From janikev at googlemail.com Mon Dec 1 12:47:47 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 12:47:47 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen Message-ID: <547C5563.5080102@gmail.com> Hallo, ich finde den Amavis cache nicht, bzw. die tmp Verzeichnisse sind leer. Wie stoppe ich die Auslieferung von Emails, die Amavis über 10024 zur Auslieferung erhalten hat und die nun in der aus der Amavis Warteschlange nach und nach an Postfix zur Ausliefrung übergeben werden. Wo können diese Mails noch liegen, wenn sie nicht im Amavis Temp Verzeichnis zu finden sind? Ubuntu 10.04 Postfix 2.8.1 Amavis 2.6.4 Cyrus SASL Szenario: User PC von Virus befallen, sendet über sein Mailkonto Viren. Nach Passwortänderung kommen noch Emails, die bereits vor der Kennwortänderung den saslauthd passiert haben über Port 10025 an Postfix zur Auslieferung übergeben werden. Sobald amavis gestoppt ist, hört es auf - sobald er startet kommen wieder welche, müssen also irgendwo auf dem Server liegen. Was übersehe ich ?? From wn at neessen.net Mon Dec 1 12:55:35 2014 From: wn at neessen.net (Winfried Neessen) Date: Mon, 01 Dec 2014 12:55:35 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C5563.5080102@gmail.com> References: <547C5563.5080102@gmail.com> Message-ID: <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> Hi, Am 2014-12-01 12:47, schrieb janikev at gmail.com: > ich finde den Amavis cache nicht, bzw. die tmp Verzeichnisse sind leer. > Wie stoppe ich die > Auslieferung von Emails, die Amavis über 10024 zur Auslieferung > erhalten hat und die nun > in der aus der Amavis Warteschlange nach und nach an Postfix zur > Ausliefrung übergeben werden. > postsuper -h wird Dir vermutlich behilflich sein koennen. Winni From janikev at googlemail.com Mon Dec 1 13:17:34 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 13:17:34 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> Message-ID: <547C5C5E.8030500@gmail.com> Vielen Dank für die Rückmeldung, ja, die Queue anhalten hilft natürlich erstmal, bedeutet aber insgesamt Sendepause. Es bleibt die Frage, wo Amavis die Mails speichert, wenn er gestoppt wird? Kann man das db Verzeichnis gefahrlos löschen? From Ralf.Hildebrandt at charite.de Mon Dec 1 13:20:19 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 1 Dec 2014 13:20:19 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C5C5E.8030500@gmail.com> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> Message-ID: <20141201122019.GL29758@charite.de> * janikev at gmail.com : > Vielen Dank für die Rückmeldung, ja, die Queue anhalten hilft > natürlich erstmal, bedeutet aber insgesamt Sendepause. Es bleibt die > Frage, wo Amavis die Mails speichert, wenn er gestoppt wird? Kann man > das db Verzeichnis gefahrlos löschen? Amavis queued nix. Entweder du nutzt content_Filter dann ist es vor oder hinter amavis in der Queue oder smtpd_proxy_Filter, dann ist alles in der queueu bereits gescannt. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From zahlenmaler at t-online.de Mon Dec 1 13:53:50 2014 From: zahlenmaler at t-online.de (robert) Date: Mon, 01 Dec 2014 13:53:50 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C5563.5080102@gmail.com> References: <547C5563.5080102@gmail.com> Message-ID: <547C64DE.8090005@t-online.de> Du solltest in der mailq noch einen riesigen Haufen an Mails haben die noch bearbeitet/verschickt werden sollen. Wenn Du dir diese Virenmails anschaust solltest Du einen eindeutigen Indikator in jeder Mail ausmachen die du loswerden willst ohne diese zu verschicken. Dannach kannst Du mit der unten angeführten schleife deine mailq bereinigen. Beachte das hier unter umständen mehr gelöscht wird als dir evtl. lieb ist. Also vorsichtig damit. for i in $(mailq | grep "^[0-9A-F]" | awk '{print $1}' | sed 's/*$//'); do postcat -q $i | egrep -q "" && postsuper -d $i ; done Gruß Robert Am 01.12.2014 um 12:47 schrieb janikev at gmail.com: > Hallo, > > ich finde den Amavis cache nicht, bzw. die tmp Verzeichnisse sind leer. > Wie stoppe ich die Auslieferung von Emails, die Amavis über 10024 zur > Auslieferung erhalten hat und die nun in der aus der Amavis > Warteschlange nach und nach an Postfix zur Ausliefrung übergeben werden. > Wo können diese Mails noch liegen, wenn sie nicht im Amavis Temp > Verzeichnis zu finden sind? > > Ubuntu 10.04 > Postfix 2.8.1 > Amavis 2.6.4 > Cyrus SASL > > Szenario: User PC von Virus befallen, sendet über sein Mailkonto Viren. > Nach Passwortänderung kommen noch Emails, die bereits vor der > Kennwortänderung den saslauthd passiert haben über Port 10025 an Postfix > zur Auslieferung übergeben werden. > > Sobald amavis gestoppt ist, hört es auf - sobald er startet kommen > wieder welche, müssen also irgendwo auf dem Server liegen. > > Was übersehe ich ?? From janikev at googlemail.com Mon Dec 1 13:57:48 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 13:57:48 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <20141201122019.GL29758@charite.de> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> Message-ID: <547C65CC.60002@gmail.com> Am 01.12.2014 13:20, schrieb Ralf Hildebrandt: > * janikev at gmail.com : >> Vielen Dank für die Rückmeldung, ja, die Queue anhalten hilft >> natürlich erstmal, bedeutet aber insgesamt Sendepause. Es bleibt die >> Frage, wo Amavis die Mails speichert, wenn er gestoppt wird? Kann man >> das db Verzeichnis gefahrlos löschen? > Amavis queued nix. Entweder du nutzt content_Filter dann ist es vor > oder hinter amavis in der Queue oder smtpd_proxy_Filter, dann ist > alles in der queueu bereits gescannt. > Pre Queue also smtpd_proxy_filter, analog Postfix Buch. Wenn die damit behandelten E-mails nicht gehalten werden, interpretiere ich vermutlich das Log falsch. Ich nahm an, dass - außerhalb der mit mailq erreichbaren Queue - es nur noch Emails gewesen sein können, die schon nach amavis als "permit_sasl_authenticated" vom MTA angenommen wuden, aber noch nicht versendet worden waren. Die müsste man doch aber in der mailq sehen. Im Mail-log protokolliert mit from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 12345 amavis: Passed CLEAN, SASLBYPASS LOCAL Aufgrund der unerklärlichen Zeitverzögerung meine Annahme, dass amavis diese irgendwo "lagert". Es waren _nach_ der Mailaccountsperre noch so an die 15 Emails, danach war Ruhe. From Ralf.Hildebrandt at charite.de Mon Dec 1 14:07:15 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 1 Dec 2014 14:07:15 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C65CC.60002@gmail.com> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> <547C65CC.60002@gmail.com> Message-ID: <20141201130715.GM29758@charite.de> * janikev at gmail.com : > Pre Queue also smtpd_proxy_filter, analog Postfix Buch. > Wenn die damit behandelten E-mails nicht gehalten werden, > interpretiere ich vermutlich das Log falsch. > Ich nahm an, dass - außerhalb der mit mailq erreichbaren Queue - es > nur noch Emails gewesen sein können, die schon nach amavis als > "permit_sasl_authenticated" vom MTA angenommen wuden, aber noch nicht > versendet worden waren. Die müsste man doch aber in der mailq sehen. > > Im Mail-log protokolliert mit > from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 12345 > amavis: Passed CLEAN, SASLBYPASS LOCAL > > Aufgrund der unerklärlichen Zeitverzögerung meine Annahme, dass > amavis diese irgendwo "lagert". Es waren _nach_ der Mailaccountsperre > noch so an die 15 Emails, danach war Ruhe. ggf. waren die Mails auf einem anderen Server gequeued -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From janikev at googlemail.com Mon Dec 1 14:33:50 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 14:33:50 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <20141201130715.GM29758@charite.de> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> <547C65CC.60002@gmail.com> <20141201130715.GM29758@charite.de> Message-ID: <547C6E3E.405@gmail.com> Am 01.12.2014 14:07, schrieb Ralf Hildebrandt: > ggf. waren die Mails auf einem anderen Server gequeued Nein, kein backup-mx. Es tauchen aber immer noch vereinzelt Mails in der mailq auf. From janikev at googlemail.com Mon Dec 1 14:42:15 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 14:42:15 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C6E3E.405@gmail.com> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> <547C65CC.60002@gmail.com> <20141201130715.GM29758@charite.de> <547C6E3E.405@gmail.com> Message-ID: <547C7037.3000309@gmail.com> Kann es sein, dass der saslauthd erfolgreiche Logins zu lange cacht und die Verbindung offen lässt, so dass nach der Passwortänderung noch immer Emails angenommen/eingeliefert werden? From p.heinlein at heinlein-support.de Mon Dec 1 18:31:07 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 01 Dec 2014 18:31:07 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C5563.5080102@gmail.com> References: <547C5563.5080102@gmail.com> Message-ID: <547CA5DB.2070306@heinlein-support.de> Am 01.12.2014 um 12:47 schrieb janikev at gmail.com: Hi, > ich finde den Amavis cache nicht, bzw. die tmp Verzeichnisse sind leer. > Wie stoppe ich die Auslieferung von Emails, die Amavis über 10024 zur > Auslieferung erhalten hat und die nun in der aus der Amavis > Warteschlange nach und nach an Postfix zur Ausliefrung übergeben werden. Amavis hat keine Warteschlange. Amavis queued nicht. Amavis KANN keine Mails nachträglich an Postfix zur Auslieferung übergeben. > Wo können diese Mails noch liegen, wenn sie nicht im Amavis Temp > Verzeichnis zu finden sind? Logfile zeigen. Copnfig zeigen. "mailq" zeigen. > Szenario: User PC von Virus befallen, sendet über sein Mailkonto Viren. > Nach Passwortänderung kommen noch Emails, die bereits vor der > Kennwortänderung den saslauthd passiert haben über Port 10025 an Postfix > zur Auslieferung übergeben werden. Kommt der Client aus $mynetworks und authentifiziert sich gar nicht? Was steht denn im Logfile? Was steht denn in den Received-Zeilen von wann die Mail war und wo sie lag? Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From janikev at googlemail.com Mon Dec 1 20:29:53 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 20:29:53 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547CA5DB.2070306@heinlein-support.de> References: <547C5563.5080102@gmail.com> <547CA5DB.2070306@heinlein-support.de> Message-ID: <547CC1B1.6010502@gmail.com> Am 01.12.2014 18:31, schrieb Peer Heinlein: > Amavis hat keine Warteschlange. > Amavis queued nicht. > Amavis KANN keine Mails nachträglich an Postfix zur Auslieferung übergeben. Ok, aber ich dachte ein tmp Vz, welches eventuell, voll laufen kann? Oder bei Service-Stop weggesichert wird? Ich "glaube" das deshalb so hartnäckig, weil nach der Accountsperre noch Emails in der mailq auftauchten und ich mir partout nicht erklären kann wieso. Kein Webmailer. Kein Script / Webserverversand. Kein backup-mx. An sich hätten ab Accountsperre alle Emails abgeblockt werden müssen. Also - meine Logik - kommen diese Nachzügler irgendwo aus einem cache, Temp Verzeichnis oder so. /var/lib/amavis/ dachte ich, - das ist auf dem Server aber immer leer gewesen. Oder die Lösung ist ganz einfach: amavis legt seine Mails noch irgendwo anders ab. Nur wo? Der Spuk hatte - Service Abschaltzeiten abgezogen - nach ungefähr 30 Minuten ein endgüliges Ende. Ein anderes Loch als der Mailaccount wäre dann aber doch immer noch offen. > >> Wo können diese Mails noch liegen, wenn sie nicht im Amavis Temp >> Verzeichnis zu finden sind? > Logfile zeigen. Copnfig zeigen. "mailq" zeigen. > Kommt der Client aus $mynetworks und authentifiziert sich gar nicht? > > Was steht denn im Logfile? > > Was steht denn in den Received-Zeilen von wann die Mail war und wo sie lag? > > Peer Header einer (echten) Beispielmail: wobei mta.beispiel.de der Postfix-mailserver ist, stolen at account.toplevel der gehijackte Mailaccount und recipient at example.com der Empfänger ist. Zitat Anfang: *** ENVELOPE RECORDS deferred/7/7156AD8179 *** message_size: 2692 720 1 0 2692 message_arrival_time: Mon Dec 1 14:17:40 2014 create_time: Mon Dec 1 14:17:40 2014 named_attribute: log_ident=7156AD8179 named_attribute: rewrite_context=local sender: stolen at account.toplevel named_attribute: encoding=7bit named_attribute: log_client_name=localhost.localdomain named_attribute: log_client_address=127.0.0.1 named_attribute: log_client_port=42018 named_attribute: log_message_origin=localhost.localdomain[127.0.0.1] named_attribute: log_helo_name=localhost named_attribute: log_protocol_name=ESMTP named_attribute: client_name=localhost.localdomain named_attribute: reverse_client_name=localhost.localdomain named_attribute: client_address=127.0.0.1 named_attribute: client_port=42018 named_attribute: helo_name=localhost named_attribute: protocol_name=ESMTP named_attribute: client_address_type=2 warning_message_time: Mon Dec 1 15:17:40 2014 named_attribute: dsn_orig_rcpt=rfc822;recipient at example.com original_recipient: recipient at example.com recipient: recipient at example.com *** MESSAGE CONTENTS deferred/7/7156AD8179 *** Received: from localhost (localhost.localdomain [127.0.0.1]) by mta.beispiel.de (Postfix) with ESMTP id 7156AD8179 for ; Mon, 1 Dec 2014 14:17:40 +0100 (CET) X-Virus-Scanned: mta.beispiel amavisd-new at #mta.beispiel.de Received: from mta.beispiel.de ([127.0.0.1]) by localhost (mta.beispiel.de [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id gwJHlT7G8f3B for ; Mon, 1 Dec 2014 14:17:40 +0100 (CET) Received: from localhost (unknown [10.20.30.40]) by mta.beispiel.de (Postfix) with ESMTPA for ; Mon, 1 Dec 2014 14:17:40 +0100 (CET) Subject: Spam-subject From: "Spam-Sender" To: recipient at example.com X-Mailer: Apple Mail (2.1085) X-Copyright: Germany, Mime Mail Content-type: multipart/mixed; boundary="xWMswooh9GD0UIhr" Message-Id: <20141201131740.7156AD8179 at mta.beispiel.de> Date: Mon, 1 Dec 2014 14:17:40 +0100 (CET) Zitat Ende Logfile zu dieser Beispielmail: Zitat Anfang: Dec 1 14:17:40 mta.beispiel postfix/smtpd[9717]: connect from unknown[10.20.30.40] Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-17) loaded policy bank "SASLBYPASS" Dec 1 14:17:40 mta.beispiel postfix/smtpd[9717]: NOQUEUE: client=unknown[10.20.30.40], sasl_method=LOGIN, sasl_username=stolen at account.toplevel Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) ESMTP::10026 /var/lib/amavis/tmp/amavis-20141201T140243-08853: -> Received: from mta.beispiel.de ([127.0.0.1]) by localhost (mta.beispiel [127.0.0.1]) (amavisd-new, port 10026) with ESMTP for ; Mon, 1 Dec 2014 14:17:40 +0100 (CET) Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) Checking: gwJHlT7G8f3B SASLBYPASS [10.20.30.40] -> Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) p002 1 Content-Type: multipart/mixed Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) p001 1/1 Content-Type: text/html, size: 1057 B, name: Dec 1 14:17:40 mta.beispiel postfix/smtpd[9582]: connect from localhost.localdomain[127.0.0.1] Dec 1 14:17:40 mta.beispiel postfix/smtpd[9582]: 7156AD8179: client=localhost.localdomain[127.0.0.1] Dec 1 14:17:40 mta.beispiel postfix/cleanup[9570]: 7156AD8179: message-id=<20141201131740.7156AD8179 at mta.beispiel.de> Dec 1 14:17:40 mta.beispiel postfix/oqmgr[2551]: 7156AD8179: from=, size=2692, nrcpt=1 (queue active) Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) FWD via SMTP: -> ,BODY=7BIT 250 2.0.0 Ok, id=08853-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7156AD8179 Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) Passed CLEAN, SASLBYPASS LOCAL [10.20.30.40] [10.20.30.40] -> , mail_id: gwJHlT7G8f3B, Hits: -, size: 2068, queued_as: 7156AD8179, 204 ms Dec 1 14:17:40 mta.beispiel postfix/smtpd[9717]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok, id=08853-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7156AD8179; from= to= proto=ESMTP helo= Dec 1 14:17:40 mta.beispiel amavis[8853]: (08853-18) TIMING [total 209 ms] - SMTP greeting: 2 (1%)1, SMTP EHLO: 1 (0%)1, SMTP pre-MAIL: 0 (0%)1, SMTP pre-DATA-flush: 34 (16%)18, SMTP DATA: 84 (40%)58, check_init: 1 (0%)58, digest_hdr: 1 (0%)58, digest_body_dkim: 0 (0%)58, gen_mail_id: 1 (0%)59, mime_decode: 7 (3%)62, get-file-type1: 49 (23%)86, parts_decode: 0 (0%)86, AV-scan-1: 6 (3%)89, update_cache: 1 (0%)89, decide_mail_destiny: 0 (0%)89, fwd-connect: 5 (2%)92, fwd-mail-pip: 2 (1%)93, fwd-rcpt-pip: 0 (0%)93, fwd-data-chkpnt: 0 (0%)93, write-header: 1 (0%)93, fwd-data-contents: 0 (0%)93, fwd-end-chkpnt: 2 (1%)95, prepare-dsn: 1 (0%)95, main_log_entry: 8 (4%)98, update_snmp: 2 (1%)99, SMTP pre-response: 0 (0%)99, SMTP response: 0 (0%)100, unlink-1-files: 0 (0%)100, rundown: 1 (0%)100 Dec 1 14:17:40 mta.beispiel postfix/smtpd[9717]: disconnect from unknown[10.20.30.40] Dec 1 14:17:40 mta.beispiel postfix/smtp[9761]: 7156AD8179: to=, relay=mail.example.com[123.456.789.123]:25, delay=0.08, delays=0/0.01/0.03/0.03, dsn=4.0.0, status=deferred (host mail.example.com[123.456.789.123] said: 451 ICID10 temporary local problem - please try later (in reply to RCPT TO command)) Zitat Ende Master.cf: # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - y - - smtpd -o smtpd_proxy_filter=localhost:10024 -o content_filter= submission inet n - y - - smtpd -o smtpd_etrn_restrictions=reject -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject pickup unix n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache amavisd-new[127.0.0.1]:10024 unix - - n - 14 smtp -o smtp_data_done_timeout=1200s -o disable_dns_lookups=yes 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} Ausgabe von postconf -n: address_verify_map = btree:/var/spool/postfix/data/verify alias_maps = hash:/etc/aliases biff = no bounce_queue_lifetime = 12h bounce_template_file = /etc/postfix/bounce.de-DE.cf broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix debug_peer_level = 2 default_destination_recipient_limit = 100 defer_transports = delay_warning_time = 1h disable_dns_lookups = no disable_mime_output_conversion = no home_mailbox = Maildir/ inet_interfaces = all inet_protocols = ipv4 local_recipient_maps = proxy:unix:passwd.byname $alias_maps mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root maximal_queue_lifetime = 1d message_size_limit = 40960000 message_strip_characters = \0 mydestination = $myhostname myhostname = mta.beispiel.de mynetworks_style = host newaliases_path = /usr/bin/newaliases proxy_read_maps = $virtual_uid_maps $virtual_gid_maps $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $sender_bcc_maps $recipient_bcc_maps $smtp_generic_maps $lmtp_generic queue_directory = /var/spool/postfix recipient_bcc_maps = proxy:mysql:/etc/postfix/virtual_mailbox_empfaenger_bcc.mysql relay_domains = $mydestination relayhost = sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail smtp_sasl_auth_enable = no smtp_use_tls = no smtpd_client_connection_rate_limit = 20 smtpd_client_message_rate_limit = 3 smtpd_client_recipient_rate_limit = 100 smtpd_client_restrictions = smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = reject_unauthenticated_sender_login_mismatch,reject_non_fqdn_sender,reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/rbl_override reject_rbl_client zen.spamhaus.org, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:10023, reject_unverified_recipient smtpd_sasl_auth_enable = yes smtpd_sasl_path = smtpd smtpd_sender_login_maps = proxy:mysql:/etc/postfix/virtual_mailbox_empfaenger.mysql smtpd_sender_restrictions = smtpd_use_tls = no strict_8bitmime = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 577 virtual_alias_maps = proxy:mysql:/etc/postfix/virtual_mailbox_empfaenger_aliases.mysql virtual_gid_maps = proxy:mysql:/etc/postfix/virtual_gid_maps.mysql virtual_mailbox_base = / virtual_mailbox_domains = proxy:mysql:/etc/postfix/virtual_mailbox_domains.mysql virtual_mailbox_limit = 1024000000 virtual_mailbox_maps = proxy:mysql:/etc/postfix/virtual_mailbox_empfaenger.mysql virtual_uid_maps = proxy:mysql:/etc/postfix/virtual_users.mysql Ausgabe Ende. Weil man solche Fälle ja immer mal wieder haben kann, stellt sich die Frage, wie man das verhindert. Zumindest für die Begrenzung des Volumens habe ich nun noch ein paar zusätzliche Grenzen gezogen: default_destination_recipient_limit = 100 smtpd_client_connection_rate_limit = 20 smtpd_client_message_rate_limit = 3 smtpd_client_recipient_rate_limit = 100 Ansonsten rauschen ja hunderte Spammails raus, bis man einen solchen Fall bemerkt? From ad+lists at uni-x.org Mon Dec 1 20:58:37 2014 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Mon, 01 Dec 2014 20:58:37 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547C7037.3000309@gmail.com> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> <547C65CC.60002@gmail.com> <20141201130715.GM29758@charite.de> <547C6E3E.405@gmail.com> <547C7037.3000309@gmail.com> Message-ID: <547CC86D.7040906@uni-x.org> Am 01.12.2014 um 14:42 schrieb janikev at gmail.com: > Kann es sein, dass der saslauthd erfolgreiche Logins zu lange cacht und > die Verbindung offen lässt, so dass nach der Passwortänderung noch immer > Emails angenommen/eingeliefert werden? Prüfe doch, ob der saslauthd mit Parameter "-c" läuft. Den Service neu starten, damit die Passwortänderung greift. Alexander From janikev at googlemail.com Mon Dec 1 21:09:54 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 21:09:54 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547CC86D.7040906@uni-x.org> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> <547C65CC.60002@gmail.com> <20141201130715.GM29758@charite.de> <547C6E3E.405@gmail.com> <547C7037.3000309@gmail.com> <547CC86D.7040906@uni-x.org> Message-ID: <547CCB12.30101@gmail.com> Am 01.12.2014 20:58, schrieb Alexander Dalloz: > Am 01.12.2014 um 14:42 schrieb janikev at gmail.com: >> Kann es sein, dass der saslauthd erfolgreiche Logins zu lange cacht und >> die Verbindung offen lässt, so dass nach der Passwortänderung noch immer >> Emails angenommen/eingeliefert werden? > > Prüfe doch, ob der saslauthd mit Parameter "-c" läuft. Den Service neu > starten, damit die Passwortänderung greift. > > Alexander > das war ein guter Tipp, ja -c war "an". Danke. From janikev at googlemail.com Mon Dec 1 21:25:28 2014 From: janikev at googlemail.com (janikev@gmail.com) Date: Mon, 01 Dec 2014 21:25:28 +0100 Subject: [Postfixbuch-users] Mailkonto gehackt amavis stoppen In-Reply-To: <547CC86D.7040906@uni-x.org> References: <547C5563.5080102@gmail.com> <8435534f4ca613a4d6bd7361857d0a5b@neessen.net> <547C5C5E.8030500@gmail.com> <20141201122019.GL29758@charite.de> <547C65CC.60002@gmail.com> <20141201130715.GM29758@charite.de> <547C6E3E.405@gmail.com> <547C7037.3000309@gmail.com> <547CC86D.7040906@uni-x.org> Message-ID: <547CCEB8.604@gmail.com> Am 01.12.2014 20:58, schrieb Alexander Dalloz: > Am 01.12.2014 um 14:42 schrieb janikev at gmail.com: >> Kann es sein, dass der saslauthd erfolgreiche Logins zu lange cacht und >> die Verbindung offen lässt, so dass nach der Passwortänderung noch immer >> Emails angenommen/eingeliefert werden? > > Prüfe doch, ob der saslauthd mit Parameter "-c" läuft. Den Service neu > starten, damit die Passwortänderung greift. > > Alexander > ...ich denke mal das war DER Tipp. Saslauthd Standard caching time 28800 Sekunden - das sind ja 8 Stunden. Das ist mir durchgerutscht. From ffiene at veka.com Tue Dec 2 09:18:52 2014 From: ffiene at veka.com (Frank Fiene) Date: Tue, 2 Dec 2014 09:18:52 +0100 Subject: [Postfixbuch-users] Blockieren von Domains - SPAM Message-ID: <0606C40B-1F8B-4153-A5F5-89E526993800@veka.com> Moin, blockiert hier jemand alles was von *.de.cc kommt? Das nervt. Die versenden für namhafte Unternehmen ungefragt SPAM, IMHO. Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Tue Dec 2 09:26:06 2014 From: wn at neessen.net (Winfried Neessen) Date: Tue, 02 Dec 2014 09:26:06 +0100 Subject: [Postfixbuch-users] Blockieren von Domains - SPAM In-Reply-To: <0606C40B-1F8B-4153-A5F5-89E526993800@veka.com> References: <0606C40B-1F8B-4153-A5F5-89E526993800@veka.com> Message-ID: <6b10256a0225f8aa080c95274505d4ca@neessen.net> Hi Frank, Am 2014-12-02 09:18, schrieb Frank Fiene: > blockiert hier jemand alles was von *.de.cc kommt? > Normale access(5) Liste: .de.cc DISCARD (oder REJECT) Winni From wn at neessen.net Tue Dec 2 09:30:06 2014 From: wn at neessen.net (Winfried Neessen) Date: Tue, 02 Dec 2014 09:30:06 +0100 Subject: [Postfixbuch-users] Blockieren von Domains - SPAM In-Reply-To: <6b10256a0225f8aa080c95274505d4ca@neessen.net> References: <0606C40B-1F8B-4153-A5F5-89E526993800@veka.com> <6b10256a0225f8aa080c95274505d4ca@neessen.net> Message-ID: <5a96f8eacf4b403835072ed22739e804@neessen.net> Hi nochmal... Am 2014-12-02 09:26, schrieb Winfried Neessen: >> blockiert hier jemand alles was von *.de.cc kommt? >> > Normale access(5) Liste: > > .de.cc DISCARD (oder REJECT) > Wer lesen kann, ist natuerlich klar im Vorteil. Deine Frage war ja was ganz anderes. Ich weiss nicht ob es sinnvoll ist eine komplette Domain (die heimlich als TLD gehandelt wird) zu blocken. Du koenntest ja bei SpamAssassin einfach einen generellen Score fuer die Domain vergeben- vllt. ist das die elegantere Loesung als direkt hart zu blocken. Winni From ffiene at veka.com Tue Dec 2 09:40:09 2014 From: ffiene at veka.com (Frank Fiene) Date: Tue, 2 Dec 2014 09:40:09 +0100 Subject: [Postfixbuch-users] Blockieren von Domains - SPAM In-Reply-To: <5a96f8eacf4b403835072ed22739e804@neessen.net> References: <0606C40B-1F8B-4153-A5F5-89E526993800@veka.com> <6b10256a0225f8aa080c95274505d4ca@neessen.net> <5a96f8eacf4b403835072ed22739e804@neessen.net> Message-ID: <925321B4-2520-4564-9C76-29764AE3C319@veka.com> > Am 02.12.2014 um 09:30 schrieb Winfried Neessen : > > Hi nochmal... > > Am 2014-12-02 09:26, schrieb Winfried Neessen: > >>> blockiert hier jemand alles was von *.de.cc kommt? >> Normale access(5) Liste: >> .de.cc DISCARD (oder REJECT) Ja, ich weiß wie das geht, danke! ;-) > Wer lesen kann, ist natuerlich klar im Vorteil. Deine Frage war ja was ganz anderes. > Ich weiss nicht ob es sinnvoll ist eine komplette Domain (die heimlich als TLD gehandelt > wird) zu blocken. Du koenntest ja bei SpamAssassin einfach einen generellen Score fuer > die Domain vergeben- vllt. ist das die elegantere Loesung als direkt hart zu blocken. Das ist ja genau die Frage, eine Domain, die heimlich als TLD gehandelt wird, aber nur zu dem Zweck des SPAMs, ist mir suspekt. Wenn man so etwas ausrotten will, müssen das eigentlich alle blockieren. Ich werde das jedenfalls mal testweise machen und schauen, was da kommt. Ich bin nicht immer für die nette ähhh elegante Lösung. Viele Grüße! Frank -- Frank Fiene / IT-Services Internet Services / IT-Security Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From sebastian at debianfan.de Thu Dec 4 08:23:04 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 4 Dec 2014 08:23:04 +0100 Subject: [Postfixbuch-users] [OT] Frage zu RFC's bzgl. Absenderadressen Message-ID: Hallo & Guten Morgen zusammen, gibt es eine RFC bzw. eine "andere Vorschrift", in welcher steht das eine Mail 'immer' eine gültige Absendermailadresse haben muss bzw. eine Mailadresse, welche dann 'zieht' wenn der Empfänger der Mail auf "antworten" klickt? gruß Sebastian -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From kai_postfix at fuerstenberg.ws Thu Dec 4 09:32:21 2014 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Thu, 04 Dec 2014 09:32:21 +0100 Subject: [Postfixbuch-users] [OT] Frage zu RFC's bzgl. Absenderadressen In-Reply-To: References: Message-ID: <54801C15.8090100@fuerstenberg.ws> Hi Sebastian, Am 04.12.2014 08:23, schrieb sebastian at debianfan.de: > gibt es eine RFC bzw. eine "andere Vorschrift", in welcher steht das > eine Mail 'immer' eine gültige Absendermailadresse haben muss bzw. eine > Mailadresse, welche dann 'zieht' wenn der Empfänger der Mail auf > "antworten" klickt? in RFC 5322 3.6.3 heißt es: "In all cases, the "From:" field SHOULD NOT contain any mailbox that does not belong to the author(s) of the message." Sollte also, muss aber nicht zwingend. S.a. "Reply-To" und "Sender" im gleichen Absatz. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From pkoch at bgc-jena.mpg.de Fri Dec 5 10:14:46 2014 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Fri, 05 Dec 2014 10:14:46 +0100 Subject: [Postfixbuch-users] =?utf-8?b?QWJzZW5kZXIgcHLDvGZlbiAuLi4=?= Message-ID: <54817786.3030305@bgc-jena.mpg.de> Hallo, folgende Frage. Innerhalb unseres Netzes dürfen Nutzer/Dienste/Geräte Mails auch ohne Anmeldung durch Benutzernamen/Kennwort einliefern. Wie kann man jetzt am saubersten erzwingen, das bevor die Mail angenommen wird immer geprüft wird, ob eine korrekter Absender gesetzt ist oder nicht ? Oder zumindest dass der Absender aus unser Domain kommt also in etwa @bgc-jena.mpg.de und bgc.mpg.de ist OK, alles andere nicht annehmen. -- Vielen Dank, Peer _________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : pkoch.vcf Dateityp : text/x-vcard Dateigröße : 321 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4641 bytes Beschreibung: S/MIME Cryptographic Signature URL : From kai_postfix at fuerstenberg.ws Fri Dec 5 10:42:53 2014 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 05 Dec 2014 10:42:53 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Absender_pr=FCfen_=2E=2E=2E?= In-Reply-To: <54817786.3030305@bgc-jena.mpg.de> References: <54817786.3030305@bgc-jena.mpg.de> Message-ID: <54817E1D.6080700@fuerstenberg.ws> Am 05.12.2014 10:14, schrieb Dr.Peer-Joachim Koch: > Hallo, > > folgende Frage. Innerhalb unseres Netzes dürfen Nutzer/Dienste/Geräte > Mails auch ohne > Anmeldung durch Benutzernamen/Kennwort einliefern. > Wie kann man jetzt am saubersten erzwingen, das bevor die Mail > angenommen wird > immer geprüft wird, ob eine korrekter Absender gesetzt ist oder nicht ? > Oder zumindest dass der Absender aus unser Domain kommt > also in etwa @bgc-jena.mpg.de und bgc.mpg.de ist OK, alles andere nicht > annehmen. check_sender_access -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From w.flamme at web.de Fri Dec 5 10:52:22 2014 From: w.flamme at web.de (Werner Flamme) Date: Fri, 05 Dec 2014 10:52:22 +0100 Subject: [Postfixbuch-users] [OT] Frage zu RFC's bzgl. Absenderadressen In-Reply-To: <54801C15.8090100@fuerstenberg.ws> References: <54801C15.8090100@fuerstenberg.ws> Message-ID: <54818056.7030602@web.de> Am 04.12.2014 um 09:32 schrieb Kai Fürstenberg: > Hi Sebastian, > > Am 04.12.2014 08:23, schrieb sebastian at debianfan.de: >> gibt es eine RFC bzw. eine "andere Vorschrift", in welcher steht das >> eine Mail 'immer' eine gültige Absendermailadresse haben muss bzw. eine >> Mailadresse, welche dann 'zieht' wenn der Empfänger der Mail auf >> "antworten" klickt? > > in RFC 5322 3.6.3 heißt es: > "In all cases, the "From:" field SHOULD NOT contain any mailbox that > does not belong to the author(s) of the message." > > Sollte also, muss aber nicht zwingend. SHOULD wird interpretiert als "muss, wenn nicht zwingende Gründe dagegen sprechen". Die Adresse SOLL also keine Adresse enthalten, die zu einem Postfach gehört, dass nicht dem Absender gehört. Aber dass die Adresse gültig sein muss steht da nicht. gehört zu keinem Postfach, daher ist sie hier erlaubt. Eine gültige Adresse... nun, unter gewissen Umständen ja :) meint Werner -- From Ralf.Hildebrandt at charite.de Fri Dec 5 11:50:03 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 5 Dec 2014 11:50:03 +0100 Subject: [Postfixbuch-users] =?utf-8?b?QWJzZW5kZXIgcHLDvGZlbiAuLi4=?= In-Reply-To: <54817786.3030305@bgc-jena.mpg.de> References: <54817786.3030305@bgc-jena.mpg.de> Message-ID: <20141205105003.GD26310@charite.de> * Dr.Peer-Joachim Koch : > Hallo, > > folgende Frage. Innerhalb unseres Netzes dürfen Nutzer/Dienste/Geräte > Mails auch ohne > Anmeldung durch Benutzernamen/Kennwort einliefern. > Wie kann man jetzt am saubersten erzwingen, das bevor die Mail > angenommen wird > immer geprüft wird, ob eine korrekter Absender gesetzt ist oder nicht ? > Oder zumindest dass der Absender aus unser Domain kommt > also in etwa @bgc-jena.mpg.de und bgc.mpg.de ist OK, alles andere > nicht annehmen. reject_unlisted_sender oder wie der andere sagte: check_sender_access -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From jbehrend at mpifr-bonn.mpg.de Fri Dec 5 13:27:58 2014 From: jbehrend at mpifr-bonn.mpg.de (Jan Behrend) Date: Fri, 05 Dec 2014 13:27:58 +0100 Subject: [Postfixbuch-users] Langsamer DNS(SEC) von postbank.de Message-ID: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> Hallo Liste, auch wir versuchen uns in DNSSEC und DANE ... In diesem Zusammenhang bin ich auf folgendes Problem gestoßen: (wegen line breaks dies mal in HTML) -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 228E687A255 7983 Fri Dec 5 09:05:11 xxx at mpifr-bonn.mpg.de (TLSA lookup error for mailrelay1.bonn.postbank.de:25) xxx at dslbank.de Also einmal von Hand gucken (auf das time komme ich gleich noch): # time dig mailrelay1.bonn.postbank.de +dn +m ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; ANSWER SECTION: mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26 mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 ( 20141208140444 20141201140445 56144 postbank.de. [...] mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 ( 20141209024448 20141202024448 36224 postbank.de. [...] real 0m0.011s Alles bestens! Jetzt also den TLSA-Record überprüfen: # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 [...] real 0m10.010s Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das ganz schön lange ... (zu lange für Postfix) Also mal direkt bei der Postbank anfragen, um lokale Probleme auszuschließen: # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m ;; connection timed out; no servers could be reached real 0m15.010s Lasse ich das DNSSEC weg, dann geht alles schnell: # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de +m ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 real 0m0.030s Hat jemand eine Erklärung, einen Tipp? LG Jan -- MAX-PLANCK-INSTITUT fuer Radioastronomie Jan Behrend - Rechenzentrum ---------------------------------------- Auf dem Huegel 69, D-53121 Bonn Tel: +49 (228) 525 359, Fax: +49 (228) 525 229 jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 6273 bytes Beschreibung: nicht verfügbar URL : From pkoch at bgc-jena.mpg.de Fri Dec 5 13:48:01 2014 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Fri, 05 Dec 2014 13:48:01 +0100 Subject: [Postfixbuch-users] =?windows-1252?q?Absender_pr=FCfen_=2E=2E=2E?