindest in grundsätzlicher Weise) mit einem richtigen IMAP-Server testet (ja, ich weiß, dass Mail.app kleinere Probleme hat, aber so was grundsätzliches?!). Auf Wunsch kann ich Dir aber gerne mal die PLIST-Einstellungen für Mail.app für Logging geben, damit Du ggf. das Problem am Client eingrenzen kannst.

Gruß,
Michael



From postfixbuch-users at makomi.de  Fri Apr 25 14:03:15 2014
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Fri, 25 Apr 2014 14:03:15 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
	versendet)
In-Reply-To: <trinity-b2b7c8c8-615b-4492-8389-e7241d45d657-1398424298806@3capp-gmx-bs06>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
 <535A0B0F.50406@bgc-jena.mpg.de>,
 <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>
 <trinity-b2b7c8c8-615b-4492-8389-e7241d45d657-1398424298806@3capp-gmx-bs06>
Message-ID: <C3B26D74-E5A3-40D5-B112-51483AF31F72@makomi.de>

Hallo Dominik,

Am 25.04.2014 um 13:11 schrieb Malesur at gmx.de:

>>>> da ich das erst vor ein paar Tagen hatte gebe ich mal meine 2 Cent dazu. Ich hab das gleiche Problem mit dem E-Mail-Client vom iPhone gehabt bzw. es besteht noch. Hierbei wurde beim Versuch eine Mail über den Submission zu versenden die E-Mail von Amasis als "Spam" abgelehnt. Trotzdem Postfix (Submission) den Versand also ablehnte verschob der iPhone E-Mail-Client die Mail in den "Sent"-Ordner. Da du von MacMail gesprochen hast sehe ich hier einfach mal eine Parallele :)
>>>> 
>>>> Ich persönlich halte das für einen Bug des E-Mail Clients. Der scheint nicht auf ein "OK" beim Versand zu warten sondern packt die Mail einfach so in den "Sent"-Ordner.

>>> danke für die Info. Das würde einiges erklären. Muss ich mal bei Mac-Leuten nachfragen, ob Mac-Mail
>>> sich so verhält.

>> als Administrator eines Emailservers mit Postfix/Amavis und Dovecot, der als Clients ebenfalls Macs (Mail.app in diversen Versionen) und diverse iPhones (mit ebenfalls verschiedenen iOS-Versionen) hat, kann ich nur sagen, dass
>> 
>> a. es weder bisher einen Amavis-Ablehner beim Senden über Submission gab,
>> b. noch Mail.app seine Emails von selbst in den SENT-Ordner ablegt, wenn er vom Server kein OK beim Versenden bekommt.
>> 
>> Das Problem muß also woanders liegen - mangels Logs und Configs kann ich aber dazu nix sagen.

> verstehe jetzt den Zusammenhang nicht. Wenn du noch nie eine Ablehnung beim versenden hattest wie kannst du dann annehmen das der Client auf ein OK wartet?

Nun, ich ging davon aus, dass es sich bei dem beschriebenen Problem von Peer *nicht* um ein reines Amavis-Problem handelt und Verbindungsabbrüche gibt es ja auch aus anderen Gründen.

> Ich persönlich hab Amavis als smtpd_proxy_filter auf dem submission am laufen. Und wenn dort ein HitScore von X erreicht wird wird die Mail direkt bei der Einlieferung mit einem 
> 
> postfix/submission/smtpd[5652]: proxy-reject: END-OF-MESSAGE: 554 5.7.0 Reject, id=30556-17 - SPAM;
> 
> abgelehnt. Wenn dann diese Mail trotzdem im Sent-Ordner landet kann ich doch wohl von einem Problem beim E-Mail Client (egal welcher) ausgehen da dieser anscheinend das reject ignoriert, oder verstehe ich was falsch?

Ok, ich habe gerade gesehen, dass ich Amavis als content_filter für Submission eingebunden habe, insofern sind unsere Setups nicht vergleichbar. Und natürlich hast Du recht, dass das von Dir beschriebene Verhalten nicht korrekt ist, wenn es denn so ist. Hast Du denn mal das Loglevel vom IMAP-Server hochgeschraubt um zu sehen, wo vielleicht der Fehler liegt? Mir fehlen da noch ein paar Infos ...
Aber ich würde erstmal an einer anderen Stelle schrauben: Warum werden Mails, über Submission eingeliefert, überhaupt als Spam erkannt? Das sollte doch erstmal gar nicht passieren.

Gruß,
Michael

PS: Ich hab mir mal die Mühe gemacht aus der Mail etwas Lesbares zu machen.

From klaus at tachtler.net  Fri Apr 25 14:16:27 2014
From: klaus at tachtler.net (Klaus Tachtler)
Date: Fri, 25 Apr 2014 14:16:27 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <C3B26D74-E5A3-40D5-B112-51483AF31F72@makomi.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
 <535A0B0F.50406@bgc-jena.mpg.de>
 <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>
 <trinity-b2b7c8c8-615b-4492-8389-e7241d45d657-1398424298806@3capp-gmx-bs06>
 <C3B26D74-E5A3-40D5-B112-51483AF31F72@makomi.de>
Message-ID: <20140425141627.Horde.SNiqZvKh26FK6fuKuvav-g1@buero.tachtler.net>

Hallo,

> Aber ich würde erstmal an einer anderen Stelle schrauben: Warum  
> werden Mails, über Submission eingeliefert, überhaupt als Spam  
> erkannt? Das sollte doch erstmal gar nicht passieren.

