From wolfgang.zeikat at desy.de  Mon Jul  7 10:22:04 2014
From: wolfgang.zeikat at desy.de (Zeikat, Wolfgang)
Date: Mon, 7 Jul 2014 10:22:04 +0200 (CEST)
Subject: [Postfixbuch-users] header_checks mit UTF-8?
In-Reply-To: <982503230.2802062.1404720400321.JavaMail.zimbra@desy.de>
Message-ID: <949699778.2802213.1404721324252.JavaMail.zimbra@desy.de>

Moin!

Derzeit werden reichlich Malware-behaftete Mails versendet, in deren Betreff immer wieder gleiche Strings auftauchen. Die Subjects sind mit UTF-8 codiert, da sie zum Beispiel esszett enthalten.

Wie kann ich darauf header_checks einrichten?

Beste Grüße,

wolfgang


From Ralf.Hildebrandt at charite.de  Mon Jul  7 10:42:50 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Mon, 7 Jul 2014 10:42:50 +0200
Subject: [Postfixbuch-users] header_checks mit UTF-8?
In-Reply-To: <949699778.2802213.1404721324252.JavaMail.zimbra@desy.de>
References: <982503230.2802062.1404720400321.JavaMail.zimbra@desy.de>
 <949699778.2802213.1404721324252.JavaMail.zimbra@desy.de>
Message-ID: <20140707084250.GC19849@charite.de>

* Zeikat, Wolfgang <wolfgang.zeikat at desy.de>:
> Moin!
> 
> Derzeit werden reichlich Malware-behaftete Mails versendet, in deren Betreff immer wieder gleiche Strings auftauchen. Die Subjects sind mit UTF-8 codiert, da sie zum Beispiel esszett enthalten.
> 
> Wie kann ich darauf header_checks einrichten?

Ich denke das geht gar nicht. Du könntest natürlich "exact match"
machen, aber irgendwas mit Wildcards geht nicht

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From bausch at kercomp.de  Mon Jul  7 16:59:35 2014
From: bausch at kercomp.de (=?iso-8859-1?Q?Kai_Bausch?=)
Date: Mon, 7 Jul 2014 16:59:35 +0200
Subject: [Postfixbuch-users] =?iso-8859-1?q?Postfix_das_VERSENDEN_nur_f=FC?=
 =?iso-8859-1?q?r_DEFINIERTE_Absenderdomains_erlauben?=
Message-ID: <zarafa.53bab5d7.7360.55f6d44565b54dc8@www.kcserver.de>

Hallo zusammen,
ich habe jetzt schon div. Stunden mit Internetrecherche verbracht aber finde keinen Weg folgendes in Postfix umzusetzen.

Ich habe einen Server der hostet div. Domains und alle User versenden über Sasl ( Dovecot-sasl ).
Ich möchte erzwingen das bestimmte Kennungen  z.B. knd_account1 nur mit Absenderemailadressen ... at kunde1.de 
und die Sasl-Kennung knd2_account1 nur mit der Absenderdomain ... at kunde2.de versenden kann.

Ich möchte die Mailadressen NICHT fest umschreiben, sondern nur prüfen und ggf. den Versand unterbinden.


-- 
Mit freundlichen Grüßen
Kai Bausch



From ml2013 at andreas-ziegler.de  Mon Jul  7 17:27:40 2014
From: ml2013 at andreas-ziegler.de (Andreas Ziegler)
Date: Mon, 07 Jul 2014 17:27:40 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Postfix_das_VERSENDEN_nur_f=FC?=
 =?iso-8859-1?q?r_DEFINIERTE_Absenderdomains_erlauben?=
In-Reply-To: <zarafa.53bab5d7.7360.55f6d44565b54dc8@www.kcserver.de>
References: <zarafa.53bab5d7.7360.55f6d44565b54dc8@www.kcserver.de>
Message-ID: <53BABC6C.5030308@andreas-ziegler.de>

Hallo Kai,

falls dir die Kurzfassung reicht:
Du brauchst einen Eintrag "smtpd_sender_login_maps=...", der die
Adressen den Accounts zuweist.
Darauf aufbauend dann in deinen restrictions den Punkt
"reject_authenticated_sender_login_mismatch"

Viele Grüße

Andreas


-------- Original-Nachricht --------
Betreff: [Postfixbuch-users] Postfix das VERSENDEN nur für DEFINIERTE
Absenderdomains erlauben
Von: Kai Bausch <bausch at kercomp.de>
An: Postfixbuch-users at listen.jpberlin.de
<Postfixbuch-users at listen.jpberlin.de>
Datum: Montag, 7. Juli 2014 16:59:35

> Hallo zusammen,
> ich habe jetzt schon div. Stunden mit Internetrecherche verbracht aber finde keinen Weg folgendes in Postfix umzusetzen.
> 
> Ich habe einen Server der hostet div. Domains und alle User versenden über Sasl ( Dovecot-sasl ).
> Ich möchte erzwingen das bestimmte Kennungen  z.B. knd_account1 nur mit Absenderemailadressen ... at kunde1.de 
> und die Sasl-Kennung knd2_account1 nur mit der Absenderdomain ... at kunde2.de versenden kann.
> 
> Ich möchte die Mailadressen NICHT fest umschreiben, sondern nur prüfen und ggf. den Versand unterbinden.
> 
> 


From news at amaltea.de  Mon Jul  7 17:37:36 2014
From: news at amaltea.de (Paul)
Date: Mon, 07 Jul 2014 17:37:36 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Postfix_das_VERSENDEN_nur_f=FC?=
 =?iso-8859-1?q?r_DEFINIERTE_Absenderdomains_erlauben?=
In-Reply-To: <zarafa.53bab5d7.7360.55f6d44565b54dc8@www.kcserver.de>
References: <zarafa.53bab5d7.7360.55f6d44565b54dc8@www.kcserver.de>
Message-ID: <53BABEC0.3050701@amaltea.de>

Am 07.07.2014 16:59, schrieb Kai Bausch:
> Hallo zusammen,
> ich habe jetzt schon div. Stunden mit Internetrecherche verbracht aber finde keinen Weg folgendes in Postfix umzusetzen.
> 
> Ich habe einen Server der hostet div. Domains und alle User versenden über Sasl ( Dovecot-sasl ).
> Ich möchte erzwingen das bestimmte Kennungen  z.B. knd_account1 nur mit Absenderemailadressen ... at kunde1.de 
> und die Sasl-Kennung knd2_account1 nur mit der Absenderdomain ... at kunde2.de versenden kann.
> 
> Ich möchte die Mailadressen NICHT fest umschreiben, sondern nur prüfen und ggf. den Versand unterbinden.
> 
> 

Schau mal hier:
http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps

Dazu auch die folgenden drei:
http://www.postfix.org/postconf.5.html#reject_sender_login_mismatch

http://www.postfix.org/postconf.5.html#reject_authenticated_sender_login_mismatch

http://www.postfix.org/postconf.5.html#reject_unauthenticated_sender_login_mismatch


Gruß
Paul


From mrg at unimx.de  Thu Jul 10 13:52:28 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Thu, 10 Jul 2014 13:52:28 +0200
Subject: [Postfixbuch-users] =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
Message-ID: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>



Hallo Liste, 

ich habe folgendes Problem. Habe einen Postfix
(192.168.77.90) der die Mails, welche von einem internen
dahinterstehenden Mailserver (192.168.77.50) kommen, an das jeweilige
Ziel weiterleitet (relayhost = 192.168.77.90:26).
Funktioniert. 

Der
Postfix hat nun mehrere IP-Adressen, ich will nun, dass Postfix die
Mails über die 2. IP per SMTP zu den Zielmailservern schickt, was er
nicht tut, trotz smtp_bind_address = 80.X.X.6 

Er nimmt immer die 1. IP
(80.X.X.5) 

Habe schon seit Stunden bei google geforscht und überall
funktioniert der Parameter smtp_bind_address 

Siehe im Mailheader:


Received: from NNNNNNNNN ([80.X.X.5])
by ?;
client-ip=80.X.X.5;
helo=NNNNNNNNNN;
envelope-from= 

Konfiguration des Postfix/Mailservers:


eth0 Link encap:Ethernet Hardware Adresse 00:50:56:b4:00:11..
 inet
Adresse:80.X.X.5 

eth0:8 Link encap:Ethernet Hardware Adresse
00:50:56:b4:00:11..
 inet Adresse:80.X.X.6 

Kernel-IP-Routentabelle


0.0.0.0 80.X.X.1 0.0.0.0 UG 0 0 0 eth0 

postconf -n 

alias_database
= hash:/etc/aliases 

alias_maps = hash:/etc/aliases


append_dot_mydomain = no 

biff = no 

bounce_queue_lifetime = 10h


config_directory = /etc/postfix 

disable_dns_lookups = no


header_checks = regexp:/etc/postfix/header_checks 

inet_interfaces =
all 

local_transport = smtp:[192.168.77.50]:25 

mailbox_size_limit = 0


maximal_queue_lifetime = 5d 

message_size_limit = 52428800


mydestination = $myhostname, localhost.$mydomain 

myhostname =
NNNNNNNN 

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104
[::1]/128,127.0.0.0/8,192.168.77.0/24 

readme_directory = no


recipient_delimiter = + 

relayhost = 

smtp_bind_address = 80.X.X.6


smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache


smtpd_banner = NNNNNNN 

smtpd_recipient_restrictions =
permit_mynetworks,reject_unauth_destination 

smtpd_tls_cert_file =
/etc/ssl/certs/ssl-cert-snakeoil.pem 

smtpd_tls_key_file =
/etc/ssl/private/ssl-cert-snakeoil.key


smtpd_tls_session_cache_database =
btree:${data_directory}/smtpd_scache 

smtpd_use_tls = yes 

master.cf


192.168.77.90:26 inet n - n - - smtpd 

mail_version = 2.5.5 

Woran
kann es liegen, dass Postfix immer noch über die 1. IP sendet? 

M. Hein
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140710/b1fa46bc/attachment.htm>

From max at freecards.de  Thu Jul 10 15:49:04 2014
From: max at freecards.de (Markus Heinze)
Date: Thu, 10 Jul 2014 15:49:04 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
	=?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>
References: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>
Message-ID: <e92f4dd844bab6eaeecd86a99151616d@freecards.de>

 

Hallo, 

was spricht dagegen inet_interfaces richtig zu setzen ? 

lg 

max 

Am 2014-07-10 13:52, schrieb mrg at unimx.de: 

> Hallo Liste, 
> 
> ich habe folgendes Problem. Habe einen Postfix (192.168.77.90) der die Mails, welche von einem internen dahinterstehenden Mailserver (192.168.77.50) kommen, an das jeweilige Ziel weiterleitet (relayhost = 192.168.77.90:26).
> Funktioniert. 
> 
> Der Postfix hat nun mehrere IP-Adressen, ich will nun, dass Postfix die Mails über die 2. IP per SMTP zu den Zielmailservern schickt, was er nicht tut, trotz smtp_bind_address = 80.X.X.6 
> 
> Er nimmt immer die 1. IP (80.X.X.5) 
> 
> Habe schon seit Stunden bei google geforscht und überall funktioniert der Parameter smtp_bind_address 
> 
> Siehe im Mailheader: 
> 
> Received: from NNNNNNNNN ([80.X.X.5])
> by ?;
> client-ip=80.X.X.5; helo=NNNNNNNNNN;
> envelope-from= 
> 
> Konfiguration des Postfix/Mailservers: 
> 
> eth0 Link encap:Ethernet Hardware Adresse 00:50:56:b4:00:11..
> inet Adresse:80.X.X.5 
> 
> eth0:8 Link encap:Ethernet Hardware Adresse 00:50:56:b4:00:11..
> inet Adresse:80.X.X.6 
> 
> Kernel-IP-Routentabelle 
> 
> 0.0.0.0 80.X.X.1 0.0.0.0 UG 0 0 0 eth0 
> 
> postconf -n 
> 
> alias_database = hash:/etc/aliases 
> 
> alias_maps = hash:/etc/aliases 
> 
> append_dot_mydomain = no 
> 
> biff = no 
> 
> bounce_queue_lifetime = 10h 
> 
> config_directory = /etc/postfix 
> 
> disable_dns_lookups = no 
> 
> header_checks = regexp:/etc/postfix/header_checks 
> 
> inet_interfaces = all 
> 
> local_transport = smtp:[192.168.77.50]:25 
> 
> mailbox_size_limit = 0 
> 
> maximal_queue_lifetime = 5d 
> 
> message_size_limit = 52428800 
> 
> mydestination = $myhostname, localhost.$mydomain 
> 
> myhostname = NNNNNNNN 
> 
> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128,127.0.0.0/8,192.168.77.0/24 
> 
> readme_directory = no 
> 
> recipient_delimiter = + 
> 
> relayhost = 
> 
> smtp_bind_address = 80.X.X.6 
> 
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
> 
> smtpd_banner = NNNNNNN 
> 
> smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination 
> 
> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem 
> 
> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key 
> 
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
> 
> smtpd_use_tls = yes 
> 
> master.cf 
> 
> 192.168.77.90:26 inet n - n - - smtpd 
> 
> mail_version = 2.5.5 
> 
> Woran kann es liegen, dass Postfix immer noch über die 1. IP sendet? 
> 
> M. Hein

 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140710/9a7338fb/attachment.htm>

From max at freecards.de  Thu Jul 10 15:54:51 2014
From: max at freecards.de (Markus Heinze)
Date: Thu, 10 Jul 2014 15:54:51 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
	=?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <e92f4dd844bab6eaeecd86a99151616d@freecards.de>
References: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>
 <e92f4dd844bab6eaeecd86a99151616d@freecards.de>
Message-ID: <ee378246eba21e00bf4f1247cc6cde7a@freecards.de>

 

Ach ja smtp_bind_address wird meines Wissens in der master.cf als
Parameter gesetzt und nicht in der main.cf 

lg max 

Am 2014-07-10 15:49, schrieb Markus Heinze: 

> Hallo, 
> 
> was spricht dagegen inet_interfaces richtig zu setzen ? 
> 
> lg 
> 
> max 
> 
> Am 2014-07-10 13:52, schrieb mrg at unimx.de: 
> 
>> Hallo Liste, 
>> 
>> ich habe folgendes Problem. Habe einen Postfix (192.168.77.90) der die Mails, welche von einem internen dahinterstehenden Mailserver (192.168.77.50) kommen, an das jeweilige Ziel weiterleitet (relayhost = 192.168.77.90:26).
>> Funktioniert. 
>> 
>> Der Postfix hat nun mehrere IP-Adressen, ich will nun, dass Postfix die Mails über die 2. IP per SMTP zu den Zielmailservern schickt, was er nicht tut, trotz smtp_bind_address = 80.X.X.6 
>> 
>> Er nimmt immer die 1. IP (80.X.X.5) 
>> 
>> Habe schon seit Stunden bei google geforscht und überall funktioniert der Parameter smtp_bind_address 
>> 
>> Siehe im Mailheader: 
>> 
>> Received: from NNNNNNNNN ([80.X.X.5])
>> by ?;
>> client-ip=80.X.X.5; helo=NNNNNNNNNN;
>> envelope-from= 
>> 
>> Konfiguration des Postfix/Mailservers: 
>> 
>> eth0 Link encap:Ethernet Hardware Adresse 00:50:56:b4:00:11..
>> inet Adresse:80.X.X.5 
>> 
>> eth0:8 Link encap:Ethernet Hardware Adresse 00:50:56:b4:00:11..
>> inet Adresse:80.X.X.6 
>> 
>> Kernel-IP-Routentabelle 
>> 
>> 0.0.0.0 80.X.X.1 0.0.0.0 UG 0 0 0 eth0 
>> 
>> postconf -n 
>> 
>> alias_database = hash:/etc/aliases 
>> 
>> alias_maps = hash:/etc/aliases 
>> 
>> append_dot_mydomain = no 
>> 
>> biff = no 
>> 
>> bounce_queue_lifetime = 10h 
>> 
>> config_directory = /etc/postfix 
>> 
>> disable_dns_lookups = no 
>> 
>> header_checks = regexp:/etc/postfix/header_checks 
>> 
>> inet_interfaces = all 
>> 
>> local_transport = smtp:[192.168.77.50]:25 
>> 
>> mailbox_size_limit = 0 
>> 
>> maximal_queue_lifetime = 5d 
>> 
>> message_size_limit = 52428800 
>> 
>> mydestination = $myhostname, localhost.$mydomain 
>> 
>> myhostname = NNNNNNNN 
>> 
>> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128,127.0.0.0/8,192.168.77.0/24 
>> 
>> readme_directory = no 
>> 
>> recipient_delimiter = + 
>> 
>> relayhost = 
>> 
>> smtp_bind_address = 80.X.X.6 
>> 
>> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
>> 
>> smtpd_banner = NNNNNNN 
>> 
>> smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination 
>> 
>> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem 
>> 
>> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key 
>> 
>> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
>> 
>> smtpd_use_tls = yes 
>> 
>> master.cf 
>> 
>> 192.168.77.90:26 inet n - n - - smtpd 
>> 
>> mail_version = 2.5.5 
>> 
>> Woran kann es liegen, dass Postfix immer noch über die 1. IP sendet? 
>> 
>> M. Hein

 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140710/5aba2901/attachment.htm>

From kai_postfix at fuerstenberg.ws  Thu Jul 10 16:04:01 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Thu, 10 Jul 2014 16:04:01 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <ee378246eba21e00bf4f1247cc6cde7a@freecards.de>
References: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>
 <e92f4dd844bab6eaeecd86a99151616d@freecards.de>
 <ee378246eba21e00bf4f1247cc6cde7a@freecards.de>
Message-ID: <53BE9D51.3070602@fuerstenberg.ws>

Am 10.07.2014 15:54, schrieb Markus Heinze:
> Ach ja smtp_bind_address wird meines Wissens in der master.cf als
> Parameter gesetzt und nicht in der main.cf

das ist egal:
"This can be specified in the main.cf file for all SMTP clients, or it
can be specified in the master.cf file for a specific client"

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From postfixbuch-users at 0xaffe.de  Thu Jul 10 16:05:37 2014
From: postfixbuch-users at 0xaffe.de (Mathias Jeschke)
Date: Thu, 10 Jul 2014 16:05:37 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
	=?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <ee378246eba21e00bf4f1247cc6cde7a@freecards.de>
References: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>
 <e92f4dd844bab6eaeecd86a99151616d@freecards.de>
 <ee378246eba21e00bf4f1247cc6cde7a@freecards.de>
Message-ID: <b71bade62c429e196be17f0a3f766249@webmail.majes.de>


 Hi,

 On Thu, 10 Jul 2014 15:54:51 +0200, Markus Heinze <max at freecards.de> 
 wrote:

> Ach ja smtp_bind_address wird meines Wissens in der master.cf als
> Parameter gesetzt und nicht in der main.cf

 smtp_bind_address funktioniert bei mir wunderbar in der main.cf

 @M. Hein: Könnte es sein, dass Du vergessen hast Postfix neuzuladen?

 Viele Grüße,
 Mathias.


From Ralf.Hildebrandt at charite.de  Thu Jul 10 16:23:15 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 10 Jul 2014 16:23:15 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <b71bade62c429e196be17f0a3f766249@webmail.majes.de>
References: <ae4dfe886c7d52b052b587664677432b@mail.inetmx.net>
 <e92f4dd844bab6eaeecd86a99151616d@freecards.de>
 <ee378246eba21e00bf4f1247cc6cde7a@freecards.de>
 <b71bade62c429e196be17f0a3f766249@webmail.majes.de>
Message-ID: <20140710142315.GG28506@charite.de>

* Mathias Jeschke <postfixbuch-users at 0xaffe.de>:
> 
> Hi,
> 
> On Thu, 10 Jul 2014 15:54:51 +0200, Markus Heinze <max at freecards.de>
> wrote:
> 
> >Ach ja smtp_bind_address wird meines Wissens in der master.cf als
> >Parameter gesetzt und nicht in der main.cf
> 
> smtp_bind_address funktioniert bei mir wunderbar in der main.cf
> 
> @M. Hein: Könnte es sein, dass Du vergessen hast Postfix neuzuladen?

Klappt übrigens auch nicht, wenn die IP nicht auf dem System
existiert...

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From lists at cornelinux.de  Thu Jul 10 17:40:38 2014
From: lists at cornelinux.de (=?ISO-8859-15?Q?Cornelius_K=F6lbel?=)
Date: Thu, 10 Jul 2014 17:40:38 +0200
Subject: [Postfixbuch-users] helo/hostname mismatch und rejectlevel
Message-ID: <53BEB3F6.7030504@cornelinux.de>

Hallo,

ich habe da einen neuen Mailserver (postfix und policyd-weight) und es
könnte sein, dass der etwas restriktiv konfiguriert ist, weil die Welt
leider so aussieht, dass viele andere System etwas schluderig
konfiguriert zu sein scheinen.

Ich habe eine Mail, die mich nicht erreicht und mir folgendes im Logfile
mitteilt:

Jul 10 15:50:24 mail postfix/smtpd[10761]: connect from
aaa.aaa-online.de[aaa.aaa.aaa.aaa]
Jul 10 15:50:24 mail postfix/cleanup[10766]: D191E100839:
message-id=<20140710135024.D191E100839 at mail.netknights.it>
Jul 10 15:50:24 mail postfix/qmgr[12836]: D191E100839:
from=<double-bounce at mail.netknights.it>, size=247, nrcpt=1 (queue active)
Jul 10 15:50:25 mail postfix/smtp[10767]: D191E100839:
to=<aaa.aaa at aaa.de>, relay=mxb.expurgate.net[195.190.135.21]:25,
delay=0.2, delays=0.04/0/0.09/0.07, dsn=2.0.0, status=deliverable (250 OK)
Jul 10 15:50:25 mail postfix/qmgr[12836]: D191E100839: removed
Jul 10 15:50:49 mail postfix/smtpd[10761]: warning:
aaa.aaa.aaa.aaa.query.senderbase.org: RBL lookup error: Host or domain
name not found. Name service error for
name=aaa.aaa.aaa.aaa.query.senderbase.org type=A: Host not found, try again
Jul 10 15:50:50 mail postfix/policyd-weight[1995]: weighted check: 
NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 HELO_NUMERIC=1.5 (check
from: .aaa. - helo: .172.18.0.3. - helo-domain: .3.) 
FROM_NOT_FAILED_HELO(DOMAIN)=3; <client=aaa.aaa.aaa.aaa>
<helo=172.18.0.3> <from=aaa.aaa at aaa.de>
<to=conelius.koelbel at netknights.it>; rate: 3
Jul 10 15:50:50 mail postfix/policyd-weight[1995]: decided action=550
Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to
correct HELO and DNS MX settings or to get removed from DNSBLs; MTA
helo: 172.18.0.3, MTA hostname: aaa.aaa-online.de[aaa.aaa.aaa.aaa]
(helo/hostname mismatch); <client=aaa.aaa.aaa.aaa> <helo=172.18.0.3>
<from=aaa.aaa at aaa.de> <to=conelius.koelbel at netknights.it>; delay: 1s
Jul 10 15:50:50 mail postfix/smtpd[10761]: NOQUEUE: reject: RCPT from
aaa.aaa-online.de[aaa.aaa.aaa.aaa]: 550 5.7.1
<conelius.koelbel at netknights.it>: Recipient address rejected: Mail
appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to
correct HELO and DNS MX settings or to get removed from DNSBLs; MTA
helo: 172.18.0.3, MTA hostname: aaa.aaa-online.de[aaa.aaa.aaa.aaa]
(helo/hostname mismatch); from=<aaa.aaa at aaa.de>
to=<conelius.koelbel at netknights.it> proto=ESMTP helo=<172.18.0.3>
Jul 10 15:50:50 mail postfix/smtpd[10761]: disconnect from
aaa.aaa-online.de[aaa.aaa.aaa.aaa]

Habt Ihr da eine Idee vom draufschauen?
Ist das blocken gerechtfertigt?
     (es passt ja nichts, MX nicht zum Helo, helo lokale IP,
mail-adresse nicht zum server...)
Oder sollte ich an irgendeiner Stelle aktiv werden und die Zügel lockern
- ist immerhin "nur" als 3 geratet?
Welchen Reject-Level sollte man da nehmen?

