From postfixer99 at gmail.com Sat Feb 1 11:38:52 2014 From: postfixer99 at gmail.com (Carsten) Date: Sat, 01 Feb 2014 11:38:52 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52EC0F31.9040206@karukera.felix-friedrich.de> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> Message-ID: <52ECCEBC.7080803@gmail.com> Am 31.01.2014 22:01, schrieb Felix Friedrich: > Ich konnte das Problem mit einem entsprechenden SPF Record beheben. Auch bei mir sind nur sporadisch Mails abgewiesen worden. > > Felix > Aber auf den SPF Record habe ich als Admin des weiterleitenden Servers doch keinen Einfluss. Angenommen XING schreibt eine Mail an postfach at mein-server.de und ich leite es weiter an empfaenger at gmail.com. Xing schreibt per SPF vor, dass nur der Xing-Mailserver die Mail versenden darf. xing.com TXT "v=spf1 ip4:109.233.152.64/26 ip4:109.233.156.64/26 ip4:84.17.184.240/28 ip4:212.1.42.40/32 ip4:212.1.42.35/32 ip4:193.201.168.27/32 ip4:195.140.184.0/22 ip4:91.192.40.0/22 ip4:85.214.109.239/32 ip4:217.68.2.209/32 mx ~all " Wenn ich diese dann an Google weiterleite, wirft Google mir Adressfälschung vor. Da habe ich doch keinen Einfluss drauf, egal welche SPF-Records ich setze. Ich gehe mal davon aus, dass Google sich dieser Problematik bewusst ist, und kein harttes Bouncen in Betracht zieht, da es dann zu viele Leute treffen würde, allerdings ein temporäres Einlieferverbot als Erziehungsmaßnahme in Betracht zieht?! Grüße Carsten From p.heinlein at heinlein-support.de Sat Feb 1 13:46:04 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 01 Feb 2014 13:46:04 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52ECCEBC.7080803@gmail.com> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> Message-ID: <52ECEC8C.1030307@heinlein-support.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 01.02.2014 11:38, schrieb Carsten: > Xing schreibt per SPF vor, dass nur der Xing-Mailserver die Mail > versenden darf. Also zunächst mal: Xing schreibt NICHT vor, daß nur XING-Mailserver das versenden dürfen. Das wäre "-all". Hier steht aber "~all", was ein "SOLLTEN nicht versende", also ein sehr, sehr weiches Nein. Sagen wir mal sorum: Die Records von XING sind mir nicht ganz unbekannt. Und bekanntermaßen halte ich ein "-all" für Unsinn. :-) > Wenn ich diese dann an Google weiterleite, wirft Google mir > Adressfälschung vor. Da habe ich doch keinen Einfluss drauf, egal > welche SPF-Records ich setze. Richtig. Wenn der Absender sagt, daß niemand sonst seinen Kram versenden will, dann ist das ein klares Statement des Absenders. > Ich gehe mal davon aus, dass Google sich dieser Problematik bewusst > ist, und kein harttes Bouncen in Betracht zieht, da es dann zu > viele Leute treffen würde, Wieso denn Google? Wenn DER ABSENDER festlegt, daß niemand anders Mails dieser Domain versenden darf, dann ist es doch nicht Sache des Empfängers sich hier einen Kopf drum zu machen und das zu ignorieren. DEM ABSENDER müßte hier die Problematik bewußt sein und wenn er "-all" setzt, dann WILL er ein hartes Bouncen, auch und gerade wenn das viele Leute trifft. Ich verstehe immer gar nicht, wie ständig dem Weiterleiter oder dem Empfänger irgendwie versucht wird was unterzuschieben, was DER ABSENDER genau so und willentlich festgelegt und zu verantworten hat. Wenn die Mail bounct, dann ist das "WORKS AS EXPECTED". Peer - -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJS7OyMAAoJEAOLLpq5E82HZWkH/2ZUOw7+oUzA4ZNRN7kv0w+j c1NA90rceYjNcBlBmp1Qjc5qr3ToBOEXsWQS6JpE0axNZmDU1Ty5Sgc6YYFKtUgJ ZxHx4pgkzjyYaWHi51Y3LerfIvVOkBt8xOGS3KNiYchenQ4aCapwFpIcHnWS9GkN vZuH/ajLvR/Yvv6bidnbktKnj1+Y9Dt9NpPreQ5MJjNmEx6rESSdrqMTGuHjZuNe KFeKmkEh1kEmlHoXEFJCNcM0mF1ADXZ9RLj2OftsnBvEUmuz4lh1gR752dLyqgG8 LsvdiP2l0rL3Z58gqg107vlWfuMDJfi/wXML+Qt9wRiQbc3MvHUpEMYXBIP6Ym4= =tRi5 -----END PGP SIGNATURE----- From postfixer99 at gmail.com Sat Feb 1 18:48:04 2014 From: postfixer99 at gmail.com (Carsten) Date: Sat, 01 Feb 2014 18:48:04 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52ECEC8C.1030307@heinlein-support.de> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> <52ECEC8C.1030307@heinlein-support.de> Message-ID: <52ED3354.9060502@gmail.com> > Also zunächst mal: Xing schreibt NICHT vor, daß nur XING-Mailserver > das versenden dürfen. Das wäre "-all". Hier steht aber "~all", was ein > "SOLLTEN nicht versende", also ein sehr, sehr weiches Nein. Du hast Recht, Peer, das war ein doofes Beispiel von mir ;-) > Wieso denn Google? Es geht um Google (siehe mein erster Post zu diesem Thema), weil Google Mails meines Servers nur noch nach starker Verzögerungszeit akzeptiert hat. Mich interessiert immernoch warum. Ich habe es darauf zurückgeführt, dass einige Adressen auf meinem Server nur der Weiterleitung in ein Google-Postfach dienen, und ggf. auch SPAM weiterleiten, was Google nicht gefällt und meinen Server (der nur weiterleitet) als Spammer einstuft. Nachdem ich diese Weiterleitung gelöscht habe, werden Mails von meinem Server an Google auch nicht mehr delayed. Diese ganze SPF Geschichte habe ich nur aufgegriffen, weil es vorgeschlagen wurde und ich damit ausdrücken wollte, dass ich selbst in diesem Zusammenhang keinen Einfluss auf irgendwelche SPF Records eines Dritten habe. Du hast natürlich generell vollkommen Recht, dass ein Absender selbst schuld ist, wenn er harte SPF Regeln definiert und die Weiterleitung dann nicht klappt. Aber anscheinend führt dies dazu, dass Gmail meinen Server "ein bisschen böse" findet, nicht so schlimm, um mich komplett zu blocken, aber schon durch ein delay (kein greylisting) etwas zu schikanieren versucht. Beste Grüße, Carsten From stse+postfixbuch at fsing.rootsland.net Sat Feb 1 22:11:39 2014 From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz) Date: Sat, 1 Feb 2014 22:11:39 +0100 Subject: [Postfixbuch-users] =?iso-8859-1?q?Unsere_SpamAssassin-Regeln_f?= =?iso-8859-1?q?=FCr_alle_zum_Download?= In-Reply-To: <52D85F0D.4030304@heinlein-support.de> References: <52D85F0D.4030304@heinlein-support.de> Message-ID: <20140201T221016.GA.86410.stse@fsing.rootsland.net> On Thu, Jan 16, 2014 at 11:37:01PM +0100, Peer Heinlein wrote: >http://www.heinlein-support.de/blog/news/aktuelle-spamassassin-regeln-von-heinlein-support/ Es sieht so aus, als wäre GPG jetzt verfügbar. Leider finde ich den Schlüssel nirgendswo. Könntest du den bitte veröffentlichen? error: GPG validation failed! The update downloaded successfully, but it was not signed with a trusted GPG key. Instead, it was signed with the following keys: 343F74FE Vielen Dank für deine Arbeit! Stephan -- | Stephan Seitz E-Mail: stse at fsing.rootsland.net | | Public Keys: http://fsing.rootsland.net/~stse/keys.html | -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 3641 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Mon Feb 3 12:34:10 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 3 Feb 2014 12:34:10 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Unsere_SpamAssassin-Regeln_f=C3=BCr?= =?utf-8?q?_alle_zum_Download?= In-Reply-To: <20140201T221016.GA.86410.stse@fsing.rootsland.net> References: <52D85F0D.4030304@heinlein-support.de> <20140201T221016.GA.86410.stse@fsing.rootsland.net> Message-ID: <20140203113410.GI18694@charite.de> * Stephan Seitz : > On Thu, Jan 16, 2014 at 11:37:01PM +0100, Peer Heinlein wrote: > >http://www.heinlein-support.de/blog/news/aktuelle-spamassassin-regeln-von-heinlein-support/ > > Es sieht so aus, als wäre GPG jetzt verfügbar. Leider finde ich den > Schlüssel nirgendswo. Könntest du den bitte veröffentlichen? > > error: GPG validation failed! > The update downloaded successfully, but it was not signed with a > trusted GPG key. Instead, it was signed with the following keys: > > 343F74FE Das geht mir auch so. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 198 bytes Beschreibung: Digital signature URL : From ml2013 at andreas-ziegler.de Mon Feb 3 16:36:14 2014 From: ml2013 at andreas-ziegler.de (Andreas Ziegler) Date: Mon, 03 Feb 2014 16:36:14 +0100 Subject: [Postfixbuch-users] Mal wieder was rechtliches ... In-Reply-To: References: Message-ID: <52EFB76E.1080606@andreas-ziegler.de> Hallo Frank, was würde das denn vereinfachen? Ich kenne beide Sichtweisen (AG & AN) und finde aus beiden Positionen eine Trennung von privaten und beruflichen Mails deutlich besser. Wer hat denn welchen Vorteil von einer Privatnutzung der geschäftlichen Mail-Adresse? Die Hauptargumente dagegen sind aus meiner Sicht für den AG die rechtlichen Probleme und aus AN-Sicht die Abhängigkeit vom AG sowie die fehlende Trennung ("in der Freizeit lese ich nur private Mails"). Zu deiner eigentlichen Frage: Nein, ich habe keine weiteren Links, würde mich aber sowieso eher auf das Urteil eines Fachanwalts stützen, der die spezifische Situation im betreffenden Unternehmen konkret betrachtet. Viele Grüße Andreas -------- Original-Nachricht -------- Betreff: [Postfixbuch-users] Mal wieder was rechtliches ... Von: Frank Fiene An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Datum: Donnerstag, 30. Januar 2014 20:03:27 > Das würde echt vieles vereinfachen im Umgang mit privaten Emails am > Arbeitsplatz. From ml2013 at andreas-ziegler.de Mon Feb 3 16:40:15 2014 From: ml2013 at andreas-ziegler.de (Andreas Ziegler) Date: Mon, 03 Feb 2014 16:40:15 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52ED3354.9060502@gmail.com> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> <52ECEC8C.1030307@heinlein-support.de> <52ED3354.9060502@gmail.com> Message-ID: <52EFB85F.9000904@andreas-ziegler.de> Hallo Carsten, > Nachdem ich diese Weiterleitung gelöscht habe, werden Mails von meinem > Server an Google auch nicht mehr delayed. Eine Möglichkeit wäre noch, dass du dich bemühst, mehr Spam schon auf deinem Server zu filtern, sodass weniger davon zu Google weitergeleitet wird. Viele Grüße Andreas From stse+postfixbuch at fsing.rootsland.net Mon Feb 3 16:59:24 2014 From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz) Date: Mon, 3 Feb 2014 16:59:24 +0100 Subject: [Postfixbuch-users] Mal wieder was rechtliches ... In-Reply-To: <52EFB76E.1080606@andreas-ziegler.de> References: <52EFB76E.1080606@andreas-ziegler.de> Message-ID: <20140203T165630.GA.b0882.stse@fsing.rootsland.net> On Mon, Feb 03, 2014 at 04:36:14PM +0100, Andreas Ziegler wrote: >Wer hat denn welchen Vorteil von einer Privatnutzung der geschäftlichen >Mail-Adresse? Hm, ich glaube, das Problem ist eine genaue fehlende Abgrenzung von ?Privat?. Sind Rundmails des Bowlingteams bestehend aus Mitarbeitern jetzt privat? Oder die Frage, ob man mit in die Kantine geht? Shade and sweet water! Stephan -- | Stephan Seitz E-Mail: stse at fsing.rootsland.net | | Public Keys: http://fsing.rootsland.net/~stse/keys.html | -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 3641 bytes Beschreibung: nicht verfügbar URL : From ffiene at veka.com Mon Feb 3 20:03:28 2014 From: ffiene at veka.com (Frank Fiene) Date: Mon, 3 Feb 2014 20:03:28 +0100 Subject: [Postfixbuch-users] Mal wieder was rechtliches ... In-Reply-To: <52EFB76E.1080606@andreas-ziegler.de> References: <52EFB76E.1080606@andreas-ziegler.de> Message-ID: Am 03.02.2014 um 16:36 schrieb Andreas Ziegler : > Hallo Frank, > > was würde das denn vereinfachen? Ich kenne beide Sichtweisen (AG & AN) > und finde aus beiden Positionen eine Trennung von privaten und > beruflichen Mails deutlich besser. > Wer hat denn welchen Vorteil von einer Privatnutzung der geschäftlichen > Mail-Adresse? > Die Hauptargumente dagegen sind aus meiner Sicht für den AG die > rechtlichen Probleme und aus AN-Sicht die Abhängigkeit vom AG sowie die > fehlende Trennung ("in der Freizeit lese ich nur private Mails"). Aus meiner Sicht ist das Hauptargument, dass wenn der AG nicht unter das TKG fällt, auch das damit verbundene Strafrecht des TKG inkl. der persönlichen Haftung der Admins wegfällt. Dann ist es nur noch eine Diskussion (z.B. bei regelmäßiger Löschung alter EMails bei mehrfacher Ankündigung, also konkludenter Zustimmung) ob der Admin eine arbeitsrechtliche Abmahnung riskieren will wenn er sich einer Anweisung seines Vorgesetzten widersetzt obwohl Rechtsabteilung und Fachanwalt alles für rechtlich OK befunden haben. > Zu deiner eigentlichen Frage: > Nein, ich habe keine weiteren Links, Schade. > würde mich aber sowieso eher auf > das Urteil eines Fachanwalts stützen, der die spezifische Situation im > betreffenden Unternehmen konkret betrachtet. Ja, so macht das die Rechtsabteilung und so wird das die IT-Abteilung somit auch machen, denke ich. Viele Grüße! Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From m.bitterlich at gryps-networks.de Mon Feb 3 21:59:07 2014 From: m.bitterlich at gryps-networks.de (Matthias Bitterlich) Date: Mon, 03 Feb 2014 21:59:07 +0100 Subject: [Postfixbuch-users] smtp.1und1.de und TLS Message-ID: <5007737.JAuNlDDu5a@vostro1500> Hi, kann es sein, dass 1&1 unterschiedliche "Sicherheits-Standards" verwendet - jeweils abhängig über welche Leitung der Nutzer kommt? Ich habe mit mehreren System unterschiedlichen Alters je Leitung die gleichen Ergebnisse beim Aufruf von: openssl s_client -starttls smtp -connect smtp.1und1.de:587 bzw. openssl s_client -starttls smtp -connect 212.227.15.183:587 Telekom-DSL: ------------------------------------------------------------ New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: 66996A87A548B6F1B1B1629A5265DEBA16BB3DA147A3E113867893A3D516DF8A Session-ID-ctx: Master-Key: 17F03330901530BD1EE0FDB6C0B0413380A043DD72788050D21654074913430B9CE3B07F04445A787D5503056DD56F52 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1391458843 Timeout : 300 (sec) Verify return code: 0 (ok) --- Postfix-Log: Feb 3 21:39:13 tux postfix/smtp[7101]: Trusted TLS connection established to smtp.1und1.de[212.227.15.183]:587: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Interoute-DSL: ------------------------------------------------------------ New, TLSv1/SSLv3, Cipher is AES256-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES256-SHA Session-ID: 4A1B961583A6F2425F46B455EE41EEA82383CF2963FC525A6338C132A18BC555 Session-ID-ctx: Master-Key: 994D47F1E6E286A0B5C901BB2189BE65417B738B71BE7F21C4C5A433DA5046AF7738CFA6C1B6EFE11263ADF7199D0E6F Key-Arg : None Start Time: 1391458571 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate) --- Postfix-Log: Feb 3 15:51:09 tux2 postfix/smtp[26448]: Trusted TLS connection established to smtp.1und1.de[212.227.15.183]:587: TLSv1 with cipher AES256-SHA (256/256 bits) Gruß Matthias From j_adam at web.de Tue Feb 4 01:47:16 2014 From: j_adam at web.de (Jens Adam) Date: Tue, 4 Feb 2014 01:47:16 +0100 Subject: [Postfixbuch-users] smtp.1und1.de und TLS In-Reply-To: <5007737.JAuNlDDu5a@vostro1500> References: <5007737.JAuNlDDu5a@vostro1500> Message-ID: <20140204014716.2e726611@rhea.byte.cx> Am Mon, 03 Feb 2014 21:59:07 +0100 schrieb Matthias Bitterlich : > mit mehreren System unterschiedlichen Alters Sicher, dass das nicht vielleicht doch die Ursache ist? Also unterschiedliche Versionen von Postfix bzw. OpenSSL auf 'tux' und 'tux2'? Gruß, Jens -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: nicht verfügbar URL : From m.bitterlich at gryps-networks.de Tue Feb 4 07:30:31 2014 From: m.bitterlich at gryps-networks.de (Matthias Bitterlich) Date: Tue, 04 Feb 2014 07:30:31 +0100 Subject: [Postfixbuch-users] smtp.1und1.de und TLS In-Reply-To: <20140204014716.2e726611@rhea.byte.cx> References: <5007737.JAuNlDDu5a@vostro1500> <20140204014716.2e726611@rhea.byte.cx> Message-ID: <1862715.kikKShmKB0@vostro1500> Am Dienstag, 4. Februar 2014, 01:47:16 schrieb Jens Adam: > Am Mon, 03 Feb 2014 21:59:07 +0100 > > schrieb Matthias Bitterlich : > > mit mehreren System unterschiedlichen Alters Ich habe am Standort "tux" openSuSE 13.1 und Debian 7.3 und am Standort "tux2" Debian 6.04, SLES10 SP4, SLES11 SP3 (hier werde ich heute noch ein Debian 7 zum Vergleich aufsetzen) Die openssl-Ausgaben habe ich mit o.g. Systemen bekommen. > Sicher, dass das nicht vielleicht doch die Ursache ist? > Also unterschiedliche Versionen von Postfix bzw. OpenSSL auf 'tux' und > 'tux2'? Standort "tux" Debian 7.3, openssl 1.0.1e+deb7u3 openSuSE 13.1, openssl 1.0.1e+deb7u3 Standort "tux2" Debian 6.0.4, openssl 0.9.8o-4sq SLES 10 SP4, openssl 0.9.8a-18.76.1 SLES 11 SP3, openssl 0.9.8j-0.50.1 Sollte es daran liegen ... dann muss ich wohl tux2 in Rente schicken. ;-) Heute Abend mehr. Gruß Matthias From igor.sverkos at googlemail.com Tue Feb 4 16:48:23 2014 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Tue, 4 Feb 2014 16:48:23 +0100 Subject: [Postfixbuch-users] smtp.1und1.de und TLS In-Reply-To: <1862715.kikKShmKB0@vostro1500> References: <5007737.JAuNlDDu5a@vostro1500> <20140204014716.2e726611@rhea.byte.cx> <1862715.kikKShmKB0@vostro1500> Message-ID: Hallo, das liegt an OpenSSL. TLS 1.1 und 1.2 Support gab es erstmals in der 1.0.1-Serie. -- Ich Grüße, Igor From postfixer99 at gmail.com Tue Feb 4 17:45:18 2014 From: postfixer99 at gmail.com (Carsten) Date: Tue, 04 Feb 2014 17:45:18 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52EFB85F.9000904@andreas-ziegler.de> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> <52ECEC8C.1030307@heinlein-support.de> <52ED3354.9060502@gmail.com> <52EFB85F.9000904@andreas-ziegler.de> Message-ID: <52F1191E.9050108@gmail.com> In den letzten 3 Tagen sind insgesamt 22 Mails an Google gegangen, und das war kein SPAM und keine Weiterleitungen. Lediglich legitime Mails und heute kam wieder diese Meldung. Das delay betrug 55 Minuten. Es scheint fast wie ein selbstgebautes Greylisting von Google. Habt Ihr das nicht in Eurem Logfiles, oder bemerkt es keiner, da es nur ein relativ kurzes delay ist und sich keiner beschwert, da die Mails letzendlich doch ankommen? Wäre nett, wenn Ihr mal in Euren Logs danach schauen könntet. Das ist mir in den letzten 7 Jahren noch nicht passiert und so exotisch ist mein Server nicht ;-) Beste Grüße, Carsten Am 03.02.2014 16:40, schrieb Andreas Ziegler: > Hallo Carsten, > >> Nachdem ich diese Weiterleitung gelöscht habe, werden Mails von meinem >> Server an Google auch nicht mehr delayed. > Eine Möglichkeit wäre noch, dass du dich bemühst, mehr Spam schon auf > deinem Server zu filtern, sodass weniger davon zu Google weitergeleitet > wird. > > Viele Grüße > > Andreas From igor.sverkos at googlemail.com Tue Feb 4 18:26:49 2014 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Tue, 4 Feb 2014 18:26:49 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52F1191E.9050108@gmail.com> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> <52ECEC8C.1030307@heinlein-support.de> <52ED3354.9060502@gmail.com> <52EFB85F.9000904@andreas-ziegler.de> <52F1191E.9050108@gmail.com> Message-ID: Zu welchem IP-Netz gehört denn dein Server? Es gibt da so ein paar Provider, die mögen zwar günstige Server anbieten, deren Reputation ist aber so im Eimer, da mag diese spezielle IP clean und nie aufgefallen sein, irgendwann reicht es und man sperrt Netze bzw. erhöht bei sich intern die Score für Leute die aus diesem Netz kommen... Ist für den einzelnen seriösen Kunden bei so einem Anbieter dann doof, da ja auch nicht wie bei RBLs transparent nachvollziehbar, aber ich ertappe mich selber immer öfters wie ich IP-Bereiche von OVH und anderen sperre (weniger wegen SPAM im Mailverkehr, mehr wegen HTTP-SPAM)... -- Ich Grüße, Igor From postfixer99 at gmail.com Tue Feb 4 21:27:38 2014 From: postfixer99 at gmail.com (Carsten) Date: Tue, 04 Feb 2014 21:27:38 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> <52ECEC8C.1030307@heinlein-support.de> <52ED3354.9060502@gmail.com> <52EFB85F.9000904@andreas-ziegler.de> <52F1191E.9050108@gmail.com> Message-ID: <52F14D3A.9090709@gmail.com> Hallo Igor, > Zu welchem IP-Netz gehört denn dein Server? Mein Rootserver steht bei Hetzner in einem eigenen /27 Subnetz, das sogar auf meinen Namen reserviert ist. Du hast Recht, einige Sperren gerne ganze /24 Blöcke oder größer, das könnte durchaus zum Problem werden aber von Google erwartet man eigentlich, dass die bei der RIPE (ggf. automatisiert) die Netzgrenzen prüfen?! Hmm, bin ja mal gespannt, ob noch jemand ähnliche Meldungen in den Logs findet. Ist bisher noch nie passiert bei mir. Eventuell ist das Verfaren ja neu bei gMail. Beste Grüße, Carsten From m.bitterlich at gryps-networks.de Tue Feb 4 22:13:24 2014 From: m.bitterlich at gryps-networks.de (Matthias Bitterlich) Date: Tue, 04 Feb 2014 22:13:24 +0100 Subject: [Postfixbuch-users] smtp.1und1.de und TLS In-Reply-To: References: <5007737.JAuNlDDu5a@vostro1500> <1862715.kikKShmKB0@vostro1500> Message-ID: <1703584.ATMsWkSe1l@vostro1500> Am Dienstag, 4. Februar 2014, 16:48:23 schrieb Igor Sverkos: > das liegt an OpenSSL. TLS 1.1 und 1.2 Support gab es erstmals in der > 1.0.1-Serie. Danke für die Antworten. Das habe ich heute nach einiger Recherche dann auch raus bekommen ... und sogar bei SuSE einen Blogeintrag zu TLS 1.2 ... Fazit: .. zurzeit unter SLES mit Bordmitteln nicht zu lösen :-( Auslöser war meine Überraschung bei der Postfix-TLS-Umstellung auf dem Rechner mit openssl 1.0.1, wo ich plötzlich ECDHE und nicht nur AES256-SHA bei smtp.1und1.de als Ausgabe bekommen habe. An den Versionsunterschied habe gar nicht gedacht, da Aussagen im Web und selbst die der 1&1-Hotline etwas anderes sagen: --- schnipp ------ Sehr geehrter Herr Bitterlich, vielen Dank für Ihre Mitteilung und das gezeigte Interesse. Gerne möchten wir Ihnen weiterhelfen und freuen uns, dass die Umstellung auf SSL bei Ihnen reibungslos verlaufen ist. Die Verschlüsselung auf Perfect Forwarding Secrecy, kurz PFS, wird von unserer Server-Architektur derzeit noch nicht unterstützt. Leider gibt es derzeit auch noch keinen Termin, wann dieses Kryptographie-Protokoll bei uns aktiv genutzt werden wird. Auch etwaige Planungen sind momentan in dieser Richtung noch nicht bekannt, weshalb wir uns sicher sind, dass PFS dieses Jahr noch nicht eingebunden wird. Sollten sich aber Änderungen diesbezüglich ergeben, setzen wir unsere Kunden natürlich umgehend in Kenntnis. --- /schnipp ------ Jetzt hat der andere Rechner eine fristlosse Entlassung bekommen ... ;-) Gruß Matthias From mail at arnoldbechtoldt.com Tue Feb 4 22:40:19 2014 From: mail at arnoldbechtoldt.com (Arnold Bechtoldt) Date: Tue, 04 Feb 2014 22:40:19 +0100 Subject: [Postfixbuch-users] Gmail sagt: unsolicited mail originating from your IP address In-Reply-To: <52F14D3A.9090709@gmail.com> References: <52EA8CED.3010705@gmail.com> <52EACC73.70509@gmail.com> <52EC0F31.9040206@karukera.felix-friedrich.de> <52ECCEBC.7080803@gmail.com> <52ECEC8C.1030307@heinlein-support.de> <52ED3354.9060502@gmail.com> <52EFB85F.9000904@andreas-ziegler.de> <52F1191E.9050108@gmail.com> <52F14D3A.9090709@gmail.com> Message-ID: <52F15E43.6020201@arnoldbechtoldt.com> > Hmm, bin ja mal gespannt, ob noch jemand ähnliche Meldungen in den Logs > findet. Ich hab hier von gestern bei einem Server vier solcher Einträge im Logfile. Der Server wird noch von einem Kunden genutzt. Ab und an gibt es schlecht versendete Newsletter, daher wundert es mich nicht das Gmail hier manchmal eine Wartezeit á la 4xx erteilt. > Ist bisher noch nie passiert bei mir. Eventuell ist das Verfaren ja neu > bei gMail. Denke ich nicht, zumindest die Meldungen kenne ich bereits seit >= 6 Monaten. Gruß Arnold Am 04.02.14 21:27, schrieb Carsten: > Hallo Igor, >> Zu welchem IP-Netz gehört denn dein Server? > Mein Rootserver steht bei Hetzner in einem eigenen /27 Subnetz, das > sogar auf meinen Namen reserviert ist. > Du hast Recht, einige Sperren gerne ganze /24 Blöcke oder größer, das > könnte durchaus zum Problem werden aber von Google erwartet man > eigentlich, dass die bei der RIPE (ggf. automatisiert) die Netzgrenzen > prüfen?! > > Hmm, bin ja mal gespannt, ob noch jemand ähnliche Meldungen in den Logs > findet. > Ist bisher noch nie passiert bei mir. Eventuell ist das Verfaren ja neu > bei gMail. > > Beste Grüße, Carsten > > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : 0xE2356889.asc Dateityp : application/pgp-keys Dateigröße : 3134 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From peter at datentraeger.li Fri Feb 7 15:11:41 2014 From: peter at datentraeger.li (Peter Beck) Date: Fri, 07 Feb 2014 15:11:41 +0100 Subject: [Postfixbuch-users] header check Ausnahme Message-ID: <52F4E99D.6070503@datentraeger.li> Hallo zusammen, ich kaempfe gerade mit einem Exchange, welcher hinter unserem Postfix steht. Der streikt grad ein bisschen und ich moechte alle Mails auf Hold setzen, bis der Exchange-Admin sein Problem geloest hat. Das ist ja auch nicht das Problem, da hab ich schnell einen header check gemacht, welcher etwa so aussieht: /^To:.*@domain.com/ HOLD Nun wuerde ich aber gerne eine einzelne Adresse nicht auf Hold setzen, um dem Exchange Admin die Testerei zu erleichtern. Wie krieg ich das auf die Reihe ? Ist das ueberhaupt moeglich ? Vielen Dank und Gruss Peter From wolfgang.zeikat at desy.de Fri Feb 7 16:37:03 2014 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Fri, 07 Feb 2014 16:37:03 +0100 Subject: [Postfixbuch-users] header check Ausnahme In-Reply-To: <52F4E99D.6070503@datentraeger.li> References: <52F4E99D.6070503@datentraeger.li> Message-ID: <52F4FD9F.3030602@desy.de> On 2014-02-07 15:11, Peter Beck wrote: > /^To:.*@domain.com/ HOLD > > Nun wuerde ich aber gerne eine einzelne Adresse nicht auf Hold setzen, > um dem Exchange Admin die Testerei zu erleichtern. Wie krieg ich das > auf die Reihe ? Ist das ueberhaupt moeglich ? if ! /^To:.