Warum sollten e-Mails nur weil sie per submission eingeliefert werden
nicht als SPAM erkannt werden? Nur weil der Einlieferer oder der der
dessen Benutzerdaten hat (Benutzerkennung und Passwort), sich
authentifiziert, nicht auch ein SPAMMER (ggf. ungewollt) sein?


Grüße
Klaus.


--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From postfixbuch-users at makomi.de  Fri Apr 25 14:31:00 2014
From: postfixbuch-users at makomi.de (=?iso-8859-1?Q?Michael_K=F6hler?=)
Date: Fri, 25 Apr 2014 14:31:00 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
	versendet)
In-Reply-To: <20140425141627.Horde.SNiqZvKh26FK6fuKuvav-g1@buero.tachtler.net>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
 <535A0B0F.50406@bgc-jena.mpg.de>
 <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>
 <trinity-b2b7c8c8-615b-4492-8389-e7241d45d657-1398424298806@3capp-gmx-bs06>
 <C3B26D74-E5A3-40D5-B112-51483AF31F72@makomi.de>
 <20140425141627.Horde.SNiqZvKh26FK6fuKuvav-g1@buero.tachtler.net>
Message-ID: <F630B6DC-ADA5-410C-9AD3-BDB73B890480@makomi.de>

Hallo Klaus,

Am 25.04.2014 um 14:16 schrieb Klaus Tachtler <klaus at tachtler.net>:

>> Aber ich würde erstmal an einer anderen Stelle schrauben: Warum werden Mails, über Submission eingeliefert, überhaupt als Spam erkannt? Das sollte doch erstmal gar nicht passieren.
> 
> Warum sollten e-Mails nur weil sie per submission eingeliefert werden
> nicht als SPAM erkannt werden? Nur weil der Einlieferer oder der der
> dessen Benutzerdaten hat (Benutzerkennung und Passwort), sich
> authentifiziert, nicht auch ein SPAMMER (ggf. ungewollt) sein?

Ich sage nicht, dass man seine ausgehenden Mails nicht aus SPAM prüfen sollte, aber normalerweise sollte da eben nix bei rum kommen. Die Frage ist nun, warum bei Dominik ab und an ausgehende Mails als Spam erkannt werden?!  Wenn er also kein Problem mit einem infizierten Rechner hat, der sich am Mailserver mit Authentifizierung anmelden kann, dann dürfte es auch nicht zur Spam-Detektierung kommen, oder?

Gruß,
Michael

From klaus at tachtler.net  Fri Apr 25 14:41:26 2014
From: klaus at tachtler.net (Klaus Tachtler)
Date: Fri, 25 Apr 2014 14:41:26 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <F630B6DC-ADA5-410C-9AD3-BDB73B890480@makomi.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
 <trinity-8affbd58-0cd4-4c9a-a5c4-5040a22cd09d-1398324905499@3capp-gmx-bs32>
 <535A0B0F.50406@bgc-jena.mpg.de>
 <E4910CAA-797B-4A79-BEE3-13DEEA0EE5C9@makomi.de>
 <trinity-b2b7c8c8-615b-4492-8389-e7241d45d657-1398424298806@3capp-gmx-bs06>
 <C3B26D74-E5A3-40D5-B112-51483AF31F72@makomi.de>
 <20140425141627.Horde.SNiqZvKh26FK6fuKuvav-g1@buero.tachtler.net>
 <F630B6DC-ADA5-410C-9AD3-BDB73B890480@makomi.de>
Message-ID: <20140425144126.Horde.a7tirYNI8K7P0kvM8bTcuA4@buero.tachtler.net>

Hallo Michael,

>>> Aber ich würde erstmal an einer anderen Stelle schrauben: Warum  
>>> werden Mails, über Submission eingeliefert, überhaupt als Spam  
>>> erkannt? Das sollte doch erstmal gar nicht passieren.
>>
>> Warum sollten e-Mails nur weil sie per submission eingeliefert werden
>> nicht als SPAM erkannt werden? Nur weil der Einlieferer oder der der
>> dessen Benutzerdaten hat (Benutzerkennung und Passwort), sich
>> authentifiziert, nicht auch ein SPAMMER (ggf. ungewollt) sein?
>
> Ich sage nicht, dass man seine ausgehenden Mails nicht aus SPAM  
> prüfen sollte, aber normalerweise sollte da eben nix bei rum kommen.

So sehe ich es eben auch.

> Die Frage ist nun, warum bei Dominik ab und an ausgehende Mails als  
> Spam erkannt werden?!  Wenn er also kein Problem mit einem  
> infizierten Rechner hat, der sich am Mailserver mit  
> Authentifizierung anmelden kann, dann dürfte es auch nicht zur  
> Spam-Detektierung kommen, oder?

Wenn AMaViS die e-Mail ablehnt, sieht man das doch sehr schön im HEADER
wie das SCORING-Ergebnis zustande gekommen ist, wenn ich mich recht  
erinnere...


Grüße
Klaus.