Vielen Dank und Gruß
Cornelius



From mrg at unimx.de  Thu Jul 10 20:50:59 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Thu, 10 Jul 2014 20:50:59 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
Message-ID: <4c9ca8af2133e3bc6c680b548d6e7bdc@mail.inetmx.net>



> On Thu, 10 Jul 2014 15:54:51 +0200, Markus Heinze  

> wrote: 

>


> >Ach ja smtp_bind_address wird meines Wissens in der master.cf als


> >Parameter gesetzt und nicht in der main.cf 

> 

>
smtp_bind_address funktioniert bei mir wunderbar in der main.cf 

> 

>
@M. Hein: Könnte es sein, dass Du vergessen hast Postfix neuzuladen?


Ja habe den Postfix mehrfach neugestartet. Relaod und auch stop start


>Klappt übrigens auch nicht, wenn die IP nicht auf dem System
existiert... 

Die IP existiert, deshalb ja der Auszug aus dem ifconfig:


eth0 Link encap:Ethernet Hardware Adresse 00:50:56:b4:00:11..
 inet
Adresse:80.X.X.5 

eth0:8 Link encap:Ethernet Hardware Adresse
00:50:56:b4:00:11..
 inet Adresse:80.X.X.6 

Jemand noch eine Idee? 




Links:
------
[1] mailto:max at freecards.de
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140710/c0fa2b95/attachment.htm>

From postfixbuch-users at 0xaffe.de  Thu Jul 10 22:57:05 2014
From: postfixbuch-users at 0xaffe.de (Mathias Jeschke)
Date: Thu, 10 Jul 2014 22:57:05 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <4c9ca8af2133e3bc6c680b548d6e7bdc@mail.inetmx.net>
References: <4c9ca8af2133e3bc6c680b548d6e7bdc@mail.inetmx.net>
Message-ID: <53BEFE21.8070301@0xaffe.de>

Hi M.

Am 10.07.14 20:50, schrieb mrg at unimx.de:

> Jemand noch eine Idee?

Poste doch mal die vollständige master.cf und nicht nicht den 
irrelevanten Teil bzgl. smtpd.

Viele Grüße,
Mathias.


From mrg at unimx.de  Fri Jul 11 15:35:13 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 15:35:13 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
Message-ID: <21d8dda153bd5e492fb30c48448fe23b@mail.inetmx.net>

Hallo Mathias

> Poste doch mal die vollständige master.cf und nicht nicht den irrelevanten Teil bzgl. smtpd.

cat /etc/postfix/master.cf
#
# Postfix master process configuration file.  For details on the 
format
# of the file, see the master(5) manual page (command: "man 5 
master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# 
==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# 
==========================================================================
192.168.77.90:26      inet  n       -       n       -       -       
smtpd
#    -o smtp_bind_address=80.190.245.44
#smtp      inet  n       -       -       -       -       smtpd
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       
trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX 
loops
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop 
($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender 
$recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store 
${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}


Martin H.



From Ralf.Hildebrandt at charite.de  Fri Jul 11 15:39:48 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 11 Jul 2014 15:39:48 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <21d8dda153bd5e492fb30c48448fe23b@mail.inetmx.net>
References: <21d8dda153bd5e492fb30c48448fe23b@mail.inetmx.net>
Message-ID: <20140711133948.GB16553@charite.de>

* mrg at unimx.de <mrg at unimx.de>:

> 192.168.77.90:26      inet  n       -       n       -       -
> smtpd
> #    -o smtp_bind_address=80.190.245.44

smtpd != smtp

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From mrg at unimx.de  Fri Jul 11 15:46:07 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 15:46:07 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
Message-ID: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>

Hallo Liste,

habe noch ein Problem. Der Postfix ist zuständig für eine domain 
abc.de.
Im Postfix ist info at abc.de definiert und funktioniert, geht in ein 
lokales Postfach. (virtual_alias_map)
Die MX-Records der abc.de zeigt auf den Postfix.

Nun möchte ich, dass für support at abc.de ein anderer Mailserver 
zuständig ist, und habe in die transport map:

support at abc.de smtp:[mx.alternativ.de]

Das Problem ist, <support at abc.de>: Recipient address rejected: User 
unknown in virtual alias table

Wie bekomme ich es hin das Postfix die Mail an den alternativen Server 
schickt?
Bevor er sich die transport map anschaut, wird ja schon rejected.

smtpd_recipient_restrictions = permit_mynetworks,                      
        reject_unknown_recipient_domain,                               
reject_unknown_sender_domain,                                
reject_unlisted_sender,                         
reject_unlisted_recipient,                              
reject_non_fqdn_recipient,                           
reject_non_fqdn_sender,                         
permit_sasl_authenticated,                              
check_client_access hash:/etc/postfix/pop-before-smtp,                  
            check_recipient_access 
hash:/etc/postfix/recipient_access_cpanel,           
check_recipient_access hash:/etc/postfix/recipient_access,              
                reject_unverified_recipient,                           
reject_unauth_destination

smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = no

Kann ich z.B. smtpd_recipient_restrictions irgendwie sagen, dass er in 
einer map nachsehen soll und wenn die Mailadresse dort enthalten ist, 
er nicht rejecten soll.



From mrg at unimx.de  Fri Jul 11 15:49:13 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 15:49:13 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
Message-ID: <3423b65e957716dac2210125639505e5@mail.inetmx.net>

>> 192.168.77.90:26      inet  n       -       n       -       -
>> smtpd
>> #    -o smtp_bind_address=80.190.NNN.NNN

>smtpd != smtp

ok das ist klar, der smtp_bind_address= steht auch in der main.cf (er 
kann ja in der master oder main stehen)

main.cf:
smtp_bind_address = 80.190.NNN.NNN


Martin H.



From Ralf.Hildebrandt at charite.de  Fri Jul 11 15:52:04 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 11 Jul 2014 15:52:04 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
Message-ID: <20140711135204.GD16553@charite.de>

* mrg at unimx.de <mrg at unimx.de>:
> >>192.168.77.90:26      inet  n       -       n       -       -
> >>smtpd
> >>#    -o smtp_bind_address=80.190.NNN.NNN
> 
> >smtpd != smtp
> 
> ok das ist klar, der smtp_bind_address= steht auch in der main.cf (er
> kann ja in der master oder main stehen)

In der master.cf natürlich nur am smtp (nicht smtpd!)
 
> main.cf:
> smtp_bind_address = 80.190.NNN.NNN

Das sollte dann tatsächlich an die richtige IP binden -- BEIM VERSAND
von Mail.

Wie testet Du das?

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Fri Jul 11 15:53:03 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 11 Jul 2014 15:53:03 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
Message-ID: <20140711135303.GE16553@charite.de>

* mrg at unimx.de <mrg at unimx.de>:
> Hallo Liste,
> 
> habe noch ein Problem. Der Postfix ist zuständig für eine domain
> abc.de.
> Im Postfix ist info at abc.de definiert und funktioniert, geht in ein
> lokales Postfach. (virtual_alias_map)
> Die MX-Records der abc.de zeigt auf den Postfix.
> 
> Nun möchte ich, dass für support at abc.de ein anderer Mailserver
> zuständig ist, und habe in die transport map:
> 
> support at abc.de smtp:[mx.alternativ.de]
> 
> Das Problem ist, <support at abc.de>: Recipient address rejected: User
> unknown in virtual alias table

Stimmt ja auch.
 
> Wie bekomme ich es hin das Postfix die Mail an den alternativen
> Server schickt?

info at abc.de info at abc.de 
in virtual alias table

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From kai_postfix at fuerstenberg.ws  Fri Jul 11 16:02:49 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Fri, 11 Jul 2014 16:02:49 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <20140711135303.GE16553@charite.de>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
 <20140711135303.GE16553@charite.de>
Message-ID: <53BFEE89.4000301@fuerstenberg.ws>

Am 11.07.2014 15:53, schrieb Ralf Hildebrandt:
> * mrg at unimx.de <mrg at unimx.de>:
>> Hallo Liste,
>>
>> habe noch ein Problem. Der Postfix ist zuständig für eine domain
>> abc.de.
>> Im Postfix ist info at abc.de definiert und funktioniert, geht in ein
>> lokales Postfach. (virtual_alias_map)
>> Die MX-Records der abc.de zeigt auf den Postfix.
>>
>> Nun möchte ich, dass für support at abc.de ein anderer Mailserver
>> zuständig ist, und habe in die transport map:
>>
>> support at abc.de smtp:[mx.alternativ.de]
>>
>> Das Problem ist, <support at abc.de>: Recipient address rejected: User
>> unknown in virtual alias table
> 
> Stimmt ja auch.
>  
>> Wie bekomme ich es hin das Postfix die Mail an den alternativen
>> Server schickt?
> 
> info at abc.de info at abc.de 
> in virtual alias table
> 

nein:
support at abc.de support at abc.de
in virtual alias table

Die Adresse muss überhaupt erst mal existieren. Wenn Postfix das weiß,
kann er sie auch über transport zustellen/weiterleiten, ansonsten wird
abgelehnt.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From mrg at unimx.de  Fri Jul 11 16:05:50 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 16:05:50 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <20140711135204.GD16553@charite.de>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
 <20140711135204.GD16553@charite.de>
Message-ID: <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>

On Fri, 11 Jul 2014 15:52:04 +0200, Ralf Hildebrandt
<Ralf.Hildebrandt at charite.de> wrote:
> * mrg at unimx.de <mrg at unimx.de>:
>> >>192.168.77.90:26      inet  n       -       n       -       -
>> >>smtpd
>> >>#    -o smtp_bind_address=80.190.NNN.NNN
>>
>> >smtpd != smtp
>>
>> ok das ist klar, der smtp_bind_address= steht auch in der main.cf (er
>> kann ja in der master oder main stehen)
> 
> In der master.cf natürlich nur am smtp (nicht smtpd!)
>  
>> main.cf:
>> smtp_bind_address = 80.190.NNN.NNN
> 
> Das sollte dann tatsächlich an die richtige IP binden -- BEIM VERSAND
> von Mail.
> 
> Wie testet Du das?

Habe mal smtp_bind_address aus der main.cf rausgenommen und in der
master.cf folgendes für smtp:

smtp      unix  -       -       -       -       -       smtp
        -o smtp_bind_address=80.190.NNN.2

Testen tue ich indem ich eine Mail an einen externen Account sende und
dann in den header schaue.
Received: from postfix2 ([80.190.NNN.1])
...
client-ip=80.190.NNN.1; helo=postfix2 


Nochmal erklärt wie die Mails geschickt werden:

Aus Postfix1 werden Mails an einen beliebigen Empfänger über ein
lokales Postfach geschickt.
Postfix1 hat als relay_host (192.168.77.90:26) Postfix2.

Postfix2 nimmt die mails an (tcp        0      0 192.168.77.90:26      
0.0.0.0:*               LISTEN      15258/master) und schickt diese an
den Empfänger/Zielmailserver weiter (z.B. gmail.com).

Aber leider immer mit der 1. IP und nie mit der 2.
Beide sind im Postfix2 im ifconfig aktiv mit eth0 und eth0:8

Grüße
Martin H.



From Ralf.Hildebrandt at charite.de  Fri Jul 11 16:06:11 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 11 Jul 2014 16:06:11 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <53BFEE89.4000301@fuerstenberg.ws>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
 <20140711135303.GE16553@charite.de>
 <53BFEE89.4000301@fuerstenberg.ws>
Message-ID: <20140711140611.GF16553@charite.de>

* Kai Fürstenberg <kai_postfix at fuerstenberg.ws>:
> Am 11.07.2014 15:53, schrieb Ralf Hildebrandt:
> > * mrg at unimx.de <mrg at unimx.de>:
> >> Hallo Liste,
> >>
> >> habe noch ein Problem. Der Postfix ist zuständig für eine domain
> >> abc.de.
> >> Im Postfix ist info at abc.de definiert und funktioniert, geht in ein
> >> lokales Postfach. (virtual_alias_map)
> >> Die MX-Records der abc.de zeigt auf den Postfix.
> >>
> >> Nun möchte ich, dass für support at abc.de ein anderer Mailserver
> >> zuständig ist, und habe in die transport map:
> >>
> >> support at abc.de smtp:[mx.alternativ.de]
> >>
> >> Das Problem ist, <support at abc.de>: Recipient address rejected: User
> >> unknown in virtual alias table
> > 
> > Stimmt ja auch.
> >  
> >> Wie bekomme ich es hin das Postfix die Mail an den alternativen
> >> Server schickt?
> > 
> > info at abc.de info at abc.de 
> > in virtual alias table
> > 
> 
> nein:
> support at abc.de support at abc.de
> in virtual alias table

Kleiner Typo was schreibt er auch Kram der funktioniert rein ;)

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Fri Jul 11 16:14:11 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 11 Jul 2014 16:14:11 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
 <20140711135204.GD16553@charite.de>
 <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
Message-ID: <20140711141411.GG16553@charite.de>

* mrg at unimx.de <mrg at unimx.de>:

> Habe mal smtp_bind_address aus der main.cf rausgenommen und in der
> master.cf folgendes für smtp:
> 
> smtp      unix  -       -       -       -       -       smtp
>         -o smtp_bind_address=80.190.NNN.2

OK!
 
> Testen tue ich indem ich eine Mail an einen externen Account sende und
> dann in den header schaue.
> Received: from postfix2 ([80.190.NNN.1])
> ...
> client-ip=80.190.NNN.1; helo=postfix2 

Vorsicht, nicht daß du NAT oder so an deiner Firewall hast!
-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From mrg at unimx.de  Fri Jul 11 16:21:48 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 16:21:48 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <20140711140611.GF16553@charite.de>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
 <20140711135303.GE16553@charite.de> <53BFEE89.4000301@fuerstenberg.ws>
 <20140711140611.GF16553@charite.de>
Message-ID: <196475c0e0ee623b3a6431e5bebdfe42@mail.inetmx.net>

On Fri, 11 Jul 2014 16:06:11 +0200, Ralf Hildebrandt
<Ralf.Hildebrandt at charite.de> wrote:
> * Kai Fürstenberg <kai_postfix at fuerstenberg.ws>:
>> Am 11.07.2014 15:53, schrieb Ralf Hildebrandt:
>> > * mrg at unimx.de <mrg at unimx.de>:
>> >> Hallo Liste,
>> >>
>> >> habe noch ein Problem. Der Postfix ist zuständig für eine domain
>> >> abc.de.
>> >> Im Postfix ist info at abc.de definiert und funktioniert, geht in ein
>> >> lokales Postfach. (virtual_alias_map)
>> >> Die MX-Records der abc.de zeigt auf den Postfix.
>> >>
>> >> Nun möchte ich, dass für support at abc.de ein anderer Mailserver
>> >> zuständig ist, und habe in die transport map:
>> >>
>> >> support at abc.de smtp:[mx.alternativ.de]
>> >>
>> >> Das Problem ist, <support at abc.de>: Recipient address rejected: User
>> >> unknown in virtual alias table
>> >
>> > Stimmt ja auch.
>> >
>> >> Wie bekomme ich es hin das Postfix die Mail an den alternativen
>> >> Server schickt?
>> >
>> > info at abc.de info at abc.de
>> > in virtual alias table
>> >
>>
>> nein:
>> support at abc.de support at abc.de
>> in virtual alias table
> 
> Kleiner Typo was schreibt er auch Kram der funktioniert rein ;)

:)
funktioniert leider nicht. Habe im virtual_alias_maps

support at abc.de support at abc.de
postmap vusers_split

geht nicht mit: 
Jul 11 14:54:48 c50 postfix/smtpd[9088]: NOQUEUE: reject: RCPT from
unknown[nnnnnn]: 550 5.1.1 <support at abc.de>:.
Recipient address rejected: User unknown in virtual alias table;

Was geht in vusers_split:
support at abc.de pf1
postmap vusers_split

Mail kommt im pf1 lokal an.


From mrg at unimx.de  Fri Jul 11 16:31:40 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 16:31:40 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <20140711141411.GG16553@charite.de>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
 <20140711135204.GD16553@charite.de>
 <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
 <20140711141411.GG16553@charite.de>
Message-ID: <6368d5ee186c790ba5f397ca1ec08a5c@mail.inetmx.net>

On Fri, 11 Jul 2014 16:14:11 +0200, Ralf Hildebrandt
<Ralf.Hildebrandt at charite.de> wrote:
> * mrg at unimx.de <mrg at unimx.de>:
> 
>> Habe mal smtp_bind_address aus der main.cf rausgenommen und in der
>> master.cf folgendes für smtp:
>>
>> smtp      unix  -       -       -       -       -       smtp
>>         -o smtp_bind_address=80.190.NNN.2
> 
> OK!
>  
>> Testen tue ich indem ich eine Mail an einen externen Account sende und
>> dann in den header schaue.
>> Received: from postfix2 ([80.190.NNN.1])
>> ...
>> client-ip=80.190.NNN.1; helo=postfix2
> 
> Vorsicht, nicht daß du NAT oder so an deiner Firewall hast!

Also habe auf postfix2 (da er auch als LVS loadbalancer fungiert)
echo 1 > /proc/sys/net/ipv4/ip_forward
und andere server haben als gateway 192.168.77.90 , aber das sollte ja
keinen Einfluss haben welche IP Postfix als ausgehende nimmt.

Aber im iptables habe ich nicht drin.

Die beiden IPs haben ja die selbe default route /gateway und hängen am
selben Interface.

Wir haben von postfix1 jetzt mal direkt per Konsole ># mail ZIEL -s
test < /file getestet.
Das selbe, Postfix2 sendet immer von IP1 :(


Grüße Martin H.


From Ralf.Hildebrandt at charite.de  Fri Jul 11 16:33:07 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 11 Jul 2014 16:33:07 +0200
Subject: [Postfixbuch-users] smtp_bind_address wird ignoriert / Postfix
 mit mehreren IPs
In-Reply-To: <6368d5ee186c790ba5f397ca1ec08a5c@mail.inetmx.net>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
 <20140711135204.GD16553@charite.de>
 <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
 <20140711141411.GG16553@charite.de>
 <6368d5ee186c790ba5f397ca1ec08a5c@mail.inetmx.net>
Message-ID: <20140711143307.GH16553@charite.de>

* mrg at unimx.de <mrg at unimx.de>:

> Wir haben von postfix1 jetzt mal direkt per Konsole ># mail ZIEL -s
> test < /file getestet.
> Das selbe, Postfix2 sendet immer von IP1 :(

Ich würde nur postfix2 testen

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From mrg at unimx.de  Fri Jul 11 16:41:00 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 16:41:00 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
 =?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <20140711143307.GH16553@charite.de>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
 <20140711135204.GD16553@charite.de>
 <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
 <20140711141411.GG16553@charite.de>
 <6368d5ee186c790ba5f397ca1ec08a5c@mail.inetmx.net>
 <20140711143307.GH16553@charite.de>
Message-ID: <4a34a09b7faf2417613f297f0694dd36@mail.inetmx.net>

On Fri, 11 Jul 2014 16:33:07 +0200, Ralf Hildebrandt
<Ralf.Hildebrandt at charite.de> wrote:
> * mrg at unimx.de <mrg at unimx.de>:
> 
>> Wir haben von postfix1 jetzt mal direkt per Konsole ># mail ZIEL -s
>> test < /file getestet.
>> Das selbe, Postfix2 sendet immer von IP1 :(
> 
> Ich würde nur postfix2 testen
> 

Gute Idee:

Jul 11 16:35:46 postfix2 postfix/pickup[15259]: 9FBF16E697: uid=0
from=<root>
Jul 11 16:35:46 postfix2 postfix/cleanup[18294]: 9FBF16E697:
message-id=<20140711143546.9FBF16E697 at postfix2>
Jul 11 16:35:46 postfix2 postfix/qmgr[15260]: 9FBF16E697:
from=<root at postfix2>, size=9569, nrcpt=1 (queue active)
Jul 11 16:35:49 postfix2 postfix/smtp[20058]: 9FBF16E697:
to=<...... at me.com>, relay=mx2.mail.icloud.com[17.158.8.71]:25,.
delay=3, delays=0.04/0/0.5/2.5, dsn=2.5.0, status=sent (250 2.5.0 Ok,
envelope id 0N8J00CHQXVNFXM0 at nk11p00mm-smtpin015.mac.com)
Jul 11 16:35:49 postfix2 postfix/qmgr[15260]: 9FBF16E697: removed

Genau das selbe leider:

 designate permitted sender hosts)
receiver=nk11p00mm-smtpin004.mac.com;
 client-ip=80.190.NNN.1; helo=postfix2;
 envelope-from=root at postfix2;

Bin echt ratlos. In den Logs finden sich auch keine Fehler. Kann es
sein, dass Postfix nicht mit virtuellen Interfaces klar kommt also
eth0:8 ?


From kai_postfix at fuerstenberg.ws  Fri Jul 11 16:48:04 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Fri, 11 Jul 2014 16:48:04 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <196475c0e0ee623b3a6431e5bebdfe42@mail.inetmx.net>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
 <20140711135303.GE16553@charite.de> <53BFEE89.4000301@fuerstenberg.ws>
 <20140711140611.GF16553@charite.de>
 <196475c0e0ee623b3a6431e5bebdfe42@mail.inetmx.net>
Message-ID: <53BFF924.7040703@fuerstenberg.ws>

Am 11.07.2014 16:21, schrieb mrg at unimx.de:
> :)
> funktioniert leider nicht. Habe im virtual_alias_maps
> 
> support at abc.de support at abc.de
> postmap vusers_split
> 
> geht nicht mit: 
> Jul 11 14:54:48 c50 postfix/smtpd[9088]: NOQUEUE: reject: RCPT from
> unknown[nnnnnn]: 550 5.1.1 <support at abc.de>:.
> Recipient address rejected: User unknown in virtual alias table;
> 
> Was geht in vusers_split:
> support at abc.de pf1
> postmap vusers_split
> 
> Mail kommt im pf1 lokal an.