= In-Reply-To: <20141205105003.GD26310@charite.de> References: <54817786.3030305@bgc-jena.mpg.de> <20141205105003.GD26310@charite.de> Message-ID: <5481A981.1090808@bgc-jena.mpg.de> On 05.12.2014 11:50, Ralf Hildebrandt wrote: > * Dr.Peer-Joachim Koch : >> Hallo, >> >> folgende Frage. Innerhalb unseres Netzes dürfen Nutzer/Dienste/Geräte >> Mails auch ohne >> Anmeldung durch Benutzernamen/Kennwort einliefern. >> Wie kann man jetzt am saubersten erzwingen, das bevor die Mail >> angenommen wird >> immer geprüft wird, ob eine korrekter Absender gesetzt ist oder nicht ? >> Oder zumindest dass der Absender aus unser Domain kommt >> also in etwa @bgc-jena.mpg.de und bgc.mpg.de ist OK, alles andere >> nicht annehmen. > reject_unlisted_sender > oder wie der andere sagte: check_sender_access > Hallo, ich les mir gerade die Doku dazu durch. Wir haben eigentlich schon für die Empfänger eine Liste die immer aktuell ist in der Form user at bgc....de OK Kann man eigentlich diese Liste quasi doppelt verwenden und sagen NUR die, die in der Liste stehen und alles andere ablehnen ? Vielen Dank, Peer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : pkoch.vcf Dateityp : text/x-vcard Dateigröße : 321 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4641 bytes Beschreibung: S/MIME Cryptographic Signature URL : From christian at bricart.de Fri Dec 5 14:13:40 2014 From: christian at bricart.de (Christian Bricart) Date: Fri, 05 Dec 2014 14:13:40 +0100 Subject: [Postfixbuch-users] Langsamer DNS(SEC) von postbank.de In-Reply-To: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> References: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> Message-ID: <6bda2671900cfd682f689f912d1a8151@aachalon.de> Am 2014-12-05 13:27, schrieb Jan Behrend: > [..] > Lasse ich das DNSSEC weg, dann geht alles schnell: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. > @ns2.postbank.de +m > ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 > real 0m0.030s > > Hat jemand eine Erklärung, einen Tipp? ich würde mal tippen die Antwort mit DNSSEC ist zu gross und knallt in irgendeine wiedermal fehlkonfigurierte Firewall die auf dem Weg liegt... meine Antwort auch mit +dn ist nämlich schnell und beinhaltet auch (korrekterweise für die Grösse der Antwort) folgendes: ... ;; Truncated, retrying in TCP mode. ... Christian From thomas at preissler.me Fri Dec 5 14:24:58 2014 From: thomas at preissler.me (=?UTF-8?Q?Thomas_Prei=C3=9Fler?=) Date: 05 Dec 2014 14:24:58 +0100 Subject: [Postfixbuch-users] Langsamer DNS(SEC) von postbank.de In-Reply-To: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> References: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> Message-ID: <30B0C9E5-0AC8-41AC-8D51-7168BDBAEE04@preissler.me> Hallo Jan, ich kann das Problem nicht reproduzieren: # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m real 0m0.084s Ein Schuss ins Blaue: Werden vielleicht gewisse DNS-Pakete von deiner Firewall geblockt? Die DNS-Response für DNSSEC ist ja deutlich größer als ohne DNSSEC. Lange Zeit waren 512 Byte als Grenze für DNS-Pakete vorgesehen, ist aber mit DNSSEC einfach zu wenig. Um dieses Problem zu umgehen wurde EDNS0 eingeführt: Der Client sendet einen OPT-Record um dem DNS-Server zu signalisieren, dass er größere Pakete akzeptiert. Vielleicht macht deine Firewall genau hier Probleme. Lange Rede, kurzer Sinn: dig sollte diese Infos angeben: # dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m ? ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ? Viele Grüße Thomas Sent with Unibox > On Dec 5, 2014, at 1:27 PM, Jan Behrend wrote: > > > Hallo Liste, > > auch wir versuchen uns in DNSSEC und DANE ... > > In diesem Zusammenhang bin ich auf folgendes Problem gestoßen: > (wegen line breaks dies mal in HTML) > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > 228E687A255 7983 Fri Dec 5 09:05:11 xxx at mpifr-bonn.mpg.de > (TLSA lookup error for mailrelay1.bonn.postbank.de:25) > xxx at dslbank.de > > Also einmal von Hand gucken (auf das time komme ich gleich noch): > # time dig mailrelay1.bonn.postbank.de +dn +m > ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 > ;; ANSWER SECTION: > mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26 > mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 ( > 20141208140444 20141201140445 56144 postbank.de. > [...] > mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 ( > 20141209024448 20141202024448 36224 postbank.de. > [...] > real 0m0.011s > > Alles bestens! Jetzt also den TLSA-Record überprüfen: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 > [...] > real 0m10.010s > > Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das ganz schön lange ... (zu lange für Postfix) > > Also mal direkt bei der Postbank anfragen, um lokale Probleme auszuschließen: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. +dn +m > ;; connection timed out; no servers could be reached > real 0m15.010s > > Lasse ich das DNSSEC weg, dann geht alles schnell: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de +m > ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 > real 0m0.030s > > > Hat jemand eine Erklärung, einen Tipp? > > LG Jan > > -- > MAX-PLANCK-INSTITUT fuer Radioastronomie > Jan Behrend - Rechenzentrum > ---------------------------------------- > Auf dem Huegel 69, D-53121 Bonn > Tel: +49 (228) 525 359, Fax: +49 (228) 525 229 > jbehrend at mpifr-bonn.mpg.de http://www.mpifr-bonn.mpg.de > > > > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From p at sys4.de Fri Dec 5 14:55:41 2014 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 5 Dec 2014 14:55:41 +0100 Subject: [Postfixbuch-users] Langsamer DNS(SEC) von postbank.de In-Reply-To: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> References: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> Message-ID: <20141205135540.GH8702@sys4.de> * Jan Behrend : > Hallo Liste, > > auch wir versuchen uns in DNSSEC und DANE ... > > In diesem Zusammenhang bin ich auf folgendes Problem gestoßen: > (wegen line breaks dies mal in HTML) > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > 228E687A255 7983 Fri Dec 5 09:05:11 xxx at mpifr-bonn.mpg.de > (TLSA lookup error for > mailrelay1.bonn.postbank.de:25) > xxx at dslbank.de > > Also einmal von Hand gucken (auf das time komme ich gleich noch): > # time dig mailrelay1.bonn.postbank.de +dn +m > ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 > ;; ANSWER SECTION: > mailrelay1.bonn.postbank.de. 3059 IN A 62.153.105.26 > mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 ( > 20141208140444 20141201140445 56144 postbank.de. > [...] > mailrelay1.bonn.postbank.de. 3059 IN RRSIG A 7 4 3600 ( > 20141209024448 20141202024448 36224 postbank.de. > [...] > real 0m0.011s > > Alles bestens! Jetzt also den TLSA-Record überprüfen: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. +dn +m > ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 > [...] > real 0m10.010s > > Hat also keinen, ist ja auch nicht weiter schlimm, jedoch dauret das > ganz schön lange ... (zu lange für Postfix) > > Also mal direkt bei der Postbank anfragen, um lokale Probleme > auszuschließen: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns1.postbank.de. > +dn +m > ;; connection timed out; no servers could be reached > real 0m15.010s > > Lasse ich das DNSSEC weg, dann geht alles schnell: > # time dig TLSA _25._tcp.mailrelay1.bonn.postbank.de. @ns2.postbank.de > +m > ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 > real 0m0.030s > > > Hat jemand eine Erklärung, einen Tipp? DNSSEC SIG Responses sind oftmals zu lang für UDP. Gilt auch für TLSA und DKIM. TCP/53 durchlassen? p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From andreas.schulze at datev.de Fri Dec 5 17:18:07 2014 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 5 Dec 2014 17:18:07 +0100 Subject: [Postfixbuch-users] Langsamer DNS(SEC) von postbank.de In-Reply-To: <20141205135540.GH8702@sys4.de> References: <1417782478.6039.84.camel@jb1.mpifr-bonn.mpg.de> <20141205135540.GH8702@sys4.de> Message-ID: <20141205161807.GA23967@spider.services.datevnet.de> Am 05.12.2014 14:55 schrieb Patrick Ben Koetter: > * Jan Behrend : > > Hat jemand eine Erklärung, einen Tipp? > > DNSSEC SIG Responses sind oftmals zu lang für UDP. Gilt auch für TLSA und > DKIM. > TCP/53 durchlassen? einfach mal systematisch testen: # host ns01.datev.de ns01.datev.de has address 193.27.50.5 ns01.datev.de has IPv6 address 2a00:e50:f155:a:193:27:50:5 # dig -4 @ns01.datev.de. datev.de. -> IPv4, UDP # dig -4 @ns01.datev.de. datev.de. +tcp -> IPv4, TCP falls IPv6 aktiv ist: # dig -6 @ns01.datev.de. datev.de. -> IPv6, UDP # dig -6 @ns01.datev.de. datev.de. +tcp -> IPv6, TCP Mit diesen Tests bleibt man üblicherweise unter 512 Byte Paketgröße. Ob größere Pakete auch gehen, verrät https://www.dns-oarc.net/oarc/services/replysizetest bei mir sieht's so aus: # dig +short rs.dns-oarc.net txt rst.x3827.rs.dns-oarc.net. rst.x3837.x3827.rs.dns-oarc.net. rst.x3843.x3837.x3827.rs.dns-oarc.net. "Tested at 2014-12-05 16:12:43 UTC" "192.168.1.1 DNS reply size limit is at least 3843" "192.168.1.1 sent EDNS buffer size 4096" und bevor nicht in der ganzen Infrastruktur 4k möglich sind, sollte man mit DNSSEC nicht weitermachen. Andreas -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From Hajo.Locke at gmx.de Wed Dec 10 16:52:12 2014 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 10 Dec 2014 16:52:12 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Ge=C3=A4ndertes_Antispamverhalten?= =?utf-8?q?=3F?= Message-ID: <54886C2C.1020206@gmx.de> Hallo, habe seit heute einige Ablehnungen der Mails meiner User nach außen registriert. Das meiste bezieht sich aus meiner Sicht klar auf den Inhalt der Mail. Typische Meldungen sind "rejected due to content restrictions" oder "Transaction Failed Spam Message not queued". Bei mir ist nichts auffällig. Habt Ihr das auch? Gabs eventuell irgendwelche Updates gewisser Antispamsoftware? Blacklisting hab ich keines bzw. gute Reputation. Vielleicht reagieren die Ziele allergisch wegen der ganzen Weihnachtsgrüße? Wisst ihr was? Danke, Hajo From anmeyer at mailbox.org Sun Dec 14 22:21:29 2014 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sun, 14 Dec 2014 22:21:29 +0100 Subject: [Postfixbuch-users] userid im Header Message-ID: <20141214222129.5d5b0538@workstation.bitcorner.intern> Hallo! Ein PHP-script verschickt Bestätigungsemail und im Header finde ich folgendes: Received: by mail.bitcorner.de (Postfix, from userid 30) id 684D21231BA; Sun, 14 Dec 2014 21:39:21 +0100 (CET) Ich finde das unschön, dass hier eine userid offengelegt wird. Dafür ist wohl das PHP-script verantwortlich oder kann man das in Postfix beeinflussen? Grüße Andreas From postfixbuch-users at 0xaffe.de Sun Dec 14 22:30:57 2014 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sun, 14 Dec 2014 22:30:57 +0100 Subject: [Postfixbuch-users] userid im Header In-Reply-To: <20141214222129.5d5b0538@workstation.bitcorner.intern> References: <20141214222129.5d5b0538@workstation.bitcorner.intern> Message-ID: <548E0191.7030104@0xaffe.de> Hallo Andreas, Diese Zeile wird vom postfix "sendmail" erzeugt und dürfte relativ unkritisch sein. Warum willst die Zeile entfernen, die sagt, dass die Mail vom Benutzer/Dienst mit der id 30 (typisch für wwwrun) eingekippt wurde? Ansonsten: http://serverfault.com/questions/333176/remove-userid-from-recieved-header HTH, Mathias. Am 14.12.14 22:21, schrieb Andreas Meyer: > Hallo! > > Ein PHP-script verschickt Bestätigungsemail und im Header finde ich > folgendes: > > Received: by mail.bitcorner.de (Postfix, from userid 30) > id 684D21231BA; Sun, 14 Dec 2014 21:39:21 +0100 (CET) > > Ich finde das unschön, dass hier eine userid offengelegt wird. > Dafür ist wohl das PHP-script verantwortlich oder kann man das > in Postfix beeinflussen? > > Grüße > > Andreas > From anmeyer at mailbox.org Sun Dec 14 22:36:55 2014 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sun, 14 Dec 2014 22:36:55 +0100 Subject: [Postfixbuch-users] userid im Header In-Reply-To: <548E0191.7030104@0xaffe.de> References: <20141214222129.5d5b0538@workstation.bitcorner.intern> <548E0191.7030104@0xaffe.de> Message-ID: <20141214223655.40376aa0@workstation.bitcorner.intern> Hallo Mathias! Habe gerade man sendmail hinter mir, aber nichts darüber gefunden. Ok, wenn Du sagst, ist unkritisch, beruhigt mich das. # id wwwrun uid=30(wwwrun) gid=8(www) Gruppen=8(www) Und danke für den Tip mit serverfault! Schau' ich mir an. Andreas Mathias Jeschke schrieb am 14.12.14 um 22:30:57 Uhr: > Hallo Andreas, > > Diese Zeile wird vom postfix "sendmail" erzeugt und dürfte relativ > unkritisch sein. > Warum willst die Zeile entfernen, die sagt, dass die Mail vom > Benutzer/Dienst mit der id 30 (typisch für wwwrun) eingekippt wurde? > > Ansonsten: > http://serverfault.com/questions/333176/remove-userid-from-recieved-header > > HTH, > Mathias. > > Am 14.12.14 22:21, schrieb Andreas Meyer: > > > Hallo! > > > > Ein PHP-script verschickt Bestätigungsemail und im Header finde ich > > folgendes: > > > > Received: by mail.bitcorner.de (Postfix, from userid 30) > > id 684D21231BA; Sun, 14 Dec 2014 21:39:21 +0100 (CET) > > > > Ich finde das unschön, dass hier eine userid offengelegt wird. > > Dafür ist wohl das PHP-script verantwortlich oder kann man das > > in Postfix beeinflussen? > > > > Grüße > > > > Andreas > > From t.leiser at synchron-is.de Thu Dec 18 14:32:28 2014 From: t.leiser at synchron-is.de (Thorsten Leiser) Date: Thu, 18 Dec 2014 14:32:28 +0100 Subject: [Postfixbuch-users] Postfix soll Emails nicht Rejecten, sondern eine Bounce-Nachricht generieren Message-ID: <5492D76C.6050304@synchron-is.de> Hi, wir nutzen einen auf Postfix basierenden Emailserver um für ein Output-System Emails zu versenden. Das Output-System ist sehr dumm, d.h. es macht keine Syntax-Prüfungen auf Email-Adressen von Empfängern, auch kann es nicht damit umgehen, wenn Postfix aufgrund einer syntaktisch falschen Empfänger-Adresse die Email ablehnt. Wie bin ich in der Lage diese Prüfung zu deaktivieren? Postfix soll E-Mails mit syntaktisch ungültigen Empfänger-Adressen einfach annehmen und dann gleich entsprechend einen Bounce generieren. Diesen kann ich dann mit Hilfe meiner Sieve-Filter des Versender-Kontos entsprechend klassifizieren und abarbeiten. Vielen Dank im Voraus. Gruß Thorsten From driessen at fblan.de Thu Dec 18 20:52:27 2014 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Thu, 18 Dec 2014 20:52:27 +0100 Subject: [Postfixbuch-users] Postfix soll Emails nicht Rejecten, sondern eine Bounce-Nachricht generieren In-Reply-To: <5492D76C.6050304@synchron-is.de> References: <5492D76C.6050304@synchron-is.de> Message-ID: <006901d01afc$27b887f0$772997d0$@fblan.de> Im Auftrag von Thorsten Leiser > Hi, > > wir nutzen einen auf Postfix basierenden Emailserver um für ein > Output-System Emails zu versenden. Das Output-System ist sehr dumm, d.h. > es macht keine Syntax-Prüfungen auf Email-Adressen von Empfängern, auch > kann es nicht damit umgehen, wenn Postfix aufgrund einer syntaktisch > falschen Empfänger-Adresse die Email ablehnt. > Wie bin ich in der Lage diese Prüfung zu deaktivieren? Postfix soll > E-Mails mit syntaktisch ungültigen Empfänger-Adressen einfach annehmen > und dann gleich entsprechend einen Bounce generieren. Diesen kann ich > dann mit Hilfe meiner Sieve-Filter des Versender-Kontos entsprechend > klassifizieren und abarbeiten. > Vielen Dank im Voraus. > > Gruß > > Thorsten Bitte postconf -n und Master.cf hier posten dann kann man sofort sehen welche Prüfungen du machst und welche sich dann störend auswirken Es gibt viele Wege nach Rom das oben beschriebene ist der kürzeste. Fehlerursache zu bekämpfen statt an den Symptomen rumzudoktern wäre grundsätzlich mal der bessere Weg. Wenn dein Spyder keine richtigen Mailadressen bringt dann nimm halt nen anderen. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From t.leiser at synchron-is.de Fri Dec 19 08:56:07 2014 From: t.leiser at synchron-is.de (Thorsten Leiser) Date: Fri, 19 Dec 2014 08:56:07 +0100 Subject: [Postfixbuch-users] Postfix soll Emails nicht Rejecten, sondern eine Bounce-Nachricht generieren In-Reply-To: <006901d01afc$27b887f0$772997d0$@fblan.de> References: <5492D76C.6050304@synchron-is.de> <006901d01afc$27b887f0$772997d0$@fblan.de> Message-ID: <5493DA17.5030509@synchron-is.de> Am 18.12.2014 um 20:52 schrieb Uwe Drießen: > Im Auftrag von Thorsten Leiser >> Hi, >> >> wir nutzen einen auf Postfix basierenden Emailserver um für ein >> Output-System Emails zu versenden. Das Output-System ist sehr dumm, d.h. >> es macht keine Syntax-Prüfungen auf Email-Adressen von Empfängern, auch >> kann es nicht damit umgehen, wenn Postfix aufgrund einer syntaktisch >> falschen Empfänger-Adresse die Email ablehnt. >> Wie bin ich in der Lage diese Prüfung zu deaktivieren? Postfix soll >> E-Mails mit syntaktisch ungültigen Empfänger-Adressen einfach annehmen >> und dann gleich entsprechend einen Bounce generieren. Diesen kann ich >> dann mit Hilfe meiner Sieve-Filter des Versender-Kontos entsprechend >> klassifizieren und abarbeiten. >> Vielen Dank im Voraus. >> >> Gruß >> >> Thorsten > Bitte postconf -n und Master.cf hier posten dann kann man sofort sehen > welche Prüfungen du machst und welche sich dann störend auswirken > > Es gibt viele Wege nach Rom das oben beschriebene ist der kürzeste. > > Fehlerursache zu bekämpfen statt an den Symptomen rumzudoktern wäre > grundsätzlich mal der bessere Weg. Wenn dein Spyder keine richtigen > Mailadressen bringt dann nimm halt nen anderen. > > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > Guten Morgen Uwe, grundsätzlich bin ich auch ein Freund der Ursachenbekämpfung, jedoch ist mit der Anschaffung des Output-Systems das Kind bereits in den Brunnen gefallen und den Datenstamm mit den falschen Email-Adressen zu bereinigen, scheint bei den Verantwortlichen nicht das Mittel der Wahl zu sein. Deswegen dieser Weg. Anbei der Output von postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes canonical_classes = envelope_sender canonical_maps = hash:/etc/postfix/canonical config_directory = /etc/postfix disable_vrfy_command = yes dovecot_destination_recipient_limit = 1 inet_interfaces = all local_recipient_maps = proxy:unix:passwd.byname $alias_maps mailbox_size_limit = 0 message_size_limit = 0 mydestination = $myorigin,$myhostname,localhost,localhost.$mydomain myhostname = mailsrv-linux.scharrnet-invoice.de mynetworks = 127.0.0.0/8 192.168.239.79/32 myorigin = /etc/mailname recipient_delimiter = + relayhost = smtp_helo_name = mailsrv-linux.scharrnet-invoice.de smtpd_banner = mailsrv-linux.scharrnet-invoice.de ESMTP smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, check_helo_access pcre:/etc/postfix/helo_checks.pcre smtpd_restriction_classes = submission_recipient_restrictions smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myorigin smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sender_login_maps = ldap:/etc/postfix/login.cf smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch smtpd_tls_cert_file = /etc/postfix/sasl/postfix.pem smtpd_tls_key_file = /etc/postfix/sasl/postfix.pem smtpd_use_tls = yes strict_rfc821_envelopes = yes submission_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject virtual_alias_domains = $virtual_alias_maps virtual_alias_maps = ldap:/etc/postfix/valiases.cf,ldap:/etc/postfix/useraliases.cf,ldap:/etc/postfix/groupaliases.cf virtual_gid_maps = static:112 virtual_mailbox_base = /var/vmail/ virtual_mailbox_domains = ldap:/etc/postfix/vdomains.cf virtual_mailbox_limit = 0 virtual_mailbox_maps = ldap:/etc/postfix/mailbox.cf virtual_minimum_uid = 100 virtual_transport = dovecot virtual_uid_maps = static:107 und die master.cf # Generated by Zentyal # # Postfix master process configuration file. For details on the format # of the file, see the master(5) manual page (command: "man 5 master"). # # Do not forget to execute "postfix reload" after editing this file. # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - - - - smtpd submission inet n - n - - smtpd -o smtpd_recipient_restrictions=submission_recipient_restrictions tlsmgr unix - - - 1000? 1 tlsmgr smtps inet n - - - - smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject #628 inet n - - - - qmqpd pickup fifo n - - 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - - 300 1 oqmgr rewrite unix - - n - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix - - - - - smtp -o smtp_fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache dovecot unix - n n - - pipe flags=DRhu user=ebox:ebox argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop} -m ${extension} # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # # ==================================================================== # # Recent Cyrus versions can use the existing "lmtp" master.cf entry. # # Specify in cyrus.conf: # lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4 # # Specify in main.cf one or more of the following: # mailbox_transport = lmtp:inet:localhost # virtual_transport = lmtp:inet:localhost # # ==================================================================== # # Cyrus 2.1.5 (Amos Gouaux) # Also specify in main.cf: cyrus_destination_recipient_limit=1 # #cyrus unix - n n - - pipe # user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user} # # ==================================================================== # Old example of delivery via Cyrus. # #old-cyrus unix - n n - - pipe # flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user} # # ==================================================================== # # See the Postfix UUCP_README file for configuration details. # uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # Other external delivery methods. # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} Vielen Dank im Voraus. Gruß Thorsten From driessen at fblan.de Fri Dec 19 11:22:07 2014 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 19 Dec 2014 11:22:07 +0100 Subject: [Postfixbuch-users] Postfix soll Emails nicht Rejecten, sondern eine Bounce-Nachricht generieren In-Reply-To: <5493DA17.5030509@synchron-is.de> References: <5492D76C.6050304@synchron-is.de> <006901d01afc$27b887f0$772997d0$@fblan.de> <5493DA17.5030509@synchron-is.de> Message-ID: <008501d01b75$a53ebc20$efbc3460$@fblan.de> Im Auftrag von Thorsten Leiser > Guten Morgen Uwe, > > grundsätzlich bin ich auch ein Freund der Ursachenbekämpfung, jedoch ist > mit der Anschaffung des Output-Systems das Kind bereits in den Brunnen > gefallen und den Datenstamm mit den falschen Email-Adressen zu > bereinigen, scheint bei den Verantwortlichen nicht das Mittel der Wahl > zu sein. Deswegen dieser Weg. Tja dann lass postfix weiter rejecten wenn der leidensdruck bei den Verantwortlichen steigt dann tun die was dagegen. Ich habe DEIN Problem damit noch nicht ganz verstanden. Hauptsache es gehen keine falschen Mailadressen raus. > > Anbei der Output von postconf -n > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no ^^^^^^^^^^^^^^ Das könnte was sein um falsche Mailadressen per catchall auf ein bestimmtes Postfach auszuwerfen > biff = no > broken_sasl_auth_clients = yes > canonical_classes = envelope_sender > canonical_maps = hash:/etc/postfix/canonical Sorry für was brauchst du connical?? Take a Look at http://www.postfix.org/postconf.5.html > relayhost = > smtp_helo_name = mailsrv-linux.scharrnet-invoice.de > smtpd_banner = mailsrv-linux.scharrnet-invoice.de ESMTP > smtpd_delay_reject = yes Ist standard brauchste nicht eintragen > smtpd_recipient_restrictions = permit_sasl_authenticated, > permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender, > reject_unknown_sender_domain, reject_invalid_helo_hostname, > reject_non_fqdn_helo_hostname, check_helo_access In diesem Block hast du alles versteckt warum postfix rejectet Ich nehme mal an das das oputputsystem sich nicht sasl_authenticated > pcre:/etc/postfix/helo_checks.pcre > smtpd_restriction_classes = submission_recipient_restrictions > smtpd_sasl_auth_enable = yes > smtpd_sasl_local_domain = $myorigin > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous > smtpd_sasl_type = dovecot > smtpd_sender_login_maps = ldap:/etc/postfix/login.cf > smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch > smtpd_tls_cert_file = /etc/postfix/sasl/postfix.pem > smtpd_tls_key_file = /etc/postfix/sasl/postfix.pem > smtpd_use_tls = yes > strict_rfc821_envelopes = yes > submission_recipient_restrictions = reject_non_fqdn_sender, > reject_non_fqdn_recipient, permit_sasl_authenticated, > permit_mynetworks, hier nochmal nach den Restriktionen schauen du hast in deinen Restriktionen ja drinstehen das Postfix die falschen Adressen rejecten soll :-)) ich würde eine eigene IP nur für diesen Output benutzen, bzw. evtl. sogar eine eigene virtuelle Maschine welche dann über den "offiziellen" Mailserver relayt an deiner Stelle würde ich eher das Log greppen und alles was an Fehler vorkommt gegen die eingesetzte Database werfen um die "faulen Adressen" rauszubekommen. Den reject würde ich drin lassen denn so ist es richtig wie es Postfix macht Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Ralf.Hildebrandt at charite.de Fri Dec 19 11:40:01 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 19 Dec 2014 11:40:01 +0100 Subject: [Postfixbuch-users] Postfix soll Emails nicht Rejecten, sondern eine Bounce-Nachricht generieren In-Reply-To: <5493DA17.5030509@synchron-is.de> References: <5492D76C.6050304@synchron-is.de> <006901d01afc$27b887f0$772997d0$@fblan.de> <5493DA17.5030509@synchron-is.de> Message-ID: <20141219104001.GE26899@charite.de> * Thorsten Leiser : > grundsätzlich bin ich auch ein Freund der Ursachenbekämpfung, jedoch ist > mit der Anschaffung des Output-Systems das Kind bereits in den Brunnen > gefallen und den Datenstamm mit den falschen Email-Adressen zu > bereinigen, scheint bei den Verantwortlichen nicht das Mittel der Wahl > zu sein. Deswegen dieser Weg. Einfach mal den Kaffee vergiften. Die eizige ECHTE Lösung ist es, die kaputten Adressen mit einem SMTP command Filter zu "korrigieren". smtpd_command_filter = pcre:/etc/postfix/fix_broken_clients.pcre mit /^RCPT TO:.*kaputteadress at w..stenrot\.de/ RCPT TO: Das ist extrem viel Handarbeit. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From driessen at fblan.de Fri Dec 19 12:16:04 2014 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 19 Dec 2014 12:16:04 +0100 Subject: [Postfixbuch-users] Postfix soll Emails nicht Rejecten, sondern eine Bounce-Nachricht generieren In-Reply-To: <20141219104001.GE26899@charite.de> References: <5492D76C.6050304@synchron-is.de> <006901d01afc$27b887f0$772997d0$@fblan.de> <5493DA17.5030509@synchron-is.de> <20141219104001.GE26899@charite.de> Message-ID: <008901d01b7d$2e750fb0$8b5f2f10$@fblan.de> Im Auftrag von Ralf Hildebrandt > > * Thorsten Leiser : > > > grundsätzlich bin ich auch ein Freund der Ursachenbekämpfung, jedoch ist > > mit der Anschaffung des Output-Systems das Kind bereits in den Brunnen > > gefallen und den Datenstamm mit den falschen Email-Adressen zu > > bereinigen, scheint bei den Verantwortlichen nicht das Mittel der Wahl > > zu sein. Deswegen dieser Weg. > > Einfach mal den Kaffee vergiften. Ich weiß wo da der grüne Knollenblätterpilz wächst :-)) 2 g zur Verfügung stellt > > Die eizige ECHTE Lösung ist es, die kaputten Adressen mit einem SMTP > command Filter zu "korrigieren". > > smtpd_command_filter = pcre:/etc/postfix/fix_broken_clients.pcre > > mit > > /^RCPT TO:.*kaputteadress at w..stenrot\.de/ RCPT > TO: > > Das ist extrem viel Handarbeit. Oder auch nur ein einzeiler "grep "suchmuster" mail.log |cut -d":" -f.... >kaputte mailadressen grep "fehler-reject" mail.log |awk '{split($0, a, "trenner1");split(a[2], b, "trenner2");print(b[1])}' |sort|uniq > fix_broken_clients.pcre alle Stunde rennen lassen irgendwann hat man alle kaputten in einer liste für den nächsten Versand oder auch umgeleitet an den/die verantwortlichen zur "HÄNDISCHEN" Korrektur damit die es lernen würde ich den weg eher gehen :-) auf die Frage ob das anders geht käme die Antwort 'selbstverständlich geht das auch anders aber da müssen wir einen Programmierer mit beauftragen und der braucht da 3 Tage für. Und sie wissen ja wie teuer Programmierer sind.' Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From stickybit at myhm.de Fri Dec 19 21:06:51 2014 From: stickybit at myhm.de (Andre) Date: Fri, 19 Dec 2014 21:06:51 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Beschr=C3=A4nkung_f=C3=BCr_virtual?= =?utf-8?q?=5Falias=5Fmaps?= Message-ID: <5494855B.7020809@myhm.de> Hallo Zusammen, wir nutzen virtual_alias_maps als MySQL-Tabelle, in der die Weiterleitungen gespeichert werden. Mehrere Zieladressen haben wir bis jetzt durch Kommata angegeben. Hat bis jetzt wunderbar funktioniert. Nun haben wir vor das System etwas zu ändern. 1. Zieladressen sollen nicht mehr durch Kommata getrennt in einem Datensatz stehen, sondern es sollen mehrere Datensätze mit den Zieladressen bestehen. Tests haben funktioniert. 2. Es stellt sich die Frage, wie viele Datensätze existieren dürfen. Mit anderen Worten, an wie viele E-Mail-Adressen kann bedenkenlos weitergeleitet werden und wo sollte die Beschränkung liegen, 1k, 10k? Für Eure Ansätze hierzu wäre ich sehr dankbar. Beste Grüße Andre From steffen at gnuher.de Sun Dec 21 16:36:54 2014 From: steffen at gnuher.de (Steffen Mutter) Date: Sun, 21 Dec 2014 16:36:54 +0100 Subject: [Postfixbuch-users] =?windows-1252?q?Beschr=E4nkung_f=FCr_virtual?= =?windows-1252?q?=5Falias=5Fmaps?= In-Reply-To: <5494855B.7020809@myhm.de> References: <5494855B.7020809@myhm.de> Message-ID: <5496E916.2070900@gnuher.de> Hi Andre, Am 19.12.2014 um 21:06 schrieb Andre: > wir nutzen virtual_alias_maps als MySQL-Tabelle, in der die > Weiterleitungen gespeichert werden. Mehrere Zieladressen haben wir bis > jetzt durch Kommata angegeben. Hat bis jetzt wunderbar funktioniert. Nicht wirklich sinnvoll, wenn man eine Datenbank hat, aber möglich. > Nun haben wir vor das System etwas zu ändern. > > 1. Zieladressen sollen nicht mehr durch Kommata getrennt in einem > Datensatz stehen, sondern es sollen mehrere Datensätze mit den > Zieladressen bestehen. Tests haben funktioniert. Kann ich nur bestätigen, ist bei mir schon seit einigen Jahren in Betrieb. Allerdings mit SQLite. Ist für mich die ideale Datenbank für solche Sachen, da das Backup ein einfacher Kopierbefehl ist und man sich mit der Benutzerauthentifizierung nicht rumärgern muss. > 2. Es stellt sich die Frage, wie viele Datensätze existieren dürfen. > Mit anderen Worten, an wie viele E-Mail-Adressen kann bedenkenlos > weitergeleitet werden und wo sollte die Beschränkung liegen, 1k, 10k? Der Datenbank ist das prinzipiell egal und Postfix auch. Für einen Query mit mehreren 10.000 Empfängern in einer Datenbank mit >1 Mio Datensätzen braucht eine SQLite Datenbank ein paar Millisekunden um seine Ergebnisse an Dovecot/Postfix zu übermitteln. In meinem Fall ist das so, dass die Sammeladresse irgendwer at irgendwo.net nach Einträgen sucht, die ihrerseits von empfang at irgendwo.net auf gehtan at externeadresse.dort umgeschrieben wird. Was allerdings (mir) echte Probleme bereitet hat, ist das Verhalten von manchen E-Mailprovidern die Sammelemailadressen mit Empfängerumschreibung grundsätzlich SPAM gleichsetzen, auch wenn der Absender NICHT umgeschrieben wird. Hilfreich war hier SPF, DKIM und SRS, was aber nicht ganz trivial einzurichten ist (wie ich finde) da SRS bei Debian nicht in Paketen verfügbar ist und man sich da was eigenes zusammenbasteln muss. > Für Eure Ansätze hierzu wäre ich sehr dankbar. Just do it. SMut From stickybit at myhm.de Sun Dec 21 20:44:39 2014 From: stickybit at myhm.de (Andre) Date: Sun, 21 Dec 2014 20:44:39 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Beschr=C3=A4nkung_f=C3=BCr_virtual?= =?utf-8?q?=5Falias=5Fmaps?= In-Reply-To: <5496E916.2070900@gnuher.de> References: <5494855B.7020809@myhm.de> <5496E916.2070900@gnuher.de> Message-ID: <54972327.8000500@myhm.de> Hallo Steffen, danke für Deine Antwort. > Nicht wirklich sinnvoll, wenn man eine Datenbank hat, aber möglich. Doch, wenn man nur eine E-Mail-Adresse im Feld stehen hat. So war es lange Zeit der Fall bei uns. Dann haben wir mehrere zugelassen, <10. > Was allerdings (mir) echte Probleme bereitet hat, ist das Verhalten von manchen E-Mailprovidern die Sammelemailadressen mit Empfängerumschreibung grundsätzlich SPAM gleichsetzen, auch wenn der Absender NICHT umgeschrieben wird. Das verstehe ich nicht. Wenn die Empfänger-Adresse umgeschrieben wurde, "weiß" doch der Zielserver nicht mehr, dass die Mail an die Sammeladresse ging, oder? Gruß Andre From siefke_listen at web.de Tue Dec 23 00:53:00 2014 From: siefke_listen at web.de (siefke_listen at web.de) Date: Tue, 23 Dec 2014 00:53:00 +0100 Subject: [Postfixbuch-users] hold: header Received: Message-ID: <20141223005300.200e852d334a29280208b002@web.de> Hallo, ich versuche gerade ein paar Änderungen an Postfix vorzunehmen. Das Ziel ist der Einsatz von postscreen und die smtpd_restriction_classes. Jetzt möchte ich gerne den Port 587 zur Einlieferung von Emails nutzen, aber irgendwie erhalte ich nur den folgenden logeintrag: Dec 23 00:45:43 ks3374456 postfix/cleanup[30499]: 2F21124090A: hold: header Received: from gentoomobile.silviosiefke.de (unknown [46.114.32.186])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(Client did not present a certificate)??by ks3374456.kimsufi.com ( from unknown[46.114.32.186]; from= to= proto=ESMTP helo= Die Emails kommen nicht an, was ja klar ist bei hold message. Aber ich verstehe nicht woran das liegt. Über Port 25 und starttls läuft es ohne Probleme. Hat hier jemand Rat? Vorschläge? Mfg Silvio ks3374456 postfix # postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix disable_vrfy_command = yes header_checks = regexp:/etc/postfix/header_checks home_mailbox = Maildir/ html_directory = no inet_interfaces = all inet_protocols = all mail_owner = postfix mailbox_size_limit = 0 mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_domains = mydestination = $myhostname, localhost myhostname = ks3374456.kimsufi.com mynetworks = 127.0.0.1, 10.8.0.1 mynetworks_style = subnet myorigin = $myhostname newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = no recipient_delimiter = + sample_directory = /etc/postfix sendmail_path = /usr/sbin/sendmail setgid_group = postdrop smtp_tls_CAfile = /etc/postfix/key/sub.class1.server.ca.pem smtp_tls_cert_file = /etc/postfix/key/mail_silviosiefke_com.crt smtp_tls_key_file = /etc/postfix/key/mail_silviosiefke_com.key smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP smtpd_helo_required = yes smtpd_proxy_timeout = 3600s smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, permit_mynetworks, reject_unlisted_sender, permit_sasl_authenticated, reject_unauth_pipelining check_helo_access pcre:/etc/postfix/helo_checks.pcre, check_sender_access hash:/etc/postfix/blacklist, check_policy_service unix:private/policyd-spf, check_policy_service unix:private/postgrey, permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, permit_mynetworks, reject_unlisted_sender, permit_sasl_authenticated, reject_unauth_pipelining smtpd_timeout = 3600s smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_ask_ccert = yes smtpd_tls_cert_file = /etc/postfix/key/mail.silviosiefke.com.crt smtpd_tls_dh1024_param_file = /etc/postfix/key/dh_1024.pem smtpd_tls_dh512_param_file = /etc/postfix/key//dh_512.pem smtpd_tls_eecdh_grade = strong smtpd_tls_key_file = /etc/postfix/key/mail_silviosiefke_com.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache smtpd_use_tls = yes tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA tls_random_source = dev:/dev/urandom virtual_alias_maps = hash:/etc/postfix/virtual virtual_gid_maps = static:5000 virtual_mailbox_base = /var/vmail virtual_mailbox_domains = /etc/postfix/vhost virtual_mailbox_maps = hash:/etc/postfix/vmaps virtual_minimum_uid = 100 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:5000 postconf: warning: /etc/postfix/main.cf: unused parameter: policy-spf_time_limit=3600s postconf: warning: /etc/postfix/master.cf: unused parameter: content_filer= ks3374456 postfix # cat master.cf smtp inet n - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o smtpd_proxy_timeout=180s amavis unix - - n - 6 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks submission inet n - n - - smtpd -o smtpd_etrn_restrictions=reject -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth -o smtpd_sasl_auth_enable=yes -o smtpd_reject_unlisted_sender=yes -o smtpd_sender_restrictions=reject_unknown_address,reject_unknown_sender_domain -o smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_sasl_authenticated,reject smtps inet n - n - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_reject_unlisted_recipient=yes -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject pickup unix n - n 60 1 pickup -o content_filer= -o receive_override_options=no_header_body_checks cleanup unix n - n - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp -o fallback_relay= showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache policyd-spf unix - n n - 0 spawn user=nobody argv=/usr/bin/python2 /usr/bin/policyd-spf From ae at ae-online.de Tue Dec 23 06:50:27 2014 From: ae at ae-online.de (Andreas Ernst) Date: Tue, 23 Dec 2014 06:50:27 +0100 Subject: [Postfixbuch-users] hold: header Received: In-Reply-To: <20141223005300.200e852d334a29280208b002@web.de> References: <20141223005300.200e852d334a29280208b002@web.de> Message-ID: <549902A3.6@ae-online.de> Am 23.12.14 um 00:53 schrieb siefke_listen at web.de: > Hallo, > > ich versuche gerade ein paar Änderungen an Postfix vorzunehmen. Das Ziel > ist der Einsatz von postscreen und die smtpd_restriction_classes. Jetzt > möchte ich gerne den Port 587 zur Einlieferung von Emails nutzen, aber > irgendwie erhalte ich nur den folgenden logeintrag: > > Dec 23 00:45:43 ks3374456 postfix/cleanup[30499]: 2F21124090A: hold: header Received: from gentoomobile.silviosiefke.de (unknown [46.114.32.186])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(Client did not present a certificate)??by ks3374456.kimsufi.com ( from unknown[46.114.32.186]; from= to= proto=ESMTP helo= > > Die Emails kommen nicht an, was ja klar ist bei hold message. Aber ich > verstehe nicht woran das liegt. Über Port 25 und starttls läuft es ohne > Probleme. Hat hier jemand Rat? Vorschläge? [...] > submission inet n - n - - smtpd > -o smtpd_etrn_restrictions=reject > -o smtpd_sasl_type=dovecot > -o smtpd_sasl_path=private/auth > -o smtpd_sasl_auth_enable=yes > -o smtpd_reject_unlisted_sender=yes > -o smtpd_sender_restrictions=reject_unknown_address,reject_unknown_sender_domain > -o smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_sasl_authenticated,reject Dovecot config? -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de | www.ae-online.de www.tachyon-online.de From postfixbuch at famre.de Tue Dec 23 08:30:39 2014 From: postfixbuch at famre.de (Michael Reincke) Date: Tue, 23 Dec 2014 08:30:39 +0100 Subject: [Postfixbuch-users] hold: header Received: In-Reply-To: <20141223005300.200e852d334a29280208b002@web.de> References: <20141223005300.200e852d334a29280208b002@web.de> Message-ID: <22D6130B-16CA-4920-8E59-6D98554910E6@famre.de> Hallo, das Problem ist Option smtpd_tls_ask_ccert. Versuche es einmal mit " smtpd_tls_ask_ccert=no". smtpd_use_tls ist obsolet. Du musst z.B. "smtpd_tls_security_level=may" setzen. Gruß Michael Reincke Am 23. Dezember 2014 00:53:00 MEZ, schrieb "siefke_listen at web.de" : >Hallo, > >ich versuche gerade ein paar Änderungen an Postfix vorzunehmen. Das >Ziel >ist der Einsatz von postscreen und die smtpd_restriction_classes. Jetzt >möchte ich gerne den Port 587 zur Einlieferung von Emails nutzen, aber >irgendwie erhalte ich nur den folgenden logeintrag: > >Dec 23 00:45:43 ks3374456 postfix/cleanup[30499]: 2F21124090A: hold: >header Received: from gentoomobile.silviosiefke.de (unknown >[46.114.32.186])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA >(256/256 bits))??(Client did not present a certificate)??by >ks3374456.kimsufi.com ( from unknown[46.114.32.186]; >from= to= >proto=ESMTP helo= > >Die Emails kommen nicht an, was ja klar ist bei hold message. Aber ich >verstehe nicht woran das liegt. Über Port 25 und starttls läuft es ohne >Probleme. Hat hier jemand Rat? Vorschläge? > >Mfg >Silvio > >ks3374456 postfix # postconf -n >alias_database = hash:/etc/aliases >alias_maps = hash:/etc/aliases >append_dot_mydomain = no >biff = no >broken_sasl_auth_clients = yes >command_directory = /usr/sbin >config_directory = /etc/postfix >daemon_directory = /usr/libexec/postfix >data_directory = /var/lib/postfix >disable_vrfy_command = yes >header_checks = regexp:/etc/postfix/header_checks >home_mailbox = Maildir/ >html_directory = no >inet_interfaces = all >inet_protocols = all >mail_owner = postfix >mailbox_size_limit = 0 >mailq_path = /usr/bin/mailq >manpage_directory = /usr/share/man >masquerade_domains = >mydestination = $myhostname, localhost >myhostname = ks3374456.kimsufi.com >mynetworks = 127.0.0.1, 10.8.0.1 >mynetworks_style = subnet >myorigin = $myhostname >newaliases_path = /usr/bin/newaliases >queue_directory = /var/spool/postfix >readme_directory = no >recipient_delimiter = + >sample_directory = /etc/postfix >sendmail_path = /usr/sbin/sendmail >setgid_group = postdrop >smtp_tls_CAfile = /etc/postfix/key/sub.class1.server.ca.pem >smtp_tls_cert_file = /etc/postfix/key/mail_silviosiefke_com.crt >smtp_tls_key_file = /etc/postfix/key/mail_silviosiefke_com.key >smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache >smtp_use_tls = yes >smtpd_banner = $myhostname ESMTP >smtpd_helo_required = yes >smtpd_proxy_timeout = 3600s >smtpd_recipient_restrictions = reject_unknown_sender_domain, >reject_non_fqdn_sender, permit_mynetworks, reject_unlisted_sender, >permit_sasl_authenticated, reject_unauth_pipelining check_helo_access >pcre:/etc/postfix/helo_checks.pcre, check_sender_access >hash:/etc/postfix/blacklist, check_policy_service >unix:private/policyd-spf, check_policy_service unix:private/postgrey, >permit >smtpd_sasl_auth_enable = yes >smtpd_sasl_path = private/auth >smtpd_sasl_type = dovecot >smtpd_sender_restrictions = reject_unknown_sender_domain, >reject_non_fqdn_sender, permit_mynetworks, reject_unlisted_sender, >permit_sasl_authenticated, reject_unauth_pipelining >smtpd_timeout = 3600s >smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt >smtpd_tls_ask_ccert = yes >smtpd_tls_cert_file = /etc/postfix/key/mail.silviosiefke.com.crt >smtpd_tls_dh1024_param_file = /etc/postfix/key/dh_1024.pem >smtpd_tls_dh512_param_file = /etc/postfix/key//dh_512.pem >smtpd_tls_eecdh_grade = strong >smtpd_tls_key_file = /etc/postfix/key/mail_silviosiefke_com.key >smtpd_tls_loglevel = 1 >smtpd_tls_mandatory_ciphers = high >smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 >smtpd_tls_received_header = yes >smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache >smtpd_use_tls = yes >tls_high_cipherlist = >EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA >tls_random_source = dev:/dev/urandom >virtual_alias_maps = hash:/etc/postfix/virtual >virtual_gid_maps = static:5000 >virtual_mailbox_base = /var/vmail >virtual_mailbox_domains = /etc/postfix/vhost >virtual_mailbox_maps = hash:/etc/postfix/vmaps >virtual_minimum_uid = 100 >virtual_transport = lmtp:unix:private/dovecot-lmtp >virtual_uid_maps = static:5000 >postconf: warning: /etc/postfix/main.cf: unused parameter: >policy-spf_time_limit=3600s >postconf: warning: /etc/postfix/master.cf: unused parameter: >content_filer= > >ks3374456 postfix # cat master.cf >smtp inet n - n - - smtpd > -o smtpd_proxy_filter=127.0.0.1:10024 > -o smtpd_proxy_timeout=180s > >amavis unix - - n - 6 smtp > -o smtp_data_done_timeout=1200 > -o smtp_send_xforward_command=yes > -o disable_dns_lookups=yes > -o max_use=20 > >127.0.0.1:10025 inet n - - - - smtpd > -o content_filter= > -o local_recipient_maps= > -o relay_recipient_maps= > -o smtpd_restriction_classes= > -o smtpd_delay_reject=no > -o smtpd_client_restrictions=permit_mynetworks,reject > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions=reject_unauth_pipelining > -o smtpd_end_of_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o smtpd_error_sleep_time=0 > -o smtpd_soft_error_limit=1001 > -o smtpd_hard_error_limit=1000 > -o smtpd_client_connection_count_limit=0 > -o smtpd_client_connection_rate_limit=0 >-o >receive_override_options=no_header_body_checks,no_unknown_recipient_checks > > >submission inet n - n - - smtpd > -o smtpd_etrn_restrictions=reject > -o smtpd_sasl_type=dovecot > -o smtpd_sasl_path=private/auth > -o smtpd_sasl_auth_enable=yes > -o smtpd_reject_unlisted_sender=yes >-o >smtpd_sender_restrictions=reject_unknown_address,reject_unknown_sender_domain >-o >smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_sasl_authenticated,reject > > >smtps inet n - n - - smtpd > -o syslog_name=postfix/smtps > -o smtpd_tls_wrappermode=yes > -o smtpd_sasl_auth_enable=yes > -o smtpd_reject_unlisted_recipient=yes > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > >pickup unix n - n 60 1 pickup > -o content_filer= > -o receive_override_options=no_header_body_checks > >cleanup unix n - n - 0 cleanup >qmgr unix n - n 300 1 qmgr >tlsmgr unix - - n 1000? 1 tlsmgr >rewrite unix - - n - - trivial-rewrite >bounce unix - - n - 0 bounce >defer unix - - n - 0 bounce >trace unix - - n - 0 bounce >verify unix - - n - 1 verify >flush unix n - n 1000? 0 flush >proxymap unix - - n - - proxymap >proxywrite unix - - n - 1 proxymap >smtp unix - - n - - smtp >relay unix - - n - - smtp > -o fallback_relay= >showq unix n - n - - showq >error unix - - n - - error >retry unix - - n - - error >discard unix - - n - - discard >local unix - n n - - local >virtual unix - n n - - virtual >lmtp unix - - n - - lmtp >anvil unix - - n - 1 anvil >scache unix - - n - 1 scache > >policyd-spf unix - n n - 0 spawn > user=nobody argv=/usr/bin/python2 /usr/bin/policyd-spf > >-- >_______________________________________________ >Postfixbuch-users -- http://www.postfixbuch.de >Heinlein Professional Linux Support GmbH > >Postfixbuch-users at listen.jpberlin.de >https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Michael Reincke -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From siefke_listen at web.de Tue Dec 23 10:26:04 2014 From: siefke_listen at web.de (siefke_listen at web.de) Date: Tue, 23 Dec 2014 10:26:04 +0100 Subject: [Postfixbuch-users] hold: header Received: In-Reply-To: <549902A3.6@ae-online.de> References: <20141223005300.200e852d334a29280208b002@web.de> <549902A3.6@ae-online.de> Message-ID: <20141223102604.ee8f5040ef03b84b06b994da@web.de> On Tue, 23 Dec 2014 06:50:27 +0100 Andreas Ernst wrote: > Dovecot config? Ich habe den Fehler gefunden. Es waren die Header Checks, warum das weiß ich allerdings nicht. /^Received:/ HOLD /^Subject: =?big5?/ REJECT Chinese encoding not accepted by this server /^Subject: =?EUC-KR?/ REJECT Korean encoding not allowed by this server /^Subject: ADV:/ REJECT Advertisements not accepted by this server /^Subject: =?Windows-1251?/ REJECT Russian encoding not allowed by this server /^Subject: =\?KOI8-R\?/ REJECT Russian encoding not allowed by this server /^Subject:.*=\?(big5|euc-kr|gb2312|ks_c_5601-1987)\?/ REJECT Language not accepted by this server as it is probably spam /[^[:print:]]{8}/ REJECT Sorry, ascii characters only permitted by this server /^From:.*\@.*\.cn/ REJECT Sorry, Chinese mail not allowed here /^From:.*\@.*\.kr/ REJECT Sorry, Korean mail not allowed here /^From:.*\@.*\.tr/ REJECT Sorry, Turkish mail not allowed here /^From:.*\@.*\.ru/ REJECT Sorry, Russian mail not allowed here /^From:.*\@.*\.ro/ REJECT Sorry, Romanian mail not allowed here /^(To|From|Cc|Reply-To):.*@optonline/ REJECT Sorry, your message is probably spam /^From:.*\@.*\.mx/ REJECT Sorry, Mexican mail is not allowed here. /^From:.*\@.*\.br/ REJECT Sorry, Brasil mail is not allowed here. /^From:.*\@.*\.il/ REJECT Sorry, Israel mail is not allowed here. /^From:.*\@.*\.ar/ REJECT Sorry, Argentina mail is not allowed here. /^From:.*\@.*\.pt/ REJECT Sorry, Pourtugese mail is not allowed here. Warum wird eine Mail von mir dann gehalten? Soweit es mir bewusst ist, dürfte keine der Regel zu treffen, oder ist die Header checks falsch eingebunden? Mfg From postfixbuch at famre.de Tue Dec 23 10:42:32 2014 From: postfixbuch at famre.de (Michael Reincke) Date: Tue, 23 Dec 2014 10:42:32 +0100 Subject: [Postfixbuch-users] hold: header Received: In-Reply-To: <20141223102604.ee8f5040ef03b84b06b994da@web.de> References: <20141223005300.200e852d334a29280208b002@web.de> <549902A3.6@ae-online.de> <20141223102604.ee8f5040ef03b84b06b994da@web.de> Message-ID: <502B0512-B1E9-4C0D-BB56-B7FA623B12A7@famre.de> Hallo, gleich die erste Regel deiner Header Checks greift bei jeder Mail. Trotzdem sind deine TLS Optionen noch zu optimieren. Gruß Michael Reincke Am 23. Dezember 2014 10:26:04 MEZ, schrieb "siefke_listen at web.de" : >On Tue, 23 Dec 2014 06:50:27 +0100 Andreas Ernst >wrote: > > >> Dovecot config? > >Ich habe den Fehler gefunden. Es waren die Header Checks, warum das >weiß >ich allerdings nicht. > >/^Received:/ HOLD >/^Subject: =?big5?/ REJECT Chinese encoding not accepted by this >server >/^Subject: =?EUC-KR?/ REJECT Korean encoding not allowed by this >server >/^Subject: ADV:/ REJECT Advertisements not accepted by this >server >/^Subject: =?Windows-1251?/ REJECT Russian encoding not allowed by >this server >/^Subject: =\?KOI8-R\?/ REJECT Russian encoding not allowed by this >server >/^Subject:.*=\?(big5|euc-kr|gb2312|ks_c_5601-1987)\?/ REJECT Language >not accepted by this server as it is probably spam >/[^[:print:]]{8}/ REJECT Sorry, ascii characters only permitted >by this server >/^From:.*\@.*\.cn/ REJECT Sorry, Chinese mail not allowed here >/^From:.*\@.*\.kr/ REJECT Sorry, Korean mail not allowed here >/^From:.*\@.*\.tr/ REJECT Sorry, Turkish mail not allowed here >/^From:.*\@.*\.ru/ REJECT Sorry, Russian mail not allowed here >/^From:.*\@.*\.ro/ REJECT Sorry, Romanian mail not allowed here >/^(To|From|Cc|Reply-To):.*@optonline/ REJECT Sorry, your message is >probably spam >/^From:.*\@.*\.mx/ REJECT Sorry, Mexican mail is not allowed here. >/^From:.*\@.*\.br/ REJECT Sorry, Brasil mail is not allowed here. >/^From:.*\@.*\.il/ REJECT Sorry, Israel mail is not allowed here. >/^From:.*\@.*\.ar/ REJECT Sorry, Argentina mail is not allowed >here. >/^From:.*\@.*\.pt/ REJECT Sorry, Pourtugese mail is not allowed >here. > >Warum wird eine Mail von mir dann gehalten? Soweit es mir bewusst ist, >dürfte keine der Regel zu treffen, oder ist die Header checks falsch >eingebunden? > > >Mfg >-- >_______________________________________________ >Postfixbuch-users -- http://www.postfixbuch.de >Heinlein Professional Linux Support GmbH > >Postfixbuch-users at listen.jpberlin.de >https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Tue Dec 23 15:10:09 2014 From: ffiene at veka.com (Frank Fiene) Date: Tue, 23 Dec 2014 15:10:09 +0100 Subject: [Postfixbuch-users] reject_unknown_client_hostname und reject_unknown_helo_hostname Message-ID: Ich hatte ja vor einiger Zeit diese beiden Filter in unsere Postfix-Config eingetragen. Viele der Kunden, die da ein Problem hatten, haben das verstanden un waren sehr glücklich über die Hilfe die wir ihnen gegen haben um ihre Konfiguration zu fixen. Ein paar haben das natürlich nicht eingesehen, und gerade die Geschäftsleitung in UK hat versucht, Druck auf die IT auszuüben. Merkwürdigerweise war Reverse-DNS nicht das größere Problem, aber den Hostnamen korrekt nach RFC einzustellen, anscheinend schon. Das scheint wirklich fast niemand zu überprüfen obwohl das nicht den RFCs entspricht, einen ungültigen Hostnamen im ?Helo? zu senden. Da erschienen oft .local, .example und ganz wirre Namen ohne irgendeine Domain. Lokale Konfigurationen halt, meistens Exchange, wer hätte das gedacht! ;-) Macht das reject_unknown_helo_hostname überhaupt Sinn? Dann habe ich im Nachgang auch noch ein paar nette Mailserver geblockt, die Mails mit Absendern aus unserer eigenen Domain an uns verschicken wollen (Retarus und eine brasilianische Bude, die auch Maliservices anbieten). Retarus wirbt z.B. mit Maliservices und AntiSPAM-Features, die sind schon mal unten durch bei mir. abuse und postmaster kennen die als Mailadresse gar nicht. :-( Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From steffen at gnuher.de Tue Dec 23 16:12:16 2014 From: steffen at gnuher.de (Steffen Mutter) Date: Tue, 23 Dec 2014 16:12:16 +0100 Subject: [Postfixbuch-users] reject_unknown_client_hostname und reject_unknown_helo_hostname In-Reply-To: References: Message-ID: <54998650.9060506@gnuher.de> Hi Frank, Am 23.12.2014 um 15:10 schrieb Frank Fiene: > Ich hatte ja vor einiger Zeit diese beiden Filter in unsere > Postfix-Config eingetragen. > > Viele der Kunden, die da ein Problem hatten, haben das verstanden un > waren sehr glücklich über die Hilfe die wir ihnen gegen haben um ihre > Konfiguration zu fixen. Ist ja schön, wenn die Kunden ein Einsehen haben, dass es Standards gibt an die man sich halten sollte. > > Ein paar haben das natürlich nicht eingesehen, und gerade die > Geschäftsleitung in UK hat versucht, Druck auf die IT auszuüben. > Da verkneife ich mir lieber jeden Kommentar. > Merkwürdigerweise war Reverse-DNS nicht das größere Problem, Das muss man ja bei einem Hoster nur einsetzen. > aber den Hostnamen korrekt nach RFC einzustellen, anscheinend schon. Nicht jeder MX hat so sauber durchdachte KonfigurationsTEXTdateien wie ein Postfix. > Das scheint wirklich fast niemand zu überprüfen obwohl das nicht den > RFCs entspricht, einen ungültigen Hostnamen im ?Helo? zu senden. > > Da erschienen oft .local, .example und ganz wirre Namen ohne > irgendeine Domain. Lokale Konfigurationen halt, meistens Exchange, wer > hätte das gedacht! ;-) Wenn ich einen neuen MX aufsetze lasse ich diese rejects erst einmal auskommentiert. Dass ich sie wieder in Kraft setzen sollte fällt mir meist wieder auf, wenn ich mir die SPAM und HAM Fieberkurve im Munin-Graphen anschaue und rejects sehr moderat sind :-) > > Macht das reject_unknown_helo_hostname überhaupt Sinn? Jede E-Mail deren Annahme man verweigert, weil sich der Absender _nicht an Standards_ hält ist gut. Nicht gut ist Mails zu rejecten, die absolut in Ordnung sind, wie das größere ISPs machen. Ein Greylisting ist noch immer eine sehr gute AntiSPAM Maßnahme gegen DIAL-ups und Blocklists gegen OpenRelays. Egal, was die geneigte Kundschaft sagt: wenn sie das nicht _Standardkonform_ hin bekommen müssen sie jemanden Beauftragen, der das hin bekommt, vorzugsweise einen Vertrag machen, dass man ihnen einen Mailserver aufsetzt und wartet. Dann hat die Geschäftsleitung wenigstens einen Grund zum Meckern, wenn man in Lohn und Brot steht und etwas nicht funktioniert. Aber wegen etwas rumzumösern, das man selbst verbockt hat ist echt erste Sahne. > > Dann habe ich im Nachgang auch noch ein paar nette Mailserver > geblockt, die Mails mit Absendern aus unserer eigenen Domain an uns > verschicken wollen (Retarus und eine brasilianische Bude, die auch > Maliservices anbieten). SPF und DKIM sind hier hervorragende Hilfsmittel, auch wenn manche ISPs (ich zeige nun bewusst mit dem DICKEN Finger auf die Telekom und T-Online) anscheinend noch nicht das System verstanden haben, das dahinter steht. Die Rejecten nämlich Mails von mir, die von MEINEM Mailserver angenommen werden, der für die Sammelemailadressen zuständig ist, einen SPF und DKIM Eintrag hat, und SRS Umschreibungen im Header vornimmt. > Retarus wirbt z.B. mit Maliservices und AntiSPAM-Features, die sind > schon mal unten durch bei mir. abuse und postmaster kennen die als > Mailadresse gar nicht. :-( Die Telekom hat mir auf meine Frage geantwortet, warum sie meine Mails blocken: Laut ihren Richtlinien ist in dem Fall meiner Mails an Sammeladressen das Ablehnen als SPAM in Ordnung. Äh? Da fällt einem echt nichts mehr ein, ich habe denen dann noch einmal eine sehr unfreundliche Mail geschrieben, da hat man mir nicht mehr darauf geantwortet, in denen ich was von Standards und richtigem indizieren von SPAM erzählt habe. Allerdings nimmt nun die Telekom die Mails an... Gruß und schöne Feiertage, SMut -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From siefke_listen at web.de Wed Dec 24 13:45:00 2014 From: siefke_listen at web.de (siefke_listen at web.de) Date: Wed, 24 Dec 2014 13:45:00 +0100 Subject: [Postfixbuch-users] hold: header Received: In-Reply-To: <22D6130B-16CA-4920-8E59-6D98554910E6@famre.de> References: <20141223005300.200e852d334a29280208b002@web.de> <22D6130B-16CA-4920-8E59-6D98554910E6@famre.de> Message-ID: <20141224134500.9656b3ba9b00730b000b5d63@web.de> On Tue, 23 Dec 2014 08:30:39 +0100 Michael Reincke wrote: > das Problem ist Option smtpd_tls_ask_ccert. Versuche es einmal mit " > smtpd_tls_ask_ccert=no". smtpd_use_tls ist obsolet. Du musst z.B. > "smtpd_tls_security_level=may" setzen. Okay danke das habe ich geändert. Gibt es noch etwas zu ändern? Mfg & Danke Silvio