--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From jost+postfixbuch at dimejo.at  Sun Apr 27 19:49:44 2014
From: jost+postfixbuch at dimejo.at (Alexander Jost)
Date: Sun, 27 Apr 2014 19:49:44 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
	versendet)
In-Reply-To: <5358B642.3070301@bgc-jena.mpg.de>
References: <5358B642.3070301@bgc-jena.mpg.de>
Message-ID: <535D4338.5050905@dimejo.at>

Am 24.04.2014 08:59, schrieb Dr.Peer-Joachim Koch:
> Hallo,
>
> folgendes Problem. Ein Nutzer(A) sagt er hat eine Mail an Nutzer (B)
> versendet.
> Die Mail ist im Sent-Folder bei ihm gespeichert, aber es gibt keinen
> Eintrag irgendwo im
> Log im Zeitraum(Zeitstempel der Mail) über einen Einlieferungsversuch
> von Nutzer A (muss
> sich anmelden zum Einliefern).
> Es gibt Einträge Minuten(~10min) vorher und nachher an andere Nutzer die
> von A Mails bekommen haben,
> aber diese Mail ist nirgendwo vermerkt.
>
> Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?
> Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?
>
> Was kann man da machen, um die Ursache einzuschränken ? Mich stört etwas,
> das davor bzw. später Mails von Nutzer A "normal" im SMTP Log zu sehen
> sind,
> aber diese Mail nicht (ich habe allerdings den Sent Folder nicht
> kontrolliert, welche Mails
> dort alle enthalten sind ..).
> Als Ergänzung: Nutzer A verwendet Mac-Mail.
>
> Was kann man noch zur Klärung tun ?
>

Zu Mac Mail kann ich leider nichts sagen, aber:

Thunderbird bietet die Möglichkeit eine Email im Postausgang zu 
speichern, um sie zu einem späteren Zeitpunkt zu versenden. Angezeigt 
wird in Thunderbird zwar der Speicher-Zeitpunkt der Nachricht, 
übermittelt (und somit im Log angezeigt) wird sie vielleicht aber es 
Stunden später.

-- 
Mit besten Grüßen,
Alexander Jost


From postfix at kabelplus.at  Mon Apr 28 02:10:46 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 28 Apr 2014 02:10:46 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
Message-ID: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>

Hallo,

bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage. 

Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation helfen?

Die folgenden Pakete sind installiert:

ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64        Cyrus SASL - authentication abstraction library
ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules
ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules (DB)
ii  sasl2-bin                       2.1.25.dfsg1-17                    amd64        Cyrus SASL - administration programs for SASL users database

Diese Distribution wird verwendet:

DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=13.10
DISTRIB_CODENAME=saucy
DISTRIB_DESCRIPTION="Ubuntu 13.10?

Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im Buch beschrieben, was für eine Überraschung? daher habe ich die oben genannten Pakete mit "apt-get? installiert. 
Oder gibt es eine andere Möglichkeit wie ich cyrus-sasl testen kann?

Ich hoffe Ihr könnt mir helfen, vielen Dank,

Dejan


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/e6de2451/attachment.htm>

From klaus at tachtler.net  Mon Apr 28 08:03:46 2014
From: klaus at tachtler.net (Klaus Tachtler)
Date: Mon, 28 Apr 2014 08:03:46 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
Message-ID: <20140428080346.Horde.ZvhBqy7YZg7Btw1yAjttGg6@buero.tachtler.net>

Hallo Dejan,

Hast Du nachfolgenden Befehl unter Ubuntu:

/usr/sbin/pluginviewer

und falls ja, was gibt der aus?

Hier mal ein paar Links aus meinem DokuWiki, welches ich für mich  
erstellt habe,
allerdings ist hier Linux: CentOS 6 im Einsatz:

http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:cyrus_centos_6
http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:cyrus_centos_6#sasl-module

http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_6#sasl-authentication


Grüße
Klaus.

> Hallo,
>
> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage.
>
> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind  
> sample-server und sample-client nicht installiert. Kann mir jmd.  
> Bitte bei der Installation helfen?
>
> Die folgenden Pakete sind installiert:
>
> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                   
>   amd64        Cyrus SASL - authentication abstraction library
> ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                   
>   amd64        Cyrus SASL - pluggable authentication modules
> ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                   
>   amd64        Cyrus SASL - pluggable authentication modules (DB)
> ii  sasl2-bin                       2.1.25.dfsg1-17                   
>   amd64        Cyrus SASL - administration programs for SASL users  
> database
>
> Diese Distribution wird verwendet:
>
> DISTRIB_ID=Ubuntu
> DISTRIB_RELEASE=13.10
> DISTRIB_CODENAME=saucy
> DISTRIB_DESCRIPTION="Ubuntu 13.10?
>
...




--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From postfix at linuxmaker.com  Mon Apr 28 08:01:04 2014
From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=)
Date: Mon, 28 Apr 2014 08:01:04 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
Message-ID: <3215126.3ys0MUPZRJ@stuttgart>

Hallo Dejan,

dazu gibt es u.a. "saslfinger". Das findest Du hier

http://postfix.state-of-mind.de/patrick.koetter/saslfinger/

Grüße

Andreas

Am Montag, 28. April 2014, 02:10:46 schrieb Dejan:
> Hallo,
> 
> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage.
> 
> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und
> sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation
> helfen?
> 
> Die folgenden Pakete sind installiert:
> 
> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64
>        Cyrus SASL - authentication abstraction library ii 
> libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64   
>     Cyrus SASL - pluggable authentication modules ii 
> libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64   
>     Cyrus SASL - pluggable authentication modules (DB) ii  sasl2-bin       
>                2.1.25.dfsg1-17                    amd64        Cyrus SASL -
> administration programs for SASL users database
> 
> Diese Distribution wird verwendet:
> 
> DISTRIB_ID=Ubuntu
> DISTRIB_RELEASE=13.10
> DISTRIB_CODENAME=saucy
> DISTRIB_DESCRIPTION="Ubuntu 13.10?
> 
> Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im
> Buch beschrieben, was für eine Überraschung? daher habe ich die oben
> genannten Pakete mit "apt-get? installiert. Oder gibt es eine andere
> Möglichkeit wie ich cyrus-sasl testen kann?
> 
> Ich hoffe Ihr könnt mir helfen, vielen Dank,
> 
> Dejan



From postfix at kabelplus.at  Mon Apr 28 13:33:02 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 28 Apr 2014 13:33:02 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <20140428080346.Horde.ZvhBqy7YZg7Btw1yAjttGg6@buero.tachtler.net>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
 <20140428080346.Horde.ZvhBqy7YZg7Btw1yAjttGg6@buero.tachtler.net>
Message-ID: <EFC851DC-D696-49F8-9015-83C020B39765@kabelplus.at>

Hallo Klaus,

in meinem Ubuntu kann ich diese Zeile nicht ausführen.