Bitte nochmal postconf -n. Diesmal aber bitte komplett, bei deinem
anderen Thread hast du die Hälfte weggelassen. Außerdem die Datei hinter
virtual_alias_maps und die hinter transport_maps.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From mrg at unimx.de  Fri Jul 11 16:56:20 2014
From: mrg at unimx.de (mrg at unimx.de)
Date: Fri, 11 Jul 2014 16:56:20 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <53BFF924.7040703@fuerstenberg.ws>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
 <20140711135303.GE16553@charite.de> <53BFEE89.4000301@fuerstenberg.ws>
 <20140711140611.GF16553@charite.de>
 <196475c0e0ee623b3a6431e5bebdfe42@mail.inetmx.net>
 <53BFF924.7040703@fuerstenberg.ws>
Message-ID: <e5314a1ca1c5042cf38408542e63f5a6@mail.inetmx.net>

On Fri, 11 Jul 2014 16:48:04 +0200, Kai Fürstenberg
<kai_postfix at fuerstenberg.ws> wrote:
> Am 11.07.2014 16:21, schrieb mrg at unimx.de:
>> :)
>> funktioniert leider nicht. Habe im virtual_alias_maps
>>
>> support at abc.de support at abc.de
>> postmap vusers_split
>>
>> geht nicht mit:
>> Jul 11 14:54:48 c50 postfix/smtpd[9088]: NOQUEUE: reject: RCPT from
>> unknown[nnnnnn]: 550 5.1.1 <support at abc.de>:.
>> Recipient address rejected: User unknown in virtual alias table;
>>
>> Was geht in vusers_split:
>> support at abc.de pf1
>> postmap vusers_split
>>
>> Mail kommt im pf1 lokal an.
> 
> Bitte nochmal postconf -n. Diesmal aber bitte komplett, bei deinem
> anderen Thread hast du die Hälfte weggelassen. Außerdem die Datei hinter
> virtual_alias_maps und die hinter transport_maps.

gerne.

postconf -n
address_verify_negative_expire_time = 299s
address_verify_poll_delay = 2s
address_verify_positive_expire_time = 299s
alias_maps =
hash:/etc/aliases_cpanel,hash:/etc/aliases,hash:/lamp/mailman/data/aliases
biff = no
bounce_notice_recipient = postmaster at nnnnn
bounce_queue_lifetime = 10h
bounce_size_limit = 50000
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = no
disable_mime_output_conversion = no
error_notice_recipient = postmaster at nnnn
header_checks = regexp:/etc/postfix/header_checks
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = all
local_recipient_maps =
hash:/etc/postfix/vpop3_cpanel,hash:/etc/postfix/vpop3,$alias_maps
mail_owner = postfix
mailbox_size_limit = 204857600
mailbox_transport = lmtp:unix:/var/spool/postfix/public/lmtp
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
maximal_backoff_time = 2500s
maximal_queue_lifetime = 2d
message_size_limit = 104857600
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = nnnnnnn
myhostname = nnnnnnn
mynetworks = 127.0.0.0/8,192.168.77.0/24
mynetworks_style = host
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases
notify_classes = resource, software
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost = 192.168.77.90:26
sample_directory = /usr/share/doc/packages/postfix/samples
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_tls_CAfile = /lamp/keys/interm.class2.server.ca.pem
smtp_tls_cert_file = /lamp/keys/inetmx.de.crt
smtp_tls_key_file = /lamp/keys/inetmx.de.key
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP by 
smtpd_client_restrictions =
smtpd_data_restrictions = reject_multi_recipient_bounce,               
               reject_unauth_pipelining
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks,                      
       reject_unknown_recipient_domain,                               
reject_unknown_sender_domain,                               
reject_unlisted_sender,                        
reject_unlisted_recipient,                             
reject_non_fqdn_recipient,                          
reject_non_fqdn_sender,                        
permit_sasl_authenticated,                             
check_client_access hash:/etc/postfix/pop-before-smtp,                  
           check_recipient_access
hash:/etc/postfix/recipient_access_cpanel,          
check_recipient_access hash:/etc/postfix/recipient_access,              
               reject_unverified_recipient,                           
reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /lamp/keys/interm.class2.server.ca.pem
smtpd_tls_cert_file = /lamp/keys/inetmx.de.crt
smtpd_tls_key_file = /lamp/keys/inetmx.de.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_use_tls = yes
strict_8bitmime = no
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains =
hash:/etc/postfix/vdomains_cpanel,hash:/etc/postfix/vdomains,hash:/lamp/mailman/data/virtual-mailman
virtual_alias_maps = hash:/etc/postfix/vusers_cpanel,                  
hash:/etc/postfix/vusers,hash:/lamp/mailman/data/virtual-mailman,hash:/etc/postfix/vusers_split,
                    hash:/etc/postfix/vold


cat transport
support at abc.de smtp:[mx.nnnnnnn.com]


cat vusers_split
support at abc.de support at abc.de


natürlich die transport und die vusers_split per postmap die .db
angelegt und bei jeder Änderung ausgeführt



Grüße
Martin H.


From kai_postfix at fuerstenberg.ws  Fri Jul 11 18:00:16 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Fri, 11 Jul 2014 18:00:16 +0200
Subject: [Postfixbuch-users] Split domain / transport map / rejected
In-Reply-To: <e5314a1ca1c5042cf38408542e63f5a6@mail.inetmx.net>
References: <750b41475b1db55f993bfee15bdf86a5@mail.inetmx.net>
 <20140711135303.GE16553@charite.de> <53BFEE89.4000301@fuerstenberg.ws>
 <20140711140611.GF16553@charite.de>
 <196475c0e0ee623b3a6431e5bebdfe42@mail.inetmx.net>
 <53BFF924.7040703@fuerstenberg.ws>
 <e5314a1ca1c5042cf38408542e63f5a6@mail.inetmx.net>
Message-ID: <53C00A10.3090507@fuerstenberg.ws>

Am 11.07.2014 16:56, schrieb mrg at unimx.de:
> transport_maps = hash:/etc/postfix/transport
> unknown_local_recipient_reject_code = 550
> virtual_alias_domains =
> hash:/etc/postfix/vdomains_cpanel,hash:/etc/postfix/vdomains,hash:/lamp/mailman/data/virtual-mailman
> virtual_alias_maps = hash:/etc/postfix/vusers_cpanel,                  
> hash:/etc/postfix/vusers,hash:/lamp/mailman/data/virtual-mailman,hash:/etc/postfix/vusers_split,
>                     hash:/etc/postfix/vold

OK, das Problem ist folgendes: Du hast keine virtuellen Mailboxen.

Die transport_maps ändern nur (wie der Name sagt) den transport.
Virtuelle Aliase haben aber keinen. Sie werden auf einen anderen Namen
gemappt, der am Ende einen Transport hat und _der_ kann mit
transport_maps umgeschrieben werden.

Der Trick bei dir dürfte jetzt sein, dem System vorzugaukeln, dass er
für support at abc.de eine gültige Mailbox-Adresse hat und somit virtual
benutzt. Das kann dann per transport_maps umgeroutet werden.

Kurz: du machst aus dem "virtual_alias_domains" ein
"virtual_mailbox_domains". Die virtual_alias_maps werden dennoch
abgearbeitet.

Zudem erstellst du eine virtual_mailbox_maps-Datei mit
support at abc.de /dev/null
darin.

Die Adresse wird durch den explizit vorhandenen Einträge nicht geändert
aber als gültig erkannt und die Mail an virtual übergeben. Durch die
transport_maps wird die Mail aber an einen anderen Host übergeben und
nicht nach /dev/null geschickt.

So, und jetzt hoffe ich, dass ich hier nicht totale Scheiße gelabert
habe ;-)

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From max at freecards.de  Fri Jul 11 21:17:37 2014
From: max at freecards.de (Markus Heinze)
Date: Fri, 11 Jul 2014 21:17:37 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?smtp=5Fbind=5Faddress_wird_ignorier?=
	=?utf-8?q?t_/_Postfix_mit_mehreren_IPs?=
In-Reply-To: <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
References: <3423b65e957716dac2210125639505e5@mail.inetmx.net>
 <20140711135204.GD16553@charite.de>
 <f7647fb3bd34e9833bbc5a2d4e7e1fb5@mail.inetmx.net>
Message-ID: <00549b7841562ca2e47ff148524d7194@freecards.de>

Moin moin,

Am 2014-07-11 16:05, schrieb mrg at unimx.de:
> On Fri, 11 Jul 2014 15:52:04 +0200, Ralf Hildebrandt
> <Ralf.Hildebrandt at charite.de> wrote:
>> * mrg at unimx.de <mrg at unimx.de>:
>>> >>192.168.77.90:26      inet  n       -       n       -       -
>>> >>smtpd
>>> >>#    -o smtp_bind_address=80.190.NNN.NNN
>>> 
>>> >smtpd != smtp
>>> 
>>> ok das ist klar, der smtp_bind_address= steht auch in der main.cf (er
>>> kann ja in der master oder main stehen)
>> 
>> In der master.cf natürlich nur am smtp (nicht smtpd!)
>> 
>>> main.cf:
>>> smtp_bind_address = 80.190.NNN.NNN
>> 
>> Das sollte dann tatsächlich an die richtige IP binden -- BEIM VERSAND
>> von Mail.
>> 
>> Wie testet Du das?
> 
> Habe mal smtp_bind_address aus der main.cf rausgenommen und in der
> master.cf folgendes für smtp:
> 
> smtp      unix  -       -       -       -       -       smtp
>         -o smtp_bind_address=80.190.NNN.2
> 
> Testen tue ich indem ich eine Mail an einen externen Account sende und
> dann in den header schaue.
> Received: from postfix2 ([80.190.NNN.1])
> ...
> client-ip=80.190.NNN.1; helo=postfix2
> 
> 
> Nochmal erklärt wie die Mails geschickt werden:
> 
> Aus Postfix1 werden Mails an einen beliebigen Empfänger über ein
> lokales Postfach geschickt.
> Postfix1 hat als relay_host (192.168.77.90:26) Postfix2.
> 
> Postfix2 nimmt die mails an (tcp        0      0 192.168.77.90:26
> 0.0.0.0:*               LISTEN      15258/master) und schickt diese an
> den Empfänger/Zielmailserver weiter (z.B. gmail.com).
> 
> Aber leider immer mit der 1. IP und nie mit der 2.
> Beide sind im Postfix2 im ifconfig aktiv mit eth0 und eth0:8
> 

Naja dann denk ich mal das er die 1. IP als Gateway nimmt, schliesslich 
steht Postfix2 in einem privaten Subnetz und kann nur via Routing 
senden, und dort kommt dann quasi die öffentliche IP an, daher geht das 
bind auch nicht, weil es völlig 'unverträgliche' Subnetze sind, du 
solltest entweder am Kernel Routing schrauben oder die Mails schon an 
der richtigen IP annehmen. Warum eigentlich dieses merkwürdige Konstrukt 
mit Port 26 liegen 1 und 2 auf demselben Host ?

> Grüße
> Martin H.


From lists at puersten.de  Thu Jul 17 09:14:04 2014
From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=)
Date: Thu, 17 Jul 2014 09:14:04 +0200
Subject: [Postfixbuch-users] TLS incoming
Message-ID: <53C777BC.7030502@puersten.de>

Morgen,

ich hätte da mal eine kurze Frage, auf die ich bis dato keine Antwort gefunden habe.

Beispiel:

your-domain.tld MX 10 mail.your-domain.tld

Hinter dem MX Record steht ein Server der sich dann mit mail1.domain.tld meldet und der auch ein 
Zertifikat für domain.tld nutzt.

Mit welcher Domain validiert der Server der versucht eine Email mit TLS zu versenden jetzt das 
Zertifikat? Mit domain.tld oder your-domain.tld ?

Mich interessiert also ob die Domain des MX Records ausschlaggebend ist oder die des Hostnames den 
der jeweilige Server im HELO präsentiert.

Danke + Gruß
Oliver


From Marc.Grooz at regioit.de  Thu Jul 17 09:25:48 2014
From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT))
Date: Thu, 17 Jul 2014 07:25:48 +0000
Subject: [Postfixbuch-users] Postfix verify cache
Message-ID: <CFED4712.148A0%marc.grooz@regioit.de>

Hallo Zusammen,

Habt Ihr auch schon festgestellt das der Postfix auf Debian 7 einen Lock auf die Verify Cache Datei /var/lib/postfix/verify_cache.db hält? Ein postmap ?s /var/lib/postfix/verify_cache liefert kein Ergebnis und bleibt stehen. Erst wenn man Postfix stoppt hat der postmap erfolg. Kann man das irgendwie abschalten?

Gruß Marc


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140717/94eefac5/attachment.htm>

From p.heinlein at heinlein-support.de  Thu Jul 17 09:32:04 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 17 Jul 2014 09:32:04 +0200
Subject: [Postfixbuch-users] TLS incoming
In-Reply-To: <53C777BC.7030502@puersten.de>
References: <53C777BC.7030502@puersten.de>
Message-ID: <53C77BF4.9050502@heinlein-support.de>

Am 17.07.2014 09:14, schrieb Oliver Pürsten:


Hi,

> your-domain.tld MX 10 mail.your-domain.tld
> 
> Hinter dem MX Record steht ein Server der sich dann mit mail1.domain.tld
> meldet und der auch ein Zertifikat für domain.tld nutzt.

Das Zertifikatr muß zum HOSTNAMEN des angesprochenen Servers passen.

Wenn der Client aus seiner Sicht mit mail1.domain.tld redte, dann muß
das Zertifikat auf mail1.domain.tld passen.

> Mich interessiert also ob die Domain des MX Records ausschlaggebend ist
> oder die des Hostnames den der jeweilige Server im HELO präsentiert.

Es ist der Hostname aus dem MX-Record ausschlaggebend. Man will das
Zertifkat von dem sehen, von dem man glaubt, daß man mit ihm redet.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From lists at puersten.de  Thu Jul 17 09:40:42 2014
From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=)
Date: Thu, 17 Jul 2014 09:40:42 +0200
Subject: [Postfixbuch-users] TLS incoming
In-Reply-To: <53C77BF4.9050502@heinlein-support.de>
References: <53C777BC.7030502@puersten.de>
 <53C77BF4.9050502@heinlein-support.de>
Message-ID: <53C77DFA.9030309@puersten.de>

Am 17.07.2014 09:32, schrieb Peer Heinlein:
> Am 17.07.2014 09:14, schrieb Oliver Pürsten:
>
>
> Hi,
>
Hi Peer,
>> your-domain.tld MX 10 mail.your-domain.tld
>>
>> Hinter dem MX Record steht ein Server der sich dann mit mail1.domain.tld
>> meldet und der auch ein Zertifikat für domain.tld nutzt.
>
> Das Zertifikatr muß zum HOSTNAMEN des angesprochenen Servers passen.
>
> Wenn der Client aus seiner Sicht mit mail1.domain.tld redte, dann muß
> das Zertifikat auf mail1.domain.tld passen.
>
>> Mich interessiert also ob die Domain des MX Records ausschlaggebend ist
>> oder die des Hostnames den der jeweilige Server im HELO präsentiert.
>
> Es ist der Hostname aus dem MX-Record ausschlaggebend. Man will das
> Zertifkat von dem sehen, von dem man glaubt, daß man mit ihm redet.
d.h. um bei meinem Beispiel zu bleiben benötigt der Server mail1.domain.tld ein Zertifikat für 
mail.your-domain.tld, da dies der Hostname ist den der Client anspricht?
>
> Peer

Gruß, Oliver


From news at amaltea.de  Thu Jul 17 10:36:39 2014
From: news at amaltea.de (Paul)
Date: Thu, 17 Jul 2014 10:36:39 +0200
Subject: [Postfixbuch-users] Postfix verify cache
In-Reply-To: <CFED4712.148A0%marc.grooz@regioit.de>
References: <CFED4712.148A0%marc.grooz@regioit.de>
Message-ID: <53C78B17.90800@amaltea.de>

Am 17.07.2014 09:25, schrieb Grooz, Marc (regio iT):
> Hallo Zusammen,
> 
> Habt Ihr auch schon festgestellt das der Postfix auf Debian 7 einen Lock
> auf die Verify Cache Datei /var/lib/postfix/verify_cache.db hält? Ein

Gleiches Problem bei Ubuntu.

> postmap ?s /var/lib/postfix/verify_cache liefert kein Ergebnis und
> bleibt stehen. Erst wenn man Postfix stoppt hat der postmap erfolg. Kann
> man das irgendwie abschalten?
> 
> Gruß Marc

Ich hatte mal danach recherchiert und meine, dass Wietse die Schuld bei
Berkeley gefunden hat... aber alle Angaben ohne Gewähr, denn leider
finde ich grade dazu nichts mehr.

Gruß,
Paul


From andreas.schulze at datev.de  Thu Jul 17 10:40:14 2014
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Thu, 17 Jul 2014 10:40:14 +0200
Subject: [Postfixbuch-users] Postfix verify cache
In-Reply-To: <CFED4712.148A0%marc.grooz@regioit.de>
References: <CFED4712.148A0%marc.grooz@regioit.de>
Message-ID: <20140717084014.GB15688@spider.services.datevnet.de>

Am 17.07.2014 07:25 schrieb Grooz, Marc (regio iT):
> Habt Ihr auch schon festgestellt das der Postfix auf Debian 7 einen Lock auf die Verify Cache Datei /var/lib/postfix/verify_cache.db hält? Ein postmap ?s /var/lib/postfix/verify_cache liefert kein Ergebnis und bleibt stehen. Erst wenn man Postfix stoppt hat der postmap erfolg.
hat nichts mit dem verwendeten OS zu tun.

> Kann man das irgendwie abschalten?
nur umgehen:
cp /path/to/verify_cache.ext /tmp && postmap -s /tmp/verify_cache

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Dr. Robert Mayr (stellv. Vorsitzender)
Dipl.-Volksw. Eckhard Schwarzer (stellv. Vorsitzender)
Dipl.-Kfm. Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From news at amaltea.de  Thu Jul 17 10:45:06 2014
From: news at amaltea.de (Paul)
Date: Thu, 17 Jul 2014 10:45:06 +0200
Subject: [Postfixbuch-users] Postfix verify cache
In-Reply-To: <53C78B17.90800@amaltea.de>
References: <CFED4712.148A0%marc.grooz@regioit.de> <53C78B17.90800@amaltea.de>
Message-ID: <53C78D12.7040806@amaltea.de>

Am 17.07.2014 10:36, schrieb Paul:
> Am 17.07.2014 09:25, schrieb Grooz, Marc (regio iT):
>> Hallo Zusammen,
>>
>> Habt Ihr auch schon festgestellt das der Postfix auf Debian 7 einen Lock
>> auf die Verify Cache Datei /var/lib/postfix/verify_cache.db hält? Ein
> 
> Gleiches Problem bei Ubuntu.
> 
>> postmap ?s /var/lib/postfix/verify_cache liefert kein Ergebnis und
>> bleibt stehen. Erst wenn man Postfix stoppt hat der postmap erfolg. Kann
>> man das irgendwie abschalten?
>>
>> Gruß Marc
> 
> Ich hatte mal danach recherchiert und meine, dass Wietse die Schuld bei
> Berkeley gefunden hat... aber alle Angaben ohne Gewähr, denn leider
> finde ich grade dazu nichts mehr.


Hm, ist das evtl. der passende Bugreport? Schau mal.
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=578862

> 
> Gruß,
> Paul
> 



From Marc.Grooz at regioit.de  Thu Jul 17 11:04:38 2014
From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT))
Date: Thu, 17 Jul 2014 09:04:38 +0000
Subject: [Postfixbuch-users] Postfix verify cache
In-Reply-To: <53C78D12.7040806@amaltea.de>
References: <CFED4712.148A0%marc.grooz@regioit.de>
 <53C78B17.90800@amaltea.de> <53C78D12.7040806@amaltea.de>
Message-ID: <CFED5CEA.14990%marc.grooz@regioit.de>

Ich glaube das ist noch was anderes. Bei einem ?alten? System mit Postfix
2.7 habe ich das ?Problem? nicht.

Ich sehe zwar auch diese Meldungen:

close database /var/lib/postfix/verify_cache.db: No such file or directory
(possible Berkeley DB bug)

Aber ich sehe auch mit lsof das der Postfix die Datei zweimal geöffnet
hat. Vermutlich kommt der zweite Prozess auch nicht an die Datei, weil der
Erste sie schon gelockt hat:

verify    7686      postfix    8uW     REG                8,1   315392
3672533 /var/lib/postfix/verify_cache.db
verify    7686      postfix    9uW     REG                8,1   315392
3672533 /var/lib/postfix/verify_cache.db


Die verify_cache.db wächst auch also generell kann der Postfix schon damit
arbeiten.

Gruß Marc

Am 17.07.14 10:45 schrieb "Paul" unter <news at amaltea.de>:

>Am 17.07.2014 10:36, schrieb Paul:
>> Am 17.07.2014 09:25, schrieb Grooz, Marc (regio iT):
>>> Hallo Zusammen,
>>>
>>> Habt Ihr auch schon festgestellt das der Postfix auf Debian 7 einen
>>>Lock
>>> auf die Verify Cache Datei /var/lib/postfix/verify_cache.db hält? Ein
>> 
>> Gleiches Problem bei Ubuntu.
>> 
>>> postmap ?s /var/lib/postfix/verify_cache liefert kein Ergebnis und
>>> bleibt stehen. Erst wenn man Postfix stoppt hat der postmap erfolg.
>>>Kann
>>> man das irgendwie abschalten?
>>>
>>> Gruß Marc
>> 
>> Ich hatte mal danach recherchiert und meine, dass Wietse die Schuld bei
>> Berkeley gefunden hat... aber alle Angaben ohne Gewähr, denn leider
>> finde ich grade dazu nichts mehr.
>
>
>Hm, ist das evtl. der passende Bugreport? Schau mal.
>https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=578862
>
>> 
>> Gruß,
>> Paul
>> 
>
>-- 
>_______________________________________________
>Postfixbuch-users -- http://www.postfixbuch.de
>Heinlein Professional Linux Support GmbH
>
>Postfixbuch-users at listen.jpberlin.de
>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


From p.heinlein at heinlein-support.de  Thu Jul 17 11:31:42 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Thu, 17 Jul 2014 11:31:42 +0200
Subject: [Postfixbuch-users] Postfix verify cache
In-Reply-To: <CFED5CEA.14990%marc.grooz@regioit.de>
References: <CFED4712.148A0%marc.grooz@regioit.de> <53C78B17.90800@amaltea.de>
 <53C78D12.7040806@amaltea.de> <CFED5CEA.14990%marc.grooz@regioit.de>
Message-ID: <53C797FE.40804@heinlein-support.de>

Am 17.07.2014 11:04, schrieb Grooz, Marc (regio iT):

> Ich sehe zwar auch diese Meldungen:
> 
> close database /var/lib/postfix/verify_cache.db: No such file or directory
> (possible Berkeley DB bug)

Das habe ich mal als chroot-Problem debuggt. Er kann teilweise dann aus
dem chroot nicht mehr nach /var/lib/postfix zugreifen (weil
chroot=/var/SPOOL/postfix) und das ist der Grund, warum ich /lieber
/var/spool/postfix/data statt /var/lib/postfix als Data-Dir nutze.

Peer




-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From Marc.Grooz at regioit.de  Thu Jul 17 12:58:58 2014
From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT))
Date: Thu, 17 Jul 2014 10:58:58 +0000
Subject: [Postfixbuch-users] Postfix verify cache
In-Reply-To: <53C797FE.40804@heinlein-support.de>
References: <CFED4712.148A0%marc.grooz@regioit.de>
 <53C78B17.90800@amaltea.de> <53C78D12.7040806@amaltea.de>
 <CFED5CEA.14990%marc.grooz@regioit.de> <53C797FE.40804@heinlein-support.de>
Message-ID: <CFED7898.14AAF%marc.grooz@regioit.de>

Habe es gerade erst gefunden, Wietse hatte die Frage schon mal beantwortet:

---------------------------------------------------------------------------
--------------------
I have mentioned before that the verify(8) daemon locks the Berkeley
DB file exclusively. Concurrent read/write access is not safe with
these files. The exclusive lock guarantees that verify(8) will not
crash or do silly things when some other Postfix program changes
the database.  The lock also ensures that other Postfix programs
will not crash or do silly things when verify(8) changes the database.

You could do this: 

    # cp /var/lib/postfix/verify_cache.db tempfile.db
    # postmap -s btree:tempfile.db

Cross your fingers, and if it breaks, repeat the two commands.

The new LMDB database type is safe for concurrent read/write access;
however this currently has an open problem when creating a very
large database file from scratch (as with the "postmap" command).
That is not an issue with verify(8) which makes only incremental
updates. 

Of course there is no guarantee of what you will get when you dump
a large database while it is being modified, even when the database
file is safe for concurrent read/write access. But at least the
programs will not crash or do silly things.