*einzelne.adresse at domain.com/ /^To:.*@domain.com/ HOLD endif From news at amaltea.de Fri Feb 7 16:34:17 2014 From: news at amaltea.de (Paul) Date: Fri, 07 Feb 2014 16:34:17 +0100 Subject: [Postfixbuch-users] header check Ausnahme In-Reply-To: <52F4E99D.6070503@datentraeger.li> References: <52F4E99D.6070503@datentraeger.li> Message-ID: <52F4FCF9.7010109@amaltea.de> Am 07.02.2014 15:11, schrieb Peter Beck: > Hallo zusammen, > > ich kaempfe gerade mit einem Exchange, welcher hinter unserem > Postfix steht. Der streikt grad ein bisschen und ich moechte alle > Mails auf Hold setzen, bis der Exchange-Admin sein Problem geloest hat. > > Das ist ja auch nicht das Problem, da hab ich schnell einen header check > gemacht, welcher etwa so aussieht: > > /^To:.*@domain.com/ HOLD > > Nun wuerde ich aber gerne eine einzelne Adresse nicht auf Hold setzen, > um dem Exchange Admin die Testerei zu erleichtern. Wie krieg ich das > auf die Reihe ? Ist das ueberhaupt moeglich ? Ja, einfach eine Ausnahme vor der globalen Regel einsetzen. z.B.: /^To:.*durchlassen at domain.com/ DUNNO /^To:.*@domain.com/ HOLD Sobald eine Regel trifft, wird diese ausgeführt. Alle nachfolgenden Regeln werden dann nicht mehr beachtet. Gruß, Paul > > Vielen Dank und Gruss > Peter > From peter at datentraeger.li Fri Feb 7 16:58:44 2014 From: peter at datentraeger.li (Peter Beck) Date: Fri, 07 Feb 2014 16:58:44 +0100 Subject: [Postfixbuch-users] header check Ausnahme In-Reply-To: <52F4FD9F.3030602@desy.de> References: <52F4E99D.6070503@datentraeger.li> <52F4FD9F.3030602@desy.de> Message-ID: <52F502B4.5010401@datentraeger.li> On 02/07/2014 04:37 PM, Wolfgang Zeikat wrote: > if ! /^To:.*einzelne.adresse at domain.com/ > /^To:.*@domain.com/ HOLD > endif Hallo Wolfgang, Hallo Paul, vielen Dank fuer die Hilfestellung. Wusste nicht, dass die anderen Regeln dann nicht mehr abgearbeitet werden. Anfangs hab ich das so gemacht, aber irgendwie haben trotzdem beide Regeln gegriffen - habe aber keinen dunno eingesetzt sondern lediglich eine info ins log ausgegeben. vielleicht lags ja daran. Als Notloesung (bis ich von euch erleuchtet wurde) hab ich mir dann ein Skriptchen gebastelt, welches die gewuenschten Mails vom Hold wegnimmt. Kleiner Cronjob jede Minute und das geht dann auch... Aber diese Loesung gefaellt mir wesentlich besser als mein temporaeres Gebastel ;-) Schoenes Wochenende euch allen zusammen Gruss Peter From bind at enas.net Fri Feb 7 17:19:37 2014 From: bind at enas.net (Urban Loesch) Date: Fri, 07 Feb 2014 17:19:37 +0100 Subject: [Postfixbuch-users] =?iso-8859-15?q?Exchange_2013=3A_ver=E4nderte?= =?iso-8859-15?q?s_Verhalten_bei_der_Empf=E4ngervalidierung_=FCber_SMTP?= Message-ID: <52F50799.7000403@enas.net> Hallo, mir ist heute der folgende Link zu Exchange 2013 untergekommen: http://www.msxfaq.de/e2013/e2013recipientfilter.htm Interessant ist der Eintrag am dem Abschnitt "Kontrolle". So wie es da beschrieben ist, weißt Exchange 2013 Mails an ungültige Empfänger zwar immer noch in der SMTP Sitzung ab, allerdings nicht mehr beim "RCPT TO", sondern erst nachdem die gesamte Mail eingeliefert wurde. Das hat in meinen Augen nur Nachteile: - unnötiger Traffic - Mails an mehrere Empfänger gleichzeitig kommen nicht an, wenn 1 oder mehrere Empfänger ungültig sind. - Der Postfix vor dem Exchange erhält immer eine OK bei seiner Empfängervalidierung zurück, was diese super Funktion total aushebelt. Was sagen die anderen Experten dazu? Bzw. ist jemanden von Euch das Verhalten schon untergekommen und gibt es eine einfach Lösung dafür? Exchange zu eliminieren ist leider keine Option :-) Danke und Grüße Urban Lösch From siefke_listen at web.de Fri Feb 7 23:31:24 2014 From: siefke_listen at web.de (Silvio Siefke) Date: Fri, 7 Feb 2014 23:31:24 +0100 Subject: [Postfixbuch-users] Restrictions Message-ID: <20140207233124.19a4a3074545d3490f5ea3d9@web.de> Hallo, ich habe mir ein Postfix/Dovecot/amavisd Mailserver aufgesetzt. So weit scheint alles zu funktionieren, senden, empfangen aber irgendwie scheint der Wurm in den Restriction zu sein. Die aktuelle Konfiguration: ks3374456 postfix # postconf -n alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix disable_vrfy_command = yes home_mailbox = Maildir/ html_directory = no inet_interfaces = all inet_protocols = all mail_owner = postfix mailbox_size_limit = 0 mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_domains = master_service_disable = message_size_limit = 20480000 minimal_backoff_time = 300s mydestination = $myhostname, localhost myhostname = ks3374456.kimsufi.com mynetworks = 127.0.0.1 mynetworks_style = subnet myorigin = $myhostname newaliases_path = /usr/bin/newaliases policyd-spf_time_limit = 3600 queue_directory = /var/spool/postfix queue_run_delay = 300s readme_directory = no recipient_delimiter = + sample_directory = /etc/postfix sendmail_path = /usr/sbin/sendmail setgid_group = postdrop smtp_tls_loglevel = 1 smtp_tls_security_level = may smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache smtpd_banner = $myhostname ESMTP smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service unix:private/policyd-spf, check_policy_service unix:private/postgrey permit smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_sender_restrictions = reject_unknown_sender_domain smtpd_tls_ask_ccert = yes smtpd_tls_cert_file = /etc/postfix/key/postfix.pem smtpd_tls_key_file = /etc/postfix/key/postfix.key smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache strict_rfc821_envelopes = yes virtual_gid_maps = static:5000 virtual_mailbox_base = /var/vmail virtual_mailbox_domains = /etc/postfix/vhost virtual_mailbox_maps = hash:/etc/postfix/vmaps virtual_minimum_uid = 100 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:5000 Jetzt stelle ich mir ein paar Fragen: 1.) Ist das soweit ok, oder ist etwas erkennbar was nicht sein sollte? 2.) Warum nimmt Postfix die Client Restriction nicht an? #maps_rbl_domain = dnsbl.sorbs.net #smtp_client_restrictions = # permit_mynetworks, # permit_sasl_authenticated, # reject_maps_rbl, # reject_unknown_client 3.) smtps ist deprecated? Was kann man sonst einstellen damit verschlüsselt verbunden wird? Würde mich über Tipps und Anregungen freuen. MFG Silvio Anhang: ks3374456 postfix # dovecot -n # 2.2.9: /etc/dovecot/dovecot.conf # OS: Linux 3.10.23-xxxx-std-ipv6-64 x86_64 Gentoo Base System release 2.2 auth_debug = yes auth_mechanisms = plain login cram-md5 debug_log_path = /var/log/dovecot/dovecot-debug.log info_log_path = /var/log/dovecot/dovecot-info.log log_path = /var/log/dovecot/dovecot.log mail_debug = yes mail_location = maildir:~/maildir mail_plugins = acl zlib managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date ihave namespace inbox { hidden = no inbox = yes location = mailbox Drafts { auto = create special_use = \Drafts } mailbox Junk { auto = create special_use = \Junk } mailbox Sent { auto = subscribe special_use = \Sent } mailbox "Sent Messages" { auto = no special_use = \Sent } mailbox Trash { auto = create special_use = \Trash } prefix = separator = / type = private } passdb { args = username_format=%u /var/vmail/auth.d/%d/passwd driver = passwd-file } plugin { acl = vfile:/var/vmail/conf.d/%d/acls:cache_secs=300 acl_shared_dict = file:/var/vmail/conf.d/%d/acls/shared-mailboxes.db sieve = ~/.dovecot.sieve sieve_dir = ~/sieve sieve_global_dir = /var/vmail/conf.d/%d/sieve } protocols = imap lmtp sieve service auth-worker { user = dovecot } service auth { unix_listener /var/spool/postfix/private/auth { group = postfix mode = 0660 user = postfix } user = dovecot } service imap-login { inet_listener imap { address = * port = 143 } inet_listener imaps { port = 993 } } service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { group = postfix mode = 0666 user = postfix } } service managesieve-login { inet_listener sieve { port = 4190 } } ssl_cert = References: <20140207233124.19a4a3074545d3490f5ea3d9@web.de> Message-ID: <20140207230229.GA29879@sys4.de> * Silvio Siefke : > Hallo, > > ich habe mir ein Postfix/Dovecot/amavisd Mailserver aufgesetzt. So weit > scheint alles zu funktionieren, senden, empfangen aber irgendwie scheint > der Wurm in den Restriction zu sein. > > Die aktuelle Konfiguration: > ks3374456 postfix # postconf -n > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > command_directory = /usr/sbin > config_directory = /etc/postfix > daemon_directory = /usr/libexec/postfix > data_directory = /var/lib/postfix > disable_vrfy_command = yes > home_mailbox = Maildir/ > html_directory = no > inet_interfaces = all > inet_protocols = all > mail_owner = postfix > mailbox_size_limit = 0 > mailq_path = /usr/bin/mailq > manpage_directory = /usr/share/man > masquerade_domains = > master_service_disable = > message_size_limit = 20480000 > minimal_backoff_time = 300s > mydestination = $myhostname, localhost > myhostname = ks3374456.kimsufi.com > mynetworks = 127.0.0.1 > mynetworks_style = subnet > myorigin = $myhostname > newaliases_path = /usr/bin/newaliases > policyd-spf_time_limit = 3600 > queue_directory = /var/spool/postfix > queue_run_delay = 300s > readme_directory = no > recipient_delimiter = + > sample_directory = /etc/postfix > sendmail_path = /usr/sbin/sendmail > setgid_group = postdrop > smtp_tls_loglevel = 1 > smtp_tls_security_level = may > smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache > smtpd_banner = $myhostname ESMTP > smtpd_helo_required = yes > smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname > smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service unix:private/policyd-spf, check_policy_service unix:private/postgrey permit > smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination > smtpd_sasl_auth_enable = yes > smtpd_sasl_path = private/auth > smtpd_sasl_type = dovecot > smtpd_sender_restrictions = reject_unknown_sender_domain > smtpd_tls_ask_ccert = yes > smtpd_tls_cert_file = /etc/postfix/key/postfix.pem > smtpd_tls_key_file = /etc/postfix/key/postfix.key > smtpd_tls_loglevel = 1 > smtpd_tls_received_header = yes > smtpd_tls_security_level = may > smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache > strict_rfc821_envelopes = yes > virtual_gid_maps = static:5000 > virtual_mailbox_base = /var/vmail > virtual_mailbox_domains = /etc/postfix/vhost > virtual_mailbox_maps = hash:/etc/postfix/vmaps > virtual_minimum_uid = 100 > virtual_transport = lmtp:unix:private/dovecot-lmtp > virtual_uid_maps = static:5000 > > Jetzt stelle ich mir ein paar Fragen: > > 1.) Ist das soweit ok, oder ist etwas erkennbar was nicht sein sollte? Mal so vorneweg: Was ist denn Dein Ziel? Splittest Du einliefernde Clients nach MTA (25) und MUA (587)? Wenn Du dazu was sagst, wird es leichter Dir zu sagen wie geeignet Deine Filterregeln und ihre Anordnung sind. So im Detail: Also wenn der Client helo sagt (smtpd_helo_restrictions) ist die Session ganz am Anfang. Da hatte der Client noch keine Gelegenheit, sich zu identifizieren und der Server konnte den Client nicht authentifizieren. Insofern ist ein "permit_sasl_authenticated" an der Stelle zu früh. > 2.) Warum nimmt Postfix die Client Restriction nicht an? Weil sie smtpd_client_restrictions heissen. :) ^ Merke: Das sind alles SMTP Session Filter, die im Postfix SMTP Server, den smtp daemon, ausgeführt werden. > > #maps_rbl_domain = dnsbl.sorbs.net > #smtp_client_restrictions = > # permit_mynetworks, > # permit_sasl_authenticated, > # reject_maps_rbl, > # reject_unknown_client > > 3.) smtps ist deprecated? Was kann man sonst einstellen damit verschlüsselt > verbunden wird? Biete STARTTLS auf Port 25 an. Wenn Du MUAs hast, die sich über ein verschlüsselte Verbindung identifizieren sollen, dann schicke sie auf Port 587 und erzwinge dort TLS. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From siefke_listen at web.de Sat Feb 8 00:55:17 2014 From: siefke_listen at web.de (Silvio Siefke) Date: Sat, 8 Feb 2014 00:55:17 +0100 Subject: [Postfixbuch-users] Restrictions In-Reply-To: <20140207230229.GA29879@sys4.de> References: <20140207233124.19a4a3074545d3490f5ea3d9@web.de> <20140207230229.GA29879@sys4.de> Message-ID: <20140208005517.45811afbd9a760886b59af8f@web.de> On Sat, 8 Feb 2014 00:02:29 +0100 Patrick Ben Koetter

wrote: > Mal so vorneweg: Was ist denn Dein Ziel? Splittest Du einliefernde > Clients nach MTA (25) und MUA (587)? Wenn Du dazu was sagst, wird es > leichter Dir zu sagen wie geeignet Deine Filterregeln und ihre > Anordnung sind. Ich will einfach nur das die Verbindung verschlüsselt aufgebaut wird. Ich hatte erst PlAIN Passwörter, deshalb wurde in der Log gemeckert das ich es so verstand STARTTLS PORT 587 muss aktiviert sein. Wenn ich das korrekt verstand macht das der submission Part von Postfix. Jetzt baut er scheinbar eine verschlüsselte Verbindung über den 465 auf, nachdem Sylpheed meckerte aktivierte ich nach googlen smtps. In Roundcube steht aber etwas von 465 is deprecated. > So im Detail: > > Also wenn der Client helo sagt (smtpd_helo_restrictions) ist die > Session ganz am Anfang. Da hatte der Client noch keine Gelegenheit, > sich zu identifizieren und der Server konnte den Client nicht > authentifizieren. Insofern ist ein "permit_sasl_authenticated" an der > Stelle zu früh. Also rausnehmen? > > 2.) Warum nimmt Postfix die Client Restriction nicht an? > > Weil sie smtpd_client_restrictions heissen. :) Uff 7 Tage Postfix machen einen glatt kaputt. ^ > Merke: Das sind alles SMTP Session Filter, die im Postfix SMTP > Server, den smtp daemon, ausgeführt werden. Das habe ich verstanden. Ich verstehe nur nicht in wie weit man jede Regel benötigt, welche sinnlos ist oder wie du es genannt hast zu früh gesetzt ist. > Biete STARTTLS auf Port 25 an. Wenn Du MUAs hast, die sich über ein > verschlüsselte Verbindung identifizieren sollen, dann schicke sie auf > Port 587 und erzwinge dort TLS. Das klingt nach googeln :( Danke MFG Silvio From siefke_listen at web.de Sat Feb 8 01:39:24 2014 From: siefke_listen at web.de (Silvio Siefke) Date: Sat, 8 Feb 2014 01:39:24 +0100 Subject: [Postfixbuch-users] Restrictions In-Reply-To: <20140207230229.GA29879@sys4.de> References: <20140207233124.19a4a3074545d3490f5ea3d9@web.de> <20140207230229.GA29879@sys4.de> Message-ID: <20140208013924.cc5c47da1992fc00bc36cd6b@web.de> On Sat, 8 Feb 2014 00:02:29 +0100 Patrick Ben Koetter

wrote: > Also wenn der Client helo sagt (smtpd_helo_restrictions) ist die > Session ganz am Anfang. Da hatte der Client noch keine Gelegenheit, > sich zu identifizieren und der Server konnte den Client nicht > authentifizieren. Insofern ist ein "permit_sasl_authenticated" an der > Stelle zu früh. So ich habe das einmal deaktiviert, aber dann bekomme ich: Feb 8 01:35:58 ks3374456 postfix/smtps/smtpd[22129]: connect from unknown[46.115.68.52] Feb 8 01:35:59 ks3374456 postfix/smtps/smtpd[22129]: Anonymous TLS connection established from unknown[46.115.68.52]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits) Feb 8 01:36:00 ks3374456 postfix/smtps/smtpd[22129]: NOQUEUE: reject: RCPT from unknown[46.115.68.52]: 504 5.5.2 : Helo command rejected: need fully-qualified hostname; from= to= proto=ESMTP helo= Feb 8 01:36:05 ks3374456 postfix/smtps/smtpd[22129]: lost connection after RCPT from unknown[46.115.68.52] Feb 8 01:36:05 ks3374456 postfix/smtps/smtpd[22129]: disconnect from unknown[46.115.68.52] Wenn ich es wieder setze geht alles Feb 8 01:38:05 ks3374456 postfix/smtps/smtpd[22390]: connect from unknown[46.115.68.52] Feb 8 01:38:06 ks3374456 postfix/smtps/smtpd[22390]: Anonymous TLS connection established from unknown[46.115.68.52]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits) Feb 8 01:38:07 ks3374456 postfix/smtps/smtpd[22390]: 29A2F2452C4: client=unknown[46.115.68.52], sasl_method=CRAM-MD5, sasl_username=webmaster at silviosiefke.de Feb 8 01:38:07 ks3374456 postfix/cleanup[22395]: 29A2F2452C4: message-id=<20140208013439.acd6ba714abdc875ec9581f7 at silviosiefke.de> Feb 8 01:38:07 ks3374456 postfix/qmgr[22339]: 29A2F2452C4: from=, size=712, nrcpt=1 (queue active) Feb 8 01:38:08 ks3374456 postfix/smtps/smtpd[22390]: disconnect from unknown[46.115.68.52] Feb 8 01:38:09 ks3374456 postfix/smtp[22396]: 29A2F2452C4: to=, relay=gmail-smtp-in.l.google.com[2a00:1450:4001:c02::1a]:25, delay=2.3, delays=0.81/0.02/0.73/0.7, dsn=2.0.0, status=sent (250 2.0.0 OK 1391819689 t5si11250440eeo.64 - gsmtp) Feb 8 01:38:09 ks3374456 postfix/qmgr[22339]: 29A2F2452C4: removed Das meinte ich, diese restriction sind ehrlich nicht einfach zu verstehen. Mfg Silvio From kai_postfix at fuerstenberg.ws Sat Feb 8 20:25:16 2014 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Sat, 08 Feb 2014 20:25:16 +0100 Subject: [Postfixbuch-users] Restrictions In-Reply-To: <20140208013924.cc5c47da1992fc00bc36cd6b@web.de> References: <20140207233124.19a4a3074545d3490f5ea3d9@web.de> <20140207230229.GA29879@sys4.de> <20140208013924.cc5c47da1992fc00bc36cd6b@web.de> Message-ID: <52F6849C.1090505@fuerstenberg.ws> Am 08.02.2014 01:39, schrieb Silvio Siefke: > Das meinte ich, diese restriction sind ehrlich nicht einfach zu verstehen. Worauf Patrick hinauswollte war, dass du in smtpd_(client|helo)_restrictions ein "permit_sasl_authenticated" stehen hast. Das gehört dort gar nicht hin, weil weder nach dem Connect noch dem HELO ein SASL Login erfolgt ist. Diese Restriktion dort reinzuschreiben ist schlicht unlogisch. Die Restriktionen allgemein sind sogar sehr einfach zu verstehen, aber du musst das Gesamtbild betrachten: Man darf nicht hergehen, und sich von den client/helo/sender/recipient und relay-restrictions in die Irre führen lassen. Man kann generell ALLE Restriktionen in die smtpd_recipient_restrictions setzen, oder man teilt sie sinnvoll auf zwei Parameter auf, wie es mittlerweile eigentlich üblich ist: Du brauchst im allgemeinen nur diese zwei Parameter, nämlich smtpd_relay_restrictions und smtpd_recipient_restrictions, wobei die relay_restrictions sogar noch in die recipient_restrictions reinkönnen, und ersterer dafür leer bleibt (den müsstest du dann aber auch explizit als leer definieren). smtpd_relay_restrictions sind für die Zulassung von ausgehenden Mails (typischerweise SASL auth). Also für dich: smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated In die smtpd_recipient_restrictions kommen dann die Restriktionen für eingehende Mails rein. Bei dir also (ich hab noch etwas angepasst und weggelassen, erkläre ich unten): smtpd_recipient_restrictions = reject_unauth_destination reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname check_policy_service unix:private/policyd-spf check_policy_service unix:private/postgrey reject_unknown_recipient_domain habe ich weggelassen. Warum?: Dieser Parameter betrifft nur Relay-Mails, also ausgehende Mails. Die Domains, die du hostest, sind niemals unbekannt. Nur fremde Domains können unbekannt sein, und damit sind von diesem Parameter nur authentifizierte Mails deiner User betroffen. Wenn du diesen dennoch verwenden willst, muss der _vor_ das permit_sasl_authenticated in die smtpd_relay_restrictions. reject_invalid/unknown/non_fqdn_hostname heißen jetzt *_helo_hostname (ich gehe mal davon aus, dass du nicht mehr Version 2.2 oder früher verwendest). Übrigens: Die Verwendung der helo_restriktionen erzeugt allgemein recht viele false positives im Normalgebrauch, da der HELO-Name vielfach nicht dem DNS-Hostnamen entspricht, gescheige denn überhaupt irgendwas sinnvolles enthält. Auf das HELO kann man sich genau so wenig verlassen, wie auf fremde Absender-E-Mail-Adressen. Sinnvoller wären Client-Restriktionen wie reject_non_fqdn_sender reject_unknown_sender_domain Aber auch die gehören in die RECIPIENT-restrictions. Das permit am Ende kann man weglassen. Was bis dahin durchkommt, wird eh angenommen, kann man der Übersicht halber aber auch stehen lassen. So, und mehr steht bei dir nicht drin in deinen Restriktionen. Durch Verwendung der Helo- und Client_restrictions hast du einiges doppelt drin gehabt, was gar nicht nötig war. Damit dürfte das ganze schon wesentlich einfacher aussehen. Wichtig ist: Die Restriktionen werden nacheinander in der Reihenfolge ausgeführt, in der du sie aufgeschrieben hast. Sobald eine Restriktion greift wird sie ausgeführt, der Rest interessiert danach nicht mehr. -- Kai Fürstenberg PM an kai at fuerstenberg punkt ws From Ralf.Hildebrandt at charite.de Sat Feb 8 22:26:27 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 8 Feb 2014 22:26:27 +0100 Subject: [Postfixbuch-users] header check Ausnahme In-Reply-To: <52F4E99D.6070503@datentraeger.li> References: <52F4E99D.6070503@datentraeger.li> Message-ID: <20140208212626.GD14359@charite.de> * Peter Beck : > Hallo zusammen, > > ich kaempfe gerade mit einem Exchange, welcher hinter unserem > Postfix steht. Der streikt grad ein bisschen und ich moechte alle > Mails auf Hold setzen, bis der Exchange-Admin sein Problem geloest hat. > > Das ist ja auch nicht das Problem, da hab ich schnell einen header check > gemacht, welcher etwa so aussieht: > > /^To:.*@domain.com/ HOLD Und bei Mail mit Cc: oder Bcc:? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From anmeyer at anup.de Sun Feb 9 14:44:01 2014 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 9 Feb 2014 14:44:01 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable Message-ID: <20140209144401.62ee078e@itxbox.bitcorner.intern> Hallo Leute! Wollte auch mal mit dem HOLD probieren, bekomme aber ein action HOLD is unavailable im log und die email wird zugestellt. Feb 9 14:29:29 delta anup/smtpd[16362]: connect from p54B30BCA.dip0.t-ipconnect.de[84.179.11.202] Feb 9 14:29:30 delta anup/smtpd[16362]: Anonymous TLS connection established from p54b30bca.dip0.t-ipconnect.de[84.179.11.202]: TLSv1.2 with cipher ECDHE-RSA-AES128-SHA (128/128 bits) Feb 9 14:29:31 delta anup/smtpd[16362]: warning: access table hash:/etc/postfix/hold: with smtpd_proxy_filter specified, action HOLD is unavailable Feb 9 14:29:31 delta anup/smtpd[16362]: NOQUEUE: client=p54B30BCA.dip0.t-ipconnect.de[84.179.11.202], sasl_method=CRAM-MD5, sasl_username=anmeyer at anup.de Feb 9 14:29:31 delta postfix/smtpd[16369]: connect from localhost[127.0.0.1] Feb 9 14:29:31 delta postfix/smtpd[16369]: B625C5C0B13: client=localhost[127.0.0.1] Feb 9 14:29:31 delta postfix/cleanup[16370]: B625C5C0B13: message-id=<20140209142928.025dfef5 at itxbox.bitcorner.intern> Feb 9 14:29:31 delta postfix/qmgr[16297]: B625C5C0B13: from=, size=1998, nrcpt=2 (queue active) Feb 9 14:29:31 delta postfix/smtpd[16369]: disconnect from localhost[127.0.0.1] Feb 9 14:29:31 delta anup/smtpd[16362]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B625C5C0B13; from= to= proto=ESMTP helo= Feb 9 14:29:31 delta anup/smtpd[16362]: disconnect from p54B30BCA.dip0.t-ipconnect.de[84.179.11.202] Feb 9 14:29:32 delta postfix/pipe[16371]: B625C5C0B13: to=, relay=dovecot, delay=0.42, delays=0.08/0.01/0/0.32, dsn=2.0.0, status=sent (delivered via dovecot service) Feb 9 14:29:32 delta postfix/qmgr[16297]: B625C5C0B13: removed smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/access_sender, permit_mynetworks, check_recipient_access hash:/etc/postfix/hold, permit_sasl_authenticated, #warn_if_reject check_policy_service inet:127.0.0.1:12340 reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unknown_sender_domain, check_sender_access pcre:/etc/postfix/umlaute.pcre, check_recipient_access pcre:/etc/postfix/umlaute.pcre, reject_unauth_destination, #reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client spam.bl.alt-backspace.org, reject_rbl_client spamtrap.bl.alt-backspace.org, check_client_access cidr:/etc/postfix/client.cidr, check_policy_service inet:127.0.0.1:10023, #check_recipient_access hash:/etc/postfix/hold und die hold table sieht so aus: miles at anup.de DUNNO anup.de HOLD Was mache ich falsch? Andreas -- Mein öffentlicher PGP/GPG-key unter: https://www.anup.de/keys/anmeyer at anup.de.asc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: nicht verfügbar URL : From j_adam at web.de Sun Feb 9 15:02:07 2014 From: j_adam at web.de (Jens Adam) Date: Sun, 9 Feb 2014 15:02:07 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable In-Reply-To: <20140209144401.62ee078e@itxbox.bitcorner.intern> References: <20140209144401.62ee078e@itxbox.bitcorner.intern> Message-ID: <20140209150207.0623164b@titan.byte.cx> Google says: http://marc.info/?l=postfix-users&m=120453509106007&w=2 Gruß, Jens -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: nicht verfügbar URL : From anmeyer at anup.de Sun Feb 9 15:18:19 2014 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 9 Feb 2014 15:18:19 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable In-Reply-To: <20140209150207.0623164b@titan.byte.cx> References: <20140209144401.62ee078e@itxbox.bitcorner.intern> <20140209150207.0623164b@titan.byte.cx> Message-ID: <20140209151819.56e3e1a1@itxbox.bitcorner.intern> Hallo! Jens Adam wrote: > Google says: http://marc.info/?l=postfix-users&m=120453509106007&w=2 Mach ich das so, localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o mynetworks=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,check_recipient_access hash:/etc/postfix/hold,reject -o smtpd_data_restrictions= -o receive_override_options=no_unknown_recipient_checks erhalte ich Feb 9 15:07:49 delta postfix/smtpd[17281]: fatal: parameter "smtpd_recipient_restrictions": specify at least one working instance of: check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit Feb 9 15:07:50 delta postfix/master[17267]: warning: process /usr/lib/postfix/smtpd pid 17281 exit status 1 Feb 9 15:07:50 delta postfix/master[17267]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling > Gruß, > Jens Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: nicht verfügbar URL : From anmeyer at anup.de Sun Feb 9 16:06:26 2014 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 9 Feb 2014 16:06:26 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable In-Reply-To: <20140209151819.56e3e1a1@itxbox.bitcorner.intern> References: <20140209144401.62ee078e@itxbox.bitcorner.intern> <20140209150207.0623164b@titan.byte.cx> <20140209151819.56e3e1a1@itxbox.bitcorner.intern> Message-ID: <20140209160626.42dc5259@itxbox.bitcorner.intern> Andreas Meyer wrote: > localhost:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o mynetworks=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,check_recipient_access hash:/etc/postfix/hold,reject > -o smtpd_data_restrictions= > -o receive_override_options=no_unknown_recipient_checks > > erhalte ich > > Feb 9 15:07:49 delta postfix/smtpd[17281]: fatal: parameter "smtpd_recipient_restrictions": specify at least one working instance of: check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit > Feb 9 15:07:50 delta postfix/master[17267]: warning: process /usr/lib/postfix/smtpd pid 17281 exit status 1 > Feb 9 15:07:50 delta postfix/master[17267]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling War ja klar, dass mit der Syntax was nicht stimmt. Hab's jetzt so gelöst: localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o mynetworks=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=check_recipient_access,hash:/etc/postfix/hold,permit_mynetworks,reject -o smtpd_data_restrictions= -o receive_override_options=no_unknown_recipient_checks Andreas -- Mein öffentlicher PGP/GPG-key unter: https://www.anup.de/keys/anmeyer at anup.de.asc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: nicht verfügbar URL : From kai_postfix at fuerstenberg.ws Sun Feb 9 16:48:36 2014 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Sun, 09 Feb 2014 16:48:36 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable In-Reply-To: <20140209160626.42dc5259@itxbox.bitcorner.intern> References: <20140209144401.62ee078e@itxbox.bitcorner.intern> <20140209150207.0623164b@titan.byte.cx> <20140209151819.56e3e1a1@itxbox.bitcorner.intern> <20140209160626.42dc5259@itxbox.bitcorner.intern> Message-ID: <52F7A354.3000905@fuerstenberg.ws> Am 09.02.2014 16:06, schrieb Andreas Meyer: > War ja klar, dass mit der Syntax was nicht stimmt. Hab's jetzt so gelöst: > > localhost:10025 inet n - n - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o mynetworks=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=check_recipient_access,hash:/etc/postfix/hold,permit_mynetworks,reject > -o smtpd_data_restrictions= > -o receive_override_options=no_unknown_recipient_checks Eleganter wäre folgendes: main.cf: 10025_recipient_restrictions = check_recipient_access hash:/etc/postfix/hold permit_mynetworks reject master.cf: localhost:10025 inet n - n - - smtpd -o [...] -o smtpd_recipient_restrictions=$10025_recipient_restrictions -o [...] -- Kai Fürstenberg PM an kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Sun Feb 9 17:26:17 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 09 Feb 2014 17:26:17 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable In-Reply-To: <52F7A354.3000905@fuerstenberg.ws> References: <20140209144401.62ee078e@itxbox.bitcorner.intern> <20140209150207.0623164b@titan.byte.cx> <20140209151819.56e3e1a1@itxbox.bitcorner.intern> <20140209160626.42dc5259@itxbox.bitcorner.intern> <52F7A354.3000905@fuerstenberg.ws> Message-ID: <52F7AC29.1060705@heinlein-support.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 09.02.2014 16:48, schrieb Kai Fürstenberg: > Eleganter wäre folgendes: > > main.cf: 10025_recipient_restrictions = check_recipient_access > hash:/etc/postfix/hold permit_mynetworks reject Warum dieser ganze Aufwand und die Komplexität? Das Restrictions-Kapitel mit der dortigen Musterlösung erklärt, wie man das OHNE eine Sonderlocke abbildet. So, daß auch HOLD sofort geht. Mach es einfach wie die Musterlösung zeigt und Du hättest kein Problenm gehabt. Und eine einfache Konfig. Deine Restrictions sind ein totales durcheinander und Du kriegst hier die Quittung. Aus guten Gründen sind die access-Maps dort beispielsweise immer vor permit_mynetworks & Co. Und die ganzen Schlunzi-Howtos, die erklären, man müsse in der master.cf einen Riesenvoodoodingeumbummelkrams machen und auf Port 10025 alles mögliche (leer) definieren, sind IMHO Bullshit ohne Sinn und Verstand. Peer - -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJS96wpAAoJEAOLLpq5E82H53YIAL1srO4PEHVvlKf+Pm0fogD1 gUtDj6bPSzc1n2K1YRU8Muxp0jp6Zdl8c2SC11/n0FNI8aeUGrEPdfGla06NiR3J AiDrW44hxi+lQXFXLHrZaY9GOkaOB4SNnsBQut1U7pd8Mh2LIiwXLkiw1RsEd10U Jfo3px+8ZE0lHdqo3bPRYVt+YgGG56rqOan1BiibjxHctpRjOjqY4nyxuMrlYBOe IU6WZX3gQoFypPZkZ4GNumvCVt0lXLRngCmqc0OnZedZTYRhtlNPtYxqn6lMGlrJ 5dpTfaH3v1A8qiHqIdYntkAAS9JSao+S3KKezfcBKFS22wWG9D4MEJR5egyIsLw= =zkQO -----END PGP SIGNATURE----- From p.heinlein at heinlein-support.de Sun Feb 9 17:27:28 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 09 Feb 2014 17:27:28 +0100 Subject: [Postfixbuch-users] header check Ausnahme In-Reply-To: <52F4E99D.6070503@datentraeger.li> References: <52F4E99D.6070503@datentraeger.li> Message-ID: <52F7AC70.8020406@heinlein-support.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 07.02.2014 15:11, schrieb Peter Beck: Hi, > Das ist ja auch nicht das Problem, da hab ich schnell einen header > check gemacht, welcher etwa so aussieht: > > /^To:.*@domain.com/ HOLD Nicht header_checks, sondern lieber sender/recipient access-Maps. Auf Header kann man sich nicht verlassen. UND die access-maps sind effizienter. UND man könnte mit access-Maps Restriction Classes nutzen. Peer - -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJS96xwAAoJEAOLLpq5E82HJ3cIALtcNDqXKxwarnIVJO2ShQ8x Ju1JMtKNN0ZUG/y2HoOE4xAsrnoi+XkRXYJbXRaQ8udWJ/kR5B/Yk2scm9avTI0O MmrXLWFdUj/vqmYwEt1FYkbin4JUTylTUYwM8WnuKImBG84iCuiLHlVRvwGIqz0/ nHJyMlG2F79pNNUggAgqWO7WIqs7JhGzQg9Lks6EJKNyVduVOCG5vm10WW+f89Ob u2xYmXThyUz6C0bf5bNxsn0ERGa5iZGKazEA7MnOxbnP/n9EqA/oUQnOqkp+DyGS saACGl5A02ebF1MQMWa7Xd4im1c4Z9syoh9jtN0NHggM1FEEEr843wYyIi8amzU= =rzRO -----END PGP SIGNATURE----- From anmeyer at anup.de Sun Feb 9 19:16:46 2014 From: anmeyer at anup.de (Andreas Meyer) Date: Sun, 9 Feb 2014 19:16:46 +0100 Subject: [Postfixbuch-users] action HOLD is unavailable In-Reply-To: <52F7AC29.1060705@heinlein-support.de> References: <20140209144401.62ee078e@itxbox.bitcorner.intern> <20140209150207.0623164b@titan.byte.cx> <20140209151819.56e3e1a1@itxbox.bitcorner.intern> <20140209160626.42dc5259@itxbox.bitcorner.intern> <52F7A354.3000905@fuerstenberg.ws> <52F7AC29.1060705@heinlein-support.de> Message-ID: <20140209191646.0c0e7bf8@itxbox.bitcorner.intern> Peer Heinlein wrote: > Am 09.02.2014 16:48, schrieb Kai Fürstenberg: > > > Eleganter wäre folgendes: > > > > main.cf: 10025_recipient_restrictions = check_recipient_access > > hash:/etc/postfix/hold permit_mynetworks reject > > > Warum dieser ganze Aufwand und die Komplexität? > > Das Restrictions-Kapitel mit der dortigen Musterlösung erklärt, wie > man das OHNE eine Sonderlocke abbildet. So, daß auch HOLD sofort geht. > > Mach es einfach wie die Musterlösung zeigt und Du hättest kein > Problenm gehabt. Und eine einfache Konfig. > > Deine Restrictions sind ein totales durcheinander und Du kriegst hier > die Quittung. > > Aus guten Gründen sind die access-Maps dort beispielsweise immer vor > permit_mynetworks & Co. Und die ganzen Schlunzi-Howtos, die erklären, > man müsse in der master.cf einen Riesenvoodoodingeumbummelkrams machen > und auf Port 10025 alles mögliche (leer) definieren, sind IMHO > Bullshit ohne Sinn und Verstand. Ganz ruhig, Chef! Ich schau heute abend ins Postfixbuch und lese mir das Restrictions-Kapitel durch. Ich habe hier zwar nur die 2. Auflage zur Verfügung, aber mal schau'n. Ich wollte nur ein bißchen probieren. Man lernt aber immer wieder dazu. Schönen Abend! Andreas -- Mein öffentlicher PGP/GPG-key unter: https://www.anup.de/keys/anmeyer at anup.de.asc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: nicht verfügbar URL : From sebastian at debianfan.de Tue Feb 11 18:53:29 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 11 Feb 2014 18:53:29 +0100 Subject: [Postfixbuch-users] Spamwelle von *.startdedicated.com Servern; Intergenia AG bzw. Plusserver ignoriert Abuse In-Reply-To: <1390903559.6326.19.camel@workstation.fk> References: <1390903559.6326.19.camel@workstation.fk> Message-ID: <52FA6399.1080104@debianfan.de> hat hier einer mal was unternommen ? irgendwelche ideen ? Am 28.01.2014 11:05, schrieb Florian Kaiser: > Hey, > > auf fast allen von mir betreuten Systemen tauchen seit der letzten Woche > vermehrt Spams von (wahrscheinlich mit Schadsoftware kompromittierten) > Servern mit gemeinsamen Teil im Hostnamen auf. Technisch sind die > E-Mails einwandfrei. Alle immer korrekt vorwärts und rückwärts > auflösendem Hostnamen. Leider sind die E-Mails auch in der > Inhaltsanalyse nicht immer als Spam zu erkennen. > > Gemeinsamkeit ist der Hostname, der immer *.startdedicated.com, z.B. > eben wieder zebra596.startdedicated.com ist. Anfangs war es scheinbar > nur eine Maschine, inzwischen sind es wenigstens verschiedene IPs und > unterschiedliche auflösende Hostnamen, vermutlich also auch verschiedene > Server. > > Diverse Abuse-Meldungen an den im AS (AS8972) gelisteten Kontakt > abuse at plusserver.de werden leider ignoriert. > > > Habt ihr das auch? Vielleicht schreibt noch jemand einen Abuse-Report, > vielleicht bewegt sich Plusserver dann. > > Oder liest hier vielleicht jemand von der Intergenia AG mit und kann das > mal eskalieren? > > Wir haben uns jetzt damit beholfen, den Received-Header auf .* > \.startdedicated\.com zu checken und eine entsprechend hohe Score zu > vergeben - aber das kann ja keine Dauerlösung sein. > > > Schöne Grüße > Florian > > From t.schneider at tms-itdienst.at Wed Feb 12 08:58:08 2014 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 12 Feb 2014 08:58:08 +0100 Subject: [Postfixbuch-users] Spamwelle von *.startdedicated.com Servern; Intergenia AG bzw. Plusserver ignoriert Abuse In-Reply-To: <52FA6399.1080104@debianfan.de> References: <1390903559.6326.19.camel@workstation.fk> <52FA6399.1080104@debianfan.de> Message-ID: <52FB2990.7070203@tms-itdienst.at> Hi Florian, Am 11.02.2014 18:53, schrieb sebastian at debianfan.de: > hat hier einer mal was unternommen ? > > irgendwelche ideen ? > > ich hatte mal X-Mails an die zwecks VoIP-Angriff auf unsere Systeme geschrieben, auch eine Mail an die Ripe hatte nichts gebracht. Die haben die Mails einfach ignoriert. Aus meiner Sicht verletzen die Ihre "Aufsichtspflicht" ich meine die wurden informiert, über dass was da in Ihrem Rechenzentrum vorsich geht und unternehmen nichts, da liegt es nahe dass sie selbst Interesse haben das Ihre Rechner dazu verwendet werden, oder die stecken selbst mit drin. Also wenn da mal nicht jemand ganz Großes(Provider o.a. Instanz) etwas unternimmt, dann passiert da nichts. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Meine Public Key finden Sie unter www.tms-itdienst.at/kontakt.htm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 555 bytes Beschreibung: OpenPGP digital signature URL : From matsimon.lists at simweb.ch Wed Feb 12 13:41:00 2014 From: matsimon.lists at simweb.ch (Mathieu Simon (Lists)) Date: Wed, 12 Feb 2014 13:41:00 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern Message-ID: <52FB6BDC.4070203@simweb.ch> Liebe Liste Aktuell habe ich eher am Rande das Vergnügen mich mit Mailservern auseinanderzusetzen - aber demnächst gilt es das SSL-Zertifikat des ein- resp. ausgehenden Mailservers (kein Postfix) zu erneuern. Da die MS entschieden hat, ab 2017 auf u.a. deren Betriebssystemen SHA1 signierte SSL-Zertifikate nicht mehr zu akzeptieren und auch sonst SHA1 nicht mehr allzu empfehlenswert ist (aber noch weit verbreitet), dachte ich, der Zeitpunkt wäre reif, einmal über SHA2 Zertifikate nachzudenken. Gerade deswegen, weil dieses Jahr verlängerte Zertifikate meist 2 bis 3 Jahre und damit bis 2016/17 gültig sein werden. Die bisherige CA StartSSL signiert einen entsprechenden signing request für SHA2 anstandslos mit der entsprechend anderen Sub-CA und die bisherigen Tests mit einer dafür eingerichteten SSL-Webseite hat keine Probleme mit Browsern aufgezeigt. (Einmal abgesehen von den beiden Dinos Windows XP SP2 und Server 2003...) Wie sieht es dagegen auf der SMTP-Seite aus? Gibt es unter den Lesern Leute, die für StartTLS auf ihren ein- und ausgehenden Mailservern so etwas bereits einsetzen und wenn ja, wie sind die Erfahrungswerte? Es wäre für äusserst unangenehm, wenn plötzlich Mails nicht mehr gesendet oder empfangen werden könnten. - Aber vielleicht ist das Bild bei SMTP wie bei Browsern bereits ähnlich gut? Grüsse Mathieu * https://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2880823-recommendation-to-discontinue-use-of-sha-1.aspx oder: http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx From alois.kratochwill at wdns.at Wed Feb 12 16:37:53 2014 From: alois.kratochwill at wdns.at (Alois Kratochwill) Date: Wed, 12 Feb 2014 16:37:53 +0100 Subject: [Postfixbuch-users] OT: Webhosting Reseller Message-ID: <52FB9551.2020504@wdns.at> Hallo Liste! Ich hoffe und bitte, Ihr nehmt es mir nicht allzu übel, dass ich als stiller Leser dieser Liste - diese zweckmäßig missbrauche, aber nach dreitägiger Suche im Netz weiß ich nicht mehr, wo mir der Kopf steht. Ich brauche einige Ratschläge oder Empfehlungen. Ich soll für eine Werbe-/Grafik-/Webagentur ca. 70 kleine bis mittlere Webprojekte (keine Shops), derzeit verteilt auf mehrere Hoster in ein kompaktes Paket bei einem Anbieter vereinen. Mein Auftraggeber agiert dabei in Form des Hosters(-Reseller). Root- u. vServer möchte ich an dieser Stelle ausschließen, es soll ein Managed-Server (Sorglos-Paket ;-) ) werden: Einfaches Anlegen von Kundenaccounts, Domains etc.. Ich tendiere nach dreitägiger Suche zu Hetzner (Managed Server) oder Speicherhosting (Reseller-Server). Was meint Ihr dazu? Beste Grüße Alois Kratochwill -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4267 bytes Beschreibung: S/MIME Cryptographic Signature URL : From bluewind at xinu.at Wed Feb 12 16:54:14 2014 From: bluewind at xinu.at (Florian Pritz) Date: Wed, 12 Feb 2014 16:54:14 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Unsere_SpamAssassin-Regeln_f=C3=BCr?= =?utf-8?q?_alle_zum_Download?= In-Reply-To: <20140203113410.GI18694@charite.de> References: <52D85F0D.4030304@heinlein-support.de> <20140201T221016.GA.86410.stse@fsing.rootsland.net> <20140203113410.GI18694@charite.de> Message-ID: <52FB9926.2030904@xinu.at> On 03.02.2014 12:34, Ralf Hildebrandt wrote: > * Stephan Seitz : >> On Thu, Jan 16, 2014 at 11:37:01PM +0100, Peer Heinlein wrote: >> >http://www.heinlein-support.de/blog/news/aktuelle-spamassassin-regeln-von-heinlein-support/ >> >> Es sieht so aus, als wäre GPG jetzt verfügbar. Leider finde ich den >> Schlüssel nirgendswo. Könntest du den bitte veröffentlichen? >> >> error: GPG validation failed! >> The update downloaded successfully, but it was not signed with a >> trusted GPG key. Instead, it was signed with the following keys: >> >> 343F74FE > > Das geht mir auch so. Gibts den Schlüssel mittlerweile irgendwo? Keyserver scheinen ihn nicht zu haben und im blog post seh ich auch nix. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at anup.de Wed Feb 12 18:29:10 2014 From: anmeyer at anup.de (Andreas Meyer) Date: Wed, 12 Feb 2014 18:29:10 +0100 Subject: [Postfixbuch-users] OT: Webhosting Reseller In-Reply-To: <52FB9551.2020504@wdns.at> References: <52FB9551.2020504@wdns.at> Message-ID: <20140212182910.658f208b@itxbox.bitcorner.intern> Hallo! Alois Kratochwill wrote: > Ich hoffe und bitte, Ihr nehmt es mir nicht allzu übel, dass ich als > stiller Leser dieser Liste - diese zweckmäßig missbrauche, aber nach > dreitägiger Suche im Netz weiß ich nicht mehr, wo mir der Kopf steht. > Ich brauche einige Ratschläge oder Empfehlungen. > > Ich soll für eine Werbe-/Grafik-/Webagentur ca. 70 kleine bis mittlere > Webprojekte (keine Shops), derzeit verteilt auf mehrere Hoster in ein > kompaktes Paket bei einem Anbieter vereinen. Mein Auftraggeber agiert > dabei in Form des Hosters(-Reseller). Root- u. vServer möchte ich an > dieser Stelle ausschließen, es soll ein Managed-Server (Sorglos-Paket > ;-) ) werden: Einfaches Anlegen von Kundenaccounts, Domains etc.. > > Ich tendiere nach dreitägiger Suche zu Hetzner (Managed Server) oder > Speicherhosting (Reseller-Server). Warum klärst Du mit den Hostern nicht einfach, was Managed Server und Reseller-Server sind und was die Unterschiede ausmacht? Managed Server meint, man nimmt Dir Verwaltungsarbeiten ab, die Du vielleicht besser selber erledigen solltest, wenn alles nach Deinem Wunsch laufen soll? Reseller-Server wenn Du Platz im Server weiterverkaufen willst? Willst Du das? Hetzner hat nach wie vor sehr gut Kritiken und ich weis aus Erfahrung, dass der Service sehr gut ist. HTH Andreas -- Mein öffentlicher PGP/GPG-key unter: https://www.anup.de/keys/anmeyer at anup.de.asc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: nicht verfügbar URL : From alois.kratochwill at wdns.at Wed Feb 12 22:32:58 2014 From: alois.kratochwill at wdns.at (Alois Kratochwill | WDNS.at) Date: Wed, 12 Feb 2014 22:32:58 +0100 Subject: [Postfixbuch-users] OT: Webhosting Reseller In-Reply-To: <20140212182910.658f208b@itxbox.bitcorner.intern> References: <52FB9551.2020504@wdns.at> <20140212182910.658f208b@itxbox.bitcorner.intern> Message-ID: <814880ed38d7b1957406f1c697223653@wdns.at> Am 12.02.2014 18:29, schrieb Andreas Meyer: > Hallo! Hallo Andreas! > > Warum klärst Du mit den Hostern nicht einfach, was Managed Server und > Reseller-Server sind und was die Unterschiede ausmacht? Managed Server > meint, man nimmt Dir Verwaltungsarbeiten ab, die Du vielleicht besser > selber erledigen solltest, wenn alles nach Deinem Wunsch laufen soll? > Reseller-Server wenn Du Platz im Server weiterverkaufen willst? Willst > Du das? Hetzner hat nach wie vor sehr gut Kritiken und ich weis aus > Erfahrung, dass der Service sehr gut ist. > Danke für Deine Info! An dieser Stelle möchte ich mich auch bei all jenen bedanken, die mir *privat* geantwortet haben. Grüße! > HTH > > Andreas From andreas.schulze at datev.de Wed Feb 12 23:11:28 2014 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 12 Feb 2014 23:11:28 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: <52FB6BDC.4070203@simweb.ch> References: <52FB6BDC.4070203@simweb.ch> Message-ID: <20140212221128.GA21505@spider.services.datevnet.de> Am 12.02.2014 13:41 schrieb Mathieu Simon (Lists): > Es wäre für äusserst unangenehm, wenn plötzlich Mails nicht mehr > gesendet oder empfangen werden könnten. - Aber vielleicht ist das Bild > bei SMTP wie bei Browsern bereits ähnlich gut? TLS ist normalerweise opportunistisch. Wenn ein MTA STARTTLS sieht und dann scheitert, *sollte* er auf Klartext zurückfallen. (hat da mal jemand verlässlich ausprobiert?) -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From Ralf.Hildebrandt at charite.de Thu Feb 13 11:59:19 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 13 Feb 2014 11:59:19 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: <20140212221128.GA21505@spider.services.datevnet.de> References: <52FB6BDC.4070203@simweb.ch> <20140212221128.GA21505@spider.services.datevnet.de> Message-ID: <20140213105919.GL2471@charite.de> * Andreas Schulze : > Am 12.02.2014 13:41 schrieb Mathieu Simon (Lists): > > Es wäre für äusserst unangenehm, wenn plötzlich Mails nicht mehr > > gesendet oder empfangen werden könnten. - Aber vielleicht ist das Bild > > bei SMTP wie bei Browsern bereits ähnlich gut? > TLS ist normalerweise opportunistisch. Wenn ein MTA STARTTLS sieht und dann scheitert, > *sollte* er auf Klartext zurückfallen. > (hat da mal jemand verlässlich ausprobiert?) Das ist im neuesten Snapshot gefixt... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From matsimon.lists at simweb.ch Thu Feb 13 13:01:15 2014 From: matsimon.lists at simweb.ch (Mathieu Simon (Lists)) Date: Thu, 13 Feb 2014 13:01:15 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: <20140213105919.GL2471@charite.de> References: <52FB6BDC.4070203@simweb.ch> <20140212221128.GA21505@spider.services.datevnet.de> <20140213105919.GL2471@charite.de> Message-ID: <52FCB40B.7000202@simweb.ch> Hallo Liste Am 13.02.2014 11:59, schrieb Ralf Hildebrandt: > * Andreas Schulze : >> TLS ist normalerweise opportunistisch. Wenn ein MTA STARTTLS sieht und dann scheitert, >> *sollte* er auf Klartext zurückfallen. >> (hat da mal jemand verlässlich ausprobiert?) > > Das ist im neuesten Snapshot gefixt... Von Postfix? Mir geht es v.a. darum, ob ich besser noch auf SHA1 bleibe, weil allenfalls trotz des Alters von SHA2 nach wie vor viele Server draussen laufen, die damit nicht sauber umgehen können. Ich stelle mir vor, dass man beim MX eher konservativer als bei Webservern und insbesondere Browsern versioniert. (nicht alle dürften sich Postfix aus den Snapshots bauen) ;-) Nicht ganz ernst gemeinte Alternative: SHA2-Zertifikat installieren und sich als Admin in einen Bunker verdrücken, wenn dann zig Mails abprasseln oder nicht mehr zugestellt werden können. Ich habe von ein paar anderen MXen ob grosse oder kleine Firmen, mir die Serverzertifikate mit OpenSSL geholt und den Signaturalgorithmus ausgewertet. Kurzes Fazit dieser nicht repräsentativen Auswertung: Kein einziger mit SHA256, das gross SHA1, ein paar wenige auch noch mit MD5. Grüsse Mathieu From Ralf.Hildebrandt at charite.de Thu Feb 13 13:38:05 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 13 Feb 2014 13:38:05 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: <52FCB40B.7000202@simweb.ch> References: <52FB6BDC.4070203@simweb.ch> <20140212221128.GA21505@spider.services.datevnet.de> <20140213105919.GL2471@charite.de> <52FCB40B.7000202@simweb.ch> Message-ID: <20140213123805.GP2471@charite.de> * Mathieu Simon (Lists) : > Hallo Liste > > Am 13.02.2014 11:59, schrieb Ralf Hildebrandt: > > * Andreas Schulze : > >> TLS ist normalerweise opportunistisch. Wenn ein MTA STARTTLS sieht und dann scheitert, > >> *sollte* er auf Klartext zurückfallen. > >> (hat da mal jemand verlässlich ausprobiert?) > > > > Das ist im neuesten Snapshot gefixt... > Von Postfix? Jo: 20140209 Workaround: the Postfix SMTP client now also falls back to plaintext when TLS fails after the TLS protocol handshake. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From stickybit at myhm.de Fri Feb 14 11:55:11 2014 From: stickybit at myhm.de (Andre) Date: Fri, 14 Feb 2014 11:55:11 +0100 Subject: [Postfixbuch-users] STRATO Antwort-Template Message-ID: <52FDF60F.6040806@myhm.de> Hallo, in den letzten Tagen scheint Strato ihre Mailserver nicht mehr unter Kontrolle zu haben. Diese geraten immer wieder auf Blacklists. Ein Kunde von uns hat sich bei beschwert, dass unser Mailsystem Mails von Strato zurückweist. Wir haben ihn gebeten den Hinweis bez. Blacklists an Strato weiterzuleiten, worauf er die unten stehende Antwort bekommen hat. Hier keine Frage, nur als Info für alle Beteiligten hier. Viel Spaß beim Lesen. ;-) Gruß Andre _________________________ Sehr geehrter Herr XXX, vielen Dank für Ihre Anfrage, die ich Ihnen gerne beantworte. Sie haben festgestellt, dass von Ihnen versendete E-Mails blockiert werden, weil STRATO als vermeintlicher Spam-Absender auf der Blacklist von spamcop.net oder auf einer ähnlichen Liste geführt wird. Wir möchten Ihnen versichern, dass uns dieser Umstand bereits bekannt ist und wir bereits sämtliche Schritte unternommen haben, um von dieser Liste (und ggf. anderen ähnlichen Listen) entfernt zu werden. Leider sind einige Betreiber von Spam-Listen hier nicht immer kooperativ. STRATO (und im Übrigen auch andere Betreiber großer Mailservices, also auch unsere Mitbewerber) gerät immer wieder auf solche Listen, weil z.B. Webmailerscripte der Kunden von Spammern missbraucht werden und diese Mails dann über STRATO Mailserver versendet werden. Dass die STRATO Mailserver an sich sicher sind und STRATO auch kein Spammer ist, ist den Betreibern solcher Listen leider egal. Bitte beachten Sie, dass die Verwendung von Blacklists immer auch zu falsch positiven Ergebnissen führen kann. Wenden Sie sich in dieser Angelegenheit bitte ggf. auch an den Mailserver-Betreiber Ihres Korrespondenzpartners - die Verwendung der Blacklist für die eigenen Maildienste liegt in dessen Verantwortung. Die Nachteile, die eine Verwendung von Blacklists mit sich bringen kann, werden z.B. beschrieben unter"http://de.wikipedia.org/wiki/Realtime_Blackhole_List" Für weitere Fragen stehen meine Kollegen und ich Ihnen jederzeit gerne zur Verfügung. Ihre Meinung über unseren Kundenservice ist uns sehr wichtig! Bitte nehmen Sie sich etwas Zeit für unseren Fragebogen - damit wir zukünftig noch besser auf Ihre Wünsche eingehen können. Mit freundlichen Grüßen XXX XXX STRATO Customer Care _________________________ From kai_postfix at fuerstenberg.ws Fri Feb 14 12:50:58 2014 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Fri, 14 Feb 2014 12:50:58 +0100 Subject: [Postfixbuch-users] STRATO Antwort-Template In-Reply-To: <52FDF60F.6040806@myhm.de> References: <52FDF60F.6040806@myhm.de> Message-ID: <52FE0322.5040601@fuerstenberg.ws> Am 14.02.2014 11:55, schrieb Andre: > Wir möchten Ihnen versichern, dass uns dieser Umstand bereits bekannt > ist und wir bereits sämtliche Schritte unternommen haben, um von dieser > Liste (und ggf. anderen ähnlichen Listen) entfernt zu werden. Leider > sind einige Betreiber von Spam-Listen hier nicht immer kooperativ. Ist zumindest schon mal schön, dass überhaupt was gemacht wird. > STRATO (und im Übrigen auch andere Betreiber großer Mailservices, also > auch unsere Mitbewerber) gerät immer wieder auf solche Listen, weil z.B. > Webmailerscripte der Kunden von Spammern missbraucht werden und diese > Mails dann über STRATO Mailserver versendet werden. Ja, kann jedem passieren. Und es obliegt dem Betreiber des Servers herauszufinden, über welches Skript die Mails laufen und das zu sperren und erst wieder freizugeben, wenn's repariert ist. Aber man möchte seine Kunden ja nicht auf seine Fehler aufmerksam machen oder gar durch eine Sperre vergraulen. Auf der anderen Seite muss ich mir aber auch überlegen, ob es nicht billiger ist, einzelne Kunden loszuwerden und dafür keinen (oder zumindest weniger) Stress mehr mit Blacklists zu haben, auf denen ich gelandet bin. > Dass die STRATO Mailserver an sich sicher sind und STRATO auch kein > Spammer ist, ist den Betreibern solcher Listen leider egal. Natürlich ist denen das egal! Es hat auch niemand behauptet, dass Strato ein Spammer ist, oder?!? Dennoch laufen Spams über deren Server. Crystone ist auch kein Spammer, dafür hostet der etliche, genau wie Kolido (ich hab grade festgestellt, der ist nicht mehr in Mittelamerika, sondern jetzt auf Teneriffa (zumindest offiziell)). > Bitte beachten Sie, dass die Verwendung von Blacklists immer auch zu > falsch positiven Ergebnissen führen kann. > Wenden Sie sich in dieser Angelegenheit bitte ggf. auch an den > Mailserver-Betreiber Ihres Korrespondenzpartners - die Verwendung der > Blacklist für die eigenen Maildienste liegt in dessen Verantwortung. Natürlich...! Jetzt wird der schwarze Peter wieder zurückgegeben. Was sollen die auch sonst tun. > Die Nachteile, die eine Verwendung von Blacklists mit sich bringen kann, > werden z.B. beschrieben > unter"http://de.wikipedia.org/wiki/Realtime_Blackhole_List" Das ist doch eine ganz klassische Stellungnahme, wie sie in etlichen Unternehmen standardmäßig wiedergegeben wird, wenn man nichts auf die Reihe bekommt: Erst mal sagen, dass was getan wird, ein bißchen allgemeines Geplänkel und dann die Schuld auf jemand anderen schieben. So geht der eigene Fehler, den man bis dahin noch nicht mal zugeben musste völlig unter. > Ihre Meinung über unseren Kundenservice ist uns sehr wichtig! > Bitte nehmen Sie sich etwas Zeit für unseren Fragebogen - damit wir > zukünftig noch besser auf Ihre Wünsche eingehen können. Wünsche...! Strato, ich wünsche mir, dass ihr eure Web-Skripts überprüft, und im Bedarfsfall auch euren Kunden informiert, dass über deren Skripte Spams verschickt werden. Ihr könntet bei solchen Anfragen wie hier sagen, dass dies durch ein fehlerhaftes Skript entstanden ist, dass ihr daran arbeitet, dass es nicht mehr passiert und dass ihr euren Kunden gebeten habt, seine Skripte zu überarbeiten, bei dem Fragesteller entschuldigen, dass es Probleme gegeben hat. u.s.w.u.s.f. Aber das passiert nicht. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From stickybit at myhm.de Fri Feb 14 14:57:33 2014 From: stickybit at myhm.de (Andre) Date: Fri, 14 Feb 2014 14:57:33 +0100 Subject: [Postfixbuch-users] STRATO Antwort-Template In-Reply-To: <52FE0322.5040601@fuerstenberg.ws> References: <52FDF60F.6040806@myhm.de> <52FE0322.5040601@fuerstenberg.ws> Message-ID: <52FE20CD.9070308@myhm.de> Am 14.02.2014 12:50, schrieb Kai Fürstenberg: > Am 14.02.2014 11:55, schrieb Andre: >> Liste (und ggf. anderen ähnlichen Listen) entfernt zu werden. Leider >> sind einige Betreiber von Spam-Listen hier nicht immer kooperativ. > Ist zumindest schon mal schön, dass überhaupt was gemacht wird. Ich finde es ziemlich kontraproduktiv um nicht zu sagen pervers, die schädlichen Kunden-Scripte einfach laufen zu lassen und dann sich um die Blacklists zu kümmern - Sisyphusarbeit. > Auf der anderen Seite muss ich mir aber auch > überlegen, ob es nicht billiger ist, einzelne Kunden loszuwerden und > dafür keinen (oder zumindest weniger) Stress mehr mit Blacklists zu > haben, auf denen ich gelandet bin. Nein, das geht nicht. Man hat ja in teure Werbung investiert. Dann ist man auch noch Monate lang auf Schnorrer- und Deppenfang mit mit 0,08 EUR im ersten Jahr für eine .de Domain. Die Kunden müssen unbedingt noch mind. das zweite Jahr bleiben, um 7,08 EUR zahlen zu dürfen, sonst lohnt sich das Ganze nicht. Die Investitionen müssen ja wieder eingespielt werden. From sebastian at debianfan.de Sat Feb 15 18:23:04 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 15 Feb 2014 18:23:04 +0100 Subject: [Postfixbuch-users] saslauth & mysql Message-ID: <52FFA278.8080008@debianfan.de> Hallo, ich habe nun noch einmal probiert, Postfix mit MySql-Backend zum laufen zu bringen. Ich bin von einer funktionierenden Postfix-Installation ausgegangen - mittels saslauth wird sich hier über die Nutzerkonten vom Debian-System identifiziert. Nun kommt aber beim Versuch des sendens die Meldung: SASL LOGIN authentication failed: no mechanism available Hier die Daten: main.cf http://pastebin.com/Vynginqc master.cf http://pastebin.com/Ei26bTT2 smtpd.conf http://pastebin.com/n0GwbwPn Was braucht Ihr noch ? gruß Sebastian From ad+lists at uni-x.org Sat Feb 15 19:25:08 2014 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Sat, 15 Feb 2014 19:25:08 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <52FFA278.8080008@debianfan.de> References: <52FFA278.8080008@debianfan.de> Message-ID: <52FFB104.9010905@uni-x.org> Am 15.02.2014 18:23, schrieb sebastian at debianfan.de: > Hallo, > > ich habe nun noch einmal probiert, Postfix mit MySql-Backend zum laufen > zu bringen. > > Ich bin von einer funktionierenden Postfix-Installation ausgegangen - > mittels saslauth wird sich hier über die Nutzerkonten vom Debian-System > identifiziert. > > Nun kommt aber beim Versuch des sendens die Meldung: > > SASL LOGIN authentication failed: no mechanism available > > > Hier die Daten: > > main.cf > > http://pastebin.com/Vynginqc > > master.cf > > http://pastebin.com/Ei26bTT2 > > smtpd.conf > > http://pastebin.com/n0GwbwPn > > > Was braucht Ihr noch ? > > gruß > > Sebastian Hallo Sebastian, Du bist doch lange genug dabei, um zu wissen, dass man keine .cf Files bereitstellt, also in Zukunft: `postconf -nf' und `postconf -Mf'. Deine cyrus-sasl Konfiguration ist total broken. Warum saslauthd? In der smtpd.conf setzt Du zwar "pwcheck_method: saslauthd", verwendest dann aber "pcheck_method: auxprop" Parameter. Für saslauthd müsste die Konfiguration anders aussehen. Deine Fehlermeldung "ASL LOGIN authentication failed: no mechanism available" sagt klar, dass Dir cyrus-sasl Libraries fehlen. Nutze mal saslfinger und schau Dir die Liste der installierten, relevanten Pakete Deiner Plattform an. Alexander From sebastian at debianfan.de Sat Feb 15 19:46:01 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 15 Feb 2014 19:46:01 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <52FFB104.9010905@uni-x.org> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> Message-ID: <52FFB5E9.1070804@debianfan.de> Am 15.02.2014 19:25, schrieb Alexander Dalloz: > postconf -nf soo - hier sind die Daten: saslfinger - postfix Cyrus sasl configuration Sa 15. Feb 19:41:53 CET 2014 version: 1.0.4 mode: server-side SMTP AUTH -- basics -- Postfix: 2.9.6 System: Debian GNU/Linux 7 \n \l -- smtpd is linked to -- libsasl2.so.2 => /usr/lib/i386-linux-gnu/libsasl2.so.2 (0xb744b000) -- active SMTP AUTH and TLS parameters for smtpd -- broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_local_domain = $myhostname smtpd_sasl_security_options = noanonymous -- listing of /usr/lib/sasl2 -- insgesamt 24 drwxr-xr-x 2 root root 4096 Feb 15 15:05 . drwxr-xr-x 61 root root 12288 Feb 15 18:15 .. -rw-r--r-- 1 root root 4 Feb 15 15:05 berkeley_db.active -rw-r--r-- 1 root root 4 Jun 9 2013 berkeley_db.txt -- listing of /etc/postfix/sasl -- insgesamt 12 drwxr-xr-x 2 root root 4096 Feb 15 17:51 . drwxr-xr-x 3 root root 4096 Feb 15 15:55 .. -rw-r--r-- 1 root root 387 Feb 15 17:59 smtpd.conf -- content of /etc/postfix/sasl/smtpd.conf -- log_level: 3 # pwcheck_method: saslauthd # mech_list: PLAIN LOGIN # saslauthd_path: /var/run/saslauthd/mux pwcheck_method: saslauthd mech_list: plain login cram-md5 digest-md5 allow_plaintext: true auxprop_plugin: mysql sql_engine: mysql sql_hostnames: 127.0.0.1 sql_user: --- replaced --- sql_passwd: --- replaced --- sql_database: mailserver sql_select: select password from users where email = '%u' -- content of /etc/postfix/sasl/smtpd.conf -- log_level: 3 # pwcheck_method: saslauthd # mech_list: PLAIN LOGIN # saslauthd_path: /var/run/saslauthd/mux pwcheck_method: saslauthd mech_list: plain login cram-md5 digest-md5 allow_plaintext: true auxprop_plugin: mysql sql_engine: mysql sql_hostnames: 127.0.0.1 sql_user: --- replaced --- sql_passwd: --- replaced --- sql_database: mailserver sql_select: select password from users where email = '%u' -- active services in /etc/postfix/master.cf -- # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) smtp inet n - n - 1 postscreen smtpd pass - - n - - smtpd -o content_filter=spamassassin dnsblog unix - - n - 0 dnsblog pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - - - - smtp showq unix n - - - - showq error unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} spamassassin unix - n n - - pipe flags=Rq user=nobody argv=/etc/filter.sh -oi -f ${sender} ${recipient} submission inet n - n - - smtpd -o header_checks=pcre:/etc/postfix/checks/header_checks -o smtpd_sasl_auth_enable=yes -o smtpd_proxy_filter= -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject retry unix - - - - - error relay unix - - n - - smtp -o smtp_fallback_relay= -- mechanisms on localhost -- 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 -- end of saslfinger output -- **************************************************************************************************************** postconf -Mf smtp inet n - n - 1 postscreen smtpd pass - - n - - smtpd -o content_filter=spamassassin dnsblog unix - - n - 0 dnsblog pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap smtp unix - - - - - smtp showq unix n - - - - showq error unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} spamassassin unix - n n - - pipe flags=Rq user=nobody argv=/etc/filter.sh -oi -f ${sender} ${recipient} submission inet n - n - - smtpd -o header_checks=pcre:/etc/postfix/checks/header_checks -o smtpd_sasl_auth_enable=yes -o smtpd_proxy_filter= -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject retry unix - - - - - error relay unix - - n - - smtp -o smtp_fallback_relay= **************************************************************************************************************** postconf -nf alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no body_checks = regexp:/etc/postfix/body_checks broken_sasl_auth_clients = yes config_directory = /etc/postfix header_checks = regexp:/etc/postfix/header_checks home_mailbox = Maildir/ inet_interfaces = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 message_size_limit = 135240000 mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp mydestination = sv1.domain.de, localhost.localdomain, localhost myhostname = domain.de mynetworks = 127.0.0.0/8 myorigin = /etc/mailname recipient_delimiter = + relayhost = smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unlisted_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_non_fqdn_recipient, reject_unknown_client_hostname, check_recipient_access hash:/etc/postfix/access, reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client ix.dnsbl.manitu.net, smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_local_domain = $myhostname smtpd_sasl_security_options = noanonymous virtual_maps = hash:/etc/postfix/virtual From ad+lists at uni-x.org Sun Feb 16 00:57:17 2014 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Sun, 16 Feb 2014 00:57:17 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <52FFB5E9.1070804@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> Message-ID: <52FFFEDD.7030102@uni-x.org> Am 15.02.2014 19:46, schrieb sebastian at debianfan.de: > > Am 15.02.2014 19:25, schrieb Alexander Dalloz: >> postconf -nf > > soo - hier sind die Daten: [ ... ] Ok, und welche cyrus-sasl Pakete hast Du installiert? Wie sieht das Logging insgesamt aus, bei dem die Fehlermeldung dabei ist? Um zu sehen, welchen Mechanismus der Client verwenden will. "pwcheck_method: saslauthd" in der smtpd.conf ist falsch, wenn Du eigentlich "pwcheck_method: auxprop" anwendest. Alexander From sebastian at debianfan.de Sun Feb 16 08:10:01 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 16 Feb 2014 08:10:01 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <52FFFEDD.7030102@uni-x.org> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> Message-ID: <53006449.2060609@debianfan.de> Am 16.02.2014 00:57, schrieb Alexander Dalloz: i A libsasl2-2 - Cyrus SASL - Bibliothek zur Abstraktion von Authentifizierungen i A libsasl2-modules - Cyrus SASL - »steckbare« Authentifizierungs-Module i libsasl2-modules-sql - Cyrus SASL - Pluggable Authentication Modules (SQL) i sasl2-bin - Verwaltungsprogramme für die Cyrus-SASL-Benutzerdatenbank Feb 16 08:08:32 server1 postfix/postscreen[4629]: CONNECT from [31.12.201.8]:64030 to [91.145.91.103]:25 Feb 16 08:08:32 server1 postfix/postscreen[4629]: PASS OLD [31.12.201.8]:64030 Feb 16 08:08:32 server1 postfix/smtpd[4630]: connect from 31-12-201-8-dynip.superkabel.de[31.12.201.8] Feb 16 08:08:32 server1 postfix/smtpd[4630]: warning: 31-12-201-8-dynip.superkabel.de[31.12.201.8]: SASL LOGIN authentication failed: no mechanism available Feb 16 08:08:32 server1 postfix/smtpd[4630]: lost connection after AUTH from 31-12-201-8-dynip.superkabel.de[31.12.201.8] Feb 16 08:08:32 server1 postfix/smtpd[4630]: disconnect from 31-12-201-8-dynip.superkabel.de[31.12.201.8] From p at sys4.de Sun Feb 16 08:26:03 2014 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 16 Feb 2014 08:26:03 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <52FFB5E9.1070804@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> Message-ID: <20140216072603.GD8932@sys4.de> * sebastian at debianfan.de : > > Am 15.02.2014 19:25, schrieb Alexander Dalloz: > > postconf -nf > > soo - hier sind die Daten: > > > saslfinger - postfix Cyrus sasl configuration Sa 15. Feb 19:41:53 CET 2014 > version: 1.0.4 > mode: server-side SMTP AUTH > > -- basics -- > Postfix: 2.9.6 > System: Debian GNU/Linux 7 \n \l > > -- smtpd is linked to -- > libsasl2.so.2 => /usr/lib/i386-linux-gnu/libsasl2.so.2 (0xb744b000) > > -- active SMTP AUTH and TLS parameters for smtpd -- > broken_sasl_auth_clients = yes > smtpd_sasl_auth_enable = yes > smtpd_sasl_authenticated_header = no > smtpd_sasl_local_domain = $myhostname > smtpd_sasl_security_options = noanonymous > > > -- listing of /usr/lib/sasl2 -- > insgesamt 24 > drwxr-xr-x 2 root root 4096 Feb 15 15:05 . > drwxr-xr-x 61 root root 12288 Feb 15 18:15 .. > -rw-r--r-- 1 root root 4 Feb 15 15:05 berkeley_db.active > -rw-r--r-- 1 root root 4 Jun 9 2013 berkeley_db.txt Es sind keine Mechanismen installiert. > -- listing of /etc/postfix/sasl -- > insgesamt 12 > drwxr-xr-x 2 root root 4096 Feb 15 17:51 . > drwxr-xr-x 3 root root 4096 Feb 15 15:55 .. > -rw-r--r-- 1 root root 387 Feb 15 17:59 smtpd.conf Setze sie 640 root:postfix, weil sie credentials für Zugriff auf MySQL enthält. > -- content of /etc/postfix/sasl/smtpd.conf -- > log_level: 3 > # pwcheck_method: saslauthd > # mech_list: PLAIN LOGIN > # saslauthd_path: /var/run/saslauthd/mux > > pwcheck_method: saslauthd > mech_list: plain login cram-md5 digest-md5 > allow_plaintext: true > auxprop_plugin: mysql > sql_engine: mysql > sql_hostnames: 127.0.0.1 > sql_user: --- replaced --- > sql_passwd: --- replaced --- > sql_database: mailserver > sql_select: select password from users where email = '%u' > -- content of /etc/postfix/sasl/smtpd.conf -- > log_level: 3 > # pwcheck_method: saslauthd > # mech_list: PLAIN LOGIN > # saslauthd_path: /var/run/saslauthd/mux > So sollte es stimmen: pwcheck_method: auxprop mech_list: plain login cram-md5 digest-md5 auxprop_plugin: mysql sql_engine: mysql sql_hostnames: 127.0.0.1 sql_user: --- replaced --- sql_passwd: --- replaced --- sql_database: mailserver sql_select: select password from users where email = '%u' > -- active services in /etc/postfix/master.cf -- > # service type private unpriv chroot wakeup maxproc command + args > # (yes) (yes) (yes) (never) (100) > smtp inet n - n - 1 postscreen > smtpd pass - - n - - smtpd -o content_filter=spamassassin Gut, kein chroot mehr. > -- mechanisms on localhost -- > 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 > 250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 Server bietet AUTH an. Config für AUTH-Zugriff aus mysql passt noch nicht. -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Sun Feb 16 10:25:04 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 16 Feb 2014 10:25:04 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140216072603.GD8932@sys4.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> Message-ID: <530083F0.8000905@debianfan.de> Am 16.02.2014 08:26, schrieb Patrick Ben Koetter: > > -- listing of /usr/lib/sasl2 -- > insgesamt 24 > drwxr-xr-x 2 root root 4096 Feb 15 15:05 . > drwxr-xr-x 61 root root 12288 Feb 15 18:15 .. > -rw-r--r-- 1 root root 4 Feb 15 15:05 berkeley_db.active > -rw-r--r-- 1 root root 4 Jun 9 2013 berkeley_db.txt > Es sind keine Mechanismen installiert. > > > > Wie installiere ich die Mechanismen ? Das System ist Debian 7. From sebastian at debianfan.de Sun Feb 16 10:29:42 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 16 Feb 2014 10:29:42 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140216072603.GD8932@sys4.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> Message-ID: <53008506.8080500@debianfan.de> Am 16.02.2014 08:26, schrieb Patrick Ben Koetter: > * Die libs sind eigentlich installiert - eigentlich... # aptitude search libsasl2 i A libsasl2-2 - Cyrus SASL - Bibliothek zur Abstraktion von Authentifizierungen p libsasl2-dev - Cyrus SASL - Authentifizierungs-Abstraktions-Bibliothek - Entwicklungsdateien i A libsasl2-modules - Cyrus SASL - »steckbare« Authentifizierungs-Module p libsasl2-modules-gssapi-heimdal - Pluggable Authentication Modules für SASL (GSSAPI) i A libsasl2-modules-gssapi-mit - Cyrus SASL - Pluggable Authentication Modules (GSSAPI) p libsasl2-modules-ldap - Cyrus SASL - Pluggable Authentication Modules (LDAP) p libsasl2-modules-otp - Cyrus SASL - Pluggable Authentication Modules (OTP) i libsasl2-modules-sql - Cyrus SASL - Pluggable Authentication Modules (SQL) From p at sys4.de Sun Feb 16 11:03:24 2014 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 16 Feb 2014 11:03:24 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <53008506.8080500@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> Message-ID: <20140216100323.GA20881@sys4.de> * sebastian at debianfan.de : > Am 16.02.2014 08:26, schrieb Patrick Ben Koetter: > > * > > Die libs sind eigentlich installiert - eigentlich... Welche Pfade? dpkg -l libsasl2-modules-sql /usr/lib64/.. ? p at rick > > # aptitude search libsasl2 > i A libsasl2-2 - Cyrus SASL - Bibliothek zur Abstraktion von > Authentifizierungen > p libsasl2-dev - Cyrus SASL - Authentifizierungs-Abstraktions-Bibliothek > - Entwicklungsdateien > i A libsasl2-modules - Cyrus SASL - »steckbare« Authentifizierungs-Module > p libsasl2-modules-gssapi-heimdal - Pluggable Authentication Modules > für SASL (GSSAPI) > i A libsasl2-modules-gssapi-mit - Cyrus SASL - Pluggable Authentication > Modules (GSSAPI) > p libsasl2-modules-ldap - Cyrus SASL - Pluggable Authentication Modules > (LDAP) > p libsasl2-modules-otp - Cyrus SASL - Pluggable Authentication Modules (OTP) > i libsasl2-modules-sql - Cyrus SASL - Pluggable Authentication Modules (SQL) > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Sun Feb 16 11:06:10 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 16 Feb 2014 11:06:10 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140216100323.GA20881@sys4.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> Message-ID: <53008D92.7@debianfan.de> Am 16.02.2014 11:03, schrieb Patrick Ben Koetter: > dpkg -l libsasl2-modules-sql # dpkg -l libsasl2-modules-sql Gewünscht=Unbekannt/Installieren/R=Entfernen/P=Vollständig Löschen/Halten | Status=Nicht/Installiert/Config/U=Entpackt/halb konFiguriert/ Halb installiert/Trigger erWartet/Trigger anhängig |/ Fehler?=(kein)/R=Neuinstallation notwendig (Status, Fehler: GROSS=schlecht) ||/ Name Version Architektur Beschreibung +++-=============================================-===========================-===========================-================================================================================================ ii libsasl2-modules-sql:i386 2.1.25.dfsg1-6+deb7u1 i386 Cyrus SASL - pluggable authentication modules (SQL) From p at sys4.de Sun Feb 16 11:10:32 2014 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 16 Feb 2014 11:10:32 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <53008D92.7@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> <53008D92.7@debianfan.de> Message-ID: <20140216101031.GD20881@sys4.de> * sebastian at debianfan.de : > > Am 16.02.2014 11:03, schrieb Patrick Ben Koetter: > > dpkg -l libsasl2-modules-sql ARGH! Kleines l, Grosses L. Sorry, mein Fehler. Bitte nochmal: $ dpkg -L libsasl2-modules p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Sun Feb 16 11:23:28 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 16 Feb 2014 11:23:28 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140216101031.GD20881@sys4.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> <53008D92.7@debianfan.de> <20140216101031.GD20881@sys4.de> Message-ID: <530091A0.9070009@debianfan.de> Am 16.02.2014 11:10, schrieb Patrick Ben Koetter: > dpkg -L libsasl2-modules /. /usr /usr/lib /usr/lib/i386-linux-gnu /usr/lib/i386-linux-gnu/sasl2 /usr/lib/i386-linux-gnu/sasl2/liblogin.so.2.0.25 /usr/lib/i386-linux-gnu/sasl2/libdigestmd5.so.2.0.25 /usr/lib/i386-linux-gnu/sasl2/libanonymous.so.2.0.25 /usr/lib/i386-linux-gnu/sasl2/libntlm.so.2.0.25 /usr/lib/i386-linux-gnu/sasl2/libplain.so.2.0.25 /usr/lib/i386-linux-gnu/sasl2/libcrammd5.so.2.0.25 /usr/share /usr/share/doc /usr/share/doc/libsasl2-modules /usr/share/doc/libsasl2-modules/changelog.Debian.gz /usr/share/doc/libsasl2-modules/copyright /usr/share/doc/libsasl2-modules/NEWS.Debian.gz /usr/share/doc/libsasl2-modules/changelog.gz /usr/share/lintian /usr/share/lintian/overrides /usr/share/lintian/overrides/libsasl2-modules /usr/lib/i386-linux-gnu/sasl2/liblogin.so.2 /usr/lib/i386-linux-gnu/sasl2/libntlm.so /usr/lib/i386-linux-gnu/sasl2/libcrammd5.so /usr/lib/i386-linux-gnu/sasl2/libntlm.so.2 /usr/lib/i386-linux-gnu/sasl2/libanonymous.so /usr/lib/i386-linux-gnu/sasl2/libplain.so /usr/lib/i386-linux-gnu/sasl2/libdigestmd5.so /usr/lib/i386-linux-gnu/sasl2/liblogin.so /usr/lib/i386-linux-gnu/sasl2/libanonymous.so.2 /usr/lib/i386-linux-gnu/sasl2/libplain.so.2 /usr/lib/i386-linux-gnu/sasl2/libdigestmd5.so.2 /usr/lib/i386-linux-gnu/sasl2/libcrammd5.so.2 From p at sys4.de Sun Feb 16 12:16:17 2014 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 16 Feb 2014 12:16:17 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <530091A0.9070009@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> <53008D92.7@debianfan.de> <20140216101031.GD20881@sys4.de> <530091A0.9070009@debianfan.de> Message-ID: <20140216111617.GF20881@sys4.de> Dein Postfix ist gegen GNU-SASL gebaut und nicht gegen Cyrus SASL oder mit Dovecot-SASL Support. Du musst der Dokumentation von Debian dazu folgen. Wenn es keine gibt, dann nerv sie. Vielleich hat hier auf der ML jemand anders bereits damit Erfahrung gesammelt. Mein - persönlicher - letzter Status ist: GNU-SASL ist frei, aber unbrauchbar. Genauso wie GNUTLS. p at rick P.S. Mit ein Grund warum ich mich privat von Debian verabschiedet habe. Sollen sie an Rechthaberei zugrunde gehen. Brauchbare Systeme an denen ich Freude habe gehen anders. * sebastian at debianfan.de : > > Am 16.02.2014 11:10, schrieb Patrick Ben Koetter: > > dpkg -L libsasl2-modules > > /. > /usr > /usr/lib > /usr/lib/i386-linux-gnu > /usr/lib/i386-linux-gnu/sasl2 > /usr/lib/i386-linux-gnu/sasl2/liblogin.so.2.0.25 > /usr/lib/i386-linux-gnu/sasl2/libdigestmd5.so.2.0.25 > /usr/lib/i386-linux-gnu/sasl2/libanonymous.so.2.0.25 > /usr/lib/i386-linux-gnu/sasl2/libntlm.so.2.0.25 > /usr/lib/i386-linux-gnu/sasl2/libplain.so.2.0.25 > /usr/lib/i386-linux-gnu/sasl2/libcrammd5.so.2.0.25 > /usr/share > /usr/share/doc > /usr/share/doc/libsasl2-modules > /usr/share/doc/libsasl2-modules/changelog.Debian.gz > /usr/share/doc/libsasl2-modules/copyright > /usr/share/doc/libsasl2-modules/NEWS.Debian.gz > /usr/share/doc/libsasl2-modules/changelog.gz > /usr/share/lintian > /usr/share/lintian/overrides > /usr/share/lintian/overrides/libsasl2-modules > /usr/lib/i386-linux-gnu/sasl2/liblogin.so.2 > /usr/lib/i386-linux-gnu/sasl2/libntlm.so > /usr/lib/i386-linux-gnu/sasl2/libcrammd5.so > /usr/lib/i386-linux-gnu/sasl2/libntlm.so.2 > /usr/lib/i386-linux-gnu/sasl2/libanonymous.so > /usr/lib/i386-linux-gnu/sasl2/libplain.so > /usr/lib/i386-linux-gnu/sasl2/libdigestmd5.so > /usr/lib/i386-linux-gnu/sasl2/liblogin.so > /usr/lib/i386-linux-gnu/sasl2/libanonymous.so.2 > /usr/lib/i386-linux-gnu/sasl2/libplain.so.2 > /usr/lib/i386-linux-gnu/sasl2/libdigestmd5.so.2 > /usr/lib/i386-linux-gnu/sasl2/libcrammd5.so.2 > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Sun Feb 16 13:09:19 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 16 Feb 2014 13:09:19 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140216111617.GF20881@sys4.