-bash: /usr/sbin/pluginviewer: No such file or directory

Lg Dejan

Am 28.04.2014 um 08:03 schrieb Klaus Tachtler <klaus at tachtler.net>:

> Hallo Dejan,
> 
> Hast Du nachfolgenden Befehl unter Ubuntu:
> 
> /usr/sbin/pluginviewer
> 
> und falls ja, was gibt der aus?
> 
> Hier mal ein paar Links aus meinem DokuWiki, welches ich für mich erstellt habe,
> allerdings ist hier Linux: CentOS 6 im Einsatz:
> 
> http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:cyrus_centos_6
> http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:cyrus_centos_6#sasl-module
> 
> http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_6#sasl-authentication
> 
> 
> Grüße
> Klaus.
> 
>> Hallo,
>> 
>> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage.
>> 
>> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation helfen?
>> 
>> Die folgenden Pakete sind installiert:
>> 
>> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64        Cyrus SASL - authentication abstraction library
>> ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules
>> ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules (DB)
>> ii  sasl2-bin                       2.1.25.dfsg1-17                    amd64        Cyrus SASL - administration programs for SASL users database
>> 
>> Diese Distribution wird verwendet:
>> 
>> DISTRIB_ID=Ubuntu
>> DISTRIB_RELEASE=13.10
>> DISTRIB_CODENAME=saucy
>> DISTRIB_DESCRIPTION="Ubuntu 13.10?
>> 
> ...
> 
> 
> 
> 
> --
> 
> ------------------------------------------
> e-Mail  : klaus at tachtler.net
> Homepage: http://www.tachtler.net
> DokuWiki: http://www.dokuwiki.tachtler.net
> ------------------------------------------
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/e45a73ac/attachment.htm>

From postfix at kabelplus.at  Mon Apr 28 13:41:05 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 28 Apr 2014 13:41:05 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <3215126.3ys0MUPZRJ@stuttgart>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
 <3215126.3ys0MUPZRJ@stuttgart>
Message-ID: <635CADCD-BBFB-40DF-9097-A55F3E0605D4@kabelplus.at>

Hallo Andreas,

wie kann ich mit saslfinder cyrus-sasl testen?

root at c5773:~# saslfinger -s
saslfinger - postfix Cyrus sasl configuration Mon Apr 28 13:33:39 CEST 2014
version: 1.0.4
mode: server-side SMTP AUTH

-- basics --
Postfix: 2.10.2
System: Ubuntu 13.10 \n \l

-- smtpd is linked to --
	libsasl2.so.2 => /usr/lib/x86_64-linux-gnu/libsasl2.so.2 (0x00007f3e157d2000)

-- active SMTP AUTH and TLS parameters for smtpd --
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes


-- listing of /usr/lib/sasl2 --
total 28
drwxr-xr-x  2 root  root  4096 Apr 28 01:48 .
drwxr-xr-x 42 root  root  4096 Apr 13 04:34 ..
-rw-r--r--  1 root  root     1 Okt  7  2013 berkeley_db.txt
-rw-r--r--  1 root  root   296 Apr 27 21:59 sample.conf
-rw-r-----  1 root  root   701 Mär 14 16:50 saslpasswd.conf
-rw-r-----  1 smmta smmsp  885 Mär 14 16:50 Sendmail.conf
-rw-r--r--  1 root  root   296 Apr 27 21:59 smtpd.conf

-- listing of /etc/postfix/sasl --
total 8
drwxr-xr-x 2 root root 4096 Sep 13  2013 .
drwxr-xr-x 7 root root 4096 Apr 27 02:56 ..




-- content of /usr/lib/sasl2/smtpd.conf --
# Global parameters

# Detailgrad der Protokolierung
log_level: 3

# Password-Check-Methode bestimmen
pwcheck_method: saslauthd
# Liste anzubietender Mechanismen
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux

# pwcheck_method: auxprop
# mech_list: PLAIN LOGIN CRAM_MD5 DIGEST-MD5


-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       n       -       -       smtpd
pickup    unix  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache

amavisfeed	unix	-	-	n	-	2	lmtp
	-o lmtp_data_done_timeout=1200
	-o lmtp_send_xforward_command=yes
	-o disable_dns_lookups=yes

127.0.0.1:10025	inet	n	-	n	-	-	smtpd
	-o content_filter=
	-o smtpd_delay_reject=no
	-o smtpd_client_restrictions=permit_mynetworks,reject
	-o smtpd_helo_restrictions=
	-o smtpd_sender_restrictions=
	-o smtpd_recipient_restrictions=permit_mynetworks,reject
	-o smtpd_data_restrictions=reject_unauth_pipelining
	-o smtpd_end_of_data_restrictions=
	-o smtpd_restriction_classes=
	-o mynetworks=127.0.0.0/8
	-o smtpd_error_sleep_time=0
	-o smtpd_soft_error_limit=1001
	-o smtpd_hard_error_limit=1000
	-o smtpd_client_connection_count_limit=0
	-o smtpd_client_connection_rate_limit=0
	-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
	-o local_header_rewrite_clients=
	-o smtpd_milters=
	-o local_recipient_maps=
	-o relay_recipient_maps=

maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

-- mechanisms on localhost --

-- end of saslfinger output ?