        Wietse 


---------------------------------------------------------------------------
---------------------

Am 17.07.14 11:31 schrieb "Peer Heinlein" unter
<p.heinlein at heinlein-support.de>:

>Am 17.07.2014 11:04, schrieb Grooz, Marc (regio iT):
>
>> Ich sehe zwar auch diese Meldungen:
>> 
>> close database /var/lib/postfix/verify_cache.db: No such file or
>>directory
>> (possible Berkeley DB bug)
>
>Das habe ich mal als chroot-Problem debuggt. Er kann teilweise dann aus
>dem chroot nicht mehr nach /var/lib/postfix zugreifen (weil
>chroot=/var/SPOOL/postfix) und das ist der Grund, warum ich /lieber
>/var/spool/postfix/data statt /var/lib/postfix als Data-Dir nutze.
>
>Peer
>
>
>
>
>-- 
>Heinlein Support GmbH
>Schwedter Str. 8/9b, 10119 Berlin
>
>http://www.heinlein-support.de
>
>Tel: 030 / 405051-42
>Fax: 030 / 405051-19
>
>Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
>Berlin-Charlottenburg,
>Geschäftsführer: Peer Heinlein -- Sitz: Berlin
>-- 
>_______________________________________________
>Postfixbuch-users -- http://www.postfixbuch.de
>Heinlein Professional Linux Support GmbH
>
>Postfixbuch-users at listen.jpberlin.de
>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



From tobster at brain-force.ch  Thu Jul 17 15:43:06 2014
From: tobster at brain-force.ch (Tobi)
Date: Thu, 17 Jul 2014 15:43:06 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
Message-ID: <53C7D2EA.9010602@brain-force.ch>

Hallo zusammen

wir haben ein (für uns) unerklärliches Problem auf unserem Postfix 
Server. Es geht darum, dass ein bestimmter sendender Host immer 
abgelehnt wird

Jul 17 11:10:57 mail1 postfix/smtpd[10437]: connect from XXX.theodora.org[212.74.XXX.YYY]:52327
Jul 17 11:10:57 mail1 postfix/smtpd[10437]: NOQUEUE: reject: RCPT from XXX.theodora.org[212.74.XXX.YYY]:52327: 554 5.7.1 <XXX.theodora.org[212.74.XXX.YYY]:52327>: Client host rejected: Access denied; from=<XXX at theodora.org> to=<UNSER_KUNDE at domain.tld> proto=ESMTP helo=<XXX.theodora.org>
Jul 17 11:10:57 mail1 postfix/smtpd[10437]: disconnect from XXX.theodora.org[212.74.XXX.YYY]:52327

Testweise haben wir die smtpd_recipient_restrictions auf den default Wert

smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

gesetzt und alle Client-, Sender- und Helo-Restriktionen auskommentiert. 
Den Postfix neugestartet und die Gegenseite gebeten nochmals ein 
Testmail zu schicken. Genau die gleichen Fehler.
Die Vorwärts-Rückwärtsauflösung im DNS für die Senderseite schaut gut 
aus. Testweise haben wir auch die Google-Nameserver auf unserem 
Mailserver eingetragen, um ein Problem mit unseren Nameservern 
auszuschliessen.

Gibt es denn irgendwelche "built-in" Checks in Postfix, die hier 
reinspielen könnten?

Danke für jede Idee und einen schönen Abend

tobi


From Ralf.Hildebrandt at charite.de  Thu Jul 17 15:59:55 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 17 Jul 2014 15:59:55 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <53C7D2EA.9010602@brain-force.ch>
References: <53C7D2EA.9010602@brain-force.ch>
Message-ID: <20140717135955.GG3460@charite.de>

* Tobi <tobster at brain-force.ch>:
> Hallo zusammen
> 
> wir haben ein (für uns) unerklärliches Problem auf unserem Postfix
> Server. Es geht darum, dass ein bestimmter sendender Host immer
> abgelehnt wird
> 
> Jul 17 11:10:57 mail1 postfix/smtpd[10437]: connect from XXX.theodora.org[212.74.XXX.YYY]:52327
> Jul 17 11:10:57 mail1 postfix/smtpd[10437]: NOQUEUE: reject: RCPT from XXX.theodora.org[212.74.XXX.YYY]:52327: 554 5.7.1 <XXX.theodora.org[212.74.XXX.YYY]:52327>: Client host rejected: Access denied; from=<XXX at theodora.org> to=<UNSER_KUNDE at domain.tld> proto=ESMTP helo=<XXX.theodora.org>
> Jul 17 11:10:57 mail1 postfix/smtpd[10437]: disconnect from XXX.theodora.org[212.74.XXX.YYY]:52327

Ganz klar: Client host rejected, access denied.
 
> Testweise haben wir die smtpd_recipient_restrictions auf den default Wert
> 
> smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
> 
> gesetzt und alle Client-, Sender- und Helo-Restriktionen
> auskommentiert. Den Postfix neugestartet und die Gegenseite gebeten
> nochmals ein Testmail zu schicken. Genau die gleichen Fehler.

master.cf gucken.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From news at amaltea.de  Thu Jul 17 16:02:28 2014
From: news at amaltea.de (Paul)
Date: Thu, 17 Jul 2014 16:02:28 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <53C7D2EA.9010602@brain-force.ch>
References: <53C7D2EA.9010602@brain-force.ch>
Message-ID: <53C7D774.6030706@amaltea.de>

Am 17.07.2014 15:43, schrieb Tobi:
> Hallo zusammen
> 
> wir haben ein (für uns) unerklärliches Problem auf unserem Postfix
> Server. Es geht darum, dass ein bestimmter sendender Host immer
> abgelehnt wird
> 
[...]
> 
> Gibt es denn irgendwelche "built-in" Checks in Postfix, die hier
> reinspielen könnten?

http://www.postfix.org/postconf.5.html#debug_peer_list

> 
> Danke für jede Idee und einen schönen Abend
> 
> tobi



From wolfgang.zeikat at desy.de  Thu Jul 17 16:04:32 2014
From: wolfgang.zeikat at desy.de (Zeikat, Wolfgang)
Date: Thu, 17 Jul 2014 16:04:32 +0200 (CEST)
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <20140717135955.GG3460@charite.de>
References: <53C7D2EA.9010602@brain-force.ch>
 <20140717135955.GG3460@charite.de>
Message-ID: <1132293855.72911.1405605872143.JavaMail.zimbra@desy.de>

Hi,

----- Original Message -----
> From: "Ralf Hildebrandt" <Ralf.Hildebrandt at charite.de>

> > Testweise haben wir die smtpd_recipient_restrictions auf den default Wert
> > 
> > smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated
> > reject_unauth_destination
> > 
> > gesetzt und alle Client-, Sender- und Helo-Restriktionen
> > auskommentiert. Den Postfix neugestartet und die Gegenseite gebeten
> > nochmals ein Testmail zu schicken. Genau die gleichen Fehler.

postconf mynetworks

sollte zeigen, ob der einliefernde Client davon erfasst wird. Wenn nicht, könnte das das Problem sein.

Hope this helps,

wolfgang


From jost+lists at dimejo.at  Thu Jul 17 15:58:55 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Thu, 17 Jul 2014 15:58:55 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <53C7D2EA.9010602@brain-force.ch>
References: <53C7D2EA.9010602@brain-force.ch>
Message-ID: <53C7D69F.2020401@dimejo.at>

Am 17.07.2014 15:43, schrieb Tobi:
> Hallo zusammen
>
> wir haben ein (für uns) unerklärliches Problem auf unserem Postfix
> Server. Es geht darum, dass ein bestimmter sendender Host immer
> abgelehnt wird
>
> Jul 17 11:10:57 mail1 postfix/smtpd[10437]: connect from
> XXX.theodora.org[212.74.XXX.YYY]:52327
> Jul 17 11:10:57 mail1 postfix/smtpd[10437]: NOQUEUE: reject: RCPT from
> XXX.theodora.org[212.74.XXX.YYY]:52327: 554 5.7.1
> <XXX.theodora.org[212.74.XXX.YYY]:52327>: Client host rejected: Access
> denied; from=<XXX at theodora.org> to=<UNSER_KUNDE at domain.tld> proto=ESMTP
> helo=<XXX.theodora.org>
> Jul 17 11:10:57 mail1 postfix/smtpd[10437]: disconnect from
> XXX.theodora.org[212.74.XXX.YYY]:52327
>
> Testweise haben wir die smtpd_recipient_restrictions auf den default Wert
>
> smtpd_recipient_restrictions = permit_mynetworks
> permit_sasl_authenticated reject_unauth_destination
>
> gesetzt und alle Client-, Sender- und Helo-Restriktionen auskommentiert.
> Den Postfix neugestartet und die Gegenseite gebeten nochmals ein
> Testmail zu schicken. Genau die gleichen Fehler.
> Die Vorwärts-Rückwärtsauflösung im DNS für die Senderseite schaut gut
> aus. Testweise haben wir auch die Google-Nameserver auf unserem
> Mailserver eingetragen, um ein Problem mit unseren Nameservern
> auszuschliessen.
>
> Gibt es denn irgendwelche "built-in" Checks in Postfix, die hier
> reinspielen könnten?
>
> Danke für jede Idee und einen schönen Abend
>
> tobi

Der Log-Eintrag sieht für mich nach check_client_access aus. Wird die 
main.cf möglicherweise durch die master.cf überschrieben?

-- 
Alex JOST


From Ralf.Hildebrandt at charite.de  Thu Jul 17 16:13:13 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 17 Jul 2014 16:13:13 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <53C7D69F.2020401@dimejo.at>
References: <53C7D2EA.9010602@brain-force.ch>
 <53C7D69F.2020401@dimejo.at>
Message-ID: <20140717141313.GH3460@charite.de>

* Alex JOST <jost+lists at dimejo.at>:

> Der Log-Eintrag sieht für mich nach check_client_access aus. 

Das, oder ein "reject" in irgendwelchen Restirctions.

> Wird die main.cf möglicherweise durch die master.cf überschrieben?

Mein reden

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From tobster at brain-force.ch  Thu Jul 17 16:32:14 2014
From: tobster at brain-force.ch (Tobi)
Date: Thu, 17 Jul 2014 16:32:14 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <20140717141313.GH3460@charite.de>
References: <53C7D2EA.9010602@brain-force.ch> <53C7D69F.2020401@dimejo.at>
 <20140717141313.GH3460@charite.de>
Message-ID: <53C7DE6E.8080200@brain-force.ch>

Euer Tipp brachte mich in die richtige Richtung. Zwar wird bei uns 
nichts in master.cf für Port 25 überschrieben, aber für Port 587 und 465 
schon.
Also einen tcpdump laufen lassen und die Gegenseite ans Rohr geholt mit 
der Bitte nochmals eine Testmail zu schicken. Et voilà die versuchen es 
doch glatt auf Port 465 :-D :-)
Das kann ja nicht gehen.

Cheers

tobi
Am 17.07.2014 16:13, schrieb Ralf Hildebrandt:
> * Alex JOST <jost+lists at dimejo.at>:
>
>> Der Log-Eintrag sieht für mich nach check_client_access aus.
> Das, oder ein "reject" in irgendwelchen Restirctions.
>
>> Wird die main.cf möglicherweise durch die master.cf überschrieben?
> Mein reden
>



From Ralf.Hildebrandt at charite.de  Thu Jul 17 16:34:48 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 17 Jul 2014 16:34:48 +0200
Subject: [Postfixbuch-users] Postfix "client host rejected"
In-Reply-To: <53C7DE6E.8080200@brain-force.ch>
References: <53C7D2EA.9010602@brain-force.ch> <53C7D69F.2020401@dimejo.at>
 <20140717141313.GH3460@charite.de>
 <53C7DE6E.8080200@brain-force.ch>
Message-ID: <20140717143448.GI3460@charite.de>

* Tobi <tobster at brain-force.ch>:
> Euer Tipp brachte mich in die richtige Richtung. Zwar wird bei uns
> nichts in master.cf für Port 25 überschrieben, aber für Port 587 und
> 465 schon.
> Also einen tcpdump laufen lassen und die Gegenseite ans Rohr geholt
> mit der Bitte nochmals eine Testmail zu schicken. Et voilà die
> versuchen es doch glatt auf Port 465 :-D :-)
> Das kann ja nicht gehen.

Und ich sag noch: Auf den Ports anders loggen, damit man das sieht :)

submission_noauth =
   check_client_access regexp:/etc/postfix/reject_submission_noauth.regexp

mit:

// 550 Sie muessen sich authorisieren, bevor sie von extern Mail ueber Port 587 versenden duerfen!

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From listen at kielgas.org  Tue Jul 22 13:49:28 2014
From: listen at kielgas.org (Uwe Kielgas)
Date: Tue, 22 Jul 2014 13:49:28 +0200
Subject: [Postfixbuch-users] =?iso-8859-15?q?Return-Path_bei_eingehenden_M?=
	=?iso-8859-15?q?ails_l=F6schen?=
Message-ID: <53CE4FC8.6080001@kielgas.org>

Hallo Liste,

ich habe ein Problem mit 1und1.
Wir nutzen 1 & 1 als Mail Provider, die Mails werden aber nur
weitergeleitet an unseren Mailserver.
Jetzt setzt aber 1 & 1 seit einiger Zeit den den Return-Path auf die
eigene Email-Adresse, dies bereitet, wie man sich denken kann, Probleme
bei den automatisierten Abwesenheitsmails.

Problem:

Klaus.Mustermann at muster.org schreibt an Uwe.Kielgas at vlf-brandenburg.de
Die Mail wird direkt weitergeleitet an uwe.kielgas at mail.vlf-potsdam.de
(mein Server) und dort wieder umgesetzt in Uwe.Kielgas at vlf-brandenburg.de
Im Header steht aber nun:


Return-Path: <Uwe.Kielgas at vlf-brandenburg.de>
X-Original-To: uwe.kielgas at mail.vlf-potsdam.de
Delivered-To: ukielgas at vlf-brandenburg.de

...

From: Klaus Mustermann <Klaus.Mustermann at muster.org>
Reply-To: Klaus Mustermann <Klaus.Mustermann at muster.org>


Eigentlich sollte im Return-Path Klaus.Mustermann at muster.org stehen, tut
es aber blöderweise nicht.
Ich habe 1 & 1 schon diesbezüglich angeschrieben, aber müsste inzwischen
den Header "Return-Path" leeren, damit sieve wieder korrekte
Abwesenheitsmails schreiben kann.

Mit header_checks scheint das nicht zu funktionieren. Hat jemand eine Idee?

Vielen Dank!

-- 
Uwe Kielgas

Friedrich-Steinwachs-Weg 23
14513 Teltow

Mobil: +49(0)177 7883080
http://www.kielgas.de

Nicht das Erreichte zählt
Das Erzählte reicht



From dieter.ringen at polizei.niedersachsen.de  Wed Jul 23 06:08:45 2014
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme))
Date: Wed, 23 Jul 2014 06:08:45 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-15?q?Return-Path_bei_eingehenden_M?=
 =?iso-8859-15?q?ails_l=F6schen?=
In-Reply-To: <LV-MX-00011OCop3wyv0001967a@LV-MX-00011.LV.ads.niedersachsen.de>
References: <LV-MX-00011OCop3wyv0001967a@LV-MX-00011.LV.ads.niedersachsen.de>
Message-ID: <53CF354D.4000700@polizei.niedersachsen.de>

Am 22.07.2014 13:49, schrieb Uwe Kielgas:
> Hallo Liste,
> 
> ich habe ein Problem mit 1und1.
> Wir nutzen 1 & 1 als Mail Provider, die Mails werden aber nur
> weitergeleitet an unseren Mailserver.
> Jetzt setzt aber 1 & 1 seit einiger Zeit den den Return-Path auf die
> eigene Email-Adresse, dies bereitet, wie man sich denken kann, Probleme
> bei den automatisierten Abwesenheitsmails.
> 
> Problem:
> 
> Klaus.Mustermann at muster.org schreibt an Uwe.Kielgas at vlf-brandenburg.de
> Die Mail wird direkt weitergeleitet an uwe.kielgas at mail.vlf-potsdam.de
> (mein Server) und dort wieder umgesetzt in Uwe.Kielgas at vlf-brandenburg.de
> Im Header steht aber nun:
> 
> 
> Return-Path: <Uwe.Kielgas at vlf-brandenburg.de>
> X-Original-To: uwe.kielgas at mail.vlf-potsdam.de
> Delivered-To: ukielgas at vlf-brandenburg.de
> 
> ...
> 
> From: Klaus Mustermann <Klaus.Mustermann at muster.org>
> Reply-To: Klaus Mustermann <Klaus.Mustermann at muster.org>
> 
> 
> Eigentlich sollte im Return-Path Klaus.Mustermann at muster.org stehen, tut
> es aber blöderweise nicht.
> Ich habe 1 & 1 schon diesbezüglich angeschrieben, aber müsste inzwischen
> den Header "Return-Path" leeren, damit sieve wieder korrekte
> Abwesenheitsmails schreiben kann.
> 
> Mit header_checks scheint das nicht zu funktionieren. Hat jemand eine Idee?
> 
> Vielen Dank!
> 
Dann lass doch Sieve die FROM: Zeile auswerten und nicht den Return-Path

mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
Dezernat 42.5.3 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695-7929
mailto:dieter.ringen at polizei.niedersachsen.de



From lists at puersten.de  Wed Jul 23 10:24:08 2014
From: lists at puersten.de (=?ISO-8859-15?Q?Oliver_P=FCrsten?=)
Date: Wed, 23 Jul 2014 10:24:08 +0200
Subject: [Postfixbuch-users] Postfix 2.11
Message-ID: <53CF7128.9020801@puersten.de>

Moin,

ich bin auf der Suche nach einen Repo für CentOS 6 welches Postfix in Version 2.11 enthält.
Hat jemand hier eine Empfehlung für mich?

Gruß, Oliver


From listen at kielgas.org  Wed Jul 23 11:21:26 2014
From: listen at kielgas.org (Uwe Kielgas)
Date: Wed, 23 Jul 2014 11:21:26 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Return-Path_bei_eingehenden_Ma?=
 =?iso-8859-1?q?ils_l=F6schen?=
In-Reply-To: <53CF354D.4000700@polizei.niedersachsen.de>
References: <LV-MX-00011OCop3wyv0001967a@LV-MX-00011.LV.ads.niedersachsen.de>
 <53CF354D.4000700@polizei.niedersachsen.de>
Message-ID: <53CF7E96.9030607@kielgas.org>

Am 23.07.2014 06:08, schrieb Ringen, Dieter (ZPD Dez. 42.5 - Zentrale
Systeme):
> Am 22.07.2014 13:49, schrieb Uwe Kielgas:
>> <snip>
>>
>> Eigentlich sollte im Return-Path Klaus.Mustermann at muster.org stehen, tut
>> es aber blöderweise nicht.
>> Ich habe 1 & 1 schon diesbezüglich angeschrieben, aber müsste inzwischen
>> den Header "Return-Path" leeren, damit sieve wieder korrekte
>> Abwesenheitsmails schreiben kann.
>>
>> Mit header_checks scheint das nicht zu funktionieren. Hat jemand eine Idee?
>>
>> Vielen Dank!
>>
> Dann lass doch Sieve die FROM: Zeile auswerten und nicht den Return-Path

Danke für den Tipp, hatte ich auch schon angedacht, aber wie mache ich das?
Ich habe keine Regel gefunden, das per Skript zu erledigen und dazu habe
ich folgendes gefunden:

Vacation uses envelope sender and envelope recipient. They're taken from:

    Envelope sender: -f parameter to dovecot-lda if given, otherwise
Return-Path: header in the message.


The vacation replies are sent to the envelope sender.

List of autoreplied senders is stored in .dovecot.lda-dupes file in
user's home directory. When you're testing the vacation feature, it's
easy to forget that the reply is sent only once in the number of
configured days. If you've problems getting the vacation reply, try
deleting this file. If that didn't help, make sure the problem isn't
related to sending mails in general by trying the "reject" Sieve command.

The automatic replies aren't sent if any of the following is true:

    The envelope sender is not available (equal to <>)

>
> mit freundlichem Gruß
>
> Dieter Ringen
> Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
> Dezernat 42.5.3 - IT - Infrastruktur
> Tel: 0511 9695 -7653
> Fax: 0511 9695-7929
> mailto:dieter.ringen at polizei.niedersachsen.de
>


-- 
Uwe Kielgas

Friedrich-Steinwachs-Weg 23
14513 Teltow

Mobil: +49(0)177 7883080
http://www.kielgas.de

Nicht das Erreichte zählt
Das Erzählte reicht


-- 
Uwe Kielgas

Friedrich-Steinwachs-Weg 23
14513 Teltow

Mobil: +49(0)177 7883080
http://www.kielgas.de

Nicht das Erreichte zählt
Das Erzählte reicht


From maegger at ee.ethz.ch  Wed Jul 23 11:36:07 2014
From: maegger at ee.ethz.ch (Matthias Egger)
Date: Wed, 23 Jul 2014 11:36:07 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Return-Path_bei_eingehenden_Ma?=
 =?iso-8859-1?q?ils_l=F6schen?=
In-Reply-To: <53CE4FC8.6080001@kielgas.org>
References: <53CE4FC8.6080001@kielgas.org>
Message-ID: <53CF8207.2010803@ee.ethz.ch>

On 07/22/2014 01:49 PM, Uwe Kielgas wrote:
> [...]
> Jetzt setzt aber 1 & 1 seit einiger Zeit den den Return-Path auf die
> eigene Email-Adresse, dies bereitet, wie man sich denken kann, Probleme
> bei den automatisierten Abwesenheitsmails.
Ich habe ein ähnliches Problem mit einem Exchange Server gehabt welcher
statt eines echten Forwards eben nur ein resend gemacht hat mit dem
gleichen Ergebnis.

Wir verwenden procmail. Da jage ich die Email welche ich an vacation
übergeben möchte 2x durch formail (welches bei procmail dabei ist).

|formail -X CC: -X From: -X Precedence: -X Subject: -X
To:|formail|/usr/bin/vacation

Das erste sorgt dafür, dass nur die angegebenen Header erhalten bleiben,
das zweite formail sorgt dafür, dass eine "saubere" Email ohne
Textinhalt aber mit sauberen Headern erzeugt wird. Wenn dies an vacation
übergeben wird kann der wieder saubere Abwesenheitsmeldungen verschicken.

Lieber Gruss
Matthias
-- 
Matthias Egger
ETH Zurich
Department of Information Technology          maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1         Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich               Fax   +41 (0)44 632 11 95

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4099 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140723/21aa970c/attachment.p7s>

From ms at ddnetservice.de  Wed Jul 23 12:27:49 2014
From: ms at ddnetservice.de (Michael Seevogel)
Date: Wed, 23 Jul 2014 12:27:49 +0200
Subject: [Postfixbuch-users] Postfix 2.11
In-Reply-To: <53CF7128.9020801@puersten.de>
References: <53CF7128.9020801@puersten.de>
Message-ID: <53CF8E25.4040408@ddnetservice.de>

Am 23.07.2014 10:24, schrieb Oliver Pürsten:
> Moin,
>
> ich bin auf der Suche nach einen Repo für CentOS 6 welches Postfix in
> Version 2.11 enthält.
> Hat jemand hier eine Empfehlung für mich?
>
> Gruß, Oliver

Hi Oliver,

ich konnte gute Erfahrungen mit dem Postfix-Repo von Milo Oostergo machen.
Der hat alle aktuellen Postfix Versionen für CentOS 6 und 7 vorrätig.