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> <53008D92.7@debianfan.de> <20140216101031.GD20881@sys4.de> <530091A0.9070009@debianfan.de> <20140216111617.GF20881@sys4.de> Message-ID: <5300AA6F.9060309@debianfan.de> Am 16.02.2014 12:16, schrieb Patrick Ben Koetter: > Dein Postfix ist gegen GNU-SASL gebaut und nicht gegen Cyrus SASL oder mit > Dovecot-SASL Support. Du musst der Dokumentation von Debian dazu folgen. Wenn > es keine gibt, dann nerv sie. Vielleich hat hier auf der ML jemand anders > bereits damit Erfahrung gesammelt. > > Ich bin bislang davon ausgegangen, das libsasl2 libsasl2-modules sasl2-bin die Dateien von cyrus-sasl sind. From p at sys4.de Sun Feb 16 13:50:57 2014 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 16 Feb 2014 13:50:57 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <5300AA6F.9060309@debianfan.de> References: <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> <53008D92.7@debianfan.de> <20140216101031.GD20881@sys4.de> <530091A0.9070009@debianfan.de> <20140216111617.GF20881@sys4.de> <5300AA6F.9060309@debianfan.de> Message-ID: <20140216125057.GI20881@sys4.de> * sebastian at debianfan.de : > > Am 16.02.2014 12:16, schrieb Patrick Ben Koetter: > > Dein Postfix ist gegen GNU-SASL gebaut und nicht gegen Cyrus SASL oder mit > > Dovecot-SASL Support. Du musst der Dokumentation von Debian dazu folgen. Wenn > > es keine gibt, dann nerv sie. Vielleich hat hier auf der ML jemand anders > > bereits damit Erfahrung gesammelt. > > > > > > Ich bin bislang davon ausgegangen, das libsasl2 libsasl2-modules > sasl2-bin die Dateien von cyrus-sasl sind. Ja, ich auch. Also gnusasl libs installieren und herausfinden wie man gnusasl konfiguriert. p at rick -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From lists at puersten.de Mon Feb 17 09:40:41 2014 From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=) Date: Mon, 17 Feb 2014 09:40:41 +0100 Subject: [Postfixbuch-users] greylisting daemon mit zentraler Datenbank Message-ID: <5301CB09.9020504@puersten.de> Guten Morgen, ich bin auf der Suche nach einem, zuverlässig laufenden, Greylisting Daemon mit zentraler Datenbank (am liebsten MySQL). Bekannt ist mir hier nur SQLgrey. Hintergrund sind mehrere Server hinter einem Lastverteiler und die dadurch auftretenden Probleme wenn jeder Server seine eigene lokale Datenbank pflegt. Aus diesem Grund suche ich nun einen Greylisting Daemon bei dem alle Server eine zentrale DB nutzen können. Ich könnte ein paar Vorschläge gebrauchen, gerne auch mit kurzem Erfahrungsbericht. Danke und Gruß Oliver From p.heinlein at heinlein-support.de Mon Feb 17 10:05:06 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 17 Feb 2014 10:05:06 +0100 Subject: [Postfixbuch-users] greylisting daemon mit zentraler Datenbank In-Reply-To: <5301CB09.9020504@puersten.de> References: <5301CB09.9020504@puersten.de> Message-ID: <5301D0C2.2010907@heinlein-support.de> Am 17.02.2014 09:40, schrieb Oliver Pürsten: > ich bin auf der Suche nach einem, zuverlässig laufenden, Greylisting > Daemon mit zentraler Datenbank (am liebsten MySQL). Bekannt ist mir hier > nur SQLgrey. Ich rate davon ab. Eine zentrale Datenbank lohnt sich erst, wenn man mehr als fünf MXer betreibt. > Hintergrund sind mehrere Server hinter einem Lastverteiler und die > dadurch auftretenden Probleme wenn jeder Server seine eigene lokale Eventuell ist auch genau der Lastverteiler das Problem? Das ist die URSACHE Deiner Schwierigkeiten beim Greylisting. Weil Du keine richtigen MX-Records veröffentlichts. (Auch mit zentraler Greylisting-DB wirst Du an anderen Stellen die gleichen Schwierigkeiten haben, weil die Ursache identisch ist.) > Datenbank pflegt. Aus diesem Grund suche ich nun einen Greylisting > Daemon bei dem alle Server eine zentrale DB nutzen können. ...die dann als Single Point of Failure dient. > Ich könnte ein paar Vorschläge gebrauchen, gerne auch mit kurzem > Erfahrungsbericht. a) SQLgrey b) Lastverteiler und zentrale Greylistingdatenbanken sind böse und Fehlerquelle c) Fünf MXer laufen mit einem lokalen postgrey am besten. Zumal Ihr ja nun auch wirklich ausreichend groß seid und es auf eine zentrale DB gar nicht ankommt. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From lists at puersten.de Mon Feb 17 11:13:41 2014 From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=) Date: Mon, 17 Feb 2014 11:13:41 +0100 Subject: [Postfixbuch-users] greylisting daemon mit zentraler Datenbank In-Reply-To: <5301D0C2.2010907@heinlein-support.de> References: <5301CB09.9020504@puersten.de> <5301D0C2.2010907@heinlein-support.de> Message-ID: <5301E0D5.5050602@puersten.de> Am 17.02.2014 10:05, schrieb Peer Heinlein: > Am 17.02.2014 09:40, schrieb Oliver Pürsten: > >> ich bin auf der Suche nach einem, zuverlässig laufenden, Greylisting >> Daemon mit zentraler Datenbank (am liebsten MySQL). Bekannt ist mir hier >> nur SQLgrey. > > Ich rate davon ab. Eine zentrale Datenbank lohnt sich erst, wenn man > mehr als fünf MXer betreibt. > >> Hintergrund sind mehrere Server hinter einem Lastverteiler und die >> dadurch auftretenden Probleme wenn jeder Server seine eigene lokale > > Eventuell ist auch genau der Lastverteiler das Problem? > > Das ist die URSACHE Deiner Schwierigkeiten beim Greylisting. Weil Du > keine richtigen MX-Records veröffentlichts. > > (Auch mit zentraler Greylisting-DB wirst Du an anderen Stellen die > gleichen Schwierigkeiten haben, weil die Ursache identisch ist.) > Im Grunde ist der Lastverteiler schon das Problem, da durch die Verteilung der Client beim erneuten Connect nicht gesichert einen Server erwischt auf dem er vorher auch schon mal war und die Mail somit erneut verzögert wird. Dazu kommt dann das Problem das es Server gibt die nur 4 Zustellversuche machen und dann einfach abbrechen, was in Verbindung mit dem Lastverteiler dann zu einer Bounce der Nachricht führen kann. Welche Schwierigkeiten meinst Du? Mit zentraler DB müsste der Client doch beim 2. Versuch gesichert die Mail zustellen können, weil jeder Server weiß das der Client vorher schon einen Versuch unternommen hat. >> Datenbank pflegt. Aus diesem Grund suche ich nun einen Greylisting >> Daemon bei dem alle Server eine zentrale DB nutzen können. > > ...die dann als Single Point of Failure dient. Bin ich mir bewusst, das man sich damit neue Probleme schafft. SQLGrey gibt meines Wissens aber immer ein permit zurück wenn er die DB Connection verliert. > >> Ich könnte ein paar Vorschläge gebrauchen, gerne auch mit kurzem >> Erfahrungsbericht. > > a) SQLgrey > > b) Lastverteiler und zentrale Greylistingdatenbanken sind böse und > Fehlerquelle Was kann es denn da noch für Problem/Fehlerquellen geben wenn man das Greylisting auf eine zentrale DB umstellt, abgesehen von der DB als Single Point of Failure? > > c) Fünf MXer laufen mit einem lokalen postgrey am besten. Zumal Ihr ja > nun auch wirklich ausreichend groß seid und es auf eine zentrale DB gar > nicht ankommt. > > Peer > Gruß, Oliver From m.bitterlich at gryps-networks.de Wed Feb 19 00:06:48 2014 From: m.bitterlich at gryps-networks.de (Matthias Bitterlich) Date: Wed, 19 Feb 2014 00:06:48 +0100 Subject: [Postfixbuch-users] eMails in Postfix "einschleusen" Message-ID: <1620069.f6uhK3XLOD@vostro1500> Hallo, wie kann ich eMails, die über "always_bcc" archiviert wurden, wieder in Postfix "einschleusen"? Durch den zurzeit fehlerhaften POP3-Server von 1&1 werden "Weiterleitungen" (immer öfters) nicht mit dem regulären Absender sondern mit der Weiterleitungs-Adresse an fetchmail übergeben und fliegen somit im SPAM-Filter raus. Da in den letzten drei Wochen einige wichtige eMails dadurch "verschwunden" sind, will ich sie über das Eingangsarchiv wieder hervorzaubern. ;-) Gruß Matthias From p.heinlein at heinlein-support.de Wed Feb 19 00:48:47 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 19 Feb 2014 00:48:47 +0100 Subject: [Postfixbuch-users] eMails in Postfix "einschleusen" In-Reply-To: <1620069.f6uhK3XLOD@vostro1500> References: <1620069.f6uhK3XLOD@vostro1500> Message-ID: <5303F15F.2090202@heinlein-support.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 19.02.2014 00:06, schrieb Matthias Bitterlich: > wie kann ich eMails, die über "always_bcc" archiviert wurden, > wieder in Postfix "einschleusen"? Naja, vielleicht wäre das Format wichtig, in dem Du es gespeichert hast. Wenn es als Maildir vorliegt kannst du das als sendmail $empfaenger < maildirdatei lossenden lassen. Wenn es mbox ist würde ich es mit mb2md vorher nach Maildir aufsplitten lassen. Peer - -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJTA/FfAAoJEAOLLpq5E82HezMIAK3RRza7tnOWvI/C67A3cVG+ 6HRVRzv4CdgxnfTrT8RhkAtTYGuO+vLOPMw0wEsB9cLUnUM2NfxlGIr+/IkK0qPf F7b9BrlMhCeRwwuYb1Z3DIG6HCCcbhXQYzB0QlwEA9z2jTmrh07fQhqofZWty17p dW2MT7IBBL9BRLCEYnWyWMwmwJxLadKr5/lOMrslxnJB3sty3pwSkaCflnFVFqRy yc/24A7vVpmZoioxVk/QuOrU2SOB+5XQgRsEcEOavgeC0XPRh4cSPD0g24ONjxKk o8qSxhmo0JYcn3eAMP1eT6DPEbdmgdKxwKTXKC7wlpvuKzSAUuHtm7ddjW1Oo6Y= =fKC5 -----END PGP SIGNATURE----- From m.bitterlich at gryps-networks.de Wed Feb 19 06:38:46 2014 From: m.bitterlich at gryps-networks.de (Matthias Bitterlich) Date: Wed, 19 Feb 2014 06:38:46 +0100 Subject: [Postfixbuch-users] eMails in Postfix "einschleusen" In-Reply-To: <5303F15F.2090202@heinlein-support.de> References: <1620069.f6uhK3XLOD@vostro1500> <5303F15F.2090202@heinlein-support.de> Message-ID: <3153552.2yjzXn9be1@vostro1500> Danke Peer, Am Mittwoch, 19. Februar 2014, 00:48:47 schrieb Peer Heinlein: > Am 19.02.2014 00:06, schrieb Matthias Bitterlich: > > wie kann ich eMails, die über "always_bcc" archiviert wurden, > > wieder in Postfix "einschleusen"? > > Naja, vielleicht wäre das Format wichtig, in dem Du es gespeichert hast. Das Archiv ist eine Datei pro Tag als mbox. > Wenn es als Maildir vorliegt kannst du das als > sendmail $empfaenger < maildirdatei Das hatte ich schon vorher probiert, aber zu meinem leidwesen nicht richtig adressiert ... die Domain "vergessen" und somit ging es an root :-( > lossenden lassen. Wenn es mbox ist würde ich es mit mb2md vorher nach > Maildir aufsplitten lassen. Dankte für den Tip ... war mir bisher untergegangen oder es ist im SLES-Repo nicht vorhanden. Ich suche nachher mal danach. Gruß Matthias From postfix_ml at rirasoft.de Wed Feb 19 13:16:51 2014 From: postfix_ml at rirasoft.de (postfix_ml at rirasoft.de) Date: Wed, 19 Feb 2014 13:16:51 +0100 Subject: [Postfixbuch-users] Frage zu Recipient address rejected: unverified address Message-ID: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> Hallo zusammen, seit heute morgen habe ich folgende Logeinträge : Feb 19 13:07:12 mail postfix/postscreen[12636]: CONNECT from [157.56.111.124]:28753 to [192.168.1.15]:25 Feb 19 13:07:12 mail postfix/postscreen[12636]: PASS OLD [157.56.111.124]:28753 Feb 19 13:07:12 mail postfix/smtpd[12640]: connect from mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124] Feb 19 13:07:12 mail postfix/smtpd[12640]: Anonymous TLS connection established from mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124]: TLSv1 with ciphe r AES256-SHA (256/256 bits) Feb 19 13:07:12 mail dovecot: auth: Error: open(/var/run/dovecot/auth-token-secret.dat.tmp) failed: Permission denied Feb 19 13:07:12 mail dovecot: auth: Error: Failed to write auth token secret file; returned tokens will be invalid once auth restarts Feb 19 13:07:13 mail postfix/smtpd[12640]: NOQUEUE: reject: RCPT from mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124]: 450 4.1.1 <200611101851.47177.a ndreas at rirasoft.de>: Recipient address rejected: unverified address: unknown user: "200611101851.47177.andreas at rirasoft.de"; from= to=<200611101851.47177.andreas at rirasoft.de> proto=ESMTP helo= Feb 19 13:07:13 mail postfix/smtpd[12640]: too many errors after RCPT from mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124] Feb 19 13:07:13 mail postfix/smtpd[12640]: disconnect from mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124] Frage: warum wird der Fehlercode 450 ausgegeben? Postfix sagt ja selber "unknown user", sollte da nicht eine 500 Meldung kommen? Habe von den Logeinträge ca. 30 Stück, jeweils mit einer anderen IP von outlook.com Hier meine Konfig: [root at mail ~]# postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix content_filter = smtp-amavis:[127.0.0.1]:10024 daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5 home_mailbox = Maildir/ html_directory = no inet_interfaces = all local_recipient_maps = proxy:unix:passwd.byname $alias_maps mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 104857600 mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp mydestination = $myhostname, localhost.$mydomain, localhost mydomain = rirasoft.de myhostname = mail.rirasoft.de mynetworks = 192.168.1.0/24, 127.0.0.0/8, 192.168.2.0/24 mynetworks_style = subnet myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr postscreen_bare_newline_action = drop postscreen_bare_newline_enable = yes postscreen_blacklist_action = drop postscreen_dnsbl_action = drop postscreen_dnsbl_sites = dul.dnsbl.sorbs.net*2, ix.dnsbl.manitu.net*2, zen.spamhaus.org*2 postscreen_dnsbl_threshold = 2 postscreen_greet_action = drop postscreen_greet_banner = Famillie Reschke SMTP Service postscreen_non_smtp_command_enable = yes postscreen_pipelining_action = drop postscreen_pipelining_enable = yes queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES relay_domains = mysql:/etc/postfix/mysql_relay_domains_maps.cf sample_directory = /usr/share/doc/postfix-2.6.6/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical_maps sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_tls_CAfile = /etc/certs/rirasoft.crt smtp_tls_CApath = /etc/ssl/certs smtp_tls_loglevel = 1 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2 smtp_tls_security_level = may smtp_use_tls = yes smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = permit_sasl_authenticated, reject_unknown_client_hostname, permit smtpd_data_restrictions = reject_unauth_pipelining smtpd_hard_error_limit = 1 smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, per mit smtpd_recipient_restrictions = reject_unknown_recipient_domain, reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, permit smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = $myhostname smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sender_restrictions = reject_non_fqdn_sender, reject_authenticated_sender_login_mismatch, permit_sasl_authenticated, permit_mynetworks, reject_unknown_sender_do main, warn_if_reject reject_unverified_sender, permit smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/certs/rirasoft.crt smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_eecdh_grade = strong smtpd_tls_key_file = /etc/certs/rirasoft.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2 , ! SSLv3 smtpd_tls_protocols = !SSLv2 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL :!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA tls_preempt_cipherlist = yes tls_random_source = dev:/dev/urandom unknown_address_reject_code = 550 unknown_client_reject_code = 550 unknown_hostname_reject_code = 550 unknown_local_recipient_reject_code = 550 unverified_sender_reject_code = 554 virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:901 virtual_mailbox_base = /vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 104857600 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 901 virtual_uid_maps = static:901 Gruß Andreas From news at amaltea.de Wed Feb 19 14:56:50 2014 From: news at amaltea.de (Paul) Date: Wed, 19 Feb 2014 14:56:50 +0100 Subject: [Postfixbuch-users] Frage zu Recipient address rejected: unverified address In-Reply-To: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> References: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> Message-ID: <5304B822.3000608@amaltea.de> Am 19.02.2014 13:16, schrieb postfix_ml at rirasoft.de: > Hallo zusammen, > > seit heute morgen habe ich folgende Logeinträge : > Feb 19 13:07:13 mail postfix/smtpd[12640]: NOQUEUE: reject: RCPT from > mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124]: 450 > 4.1.1 <200611101851.47177.a > ndreas at rirasoft.de>: Recipient address rejected: unverified address: > unknown user: "200611101851.47177.andreas at rirasoft.de"; > from= crosoft.com> to=<200611101851.47177.andreas at rirasoft.de> proto=ESMTP > helo= > > Frage: warum wird der Fehlercode 450 ausgegeben? Postfix sagt ja selber > "unknown user", sollte da nicht eine 500 Meldung kommen? Bitte einmal das Ergebnis des folgenden Befehls prüfen: postconf unverified_recipient_reject_code unverified_sender_reject_code Dann mit der Meldung vergleichen und auf Recipient und Sender achten. LinkTipp: http://www.postfix.org/ADDRESS_VERIFICATION_README.html Gruß, Paul > > > Gruß > Andreas From postfix_ml at rirasoft.de Wed Feb 19 15:10:42 2014 From: postfix_ml at rirasoft.de (postfix_ml at rirasoft.de) Date: Wed, 19 Feb 2014 15:10:42 +0100 Subject: [Postfixbuch-users] Frage zu Recipient address rejected: unverified address In-Reply-To: <5304B822.3000608@amaltea.de> References: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> <5304B822.3000608@amaltea.de> Message-ID: Am 2014-02-19 14:56, schrieb Paul: > Am 19.02.2014 13:16, schrieb postfix_ml at rirasoft.de: >> Hallo zusammen, >> >> seit heute morgen habe ich folgende Logeinträge : > >> Feb 19 13:07:13 mail postfix/smtpd[12640]: NOQUEUE: reject: RCPT from >> mail-bn1bhn0124.outbound.protection.outlook.com[157.56.111.124]: 450 >> 4.1.1 <200611101851.47177.a >> ndreas at rirasoft.de>: Recipient address rejected: unverified address: >> unknown user: "200611101851.47177.andreas at rirasoft.de"; >> from=> crosoft.com> to=<200611101851.47177.andreas at rirasoft.de> proto=ESMTP >> helo= > >> >> Frage: warum wird der Fehlercode 450 ausgegeben? Postfix sagt ja >> selber >> "unknown user", sollte da nicht eine 500 Meldung kommen? > > Bitte einmal das Ergebnis des folgenden Befehls prüfen: > > postconf unverified_recipient_reject_code unverified_sender_reject_code > > Dann mit der Meldung vergleichen und auf Recipient und Sender achten. > > LinkTipp: > http://www.postfix.org/ADDRESS_VERIFICATION_README.html > > Gruß, > Paul > >> >> >> Gruß >> Andreas Hallo Paul, unverified_recipient_reject_code = > das wars, habe es auf 550 gesetzt. Jetzt klappts und die obige Mail von outlook.com kommt nicht mehr. Danke Gruß Andreas From ad+lists at uni-x.org Wed Feb 19 22:18:50 2014 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 19 Feb 2014 22:18:50 +0100 Subject: [Postfixbuch-users] Frage zu Recipient address rejected: unverified address In-Reply-To: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> References: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> Message-ID: <53051FBA.7000702@uni-x.org> Am 19.02.2014 13:16, schrieb postfix_ml at rirasoft.de: > Hallo zusammen, > > seit heute morgen habe ich folgende Logeinträge : [ ... ] > Feb 19 13:07:12 mail dovecot: auth: Error: > open(/var/run/dovecot/auth-token-secret.dat.tmp) failed: Permission denied > Feb 19 13:07:12 mail dovecot: auth: Error: Failed to write auth token > secret file; returned tokens will be invalid once auth restarts Beruht auf einem SELinux AVC. Du scheinst ein RHEL oder CentOS 6 System zu betreiben, mit einem neueren Dovecot. Du benötigst eine eigene Policy, um den Fehler abzustellen. Alexander From postfix_ml at rirasoft.de Wed Feb 19 22:51:59 2014 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Wed, 19 Feb 2014 22:51:59 +0100 Subject: [Postfixbuch-users] Frage zu Recipient address rejected: unverified address In-Reply-To: <53051FBA.7000702@uni-x.org> References: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> <53051FBA.7000702@uni-x.org> Message-ID: <5305277F.3070600@rirasoft.de> Am 19.02.2014 22:18, schrieb Alexander Dalloz: > Am 19.02.2014 13:16, schrieb postfix_ml at rirasoft.de: >> Hallo zusammen, >> >> seit heute morgen habe ich folgende Logeinträge : > > [ ... ] > >> Feb 19 13:07:12 mail dovecot: auth: Error: >> open(/var/run/dovecot/auth-token-secret.dat.tmp) failed: Permission denied >> Feb 19 13:07:12 mail dovecot: auth: Error: Failed to write auth token >> secret file; returned tokens will be invalid once auth restarts > > Beruht auf einem SELinux AVC. Du scheinst ein RHEL oder CentOS 6 System > zu betreiben, mit einem neueren Dovecot. Du benötigst eine eigene > Policy, um den Fehler abzustellen. > > Alexander > Hallo Alexander, ja, das ist richtig. Ich nutze zur Zeit CentOS 6.5 mit dovecot-2.2.6-1.el6.x86_64. Hast du mir 'nen Tipp, wie ich die Policy dazu erstellen kann ? Über google habe ich dazu bis jetzt nichts gefunden. Gruß Andreas From ad+lists at uni-x.org Wed Feb 19 23:07:57 2014 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 19 Feb 2014 23:07:57 +0100 Subject: [Postfixbuch-users] Frage zu Recipient address rejected: unverified address In-Reply-To: <5305277F.3070600@rirasoft.de> References: <6de3ed5ed096510c6448817ffefce33a@rirasoft.de> <53051FBA.7000702@uni-x.org> <5305277F.3070600@rirasoft.de> Message-ID: <53052B3D.4080100@uni-x.org> Am 19.02.2014 22:51, schrieb Andreas Reschke: > Am 19.02.2014 22:18, schrieb Alexander Dalloz: >> Am 19.02.2014 13:16, schrieb postfix_ml at rirasoft.de: >>> Hallo zusammen, >>> >>> seit heute morgen habe ich folgende Logeinträge : >> >> [ ... ] >> >>> Feb 19 13:07:12 mail dovecot: auth: Error: >>> open(/var/run/dovecot/auth-token-secret.dat.tmp) failed: Permission denied >>> Feb 19 13:07:12 mail dovecot: auth: Error: Failed to write auth token >>> secret file; returned tokens will be invalid once auth restarts >> >> Beruht auf einem SELinux AVC. Du scheinst ein RHEL oder CentOS 6 System >> zu betreiben, mit einem neueren Dovecot. Du benötigst eine eigene >> Policy, um den Fehler abzustellen. >> >> Alexander >> > Hallo Alexander, > > ja, das ist richtig. Ich nutze zur Zeit CentOS 6.5 mit > dovecot-2.2.6-1.el6.x86_64. Hast du mir 'nen Tipp, wie ich die Policy > dazu erstellen kann ? Über google habe ich dazu bis jetzt nichts gefunden. Diese Aussage wundert mich. http://wiki.centos.org/HowTos/SELinux#head-faa96b3fdd922004cdb988c1989e56191c257c01 https://docs.fedoraproject.org/en-US/Fedora/13/html/SELinux_FAQ/index.html#id3343680 > Gruß > Andreas Alexander From postfixbuch at cboltz.de Fri Feb 21 01:13:08 2014 From: postfixbuch at cboltz.de (Christian Boltz) Date: Fri, 21 Feb 2014 01:13:08 +0100 Subject: [Postfixbuch-users] [ann] PostfixAdmin 2.3.7 Message-ID: <30286545.hFU4LmjaE1@tux.boltz.de.vu> Hallo zusammen, zur Info: ich habe gerade PostfixAdmin 2.3.7 releast. 