--------------------------------------------------------------------------------------------------------

root at c5773:~# saslfinger -c
saslfinger - postfix Cyrus sasl configuration Mon Apr 28 13:35:01 CEST 2014
version: 1.0.4
mode: client-side SMTP AUTH

-- basics --
Postfix: 2.10.2
System: Ubuntu 13.10 \n \l

-- smtp is linked to --
	libsasl2.so.2 => /usr/lib/x86_64-linux-gnu/libsasl2.so.2 (0x00007f8e88a9e000)

-- active SMTP AUTH and TLS parameters for smtp --
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache


-- listing of /usr/lib/sasl2 --
total 28
drwxr-xr-x  2 root  root  4096 Apr 28 01:48 .
drwxr-xr-x 42 root  root  4096 Apr 13 04:34 ..
-rw-r--r--  1 root  root     1 Okt  7  2013 berkeley_db.txt
-rw-r--r--  1 root  root   296 Apr 27 21:59 sample.conf
-rw-r-----  1 root  root   701 Mär 14 16:50 saslpasswd.conf
-rw-r-----  1 smmta smmsp  885 Mär 14 16:50 Sendmail.conf
-rw-r--r--  1 root  root   296 Apr 27 21:59 smtpd.conf

-- listing of /etc/postfix/sasl --
total 8
drwxr-xr-x 2 root root 4096 Sep 13  2013 .
drwxr-xr-x 7 root root 4096 Apr 27 02:56 ..


Cannot find the smtp_sasl_password_maps parameter in main.cf.
Client-side SMTP AUTH cannot work without this parameter!

Cyrus-sasl habe ich noch nicht in Postfix eingebunden daher auch die Fehlermeldung? Ich wollte cyrus-sasl vorher testen, wie im Buch beschrieben?

Lg Dejan

Am 28.04.2014 um 08:01 schrieb Andreas Günther <postfix at linuxmaker.com>:

> Hallo Dejan,
> 
> dazu gibt es u.a. "saslfinger". Das findest Du hier
> 
> http://postfix.state-of-mind.de/patrick.koetter/saslfinger/
> 
> Grüße
> 
> Andreas
> 
> Am Montag, 28. April 2014, 02:10:46 schrieb Dejan:
>> Hallo,
>> 
>> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage.
>> 
>> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und
>> sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation
>> helfen?
>> 
>> Die folgenden Pakete sind installiert:
>> 
>> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64
>>       Cyrus SASL - authentication abstraction library ii 
>> libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64   
>>    Cyrus SASL - pluggable authentication modules ii 
>> libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64   
>>    Cyrus SASL - pluggable authentication modules (DB) ii  sasl2-bin       
>>               2.1.25.dfsg1-17                    amd64        Cyrus SASL -
>> administration programs for SASL users database
>> 
>> Diese Distribution wird verwendet:
>> 
>> DISTRIB_ID=Ubuntu
>> DISTRIB_RELEASE=13.10
>> DISTRIB_CODENAME=saucy
>> DISTRIB_DESCRIPTION="Ubuntu 13.10?
>> 
>> Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im
>> Buch beschrieben, was für eine Überraschung? daher habe ich die oben
>> genannten Pakete mit "apt-get? installiert. Oder gibt es eine andere
>> Möglichkeit wie ich cyrus-sasl testen kann?
>> 
>> Ich hoffe Ihr könnt mir helfen, vielen Dank,
>> 
>> Dejan
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/97138cad/attachment.htm>

From p at sys4.de  Mon Apr 28 13:44:23 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 28 Apr 2014 13:44:23 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
Message-ID: <20140428114423.GA26740@sys4.de>

* Dejan (Postfix) <postfixbuch-users at listen.jpberlin.de>:
> Hallo,
> 
> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage. 
> 
> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation helfen?
> 
> Die folgenden Pakete sind installiert:
> 
> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64        Cyrus SASL - authentication abstraction library
> ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules
> ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules (DB)
> ii  sasl2-bin                       2.1.25.dfsg1-17                    amd64        Cyrus SASL - administration programs for SASL users database
> 
> Diese Distribution wird verwendet:
> 
> DISTRIB_ID=Ubuntu
> DISTRIB_RELEASE=13.10
> DISTRIB_CODENAME=saucy
> DISTRIB_DESCRIPTION="Ubuntu 13.10?
> 
> Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im Buch beschrieben, was für eine Überraschung? daher habe ich die oben genannten Pakete mit "apt-get? installiert. 
> Oder gibt es eine andere Möglichkeit wie ich cyrus-sasl testen kann?

Kaum. Was genau willst du erreichen? Welches Config-Ziel=?

p at rick



> 
> Ich hoffe Ihr könnt mir helfen, vielen Dank,
> 
> Dejan
> 
> 

> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From postfix at kabelplus.at  Mon Apr 28 13:58:49 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 28 Apr 2014 13:58:49 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <20140428114423.GA26740@sys4.de>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
 <20140428114423.GA26740@sys4.de>
Message-ID: <21817474-F33B-4529-A7C3-0904993EBF13@kabelplus.at>

Hallo,

ich würde gern cyrus-sasl mit sample-server und sample-client testen bevor ich es in Postfix einbinde. Wie kann ich sample-server und sample-client im Ubuntu installieren oder gibt es eine andere Möglichkeit wie ich cyrus-sasl (Authentifizierung) testen kann?