Link: http://oostergo.net/node/104

Gruß,
Michael



From jost+lists at dimejo.at  Wed Jul 23 12:46:30 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 23 Jul 2014 12:46:30 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Return-Path_bei_eingehenden_Ma?=
 =?iso-8859-1?q?ils_l=F6schen?=
In-Reply-To: <53CE4FC8.6080001@kielgas.org>
References: <53CE4FC8.6080001@kielgas.org>
Message-ID: <53CF9286.3030301@dimejo.at>

Am 22.07.2014 13:49, schrieb Uwe Kielgas:
> Hallo Liste,
>
> ich habe ein Problem mit 1und1.
> Wir nutzen 1 & 1 als Mail Provider, die Mails werden aber nur
> weitergeleitet an unseren Mailserver.
> Jetzt setzt aber 1 & 1 seit einiger Zeit den den Return-Path auf die
> eigene Email-Adresse, dies bereitet, wie man sich denken kann, Probleme
> bei den automatisierten Abwesenheitsmails.
>
> Problem:
>
> Klaus.Mustermann at muster.org schreibt an Uwe.Kielgas at vlf-brandenburg.de
> Die Mail wird direkt weitergeleitet an uwe.kielgas at mail.vlf-potsdam.de
> (mein Server) und dort wieder umgesetzt in Uwe.Kielgas at vlf-brandenburg.de
> Im Header steht aber nun:
>
>
> Return-Path: <Uwe.Kielgas at vlf-brandenburg.de>
> X-Original-To: uwe.kielgas at mail.vlf-potsdam.de
> Delivered-To: ukielgas at vlf-brandenburg.de
>
> ...
>
> From: Klaus Mustermann <Klaus.Mustermann at muster.org>
> Reply-To: Klaus Mustermann <Klaus.Mustermann at muster.org>
>
>
> Eigentlich sollte im Return-Path Klaus.Mustermann at muster.org stehen, tut
> es aber blöderweise nicht.
> Ich habe 1 & 1 schon diesbezüglich angeschrieben, aber müsste inzwischen
> den Header "Return-Path" leeren, damit sieve wieder korrekte
> Abwesenheitsmails schreiben kann.
>
> Mit header_checks scheint das nicht zu funktionieren. Hat jemand eine Idee?
>
> Vielen Dank!
>

Du könntest die Erweiterung editheader in einem Skript mit sieve_before 
benutzen, um die entsprechende Header-Zeile zu löschen/ändern.

Habe das allerdings nie selbst ausprobiert, und weiß deshalb auch nicht, 
ob das wirklich funktioniert.

-- 
Alex JOST


From listen at kielgas.org  Wed Jul 23 15:03:55 2014
From: listen at kielgas.org (Uwe Kielgas)
Date: Wed, 23 Jul 2014 15:03:55 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Return-Path_bei_eingehenden_?=
 =?windows-1252?q?Mails_l=F6schen?=
In-Reply-To: <53CF9286.3030301@dimejo.at>
References: <53CE4FC8.6080001@kielgas.org> <53CF9286.3030301@dimejo.at>
Message-ID: <53CFB2BB.9020505@kielgas.org>

Hallo Liste,

zuerst vielen Dank an Dieter, Matthias und Alex für die hilfreichen
Antworten.

Aber ich habe versäumt meine Konfiguration komplett darzulegen.

Wir haben einen Debian 6 Server, darauf laufen Postfix 2.7.2 und dovecot
1.2 und als Frontend OpenXchange 6.22

Ich habe bis jetzt keinen Weg gefunden, Sieve dazu zu überreden, den
From-Header zu nehmen, anstatt den Return-Path.
Wir nutzen dovecot als LDA, daher können wir leider procmail nicht
nutzen, um die Header umzuschreiben.
Die Idee, die extension editheader zu nutzen, um mittels sieve die
Header umzuschreiben ist eine hervorragende Idee, aber leider meldet
dovecot, dass editheader unbekannt ist und ignoriert diese Konfiguration.

Hat vielleicht jemand noch eine Idee?
Ich wäre z.B. dankbar, wenn mir jemand erklären könnte, wie ich Sieve
dazu überrede, den From-Header beim Vacation-Skript auszuwerten.
Alternativ wäre ich dankbar, wenn mir jemand erklärt, wie ich mein
Debian 6 überrede, die editheader-extension für dovecot-sieve zu
akteptieren.

Liebe Grüße Uwe

*
*

-- 
Uwe Kielgas

Friedrich-Steinwachs-Weg 23
14513 Teltow

Mobil: +49(0)177 7883080
http://www.kielgas.de

Nicht das Erreichte zählt
Das Erzählte reicht

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140723/4609eab0/attachment.htm>

From eberl at kercomp.de  Wed Jul 23 15:57:39 2014
From: eberl at kercomp.de (FE)
Date: Wed, 23 Jul 2014 15:57:39 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Postfix=3A_Interne_Domains_beschr?=
 =?utf-8?q?=C3=A4nken_aber_alle_externen_zulassen?=
Message-ID: <53CFBF53.4020805@kercomp.de>

Hallo,
ich habe momentan das Problem, dass ich unseren Mailserver diesbezüglich 
konfigurieren muss,
damit dieser nur die von uns gemanageten Domains weiterversendet.
Quasi soll ein Interner User "testuser at meinedomain.de" an alle anderen 
in der Welt über
den Server verschicken können, der User "user at spammer.de" aber nicht.
Mit meiner momentanen Konfiguration ist es aber so, dass zwar alle 
internen User veschicken können an wen sie wollen, allerdings kann 
diesen Usern niemand mehr eine Mail von außerhalb schicken mit einer gmx 
Adresse zum Beispiel, habt ihr eine Ahnung wie man das abstellen kann?
Diese Zeilen wurden von mir hinzugefügt und sorgen dafür, dass die 
Domains gefiltert werden:
#smtpd_sender_restrictions =
#       check_sender_access hash:/etc/postfix/relaydomains
#       reject

Nicht über den Dateinamen wundern, der ist gewollt!

Anbei die main.cf:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = www.meinserver.de ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/ssl/localcerts/www.meinserver.de.crt
smtpd_tls_key_file = /etc/ssl/localcerts/www.meinserver.de.key
smtpd_tls_CAfile = /etc/ssl/localcerts/www.meinserver.de.ca
#smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = www.meinserver.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = www.meinserver.de, localhost.kercomp.de,  localhost

#relay_domains = $mydestination, hash:/etc/postfix/virtual
#smtpd_relay_restrictions = reject_sender_login_mismatch, 
permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
relayhost =
mynetworks = 127.0.0.0/8
#[::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
home_mailbox = Maildir/
mailbox_command = procmail -a "$EXTENSION"
virtual_maps = hash:/etc/postfix/virtual
queue_directory = /var/spool/postfix
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
#smtpd_sender_restrictions =
#       check_sender_access hash:/etc/postfix/relaydomains
#       reject

#ALT VOR Postfix 2.10 ( wheezy standard )
#smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject_unauth_destination, 
check_policy_service inet:127.0.0.1:60000
#Neu ab Postfix 2.10 ( wheezy-backports / lizzy )
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, 
reject_unauth_destination,check_policy_service inet:127.0.0.1:60000

smtpd_tls_security_level = may
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
tls_random_source = dev:/dev/urandom
message_size_limit = 104857600

-- 

Mit freundlichen Grüßen
Florian Eberl

KerComp  Kerscher  Computer GmbH  IT-Systemhaus Isener Str. 1   83558 Maitenbeth

Telefon:   (08076) 8864-50 Telefax:   (08076) 8864-49
E-Mail:    info at kercomp.de
Internet:  www.kercomp.de

Geschäftsführung: Günter Kerscher
Amtsgericht: Traunstein HRB 14387
UST-ID Nummer:        DE222791870



From jost+lists at dimejo.at  Wed Jul 23 16:46:55 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 23 Jul 2014 16:46:55 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Return-Path_bei_eingehenden_?=
 =?windows-1252?q?Mails_l=F6schen?=
In-Reply-To: <53CFB2BB.9020505@kielgas.org>
References: <53CE4FC8.6080001@kielgas.org> <53CF9286.3030301@dimejo.at>
 <53CFB2BB.9020505@kielgas.org>
Message-ID: <53CFCADF.1070403@dimejo.at>

Am 23.07.2014 um 15:03 schrieb Uwe Kielgas:
> Ich habe bis jetzt keinen Weg gefunden, Sieve dazu zu überreden, den
> From-Header zu nehmen, anstatt den Return-Path.

Ich denke nicht, dass es möglich ist. Laut RFC 5230 soll nur der 
Return-Path ausgewertet werden.
http://tools.ietf.org/html/rfc5230#section-4


> Wir nutzen dovecot als LDA, daher können wir leider procmail nicht
> nutzen, um die Header umzuschreiben.
> Die Idee, die extension editheader zu nutzen, um mittels sieve die
> Header umzuschreiben ist eine hervorragende Idee, aber leider meldet
> dovecot, dass editheader unbekannt ist und ignoriert diese Konfiguration.

editheader wird nur im wiki2 erwähnt, also dürfte es wohl für Dovecotv1 
nicht verfügbar sein.


> Hat vielleicht jemand noch eine Idee?
> Ich wäre z.B. dankbar, wenn mir jemand erklären könnte, wie ich Sieve
> dazu überrede, den From-Header beim Vacation-Skript auszuwerten.
> Alternativ wäre ich dankbar, wenn mir jemand erklärt, wie ich mein
> Debian 6 überrede, die editheader-extension für dovecot-sieve zu
> akteptieren.

Du könntest noch testen, ob der Return-Path von Deinem Postfix oder 
wirklich von 1und1 umgeschrieben wird. Normalerweise löscht Postfix den 
vorhandenen Return-Path, nimmt die envelope sender address, und schreibt 
damit den Return-Path neu. Das Entfernen des R-flags vom Dovecot-Prozess 
in der master.cf sollte das ändern.

Habe das selbst nie probiert, aber sonst fällt mir leider nichts mehr ein.

-- 
Alex JOST


From listen at kielgas.org  Wed Jul 23 16:59:29 2014
From: listen at kielgas.org (Uwe Kielgas)
Date: Wed, 23 Jul 2014 16:59:29 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Return-Path_bei_eingehenden_?=
 =?windows-1252?q?Mails_l=F6schen?=
In-Reply-To: <53CFCADF.1070403@dimejo.at>
References: <53CE4FC8.6080001@kielgas.org> <53CF9286.3030301@dimejo.at>
 <53CFB2BB.9020505@kielgas.org> <53CFCADF.1070403@dimejo.at>
Message-ID: <53CFCDD1.8060901@kielgas.org>

Am 23.07.2014 um 16:46 schrieb Alex JOST:
> Am 23.07.2014 um 15:03 schrieb Uwe Kielgas:
>> Ich habe bis jetzt keinen Weg gefunden, Sieve dazu zu überreden, den
>> From-Header zu nehmen, anstatt den Return-Path.
>
> Ich denke nicht, dass es möglich ist. Laut RFC 5230 soll nur der
> Return-Path ausgewertet werden.
> http://tools.ietf.org/html/rfc5230#section-4

So isses wohl leider.

>
>
>> Wir nutzen dovecot als LDA, daher können wir leider procmail nicht
>> nutzen, um die Header umzuschreiben.
>> Die Idee, die extension editheader zu nutzen, um mittels sieve die
>> Header umzuschreiben ist eine hervorragende Idee, aber leider meldet
>> dovecot, dass editheader unbekannt ist und ignoriert diese
>> Konfiguration.
>
> editheader wird nur im wiki2 erwähnt, also dürfte es wohl für
> Dovecotv1 nicht verfügbar sein.

Ja klar, das ist die Erklärung.

>
>
>> Hat vielleicht jemand noch eine Idee?
>> Ich wäre z.B. dankbar, wenn mir jemand erklären könnte, wie ich Sieve
>> dazu überrede, den From-Header beim Vacation-Skript auszuwerten.
>> Alternativ wäre ich dankbar, wenn mir jemand erklärt, wie ich mein
>> Debian 6 überrede, die editheader-extension für dovecot-sieve zu
>> akteptieren.
>
> Du könntest noch testen, ob der Return-Path von Deinem Postfix oder
> wirklich von 1und1 umgeschrieben wird. Normalerweise löscht Postfix
> den vorhandenen Return-Path, nimmt die envelope sender address, und
> schreibt damit den Return-Path neu. Das Entfernen des R-flags vom
> Dovecot-Prozess in der master.cf sollte das ändern.
>
> Habe das selbst nie probiert, aber sonst fällt mir leider nichts mehr
> ein.

Wir sind es nicht, das hat ja schon mal funktioniert und den r-Flag hab
ich nie gesetzt.
Warum die plötzlich vom forward auf resend gewechselt haben kann ich mir
nicht erklären.

Schade, aber Danke für Deine Hilfe.


-- 
Uwe Kielgas

Friedrich-Steinwachs-Weg 23
14513 Teltow

Mobil: +49(0)177 7883080
http://www.kielgas.de

Nicht das Erreichte zählt
Das Erzählte reicht


-- 
Uwe Kielgas

Friedrich-Steinwachs-Weg 23
14513 Teltow

Mobil: +49(0)177 7883080
http://www.kielgas.de

Nicht das Erreichte zählt
Das Erzählte reicht


From jost+lists at dimejo.at  Thu Jul 24 10:51:36 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Thu, 24 Jul 2014 10:51:36 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Postfix=3A_Interne_Domains_b?=
 =?windows-1252?q?eschr=E4nken_aber_alle_externen_zulassen?=
In-Reply-To: <53CFBF53.4020805@kercomp.de>
References: <53CFBF53.4020805@kercomp.de>
Message-ID: <53D0C918.2050608@dimejo.at>

Am 23.07.2014 um 15:57 schrieb FE:
> Hallo,
> ich habe momentan das Problem, dass ich unseren Mailserver diesbezüglich
> konfigurieren muss,
> damit dieser nur die von uns gemanageten Domains weiterversendet.
> Quasi soll ein Interner User "testuser at meinedomain.de" an alle anderen
> in der Welt über
> den Server verschicken können, der User "user at spammer.de" aber nicht.
> Mit meiner momentanen Konfiguration ist es aber so, dass zwar alle
> internen User veschicken können an wen sie wollen, allerdings kann
> diesen Usern niemand mehr eine Mail von außerhalb schicken mit einer gmx
> Adresse zum Beispiel, habt ihr eine Ahnung wie man das abstellen kann?
> Diese Zeilen wurden von mir hinzugefügt und sorgen dafür, dass die
> Domains gefiltert werden:
> #smtpd_sender_restrictions =
> #       check_sender_access hash:/etc/postfix/relaydomains
> #       reject
>
> Nicht über den Dateinamen wundern, der ist gewollt!
>
> Anbei die main.cf:
> # See /usr/share/postfix/main.cf.dist for a commented, more complete
> version
>
>
> # Debian specific:  Specifying a file name will cause the first
> # line of that file to be used as the name.  The Debian default
> # is /etc/mailname.
> #myorigin = /etc/mailname
>
> smtpd_banner = www.meinserver.de ESMTP
> biff = no
>
> # appending .domain is the MUA's job.
> append_dot_mydomain = no
>
> # Uncomment the next line to generate "delayed mail" warnings
> #delay_warning_time = 4h
>
> readme_directory = no
>
> # TLS parameters
> smtpd_tls_cert_file = /etc/ssl/localcerts/www.meinserver.de.crt
> smtpd_tls_key_file = /etc/ssl/localcerts/www.meinserver.de.key
> smtpd_tls_CAfile = /etc/ssl/localcerts/www.meinserver.de.ca
> #smtpd_use_tls = yes
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>
> # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
> # information on enabling SSL in the smtp client.
>
> myhostname = www.meinserver.de
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
> myorigin = /etc/mailname
> mydestination = www.meinserver.de, localhost.kercomp.de,  localhost
>
> #relay_domains = $mydestination, hash:/etc/postfix/virtual
> #smtpd_relay_restrictions = reject_sender_login_mismatch,
> permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
> relayhost =
> mynetworks = 127.0.0.0/8
> #[::ffff:127.0.0.0]/104 [::1]/128
> mailbox_size_limit = 0
> recipient_delimiter = +
> inet_interfaces = all
> home_mailbox = Maildir/
> mailbox_command = procmail -a "$EXTENSION"
> virtual_maps = hash:/etc/postfix/virtual
> queue_directory = /var/spool/postfix
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_type = dovecot
> smtpd_sasl_path = private/auth
> #smtpd_sender_restrictions =
> #       check_sender_access hash:/etc/postfix/relaydomains
> #       reject
>
> #ALT VOR Postfix 2.10 ( wheezy standard )
> #smtpd_recipient_restrictions = permit_mynetworks,
> permit_sasl_authenticated, reject_unauth_destination,
> check_policy_service inet:127.0.0.1:60000
> #Neu ab Postfix 2.10 ( wheezy-backports / lizzy )
> smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated,
> reject_unauth_destination,check_policy_service inet:127.0.0.1:60000
>
> smtpd_tls_security_level = may
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtp_tls_security_level = may
> smtp_tls_note_starttls_offer = yes
> tls_random_source = dev:/dev/urandom
> message_size_limit = 104857600
>

Du musst Postfix sagen für welche Domains er zuständig ist. Derzeit sind 
das nur diese 3:
www.meinserver.de, localhost.kercomp.de,  localhost

PS: Bitte benutze in Zukunft den Befehl "postconf -n" (oder besser -nf) 
um Deine aktuelle Konfiguration auszugeben. Das ist übersichtlicher und 
schließt Tippfehler bei den Parametern aus.

-- 
Alex JOST


From gregor at aeppelbroe.de  Thu Jul 24 11:37:34 2014
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Thu, 24 Jul 2014 11:37:34 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
Message-ID: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>

Moin,

wir haben das Problem, das unser webserver in der DMZ nicht mehr mailen kann, die Vermutung ist, das es an einer Einstellung in der Firewall liegt. Ein snapshot der Maschiene im internen netzt kann nähmlich mailen.

Zum Mailen benutzt der Webserver einen smartrelay:

#SMTP-Relay für externen Mailversand
relayhost = [smtp.1und1.de]
smtp_sasl_auth_enable=yes
smtp_use_tls = yes
smtp_sasl_mechanism_filter = plain, login
smtp_tls_enforce_peername = no
smtp_sasl_password_maps=hash:/etc/postfix/sasl_password
smtp_sasl_security_options = noanonymous

Jetzt gibt es in der mail.err immer:
Jul 24 11:21:41 webserver01 postfix/smtp[6783]: fatal: SASL per-connection initialization failed

An der Firewall ist ausgehend der Port 25 offen.
Wird während des Handshakes der Port gewechselt? Das würde ja erklären, warum es nicht zu Stande kommt,... 

Wie gesagt, ein snapshot der virtuellen mashiene läuft intern,...

Wo sollte ich noch nachbohren?

Grüße

Gregor
-- 





From jost+lists at dimejo.at  Thu Jul 24 11:53:33 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Thu, 24 Jul 2014 11:53:33 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
In-Reply-To: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>
References: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>
Message-ID: <53D0D79D.3080908@dimejo.at>

Am 24.07.2014 um 11:37 schrieb Gregor Burck:
> Moin,
>
> wir haben das Problem, das unser webserver in der DMZ nicht mehr mailen kann, die Vermutung ist, das es an einer Einstellung in der Firewall liegt. Ein snapshot der Maschiene im internen netzt kann nähmlich mailen.
>
> Zum Mailen benutzt der Webserver einen smartrelay:
>
> #SMTP-Relay für externen Mailversand
> relayhost = [smtp.1und1.de]
> smtp_sasl_auth_enable=yes
> smtp_use_tls = yes
> smtp_sasl_mechanism_filter = plain, login
> smtp_tls_enforce_peername = no
> smtp_sasl_password_maps=hash:/etc/postfix/sasl_password
> smtp_sasl_security_options = noanonymous
>
> Jetzt gibt es in der mail.err immer:
> Jul 24 11:21:41 webserver01 postfix/smtp[6783]: fatal: SASL per-connection initialization failed
>
> An der Firewall ist ausgehend der Port 25 offen.
> Wird während des Handshakes der Port gewechselt? Das würde ja erklären, warum es nicht zu Stande kommt,...
>
> Wie gesagt, ein snapshot der virtuellen mashiene läuft intern,...
>
> Wo sollte ich noch nachbohren?
>
> Grüße
>
> Gregor
>

Vielleicht hat 1und1 die Einlieferung auf 25 deaktiviert. Probiere es 
doch mal auf Port 587.
https://hilfe-center.1und1.de/sicherheit-c84638/sicher-mit-e-mails-umgehen-c84640/e-mail-und-ssl-c84642/ssl-verschluesselung-des-1und1-smtp-servers-als-smarthost-a783435.html

-- 
Alex JOST


From gregor at aeppelbroe.de  Thu Jul 24 12:05:42 2014
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Thu, 24 Jul 2014 12:05:42 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
In-Reply-To: <53D0D79D.3080908@dimejo.at>
Message-ID: <3f1f73444d17a04f71a4f12042eec53f@heim.aeppelbroe.de>


Das kann nicht sein, vom snapshot mailen wir erfolgreich.

Ich habe auch gerade erfolgreich per telnet gemailt, das macht die Sache nicht transparenter:

root at webserver01 :/etc/postfix# telnet smtp.1und1.de 25
Trying 212.227.15.167...
Connected to smtp.1und1.de.
Escape character is '^]'.
220 smtp.1und1.de (mreue007) Welcome to Nemesis ESMTP server
EHLO wir.de
250-smtp.1und1.de
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-SIZE 120000000
250 HELP
AUTH PLAIN "MEM64CodedUSERANDPASSWORT"
235 Authentication successful
MAIL FROM: ich at ich.de 
250 OK
RCPT TO: ich at ich.de 
250 OK
DATA
354 Enter mail, end with "." on a line by itself
Subject: Test
sdf
sdfs
.
250 Message 0Lmjnc-1WZnq53rrA-00h4Eh accepted by mreue007.kundenserver.de
quit
221 OK
Connection closed by foreign host.

Grüße

Gregor

-- 


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140724/8f843ed2/attachment.htm>

From wn at neessen.net  Thu Jul 24 11:55:32 2014
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 24 Jul 2014 11:55:32 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
In-Reply-To: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>
References: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>
Message-ID: <ea0953fd57dfe3afc68eafbd366b15f6@neessen.net>

Hi,

Am 2014-07-24 11:37, schrieb Gregor Burck:

> An der Firewall ist ausgehend der Port 25 offen.
> 
Mach mal Port 587 auf.

1&1 scheint zwar SASL auf beiden Ports zu erlauben, bin mir aber gerade
nicht sicher, wenn kein Port beim Relayhost angegeben wird, ob Postfix
dann evtl. den submission Port per default waehlt.


Winni


From jost+lists at dimejo.at  Thu Jul 24 12:17:36 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Thu, 24 Jul 2014 12:17:36 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
In-Reply-To: <3f1f73444d17a04f71a4f12042eec53f@heim.aeppelbroe.de>
References: <3f1f73444d17a04f71a4f12042eec53f@heim.aeppelbroe.de>
Message-ID: <53D0DD40.4050507@dimejo.at>

Am 24.07.2014 um 12:05 schrieb Gregor Burck:
>
> Das kann nicht sein, vom snapshot mailen wir erfolgreich.
>
> Ich habe auch gerade erfolgreich per telnet gemailt, das macht die Sache nicht transparenter:
>
> root at webserver01 :/etc/postfix# telnet smtp.1und1.de 25
> Trying 212.227.15.167...
> Connected to smtp.1und1.de.
> Escape character is '^]'.
> 220 smtp.1und1.de (mreue007) Welcome to Nemesis ESMTP server
> EHLO wir.de
> 250-smtp.1und1.de
> 250-STARTTLS
> 250-AUTH LOGIN PLAIN
> 250-AUTH=LOGIN PLAIN
> 250-SIZE 120000000
> 250 HELP
> AUTH PLAIN "MEM64CodedUSERANDPASSWORT"
> 235 Authentication successful
> MAIL FROM: ich at ich.de
> 250 OK
> RCPT TO: ich at ich.de
> 250 OK
> DATA
> 354 Enter mail, end with "." on a line by itself
> Subject: Test
> sdf
> sdfs
> .
> 250 Message 0Lmjnc-1WZnq53rrA-00h4Eh accepted by mreue007.kundenserver.de
> quit
> 221 OK
> Connection closed by foreign host.
>
> Grüße
>
> Gregor

OK, wie wäre es damit?
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=685137

-- 
Alex JOST


From sk71 at gmx.de  Thu Jul 24 12:30:34 2014
From: sk71 at gmx.de (S. Kremer)
Date: Thu, 24 Jul 2014 12:30:34 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
In-Reply-To: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>
References: <be5924dd40f834e7422b2281212d0e9a@heim.aeppelbroe.de>
Message-ID: <53D0E04A.1010009@gmx.de>

Hi,

funktioniert der Verbindungsaufbau per telnet aus der DMZ heraus? Falls
telnet nicht installiert ist, kannst Du das ja testweise mal
installieren und den Verbindungsaufbau über telnet testen, so wie Du das
aus dem internen Netz heraus gemacht hast.

Hast Du die Logeinträge der Firewall mal untersucht, wenn aus der DMZ
heraus ein Verbindungsaufbau zu 1&1 initiiert wird?

Gruß
Stefan

Am 24.07.2014 um 11:37 schrieb Gregor Burck:
> Moin,
> 
> wir haben das Problem, das unser webserver in der DMZ nicht mehr mailen kann, die Vermutung ist, das es an einer Einstellung in der Firewall liegt. Ein snapshot der Maschiene im internen netzt kann nähmlich mailen.
> 
> Zum Mailen benutzt der Webserver einen smartrelay:
> 
> #SMTP-Relay für externen Mailversand
> relayhost = [smtp.1und1.de]
> smtp_sasl_auth_enable=yes
> smtp_use_tls = yes
> smtp_sasl_mechanism_filter = plain, login
> smtp_tls_enforce_peername = no
> smtp_sasl_password_maps=hash:/etc/postfix/sasl_password
> smtp_sasl_security_options = noanonymous
> 
> Jetzt gibt es in der mail.err immer:
> Jul 24 11:21:41 webserver01 postfix/smtp[6783]: fatal: SASL per-connection initialization failed
> 
> An der Firewall ist ausgehend der Port 25 offen.
> Wird während des Handshakes der Port gewechselt? Das würde ja erklären, warum es nicht zu Stande kommt,... 
> 
> Wie gesagt, ein snapshot der virtuellen mashiene läuft intern,...
> 
> Wo sollte ich noch nachbohren?
> 
> Grüße
> 
> Gregor
> 


From gregor at aeppelbroe.de  Thu Jul 24 12:36:19 2014
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Thu, 24 Jul 2014 12:36:19 +0200
Subject: [Postfixbuch-users] postfix & sasl & firewall
In-Reply-To: <53D0DD40.4050507@dimejo.at>
Message-ID: <520207e519aa12594c4bd1f05a1bc188@heim.aeppelbroe.de>

OK das war es.

Den Eintrag in /etc/host ergänzt, Maschine neu gestartet,... und es läuft.
Funny thing: warum ging es auf dem snapshot (headshot)

Danke

Gregor
-- 





From eberl at kercomp.de  Thu Jul 24 16:05:00 2014
From: eberl at kercomp.de (Florian Eberl)
Date: Thu, 24 Jul 2014 16:05:00 +0200
Subject: [Postfixbuch-users] SASL-Benutzer soll nur E-Mails von
 Absenderadresse aus eigener Domain versenden
Message-ID: <53D1128C.6080308@kercomp.de>

Hallo,
ich soll einen Mailserver bezüglich der folgenden Anforderungen 
konfigurieren.
Auf dem Server befinden sich drei unterschiedliche Firmen, jede mit 
ihrer eigenen Domain,
jeder auf dem Server angemeldete SASL-Benutzer soll nur über eine 
Absenderadresse der Domain seiner Firma
versenden können, über die Domains der anderen beiden Firmen aber nicht.
Außerdem sollen sie auch nicht irgendeine Domain verwenden können wie 
z.B. telekom.de.

Hier die Ausgabe von postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size_limit = 104857600
mydestination = www.meinedomain.de, localhost.meinedomain.de, localhost
myhostname = www.meinedomain.de
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
queue_directory = /var/spool/postfix
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = www.meinedomain.de ESMTP
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, 
reject_unauth_destination,check_policy_service inet:127.0.0.1:60000
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_CAfile = /etc/ssl/localcerts/www.meinedomain.de.ca
smtpd_tls_cert_file = /etc/ssl/localcerts/www.meinedomain.de.crt
smtpd_tls_key_file = /etc/ssl/localcerts/www.meinedomain.de.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
virtual_maps = hash:/etc/postfix/virtual

-- 

Mit freundlichen Grüßen
Florian Eberl



From lists at puersten.de  Thu Jul 24 16:07:11 2014
From: lists at puersten.de (=?ISO-8859-1?Q?Oliver_P=FCrsten?=)
Date: Thu, 24 Jul 2014 16:07:11 +0200
Subject: [Postfixbuch-users] Postfix 2.11
In-Reply-To: <53CF8E25.4040408@ddnetservice.de>
References: <53CF7128.9020801@puersten.de> <53CF8E25.4040408@ddnetservice.de>
Message-ID: <53D1130F.8060206@puersten.de>

Am 23.07.2014 12:27, schrieb Michael Seevogel:
> Am 23.07.2014 10:24, schrieb Oliver Pürsten:
>> Moin,
>>
>> ich bin auf der Suche nach einen Repo für CentOS 6 welches Postfix in
>> Version 2.11 enthält.
>> Hat jemand hier eine Empfehlung für mich?
>>
>> Gruß, Oliver
>
> Hi Oliver,
>
> ich konnte gute Erfahrungen mit dem Postfix-Repo von Milo Oostergo machen.
> Der hat alle aktuellen Postfix Versionen für CentOS 6 und 7 vorrätig.
>
> Link: http://oostergo.net/node/104
>
> Gruß,
> Michael
>
Danke, das werde ich mir mal anschauen.

Gruß, Oliver


From wn at neessen.net  Thu Jul 24 16:28:07 2014
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 24 Jul 2014 16:28:07 +0200
Subject: [Postfixbuch-users] SASL-Benutzer soll nur E-Mails von
 Absenderadresse aus eigener Domain versenden
In-Reply-To: <53D1128C.6080308@kercomp.de>
References: <53D1128C.6080308@kercomp.de>
Message-ID: <49a7d6f1e5bcab42a95153a71cddbfa4@neessen.net>

Hi,

Am 2014-07-24 16:05, schrieb Florian Eberl:

> Auf dem Server befinden sich drei unterschiedliche Firmen, jede mit 
> ihrer eigenen Domain,
> jeder auf dem Server angemeldete SASL-Benutzer soll nur über eine 
> Absenderadresse der Domain seiner Firma
> versenden können, über die Domains der anderen beiden Firmen aber 
> nicht.
> Außerdem sollen sie auch nicht irgendeine Domain verwenden können wie 
> z.B. telekom.de.
> 

Was Du suchst ist:
http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps
und
http://www.postfix.org/postconf.5.html#reject_sender_login_mismatch


Winni


From sebastian at debianfan.de  Thu Jul 24 17:24:52 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Thu, 24 Jul 2014 17:24:52 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
Message-ID: <53D12544.2040408@debianfan.de>

Guten Tag zusammen,

ich wurde heute gefragt von einem Freund (der bei mir auf einem System 
seinen mx-Record hat) warum seit einiger Zeit (genauer seit dem Update 
der Maschinen)  keine Push-Nachrichten mehr ankommen.

Ich habe mittels Fernzugang jetzt ewig probiert - immer das gleiche:

Jul 24 17:16:15 server1 postfix/policyd-weight[25329]: weighted check:  
DYN_PBL_SPAMHAUS=ERR(0) SBL_XBL_SPAMHAUS=ERR(-1.5) NOT_IN_SPAMCOP=-1.5 
CL_IP_NE_HELO=1.5 (check from: .deiszner. - helo: .fritzbox. - 
helo-domain: .fritzbox.) FROM_NOT_FAILED_HELO(DOMAIN)=3 
CL_SEEMS_DIALUP=3.75 RESOLVED_IP_IS_NOT_HELO=1.5; 
<client=13-11-38-81-dynip.superkabel.de[13.11.38.81]> <helo=fritzbox> 
<from=ich at meinedomain.de> <to=ich at meinedomain.de>; rate: 6.75

Jul 24 17:16:15 server1 postfix/policyd-weight[25329]: decided 
action=550 Mail appeared to be SPAM or forged. Ask your 
Mail/DNS-Administrator to correct HELO and DNS MX settings or to get 
removed from DNSBLs; MTA helo: fritzbox, MTA hostname: 
13-11-38-81-dynip.superkabel.de[13.11.38.81] (helo/hostname mismatch); 
<client=13-11-38-81-dynip.superkabel.de[13.11.38.81]> <helo=fritzbox> 
<from=ich at meinedomain.de> <to=ich at meinedomain.de>; delay: 16s

Jul 24 17:16:15 server1 postfix/smtpd[25322]: NOQUEUE: reject: RCPT from 
13-11-38-81-dynip.superkabel.de[13.11.38.81]: 550 5.7.1 
<ich at meinedomain.de>: Recipient address rejected: Mail appeared to be 
SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS 
MX settings or to get removed from DNSBLs; MTA helo: fritzbox, MTA 
hostname: 13-11-38-81-dynip.superkabel.de[13.11.38.81] (helo/hostname 
mismatch); from=<ich at meinedomain.de> to=<ich at meinedomain.de> proto=ESMTP 
helo=<fritzbox>

Mir ist klar, das ich nicht "einfach so" relayen kann - deswegen gebe 
ich ja der Fritzbox in den Konfigurationseinstellungen den Nutzernamen 
und das Passwort mit.

Auf dem "alten" Mailsystem - Postfix - ging das alles wunderbar. Auf dem 
neuen Mailsystem - auch Postfix - gehts nun nicht mehr.

Ich kann vom Iphone, Notebook, Tablet, Webmail, Outlook, AppleMail & 
Thunderbird Mails senden & empfangen - problemlos.

Aber die Fritzboxen (die von mir und meinem Freund) sind 
"abgeschnitten"  - es wird also nicht an der Box liegen sondern eher an 
meiner Konfiguration.
Witzigerweise kann meine Synology-Diskstation problemlos den 
Postfix-Server als SMTP-Relay benutzen - da gehts ohne Schwierigkeiten...

hier die (meiner Ansicht nach relevanten Teile) der main.cf:

myhostname = domain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = mail.domain.de, localhost.localdomain, , localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

mailbox_command = /usr/lib/dovecot/deliver
# mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
virtual_mailbox_domains = 
mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = 
mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-email2email.cf
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes

smtpd_recipient_restrictions =    permit_mynetworks,
                             permit_sasl_authenticated,
                             reject_unauth_destination,
                             reject_unlisted_recipient,
                             reject_unknown_sender_domain,
                             reject_unknown_recipient_domain,
                             reject_unauth_pipelining,
                             reject_non_fqdn_recipient,
                             reject_unknown_client_hostname,
                             check_policy_service inet:127.0.0.1:12525,
                             check_policy_service inet:127.0.0.1:10023,
                             reject_rbl_client dnsbl-1.uceprotect.net,
                             reject_rbl_client ix.dnsbl.manitu.net,

message_size_limit = 64000000



Vorschläge ?

Hinweise ?

Lösungen ?

gruß & danke

Sebastian


From news at amaltea.de  Thu Jul 24 18:30:32 2014
From: news at amaltea.de (Paul)
Date: Thu, 24 Jul 2014 18:30:32 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D12544.2040408@debianfan.de>
References: <53D12544.2040408@debianfan.de>
Message-ID: <53D134A8.6010601@amaltea.de>

Hi!

Am 24.07.2014 17:24, schrieb sebastian at debianfan.de:
> Guten Tag zusammen,
> 
> ich wurde heute gefragt von einem Freund (der bei mir auf einem System
> seinen mx-Record hat) warum seit einiger Zeit (genauer seit dem Update
> der Maschinen)  keine Push-Nachrichten mehr ankommen.

Verstehe nicht, was du in dem u.g. Zusammenhang mit Push-Nachrichten
meinst, weil ich Push eher mit imap-idle in Verbindung bringe.
Hab keine FritzBox, daher kenn ichden Push Service der Fritzbox nicht.

> 
> Ich habe mittels Fernzugang jetzt ewig probiert - immer das gleiche:
> 
> Jul 24 17:16:15 server1 postfix/policyd-weight[25329]: weighted check: 
> DYN_PBL_SPAMHAUS=ERR(0) SBL_XBL_SPAMHAUS=ERR(-1.5) NOT_IN_SPAMCOP=-1.5
> CL_IP_NE_HELO=1.5 (check from: .deiszner. - helo: .fritzbox. -
> helo-domain: .fritzbox.) FROM_NOT_FAILED_HELO(DOMAIN)=3
> CL_SEEMS_DIALUP=3.75 RESOLVED_IP_IS_NOT_HELO=1.5;
> <client=13-11-38-81-dynip.superkabel.de[13.11.38.81]> <helo=fritzbox>
> <from=ich at meinedomain.de> <to=ich at meinedomain.de>; rate: 6.75

Wenn policyd-weight deine Mail ablehnt, dann liegt es am
Authentifizierungsvorgang der nicht als solcher durchgeführt wird, da
dein permit_sasl es ja erlauben sollte und dein policyd-weight erst
danach zum Einsatz kommt.

Ich vermute ganz einfach, dass Fritzbox nicht oder falsch ankündigt,
dass es sich authentifizieren will.

Sind denn auch alle relevanten Haken gesetzt und alle irrelevanten entfernt?

> Mir ist klar, das ich nicht "einfach so" relayen kann - deswegen gebe
> ich ja der Fritzbox in den Konfigurationseinstellungen den Nutzernamen
> und das Passwort mit.

Einer der beiden Gesprächspartner macht da wohl was falsch.
Ich glaube das Postfix sich eher an die RFCs hält als die FritzBox.

> Auf dem "alten" Mailsystem - Postfix - ging das alles wunderbar. Auf dem
> neuen Mailsystem - auch Postfix - gehts nun nicht mehr.

Wenn es früher ging und heute nicht, muss sich wohl was geändert haben.
Hat sich der AuthMechanismus geändert? Ist SSL/TLS dazugekommen?
Firmwareupdate Fritzbox?

> Ich kann vom Iphone, Notebook, Tablet, Webmail, Outlook, AppleMail &
> Thunderbird Mails senden & empfangen - problemlos.
> 
> Aber die Fritzboxen (die von mir und meinem Freund) sind
> "abgeschnitten"  - es wird also nicht an der Box liegen sondern eher an
> meiner Konfiguration.

Was heißt abgeschnitten? Ach egal... siehe unten unter Vorschläge.

> Witzigerweise kann meine Synology-Diskstation problemlos den
> Postfix-Server als SMTP-Relay benutzen - da gehts ohne Schwierigkeiten...
> hier die (meiner Ansicht nach relevanten Teile) der main.cf: 
> smtpd_recipient_restrictions =    permit_mynetworks,
>                             permit_sasl_authenticated, 
>                             check_policy_service inet:127.0.0.1:12525,
>                             check_policy_service inet:127.0.0.1:10023, 

> Vorschläge ?

Debuggen mit debug_peer_list und dann nochmal reinschauen.

> Hinweise ?

Erstmal nicht.... äh doch... weniger Text bei der Problembeschreibung
dafür mehr relevante Infos. Musste mich doch etwas dazu zwingen deinen
Text zu lesen... so kurz vor Feierabend. ;)

> Lösungen ?
Hoffe, dass debuggen verhilft dir dazu.

Gruß,
Paul

> 
> gruß & danke
> 
> Sebastian



From sebastian at debianfan.de  Thu Jul 24 18:53:05 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Thu, 24 Jul 2014 18:53:05 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D134A8.6010601@amaltea.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
Message-ID: <53D139F1.6040503@debianfan.de>

Hallo zusammen,

ich habe die Lösung - der Tipp mit dem Debugging war gut - ich habs mit  
"-v" in der master.cf gelöst.

Ich habe policyd-weight & postgrey entfernt - nacheinander.

policyd-weight stösst

<client=31-18-38-84-dynip.superkabel.de[31.18.38.84

und  das

helo <fritzbox>

irgendwie auf.

Hat einer von Euch eine Idee, wie ich policy-d-weight dazu bringen kann, 
diese Struktur zu mögen?

gruß

Sebastian





Am 24.07.2014 18:30, schrieb Paul:
> Hi!
>
> Am 24.07.2014 17:24, schrieb sebastian at debianfan.de:
>> Guten Tag zusammen,
>>
>> ich wurde heute gefragt von einem Freund (der bei mir auf einem System
>> seinen mx-Record hat) warum seit einiger Zeit (genauer seit dem Update
>> der Maschinen)  keine Push-Nachrichten mehr ankommen.
> Verstehe nicht, was du in dem u.g. Zusammenhang mit Push-Nachrichten
> meinst, weil ich Push eher mit imap-idle in Verbindung bringe.
> Hab keine FritzBox, daher kenn ichden Push Service der Fritzbox nicht.
>
>> Ich habe mittels Fernzugang jetzt ewig probiert - immer das gleiche:
>>
>> Jul 24 17:16:15 server1 postfix/policyd-weight[25329]: weighted check:
>> DYN_PBL_SPAMHAUS=ERR(0) SBL_XBL_SPAMHAUS=ERR(-1.5) NOT_IN_SPAMCOP=-1.5
>> CL_IP_NE_HELO=1.5 (check from: .deiszner. - helo: .fritzbox. -
>> helo-domain: .fritzbox.) FROM_NOT_FAILED_HELO(DOMAIN)=3
>> CL_SEEMS_DIALUP=3.75 RESOLVED_IP_IS_NOT_HELO=1.5;
>> <client=13-11-38-81-dynip.superkabel.de[13.11.38.81]> <helo=fritzbox>
>> <from=ich at meinedomain.de> <to=ich at meinedomain.de>; rate: 6.75
> Wenn policyd-weight deine Mail ablehnt, dann liegt es am
> Authentifizierungsvorgang der nicht als solcher durchgeführt wird, da
> dein permit_sasl es ja erlauben sollte und dein policyd-weight erst
> danach zum Einsatz kommt.
>
> Ich vermute ganz einfach, dass Fritzbox nicht oder falsch ankündigt,
> dass es sich authentifizieren will.
>
> Sind denn auch alle relevanten Haken gesetzt und alle irrelevanten entfernt?
>
>> Mir ist klar, das ich nicht "einfach so" relayen kann - deswegen gebe
>> ich ja der Fritzbox in den Konfigurationseinstellungen den Nutzernamen
>> und das Passwort mit.
> Einer der beiden Gesprächspartner macht da wohl was falsch.
> Ich glaube das Postfix sich eher an die RFCs hält als die FritzBox.
>
>> Auf dem "alten" Mailsystem - Postfix - ging das alles wunderbar. Auf dem
>> neuen Mailsystem - auch Postfix - gehts nun nicht mehr.
> Wenn es früher ging und heute nicht, muss sich wohl was geändert haben.
> Hat sich der AuthMechanismus geändert? Ist SSL/TLS dazugekommen?
> Firmwareupdate Fritzbox?
>
>> Ich kann vom Iphone, Notebook, Tablet, Webmail, Outlook, AppleMail &
>> Thunderbird Mails senden & empfangen - problemlos.
>>
>> Aber die Fritzboxen (die von mir und meinem Freund) sind
>> "abgeschnitten"  - es wird also nicht an der Box liegen sondern eher an
>> meiner Konfiguration.
> Was heißt abgeschnitten? Ach egal... siehe unten unter Vorschläge.
>
>> Witzigerweise kann meine Synology-Diskstation problemlos den
>> Postfix-Server als SMTP-Relay benutzen - da gehts ohne Schwierigkeiten...
>> hier die (meiner Ansicht nach relevanten Teile) der main.cf:
>> smtpd_recipient_restrictions =    permit_mynetworks,
>>                              permit_sasl_authenticated,
>>                              check_policy_service inet:127.0.0.1:12525,
>>                              check_policy_service inet:127.0.0.1:10023,
>> Vorschläge ?
> Debuggen mit debug_peer_list und dann nochmal reinschauen.
>
>> Hinweise ?
> Erstmal nicht.... äh doch... weniger Text bei der Problembeschreibung
> dafür mehr relevante Infos. Musste mich doch etwas dazu zwingen deinen
> Text zu lesen... so kurz vor Feierabend. ;)
>
>> Lösungen ?
> Hoffe, dass debuggen verhilft dir dazu.
>
> Gruß,
> Paul
>
>> gruß & danke
>>
>> Sebastian



From driessen at fblan.de  Thu Jul 24 19:06:35 2014
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Jul 2014 19:06:35 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D139F1.6040503@debianfan.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de>
Message-ID: <002501cfa761$a060d2c0$e1227840$@fblan.de>

Im Auftrag von sebastian at debianfan.de
> Hat einer von Euch eine Idee, wie ich policy-d-weight dazu bringen kann,
> diese Struktur zu mögen?

Wenn du dich als User bei Postfix anmeldest dann kommst du nicht an
Polizyd-weight dran.

Ebenso postgrey 

Konfiguriere deine Fritzbox anständig die meldet sich nicht sauber an
sondern versucht einfach so über deinen Server zu senden.

> 
> gruß
> 
> Sebastian
> 
> 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From eberl at kercomp.de  Fri Jul 25 08:58:56 2014
From: eberl at kercomp.de (Florian Eberl)
Date: Fri, 25 Jul 2014 08:58:56 +0200
Subject: [Postfixbuch-users] SASL-Benutzer soll nur E-Mails von
 Absenderadresse aus eigener Domain versenden
In-Reply-To: <49a7d6f1e5bcab42a95153a71cddbfa4@neessen.net>
References: <53D1128C.6080308@kercomp.de>
 <49a7d6f1e5bcab42a95153a71cddbfa4@neessen.net>
Message-ID: <53D20030.607@kercomp.de>

Hallo,
jetzt habe ich das nächste Problem, die Antwort hat zwar funktioniert, 
allerdings haben wir auch noch eine Domain
am Server hängen, von welcher knapp 80 User über unseren Server relayen 
über den User kunde-smtp-realay.
Wie bringe ich Postfix jetzt dazu sämtliche Anfragen von diesem User zu 
relayen, das das manuelle eintragen der
Mailadressen zu aufwändig wäre.

ich habe momentan in die sasl_senders folgendes eingetragen:
@kunde.de    kunde-smtp-relay

was mache ich falsch?



Am 24.07.2014 um 16:28 schrieb Winfried Neessen:
> Hi,
>
> Am 2014-07-24 16:05, schrieb Florian Eberl:
>
>> Auf dem Server befinden sich drei unterschiedliche Firmen, jede mit 
>> ihrer eigenen Domain,
>> jeder auf dem Server angemeldete SASL-Benutzer soll nur über eine 
>> Absenderadresse der Domain seiner Firma
>> versenden können, über die Domains der anderen beiden Firmen aber nicht.
>> Außerdem sollen sie auch nicht irgendeine Domain verwenden können wie 
>> z.B. telekom.de.
>>
>
> Was Du suchst ist:
> http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps
> und
> http://www.postfix.org/postconf.5.html#reject_sender_login_mismatch
>
>
> Winni


-- 

Mit freundlichen Grüßen
Florian Eberl

KerComp  Kerscher  Computer GmbH  IT-Systemhaus Isener Str. 1   83558 Maitenbeth

Telefon:   (08076) 8864-50 Telefax:   (08076) 8864-49
E-Mail:    info at kercomp.de
Internet:  www.kercomp.de

Geschäftsführung: Günter Kerscher
Amtsgericht: Traunstein HRB 14387
UST-ID Nummer:        DE222791870



From nigl at haw-landshut.de  Fri Jul 25 10:55:45 2014
From: nigl at haw-landshut.de (Andreas Nigl)
Date: Fri, 25 Jul 2014 10:55:45 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Bounce_bei_mehreren_Empf=C3=A4ngern?=
	=?utf-8?q?_in_BCC?=
Message-ID: <53D21B91.2070109@fh-landshut.de>

Hallo Postfix Profis,

habe ein Frage zum Verhalten von Postfix bzgl. mehrere Empfängeradressen 
im BCC-Feld:

Szenario:

z.B. 100 Empfänger

50 E-Mails werden zugestellt, die 51. Mailadresse ist falsch (folglich 
nicht zustellbar), die restlichen
49 Mails wären zustellbar, werden aber auf Grund der fehlerhaften 
Adresse nicht mehr abgearbeitet.

Die Folge ist ein Bounce.

Ist das immer so, oder kann man dieses Verhalten ändern.

Im folgenden die zugehörige Zeile im Logfile für eine der folgenden 
(eigentlich zustellbaren Adressen):

Jul 21 13:33:12 mx01 amavis[22630]: (22630-09) sending SMTP response: 
"451 4.5.0 id=22630-09 - Temporary MTA failure on relaying, From 
MTA([127.0.0.1]:10025) during fwd-data-chkpnt (Bail out, DATA accepted 
but tempfailed recips, not a LMTP input at (eval 98) line 1086.): 
id=22630-09"

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5157 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140725/c7da3ee8/attachment.p7s>

From p.heinlein at heinlein-support.de  Fri Jul 25 11:08:42 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 25 Jul 2014 11:08:42 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?Bounce_bei_mehreren_Empf=E4nge?=
 =?iso-8859-1?q?rn_in_BCC?=
In-Reply-To: <53D21B91.2070109@fh-landshut.de>
References: <53D21B91.2070109@fh-landshut.de>
Message-ID: <53D21E9A.3020203@heinlein-support.de>

Am 25.07.2014 10:55, schrieb Andreas Nigl:

Hallo,

> 50 E-Mails werden zugestellt, die 51. Mailadresse ist falsch (folglich
> nicht zustellbar), die restlichen
> 49 Mails wären zustellbar, werden aber auf Grund der fehlerhaften
> Adresse nicht mehr abgearbeitet.

Stop.

Warum sollten die letzten 49 Mails nicht mehr abgearbeitet werden?

Wenn eine Mail einen 550er im RCPT TO liefert, werden alle anderen RCPT
TO noch genauso abgearbeitet und können auch einen 250er kriegen.

Alles andere wäre ja auch doof.

> Ist das immer so, oder kann man dieses Verhalten ändern.

Das ist "eigentlich" nie so.

> Jul 21 13:33:12 mx01 amavis[22630]: (22630-09) sending SMTP response:
> "451 4.5.0 id=22630-09 - Temporary MTA failure on relaying, From
> MTA([127.0.0.1]:10025) during fwd-data-chkpnt (Bail out, DATA accepted
> but tempfailed recips, not a LMTP input at (eval 98) line 1086.):
> id=22630-09"

Jaha.... das ist jetzt was anderes. Amavis kann sich hier nicht anders
helfen, weil zu diesem Zeitpunkt die Mail VORNE in Postfix bereits durch
ist und er den einzelnen abgelehnten Empfänger nicht mehr nach vorne
rückmelden kann.

Die Frage ist:

Warum geht sie auf Port 25 in Postfix durch, auf Port 10025 nicht?!

Peer





-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From nigl at haw-landshut.de  Fri Jul 25 12:27:09 2014
From: nigl at haw-landshut.de (Andreas Nigl)
Date: Fri, 25 Jul 2014 12:27:09 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Bounce_bei_mehreren_Empf=E4n?=
 =?windows-1252?q?gern_in_BCC?=
In-Reply-To: <53D21E9A.3020203@heinlein-support.de>
References: <53D21B91.2070109@fh-landshut.de>
 <53D21E9A.3020203@heinlein-support.de>
Message-ID: <53D230FD.6050703@fh-landshut.de>

Am 25.07.2014 um 11:08 schrieb Peer Heinlein:
> Am 25.07.2014 10:55, schrieb Andreas Nigl:
>
> Hallo,
>
>> 50 E-Mails werden zugestellt, die 51. Mailadresse ist falsch (folglich
>> nicht zustellbar), die restlichen
>> 49 Mails wären zustellbar, werden aber auf Grund der fehlerhaften
>> Adresse nicht mehr abgearbeitet.
> Stop.
>
> Warum sollten die letzten 49 Mails nicht mehr abgearbeitet werden?
>
> Wenn eine Mail einen 550er im RCPT TO liefert, werden alle anderen RCPT
> TO noch genauso abgearbeitet und können auch einen 250er kriegen.
>
> Alles andere wäre ja auch doof.
>
>> Ist das immer so, oder kann man dieses Verhalten ändern.
> Das ist "eigentlich" nie so.
>
>> Jul 21 13:33:12 mx01 amavis[22630]: (22630-09) sending SMTP response:
>> "451 4.5.0 id=22630-09 - Temporary MTA failure on relaying, From
>> MTA([127.0.0.1]:10025) during fwd-data-chkpnt (Bail out, DATA accepted
>> but tempfailed recips, not a LMTP input at (eval 98) line 1086.):
>> id=22630-09"
> Jaha.... das ist jetzt was anderes. Amavis kann sich hier nicht anders
> helfen, weil zu diesem Zeitpunkt die Mail VORNE in Postfix bereits durch
> ist und er den einzelnen abgelehnten Empfänger nicht mehr nach vorne
> rückmelden kann.
>
> Die Frage ist:
>
> Warum geht sie auf Port 25 in Postfix durch, auf Port 10025 nicht?!

ausgehender Mailserver hat als relayhost einen unserer Mailgateways 
eingetragen.

Mailgateway in master.cf wie folgt:

188.188.188.188:smtp      inet  n       -       -       - -       smtpd
         -o smtpd_proxy_filter=
         -o content_filter=smtp-amavis:[127.0.0.1]:10026

Mail geht also an amavis.

Kann man da was machen?


>
> Peer
>
>
>
>
>


-- 
Mit freundlichen Grüßen,

Nigl Andreas
Rechenzentrum der Hochschule Landshut

--
------------------------------------------------
Andreas Nigl.................Hochschule Landshut
Phone:...........................+49 871 506 242
Fax:............................+49 871 506 9242
EMail:......................nigl at haw-landshut.de
Diese  Nachricht  ist  digital  signiert,  siehe
----- http://ca.fh-landshut.de/digsig  ---------


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5157 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140725/4b5dc4ad/attachment.p7s>

From sebastian at debianfan.de  Sat Jul 26 17:25:45 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Sat, 26 Jul 2014 17:25:45 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <002501cfa761$a060d2c0$e1227840$@fblan.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
Message-ID: <53D3C879.9070200@debianfan.de>

Am 24.07.2014 19:06, schrieb Uwe Drießen:
> Wenn du dich als User bei Postfix anmeldest dann kommst du nicht an
> Policyd-weight dran.
>
>

Hallo zusammen,

das Problem ist gelöst - policyd-weight hat ein Problem - trotz der 
ordnungsgemäßen SASL-Anmeldung - eigentlich seltsam.

Normalweise dürfte ja - wie Uwe bereits richtig bemerkte - 
policyd-weight gar nicht zum Zug kommen da ja die SASL-Prüfung bereits 
positiv war - oder ?

gruß

Sebastian


smtpd_recipient_restrictions =  permit_mynetworks,
                             permit_sasl_authenticated,
                             reject_unauth_destination,
                             reject_unlisted_recipient,
                             reject_unknown_sender_domain,
                             reject_unknown_recipient_domain,
                             reject_unauth_pipelining,
                             reject_non_fqdn_recipient,
                             reject_unknown_client_hostname,
                             check_policy_service inet:127.0.0.1:10023,
                             reject_rbl_client dnsbl-1.uceprotect.net,
                             reject_rbl_client ix.dnsbl.manitu.net,




From news at amaltea.de  Mon Jul 28 14:00:47 2014
From: news at amaltea.de (Paul)
Date: Mon, 28 Jul 2014 14:00:47 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D3C879.9070200@debianfan.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de>
Message-ID: <53D63B6F.8060806@amaltea.de>

Am 26.07.2014 17:25, schrieb sebastian at debianfan.de:
> Am 24.07.2014 19:06, schrieb Uwe Drießen:
>> Wenn du dich als User bei Postfix anmeldest dann kommst du nicht an
>> Policyd-weight dran.
>>
>>
> 
> Hallo zusammen,
> 
> das Problem ist gelöst - policyd-weight hat ein Problem - trotz der
> ordnungsgemäßen SASL-Anmeldung - eigentlich seltsam.

Ich bezweifle das Policyd-Weight ein Problem hat. [1]
Ich bezweifle, dass bei deinem Problem eine ordnungsgemäße
SASL-Anmeldung durchgeführt wurde.

> Normalweise dürfte ja - wie Uwe bereits richtig bemerkte -
> policyd-weight gar nicht zum Zug kommen da ja die SASL-Prüfung bereits
> positiv war - oder ?

Wenn die Anmeldung korrekt abgelaufen ist, dann Glückwunsch! Du hast
nämlich einen Bug gefunden, den alle Postfix-Gurus dieser Welt übersehen
haben müssen.
Wäre super wenn du dazu einen Bug-Report eröffnen würdest.

Solltest du doch Uwe glauben und an einer echten Problemlösung
interessiert sein, bitte
postconf mail_version
postconf -n -f
und zur Sicherheit auch die master.cf ohne Kommentare schicken.

> smtpd_recipient_restrictions =  permit_mynetworks,
>                             permit_sasl_authenticated,
>                             reject_unauth_destination,
>                             reject_unlisted_recipient,
>                             reject_unknown_sender_domain,
>                             reject_unknown_recipient_domain,
>                             reject_unauth_pipelining,
>                             reject_non_fqdn_recipient,
>                             reject_unknown_client_hostname,
>                             check_policy_service inet:127.0.0.1:10023,
>                             reject_rbl_client dnsbl-1.uceprotect.net,
>                             reject_rbl_client ix.dnsbl.manitu.net,


Ich schätze, dass bedeutet, dass du policyd-weight nicht mehr
verwendest, oder?

Nun gut, das ist auch eine Lösung. Es behebt nur leider nicht die
Ursache, sondern umgeht lediglich das Problem.

Gruß
Paul

[1] Policyd-weight Probleme kenne ich nur im Zusammenhang mit einem
defekten DNS oder einer falschen Version von Net::DNS.



From driessen at fblan.de  Mon Jul 28 14:37:07 2014
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Mon, 28 Jul 2014 14:37:07 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D63B6F.8060806@amaltea.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
Message-ID: <000701cfaa60$a55d6f20$f0184d60$@fblan.de>

Im Auftrag von Paul
> Am 26.07.2014 17:25, schrieb sebastian at debianfan.de:
> > Am 24.07.2014 19:06, schrieb Uwe Drießen:
> >> Wenn du dich als User bei Postfix anmeldest dann kommst du nicht an
> >> Policyd-weight dran.
> >>
> >>
> >
> > Hallo zusammen,
> >
> > das Problem ist gelöst - policyd-weight hat ein Problem - trotz der
> > ordnungsgemäßen SASL-Anmeldung - eigentlich seltsam.
> 
> Ich bezweifle das Policyd-Weight ein Problem hat. [1]
> Ich bezweifle, dass bei deinem Problem eine ordnungsgemäße
> SASL-Anmeldung durchgeführt wurde.
> 
> > Normalweise dürfte ja - wie Uwe bereits richtig bemerkte -
> > policyd-weight gar nicht zum Zug kommen da ja die SASL-Prüfung bereits
> > positiv war - oder ?
> 
> Wenn die Anmeldung korrekt abgelaufen ist, dann Glückwunsch! Du hast
> nämlich einen Bug gefunden, den alle Postfix-Gurus dieser Welt übersehen
> haben müssen.
> Wäre super wenn du dazu einen Bug-Report eröffnen würdest.
> 
> Solltest du doch Uwe glauben und an einer echten Problemlösung
> interessiert sein, bitte
> postconf mail_version
> postconf -n -f
> und zur Sicherheit auch die master.cf ohne Kommentare schicken.
> 
> > smtpd_recipient_restrictions =  permit_mynetworks,
> >                             permit_sasl_authenticated,
> >                             reject_unauth_destination,
> >                             reject_unlisted_recipient,
> >                             reject_unknown_sender_domain,
> >                             reject_unknown_recipient_domain,
> >                             reject_unauth_pipelining,
> >                             reject_non_fqdn_recipient,
> >                             reject_unknown_client_hostname,
> >                             check_policy_service inet:127.0.0.1:10023,
> >                             reject_rbl_client dnsbl-1.uceprotect.net,
> >                             reject_rbl_client ix.dnsbl.manitu.net,
> 
> 
> Ich schätze, dass bedeutet, dass du policyd-weight nicht mehr
> verwendest, oder?
> 
> Nun gut, das ist auch eine Lösung. Es behebt nur leider nicht die
> Ursache, sondern umgeht lediglich das Problem.

Ich lass das oben alles mal so stehen weil ich eben bis jetzt keinerlei
Debug infos einer Einlieferung der Fritzbox habe. 
Ich vermute aber unter anderem das da evtl. die eigenen User auf einem
anderen Port einliefern 

http://help.avm.de/fritzbox.php?oem=1und1&hardware=139&language=de&set=008&t
opic=hilfe_system_pushservice&deviceFeatures=1010001111111101011011111111111
1000111111111001000&userSettings=0100

manchmal ist GIDF notwendig und manchmal ruft man auch einfach den Support
des deutschen Herstellers an um an die richtigen Parameter einer Fritzbox
(linux) zu kommen.
Die Infos sind alle im Netz erhältlich 
Die richtige Anmeldung und auth benutzt dann interessiert nicht was nach
---------- permit_sasl_authenticated ----------------- kommt da ist einfach
Schluss wenn es ein eigener User ist !!!

Ich habe es gerade getestet und es funktioniert ohne das ich etwas an meinem
Mailserver verbiegen musste 
Nur die Box richtig konfiguriert



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From sebastian at debianfan.de  Mon Jul 28 20:16:34 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Mon, 28 Jul 2014 20:16:34 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D63B6F.8060806@amaltea.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
Message-ID: <53D69382.2020004@debianfan.de>


Am 28.07.2014 14:00, schrieb Paul:
> Solltest du doch Uwe glauben und an einer echten Problemlösung 
> interessiert sein, bitte postconf mail_version postconf -n -f und zur 
> Sicherheit auch die master.cf ohne Kommentare schicken.

Ich habe in der Vergangenheit schon öfter sehr nützlich Hinweise von Uwe 
und anderen Mitschreibenden bekommen - die Kompetenz steht hier ausser 
Frage ;-)

# postconf mail_version
mail_version = 2.9.6

# postconf -n -f
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
body_checks = regexp:/etc/postfix/body_checks
config_directory = /etc/postfix
dovecot_destination_recipient_limit = 1
header_checks = regexp:/etc/postfix/header_checks
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
message_size_limit = 64000000
mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp
mydestination = mail.server.de, localhost.localdomain, , localhost
myhostname = server.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
relayhost =
smtp_tls_CApath = /etc/ssl/certs/
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
     reject_unauth_destination, reject_unlisted_recipient,
     reject_unknown_sender_domain, reject_unknown_recipient_domain,
     reject_unauth_pipelining, reject_non_fqdn_recipient,
     reject_unknown_client_hostname, check_policy_service 
inet:127.0.0.1:10023,
     reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client
     ix.dnsbl.manitu.net,
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_tls_CAfile = /etc/postfix/ssl/cert.cabundle
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/certificate.crt
smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_key_file = /etc/ssl/private/server.key
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
tls_preempt_cipherlist = yes
tls_random_source = dev:/dev/urandom
virtual_alias_maps = 
mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-email2email.cf
virtual_mailbox_domains = 
mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = dovecot

#cat master.cf
smtp      inet  n       -       -       -       -       smtpd

smtpd pass - - n - - smtpd -o content_filter=spamassassin
dnsblog unix - - n - 0 dnsblog

pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       - trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache

maildrop  unix  -       n       n       -       -       pipe
   flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}

uucp      unix  -       n       n       -       -       pipe
   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
($recipient)

ifmail    unix  -       n       n       -       -       pipe
   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender 
$recipient
scalemail-backend unix    -    n    n    -    2    pipe
   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store 
${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
   ${nexthop} ${user}

dovecot   unix  -       n       n       -       -       pipe flags=DRhu 
user=vmail:vmail argv=/usr/lib/dovecot/dovecot-lda -f ${sender} -d 
${recipient}




spamassassin
           unix  -       n       n       -       -       pipe
    flags=Rq user=nobody argv=/etc/filter.sh -oi -f ${sender} ${recipient}



submission inet n      -       n       -       -       smtpd
          -o header_checks=pcre:/etc/postfix/checks/header_checks
          -o smtpd_sasl_auth_enable=yes
          -o smtpd_proxy_filter=
          -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject

retry     unix  -       -       -       -       -       error
relay     unix  -       -       n       -       -       smtp -o 
smtp_fallback_relay=





From jost+lists at dimejo.at  Mon Jul 28 21:18:21 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Mon, 28 Jul 2014 21:18:21 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D69382.2020004@debianfan.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de>
Message-ID: <53D6A1FD.1090702@dimejo.at>

Am 2014-07-28 20:16, schrieb sebastian at debianfan.de:
> smtpd_recipient_restrictions = permit_mynetworks,
> permit_sasl_authenticated,
>      reject_unauth_destination, reject_unlisted_recipient,
>      reject_unknown_sender_domain, reject_unknown_recipient_domain,
>      reject_unauth_pipelining, reject_non_fqdn_recipient,
>      reject_unknown_client_hostname, check_policy_service
> inet:127.0.0.1:10023,
>      reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client
>      ix.dnsbl.manitu.net,
> smtpd_sasl_auth_enable = yes

Damit aktivierst Du SASL-Authentifizierung global, also auch auf Port 
25. Besser ist SASL nur auf Port 587 (submission) zu erlauben.


> #cat master.cf

postconf -Mf ist da recht praktisch.


> submission inet n      -       n       -       -       smtpd
>           -o header_checks=pcre:/etc/postfix/checks/header_checks
>           -o smtpd_sasl_auth_enable=yes
>           -o smtpd_proxy_filter=
>           -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject

Die smtpd_recipient_restrictions aus der main.cf werden hier 
überschrieben. Würde die Fritzbox auf Port 587 einliefern, wäre 
policyd-weight also nie involviert.

Ergänze submission doch mal mit -o syslog_name=postfix/submission
Dadurch wird eine Einlieferung auf submission im Log besser ersichtlich.

Wie bereits mehrfach vermutet dürfte sich die Fritzbox nicht richtig 
authentifizieren, denn dann wäre das im Log von Postfix auch zu sehen:
Jul 28 21:00:00 smtp1 postfix/submission/smtpd[25345]: 71DF4132E004E: 
client=myclient.example.com[12.34.56.78], sasl_method=PLAIN, 
sasl_username=myuser.example.com

-- 
Alex JOST


From news at amaltea.de  Tue Jul 29 18:31:24 2014
From: news at amaltea.de (Paul)
Date: Tue, 29 Jul 2014 18:31:24 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D6A1FD.1090702@dimejo.at>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de> <53D6A1FD.1090702@dimejo.at>
Message-ID: <53D7CC5C.8050905@amaltea.de>

Am 28.07.2014 21:18, schrieb Alex JOST:
> Am 2014-07-28 20:16, schrieb sebastian at debianfan.de:
>> smtpd_recipient_restrictions = permit_mynetworks,
>> permit_sasl_authenticated,
>>      reject_unauth_destination, reject_unlisted_recipient,
>>      reject_unknown_sender_domain, reject_unknown_recipient_domain,
>>      reject_unauth_pipelining, reject_non_fqdn_recipient,
>>      reject_unknown_client_hostname, check_policy_service
>> inet:127.0.0.1:10023,
>>      reject_rbl_client dnsbl-1.uceprotect.net, reject_rbl_client
>>      ix.dnsbl.manitu.net,
>> smtpd_sasl_auth_enable = yes
> 
> Damit aktivierst Du SASL-Authentifizierung global, also auch auf Port
> 25. Besser ist SASL nur auf Port 587 (submission) zu erlauben.

"Besser" würde ich das nicht pauschal nennen - restriktiver passt da eher.
;)

>> #cat master.cf
> 
> postconf -Mf ist da recht praktisch.
Danke Alex, für das "Augen öffnen". Das habe ich doch glatt in der
Manual einfach nicht gesehen, obwohl es da deutlich steht.


>> submission inet n      -       n       -       -       smtpd
>>           -o header_checks=pcre:/etc/postfix/checks/header_checks
>>           -o smtpd_sasl_auth_enable=yes
>>           -o smtpd_proxy_filter=
>>           -o
>> smtpd_recipient_restrictions=permit_sasl_authenticated,reject
> 
> Die smtpd_recipient_restrictions aus der main.cf werden hier
> überschrieben. Würde die Fritzbox auf Port 587 einliefern, wäre
> policyd-weight also nie involviert.

Ok, aber auch nicht die Ursachenbehebung, denn der Versand würde
funktiontioneren, aber das Grundproblem ist, dass die Authentifizierung
übergangen wird.
Damit es funktioniert, hat er ja Polw bereits global deaktiviert.
Wenn er auf dem Port 587 einliefert, der ohnehin kein Polw nutzt, dann
wird das natürlich auch funktionieren.

Die Lösung ist nicht Polw nicht zu benutzen, sondern sich korrekt zu
authentifizieren.

Ich vermute mal auch ganz stark, dass auch mit der falschen Lösung eine
Zustellung an nichtzuständige Domains nicht möglich ist.

> Ergänze submission doch mal mit -o syslog_name=postfix/submission
> Dadurch wird eine Einlieferung auf submission im Log besser ersichtlich.

Fritzbox liefert per Port 25 ein, denn sonst hätte Polw ja keine
Probleme gehabt. Die Prüfung für die Zustellung über Submission
erscheint mir daher überflüssig.

> 
> Wie bereits mehrfach vermutet dürfte sich die Fritzbox nicht richtig
> authentifizieren, denn dann wäre das im Log von Postfix auch zu sehen:
> Jul 28 21:00:00 smtp1 postfix/submission/smtpd[25345]: 71DF4132E004E:
> client=myclient.example.com[12.34.56.78], sasl_method=PLAIN,
> sasl_username=myuser.example.com

Ach ja, @Sebastian einen zusammenhängenden, möglichst unverfälschten
Auszug aus der Logdatei, der den Vorfall von A-Z protokolliert,
benötigen wir auch zur Analyse des Problems. Am besten im Debug-Modus.

Die Konfiguration der Push-Konfig in der Fritzbox wären auch noch von
Vorteil.

Gruß,
Paul


From mailinglisten at simonhoenscheid.de  Wed Jul 30 13:18:59 2014
From: mailinglisten at simonhoenscheid.de (Simon Hoenscheid)
Date: Wed, 30 Jul 2014 13:18:59 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Dovecot_remote_SASL_AUTH_und_Versch?=
	=?utf-8?q?l=C3=BCsselung?=
Message-ID: <0089844b59a64e9bb55ebf2a0ce9e05d@simonhoenscheid.de>

Hallo Liste,

ich würde gerne SASL gegen einen Dovecot auf einem Anderen Server 
sprechen. Soweit kein Hexenwerk:

Dovecot:

service auth {
   inet_listener {
     address = 192.168.0.1
     port = 12345
   }
}

Postfix:

smtpd_sasl_path = inet:192.168.0.1:12345

Was mich trotz privater IP ein wenig stutzig macht ist folgender Hinweis 
in der Doku von Postfix:

[...]