2.3.7 ist ein Bugfix-Release, das eine SQL Injection behebt (nur durch Admins ausnutzbar, und selbst die können AFAIK nicht viel kaputtmachen). Außerdem werden die neuen .ichhabdielängstetld ;-) Domains unterstützt. Den Download gibt es wie üblich auf https://sourceforge.net/projects/postfixadmin/ openSUSE-Benutzer haben es noch einfacher - ich habe das Paket gerade in Richtung Factory submitted und werde in den nächsten Tagen ein Update für die unterstützten Releases raushauen. Das komplette Changelog seit 2.3.6: - SECURITY: fix SQL injection in show_gen_status() - lt.lang, da.lang translation update - when enabling/disabling a mailbox, also update the corresponding alias - fix creating superadmin in setup.php with MariaDB (more strict SQL) - don't trim() mail address to avoid that aliases starting with a space are allowed. This fixes http://sourceforge.net/p/postfixadmin/bugs/210/ and https://sourceforge.net/p/postfixadmin/feature-requests/113/ - update regex in check_domain() to support new, longer TLDs like .international - mark vacation_notification.notified field as latin1 to avoid overlong index - vacation.pl: encode subject - vacation.pl: disable use of TLS by default due to a bug in Mail::Sender 0.8.22 (you can re-enable it with $smtp_tls_allowed) Gruß Christian Boltz -- > Bei Mutt oder Gnus landet ohnehin jeder früher oder später, > Du kannst also abkürzen gleich damit anfangen. ;) Nein, diese Aussage ist schlicht falsch. Denn in einem kleinen Dorf im Nordwesten Galliens... [> Andreas Kneib und Thomas Hertweck in suse-linux] From sebastian at debianfan.de Fri Feb 21 15:03:35 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 21 Feb 2014 15:03:35 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140216125057.GI20881@sys4.de> References: <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <20140216072603.GD8932@sys4.de> <53008506.8080500@debianfan.de> <20140216100323.GA20881@sys4.de> <53008D92.7@debianfan.de> <20140216101031.GD20881@sys4.de> <530091A0.9070009@debianfan.de> <20140216111617.GF20881@sys4.de> <5300AA6F.9060309@debianfan.de> <20140216125057.GI20881@sys4.de> Message-ID: <53075CB7.2040904@debianfan.de> Am 16.02.2014 13:50, schrieb Patrick Ben Koetter: > * sebastian at debianfan.de : >> Am 16.02.2014 12:16, schrieb Patrick Ben Koetter: >>> Dein Postfix ist gegen GNU-SASL gebaut und nicht gegen Cyrus SASL oder mit >>> Dovecot-SASL Support. Du musst der Dokumentation von Debian dazu folgen. Wenn >>> es keine gibt, dann nerv sie. Vielleich hat hier auf der ML jemand anders >>> bereits damit Erfahrung gesammelt. >>> >>> >> Ich bin bislang davon ausgegangen, das libsasl2 libsasl2-modules >> sasl2-bin die Dateien von cyrus-sasl sind. > Ja, ich auch. Also gnusasl libs installieren und herausfinden wie man gnusasl > konfiguriert. > > p at rick > > Wenn man es richtig macht, funktioniert es auch - es hat knapp 2,5 Stunden gedauert von einem "blanken" Debian-System zu einem Debian-System mit SMTP-Auth über dovecot-Authentifizierung über eine MySql-Datenbank ;-) Bei gnu-sasl habe ich vorher nach 4 Stunden aufgegeben. From max at freecards.de Fri Feb 21 15:14:32 2014 From: max at freecards.de (Markus Heinze) Date: Fri, 21 Feb 2014 15:14:32 +0100 Subject: [Postfixbuch-users] neues Dovecot Buch Message-ID: Moin moin, auch wenn es die Postfix-Buch Liste ist, weiss jemand ob das neue Dovecot Buch diesen Monat noch erscheint ? glg max From p.heinlein at heinlein-support.de Fri Feb 21 15:19:10 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 21 Feb 2014 15:19:10 +0100 Subject: [Postfixbuch-users] neues Dovecot Buch In-Reply-To: References: Message-ID: <5307605E.8010408@heinlein-support.de> Am 21.02.2014 15:14, schrieb Markus Heinze: > Moin moin, > > auch wenn es die Postfix-Buch Liste ist, weiss jemand ob das neue > Dovecot Buch diesen Monat noch erscheint ? Es sollte heute in die Druckerei gehen. Da wir gerade mit https://mailbox.org die Hütte voll haben, geht es Montag in die Druckerei. Wir haben heute https://mailbox.org released :-) ET ist damit die Woche der CeBIT, aber wohl nicht pünktlich zum CeBIT-Beginn. (Und alle so: yeah!) Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From usenet at schani.com Fri Feb 21 15:24:13 2014 From: usenet at schani.com (usenet at schani.com) Date: Fri, 21 Feb 2014 15:24:13 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? Message-ID: <5307618D.7080307@schani.com> Hallo, ich habe bemerkt das einige MTA erlauben einen Übermittlungsstatus anzufordern. Also im Thunderbird habe ich die Möglichkeit eine Email abzusenden die einen Übermittlungsstatus DSN verlangt. Als Rückmeldung schickt dann der Empfänger MTA eine kleine Email mit Übertragungsbestätigung. Kann ich meinem Postfix MTA dies auch beibringen? Also nicht bei jeder Email, sondern nur bei denen die dies auch anfordern. Wie richte ich das ein. Hab mich schon wundgegoogelt. Besten Dank für einen Tipp Christian From rmayer at nerd-residenz.de Fri Feb 21 15:25:09 2014 From: rmayer at nerd-residenz.de (Ralph J.Mayer) Date: Fri, 21 Feb 2014 15:25:09 +0100 Subject: [Postfixbuch-users] neues Dovecot Buch In-Reply-To: <5307605E.8010408@heinlein-support.de> References: <5307605E.8010408@heinlein-support.de> Message-ID: <20140221142509.GB29096@falstaff.nerd-residenz.net> > Wir haben heute https://mailbox.org released :-) > (Und alle so: yeah!) Yeah! Aber, kein IPv6 und kein DNSSEC :-( rm From r.sander at heinlein-support.de Fri Feb 21 15:37:08 2014 From: r.sander at heinlein-support.de (Robert Sander) Date: Fri, 21 Feb 2014 15:37:08 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5307618D.7080307@schani.com> References: <5307618D.7080307@schani.com> Message-ID: <53076494.9060600@heinlein-support.de> On 21.02.2014 15:24, usenet at schani.com wrote: > Als Rückmeldung schickt dann der Empfänger MTA eine kleine Email mit > Übertragungsbestätigung. Das macht meines Wissens nicht der MTA, sondern immer der MUA. Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 901 bytes Beschreibung: OpenPGP digital signature URL : From r.sander at heinlein-support.de Fri Feb 21 15:38:05 2014 From: r.sander at heinlein-support.de (Robert Sander) Date: Fri, 21 Feb 2014 15:38:05 +0100 Subject: [Postfixbuch-users] neues Dovecot Buch In-Reply-To: <20140221142509.GB29096@falstaff.nerd-residenz.net> References: <5307605E.8010408@heinlein-support.de> <20140221142509.GB29096@falstaff.nerd-residenz.net> Message-ID: <530764CD.3040908@heinlein-support.de> On 21.02.2014 15:25, Ralph J.Mayer wrote: > Aber, kein IPv6 und kein DNSSEC :-( Für die MXer ist IPv6 schon an. Die Webserver werden das auch noch bekommen. DNSSEC kommt noch, das kann der Registrar grad noch nicht. Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 901 bytes Beschreibung: OpenPGP digital signature URL : From p.heinlein at heinlein-support.de Fri Feb 21 15:40:43 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 21 Feb 2014 15:40:43 +0100 Subject: [Postfixbuch-users] neues Dovecot Buch In-Reply-To: <20140221142509.GB29096@falstaff.nerd-residenz.net> References: <5307605E.8010408@heinlein-support.de> <20140221142509.GB29096@falstaff.nerd-residenz.net> Message-ID: <5307656B.4030402@heinlein-support.de> Am 21.02.2014 15:25, schrieb Ralph J.Mayer: >> Wir haben heute https://mailbox.org released :-) >> (Und alle so: yeah!) > > Yeah! > > Aber, kein IPv6 und kein DNSSEC :-( a) Teilweise läuft die Infrastruktur mit IPv6, an anderer Stelle haben wir noch eine Schwierigkeit mit dem Loadbalancer. b) DNSSec kommt Ende nächster Woche. Die Registry ist noch nicht so weit (wir schon). Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Fri Feb 21 15:44:52 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 21 Feb 2014 15:44:52 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5307618D.7080307@schani.com> References: <5307618D.7080307@schani.com> Message-ID: <20140221144452.GE6088@charite.de> * usenet at schani.com : > Hallo, > > ich habe bemerkt das einige MTA erlauben einen Übermittlungsstatus > anzufordern. > > Also im Thunderbird habe ich die Möglichkeit eine Email abzusenden > die einen Übermittlungsstatus DSN verlangt. > Als Rückmeldung schickt dann der Empfänger MTA eine kleine Email mit > Übertragungsbestätigung. > > Kann ich meinem Postfix MTA dies auch beibringen? > Also nicht bei jeder Email, sondern nur bei denen die dies auch anfordern. > > Wie richte ich das ein. Hab mich schon wundgegoogelt. Ist m.E. standardmäßig an und sorgt hier immer für Belustigung (Server fordert Bestätigung an, weist sie ab, weil mit MAIL FROM:<> geschickt). -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From usenet at schani.com Fri Feb 21 15:47:29 2014 From: usenet at schani.com (usenet at schani.com) Date: Fri, 21 Feb 2014 15:47:29 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <53076494.9060600@heinlein-support.de> References: <5307618D.7080307@schani.com> <53076494.9060600@heinlein-support.de> Message-ID: <53076701.50709@schani.com> Was Du meinst ist die MDN Empfangsbestätigung. Ich meine aber den DSN Übermittlungsstatus. Der sollte unabhängig vom öffnen der Email vom Empfänger Server verschickt werden. Christian Am 21.02.2014 15:37, schrieb Robert Sander: > On 21.02.2014 15:24, usenet at schani.com wrote: > >> Als Rückmeldung schickt dann der Empfänger MTA eine kleine Email mit >> Übertragungsbestätigung. > Das macht meines Wissens nicht der MTA, sondern immer der MUA. > > Viele Grüße > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Feb 21 15:56:48 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 21 Feb 2014 15:56:48 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <53076701.50709@schani.com> References: <5307618D.7080307@schani.com> <53076494.9060600@heinlein-support.de> <53076701.50709@schani.com> Message-ID: <20140221145648.GF6088@charite.de> * usenet at schani.com : > Was Du meinst ist die MDN Empfangsbestätigung. > > Ich meine aber den DSN Übermittlungsstatus. Der sollte unabhängig vom > öffnen der Email vom Empfänger Server verschickt werden. Genau. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From sebastian at debianfan.de Fri Feb 21 15:48:13 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 21 Feb 2014 15:48:13 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <52FFFEDD.7030102@uni-x.org> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> Message-ID: <5307672D.4060906@debianfan.de> Am 16.02.2014 00:57, schrieb Alexander Dalloz: > Ok, und welche cyrus-sasl Pakete hast Du installiert? Wie sieht das > Logging insgesamt aus, bei dem die Fehlermeldung dabei ist? Um zu > sehen, welchen Mechanismus der Client verwenden will. "pwcheck_method: > saslauthd" in der smtpd.conf ist falsch, wenn Du eigentlich > "pwcheck_method: auxprop" anwendest. Alexander Das Grundsystem läuft soweit. Ich hab mal vor ewigen Zeiten (wenn ich wüsste wo) gelesen (und auch damals mal testweise nachgebaut) das es die Möglichkeit gibt, Spamassassin während des SMTP-Prozesses (wenn ein anderer Mailserver versucht eine Mail an einen Nutzer einzuliefern) diese Mail schon scannen kann & ggf. ablehnt wenn sie Score "X" überschreitet. Das ganze war ohne Amavis & Co gebaut - irgendwie wurde Spamassassin in die master.cf reingehängt. Vorschläge oder der Link zu einer Doku ? Gruß & Danke Sebastian From usenet at schani.com Fri Feb 21 16:04:06 2014 From: usenet at schani.com (usenet at schani.com) Date: Fri, 21 Feb 2014 16:04:06 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <20140221145648.GF6088@charite.de> References: <5307618D.7080307@schani.com> <53076494.9060600@heinlein-support.de> <53076701.50709@schani.com> <20140221145648.GF6088@charite.de> Message-ID: <53076AE6.8000401@schani.com> Kann man, um Probleme damit zu vermeiden, nicht einen Absender dieser Mails angeben? Einige meiner Email User möchten die Funktion einsetzen um sicherzustellen das ihre Emails auch übermittelt wurden (evtl. für Newsletter). Aber auch für mich als Admin ist es toll um nachzuvollziehen ob eine Email auch den Empfängerserver erreicht hat. Ist dies eine Option in der main.cf? Nach was muss ich da suchen? Christian Am 21.02.2014 15:56, schrieb Ralf Hildebrandt: > * usenet at schani.com : >> Was Du meinst ist die MDN Empfangsbestätigung. >> >> Ich meine aber den DSN Übermittlungsstatus. Der sollte unabhängig vom >> öffnen der Email vom Empfänger Server verschickt werden. > Genau. > From c.wally at cwrm.at Fri Feb 21 16:28:52 2014 From: c.wally at cwrm.at (Christian Wally) Date: Fri, 21 Feb 2014 16:28:52 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <53076AE6.8000401@schani.com> References: <5307618D.7080307@schani.com> <53076494.9060600@heinlein-support.de> <53076701.50709@schani.com> <20140221145648.GF6088@charite.de> <53076AE6.8000401@schani.com> Message-ID: <530770B4.2010802@cwrm.at> On 21.02.14 16:04, usenet at schani.com wrote: > Kann man, um Probleme damit zu vermeiden, nicht einen Absender dieser > Mails angeben? > Einige meiner Email User möchten die Funktion einsetzen um > sicherzustellen das ihre Emails > auch übermittelt wurden (evtl. für Newsletter). Aber auch für mich als > Admin ist es toll um nachzuvollziehen ob eine Email auch den > Empfängerserver erreicht hat. > > Ist dies eine Option in der main.cf? > > Nach was muss ich da suchen? > > Christian Ich glaube was ähnliches wollte ich vor fünf Jahren mal machen: https://listi.jpberlin.de/pipermail/postfixbuch-users/2009-March/048883.html ciao chris -- Christian Wally ZCE, CSSA ______________________ Christian Wally Risk Management Sturnengasse 9 6700 Bludenz T: +43-5552-20803 M: +43-699-19439834 W: http://www.cwrm.at -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4210 bytes Beschreibung: S/MIME Cryptographic Signature URL : From anmeyer at anup.de Fri Feb 21 17:08:07 2014 From: anmeyer at anup.de (Andreas Meyer) Date: Fri, 21 Feb 2014 17:08:07 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <20140221145648.GF6088@charite.de> References: <5307618D.7080307@schani.com> <53076494.9060600@heinlein-support.de> <53076701.50709@schani.com> <20140221145648.GF6088@charite.de> Message-ID: <20140221170807.36341a70@itxbox.bitcorner.intern> Ralf Hildebrandt schrieb am 21.02.14 um 15:56:48 Uhr: > * usenet at schani.com : > > Was Du meinst ist die MDN Empfangsbestätigung. > > > > Ich meine aber den DSN Übermittlungsstatus. Der sollte unabhängig vom > > öffnen der Email vom Empfänger Server verschickt werden. > > Genau. Mit roundcube kann man eine DSN anfordern, Postfix übermittelt die auch. Claws-Mail kann das leider nicht. Feb 21 17:01:29 delta postfix/qmgr[2280]: D8A325C0C3E: from=<>, size=3732, nrcpt=1 (queue active) Feb 21 17:01:29 delta postfix/bounce[30663]: 00B9A5C0C3B: sender delivery status notification: D8A325C0C3E Feb 21 17:01:29 delta postfix/qmgr[2280]: 00B9A5C0C3B: removed Feb 21 17:01:29 delta postfix/pipe[30655]: D8A325C0C3E: to=, relay=dovecot, delay=0.54, delays=0.14/0/0/0.4, dsn=2.0.0, status=sent (delivered via dovecot service) Feb 21 17:01:29 delta postfix/qmgr[2280]: D8A325C0C3E: removed Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: nicht verfügbar URL : From w.flamme at web.de Sat Feb 22 09:20:41 2014 From: w.flamme at web.de (Werner Flamme) Date: Sat, 22 Feb 2014 09:20:41 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <5307672D.4060906@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> <5307672D.4060906@debianfan.de> Message-ID: <53085DD9.2080607@web.de> [21.02.2014 15:48] [sebastian at debianfan.de]: > Am 16.02.2014 00:57, schrieb Alexander Dalloz: >> Ok, und welche cyrus-sasl Pakete hast Du installiert? Wie sieht das >> Logging insgesamt aus, bei dem die Fehlermeldung dabei ist? Um zu >> sehen, welchen Mechanismus der Client verwenden will. "pwcheck_method: >> saslauthd" in der smtpd.conf ist falsch, wenn Du eigentlich >> "pwcheck_method: auxprop" anwendest. Alexander > > Das Grundsystem läuft soweit. > > Ich hab mal vor ewigen Zeiten (wenn ich wüsste wo) gelesen (und auch > damals mal testweise nachgebaut) das es die Möglichkeit gibt, > Spamassassin während des SMTP-Prozesses (wenn ein anderer Mailserver > versucht eine Mail an einen Nutzer einzuliefern) diese Mail schon > scannen kann & ggf. ablehnt wenn sie Score "X" überschreitet. > > Das ganze war ohne Amavis & Co gebaut - irgendwie wurde Spamassassin in > die master.cf reingehängt. > > Vorschläge oder der Link zu einer Doku ? Kapitel 17 in der 3. Auflage :-) grinst Werner -- From w.flamme at web.de Sat Feb 22 09:25:43 2014 From: w.flamme at web.de (Werner Flamme) Date: Sat, 22 Feb 2014 09:25:43 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5307618D.7080307@schani.com> References: <5307618D.7080307@schani.com> Message-ID: <53085F07.8030502@web.de> [21.02.2014 15:24] [usenet at schani.com]: > Hallo, > > ich habe bemerkt das einige MTA erlauben einen Übermittlungsstatus > anzufordern. > > Also im Thunderbird habe ich die Möglichkeit eine Email abzusenden die > einen Übermittlungsstatus DSN verlangt. > Als Rückmeldung schickt dann der Empfänger MTA eine kleine Email mit > Übertragungsbestätigung. > > Kann ich meinem Postfix MTA dies auch beibringen? > Also nicht bei jeder Email, sondern nur bei denen die dies auch anfordern. > > Wie richte ich das ein. Hab mich schon wundgegoogelt. > > Besten Dank für einen Tipp 3. Auflage, Kapitel 13.11 "Delivery Status Notification (DSN)" grinst Werner -- From soeren at mindorf-it.de Sat Feb 22 11:45:43 2014 From: soeren at mindorf-it.de (=?utf-8?b?U8O2cmVu?= Mindorf) Date: Sat, 22 Feb 2014 11:45:43 +0100 Subject: [Postfixbuch-users] was ist mit rfc-ignorant.de passiert Message-ID: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> Hallo liebe Postfix Freunde, sagtmal, was ist denn mit rfc-ignorant.de passiert? Seit heute werden meine Mails geblockt... Sender address [support at mindorf-it.de] blocked using dsn.bl.rfc-ignorant.de; v=spf1 (in reply to RCPT TO command Weiß jemand, was mit rfc-ignorant.de passiert ist? Ich dachte der Service wird weitergeführt. Danke und Gruß Sören From stickybit at myhm.de Sat Feb 22 13:05:21 2014 From: stickybit at myhm.de (Andre) Date: Sat, 22 Feb 2014 13:05:21 +0100 Subject: [Postfixbuch-users] was ist mit rfc-ignorant.de passiert In-Reply-To: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> References: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> Message-ID: <53089281.3050204@myhm.de> Am 22.02.2014 11:45, schrieb Sören Mindorf: > sagtmal, was ist denn mit rfc-ignorant.de passiert? > Seit heute werden meine Mails geblockt... Hallo Sören, in Blick in die Whois Daten verrät, dass die Domain rfc-ignorant.de von einem Domaingrabber registriert wurde. http://www.denic.de/domains/whois-service/web-whois.html Domain: rfc-ignorant.de Changed: 2014-02-22T04:19:07+01:00 Das Änderungsdatum dürfte wohl das Transfer- oder Registrierungs-Datum sein. Wenn der Dienst bis heute funktioniert hat, dann kann man davon ausgehen, dass die Domain heute den Provider gewechselt hat. Gruß Andre From sebastian at debianfan.de Sat Feb 22 13:49:25 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 22 Feb 2014 13:49:25 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <53085DD9.2080607@web.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> <5307672D.4060906@debianfan.de> <53085DD9.2080607@web.de> Message-ID: <53089CD5.1060909@debianfan.de> Am 22.02.2014 09:20, schrieb Werner Flamme: > Kapitel 17 in der 3. Auflage :-) grinst Werner Ich besitze nur die 2. Auflage. Die 3. Auflage wird bei Amazon als gebraucht ab 140 Euro verkauft ;-) From gregor at a-mazing.de Sat Feb 22 14:32:03 2014 From: gregor at a-mazing.de (Gregor Hermens) Date: Sat, 22 Feb 2014 14:32:03 +0100 Subject: [Postfixbuch-users] was ist mit rfc-ignorant.de passiert In-Reply-To: <53089281.3050204@myhm.de> References: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> <53089281.3050204@myhm.de> Message-ID: <201402221432.03671@office.a-mazing.net> Moin, Am Samstag, 22. Februar 2014 schrieb Andre: > Am 22.02.2014 11:45, schrieb Sören Mindorf: > > sagtmal, was ist denn mit rfc-ignorant.de passiert? > > Seit heute werden meine Mails geblockt... > > in Blick in die Whois Daten verrät, dass die Domain rfc-ignorant.de von > einem Domaingrabber registriert wurde. > > http://www.denic.de/domains/whois-service/web-whois.html > > Domain: rfc-ignorant.de > Changed: 2014-02-22T04:19:07+01:00 > > Das Änderungsdatum dürfte wohl das Transfer- oder Registrierungs-Datum > sein. Wenn der Dienst bis heute funktioniert hat, dann kann man davon > ausgehen, dass die Domain heute den Provider gewechselt hat. eigentlich haben de-Domains seit Dezember eine 30-tägige "Redemption Grace Period", in der sie praktisch funktionslos sind. Wenn der Wechsel übergangslos passiert ist kann das nur per Transfer, d.h. mit Zustimmung des alten Inhabers passiert sein... http://www.denic.de/domains/allgemeine-informationen/redemption-grace- period.html Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From w.flamme at web.de Sat Feb 22 14:45:47 2014 From: w.flamme at web.de (Werner Flamme) Date: Sat, 22 Feb 2014 14:45:47 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <53089CD5.1060909@debianfan.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> <5307672D.4060906@debianfan.de> <53085DD9.2080607@web.de> <53089CD5.1060909@debianfan.de> Message-ID: <5308AA0B.3050302@web.de> [22.02.2014 13:49] [sebastian at debianfan.de]: > Am 22.02.2014 09:20, schrieb Werner Flamme: >> Kapitel 17 in der 3. Auflage :-) grinst Werner > > Ich besitze nur die 2. Auflage. > > Die 3. Auflage wird bei Amazon als gebraucht ab 140 Euro verkauft ;-) > Ich würde Dir meine kommentierte 3. Auflage schon für 120 ? ablassen ;-) Die 2. Auflage habe ich nicht, die erste finde ich gerade nicht. Aber in der schwarzen Bibel (Hildebrandt/Koetter) ist es ab Seite 218, Kapitel 14.2.5 beschrieben :-) Stichwort ist smtpd_proxy_filter. Kommt das vielleicht in der 2. Auflage schon vor? In der schwarzen Bibel ist die Rede von einer "neueren" Methode, und sie wurde 2006 aufgelegt... Gruß Werner -- From stickybit at myhm.de Sat Feb 22 14:55:35 2014 From: stickybit at myhm.de (Andre) Date: Sat, 22 Feb 2014 14:55:35 +0100 Subject: [Postfixbuch-users] was ist mit rfc-ignorant.de passiert In-Reply-To: <201402221432.03671@office.a-mazing.net> References: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> <53089281.3050204@myhm.de> <201402221432.03671@office.a-mazing.net> Message-ID: <5308AC57.9010109@myhm.de> Am 22.02.2014 14:32, schrieb Gregor Hermens: >> Das Änderungsdatum dürfte wohl das Transfer- oder Registrierungs-Datum >> sein. Wenn der Dienst bis heute funktioniert hat, dann kann man davon >> ausgehen, dass die Domain heute den Provider gewechselt hat. > eigentlich haben de-Domains seit Dezember eine 30-tägige "Redemption Grace > Period", in der sie praktisch funktionslos sind. Wenn der Wechsel übergangslos > passiert ist kann das nur per Transfer, d.h. mit Zustimmung des alten Inhabers > passiert sein... ja, genau das meinte ich. Gruß Andre From j_adam at web.de Sat Feb 22 14:56:26 2014 From: j_adam at web.de (Jens Adam) Date: Sat, 22 Feb 2014 14:56:26 +0100 Subject: [Postfixbuch-users] was ist mit rfc-ignorant.de passiert In-Reply-To: <53089281.3050204@myhm.de> References: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> <53089281.3050204@myhm.de> Message-ID: <20140222145626.39306509@titan.byte.cx> Am Sat, 22 Feb 2014 13:05:21 +0100 schrieb Andre : > Am 22.02.2014 11:45, schrieb Sören Mindorf: > > > sagtmal, was ist denn mit rfc-ignorant.de passiert? > > Seit heute werden meine Mails geblockt... > > Hallo Sören, > > in Blick in die Whois Daten verrät, dass die Domain rfc-ignorant.de > von einem Domaingrabber registriert wurde. > > http://www.denic.de/domains/whois-service/web-whois.html > > Domain: rfc-ignorant.de > Changed: 2014-02-22T04:19:07+01:00 > > Das Änderungsdatum dürfte wohl das Transfer- oder Registrierungs-Datum > sein. Wenn der Dienst bis heute funktioniert hat, dann kann man davon > ausgehen, dass die Domain heute den Provider gewechselt hat. Moin. Naja, aber http://www.heise.de/ix/meldung/Nachfolger-fuer-RFC-Ignorant-Org-in-Sicht-1744059.html Und Manitu sind auch Partner bei NiX-Spam, also sollte man schon meinen, dass die sowas auf dem Schirm hätten. Gruß, Jens -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: nicht verfügbar URL : From max at grobecker-wtal.de Sat Feb 22 15:59:59 2014 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Sat, 22 Feb 2014 15:59:59 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5307618D.7080307@schani.com> References: <5307618D.7080307@schani.com> Message-ID: <5308BB6F.9040501@grobecker-wtal.de> Hi, als kurze Notiz - Ich benutze das selbst nämlich inflationär, damit ich sehe wann meine Mail das Greylisting der Gegenstelle durchbrochen hat: Standardmäßig schickt Postfix DSN, ich habe bei mir die Konfiguration jedoch so verfeinert dass er dies nur tut, wenn Mails über den SSL- oder Submission-Port (also mit Authentifizierung!) eingeliefert werden. Hintergrund ist der, dass ich einige Mails mit Parametern an Scripte übergebe und Postfix dem Absender dann inklusive der vollen Scriptpfade mitteilt, was er denn so alles damit angestellt hat. Nennt mich paranoid, aber das will ich halt einfach nicht. Ich bin auch immer hellauf begeistert, wenn mir ein interner Exchange-Server einer Firma/Behörde auf meine Mail an "info@" eine mehrseitige Liste mit persönlichen Empfängern zukommen lässt... Das ist zwar ein netter Service aber vermutlich nicht im Sinne des Empfängers ;-) Deshalb steht in meiner master.cf nun: smtp -o smtpd_discard_ehlo_keywords=silent-discard,dsn Damit streicht Postfix das "DSN"-Command aus der EHLO-Antwort und der einliefernde Remote-Mailserver geht davon aus, dass mein Server das nicht kann oder will und kümmert sich selbst um den DSN. Damit wird dann auch sehr zuverlässig vermieden, dass ich (falls Spammer irgendwann mal auf diesen Gedanken kommen) Backscatter-Mails an gefälschte Absender verschicke. Aber grundsätzlich kann Postfix das, es sei denn man hat es explizit ausgeschaltet oder nutzt eine Version von der die Entwickler selbst nichts mehr wissen ;-) Viele Grüße aus dem Tal Max Am 21.02.2014 15:24, schrieb usenet at schani.com: > Hallo, > > ich habe bemerkt das einige MTA erlauben einen Übermittlungsstatus > anzufordern. > > Also im Thunderbird habe ich die Möglichkeit eine Email abzusenden die > einen Übermittlungsstatus DSN verlangt. > Als Rückmeldung schickt dann der Empfänger MTA eine kleine Email mit > Übertragungsbestätigung. > > Kann ich meinem Postfix MTA dies auch beibringen? > Also nicht bei jeder Email, sondern nur bei denen die dies auch anfordern. > > Wie richte ich das ein. Hab mich schon wundgegoogelt. > > Besten Dank für einen Tipp > > Christian From sebastian at debianfan.de Sat Feb 22 16:50:21 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 22 Feb 2014 16:50:21 +0100 Subject: [Postfixbuch-users] Postfix & TLS Message-ID: <5308C73D.3000005@debianfan.de> Hallo zusammen, ich habe jetzt für die Absicherung des Mailservers an das Thema SSL gedacht. Am Ende der Aktion sagte Postfix: Feb 22 16:22:23 debian postfix/smtpd[19834]: warning: SASL: Connect to private/auth failed: Connection refused Feb 22 16:22:23 debian postfix/smtpd[19834]: fatal: no SASL authentication mechanisms Feb 22 16:22:24 debian postfix/master[19651]: warning: process /usr/lib/postfix/smtpd pid 19834 exit status 1 Feb 22 16:22:24 debian postfix/master[19651]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling Ich hatte vorher ein selbsterstelltes "Beispielzertifikat" drin - da hat Thunderbird zwar nachgefragt aber grundsätzlich funktionierte es. Bei psw gibts für 30 Tage ein kostenloses Testzertifikat - zumindest hätte ich dann die Chance zu erkennen ob die Geräte diese Zertifikate akzeptieren ohne zu murren. Die csr-Datei habe ich bei psw eingereicht und eine ganze Menge Dateien in einer zip-Datei wiederbekommen. Attached to this email, you should find a certificate.zip file containing: - Linux (pem+cabundle) - - cert.cabundle (containing PositiveSSL CA 2) - - certificate.crt (containing your certificate) - Plesk (Certificate+CACertificate) - - cacertcertificate.crt (containing PositiveSSL CA 2) - - certificate.crt (containing your certificate) - Windows (pem) - - intermediate1.crt (containing PositiveSSL CA 2) - - certificate.crt (containing your certificate) - Sonstige (pem) - - root.crt (containing AddTrust External CA Root) - - intermediate1.crt (containing PositiveSSL CA 2) - - certificate.crt (containing your certificate) - Sonstige (pkcs7) - - certificate.cer (containing all certificate) So wie ich die Dokumentationen verstehe, setze ich die .key-Datei hier ein: smtpd_tls_key_file = /etc/ssl/private/domain.key Aber die andere Datei ist ja die signierte Datei von psw - aber welche der obigen nehme ich dafür. smtpd_tls_cert_file = /etc/ssl/certs/ ????? Angesichts der Postfix-Fehlermeldungen habe ich hier die falsche ausgewählt. Gruß Sebastian From j_adam at web.de Sat Feb 22 16:54:17 2014 From: j_adam at web.de (Jens Adam) Date: Sat, 22 Feb 2014 16:54:17 +0100 Subject: [Postfixbuch-users] Postfix & TLS In-Reply-To: <5308C73D.3000005@debianfan.de> References: <5308C73D.3000005@debianfan.de> Message-ID: <20140222165417.6ceadb75@titan.byte.cx> Am Sat, 22 Feb 2014 16:50:21 +0100 schrieb "sebastian at debianfan.de" : > Hallo zusammen, > > ich habe jetzt für die Absicherung des Mailservers an das Thema SSL > gedacht. > > Am Ende der Aktion sagte Postfix: > > Feb 22 16:22:23 debian postfix/smtpd[19834]: warning: SASL: Connect to > private/auth failed: Connection refused > Feb 22 16:22:23 debian postfix/smtpd[19834]: fatal: no SASL > authentication mechanisms ^ Da hab ich aufgehört zu lesen. Was hat SASL jetzt noch gleich mit SSL zu tun? Langsam is mal gut. From sebastian at debianfan.de Sat Feb 22 17:18:32 2014 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 22 Feb 2014 17:18:32 +0100 Subject: [Postfixbuch-users] Postfix & TLS In-Reply-To: <20140222165417.6ceadb75@titan.byte.cx> References: <5308C73D.3000005@debianfan.de> <20140222165417.6ceadb75@titan.byte.cx> Message-ID: <5308CDD8.3090009@debianfan.de> Am 22.02.2014 16:54, schrieb Jens Adam: > ^ Da hab ich aufgehört zu lesen. Was hat SASL jetzt noch gleich mit > SSL zu tun? Langsam is mal gut. mein Fehler - dovecot hat eine Datei nicht geschluckt - andere Baustelle Das Problem scheint im Zertifikat zu liegen - Thunderbird verlangt trotzdem eine Bestätigung des Zertifikats. Nach der manuellen Bestätigung gehts - ist aber nicht Sinn der Sache :-( From spam-postfixbuch at discworld.dascon.de Sat Feb 22 18:15:34 2014 From: spam-postfixbuch at discworld.dascon.de (Michael Schwingen) Date: Sat, 22 Feb 2014 18:15:34 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <53085DD9.2080607@web.