Lg Dejan

Am 28.04.2014 um 13:44 schrieb Patrick Ben Koetter <p at sys4.de>:

> * Dejan (Postfix) <postfixbuch-users at listen.jpberlin.de>:
>> Hallo,
>> 
>> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage. 
>> 
>> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation helfen?
>> 
>> Die folgenden Pakete sind installiert:
>> 
>> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64        Cyrus SASL - authentication abstraction library
>> ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules
>> ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules (DB)
>> ii  sasl2-bin                       2.1.25.dfsg1-17                    amd64        Cyrus SASL - administration programs for SASL users database
>> 
>> Diese Distribution wird verwendet:
>> 
>> DISTRIB_ID=Ubuntu
>> DISTRIB_RELEASE=13.10
>> DISTRIB_CODENAME=saucy
>> DISTRIB_DESCRIPTION="Ubuntu 13.10?
>> 
>> Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im Buch beschrieben, was für eine Überraschung? daher habe ich die oben genannten Pakete mit "apt-get? installiert. 
>> Oder gibt es eine andere Möglichkeit wie ich cyrus-sasl testen kann?
> 
> Kaum. Was genau willst du erreichen? Welches Config-Ziel=?
> 
> p at rick
> 
> 
> 
>> 
>> Ich hoffe Ihr könnt mir helfen, vielen Dank,
>> 
>> Dejan
>> 
>> 
> 
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>> 
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> 
> -- 
> [*] sys4 AG
> 
> https://sys4.de, +49 (89) 30 90 46 64
> Franziskanerstraße 15, 81669 München
> 
> Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
> Vorstand: Patrick Ben Koetter, Marc Schiffbauer
> Aufsichtsratsvorsitzender: Florian Kirstein
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/9dbef674/attachment.htm>

From p at sys4.de  Mon Apr 28 14:12:17 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 28 Apr 2014 14:12:17 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <21817474-F33B-4529-A7C3-0904993EBF13@kabelplus.at>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
 <20140428114423.GA26740@sys4.de>
 <21817474-F33B-4529-A7C3-0904993EBF13@kabelplus.at>
Message-ID: <20140428121217.GC26740@sys4.de>

* Dejan (Postfix) <postfixbuch-users at listen.jpberlin.de>:
> ich würde gern cyrus-sasl mit sample-server und sample-client testen bevor
> ich es in Postfix einbinde. Wie kann ich sample-server und sample-client im
> Ubuntu installieren oder gibt es eine andere Möglichkeit wie ich cyrus-sasl
> (Authentifizierung) testen kann?

Debian/Ubuntu nutzen die alten Versionen von sample-server und sample-client.
Dort heissen sie sasl-sample-client und sasl-sample-server. Die sind kaum
brauchbar.

Wenn Du saslauthd nutzt, kannst Du mit testsaslauthd prüfen:

$ testsaslauthd 
testsaslauthd: usage: testsaslauthd -u username -p password
              [-r realm] [-s servicename]
              [-f socket path] [-R repeatnum]

p at rick



> 
> Lg Dejan
> 
> Am 28.04.2014 um 13:44 schrieb Patrick Ben Koetter <p at sys4.de>:
> 
> > * Dejan (Postfix) <postfixbuch-users at listen.jpberlin.de>:
> >> Hallo,
> >> 
> >> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage. 
> >> 
> >> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation helfen?
> >> 
> >> Die folgenden Pakete sind installiert:
> >> 
> >> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64        Cyrus SASL - authentication abstraction library
> >> ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules
> >> ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules (DB)
> >> ii  sasl2-bin                       2.1.25.dfsg1-17                    amd64        Cyrus SASL - administration programs for SASL users database
> >> 
> >> Diese Distribution wird verwendet:
> >> 
> >> DISTRIB_ID=Ubuntu
> >> DISTRIB_RELEASE=13.10
> >> DISTRIB_CODENAME=saucy
> >> DISTRIB_DESCRIPTION="Ubuntu 13.10?
> >> 
> >> Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im Buch beschrieben, was für eine Überraschung? daher habe ich die oben genannten Pakete mit "apt-get? installiert. 
> >> Oder gibt es eine andere Möglichkeit wie ich cyrus-sasl testen kann?
> > 
> > Kaum. Was genau willst du erreichen? Welches Config-Ziel=?
> > 
> > p at rick
> > 
> > 
> > 
> >> 
> >> Ich hoffe Ihr könnt mir helfen, vielen Dank,
> >> 
> >> Dejan
> >> 
> >> 
> > 
> >> -- 
> >> _______________________________________________
> >> Postfixbuch-users -- http://www.postfixbuch.de
> >> Heinlein Professional Linux Support GmbH
> >> 
> >> Postfixbuch-users at listen.jpberlin.de
> >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > 
> > 
> > -- 
> > [*] sys4 AG
> > 
> > https://sys4.de, +49 (89) 30 90 46 64
> > Franziskanerstraße 15, 81669 München
> > 
> > Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
> > Vorstand: Patrick Ben Koetter, Marc Schiffbauer
> > Aufsichtsratsvorsitzender: Florian Kirstein
> > 
> > -- 
> > _______________________________________________
> > Postfixbuch-users -- http://www.postfixbuch.de
> > Heinlein Professional Linux Support GmbH
> > 
> > Postfixbuch-users at listen.jpberlin.de
> > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 

> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From pkoch at bgc-jena.mpg.de  Mon Apr 28 14:57:25 2014
From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch)
Date: Mon, 28 Apr 2014 14:57:25 +0200
Subject: [Postfixbuch-users] Frage zum Versenden von Mails (Mail nicht
 versendet)
In-Reply-To: <535D4338.5050905@dimejo.at>
References: <5358B642.3070301@bgc-jena.mpg.de> <535D4338.5050905@dimejo.at>
Message-ID: <535E5035.6080209@bgc-jena.mpg.de>

Sorry,

hatte die letzten Tage keine Zeit, da große Familienfeier ;)

Noch mal ein paar ergänzende Angaben:

Die letze Dekade hat das Setup sauber gearbeitet. Bisher ist noch keine
Mail "verschwunden", oder sonst wie ins Nirvana über gegangen.

Mir ist klar, das User-Aussagen nicht fundiert sind.
Allerdings steht folgendes im Sent Folder:
-----
From: XXX <XXX at bgc-jena.mpg.de>
Content-Type: text/plain;
         charset=us-ascii
Content-Transfer-Encoding: quoted-printable
X-Smtp-Server: smtp.bgc-jena.mpg.de:XXX
Subject: some text
X-Universally-Unique-Identifier: f122ecda-4705-45b5-b991-ff6e2b5f3b48
Date: Wed, 9 Apr 2014 17:11:23 +0200
Message-Id: <12B1580C-8F69-4263-92A6-AD4C48F94516 at bgc-jena.mpg.de>
To: YYY <YYY at bgc-jena.mpg.de>
Mime-Version: 1.0 (Apple Message framework v1085)

Dear ...



=20=

------
Aber weder Message-Id noch X-Univ. finden sich irgendwo.

Wir lehnen Mails die wir als SPAM klassifizieren DIREKT ab - auch von 
unseren
Usern. D.h. es kommt dann nicht zur Einlieferung (aber sehr wohl zu 
jeder Menge Zeilen im Log!).

MAC Mail hat(te) *einige* Probleme mit IMAP (subscripe/unsubscripe nur 
als ein Beispiel), das
ist ja auch noch ein großer Unterschied zwischen Client und Server ...
Wobei auch CUPS von Apple != CUPS ist.

Es wäre halt blöd, wenn es wie auch immer zu einer Situation kommt, das
ein User der festen Überzeugung ist eine Mail versendet zu haben, aber 
garnichts
verschickt worden ist. Warum auch immer.

Ich bin eigentlich relativ sicher, das es nicht an unserem Server-Setup 
liegt, sonst hätten
wir schon viel öfter Rückfragen gehabt.

Vielen Dank für die vielen Ideen.

Ciao, Peer

On 27.04.2014 19:49, Alexander Jost wrote:
> Am 24.04.2014 08:59, schrieb Dr.Peer-Joachim Koch:
>> Hallo,
>>
>> folgendes Problem. Ein Nutzer(A) sagt er hat eine Mail an Nutzer (B)
>> versendet.
>> Die Mail ist im Sent-Folder bei ihm gespeichert, aber es gibt keinen
>> Eintrag irgendwo im
>> Log im Zeitraum(Zeitstempel der Mail) über einen Einlieferungsversuch
>> von Nutzer A (muss
>> sich anmelden zum Einliefern).
>> Es gibt Einträge Minuten(~10min) vorher und nachher an andere Nutzer die
>> von A Mails bekommen haben,
>> aber diese Mail ist nirgendwo vermerkt.
>>
>> Wenn im SMTP-Log nichts steht, ist nichts eingeliefert worden. Richtig ?
>> Sent Folder wird über IMAP(S) vom Client direkt angesprochen, oder ?
>>
>> Was kann man da machen, um die Ursache einzuschränken ? Mich stört 
>> etwas,
>> das davor bzw. später Mails von Nutzer A "normal" im SMTP Log zu sehen
>> sind,
>> aber diese Mail nicht (ich habe allerdings den Sent Folder nicht
>> kontrolliert, welche Mails
>> dort alle enthalten sind ..).
>> Als Ergänzung: Nutzer A verwendet Mac-Mail.
>>
>> Was kann man noch zur Klärung tun ?
>>
>
> Zu Mac Mail kann ich leider nichts sagen, aber:
>
> Thunderbird bietet die Möglichkeit eine Email im Postausgang zu 
> speichern, um sie zu einem späteren Zeitpunkt zu versenden. Angezeigt 
> wird in Thunderbird zwar der Speicher-Zeitpunkt der Nachricht, 
> übermittelt (und somit im Log angezeigt) wird sie vielleicht aber es 
> Stunden später.
>


-- 
Mit freundlichem Gruß
     Peer-Joachim Koch
_________________________________________________________
Max-Planck-Institut fuer Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : pkoch.vcf
Dateityp    : text/x-vcard
Dateigröße  : 321 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/322d934b/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4641 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/322d934b/attachment.p7s>

From postfix at kabelplus.at  Mon Apr 28 16:04:50 2014
From: postfix at kabelplus.at (Dejan (Postfix))
Date: Mon, 28 Apr 2014 16:04:50 +0200
Subject: [Postfixbuch-users] Cyrus SASL testen
In-Reply-To: <20140428121217.GC26740@sys4.de>
References: <9346DAA9-A5E0-4A23-A4F1-C245828FF61E@kabelplus.at>
 <20140428114423.GA26740@sys4.de>
 <21817474-F33B-4529-A7C3-0904993EBF13@kabelplus.at>
 <20140428121217.GC26740@sys4.de>
Message-ID: <3C9AE6B6-4C27-4FEC-B353-420349329536@kabelplus.at>

Danke Patrick, hab mich erfolgreich authentifiziert? hat geklappt?

0: OK "Success.?

Lg Dejan

Am 28.04.2014 um 14:12 schrieb Patrick Ben Koetter <p at sys4.de>:

> * Dejan (Postfix) <postfixbuch-users at listen.jpberlin.de>:
>> ich würde gern cyrus-sasl mit sample-server und sample-client testen bevor
>> ich es in Postfix einbinde. Wie kann ich sample-server und sample-client im
>> Ubuntu installieren oder gibt es eine andere Möglichkeit wie ich cyrus-sasl
>> (Authentifizierung) testen kann?
> 
> Debian/Ubuntu nutzen die alten Versionen von sample-server und sample-client.
> Dort heissen sie sasl-sample-client und sasl-sample-server. Die sind kaum
> brauchbar.
> 
> Wenn Du saslauthd nutzt, kannst Du mit testsaslauthd prüfen:
> 
> $ testsaslauthd 
> testsaslauthd: usage: testsaslauthd -u username -p password
>              [-r realm] [-s servicename]
>              [-f socket path] [-R repeatnum]
> 
> p at rick
> 
> 
> 
>> 
>> Lg Dejan
>> 
>> Am 28.04.2014 um 13:44 schrieb Patrick Ben Koetter <p at sys4.de>:
>> 
>>> * Dejan (Postfix) <postfixbuch-users at listen.jpberlin.de>:
>>>> Hallo,
>>>> 
>>>> bin ein absoluter Neuling und arbeite mit dem Postfix-Buch 2. Auflage. 
>>>> 
>>>> Ich versuche gerade Cyrus-SASL  zu testen. Bei mir sind sample-server und sample-client nicht installiert. Kann mir jmd. Bitte bei der Installation helfen?
>>>> 
>>>> Die folgenden Pakete sind installiert:
>>>> 
>>>> ii  libsasl2-2:amd64                2.1.25.dfsg1-17                    amd64        Cyrus SASL - authentication abstraction library
>>>> ii  libsasl2-modules:amd64          2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules
>>>> ii  libsasl2-modules-db:amd64       2.1.25.dfsg1-17                    amd64        Cyrus SASL - pluggable authentication modules (DB)
>>>> ii  sasl2-bin                       2.1.25.dfsg1-17                    amd64        Cyrus SASL - administration programs for SASL users database
>>>> 
>>>> Diese Distribution wird verwendet:
>>>> 
>>>> DISTRIB_ID=Ubuntu
>>>> DISTRIB_RELEASE=13.10
>>>> DISTRIB_CODENAME=saucy
>>>> DISTRIB_DESCRIPTION="Ubuntu 13.10?
>>>> 
>>>> Ich habe es leider nicht geschafft cyrus-sasl selbst zu kompilieren, wie im Buch beschrieben, was für eine Überraschung? daher habe ich die oben genannten Pakete mit "apt-get? installiert. 
>>>> Oder gibt es eine andere Möglichkeit wie ich cyrus-sasl testen kann?
>>> 
>>> Kaum. Was genau willst du erreichen? Welches Config-Ziel=?
>>> 
>>> p at rick
>>> 
>>> 
>>> 
>>>> 
>>>> Ich hoffe Ihr könnt mir helfen, vielen Dank,
>>>> 
>>>> Dejan
>>>> 
>>>> 
>>> 
>>>> -- 
>>>> _______________________________________________
>>>> Postfixbuch-users -- http://www.postfixbuch.de
>>>> Heinlein Professional Linux Support GmbH
>>>> 
>>>> Postfixbuch-users at listen.jpberlin.de
>>>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>> 
>>> 
>>> -- 
>>> [*] sys4 AG
>>> 
>>> https://sys4.de, +49 (89) 30 90 46 64
>>> Franziskanerstraße 15, 81669 München
>>> 
>>> Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
>>> Vorstand: Patrick Ben Koetter, Marc Schiffbauer
>>> Aufsichtsratsvorsitzender: Florian Kirstein
>>> 
>>> -- 
>>> _______________________________________________
>>> Postfixbuch-users -- http://www.postfixbuch.de
>>> Heinlein Professional Linux Support GmbH
>>> 
>>> Postfixbuch-users at listen.jpberlin.de
>>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>> 
> 
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>> 
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> 
> -- 
> [*] sys4 AG
> 
> https://sys4.de, +49 (89) 30 90 46 64
> Franziskanerstraße 15, 81669 München
> 
> Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
> Vorstand: Patrick Ben Koetter, Marc Schiffbauer
> Aufsichtsratsvorsitzender: Florian Kirstein
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140428/3cfd8fa0/attachment.htm>

From django at nausch.org  Wed Apr 30 09:45:00 2014
From: django at nausch.org (Django [BOfH])
Date: Wed, 30 Apr 2014 09:45:00 +0200
Subject: [Postfixbuch-users] AOL und 554
Message-ID: <5360A9FC.7070200@nausch.org>

Griaseichallemidananda!

Sagt mal, kann es sein, dass die Jungs bei AOL grad mal wieder am
setting drehen. Hab grad mal in die queue gekuckt und da habe ich
nämlich einen "temporären Fehler" mit 'ne 5 vorneweg gefunden:

Status: delivery temporarily suspended: host
mailin-02.mx.aol.com[64.12.91.195] refused to talk to me: 554 5.7.1 :
(RTR:SC) http://postmaster.info.aol.com/errors/554rtrsc.html

Oder habe ich gestern zu viel gefeiert auf das tolle Ergebnis?! :)


Servus
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django