Note
If you specify a remote IP address, information will be sent as 
plaintext over the network.

[...]

Find ich nicht so toll. Postfix und Dovecot bringen für alles mögliche 
TLS Support mit, nur leider wohl dafür nicht.
Gibt es ne möglichkeit das Bequem abzusichern ohne sich ein Bein 
ausreißen zu müssen?

Viele grüße
Simon


From jost+lists at dimejo.at  Wed Jul 30 13:38:37 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 30 Jul 2014 13:38:37 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?Dovecot_remote_SASL_AUTH_und?=
 =?windows-1252?q?_Verschl=FCsselung?=
In-Reply-To: <0089844b59a64e9bb55ebf2a0ce9e05d@simonhoenscheid.de>
References: <0089844b59a64e9bb55ebf2a0ce9e05d@simonhoenscheid.de>
Message-ID: <53D8D93D.9020409@dimejo.at>

Am 30.07.2014 um 13:18 schrieb Simon Hoenscheid:
> Hallo Liste,
>
> ich würde gerne SASL gegen einen Dovecot auf einem Anderen Server
> sprechen. Soweit kein Hexenwerk:
>
> Dovecot:
>
> service auth {
>    inet_listener {
>      address = 192.168.0.1
>      port = 12345
>    }
> }
>
> Postfix:
>
> smtpd_sasl_path = inet:192.168.0.1:12345
>
> Was mich trotz privater IP ein wenig stutzig macht ist folgender Hinweis
> in der Doku von Postfix:
>
> [...]
>
>
> Note
> If you specify a remote IP address, information will be sent as
> plaintext over the network.
>
> [...]
>
> Find ich nicht so toll. Postfix und Dovecot bringen für alles mögliche
> TLS Support mit, nur leider wohl dafür nicht.
> Gibt es ne möglichkeit das Bequem abzusichern ohne sich ein Bein
> ausreißen zu müssen?
>
> Viele grüße
> Simon

Schau Dir mal stunnel an.

-- 
Alex JOST


From sebastian at debianfan.de  Wed Jul 30 17:36:14 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 30 Jul 2014 17:36:14 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D7CC5C.8050905@amaltea.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de> <53D6A1FD.1090702@dimejo.at>
 <53D7CC5C.8050905@amaltea.de>
Message-ID: <53D910EE.7050900@debianfan.de>

Am 29.07.2014 18:31, schrieb Paul:

Ach ja, @Sebastian einen zusammenhängenden, möglichst unverfälschten 
Auszug aus der Logdatei, der den Vorfall von A-Z protokolliert, 
benötigen wir auch zur Analyse des Problems. Am besten im Debug-Modus. 
Die Konfiguration der Push-Konfig in der Fritzbox wären auch noch von 
Vorteil. Gruß, Paul




Fritzbox-Push-Konfig:

ich at meinedomain.de als Empfänger und Absenderadresse
smtp-server ist smtp.meinedomain.de
ich hab diesmal "SSL"-Verbindung aktiviert - aber ich hab es auch schon 
"ohne" betrieben



Hier der Postfix-Debug:

Jul 30 17:29:41 server1 postfix/smtpd[2154]: connection established
Jul 30 17:29:41 server1 postfix/smtpd[2154]: master_notify: status 0
Jul 30 17:29:41 server1 postfix/smtpd[2154]: name_mask: resource
Jul 30 17:29:41 server1 postfix/smtpd[2154]: name_mask: software
Jul 30 17:29:41 server1 postfix/smtpd[2154]: connect from 
31-11-201-10-dynip.superkabel.de[31.11.201.10]
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: smtp_stream_setup: 
maxtime=300 enable_deadline=0
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? 127.0.0.0/8
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? 127.0.0.0/8
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? [::ffff:127.0.0.0]/104
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? [::ffff:127.0.0.0]/104
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? [::1]/128
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? [::1]/128
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: send attr request = connect
Jul 30 17:29:41 server1 postfix/smtpd[2154]: send attr ident = 
smtp:31.19.206.10
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/anvil: wanted 
attribute: status
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: status
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute value: 0
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/anvil: wanted 
attribute: count
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: count
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute value: 1
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/anvil: wanted 
attribute: rate
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: rate
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute value: 1
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/anvil: wanted 
attribute: (list terminator)
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: (end)
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 220 meinedomain.de ESMTP 
Postfix (Debian/GNU)
Jul 30 17:29:41 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: EHLO fritzbox
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-meinedomain.de
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-PIPELINING
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-SIZE 64000000
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-VRFY
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-ETRN
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-STARTTLS
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-ENHANCEDSTATUSCODES
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-8BITMIME
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250 DSN
Jul 30 17:29:41 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: STARTTLS
Jul 30 17:29:41 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 220 2.0.0 Ready to start TLS
Jul 30 17:29:41 server1 postfix/smtpd[2154]: auto_clnt_open: connected 
to private/tlsmgr
Jul 30 17:29:41 server1 postfix/smtpd[2154]: send attr request = seed
Jul 30 17:29:41 server1 postfix/smtpd[2154]: send attr size = 32
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/tlsmgr: wanted 
attribute: status
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: status
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute value: 0
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/tlsmgr: wanted 
attribute: seed
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: seed
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute value: 
cAdBy7aqd5abwSNsmgsUKM6wo+GE/fCnB5gJHbGt5BM=
Jul 30 17:29:41 server1 postfix/smtpd[2154]: private/tlsmgr: wanted 
attribute: (list terminator)
Jul 30 17:29:41 server1 postfix/smtpd[2154]: input attribute name: (end)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: send attr request = update
Jul 30 17:29:42 server1 postfix/smtpd[2154]: send attr cache_type = smtpd
Jul 30 17:29:42 server1 postfix/smtpd[2154]: send attr cache_id = 
0C9446E88BBC578E3C77350B80B9616A560F49E0B3758CBD94A821244ABF8C87&s=smtp&l=268439647
Jul 30 17:29:42 server1 postfix/smtpd[2154]: send attr session = [data 
127 bytes]
Jul 30 17:29:42 server1 postfix/smtpd[2154]: private/tlsmgr: wanted 
attribute: status
Jul 30 17:29:42 server1 postfix/smtpd[2154]: input attribute name: status
Jul 30 17:29:42 server1 postfix/smtpd[2154]: input attribute value: 0
Jul 30 17:29:42 server1 postfix/smtpd[2154]: private/tlsmgr: wanted 
attribute: (list terminator)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: input attribute name: (end)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: 
xsasl_dovecot_server_create: SASL service=smtp, realm=(null)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: name_mask: noanonymous
Jul 30 17:29:42 server1 postfix/smtpd[2154]: 
xsasl_dovecot_server_mech_filter: keep mechanism: PLAIN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: 
xsasl_dovecot_server_mech_filter: keep mechanism: LOGIN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: EHLO fritzbox
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-meinedomain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-PIPELINING
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-SIZE 64000000
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-VRFY
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-ETRN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-AUTH PLAIN LOGIN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-ENHANCEDSTATUSCODES
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250-8BITMIME
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250 DSN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: AUTH LOGIN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: xsasl_dovecot_server_first: 
sasl_method LOGIN
Jul 30 17:29:42 server1 postfix/smtpd[2154]: xsasl_dovecot_handle_reply: 
auth reply: CONT?1?VXNlcm5hbWU6
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 334 VXNlcm5hbWU6
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: c2ViYXN0aWFuQGRlaXN6bmVyLmRl
Jul 30 17:29:42 server1 postfix/smtpd[2154]: xsasl_dovecot_handle_reply: 
auth reply: CONT?1?UGFzc3dvcmQ6
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 334 UGFzc3dvcmQ6
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: c2ViZGVpMTk3OSsr
Jul 30 17:29:42 server1 postfix/smtpd[2154]: xsasl_dovecot_handle_reply: 
auth reply: OK?1?user=ich at domain.de
Jul 30 17:29:42 server1 dovecot: auth-worker(2172): mysql(127.0.0.1): 
Connected to database mailserver
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 235 2.7.0 Authentication 
successful
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: MAIL FROM:<ich at domain.de>
Jul 30 17:29:42 server1 postfix/smtpd[2154]: extract_addr: input: 
<ich at domain.de>
Jul 30 17:29:42 server1 postfix/smtpd[2154]: smtpd_check_addr: 
addr=ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: ctable_locate: leave 
existing entry key ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: extract_addr: in: 
<ich at domain.de>, result: ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: smtpd_check_rewrite: 
trying: permit_inet_interfaces
Jul 30 17:29:42 server1 postfix/smtpd[2154]: permit_inet_interfaces: 
31-19-206-10-dynip.superkabel.de 31.19.206.10
Jul 30 17:29:42 server1 postfix/smtpd[2154]: fsspace: .: block size 
4096, blocks free 1370050
Jul 30 17:29:42 server1 postfix/smtpd[2154]: smtpd_check_queue: blocks 
4096 avail 1370050 min_free 0 msg_size_limit 64000000
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250 2.1.0 Ok
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: RCPT TO:<ich at domain.de>
Jul 30 17:29:42 server1 postfix/smtpd[2154]: extract_addr: input: 
<ich at domain.de>
Jul 30 17:29:42 server1 postfix/smtpd[2154]: smtpd_check_addr: 
addr=ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: ctable_locate: leave 
existing entry key ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: extract_addr: in: 
<ich at domain.de>, result: ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: >>> START Recipient address 
RESTRICTIONS <<<
Jul 30 17:29:42 server1 postfix/smtpd[2154]: generic_checks: 
name=permit_mynetworks
Jul 30 17:29:42 server1 postfix/smtpd[2154]: permit_mynetworks: 
31-19-206-10-dynip.superkabel.de 31.19.206.10
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? 127.0.0.0/8
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? 127.0.0.0/8
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? [::ffff:127.0.0.0]/104
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? [::ffff:127.0.0.0]/104
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? [::1]/128
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? [::1]/128
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:42 server1 postfix/smtpd[2154]: generic_checks: 
name=permit_mynetworks status=0
Jul 30 17:29:42 server1 postfix/smtpd[2154]: generic_checks: 
name=permit_sasl_authenticated
Jul 30 17:29:42 server1 postfix/smtpd[2154]: generic_checks: 
name=permit_sasl_authenticated status=1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: >>> CHECKING RECIPIENT MAPS <<<
Jul 30 17:29:42 server1 postfix/smtpd[2154]: ctable_locate: leave 
existing entry key ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: maps_find: 
recipient_canonical_maps: ich at domain.de: not found
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_string: 
meinedomain.de ~? mail.meinedomain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_string: 
meinedomain.de ~? localhost.localdomain
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_string: 
meinedomain.de ~? localhost
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_list_match: 
meinedomain.de: no match
Jul 30 17:29:42 server1 postfix/smtpd[2154]: maps_find: 
recipient_canonical_maps: @meinedomain.de: not found
Jul 30 17:29:42 server1 postfix/smtpd[2154]: mail_addr_find: 
ich at domain.de -> (not found)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: maps_find: canonical_maps: 
ich at domain.de: not found
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_string: 
meinedomain.de ~? mail.meinedomain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_string: 
meinedomain.de ~? localhost.localdomain
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_string: 
meinedomain.de ~? localhost
Jul 30 17:29:42 server1 postfix/smtpd[2154]: match_list_match: 
meinedomain.de: no match
Jul 30 17:29:42 server1 postfix/smtpd[2154]: maps_find: canonical_maps: 
@meinedomain.de: not found
Jul 30 17:29:42 server1 postfix/smtpd[2154]: mail_addr_find: 
ich at domain.de -> (not found)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql_get_active: 
attempting to connect to host 127.0.0.1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql: successful 
connection to host 127.0.0.1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql: successful 
query from host 127.0.0.1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql_lookup: 
retrieved 0 rows
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql_get_active: 
attempting to connect to host 127.0.0.1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql: successful 
connection to host 127.0.0.1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql: successful 
query from host 127.0.0.1
Jul 30 17:29:42 server1 postfix/smtpd[2154]: dict_mysql_lookup: 
retrieved 1 rows
Jul 30 17:29:42 server1 postfix/smtpd[2154]: maps_find: 
virtual_alias_maps: 
mysql:/etc/postfix/mysql-email2email.cf(0,lock|fold_fix): ich at domain.de 
= ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: mail_addr_find: 
ich at domain.de -> ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: before 
input_transp_cleanup: cleanup flags = enable_header_body_filter 
enable_automatic_bcc enable_address_mapping enable_milters
Jul 30 17:29:42 server1 postfix/smtpd[2154]: after input_transp_cleanup: 
cleanup flags = enable_header_body_filter enable_automatic_bcc 
enable_address_mapping
Jul 30 17:29:42 server1 postfix/smtpd[2154]: connect to subsystem 
public/cleanup
Jul 30 17:29:42 server1 postfix/smtpd[2154]: public/cleanup socket: 
wanted attribute: queue_id
Jul 30 17:29:42 server1 postfix/smtpd[2154]: input attribute name: queue_id
Jul 30 17:29:42 server1 postfix/smtpd[2154]: input attribute value: 
824DF215E5
Jul 30 17:29:42 server1 postfix/smtpd[2154]: public/cleanup socket: 
wanted attribute: (list terminator)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: input attribute name: (end)
Jul 30 17:29:42 server1 postfix/smtpd[2154]: send attr flags = 178
Jul 30 17:29:42 server1 postfix/smtpd[2154]: 824DF215E5: 
client=31-11-201-10-dynip.superkabel.de[31.11.201.10], 
sasl_method=LOGIN, sasl_username=ich at domain.de
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250 2.1.5 Ok
Jul 30 17:29:42 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: DATA
Jul 30 17:29:42 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 354 End data with 
<CR><LF>.<CR><LF>
Jul 30 17:29:42 server1 postfix/cleanup[2161]: 824DF215E5: 
message-id=<344895.mmailer1712589633 at fritz.box>
Jul 30 17:29:43 server1 postfix/smtpd[2154]: public/cleanup socket: 
wanted attribute: status
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute name: status
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute value: 0
Jul 30 17:29:43 server1 postfix/smtpd[2154]: public/cleanup socket: 
wanted attribute: reason
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute name: reason
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute value: (end)
Jul 30 17:29:43 server1 postfix/smtpd[2154]: public/cleanup socket: 
wanted attribute: (list terminator)
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute name: (end)
Jul 30 17:29:43 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 250 2.0.0 Ok: queued as 
824DF215E5
Jul 30 17:29:43 server1 postfix/qmgr[2130]: 824DF215E5: 
from=<ich at domain.de>, size=211223, nrcpt=1 (queue active)
Jul 30 17:29:43 server1 postfix/smtpd[2154]: < 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: QUIT
Jul 30 17:29:43 server1 postfix/smtpd[2154]: > 
31-11-201-10-dynip.superkabel.de[31.11.201.10]: 221 2.0.0 Bye
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? 127.0.0.0/8
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? 127.0.0.0/8
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? [::ffff:127.0.0.0]/104
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? [::ffff:127.0.0.0]/104
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_hostname: 
31-19-206-10-dynip.superkabel.de ~? [::1]/128
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_hostaddr: 
31.19.206.10 ~? [::1]/128
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_list_match: 
31-19-206-10-dynip.superkabel.de: no match
Jul 30 17:29:43 server1 postfix/smtpd[2154]: match_list_match: 
31.19.206.10: no match
Jul 30 17:29:43 server1 postfix/smtpd[2154]: send attr request = disconnect
Jul 30 17:29:43 server1 postfix/smtpd[2154]: send attr ident = 
smtp:31.19.206.10
Jul 30 17:29:43 server1 postfix/smtpd[2154]: private/anvil: wanted 
attribute: status
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute name: status
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute value: 0
Jul 30 17:29:43 server1 postfix/smtpd[2154]: private/anvil: wanted 
attribute: (list terminator)
Jul 30 17:29:43 server1 postfix/smtpd[2154]: input attribute name: (end)
Jul 30 17:29:43 server1 dovecot: lda(ich at domain.de): sieve: 
msgid=<344895.mmailer1712589633 at fritz.box>: stored mail into mailbox 'INBOX'
Jul 30 17:29:43 server1 postfix/pipe[2163]: 824DF215E5: 
to=<ich at domain.de>, relay=dovecot, delay=0.98, delays=0.91/0/0/0.06, 
dsn=2.0.0, status=sent (delivered via dovecot service)
Jul 30 17:29:43 server1 postfix/qmgr[2130]: 824DF215E5: removed
Jul 30 17:29:43 server1 postfix/smtpd[2154]: disconnect from 
31-11-201-10-dynip.superkabel.de[31.11.201.10]
Jul 30 17:29:43 server1 postfix/smtpd[2154]: master_notify: status 1
Jul 30 17:29:43 server1 postfix/smtpd[2154]: connection closed
Jul 30 17:29:47 server1 postfix/smtpd[2154]: auto_clnt_close: disconnect 
private/tlsmgr stream



From news at amaltea.de  Wed Jul 30 18:04:04 2014
From: news at amaltea.de (Paul)
Date: Wed, 30 Jul 2014 18:04:04 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D910EE.7050900@debianfan.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de> <53D6A1FD.1090702@dimejo.at>
 <53D7CC5C.8050905@amaltea.de> <53D910EE.7050900@debianfan.de>
Message-ID: <53D91774.4070703@amaltea.de>

Am 30.07.2014 17:36, schrieb sebastian at debianfan.de:
> Am 29.07.2014 18:31, schrieb Paul:
> 
> Ach ja, @Sebastian einen zusammenhängenden, möglichst unverfälschten
> Auszug aus der Logdatei, der den Vorfall von A-Z protokolliert,
> benötigen wir auch zur Analyse des Problems. Am besten im Debug-Modus.
> Die Konfiguration der Push-Konfig in der Fritzbox wären auch noch von
> Vorteil. Gruß, Paul


> Hier der Postfix-Debug:

[gekürzt]

> 31-11-201-10-dynip.superkabel.de[31.11.201.10]: 235 2.7.0 Authentication
> successful
> name=permit_sasl_authenticated status=1
> msgid=<344895.mmailer1712589633 at fritz.box>: stored mail into mailbox
> 'INBOX'
> Jul 30 17:29:43 server1 postfix/pipe[2163]: 824DF215E5:
> Jul 30 17:29:43 server1 postfix/qmgr[2130]: 824DF215E5: removed
> Jul 30 17:29:43 server1 postfix/smtpd[2154]: disconnect from
> 31-11-201-10-dynip.superkabel.de[31.11.201.10]

Das dokumentiert nicht dein Problemfall.
Habe das nur kurz überflogen, aber das dokumentiert einen einwandfreie
Anmeldung inklusive problemloser Übergabe an deinen Mailserver.

Wenn du jetzt wieder Polw aktivierst, müsste die Mail genauso durchgehen.

Gruß,
Paul


From jost+lists at dimejo.at  Wed Jul 30 18:04:52 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 30 Jul 2014 18:04:52 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D910EE.7050900@debianfan.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de> <53D6A1FD.1090702@dimejo.at>
 <53D7CC5C.8050905@amaltea.de> <53D910EE.7050900@debianfan.de>
Message-ID: <53D917A4.7080900@dimejo.at>

Am 30.07.2014 um 17:36 schrieb sebastian at debianfan.de:
> Fritzbox-Push-Konfig:
>
> ich at meinedomain.de als Empfänger und Absenderadresse
> smtp-server ist smtp.meinedomain.de

Wenn Du auf Port 587 einliefern willst musst Du das auch angeben:
smtp.meinedomain.de:587


> ich hab diesmal "SSL"-Verbindung aktiviert - aber ich hab es auch schon
> "ohne" betrieben

Du hast in Deiner Konfiguration "smtpd_tls_auth_only = yes" stehen. AUTH 
wird also erst nach STARTTLS angeboten.


> Hier der Postfix-Debug:

Soweit ich das sehen konnte hat das jetzt problemlos geklappt, oder?

Du solltest jetzt unbedingt Dein Passwort wechseln, denn das ist im Log 
ganz deutlich und unverfälscht zu sehen.

-- 
Alex JOST


From jost+lists at dimejo.at  Wed Jul 30 18:12:07 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 30 Jul 2014 18:12:07 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D7CC5C.8050905@amaltea.de>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de> <53D6A1FD.1090702@dimejo.at>
 <53D7CC5C.8050905@amaltea.de>
Message-ID: <53D91957.80406@dimejo.at>

Am 29.07.2014 um 18:31 schrieb Paul:
>> Damit aktivierst Du SASL-Authentifizierung global, also auch auf Port
>> 25. Besser ist SASL nur auf Port 587 (submission) zu erlauben.
>
> "Besser" würde ich das nicht pauschal nennen - restriktiver passt da eher.
> ;)

Das ist wohl Geschmackssache. :)
Mir ist es lieber, da man dann die MUAs und MTAs einfacher unterscheiden 
kann. Erleichtert die Fehlersuche.


>>> #cat master.cf
>>
>> postconf -Mf ist da recht praktisch.
> Danke Alex, für das "Augen öffnen". Das habe ich doch glatt in der
> Manual einfach nicht gesehen, obwohl es da deutlich steht.

Gerne doch.


>> Ergänze submission doch mal mit -o syslog_name=postfix/submission
>> Dadurch wird eine Einlieferung auf submission im Log besser ersichtlich.
>
> Fritzbox liefert per Port 25 ein, denn sonst hätte Polw ja keine
> Probleme gehabt. Die Prüfung für die Zustellung über Submission
> erscheint mir daher überflüssig.

Das war nur ein allgemeiner Tipp, der die Fehlersuche erleichtert. Diese 
Einstellung ist in Postfix (zumindest in Debian) auch Standard.

-- 
Alex JOST


From news at amaltea.de  Wed Jul 30 18:14:11 2014
From: news at amaltea.de (Paul)
Date: Wed, 30 Jul 2014 18:14:11 +0200
Subject: [Postfixbuch-users] Postfix & Push Service der Fritzbox
In-Reply-To: <53D917A4.7080900@dimejo.at>
References: <53D12544.2040408@debianfan.de> <53D134A8.6010601@amaltea.de>
 <53D139F1.6040503@debianfan.de> <002501cfa761$a060d2c0$e1227840$@fblan.de>
 <53D3C879.9070200@debianfan.de> <53D63B6F.8060806@amaltea.de>
 <53D69382.2020004@debianfan.de> <53D6A1FD.1090702@dimejo.at>
 <53D7CC5C.8050905@amaltea.de> <53D910EE.7050900@debianfan.de>
 <53D917A4.7080900@dimejo.at>
Message-ID: <53D919D3.6010905@amaltea.de>

Am 30.07.2014 18:04, schrieb Alex JOST:
> Am 30.07.2014 um 17:36 schrieb sebastian at debianfan.de:

> Du hast in Deiner Konfiguration "smtpd_tls_auth_only = yes" stehen. AUTH
> wird also erst nach STARTTLS angeboten.

Ich glaube auch, dass das der Knackpunkt ist!

Gruß,
Paul


From postfixbuch-users at 0xaffe.de  Wed Jul 30 18:52:48 2014
From: postfixbuch-users at 0xaffe.de (Mathias Jeschke)
Date: Wed, 30 Jul 2014 18:52:48 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Dovecot_remote_SASL_AUTH_und_Versch?=
 =?utf-8?q?l=C3=BCsselung?=
In-Reply-To: <53D8D93D.9020409@dimejo.at>
References: <0089844b59a64e9bb55ebf2a0ce9e05d@simonhoenscheid.de>
 <53D8D93D.9020409@dimejo.at>
Message-ID: <53D922E0.9070104@0xaffe.de>

Hi,

Am 30.07.14 13:38, schrieb Alex JOST:

> Schau Dir mal stunnel an.

Oder openvpn, openssh, etc.

Viele Grüße,
Mathias.