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> <5307672D.4060906@debianfan.de> <53085DD9.2080607@web.de> Message-ID: <20140222171534.GA8271@a-tuin.dascon.de> On Sat, Feb 22, 2014 at 09:20:41AM +0100, Werner Flamme wrote: > [21.02.2014 15:48] [sebastian at debianfan.de]: > > Am 16.02.2014 00:57, schrieb Alexander Dalloz: > > > > Das ganze war ohne Amavis & Co gebaut - irgendwie wurde Spamassassin in > > die master.cf reingehängt. > > > > Vorschläge oder der Link zu einer Doku ? > > Kapitel 17 in der 3. Auflage :-) Hm - in meiner 3. Auflage finde ich da nur Anleitungen *mit* amavis - bin ich blind? cu Michael From bluewind at xinu.at Sat Feb 22 18:57:10 2014 From: bluewind at xinu.at (Florian Pritz) Date: Sat, 22 Feb 2014 18:57:10 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <20140222171534.GA8271@a-tuin.dascon.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> <5307672D.4060906@debianfan.de> <53085DD9.2080607@web.de> <20140222171534.GA8271@a-tuin.dascon.de> Message-ID: <5308E4F6.5060606@xinu.at> On 22.02.2014 18:15, Michael Schwingen wrote: > On Sat, Feb 22, 2014 at 09:20:41AM +0100, Werner Flamme wrote: >> [21.02.2014 15:48] [sebastian at debianfan.de]: >> > Am 16.02.2014 00:57, schrieb Alexander Dalloz: >> > >> > Das ganze war ohne Amavis & Co gebaut - irgendwie wurde Spamassassin in >> > die master.cf reingehängt. >> > >> > Vorschläge oder der Link zu einer Doku ? >> >> Kapitel 17 in der 3. Auflage :-) > > Hm - in meiner 3. Auflage finde ich da nur Anleitungen *mit* amavis - > bin ich blind? Ka was im Buch steht, aber ich machs so: https://wiki.apache.org/spamassassin/IntegratePostfixViaSpampd -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: OpenPGP digital signature URL : From stickybit at myhm.de Sat Feb 22 21:31:41 2014 From: stickybit at myhm.de (Andre) Date: Sat, 22 Feb 2014 21:31:41 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5308BB6F.9040501@grobecker-wtal.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> Message-ID: <5309092D.5060801@myhm.de> kann ich eigentlich Postfix beibringen, das "RCPT TO" im SMTP-Dialog mit NOTIFY zu ergänzen? Der Client liefert eine E-Mail ein und je nach im "MAIL FROM" angegebener Absender-Adresse ergänzt Postfix das "RCPT TO" mit NOTIFY oder eben nicht. Kann man sowas umsetzen? Gruß Andre From jk at jkart.de Sat Feb 22 23:33:12 2014 From: jk at jkart.de (Jim Knuth) Date: Sat, 22 Feb 2014 23:33:12 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5308BB6F.9040501@grobecker-wtal.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> Message-ID: <530925A8.1040502@jkart.de> am 22.02.14 15:59 schrieb Maximilian Grobecker : > Hi, > > als kurze Notiz - Ich benutze das selbst nämlich inflationär, damit ich > sehe wann meine Mail das Greylisting der Gegenstelle durchbrochen hat: > > > Standardmäßig schickt Postfix DSN, ich habe bei mir die Konfiguration > jedoch so verfeinert dass er dies nur tut, wenn Mails über den SSL- oder > Submission-Port (also mit Authentifizierung!) eingeliefert werden. > > Hintergrund ist der, dass ich einige Mails mit Parametern an Scripte > übergebe und Postfix dem Absender dann inklusive der vollen Scriptpfade > mitteilt, was er denn so alles damit angestellt hat. > Nennt mich paranoid, aber das will ich halt einfach nicht. > > Ich bin auch immer hellauf begeistert, wenn mir ein interner > Exchange-Server einer Firma/Behörde auf meine Mail an "info@" eine > mehrseitige Liste mit persönlichen Empfängern zukommen lässt... > Das ist zwar ein netter Service aber vermutlich nicht im Sinne des > Empfängers ;-) > > > Deshalb steht in meiner master.cf nun: > > smtp > -o smtpd_discard_ehlo_keywords=silent-discard,dsn smtp oder smtpd? -- Mit freundlichen Grüßen, with kind regards, Jim Knuth --------- Nur Kinder, Narren und sehr alte Leute können es sich leisten, immer die Wahrheit zu sagen. [Churchill] From w.flamme at web.de Sun Feb 23 02:02:25 2014 From: w.flamme at web.de (Werner Flamme) Date: Sun, 23 Feb 2014 02:02:25 +0100 Subject: [Postfixbuch-users] Postfix & TLS In-Reply-To: <5308C73D.3000005@debianfan.de> References: <5308C73D.3000005@debianfan.de> Message-ID: <530948A1.2070103@web.de> [22.02.2014 16:50] [sebastian at debianfan.de]: > Hallo zusammen, > > ich habe jetzt für die Absicherung des Mailservers an das Thema SSL gedacht. [SASL-Logs gelöscht] > Ich hatte vorher ein selbsterstelltes "Beispielzertifikat" drin - da hat > Thunderbird zwar nachgefragt aber grundsätzlich funktionierte es. > > Bei psw gibts für 30 Tage ein kostenloses Testzertifikat - zumindest > hätte ich dann die Chance zu erkennen ob die Geräte diese Zertifikate > akzeptieren ohne zu murren. > > Die csr-Datei habe ich bei psw eingereicht und eine ganze Menge Dateien > in einer zip-Datei wiederbekommen. > > Attached to this email, you should find a certificate.zip file containing: > - Linux (pem+cabundle) > - - cert.cabundle (containing PositiveSSL CA 2) > - - certificate.crt (containing your certificate) > - Plesk (Certificate+CACertificate) > - - cacertcertificate.crt (containing PositiveSSL CA 2) > - - certificate.crt (containing your certificate) > - Windows (pem) > - - intermediate1.crt (containing PositiveSSL CA 2) > - - certificate.crt (containing your certificate) > - Sonstige (pem) > - - root.crt (containing AddTrust External CA Root) > - - intermediate1.crt (containing PositiveSSL CA 2) > - - certificate.crt (containing your certificate) > - Sonstige (pkcs7) > - - certificate.cer (containing all certificate) > > So wie ich die Dokumentationen verstehe, setze ich die .key-Datei hier ein: > > smtpd_tls_key_file = /etc/ssl/private/domain.key > > Aber die andere Datei ist ja die signierte Datei von psw - aber welche > der obigen nehme ich dafür. > > smtpd_tls_cert_file = /etc/ssl/certs/ ????? Was ist in cert.cabundle und certificate.cer enthalten? Nur die CA? In welchem Format, PEM? Für certificate.cer könntest Du nachsehen mit "openssl pkcs7 -in certificate.cer -print_certs". Wenn da vom Root- bis zu Deinem Zertifikat alles drin ist und es kein PEM ist, kannst Du es in eine PEM-Datei umwandeln und die dann angeben (openssl pkcs7 -in certificate.cer -out certificate.cer.pem -outform PEM). Sonst hänge die PEMs hintereinander: cat root.crt intermediate1.crt certificate.crt > allezert.pem Und dann smtpd_tls_cert_file = allezert.pem (mit Pfad). Damit Thunderbird nicht mehr fragt, muss es allerdings der Root-CA vertrauen, also wohl AddTrust External CA Root. Das scheint im Auslieferungszustand der Fall zu sein. > Angesichts der Postfix-Fehlermeldungen habe ich hier die falsche ausgewählt. Wissen wir nicht. Die zitierten Postfix-Meldungen bezogen sich auf SASL, nicht auf SSL :-P Gruß Werner -- From matsimon.lists at simweb.ch Sun Feb 23 09:46:50 2014 From: matsimon.lists at simweb.ch (Mathieu Simon (Lists)) Date: Sun, 23 Feb 2014 09:46:50 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: <52FCB40B.7000202@simweb.ch> References: <52FB6BDC.4070203@simweb.ch> <20140212221128.GA21505@spider.services.datevnet.de> <20140213105919.GL2471@charite.de> <52FCB40B.7000202@simweb.ch> Message-ID: <5309B57A.3050307@simweb.ch> Kurzes Update nach dem Zertifikatswechsel und ein paar Tagen Beobachtung ... Am 13.02.2014 13:01, schrieb Mathieu Simon (Lists): > Mir geht es v.a. darum, ob ich besser noch auf SHA1 bleibe, weil > allenfalls trotz des Alters von SHA2 nach wie vor viele Server draussen > laufen, die damit nicht sauber umgehen können. Ich stelle mir vor, dass > man beim MX eher konservativer als bei Webservern und insbesondere > Browsern versioniert. (nicht alle dürften sich Postfix aus den Snapshots > bauen) ;-) > > Nicht ganz ernst gemeinte Alternative: SHA2-Zertifikat installieren und > sich als Admin in einen Bunker verdrücken, wenn dann zig Mails > abprasseln oder nicht mehr zugestellt werden können. > Ich habe nicht in einen Bunker flüchten müssen und soweit das die Maillogs besagen: SHA256 scheint kein Problem (mehr) zu sein. Trotzdem: YMMV. Die Mailserver die vorher verschlüsselt von diesem Server Mails empfingen, oder an ihn sandten, können dies weiterhin und es sind (soweit) auch keine verlorenen Mails zu beklagen. Und vielleicht als Randnotiz für den Mailadmin, der mal eben kurz prüfen will was andere zu seiner StartTLS-Konfig meinen: https://starttls.info/ Damit habe ich dann auch mal die schwächsten Ciphers bei mir deaktiviert und auf so manchem Mailserver dürfte SSLv2 ebenso noch aktiv sein. Grüsse Mathieu From soeren at mindorf-it.de Sun Feb 23 11:16:59 2014 From: soeren at mindorf-it.de (=?utf-8?b?U8O2cmVu?= Mindorf) Date: Sun, 23 Feb 2014 11:16:59 +0100 Subject: [Postfixbuch-users] was ist mit rfc-ignorant.de passiert In-Reply-To: <20140222145626.39306509@titan.byte.cx> References: <20140222114543.Horde.chg2uuI1fNX_8A5VB3v3uA1@mail.mit42.de> <53089281.3050204@myhm.de> <20140222145626.39306509@titan.byte.cx> Message-ID: <20140223111659.Horde.YjoipfnwY_AlEqI3KT5LtQ3@mail.mit42.de> Hallo zusammen, ich habe soeben eine E-Mial von Manuel erhalten, er hat mir geschrieben, dass das Projekt vor Monaten eingestellt wurde und es diesbezüglich wohl auch eine E-Mail auf der Mailingliste gab, leider nicht in dieser. LG, Sören From igor.sverkos at googlemail.com Sun Feb 23 12:01:23 2014 From: igor.sverkos at googlemail.com (Igor Sverkos) Date: Sun, 23 Feb 2014 12:01:23 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: <5309B57A.3050307@simweb.ch> References: <52FB6BDC.4070203@simweb.ch> <20140212221128.GA21505@spider.services.datevnet.de> <20140213105919.GL2471@charite.de> <52FCB40B.7000202@simweb.ch> <5309B57A.3050307@simweb.ch> Message-ID: Hallo, Mathieu Simon schrieb: > Und vielleicht als Randnotiz für den Mailadmin, der mal eben kurz prüfen > will was andere zu seiner StartTLS-Konfig meinen: > > https://starttls.info/ > > Damit habe ich dann auch mal die schwächsten Ciphers bei mir deaktiviert > und auf so manchem Mailserver dürfte SSLv2 ebenso noch aktiv sein. Nur um etwas klarzustellen: Bei "SSL" müssen sich zwei Seiten auf etwas einigen. Im Zweifel entscheidet der Client - auch mit einer Ablehnung aller vom Server vorgeschlagenen Methode. Das kann dann dazu führen, dass gar nicht verschlüsselt wird. Ich frage dich also: Was ist jetzt besser? Die Algorithmen/Cipher serverseitig zu limitieren damit eine Gegenstelle im Zweifel sagt "Dann halt gar nicht" oder die vermeintlich unsicheren Algorithmen/Ciphern doch noch zu unterstützen, aber sie eben erst am Ende vorzuschlagen? Um es klar zu sagen: Du als Server kannst lediglich vorschlagen. Es liegt am Client ob er a) deine Vorschläge sich überhaupt anschaut b) auch die von dir vorgeschlagenen Dinge unterstützt Darüber hinaus sollte man annehmen, dass der Client sich bei der Wahl des Algorithmus/Ciphers etwas dabei denkt. Davon auszugehen der Server weiß es besser zeugt nur vom Unverständnis der Materie. Solltest du kein Downgrade auf Plaintext gestatten - dann ist dein Setup "sicher". In jedem anderen Falle schwächst du dein Setup - meiner Meinung nach - dadurch erheblich (und vor allem ohne Grund). ...dieser Wahn Cipher/Algorithmen abzuschalten der in allen möglichen Blogs tausendfach wiederholt wird ist in meinen Augen auf Leute zurückzuführen die von der Sache selber keine Ahnung haben und leider dennoch irgendetwas empfehlen. Gefährlich. Selbst wenn bspw. RC4 allgemein heute als unsicher - gerade im Vergleich zu den Alternativen - gilt, ist es dennoch besser als Plaintext. Denke da mal drüber nach. -- Ich Grüße, Igor From matsimon.lists at simweb.ch Sun Feb 23 14:43:26 2014 From: matsimon.lists at simweb.ch (Mathieu Simon (Lists)) Date: Sun, 23 Feb 2014 14:43:26 +0100 Subject: [Postfixbuch-users] SHA2-Zertifikate auf Mailservern In-Reply-To: References: <52FB6BDC.4070203@simweb.ch> <20140212221128.GA21505@spider.services.datevnet.de> <20140213105919.GL2471@charite.de> <52FCB40B.7000202@simweb.ch> <5309B57A.3050307@simweb.ch> Message-ID: <5309FAFE.1060208@simweb.ch> Hallo Igor 23.02.2014 12:01, schrieb Igor Sverkos: > Nur um etwas klarzustellen: > > Bei "SSL" müssen sich zwei Seiten auf etwas einigen. Im Zweifel > entscheidet der Client - auch mit einer Ablehnung aller vom Server > vorgeschlagenen Methode. Das kann dann dazu führen, dass gar nicht > verschlüsselt wird. Ich weiss, deswegen betrachte ich solche Webseiten wie diese von Qualys (SSLLabs.com) einfach als Informationsquelle und mehr nicht. Manchmal sind diese nützlich, und manchmal eben nicht. Jede und jeder muss dann vor der Tastatur selber entscheiden, was das Ziel für das Konkrete Setup ist und ob das passt und er / sie dazu meint. Blind so etwas zu vertrauen und produktiv zu schalten, nein, das will und tue ich nicht. > Ich frage dich also: Was ist jetzt besser? Die Algorithmen/Cipher > serverseitig zu limitieren damit eine Gegenstelle im Zweifel sagt > "Dann halt gar nicht" oder die vermeintlich unsicheren > Algorithmen/Ciphern doch noch zu unterstützen, aber sie eben erst am > Ende vorzuschlagen? Lieber am Ende vorschlagen, logisch, sofern bei der entsprechenden Software (... appliances) überhaupt möglich. > Um es klar zu sagen: Du als Server kannst lediglich vorschlagen. Es > liegt am Client ob er > > a) deine Vorschläge sich überhaupt anschaut > b) auch die von dir vorgeschlagenen Dinge unterstützt > > Darüber hinaus sollte man annehmen, dass der Client sich bei der Wahl > des Algorithmus/Ciphers etwas dabei denkt. Davon auszugehen der Server > weiß es besser zeugt nur vom Unverständnis der Materie. Die bisherige Erfahrung meinerseits war (mit Webservern, deshalb fragte ich spezifisch für SMTP), dasss die Defaults meist OK waren, aber teilweise nicht mehr derart zeitgemäss. Dies dann vor allem, wenn die zugrunde liegende Software (gewartet, aber) älteren Datums ist. (Beispiel dafür: Server 2008 R2 beherrscht TLS 1.1 und 1.2 bestens, aktiviert es aber ohne zutun nicht einfach so) > Solltest du kein Downgrade auf Plaintext gestatten - dann ist dein > Setup "sicher". In jedem anderen Falle schwächst du dein Setup - > meiner Meinung nach - dadurch erheblich (und vor allem ohne Grund). OK, ich sehe deinen Punkt. Bei SMTP lieber halt mal lieber die schwache Verschlüsselung ermöglichen, als die schwachen Suites zu deaktivieren und dafür öfters Plaintext zu arbeiten. Ich habe genau da zu kurz geschaut, danke! In der Praxis lässt sich die Variante "kein Downgrade" selten aktiv schalten, sonst hat man bald Ärger mit Usern die plötzlich Probleme mit dem Versand/Empfang an einige der grossen Freemailer haben. > ...dieser Wahn Cipher/Algorithmen abzuschalten der in allen möglichen > Blogs tausendfach wiederholt wird ist in meinen Augen auf Leute > zurückzuführen die von der Sache selber keine Ahnung haben und leider > dennoch irgendetwas empfehlen. Gefährlich. Ich nehme den vorherigen Kritikpunkt gerne auf, danke. Positiv an der Diskussion finde ich, dass das Thema mehr diskutiert wird und sich mehr Leute (überhaupt!) darüber Gedanken machen (ob gute, oder schlechte, na ja...). > Selbst wenn bspw. RC4 allgemein heute als unsicher - gerade im > Vergleich zu den Alternativen - gilt, ist es dennoch besser als > Plaintext. Absolut darum, belässt man es bei Webservern auch dabei und priorisiert es nur weniger (wenn der Server die Cipher/Algorithmen-Reihenfolge bestimmt und der Client das auch frisst...). Grüsse Mathieu From kai_postfix at fuerstenberg.ws Sun Feb 23 20:12:50 2014 From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=) Date: Sun, 23 Feb 2014 20:12:50 +0100 Subject: [Postfixbuch-users] saslauth & mysql In-Reply-To: <53085DD9.2080607@web.de> References: <52FFA278.8080008@debianfan.de> <52FFB104.9010905@uni-x.org> <52FFB5E9.1070804@debianfan.de> <52FFFEDD.7030102@uni-x.org> <5307672D.4060906@debianfan.de> <53085DD9.2080607@web.de> Message-ID: <530A4832.3050800@fuerstenberg.ws> Am 22.02.2014 09:20, schrieb Werner Flamme: > [21.02.2014 15:48] [sebastian at debianfan.de]: >> Ich hab mal vor ewigen Zeiten (wenn ich wüsste wo) gelesen (und auch >> damals mal testweise nachgebaut) das es die Möglichkeit gibt, >> Spamassassin während des SMTP-Prozesses (wenn ein anderer Mailserver >> versucht eine Mail an einen Nutzer einzuliefern) diese Mail schon >> scannen kann & ggf. ablehnt wenn sie Score "X" überschreitet. >> >> Das ganze war ohne Amavis & Co gebaut - irgendwie wurde Spamassassin in >> die master.cf reingehängt. >> >> Vorschläge oder der Link zu einer Doku ? > > Kapitel 17 in der 3. Auflage :-) > > grinst Werner Du kannst dennoch Amavis verwenden. Wenn du keinen Virencheck haben willst, kannst du das einfach deaktivieren und nur Spamassassin über Amavis einbinden. Anleitung steht auch in der zweiten Auflage ab Seite 380 drin. Dort allerdings nur als content_filter, das ist aber nicht tragisch. Du bindest den Amavis wie dort beschrieben ein und änderst, wenn du fertig bist, den "content_filter" in einen "smtpd_proxy_filter", fertig. Und dann kannst du dir überlegen, welche Amavis-Funktionen du nutzen willst und welche nicht. -- Kai Fürstenberg PM an kai at fuerstenberg punkt ws From max at grobecker-wtal.de Sun Feb 23 21:39:23 2014 From: max at grobecker-wtal.de (Maximilian Grobecker) Date: Sun, 23 Feb 2014 21:39:23 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <530925A8.1040502@jkart.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> <530925A8.1040502@jkart.de> Message-ID: <530A5C7B.7070706@grobecker-wtal.de> Hi, "smtp", der erste Eintrag der master.cf. Damit wird aber (ganz rechts zu sehen) der smtpD gestartet... ;-) Am 22.02.2014 23:33, schrieb Jim Knuth: > am 22.02.14 15:59 schrieb Maximilian Grobecker : > >> Hi, >> >> als kurze Notiz - Ich benutze das selbst nämlich inflationär, damit ich >> sehe wann meine Mail das Greylisting der Gegenstelle durchbrochen hat: >> >> >> Standardmäßig schickt Postfix DSN, ich habe bei mir die Konfiguration >> jedoch so verfeinert dass er dies nur tut, wenn Mails über den SSL- oder >> Submission-Port (also mit Authentifizierung!) eingeliefert werden. >> >> Hintergrund ist der, dass ich einige Mails mit Parametern an Scripte >> übergebe und Postfix dem Absender dann inklusive der vollen Scriptpfade >> mitteilt, was er denn so alles damit angestellt hat. >> Nennt mich paranoid, aber das will ich halt einfach nicht. >> >> Ich bin auch immer hellauf begeistert, wenn mir ein interner >> Exchange-Server einer Firma/Behörde auf meine Mail an "info@" eine >> mehrseitige Liste mit persönlichen Empfängern zukommen lässt... >> Das ist zwar ein netter Service aber vermutlich nicht im Sinne des >> Empfängers ;-) >> >> >> Deshalb steht in meiner master.cf nun: >> >> smtp >> -o smtpd_discard_ehlo_keywords=silent-discard,dsn > > smtp oder smtpd? > > > > From andreas.schulze at datev.de Mon Feb 24 08:10:05 2014 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 24 Feb 2014 08:10:05 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <5309092D.5060801@myhm.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> <5309092D.5060801@myhm.de> Message-ID: <20140224071005.GA11393@spider.services.datevnet.de> Am 22.02.2014 21:31 schrieb Andre: > kann ich eigentlich Postfix beibringen, das "RCPT TO" im SMTP-Dialog > mit NOTIFY zu ergänzen? > > Der Client liefert eine E-Mail ein und je nach im "MAIL FROM" > angegebener Absender-Adresse ergänzt Postfix das "RCPT TO" mit > NOTIFY oder eben nicht. ich habe einen Patch, der einen neuen SMTPD Parameter einführt: smtpd_force_dsn_on_success auf einem separaten SMTP-Server, wo eigene User MUAs ihre Mails zum Versand reinkippen, aktiviert dieser Parameter bedingungslos die Anforderung eines DSN. Andreas -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smtpd_force_dsn_on_success.patch Dateityp : text/x-diff Dateigröße : 2272 bytes Beschreibung: nicht verfügbar URL : From siefke_listen at web.de Mon Feb 24 18:49:18 2014 From: siefke_listen at web.de (Silvio Siefke) Date: Mon, 24 Feb 2014 18:49:18 +0100 Subject: [Postfixbuch-users] Mailer Daemon Frage Message-ID: <20140224184918.d8b5cf013f237ae5e8ee58d3@web.de> Hallo, ich bekomme jeden Tag mehrerer solcher Email wie folgend: Transcript of session follows. Out: 220 ks3374456.kimsufi.com ESMTP In: EHLO mail.totembackoffice.com Out: 250-ks3374456.kimsufi.com Out: 250-PIPELINING Out: 250-SIZE 10240000 Out: 250-ETRN Out: 250-STARTTLS Out: 250-AUTH PLAIN LOGIN CRAM-MD5 Out: 250-AUTH=PLAIN LOGIN CRAM-MD5 Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: MAIL FROM: SIZE=12322 Out: 250 2.1.0 Ok In: RCPT TO: Out: 451 4.3.0 Error: queue file write error In: DATA Out: 554 5.5.1 Error: no valid recipients In: RSET Out: 250 2.0.0 Ok In: QUIT Out: 221 2.0.0 Bye For other details, see the local mail logfile Was bedeutet das? Muss ich mir Sorgen machen? MFG Silvio From gregor at a-mazing.de Tue Feb 25 08:55:17 2014 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 25 Feb 2014 08:55:17 +0100 Subject: [Postfixbuch-users] Mailer Daemon Frage In-Reply-To: <20140224184918.d8b5cf013f237ae5e8ee58d3@web.de> References: <20140224184918.d8b5cf013f237ae5e8ee58d3@web.de> Message-ID: <201402250855.20710@office.a-mazing.net> Hallo Silvio, Am Montag, 24. Februar 2014 schrieb Silvio Siefke: > ich bekomme jeden Tag mehrerer solcher Email wie folgend: > (...) > Out: 451 4.3.0 Error: queue file write error klingt nach einem Quota- oder Rechteproblem. Was steht zu dieser Mail im Log? Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From p.heinlein at heinlein-support.de Tue Feb 25 09:02:06 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 25 Feb 2014 09:02:06 +0100 Subject: [Postfixbuch-users] Mailer Daemon Frage In-Reply-To: <20140224184918.d8b5cf013f237ae5e8ee58d3@web.de> References: <20140224184918.d8b5cf013f237ae5e8ee58d3@web.de> Message-ID: <530C4DFE.1080604@heinlein-support.de> Am 24.02.2014 18:49, schrieb Silvio Siefke: > In: RCPT TO: > Out: 451 4.3.0 Error: queue file write error Deine Amavis-Maschine ist per proxy_filter eingebunden und hat nicht genügend Slots für Dich frei. Im Amavis-Kapitel gibt es einen Teil unter der Überschrift "queue file write error", schau da mal nach. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From stickybit at myhm.de Tue Feb 25 09:26:21 2014 From: stickybit at myhm.de (Andre) Date: Tue, 25 Feb 2014 09:26:21 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <20140224071005.GA11393@spider.services.datevnet.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> <5309092D.5060801@myhm.de> <20140224071005.GA11393@spider.services.datevnet.de> Message-ID: <530C53AD.6010105@myhm.de> Hallo Andreas, > ich habe einen Patch, der einen neuen SMTPD Parameter einführt: smtpd_force_dsn_on_success danke, Du bist ein Schatz! Gruß Andre From andreas.schulze at datev.de Tue Feb 25 13:14:28 2014 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 25 Feb 2014 13:14:28 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <20140224071005.GA11393@spider.services.datevnet.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> <5309092D.5060801@myhm.de> <20140224071005.GA11393@spider.services.datevnet.de> Message-ID: <20140225121427.GA10430@spider.services.datevnet.de> Am 24.02.2014 08:10 schrieb Andreas Schulze: > ich habe einen Patch, der einen neuen SMTPD Parameter einführt: smtpd_force_dsn_on_success > > auf einem separaten SMTP-Server, wo eigene User MUAs ihre Mails zum Versand reinkippen, > aktiviert dieser Parameter bedingungslos die Anforderung eines DSN. mein Patch ist unnötig: http://marc.info/?l=postfix-users&m=139332955813552 -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info @datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender) Dipl.-Kfm. Dr. Robert Mayr Jörg Rabe v. Pappenheim Dipl.-Vw. Eckhard Schwarzer Vorsitzender des Aufsichtsrates: Reinhard Verholen From siefke_listen at web.de Tue Feb 25 15:54:39 2014 From: siefke_listen at web.de (Silvio Siefke) Date: Tue, 25 Feb 2014 15:54:39 +0100 Subject: [Postfixbuch-users] Mailer Daemon Frage In-Reply-To: <530C4DFE.1080604@heinlein-support.de> References: <20140224184918.d8b5cf013f237ae5e8ee58d3@web.de> <530C4DFE.1080604@heinlein-support.de> Message-ID: <20140225155439.bdef76c4722412c0c40a641e@web.de> Hallo, On Tue, 25 Feb 2014 09:02:06 +0100 Peer Heinlein wrote: > Deine Amavis-Maschine ist per proxy_filter eingebunden und hat nicht > genügend Slots für Dich frei. Es war nicht gestartet aus welchen Grund auch immer. > Im Amavis-Kapitel gibt es einen Teil unter der Überschrift "queue file > write error", schau da mal nach. Aber die Message bekam ich per Mail und hier versucht jemand über Telnet auf den Server zu zu greifen. Ich war das nämlich nicht. Mfg Silvio From stickybit at myhm.de Tue Feb 25 17:06:18 2014 From: stickybit at myhm.de (Andre) Date: Tue, 25 Feb 2014 17:06:18 +0100 Subject: [Postfixbuch-users] postfix delivery report einrichten? In-Reply-To: <20140225121427.GA10430@spider.services.datevnet.de> References: <5307618D.7080307@schani.com> <5308BB6F.9040501@grobecker-wtal.de> <5309092D.5060801@myhm.de> <20140224071005.GA11393@spider.services.datevnet.de> <20140225121427.GA10430@spider.services.datevnet.de> Message-ID: <530CBF7A.5020004@myhm.de> Am 25.02.2014 13:14, schrieb Andreas Schulze: > Am 24.02.2014 08:10 schrieb Andreas Schulze: > mein Patch ist unnötig: > http://marc.info/?l=postfix-users&m=139332955813552 Danke, Andreas. Gruß Andre From stickybit at myhm.de Wed Feb 26 11:15:35 2014 From: stickybit at myhm.de (Andre) Date: Wed, 26 Feb 2014 11:15:35 +0100 Subject: [Postfixbuch-users] From/To im Header Message-ID: <530DBEC7.40806@myhm.de> Servus, wenn ich mein Mailprogramm so einrichte, dass ein Doppelpunkt in der From-Header-Zeile vorkommt, also bspw.: From: Andre M : HI kommen meine E-Mails beim Empfänger so an: From: Andre at meinmailserver.com, M at meinmailserver.com:HI Das finde ich nicht sexy. ;-) Wie lässt sich dieses unerwünschte Verhalten von Postfix abstellen? Danke und Gruß Andre From p.heinlein at heinlein-support.de Wed Feb 26 11:23:27 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 26 Feb 2014 11:23:27 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <530DBEC7.40806@myhm.de> References: <530DBEC7.40806@myhm.de> Message-ID: <530DC09F.2020605@heinlein-support.de> Am 26.02.2014 11:15, schrieb Andre: > Servus, > > wenn ich mein Mailprogramm so einrichte, dass ein Doppelpunkt in der > From-Header-Zeile vorkommt, also bspw.: > > From: Andre M : HI > > kommen meine E-Mails beim Empfänger so an: > > From: Andre at meinmailserver.com, > M at meinmailserver.com:HI > > Das finde ich nicht sexy. ;-) > Wie lässt sich dieses unerwünschte Verhalten von Postfix abstellen? Also zunächst mal verhält sich Postfix richtig und es ist Dein Absender, der nicht RFC-konform ist. Du müßtest den Realnamen in Anführungszeichen setzen, dann geht es. Du kannst das Umschreiben in Postfix abschalten (*_header_rewrite_clients) , aber dann machen halt andere HeckMeck draus, weil kaputt ist halt kaputt. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From stickybit at myhm.de Wed Feb 26 11:48:00 2014 From: stickybit at myhm.de (Andre) Date: Wed, 26 Feb 2014 11:48:00 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <530DC09F.2020605@heinlein-support.de> References: <530DBEC7.40806@myhm.de> <530DC09F.2020605@heinlein-support.de> Message-ID: <530DC660.7080704@myhm.de> Danke für die schnelle Antwort, Peer! Am 26.02.2014 11:23, schrieb Peer Heinlein: > Also zunächst mal verhält sich Postfix richtig und es ist Dein Absender, > der nicht RFC-konform ist. > Du müßtest den Realnamen in Anführungszeichen setzen, dann geht es. Die Antwort habe ich erwartet. Nun kommt der Kunde zu mir und verpasst mir eine Ohrfeige: "ja, AAABER das funktioniert überall, bei GMX, bei web.de, nur bei euch gibt es diesen Fehler!" Ich kann den Kunden sehr wohl verstehen... Wäre es nicht eleganter in der Headerzeile den Doppelpunkt mit header_checks zu ersetzen bzw./oder den Realnamen automatisch in Anführungszeichen zu setzen? Oder habe ich da einen Denkfehler? Andre From p.heinlein at heinlein-support.de Wed Feb 26 12:05:08 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 26 Feb 2014 12:05:08 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <530DC660.7080704@myhm.de> References: <530DBEC7.40806@myhm.de> <530DC09F.2020605@heinlein-support.de> <530DC660.7080704@myhm.de> Message-ID: <530DCA64.80000@heinlein-support.de> Am 26.02.2014 11:48, schrieb Andre: > "ja, AAABER das funktioniert überall, bei GMX, bei web.de, nur bei euch > gibt es diesen Fehler!" Auch die haben Postfix und Exim. > Ich kann den Kunden sehr wohl verstehen... Stimmt nur in aller Regel nicht. > Wäre es nicht eleganter in der Headerzeile den Doppelpunkt mit > header_checks zu ersetzen bzw./oder den Realnamen automatisch in > Anführungszeichen zu setzen? Oder habe ich da einen Denkfehler? Mach doch. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Ralf.Hildebrandt at charite.de Wed Feb 26 12:28:11 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 26 Feb 2014 12:28:11 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <530DCA64.80000@heinlein-support.de> References: <530DBEC7.40806@myhm.de> <530DC09F.2020605@heinlein-support.de> <530DC660.7080704@myhm.de> <530DCA64.80000@heinlein-support.de> Message-ID: <20140226112811.GE16745@charite.de> > > Wäre es nicht eleganter in der Headerzeile den Doppelpunkt mit > > header_checks zu ersetzen bzw./oder den Realnamen automatisch in > > Anführungszeichen zu setzen? Oder habe ich da einen Denkfehler? > > Mach doch. Ich sag mal so, wenn das einfach wäre, dann wäre das schon längst gemacht worden. Tatsache ist, daß man sowas nicht mit regexp parsen kann, daher ist das nicht damit lösbar. Bei uns habe ich eingestellt, daß die Header nicht angefaßt werden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From max at grobecker-wtal.de Wed Feb 26 17:37:09 2014 From: max at grobecker-wtal.de (Max Grobecker) Date: Wed, 26 Feb 2014 17:37:09 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <530DC660.7080704@myhm.de> References: <530DBEC7.40806@myhm.de> <530DC09F.2020605@heinlein-support.de> <530DC660.7080704@myhm.de> Message-ID: <530E1835.8020405@grobecker-wtal.de> Hi, Am 26.02.2014 11:48, schrieb Andre: > Die Antwort habe ich erwartet. Nun kommt der Kunde zu mir und verpasst > mir eine Ohrfeige: > > "ja, AAABER das funktioniert überall, bei GMX, bei web.de, nur bei euch > gibt es diesen Fehler!" Dann lass dir von dem Kunden doch mal von einem dieser Anbieter eine Mail schicken - ich wette, da stehen Anführungszeichen um den Realnamen herum ;-) Benutzt er denn eine Weboberfläche oder einen lokalen Client? Max From christian at bricart.de Wed Feb 26 19:54:57 2014 From: christian at bricart.de (Christian Bricart) Date: Wed, 26 Feb 2014 19:54:57 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <20140226112811.GE16745@charite.de> References: <530DBEC7.40806@myhm.de> <530DC09F.2020605@heinlein-support.de> <530DC660.7080704@myhm.de> <530DCA64.80000@heinlein-support.de> <20140226112811.GE16745@charite.de> Message-ID: <530E3881.3020203@bricart.de> Am 26.02.2014 12:28, schrieb Ralf Hildebrandt: >>> Wäre es nicht eleganter in der Headerzeile den Doppelpunkt mit >>> header_checks zu ersetzen bzw./oder den Realnamen automatisch in >>> Anführungszeichen zu setzen? Oder habe ich da einen Denkfehler? >> >> Mach doch. > > Ich sag mal so, wenn das einfach wäre, dann wäre das schon längst > gemacht worden. Tatsache ist, daß man sowas nicht mit regexp parsen > kann, daher ist das nicht damit lösbar. > > Bei uns habe ich eingestellt, daß die Header nicht angefaßt werden. > und ich bin's leid, immer dem dem "(schnellen) Auskuck" oder "Austausch" vom Weltmarktführer aus Redmond die Schuld geben zu müssen.. dann *krieg* ich halt immer den Durchschlag an den sonst unzustellbaren lokalen Account des MXer (Adresse besteht ja eben nur aus local-part), wenn mal wieder einer an den ungequoteten Adressbucheintrag: Kunz, Hinz schreibt.. die Mail erreicht ja den gewünschten Empfänger nach dem Komma... und der lokale "Kunz" halt mich.. ;) Lustig wird's dann auch erst, wenn der "höh - ist doch völlg legitim"-Adress-Listen-Trenner das ";" statt dem "," dazukommt.. ob dort überhaupt mal jemand RFCs liest..? SCNR Christian From Ralf.Hildebrandt at charite.de Thu Feb 27 07:03:25 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 27 Feb 2014 07:03:25 +0100 Subject: [Postfixbuch-users] From/To im Header In-Reply-To: <530E3881.3020203@bricart.de> References: <530DBEC7.40806@myhm.de> <530DC09F.2020605@heinlein-support.de> <530DC660.7080704@myhm.de> <530DCA64.80000@heinlein-support.de> <20140226112811.GE16745@charite.de> <530E3881.3020203@bricart.de> Message-ID: <20140227060325.GB25302@charite.de> * Christian Bricart : > und ich bin's leid, immer dem dem "(schnellen) Auskuck" oder "Austausch" > vom Weltmarktführer aus Redmond die Schuld geben zu müssen.. dann > *krieg* ich halt immer den Durchschlag an den sonst unzustellbaren > lokalen Account des MXer (Adresse besteht ja eben nur aus local-part), > wenn mal wieder einer an den ungequoteten Adressbucheintrag: > Kunz, Hinz > schreibt.. die Mail erreicht ja den gewünschten Empfänger nach dem > Komma... und der lokale "Kunz" halt mich.. ;) Deswegen füge ich auf unserem zu dem Kunden gewandten Server an nicht voll-qualifierte Adressen eine @domain.invalid an, sodaß die Mail auf keinen Fall dem falschen zugestellt wird. Dann kriegt der pro Mail hat zwei Bounces, aber das ist halt besser als die Alternative (Zustellung an falsche Adresse!) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From roellig at roellig-ltd.de Thu Feb 27 17:23:20 2014 From: roellig at roellig-ltd.de (roellig at roellig-ltd.de) Date: Thu, 27 Feb 2014 16:23:20 +0000 Subject: [Postfixbuch-users] Amavis LDAP Message-ID: <20140227162320.Horde.o6a7uV8yDRN25RwJ5gwYeA1@mail.roellig-ltd.de> Hallo, ich versuche gerade Amavis beizubringen die Domains im LDAP zu suchen, bzw ihm das Attribut amavisLocal beizubringen. Ich hab schon Diverse HoWTos durch aber im Debug sucht er merkwürdiger weise immer nur nach dem Empfänger. Im Log finde ich nur das: (18774-01) 2822.From: (18774-01) lookup_sql_field(local), "sven_roellig at yahoo.de" no matching records (18774-01) lookup_ldap_attr(amavisLocal) rec=0, "sven_roellig at yahoo.de" result: "1" (18774-01) lookup_ldap_attr, no such attrs: amavisLocal Da er aber den Emfpänger sucht kann das ja nicht gehen, somit schlägt dann auch die DKIM Signierung fehl. Wenn ich das nach MySQL bzw auf die Textdateien wieder zurückbiege geht alles normal seinen lauf. Dazu gesagt sei noch das ich den User den ich hier zum Testen benutze schon das Attribut amavisLocal = True verpasst habe. Nach den HowTos sollte es eingentlich laufen, aber irgendwie sind diverse Howtos auch nicht wirklich eindeutig. In der 25-amavis_helpers hab ich Folgendes: $enable_ldap = 1; $default_ldap={ hostname => ['localhost'], timeout => 5, tls => 0, version => 3, base => 'ou=user,o=base,dc=1,dc=de', scope => 'sub', query_filter => '(&(objectClass=inetOrgPerson)(mail=%m))', bind_dn => 'o=base,dc=1,dc=de', bind_password => 'secret', }; Hat da jemand mal einen Tipp ich steh hier irgendwie auf dem Schlauch Grüsse Sven -- Röllig IT - Technik Hermannstr. 12 12049 Berlin Tel: 0049 (0)30 / 447 297 03 Fax: 0049 (0)30 / 447 297 02 mailto: roellig at roellig-ltd.de From Jogie at quantentunnel.de Fri Feb 28 12:20:23 2014 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 28 Feb 2014 12:20:23 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" Message-ID: Hallo Postfixfreunde,   leider findet bei uns gerade eine Hetzjagd auf Greylisting statt. Es sei überhaupt nicht akzeptabel, dass E-Mails 10min und länger brauchen. Greylisting wird als nicht mehr Zeitgemäß und praxisfern bezeichnet. Die klaren Vorteile (Zeitpuffer bis SPAM-Server auf Blacklist steht, weniger Last, weil nichts durch den Content-Filter muss) finden kein Gehör. In den Augen unseres CTO/CIO ist Mail ein Instant Kommunikationsmittel. Ein Vorschlag war jetzt, um Greylisting noch retten zu können, dass Greylisting die sendenden Hosts whitelistet, mit denen wir in Kontakt stehen. Also jemand bei uns schreibt eine E-Mail an xy, unser System whitelistet daraufhin den Mailserver von xy (im Greylisting), so dass keine Verzögerung bei Erstkontakt, der von unserer Seite aus entstand, entsteht. Da MX und Mailout nicht identlisch sein müssen, frage ich mich, ob so eine Lösung überhaupt realisiert werden kann? Hat jemand von euch sowas schon am laufen? Danke & Gruß, Jörg From fk at florian-kaiser.net Fri Feb 28 12:32:00 2014 From: fk at florian-kaiser.net (Florian Kaiser) Date: Fri, 28 Feb 2014 12:32:00 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: References: Message-ID: <1393587120.5622.69.camel@workstation.fk> Hallo Jörg, > leider findet bei uns gerade eine Hetzjagd auf Greylisting statt. Es > sei überhaupt nicht akzeptabel, dass E-Mails 10min und länger brauchen. > Greylisting wird als nicht mehr Zeitgemäß und praxisfern bezeichnet. > Die klaren Vorteile (Zeitpuffer bis SPAM-Server auf Blacklist steht, > weniger Last, weil nichts durch den Content-Filter muss) finden kein > Gehör. Nun, das kennt man ja... > In den Augen unseres CTO/CIO ist Mail ein Instant Kommunikationsmittel. CIO kann ich ja verstehen, CEO auch, aber wenn der CTO so eine Meinung vertritt scheint das "technical" in seinem Titel nicht gerechtfertigt zu sein. > Ein Vorschlag war jetzt, um Greylisting noch retten zu können, dass > Greylisting die sendenden Hosts whitelistet, mit denen wir in Kontakt > stehen. Also jemand bei uns schreibt eine E-Mail an xy, unser System > whitelistet daraufhin den Mailserver von xy (im Greylisting), so dass > keine Verzögerung bei Erstkontakt, der von unserer Seite aus entstand, > entsteht. > Da MX und Mailout nicht identlisch sein müssen, frage ich mich, ob so > eine Lösung überhaupt realisiert werden kann? Hat jemand von euch sowas > schon am laufen? Ist tatsächlich nicht trivial zu lösen, da MX meist gar nichts mit dem Server zu tun hat, der die E-Mails nachher verschickt. Wir prüfen vor dem Greylisting, ob http://dnswl.org/ einen Eintrag hat. Wenn ja, gibts kein Greylisting. Das funktioniert ganz gut. Und natürlich wird ein Host in die globale Non-Greylist-Whitelist aufgenommen, sobald er ein einziges mal durchgekommen ist. Viele Grüße Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: This is a digitally signed message part URL : From christian at bricart.de Fri Feb 28 12:41:02 2014 From: christian at bricart.de (Christian Bricart) Date: Fri, 28 Feb 2014 12:41:02 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: References: Message-ID: Am 2014-02-28 12:20, schrieb Jörg Sitek: > Hallo Postfixfreunde, >   > leider findet bei uns gerade eine Hetzjagd auf Greylisting statt. Es > sei überhaupt nicht akzeptabel, dass E-Mails 10min und länger genauer heisst das allerdings auch nur: die *erste*(!) Mail aus der Kombination * Absender-Adresse plus * einliefernder Server plus * Empfänger-Adresse heisst: im "Redefluss" wird nichts mehr verlangsamt.. > brauchen. Greylisting wird als nicht mehr Zeitgemäß und praxisfern > bezeichnet. > Die klaren Vorteile (Zeitpuffer bis SPAM-Server auf Blacklist steht, > weniger Last, weil nichts durch den Content-Filter muss) finden kein > Gehör. > > In den Augen unseres CTO/CIO ist Mail ein Instant Kommunikationsmittel. ..ist es aber nicht, war es nie und wird es nie sein.. > > Ein Vorschlag war jetzt, um Greylisting noch retten zu können, dass > Greylisting die sendenden Hosts whitelistet, mit denen wir in Kontakt > stehen. > > Also jemand bei uns schreibt eine E-Mail an xy, unser System > whitelistet daraufhin den Mailserver von xy (im Greylisting), so dass > keine Verzögerung bei Erstkontakt, der von unserer Seite aus entstand, > entsteht. du gibst dir selbst im nächsten Satz schon die Antwort ;) > > Da MX und Mailout nicht identlisch sein müssen, frage ich mich, ob so > eine Lösung überhaupt realisiert werden kann? Hat jemand von euch > sowas schon am laufen? ja (leider) - eigentlich genau wie vorgeschlagen ;) aber nicht mit dem Wunsch/Ziel/Garantie damit eine 100%ige Lösung zu schaffen, sondern schon mal die Fälle zu bedienen, bei denen der ein- und ausgehende MX eben zufällig identisch sind. Christian From Jogie at quantentunnel.de Fri Feb 28 12:51:56 2014 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 28 Feb 2014 12:51:56 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: <1393587120.5622.69.camel@workstation.fk> References: , <1393587120.5622.69.camel@workstation.fk> Message-ID: Hi Florian,  >> leider findet bei uns gerade eine Hetzjagd auf Greylisting statt. Es >> sei überhaupt nicht akzeptabel, dass E-Mails 10min und länger brauchen. >> Greylisting wird als nicht mehr Zeitgemäß und praxisfern bezeichnet. >> Die klaren Vorteile (Zeitpuffer bis SPAM-Server auf Blacklist steht, >> weniger Last, weil nichts durch den Content-Filter muss) finden kein >> Gehör. > Nun, das kennt man ja... >> In den Augen unseres CTO/CIO ist Mail ein Instant Kommunikationsmittel. > CIO kann ich ja verstehen, CEO auch, aber wenn der CTO so eine Meinung > vertritt scheint das "technical" in seinem Titel nicht gerechtfertigt > zu sein. >> Ein Vorschlag war jetzt, um Greylisting noch retten zu können, dass >> Greylisting die sendenden Hosts whitelistet, mit denen wir in Kontakt >> stehen. Also jemand bei uns schreibt eine E-Mail an xy, unser System >> whitelistet daraufhin den Mailserver von xy (im Greylisting), so dass >> keine Verzögerung bei Erstkontakt, der von unserer Seite aus entstand, >> entsteht. >> Da MX und Mailout nicht identlisch sein müssen, frage ich mich, ob so >> eine Lösung überhaupt realisiert werden kann? Hat jemand von euch sowas >> schon am laufen? > Ist tatsächlich nicht trivial zu lösen, da MX meist gar nichts mit dem > Server zu tun hat, der die E-Mails nachher verschickt. > Wir prüfen vor dem Greylisting, ob http://dnswl.org/ einen Eintrag hat. > Wenn ja, gibts kein Greylisting. Das funktioniert ganz gut. Und > natürlich wird ein Host in die globale Non-Greylist-Whitelist > aufgenommen, sobald er ein einziges mal durchgekommen ist. Das klingt interessant. Wie habt ihr das technisch gelöst? Gibt es da schon was fertiges, oder habt ihr euch einen eigenen Daemon gebaut? Gruß, Jörg From fk at florian-kaiser.net Fri Feb 28 12:54:24 2014 From: fk at florian-kaiser.net (Florian Kaiser) Date: Fri, 28 Feb 2014 12:54:24 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: References: , <1393587120.5622.69.camel@workstation.fk> Message-ID: <1393588464.5622.71.camel@workstation.fk> Hi, > Das klingt interessant. Wie habt ihr das technisch gelöst? Gibt es da > schon was fertiges, oder habt ihr euch einen eigenen Daemon gebaut? Kann Postfix von Haus aus in den Restrictions mit permit_dnswl_client list.dnswl.org Dann nutzen wir postgrey, dort dann mit folgenden Optionen: --auto-whitelist-clients=1 --max-age=360 Grüße Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: This is a digitally signed message part URL : From Ralf.Hildebrandt at charite.de Fri Feb 28 13:18:53 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 28 Feb 2014 13:18:53 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: References: Message-ID: <20140228121853.GK18855@charite.de> * "Jörg Sitek" : > In den Augen unseres CTO/CIO ist Mail ein Instant Kommunikationsmittel. Was ist dann Chat/Instant Messaging? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From p.heinlein at heinlein-support.de Fri Feb 28 13:29:53 2014 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 28 Feb 2014 13:29:53 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: References: Message-ID: <53108141.8060305@heinlein-support.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 28.02.2014 12:20, schrieb "Jörg Sitek": > Ein Vorschlag war jetzt, um Greylisting noch retten zu können, dass > Greylisting die sendenden Hosts whitelistet, mit denen wir in > Kontakt stehen. postgrey *SETZT* die Hosts, mit denen man in Kotnakt steht *AUTOMATISCH* auf eine postgrey-interne Whitelist. Wer ohne derart automatisches whitelisting fährt hat Greylisting falsch implementiert und hat DANN natürlich auch völlig recht, wenn er sagt, daß Greylisting einen großen Impact hat. Das liegt dann aber weniger am Greylisting, als an einer nicht-best-practice-Umsetzung wo man sich nicht wundern darf. Peer - -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJTEIFBAAoJEAOLLpq5E82H2vsIALMweSKn5l5OJiRyuq/Rgx8l +tYjlcfD+7vf6sKxb1rD6YyM0js5kFlKhDcEvy8Mj7Jvz/7v2ddwAI27VCpONRDB g+7Z/sQuk0LbsziHiNP+6v8NM6maa+5yo1wkG6yp64MQd/HBgvPtyvCGR9gWIypT vGmREYYbeG4IT6UJDYiXaDUNZajVaYuYnrbVv50P9ay04sgDIgWdKTuKo7Rh9Wr+ //saBOmCZ4vScOweey6B6+YPu8DxfJ8djw8ffXvVWZOcy6hLSkG8M1GcW1y1xiKx Ih3JjQW6yEb1TmV933tm7wOICc8HVFIgNkY0lOaSbIq7YgfleucBZSInMH/HeyA= =kxCi -----END PGP SIGNATURE----- From Ralf.Hildebrandt at charite.de Fri Feb 28 13:31:25 2014 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 28 Feb 2014 13:31:25 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: <53108141.8060305@heinlein-support.de> References: <53108141.8060305@heinlein-support.de> Message-ID: <20140228123125.GM18855@charite.de> > Wer ohne derart automatisches whitelisting fährt hat Greylisting > falsch implementiert und hat DANN natürlich auch völlig recht, wenn er > sagt, daß Greylisting einen großen Impact hat. Davon sehen wir hier einige... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From max at grobecker-wtal.de Fri Feb 28 13:49:59 2014 From: max at grobecker-wtal.de (Max Grobecker) Date: Fri, 28 Feb 2014 13:49:59 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" In-Reply-To: References: Message-ID: <531085F7.90401@grobecker-wtal.de> Hallo, abgesehen davon, dass ich auch kein Freund von Greylisting bin: Du könntest ja die gesamte Domain einfach whitelisten, wenn du eine Mail an die geschickt hast. Das Whitelisting findet also nicht auf IP-Ebene sondern auf Domainebene statt, dann ist es ja egal, woher die Mail gesendet wird. Eine fertige Scriptlösung habe ich dazu allerdings auch nicht - ich sehe bei mir keine echten Vorteile mehr.... ;-) Viele Grüße aus dem Tal Max Am 28.02.2014 12:20, schrieb "Jörg Sitek": > > Hallo Postfixfreunde, > > leider findet bei uns gerade eine Hetzjagd auf Greylisting statt. Es sei überhaupt nicht akzeptabel, dass E-Mails 10min und länger brauchen. Greylisting wird als nicht mehr Zeitgemäß und praxisfern bezeichnet. > Die klaren Vorteile (Zeitpuffer bis SPAM-Server auf Blacklist steht, weniger Last, weil nichts durch den Content-Filter muss) finden kein Gehör. > > In den Augen unseres CTO/CIO ist Mail ein Instant Kommunikationsmittel. > > Ein Vorschlag war jetzt, um Greylisting noch retten zu können, dass Greylisting die sendenden Hosts whitelistet, mit denen wir in Kontakt stehen. > > Also jemand bei uns schreibt eine E-Mail an xy, unser System whitelistet daraufhin den Mailserver von xy (im Greylisting), so dass keine Verzögerung bei Erstkontakt, der von unserer Seite aus entstand, entsteht. > > Da MX und Mailout nicht identlisch sein müssen, frage ich mich, ob so eine Lösung überhaupt realisiert werden kann? Hat jemand von euch sowas schon am laufen? > > Danke & Gruß, > Jörg > From Jogie at quantentunnel.de Fri Feb 28 13:57:38 2014 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 28 Feb 2014 13:57:38 +0100 Subject: [Postfixbuch-users] Greylisting "Optimierung" Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: