From anmeyer at mailbox.org  Sat Oct  4 00:48:09 2014
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Sat, 4 Oct 2014 00:48:09 +0200
Subject: [Postfixbuch-users] Postfix nur mit ipv6
Message-ID: <20141004004809.604b99b3@workstation.bitcorner.intern>

Hallo Leute!

Ich habe einen Postfix auf eine Maschine aufgesetzt, die nur per ipv6
angebunden ist.

dig aaaa mail.bitcorner.de bringt das richtige Ergebnis, einen reverse-lookup
habe ich noch nicht konfiguriert.

Eine email an info at bitcorner.de bounced mit der Meldung:

<info at bitcorner.de>: Host or domain name not found. Name service error for
    name=mail.bitcorner.de type=A: Host found but no data record of requested
    type

Was wäre hier zu tun? Solle nicht auch ein AAAA-record abgefragt werden?

Grüße

  Andreas


From igor.sverkos at googlemail.com  Sat Oct  4 01:36:52 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Sat, 4 Oct 2014 01:36:52 +0200
Subject: [Postfixbuch-users] Postfix nur mit ipv6
In-Reply-To: <20141004004809.604b99b3@workstation.bitcorner.intern>
References: <20141004004809.604b99b3@workstation.bitcorner.intern>
Message-ID: <CAAyQC40wjkVKO6Zxp21AK=zs2bqEfqdbLobf5WNpD2yNwfF0ow@mail.gmail.com>

?Hallo,

ich nehme an du sendest von einem *anderen* MTA aus die Testnachricht. Und
von diesem stammt die Fehlermeldung.

Ist dieser andere, sendende MTA, denn auch per IPv6 angebunden und weiß der
dortige MTA das auch? D.h. könnte er überhaupt deine nur via IPv6
erreichbare Kiste erreichen...



-- 
Ich Grüße,
Igor
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141004/d945a2b3/attachment.htm>

From anmeyer at mailbox.org  Sat Oct  4 11:17:53 2014
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Sat, 4 Oct 2014 11:17:53 +0200
Subject: [Postfixbuch-users] Postfix nur mit ipv6
In-Reply-To: <CAAyQC40wjkVKO6Zxp21AK=zs2bqEfqdbLobf5WNpD2yNwfF0ow@mail.gmail.com>
References: <20141004004809.604b99b3@workstation.bitcorner.intern>
 <CAAyQC40wjkVKO6Zxp21AK=zs2bqEfqdbLobf5WNpD2yNwfF0ow@mail.gmail.com>
Message-ID: <20141004111753.5e3ad282@workstation.bitcorner.intern>

Hallo!

Igor Sverkos <igor.sverkos at googlemail.com> schrieb am 04.10.14 um 01:36:52 Uhr:

> ich nehme an du sendest von einem *anderen* MTA aus die Testnachricht. Und
> von diesem stammt die Fehlermeldung.

Ja, so ist es.

> Ist dieser andere, sendende MTA, denn auch per IPv6 angebunden und weiß der
> dortige MTA das auch? D.h. könnte er überhaupt deine nur via IPv6
> erreichbare Kiste erreichen...

Diese Frage habe ich mir auch gestellt. Liefere ich direkt beim nur per
ipv6 angebundenen MTA ein, nimmt er die email an. Dieser andere MTA
ist auch ein Postfix. Wenn ich es recht weis, nutzt Postfix per
default auch ipv6. Ich frage da mal an.

  Andreas


From anmeyer at mailbox.org  Sat Oct  4 13:43:08 2014
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Sat, 4 Oct 2014 13:43:08 +0200
Subject: [Postfixbuch-users] Systemuser und verschiedene Mailboxformate
Message-ID: <20141004134308.192552af@workstation.bitcorner.intern>

Hallo!

Kann man in Postfix konfigurieren, dass bestimmte Systemuser ein Maildir
und andere eine mbox haben sollen?

Ich kenne zwar den Parameter home_mailbox, der ist aber umfassend.

Grüße

  Andreas


From robert.rottermann at gmx.ch  Sun Oct  5 22:12:02 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Sun, 05 Oct 2014 22:12:02 +0200
Subject: [Postfixbuch-users] =?utf-8?q?frage_zur_form_von_Eintr=C3=A4gen_i?=
	=?utf-8?q?n_main=2Ecf?=
Message-ID: <5431A612.5010305@gmx.ch>


Hallo,
ich habe folgenden Eintrag in meiner main.cf:

smtpd_sender_restrictions = permit_mynetworks 
reject_unknown_sender_domain permit_mynetworks reject_non_fqdn_sender permit


Nun meine Frage:
Müssten die Eintrage nicht per Koma abgetrennt sein?


also so:

smtpd_sender_restrictions = permit_mynetworks, 
reject_unknown_sender_domain, permit_mynetworks, reject_non_fqdn_sender 
permit


danke
robert



From postfixbuch-users at 0xaffe.de  Sun Oct  5 22:17:27 2014
From: postfixbuch-users at 0xaffe.de (Mathias Jeschke)
Date: Sun, 05 Oct 2014 22:17:27 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?frage_zur_form_von_Eintr=C3=A4gen_i?=
 =?utf-8?q?n_main=2Ecf?=
In-Reply-To: <5431A612.5010305@gmx.ch>
References: <5431A612.5010305@gmx.ch>
Message-ID: <5431A757.9050903@0xaffe.de>

Hallo Robert,

Am 05.10.14 um 22:12 schrieb robert rottermann:

> Nun meine Frage:
> Müssten die Eintrage nicht per Koma abgetrennt sein?

Nein.

Viele Grüße,
Mathias.


From robert.rottermann at gmx.ch  Sun Oct  5 22:24:06 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Sun, 05 Oct 2014 22:24:06 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?frage_zur_form_von_Eintr=E4g?=
 =?windows-1252?q?en_in_main=2Ecf?=
In-Reply-To: <5431A757.9050903@0xaffe.de>
References: <5431A612.5010305@gmx.ch> <5431A757.9050903@0xaffe.de>
Message-ID: <5431A8E6.3040508@gmx.ch>

Danke Mathias
On 05.10.2014 22:17, Mathias Jeschke wrote:
> Hallo Robert,
>
> Am 05.10.14 um 22:12 schrieb robert rottermann:
>
>> Nun meine Frage:
>> Müssten die Eintrage nicht per Koma abgetrennt sein?
>
> Nein.
ich sehe, dass einige Parameter mit Komma getrennt sind andere nicht.
Was ist der Unterschied ..

danke
robert



From sebastian at debianfan.de  Sun Oct  5 22:17:05 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Sun, 05 Oct 2014 22:17:05 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?frage_zur_form_von_Eintr=E4gen?=
 =?iso-8859-1?q?_in_main=2Ecf?=
In-Reply-To: <5431A612.5010305@gmx.ch>
References: <5431A612.5010305@gmx.ch>
Message-ID: <5431A741.6000401@debianfan.de>

in der ersten Maschine auf die ich schaut habe sind "Komma" drin

smtpd_recipient_restrictions =  permit_mynetworks,
                                 permit_sasl_authenticated,
                                 reject_unauth_destination,
                                 reject_unlisted_recipient,
                                 reject_unknown_sender_domain,
                                 reject_unknown_recipient_domain,
                                 reject_unauth_pipelining,
                                 reject_non_fqdn_recipient,
                                 reject_unknown_client_hostname,
                                 check_policy_service inet:127.0.0.1:12525,
                                 check_policy_service inet:127.0.0.1:10023,
                                 reject_rbl_client ix.dnsbl.manitu.net,
                                 reject_rbl_client dnsbl-1.uceprotect.net,



Am 05.10.2014 22:12, schrieb robert rottermann:
>
> Hallo,
> ich habe folgenden Eintrag in meiner main.cf:
>
> smtpd_sender_restrictions = permit_mynetworks 
> reject_unknown_sender_domain permit_mynetworks reject_non_fqdn_sender 
> permit
>
>
> Nun meine Frage:
> Müssten die Eintrage nicht per Koma abgetrennt sein?
>
>
> also so:
>
> smtpd_sender_restrictions = permit_mynetworks, 
> reject_unknown_sender_domain, permit_mynetworks, 
> reject_non_fqdn_sender permit
>
>
> danke
> robert
>



From p at sys4.de  Sun Oct  5 22:39:40 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Sun, 5 Oct 2014 22:39:40 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?frage_zur_form_von_Eintr=C3=A4gen_i?=
 =?utf-8?q?n_main=2Ecf?=
In-Reply-To: <5431A8E6.3040508@gmx.ch>
References: <5431A612.5010305@gmx.ch> <5431A757.9050903@0xaffe.de>
 <5431A8E6.3040508@gmx.ch>
Message-ID: <20141005203940.GD2771@sys4.de>

* robert rottermann <postfixbuch-users at listen.jpberlin.de>:
> Danke Mathias
> On 05.10.2014 22:17, Mathias Jeschke wrote:
> >Hallo Robert,
> >
> >Am 05.10.14 um 22:12 schrieb robert rottermann:
> >
> >>Nun meine Frage:
> >>Müssten die Eintrage nicht per Koma abgetrennt sein?
> >
> >Nein.
> ich sehe, dass einige Parameter mit Komma getrennt sind andere nicht.
> Was ist der Unterschied ..

Beides ist gültig. Postfix unterscheidet nicht. Beides wird als sortierte
Liste - von links nach rechts oder oben nach unten - interpretiert.

Für weitere Formatfragen den Abschnitt DESCRIPTION in man 5 postconf und
SYNTAX in man 5 master lesen.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From kai_postfix at fuerstenberg.ws  Mon Oct  6 10:00:56 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Mon, 06 Oct 2014 10:00:56 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?frage_zur_form_von_Eintr=E4gen?=
 =?iso-8859-1?q?_in_main=2Ecf?=
In-Reply-To: <5431A612.5010305@gmx.ch>
References: <5431A612.5010305@gmx.ch>
Message-ID: <54324C38.1030305@fuerstenberg.ws>

Am 05.10.2014 22:12, schrieb robert rottermann:
> 
> Hallo,

Hallo Robert,

> ich habe folgenden Eintrag in meiner main.cf:
> 
> smtpd_sender_restrictions = permit_mynetworks 
> reject_unknown_sender_domain permit_mynetworks reject_non_fqdn_sender permit

warum benutzt du "permit_mynetworks" doppelt?

> Nun meine Frage:
> Müssten die Eintrage nicht per Koma abgetrennt sein?

nein, müssen sie nicht. Der Lesbarkeit halber bietet es sich aber meist
an, da manche Parameter Zusatzinformationen wie z.B. einen Dateinamen
benötigen. Oder du schreibst jeden Parameter in eine eigene Zeile.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From igor.sverkos at googlemail.com  Mon Oct  6 12:56:52 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 6 Oct 2014 12:56:52 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Vollst=C3=A4ndige_Migration_eines_Q?=
	=?utf-8?q?Mail+vpomail+Courier-IMAP_Setups_nach_Postfix+Dovecot?=
Message-ID: <CAAyQC424EGSi8pWnAuQ001RUMnrnQrcYK_nE_L3KifvM7wfVPA@mail.gmail.com>

Hallo,

ich plane aktuell die Migration eines alten QMail-Setups mit vpopmail und
Courier-IMAP nach Postfix/Dovecot.

Bislang ist keine Datenbank involviert, d.h. die Kennwörter usw. stehen in
"/srv/vpopmail/domains/*/vpasswd" im Klartext.

Die Migration der eigentlichen Maildaten nach Dovecot traue ich mir ohne
weiteres zu. Das habe ich schon mehrfach getan. Mir macht eher die alte
vpasswd-UserDB Sorge:


1) Was empfehlt ihr hier, um diese Daten zu migrieren? Eigentlich wäre es
wünschenswert diese in eine Datenbank zu bekommen um dann zukünftig bspw.
mit postfixadmin diese zu verwalten (als Ersatz für den vqadmin).

Sollte man evtl. erst einmal die Daten mit vpopmail-Mitteln in eine DB
überführen?


2) Kennwörter! Verschlüsselt oder weiterhin im Klartext speichern?
Im Postfix-Buch steht auf Seite 317-318 ja der nette Satz, "Wer seine
Passwörter für schützenswert hält, muss sie im Klartext speichern".

Als ich meine erste Ausgabe des Buchs damals gekauft habe, fand ich die
Erläuterung nachvollziehbar und habe neue Systeme genau so aufgesetzt -
d.h. die Kennwörter in Klartext gespeichert.

Ist das denn *heute* noch aktuell? Peer, wird dieser Satz so in der neuen
Ausgabe noch immer stehen?

Ich frage, weil ich darüber mit unserer Webentwicklung gesprochen hatte und
einen ziemlichen Einlauf verpasst bekommen habe, "Man dürfe heute keine
Kennwörter mehr im Klartext speichern"...

Also: Weiterhin - insbesondere wegen den dargelegten Gründen - im Klartext
speichern, oder hat sich das wirklich verändert, weil heute eh nur noch
Credentials über TLS-gesicherte Verbindungen gehen sollten (bei diesem
neuen Setup wird das definitiv der Fall sein - Authentifizierung nur bei
sicheren Verbindungen möglich), sprich man braucht diese ganzen anderen
Verfahren nicht mehr, d.h. man kann die Kennwörter ruhig nach aktuellem
Stand der Technik gesichert speichern?


-- 
Ich Grüße,
Igor
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141006/da8ef925/attachment.htm>

From robert.rottermann at gmx.ch  Mon Oct  6 14:07:04 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Mon, 06 Oct 2014 14:07:04 +0200
Subject: [Postfixbuch-users]
 =?windows-1252?q?frage_zur_form_von_Eintr=E4g?=
 =?windows-1252?q?en_in_main=2Ecf?=
In-Reply-To: <54324C38.1030305@fuerstenberg.ws>
References: <5431A612.5010305@gmx.ch> <54324C38.1030305@fuerstenberg.ws>
Message-ID: <543285E8.2070404@gmx.ch>

On 06.10.2014 10:00, Kai Fürstenberg wrote:
> Am 05.10.2014 22:12, schrieb robert rottermann:
>> Hallo,
> Hallo Robert,
>
>> ich habe folgenden Eintrag in meiner main.cf:
>>
>> smtpd_sender_restrictions = permit_mynetworks
>> reject_unknown_sender_domain permit_mynetworks reject_non_fqdn_sender permit
> warum benutzt du "permit_mynetworks" doppelt?
alzheimer ??
ich bin am aufräumen ..
danke

robert



From robert.rottermann at gmx.ch  Mon Oct  6 14:18:06 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Mon, 06 Oct 2014 14:18:06 +0200
Subject: [Postfixbuch-users] bekomme viele "undeliverables" auf spam,
 bei denen meine email as absender genutzt wird
Message-ID: <5432887E.6020906@gmx.ch>

Hoi zäme,

ich bekomme viele Antworten der folgenden Art.
Hier wird (so scheint mir) meine email als absender misbraucht.
Oder werde ich gar als spammer misbraucht?

Wo soll ich dagegen vorgehen?

Danke
Robert

 From - Mon Oct  6 13:56:06 2014
X-Account-Key: account4
X-UIDL: UID454310-1285555754
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <MAILER-DAEMON>
Delivered-To: robert at redcor.ch
Received: by susanne.redcor.ch (Postfix)
	id A1E63A042A; Mon,  6 Oct 2014 13:54:52 +0200 (CEST)
Date: Mon,  6 Oct 2014 13:54:52 +0200 (CEST)
From: MAILER-DAEMON at susanne.redcor.ch (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: robert at redcor.ch
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="BDB52A046B.1412596492/susanne.redcor.ch"
Message-Id: <20141006115452.A1E63A042A at susanne.redcor.ch>

This is a MIME-encapsulated message.

--BDB52A046B.1412596492/susanne.redcor.ch
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host susanne.redcor.ch.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                    The mail system

<dimcintyre1 at juno.com>: host mx.vgs.untd.com[64.136.52.37] said: 550
     21ba078a6a8a9fba7e5feaf30b0b8eeaae0fee437fbf3783671fbb9bbaa7be4b9b6f670ae77b6f1b672f2b472bbf
     (in reply to end of DATA command)

--BDB52A046B.1412596492/susanne.redcor.ch
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; susanne.redcor.ch
X-Postfix-Queue-ID: BDB52A046B
X-Postfix-Sender: rfc822; robert at redcor.ch
Arrival-Date: Mon,  6 Oct 2014 13:54:47 +0200 (CEST)

Final-Recipient: rfc822; dimcintyre1 at juno.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx.vgs.untd.com
Diagnostic-Code: smtp; 550
     21ba078a6a8a9fba7e5feaf30b0b8eeaae0fee437fbf3783671fbb9bbaa7be4b9b6f670ae77b6f1b672f2b472bbf

--BDB52A046B.1412596492/susanne.redcor.ch
Content-Description: Undelivered Message
Content-Type: message/rfc822

Return-Path: <robert at redcor.ch>
Received: by susanne.redcor.ch (Postfix, from userid 10002)
	id BDB52A046B; Mon,  6 Oct 2014 13:54:47 +0200 (CEST)
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on susanne.redcor.ch
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00,
	HTML_MESSAGE,MIME_QP_LONG_LINE,TVD_SPACE_RATIO,T_TVD_MIME_EPI,URIBL_BLOCKED
	autolearn=unavailable autolearn_force=no version=3.4.0
Received: from mail.redcor.ch (unknown [190.195.11.190])
	(Authenticated sender: robert at redcor.ch)
	by susanne.redcor.ch (Postfix) with ESMTPA id 7F1F2A042A;
	Mon,  6 Oct 2014 13:54:30 +0200 (CEST)
Message-ID: <e413405560c4$e920406b$7bee6b36$@redcor.ch>
From: Kristin Lichtner <robert at redcor.ch>
To: "carla" <carla at cscsheetmetal.com>, "dimcintyre1" <dimcintyre1 at juno.com>, "josh lee0010" <josh.lee0010 at gmail.com>, "jhcompton" <jhcompton at earthlink.net>, "Grainger Joyce" <Grainger_Joyce at emc.com>, "ronnafischer" <ronnafischer at gmail.com>, "Johnny" <Johnny at LiveInTheTriangle.com>, "Abbey Fuszard" <abbeyfuszard at gmail.com>, "Adam Pitts" <adam at adampittsmusic.com>, "Alan Weiss" <aweiss at nc.rr.com>, "Alex Vashchenko" <alex.vashchenko at gmail.com>, "Alison Shields" <alison.h.shields at gmail.com>, "Allison Quinn" <awq0208 at yahoo.com>, "Allison Turnbaugh" <allison.turnbaugh at ssa.gov>, "Amanda Sanderson" <sandersonamanda at hotmail.com>, "amanda jordan" <mans420 at hotmail.com>, "Amanda Miller" <amandadianemiller at yahoo.com>, "Amy Foyles" <amynicole at fmgirl.com>, "Amy Nicole" <amylingg1 at yahoo.com>, "Amy Queck" <amq610 at yahoo.com>
Subject: Kristin Lichtner
Date: Sun, 6 Oct 2014 12:54:29 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_7C62_47B611F9.2F975EE9"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3522.110

This is a multi-part message in MIME format.

------=_NextPart_000_7C62_47B611F9.2F975EE9
Content-Type: text/plain;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

How are you? http://cccp-2-0.su/visit.php?ygc

Kristin Lichtner
------=_NextPart_000_7C62_47B611F9.2F975EE9
Content-Type: text/html;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD>
<BODY dir=3Dltr>
<DIV dir=3Dltr>
<DIV style=3D"FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">
<DIV>How are you? <A href=3D"http://cccp-2-0.su/visit.php?ygc">http://cccp-2-0.su/visit.php?ygc</A></DIV>
<DIV>&nbsp;</DIV>
<DIV>Kristin Lichtner</DIV></DIV></DIV></BODY></HTML>

------=_NextPart_000_7C62_47B611F9.2F975EE9--
Thread-Index: AQwyDUn5bjdjeHo5cGNodmF3NHd1aQ==

--BDB52A046B.1412596492/susanne.redcor.ch--



From postfixbuch at cboltz.de  Mon Oct  6 14:21:06 2014
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Mon, 06 Oct 2014 14:21:06 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Vollst=C3=A4ndige_Migration_eines_Q?=
	=?utf-8?q?Mail+vpomail+Courier-IMAP_Setups_nach_Postfix+Dovecot?=
In-Reply-To: <CAAyQC424EGSi8pWnAuQ001RUMnrnQrcYK_nE_L3KifvM7wfVPA@mail.gmail.com>
References: <CAAyQC424EGSi8pWnAuQ001RUMnrnQrcYK_nE_L3KifvM7wfVPA@mail.gmail.com>
Message-ID: <1792695.VIuAjlR0yH@tux.boltz.de.vu>

Hallo Igor, hallo Leute,

Am Montag, 6. Oktober 2014 schrieb Igor Sverkos:
> ich plane aktuell die Migration eines alten QMail-Setups mit vpopmail
> und Courier-IMAP nach Postfix/Dovecot.
> 
> Bislang ist keine Datenbank involviert, d.h. die Kennwörter usw.
> stehen in "/srv/vpopmail/domains/*/vpasswd" im Klartext.
> 
> Die Migration der eigentlichen Maildaten nach Dovecot traue ich mir
> ohne weiteres zu. Das habe ich schon mehrfach getan. Mir macht eher
> die alte vpasswd-UserDB Sorge:
> 
> 
> 1) Was empfehlt ihr hier, um diese Daten zu migrieren? Eigentlich wäre
> es wünschenswert diese in eine Datenbank zu bekommen um dann
> zukünftig bspw. mit postfixadmin diese zu verwalten (als Ersatz für
> den vqadmin).
> 
> Sollte man evtl. erst einmal die Daten mit vpopmail-Mitteln in eine DB
> überführen?

Ich kenne das Format der vpopmail-Dateien nicht, empfehle aber mal 
pauschal ein kleines Shellscript, das in einer Schleife postfixadmin-cli 
aufruft.

Das könnte in etwa so aussehen:

cat vpasswd | while read line ; do
    IFS=: while read user pass quota sonstwas nochwas ; do
        postfixadmin-cli mailbox add "$user" --password "$password"  \
            --password2 "$password" --quota "$quota
    done
done

(ja, --password2 ist nervig - irgendwann[tm] werde ich noch ein wenig 
umbauen, damit man das nicht mehr braucht.)

> 2) Kennwörter! Verschlüsselt oder weiterhin im Klartext speichern?

Das darf Peer beantworten ;-)


Gruß

Christian Boltz
-- 
für die Bewertung des Risikos gilt Martins Hypothese:
Das Risiko ist proportional zur Größe der Schlagzeile in der 
BILD-Zeitung.  [Martin zu 
http://blog.koehntopp.de/archives/3211-Wieso-wir-uns-veroeffentlichen.html]



From gregor at a-mazing.de  Mon Oct  6 14:35:08 2014
From: gregor at a-mazing.de (Gregor Hermens)
Date: Mon, 6 Oct 2014 14:35:08 +0200
Subject: [Postfixbuch-users] bekomme viele "undeliverables" auf spam,
	bei denen meine email as absender genutzt wird
In-Reply-To: <5432887E.6020906@gmx.ch>
References: <5432887E.6020906@gmx.ch>
Message-ID: <201410061435.08442@office.a-mazing.net>

Hallo Robert,

Am Montag, 6. Oktober 2014 schrieb robert rottermann:
> ich bekomme viele Antworten der folgenden Art.
> Hier wird (so scheint mir) meine email als absender misbraucht.
> Oder werde ich gar als spammer misbraucht?
> 
> Wo soll ich dagegen vorgehen?
...
> Received: from mail.redcor.ch (unknown [190.195.11.190])
> 	(Authenticated sender: robert at redcor.ch)
> 	by susanne.redcor.ch (Postfix) with ESMTPA id 7F1F2A042A;
> 	Mon,  6 Oct 2014 13:54:30 +0200 (CEST)

falls robert at redcor.ch dir gehört: Sofort das Passwort ändern. Offensichtlich 
missbraucht da jemand deine Zugangsdaten für den Versand.

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From Hajo.Locke at gmx.de  Mon Oct  6 14:38:34 2014
From: Hajo.Locke at gmx.de (Hajo Locke)
Date: Mon, 06 Oct 2014 14:38:34 +0200
Subject: [Postfixbuch-users] bekomme viele "undeliverables" auf spam,
 bei denen meine email as absender genutzt wird
In-Reply-To: <5432887E.6020906@gmx.ch>
References: <5432887E.6020906@gmx.ch>
Message-ID: <54328D4A.3080901@gmx.de>

Hallo,

Hast du denn Ausgänge an die Adressen aus der DSN in deinen Logs oder 
siehst du ungewöhnliche Benutzungen deiner Logindaten?
Wenn dein eigener Mailserver dir die Nichtzustellung meldet, liegt oft 
ein Missbrauch vor.  In deinen Logs müssten ja entsprechende Augänge zu 
sehen sein.


Am 06.10.2014 um 14:18 schrieb robert rottermann:
>
>
> <dimcintyre1 at juno.com>: host mx.vgs.untd.com[64.136.52.37] said: 550
> 21ba078a6a8a9fba7e5feaf30b0b8eeaae0fee437fbf3783671fbb9bbaa7be4b9b6f670ae77b6f1b672f2b472bbf
>     (in reply to end of DATA command)

Hans


From igor.sverkos at googlemail.com  Tue Oct  7 17:42:38 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Tue, 7 Oct 2014 17:42:38 +0200
Subject: [Postfixbuch-users]
	=?utf-8?q?Vollst=C3=A4ndige_Migration_eines_Q?=
	=?utf-8?q?Mail+vpomail+Courier-IMAP_Setups_nach_Postfix+Dovecot?=
In-Reply-To: <1792695.VIuAjlR0yH@tux.boltz.de.vu>
References: <CAAyQC424EGSi8pWnAuQ001RUMnrnQrcYK_nE_L3KifvM7wfVPA@mail.gmail.com>
 <1792695.VIuAjlR0yH@tux.boltz.de.vu>
Message-ID: <CAAyQC42HjRWoh4Wk_eGYvSaxTHBHNB3+ar-C-qanwWHP-WgbrQ@mail.gmail.com>

Hallo Christian,

danke für deine Antwort!

Ich kenne das Format der vpopmail-Dateien nicht, empfehle aber mal
> pauschal ein kleines Shellscript, das in einer Schleife postfixadmin-cli
> aufruft.
>

?Darauf läuft es wohl hinaus. Ich bin doch etwas überrascht, dass es da
nichts fertiges zu geben scheint - hätte gedacht das Problem hatten andere
schon vor uns gehabt.
Die ganzen .qmail-Dateien zu parsen macht mir schon etwas Sorgen, aber wenn
es nicht anders geht..?



?Bzgl. der Verschlüsselung möchte niemand eine Meinung beisteuern? :)



-- 
Ich Grüße,
Igor
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141007/fa9991ca/attachment.htm>

From ckubu at so36.net  Wed Oct  8 14:54:12 2014
From: ckubu at so36.net (ckubu)
Date: Wed, 08 Oct 2014 14:54:12 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
Message-ID: <543533F4.20800@so36.net>

hallo,

ich habe eine Verständnisfrage zu einer postfix/dovecot Konfiguration,
die sich mir, nach dem Lesen in dem Dovecot Buch, gestellt hat.

Wenn ich meinen Postfix, auch auf dem Server, auf dem Dovecot selbst
läuft, als Mailrelay (relay_domains, transport) konfiguriere, kann ich
dann in der Postfix-Konfiguration auf die ganzen  virtual_* Parameter
verzichten ?

Ich habe dort auch Postfixadmin am laufen, dem müsste ich dann noch in
den post-deletion/post-create scripts beibringen, zusätzlich die
relay_domains/transports zu pflegen.

Mit
transport_maps =
  btree:/etc/postfix/transport
  btree:/etc/postfix/relay_domains

würde sich das auf die relay_domains reduzieren.

So wäre meine Sicht der Dinge, ich habe aber Respekt vor der Tatsache,
irgendetwas wichtiges übersehen zu haben.

lg
Christoph

-- 
e: ckubu at so36.net


From klaus at tachtler.net  Wed Oct  8 16:28:41 2014
From: klaus at tachtler.net (Klaus Tachtler)
Date: Wed, 08 Oct 2014 16:28:41 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <543533F4.20800@so36.net>
Message-ID: <20141008162841.Horde.6R78JJ_VPEzTtndU4wFGQw2@buero.tachtler.net>

Hallo Christoph,

> Wenn ich meinen Postfix, auch auf dem Server, auf dem Dovecot selbst
> läuft, als Mailrelay (relay_domains, transport) konfiguriere, kann ich
> dann in der Postfix-Konfiguration auf die ganzen  virtual_* Parameter
> verzichten ?

Solltest Du NICHT tun.

> Ich habe dort auch Postfixadmin am laufen, dem müsste ich dann noch in
> den post-deletion/post-create scripts beibringen, zusätzlich die
> relay_domains/transports zu pflegen.

Schau mal hier, habe ich mal für mich gemacht:

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_admin#postfix_anbindung

> Mit
> transport_maps =
>   btree:/etc/postfix/transport
>   btree:/etc/postfix/relay_domains
>
> würde sich das auf die relay_domains reduzieren.
>
> So wäre meine Sicht der Dinge, ich habe aber Respekt vor der Tatsache,
> irgendetwas wichtiges übersehen zu haben.
>
> lg
> Christoph

Grüße
Klaus.


--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From igor.sverkos at googlemail.com  Wed Oct  8 16:59:19 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 8 Oct 2014 16:59:19 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <543533F4.20800@so36.net>
References: <543533F4.20800@so36.net>
Message-ID: <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>

Hallo,

ckubu schrieb:
> Wenn ich meinen Postfix, auch auf dem Server, auf dem Dovecot selbst
> läuft, als Mailrelay (relay_domains, transport) konfiguriere, kann ich
> dann in der Postfix-Konfiguration auf die ganzen  virtual_* Parameter
> verzichten ?

Wo definierst du denn bspw. Weiterleitungen/Alias-Domains?

Wenn dein Dovecot alles weiß und jede Mail die reinkommt über Dovecot
geht (man könnte ja rein technisch auch per Sieve weiterleiten),
könntest du wohl darauf verzichten.
In jedem anderen Falle nicht. Insofern sehe ich es wie Klaus, das
solltest du nicht tun...


-- 
Ich Grüße,
Igor


From Ralf.Hildebrandt at charite.de  Wed Oct  8 17:04:27 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 8 Oct 2014 17:04:27 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
References: <543533F4.20800@so36.net>
 <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
Message-ID: <20141008150427.GS12633@charite.de>

* Igor Sverkos <igor.sverkos at googlemail.com>:
> Hallo,
> 
> ckubu schrieb:
> > Wenn ich meinen Postfix, auch auf dem Server, auf dem Dovecot selbst
> > läuft, als Mailrelay (relay_domains, transport) konfiguriere, kann ich
> > dann in der Postfix-Konfiguration auf die ganzen  virtual_* Parameter
> > verzichten ?
> 
> Wo definierst du denn bspw. Weiterleitungen/Alias-Domains?
> 
> Wenn dein Dovecot alles weiß und jede Mail die reinkommt über Dovecot
> geht (man könnte ja rein technisch auch per Sieve weiterleiten),
> könntest du wohl darauf verzichten.
> In jedem anderen Falle nicht. Insofern sehe ich es wie Klaus, das
> solltest du nicht tun...

Also man kann sowas problemlos nur mit relay_domains, transport und
relay_recipient_maps machen.

virtual_alias_maps greifen IMMER (egal ob ein- oder ausgehend, ob
relay_domains, mydestination oder sonstwas).

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From ckubu at so36.net  Wed Oct  8 17:16:44 2014
From: ckubu at so36.net (ckubu)
Date: Wed, 08 Oct 2014 17:16:44 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
References: <543533F4.20800@so36.net>
 <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
Message-ID: <5435555C.6080500@so36.net>

hallo,

>> Wenn ich meinen Postfix, auch auf dem Server, auf dem Dovecot selbst
>> läuft, als Mailrelay (relay_domains, transport) konfiguriere, kann ich
>> dann in der Postfix-Konfiguration auf die ganzen  virtual_* Parameter
>> verzichten ?
> 
> Wo definierst du denn bspw. Weiterleitungen/Alias-Domains?

Ich dachte mir in relay_domains:
   domain.tld    lmtp:unix:private/dovecot-lmtp

und dann Einbinden via parameter relay_domains und transport_maps

und dann - so dachte ich -  schon fertig. Alias-Domains hatte ich nicht
auf dem Sender, um die Weiterleitungen sollte sich dann der lmtp kümmern.

hmm... da lag ich wohl falsch.

Bei Domains mag das ja noch überschaubar in der Postfix Konfiguration
gehen, für Weiterleitungen wäre das schon ein großer Aufwand..

> Wenn dein Dovecot alles weiß und jede Mail die reinkommt über Dovecot
> geht (man könnte ja rein technisch auch per Sieve weiterleiten),
> könntest du wohl darauf verzichten.
> In jedem anderen Falle nicht. Insofern sehe ich es wie Klaus, das
> solltest du nicht tun...

Das sind von euch beiden ja schon sehr klare Aussagen und ich glaub ich
spar mir die Arbeit und lass alles so wies ist (ganz ähnlich der
Wikibeschreibung von Klaus) und auch schon über Jahre gut läuft.


Danke und Grüße
Christoph

-- 
e: ckubu at so36.net


From igor.sverkos at googlemail.com  Wed Oct  8 17:24:37 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Wed, 8 Oct 2014 17:24:37 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <20141008150427.GS12633@charite.de>
References: <543533F4.20800@so36.net>
 <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
 <20141008150427.GS12633@charite.de>
Message-ID: <CAAyQC43N+FZoVNqPR4QG6ctcGA2kAqBDrWRy_GQVs0JQagTujQ@mail.gmail.com>

Hallo,

Ralf schrieb:
> ?Also man kann sowas problemlos nur mit relay_domains,
> transport und relay_recipient_maps machen.?


?Eventuell habe ich ckubu dann falsch verstanden. Was ich verstanden habe:

Er pflegt seine Nutzer nun via postfixadmin in einer Datenbank.
Dovecot befragt diese Datenbank.
Postfix spricht mit Dovecot vermutlich via lmtp, was via relay_domains
eingebunden ist:

# cat /etc/postfix/relay_domains
example.com        lmtp:unix:private/lmtp-dovecot

# grep -i relay_domain /etc/postfix/main.cf
relay_domains = hash:${config_directory}/relay_domains
transport_maps = hash:${config_directory}/transport, $relay_domains

...das Setup ist so IMHO im Dovecot-Buch beschrieben und braucht keine
weiteren virtual_* Konfigurationen.

Daher, so verstand ich es zumindest, seine Frage, ob er also wirklich keine
virtual_* Parameter braucht.

Ich wüsste jetzt nicht, wie ich ohne virtual_ dafür sorgen könnte, dass
foo at example.com bspw. nach bar at exmaple.org weiterleiten soll. Dovecot
schaut an Hand der Empfänger-Adresse eigentlich nur nach, ob er dafür
zuständig ist (und erwartet dann als Rückgabe den Pfad zur Mailbox).

Wie gesagt, Sieves usw. ginge, aber wenn ich diese Aliase/Weiterleitungen
per Postfixadmin pflege (und so verstand ich den OP), scheidet Sieves an
der Stelle aus.

Habe ich ihn falsch verstanden oder ist das doch ohne virtual_ möglich?


-- 
Ich Grüße,
Igor
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141008/6c8959ae/attachment.htm>

From Ralf.Hildebrandt at charite.de  Wed Oct  8 17:27:54 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 8 Oct 2014 17:27:54 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <CAAyQC43N+FZoVNqPR4QG6ctcGA2kAqBDrWRy_GQVs0JQagTujQ@mail.gmail.com>
References: <543533F4.20800@so36.net>
 <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
 <20141008150427.GS12633@charite.de>
 <CAAyQC43N+FZoVNqPR4QG6ctcGA2kAqBDrWRy_GQVs0JQagTujQ@mail.gmail.com>
Message-ID: <20141008152754.GV12633@charite.de>

* Igor Sverkos <igor.sverkos at googlemail.com>:

> Er pflegt seine Nutzer nun via postfixadmin in einer Datenbank.
> Dovecot befragt diese Datenbank.

postfixadmin? Keine Ahnung davon :)

> Postfix spricht mit Dovecot vermutlich via lmtp, was via relay_domains
> eingebunden ist:
> 
> # cat /etc/postfix/relay_domains
> example.com        lmtp:unix:private/lmtp-dovecot
> 
> # grep -i relay_domain /etc/postfix/main.cf
> relay_domains = hash:${config_directory}/relay_domains
> transport_maps = hash:${config_directory}/transport, $relay_domains

Ja, hübsch
 
> ...das Setup ist so IMHO im Dovecot-Buch beschrieben und braucht keine
> weiteren virtual_* Konfigurationen.
> 
> Daher, so verstand ich es zumindest, seine Frage, ob er also wirklich keine
> virtual_* Parameter braucht.
> 
> Ich wüsste jetzt nicht, wie ich ohne virtual_ dafür sorgen könnte, dass
> foo at example.com bspw. nach bar at exmaple.org weiterleiten soll. Dovecot
> schaut an Hand der Empfänger-Adresse eigentlich nur nach, ob er dafür
> zuständig ist (und erwartet dann als Rückgabe den Pfad zur Mailbox).

Ja, das geht dann nur via virtual_alias_maps

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From ckubu at so36.net  Wed Oct  8 17:43:31 2014
From: ckubu at so36.net (ckubu)
Date: Wed, 08 Oct 2014 17:43:31 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <CAAyQC43N+FZoVNqPR4QG6ctcGA2kAqBDrWRy_GQVs0JQagTujQ@mail.gmail.com>
References: <543533F4.20800@so36.net>
 <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
 <20141008150427.GS12633@charite.de>
 <CAAyQC43N+FZoVNqPR4QG6ctcGA2kAqBDrWRy_GQVs0JQagTujQ@mail.gmail.com>
Message-ID: <54355BA3.5020504@so36.net>

hi,

> ?Eventuell habe ich ckubu dann falsch verstanden. Was ich verstanden habe:
> 
> Er pflegt seine Nutzer nun via postfixadmin in einer Datenbank.
> Dovecot befragt diese Datenbank.
> Postfix spricht mit Dovecot vermutlich via lmtp, was via relay_domains
> eingebunden ist:
> 
> # cat /etc/postfix/relay_domains
> example.com <http://example.com>        lmtp:unix:private/lmtp-dovecot
> 
> # grep -i relay_domain /etc/postfix/main.cf <http://main.cf>
> relay_domains = hash:${config_directory}/relay_domains
> transport_maps = hash:${config_directory}/transport, $relay_domains
> 
> ...das Setup ist so IMHO im Dovecot-Buch beschrieben und braucht keine
> weiteren virtual_* Konfigurationen.
> 
> Daher, so verstand ich es zumindest, seine Frage, ob er also wirklich
> keine virtual_* Parameter braucht.

ja, s.u.

> Ich wüsste jetzt nicht, wie ich ohne virtual_ dafür sorgen könnte, dass
> foo at example.com <mailto:foo at example.com> bspw. nach bar at exmaple.org
> <mailto:bar at exmaple.org> weiterleiten soll. Dovecot schaut an Hand der
> Empfänger-Adresse eigentlich nur nach, ob er dafür zuständig ist (und
> erwartet dann als Rückgabe den Pfad zur Mailbox).

Das ist wahrscheinlich genau das Problem...

> Wie gesagt, Sieves usw. ginge, aber wenn ich diese
> Aliase/Weiterleitungen per Postfixadmin pflege (und so verstand ich den
> OP), scheidet Sieves an der Stelle aus.

Ja

> Habe ich ihn falsch verstanden oder ist das doch ohne virtual_ möglich?

ja, du hast mich richtig verstanden, ich wollte weiterhin mit
Postfixadmin meine Domains/ALiases/Weiterleitungen pflegen (mit
angepassten create/deletion Skripten). Die Datenbank (bei mir
PostgreSQL) bedient Anfragen von Dovecot, relay_domains,etc.. die von
Postfix.

Hintergrund ist das Dovecot Buch, in dem - wenn ich das richtig
verstanden habe - gesagt wird, dass erst Postfix und dann noch Dovecot
prüft, ob eine Zustellung möglich ist und man dies vermeiden kann.

Mit dieser Aussicht, so habe ich das ebenfalls verstanden, liesse sich
smtp Server und IMAP/POP Server auch hardwaremäßig trennen, ohne auf
"in-time-Prüfungen" auf Zuständigkeit/Zustellungs-Prüfungen verzichten
zu müssen (klassischer Backup MX).

lg
Christoph

-- 
e: ckubu at so36.net


From bjoern.meier at gmail.com  Thu Oct  9 12:27:34 2014
From: bjoern.meier at gmail.com (Bjoern Meier)
Date: Thu, 9 Oct 2014 12:27:34 +0200
Subject: [Postfixbuch-users] Transport vor Canonical?
Message-ID: <CAGMPS57j58FHfoa2LxMNbOWs5X41bNn=wHf38bGEwkPQL=M-4Q@mail.gmail.com>

Hi,

ich habe eine Email-Adresse in einer Hash-Tabelle und als
recipient_canonical_map eingebunden. Die EMail ist eine nicht weiter
genutzte Email (Sie wird nur für den rewrite benutzt). Die Domäne
gehört zu uns und existiert.

Allerdings wird das canonical ignoriert und direkt an den transport
server ohne rewrite gesendet.
Ich habe laut Doku noch

local_header_rewrite_clients = static:all

da die Mail von außen kommt und an eine andere Domäne weiter geleitet wird.

Was habe ich noch übersehen?

Gruß,
Björn


From klaus at tachtler.net  Thu Oct  9 15:52:19 2014
From: klaus at tachtler.net (Klaus Tachtler)
Date: Thu, 09 Oct 2014 15:52:19 +0200
Subject: [Postfixbuch-users] Transport vor Canonical?
In-Reply-To: <CAGMPS57j58FHfoa2LxMNbOWs5X41bNn=wHf38bGEwkPQL=M-4Q@mail.gmail.com>
Message-ID: <20141009155219.Horde.ZjC6fOVrq169DAayLaAtZw1@buero.tachtler.net>

Hallo Björn,

> Hi,
>
> ich habe eine Email-Adresse in einer Hash-Tabelle und als
> recipient_canonical_map eingebunden. Die EMail ist eine nicht weiter
> genutzte Email (Sie wird nur für den rewrite benutzt). Die Domäne
> gehört zu uns und existiert.
>
> Allerdings wird das canonical ignoriert und direkt an den transport
> server ohne rewrite gesendet.
> Ich habe laut Doku noch
>
> local_header_rewrite_clients = static:all

Also Verhalten VOR Postfix 2.2, o.k. verstanden =

The Postfix < 2.2 backwards compatible setting:
always rewrite message headers, and always append my own domain to  
incomplete header addresses.

     local_header_rewrite_clients = static:all

> da die Mail von außen kommt und an eine andere Domäne weiter geleitet wird.
>
> Was habe ich noch übersehen?

1. Zeigt doch mal Deine recipient_canonical_map.
2. hast Du postmap <filename> für z.B.  
/etc/postfix/recipient_canonical_map gemacht?
3. Was sagt das LOG von Postfix, wenn Du z.B. eine e-Mail via Telnet  
generierst?

----------------------------------------

Beispiel:

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 rechner40.dmz.tachtler.net ESMTP Postfix
HELO rechner40.dmz.tachtler.net
250 rechner40.dmz.tachtler.net
mail from:<>
250 2.1.0 Ok
rcpt to:<root at rechner40.dmz.tachtler.net>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject: Test

Dies ist ein Test.
.
250 2.0.0 Ok: queued as 16B95102D3
quit
221 2.0.0 Bye
Connection closed by foreign host.

----------------------------------------

Meine /etc/postfix/recipient_canonical_maps sieht z.B. So aus:
@rechner40.dmz.tachtler.net     @tachtler.net

Bedeutet, wenn ein z.B. Script an root at rechner40.dmz.tachtler.net  
etwas sendet, wird auf
root at tachtler.net umgeschrieben, bevor in meinem Fall an das nächste  
Relay weitergeleitet wird.


Grüße
Klaus.


--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From p.heinlein at heinlein-support.de  Fri Oct 10 16:02:47 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 10 Oct 2014 16:02:47 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <543533F4.20800@so36.net>
References: <543533F4.20800@so36.net>
Message-ID: <5437E707.8040204@heinlein-support.de>

Am 08.10.2014 14:54, schrieb ckubu:

Hi,

> läuft, als Mailrelay (relay_domains, transport) konfiguriere, kann ich
> dann in der Postfix-Konfiguration auf die ganzen  virtual_* Parameter
> verzichten ?

Achtung:

Es gibt virtual_alias_* => virtual-Lookup-Table /etc/postfix/virtual.

Und es gibt die ganzen anderen

virtual_*-Parameter, das ist der "virtual" MDA aus der master.cf, eine
besondere Form des local-MDA der Mails an virtuelle User zustellen kann,
indem er die /etc/passwd virtuell über eine Datenbankabfrage nachbilden
kann (darum regelt man dort uid, gid und home!).

Beide haben NICHTS miteinander zu tun.

Das virtual-Geraffel kannst und sollst Du beim relay-Setup weglassen.

Das virtual_alias-Zeug ist und bleibt weiterhin nützlich und richtig um
Mails von A nach B weiterleiten zu lassen.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From p.heinlein at heinlein-support.de  Fri Oct 10 16:04:17 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 10 Oct 2014 16:04:17 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <5435555C.6080500@so36.net>
References: <543533F4.20800@so36.net>
 <CAAyQC424m_Xm1YJAuTWfGboQqNfNAJVMkCUKnsEoWLLJYfV+wg@mail.gmail.com>
 <5435555C.6080500@so36.net>
Message-ID: <5437E761.9060302@heinlein-support.de>

Am 08.10.2014 17:16, schrieb ckubu:

> Ich dachte mir in relay_domains:
>    domain.tld    lmtp:unix:private/dovecot-lmtp
> 
> und dann Einbinden via parameter relay_domains und transport_maps
> 
> und dann - so dachte ich -  schon fertig. Alias-Domains hatte ich nicht
> auf dem Sender, um die Weiterleitungen sollte sich dann der lmtp kümmern.

Völlig richtig und dann noch ein reject_unverified_recipient an die
richtige Stelle in den smtpd_recipient_restrictions.

Völlig richtig, genau so ist es darum uch im Buch.

Ein Postfix-Relay vor einer anderen Maschine ist im wahrsten Sinne des
Wortes ein Fünzeiler. Es gibt kaum simpleres.

Peer

-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From postfixbuch at cboltz.de  Sun Oct 12 22:51:52 2014
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Sun, 12 Oct 2014 22:51:52 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <20141008162841.Horde.6R78JJ_VPEzTtndU4wFGQw2@buero.tachtler.net>
References: <20141008162841.Horde.6R78JJ_VPEzTtndU4wFGQw2@buero.tachtler.net>
Message-ID: <7070293.k3UF8G0tSy@tux.boltz.de.vu>

Hallo Klaus, hallo Leute,

Am Mittwoch, 8. Oktober 2014 schrieb Klaus Tachtler:
> Schau mal hier, habe ich mal für mich gemacht:
> 
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_admin#postf
> ix_anbindung

Schöne Anleitung - trotzdem ein paar Anmerkungen ;-)


$CONF['password_validation'] = array(
#    '/regular expression/' => '$PALANG key (optional: + parameter)',
    // Tachtler
    // default: '/.{5}/'                => 'password_too_short 5',      # minimum length 5 characters
    '/.{8}/'                => 'password_too_short 5',      # minimum length 5 characters

Du willst an dieser Stelle 'password_too_short _8_' haben. Mit Deiner 
Config erzwingt die Regex 8 Zeichen und die Fehlermeldung sagt, dass 
mindestens 5 nötig sind ;-)


virtual_alias_domains = btree:/etc/postfix/virtual_alias_domains,
        proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_maps.cf,
        proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_catchall_maps.cf
virtual_alias_maps = btree:/etc/postfix/virtual_alias_maps,
        proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf
virtual_mailbox_domains = btree:/etc/postfix/virtual_mailbox_domains,
        proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = btree:/etc/postfix/virtual_mailbox_maps,
        proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf,
        proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_mailbox_maps.cf

Das sieht deutlich anders aus als in der PostfixAdmin-Doku ;-)
(und damit meine ich nicht die btree:-Maps)

Verrätst Du mir, warum Du die Config so hast? Auf den ersten Blick 
bezweifle ich, dass Alias-Domains bei dieser Config richtig 
funktionieren. Im Einzelnen:
- bei virtual_alias_maps fehlen die zwei mysql_virtual_alias_domain*.cf
- virtual_alias_domains ist IMHO überflüssig - ob es stört, will ich 
  jetzt nicht näher untersuchen ;-)


Nunja. Immerhin war das Überfliegen Deiner Anleitung einfacher als die
Fehlersuche in den neuen AppArmor-Tools. Ich habe den ganzen Tag damit
verbracht, einen extrem seltsamen Crash von aa-genprof zu untersuchen,
den ich nichtmal reproduzieren konnte. Also Debugging over IRC mit dem
Bugreporter.

Die Lösung war dann vergleichsweise einfach - ich musste nur an der 
richtigen Stelle[tm] ein "[profile]" durch "[aamode]" ersetzen. Macht
in der Summe etwa ein Byte Änderung pro Stunde Debugging... 
So langsam habe ich noch nie getippt ;-)


Gruß

Christian Boltz
-- 
> Führst Du schon Selbstgespräche? ;-)
Hm. Kann sein. Was meinst du? Nein, glaube ich nicht. 
Sicher? Ganz sicher.
Nein, tun wir nicht.
[> Christian Boltz und Ratti in fontlinge-devel]


From postfixer99 at gmail.com  Mon Oct 13 10:47:55 2014
From: postfixer99 at gmail.com (Carsten)
Date: Mon, 13 Oct 2014 10:47:55 +0200
Subject: [Postfixbuch-users] Catchall mit Prefix einrichten
Message-ID: <543B91BB.5000905@gmail.com>

Hi Leute,

ich möchte gerne eine Catchall-Regel bauen mit einem bestimmten Präfix 
der Art:

ca-.*@domain.de   -> ich at domain.de

Somit muss immer ein "ca-" vorangestellt werden, damit die 
Catchall-Regel greift.
Somit möchte ich SPAM vermeiden, der auf irgendwas at domain.de zeigt, kann 
mir aber für alle Zwecke z.B. ca-urlaub at domain.de leicht die gewünschte 
Weiterleitung nutzen.
Somit muss ich immer nur ein "ca-" dem Präfix voranstellen, und muss 
nicht für jeden möglichen Zweck eine echte Weiterleitung einrichten.

Habt Ihr eine Idee ob und wie das möglich ist?
Ein "ca.*@domain.de      ich at domain.de" in der virtual war nicht 
zielführend :-(

Beste Grüße

Carsten


From andreas.schulze at datev.de  Mon Oct 13 10:53:19 2014
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Mon, 13 Oct 2014 10:53:19 +0200
Subject: [Postfixbuch-users] Catchall mit Prefix einrichten
In-Reply-To: <543B91BB.5000905@gmail.com>
References: <543B91BB.5000905@gmail.com>
Message-ID: <20141013085319.GA16518@spider.services.datevnet.de>

Am 13.10.2014 10:47 schrieb Carsten:
> ich möchte gerne eine Catchall-Regel bauen mit einem bestimmten
> Präfix der Art:
> 
> ca-.*@domain.de   -> ich at domain.de

wenn ca+irgendwas auch ginge,
schaue Dir http://www.postfix.org/postconf.5.html#recipient_delimiter an.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From kai_postfix at fuerstenberg.ws  Mon Oct 13 10:58:07 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Mon, 13 Oct 2014 10:58:07 +0200
Subject: [Postfixbuch-users] Catchall mit Prefix einrichten
In-Reply-To: <543B91BB.5000905@gmail.com>
References: <543B91BB.5000905@gmail.com>
Message-ID: <543B941F.4000003@fuerstenberg.ws>

Hi Carsten,

Am 13.10.2014 10:47, schrieb Carsten:
> ich möchte gerne eine Catchall-Regel bauen mit einem bestimmten Präfix 
> der Art:
> 
> ca-.*@domain.de   -> ich at domain.de
> 
> Somit muss immer ein "ca-" vorangestellt werden, damit die 
> Catchall-Regel greift.
> Somit möchte ich SPAM vermeiden, der auf irgendwas at domain.de zeigt, kann 
> mir aber für alle Zwecke z.B. ca-urlaub at domain.de leicht die gewünschte 
> Weiterleitung nutzen.
> Somit muss ich immer nur ein "ca-" dem Präfix voranstellen, und muss 
> nicht für jeden möglichen Zweck eine echte Weiterleitung einrichten.
> 
> Habt Ihr eine Idee ob und wie das möglich ist?
> Ein "ca.*@domain.de      ich at domain.de" in der virtual war nicht 
> zielführend :-(

Wenn du virtual benutzt kannst du mit PCRE in den virtual_alias_maps
arbeiten.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From postfixer99 at gmail.com  Mon Oct 13 11:24:34 2014
From: postfixer99 at gmail.com (Carsten)
Date: Mon, 13 Oct 2014 11:24:34 +0200
Subject: [Postfixbuch-users] Catchall mit Prefix einrichten
In-Reply-To: <543B941F.4000003@fuerstenberg.ws>
References: <543B91BB.5000905@gmail.com> <543B941F.4000003@fuerstenberg.ws>
Message-ID: <543B9A52.4070704@gmail.com>

Am 13.10.2014 um 10:58 schrieb Kai Fürstenberg:
> Wenn du virtual benutzt kannst du mit PCRE in den virtual_alias_maps 
> arbeiten. 

Ahh, pcre als mapping war natürlich die Lösung.
Ich Dödel hab den REGEX in eine per hash gemappte Datei gehauen ^^

Jetzt funktioniert es, vielen Dank!!!


From klaus at tachtler.net  Mon Oct 13 11:28:46 2014
From: klaus at tachtler.net (Klaus Tachtler)
Date: Mon, 13 Oct 2014 11:28:46 +0200
Subject: [Postfixbuch-users] Postfix als Mailrelay vor Ddovecot
In-Reply-To: <7070293.k3UF8G0tSy@tux.boltz.de.vu>
References: <20141008162841.Horde.6R78JJ_VPEzTtndU4wFGQw2@buero.tachtler.net>
 <7070293.k3UF8G0tSy@tux.boltz.de.vu>
Message-ID: <20141013112846.Horde.yt3wdFzQWxOJT0kfiY904A6@buero.tachtler.net>

Hallo Christian,

> Hallo Klaus, hallo Leute,
>
> Am Mittwoch, 8. Oktober 2014 schrieb Klaus Tachtler:
>> Schau mal hier, habe ich mal für mich gemacht:
>>
>> https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_admin#postf
>> ix_anbindung
>
> Schöne Anleitung - trotzdem ein paar Anmerkungen ;-)
>
>
> $CONF['password_validation'] = array(
> #    '/regular expression/' => '$PALANG key (optional: + parameter)',
>     // Tachtler
>     // default: '/.{5}/'                => 'password_too_short 5',    
>    # minimum length 5 characters
>     '/.{8}/'                => 'password_too_short 5',      #  
> minimum length 5 characters

Danke, habe ich übersehen... und berichtigt, hatte ich auch im meiner
Konfiguration falsch... puh!

> Du willst an dieser Stelle 'password_too_short _8_' haben. Mit Deiner
> Config erzwingt die Regex 8 Zeichen und die Fehlermeldung sagt, dass
> mindestens 5 nötig sind ;-)
>
>
> virtual_alias_domains = btree:/etc/postfix/virtual_alias_domains,
>         proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_maps.cf,
>          
> proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_catchall_maps.cf
> virtual_alias_maps = btree:/etc/postfix/virtual_alias_maps,
>         proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf
> virtual_mailbox_domains = btree:/etc/postfix/virtual_mailbox_domains,
>         proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf
> virtual_mailbox_maps = btree:/etc/postfix/virtual_mailbox_maps,
>         proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf,
>          
> proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_mailbox_maps.cf
>
> Das sieht deutlich anders aus als in der PostfixAdmin-Doku ;-)
> (und damit meine ich nicht die btree:-Maps)
>
> Verrätst Du mir, warum Du die Config so hast? Auf den ersten Blick
> bezweifle ich, dass Alias-Domains bei dieser Config richtig
> funktionieren. Im Einzelnen:
> - bei virtual_alias_maps fehlen die zwei mysql_virtual_alias_domain*.cf
> - virtual_alias_domains ist IMHO überflüssig - ob es stört, will ich
>   jetzt nicht näher untersuchen ;-)

Du hast vollkommen recht, da bin ich bei der Doku wohl mal in der Zeile
verrutscht und habe das falsch dokumentiert. VIELEN DANK, ich habe es
bereits im DokuWiki berichtigt!

>
> Nunja. Immerhin war das Überfliegen Deiner Anleitung einfacher als die
> Fehlersuche in den neuen AppArmor-Tools.

VIELEN DANK, für Deine Arbeit als Lektor!

Grüße
Klaus.


--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------



From anmeyer at mailbox.org  Wed Oct 15 09:19:48 2014
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Wed, 15 Oct 2014 09:19:48 +0200
Subject: [Postfixbuch-users] Frage zu DKIM
Message-ID: <20141015091948.59f195ed@workstation.bitcorner.intern>

Hallo!

Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
Felder doppelt vorkommen.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bitcorner.de; h=
 content-transfer-encoding:content-type:content-type:mime-version
 :x-mailer:organization:message-id:subject:subject:from:from:date
 :date; s=mail001; t=1413357186; x=1415171587; bh=s14J+iztnrytnRY
 zb7lhFG/jS/vrxWJnnahfijFMnco=; b=Czoptj6hGNrN8mbzTxQ6lzfOq7VMOc2
 jsuOjMXZ4R3cLjpcMrMAbFbLe6XLZdSi6fAuQAwFC3+7thtq9K43deOFLoKOezSF
 qO6RuyrR+fg081r/eUDMRxD7Cr13/oYVXob94KZyTgcoaLK5Jd8nfF6IiPgx7nD9
 tGrkkcYk09DU=

Außerdem sind die Authentication-Results bei email, die das System
verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:

Authentication-Results: hefe.heinlein-support.de (amavisd-new);
 dkim=fail (1024-bit key) reason="fail (message has been altered)"
 header.d=bitcorner.de

nicht so bei email, die intern zugestellt wurde:

Authentication-Results: mail.bitcorner.de (amavisd-new);
 dkim=pass (1024-bit key) reason="pass (just generated, assumed good)"
 header.d=bitcorner.de
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bitcorner.de; h=
 content-transfer-encoding:content-type:content-type:mime-version
 :x-mailer:organization:message-id:subject:subject:from:from:date
 :date:received:received; s=mail001; t=1413356399; x=1415170800;
  bh=3t7Ls+9Zep/GhZDdpaGb/wJKF8OzRaS/vh+hgQ6zdTk=; b=uWeVtUEGlcu0
 RZDo0c//m8MiX4oGQofQYoZ6r6XXaCCWvg4insOUEYqV6UDSoE73YiCz5tbyeR8K
 bNTRAZ1vqKPKEvxgoV+YbudwG20d8IsCC5LzJCNdTeaDxezR+ACkapFjG5Bn/GIG
 k+B0zZaLCVT8ab6a+JV91792ijv19JU=

Kennt jemand das Problem?

Grüße

  Andreas


From kai_postfix at fuerstenberg.ws  Wed Oct 15 09:52:26 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 15 Oct 2014 09:52:26 +0200
Subject: [Postfixbuch-users] Frage zu DKIM
In-Reply-To: <20141015091948.59f195ed@workstation.bitcorner.intern>
References: <20141015091948.59f195ed@workstation.bitcorner.intern>
Message-ID: <543E27BA.1000800@fuerstenberg.ws>

Hallo Andreas,

Am 15.10.2014 09:19, schrieb Andreas Meyer:
> Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
> mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
> Felder doppelt vorkommen.

das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.

> Außerdem sind die Authentication-Results bei email, die das System
> verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
> 
> Authentication-Results: hefe.heinlein-support.de (amavisd-new);
>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
>  header.d=bitcorner.de

Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
been altered).

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From anmeyer at mailbox.org  Wed Oct 15 10:08:56 2014
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Wed, 15 Oct 2014 10:08:56 +0200
Subject: [Postfixbuch-users] Frage zu DKIM
In-Reply-To: <543E27BA.1000800@fuerstenberg.ws>
References: <20141015091948.59f195ed@workstation.bitcorner.intern>
 <543E27BA.1000800@fuerstenberg.ws>
Message-ID: <20141015100856.05f5948b@workstation.bitcorner.intern>

Hallo!

Kai Fürstenberg <kai_postfix at fuerstenberg.ws> schrieb am 15.10.14 um 09:52:26 Uhr:

> Hallo Andreas,
> 
> Am 15.10.2014 09:19, schrieb Andreas Meyer:
> > Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
> > mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
> > Felder doppelt vorkommen.
> 
> das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.

Ich habe gerade gesehen, dass die Liste der signierten Felder h=
die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
date und from kommen in den Headern nur einmal vor im Gegensatz
zu z.B. Received-Zeilen. Und date und from und subject werden
verdoppelt.

> > Außerdem sind die Authentication-Results bei email, die das System
> > verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
> > 
> > Authentication-Results: hefe.heinlein-support.de (amavisd-new);
> >  dkim=fail (1024-bit key) reason="fail (message has been altered)"
> >  header.d=bitcorner.de
> 
> Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
> Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
> Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
> Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
> been altered).
> 

Nein, dieses Authentication-Result ist von einer anderen einfach mail,
die an eine Adresse bei mailbox.org ging.

  Andreas


From kai_postfix at fuerstenberg.ws  Wed Oct 15 11:07:27 2014
From: kai_postfix at fuerstenberg.ws (=?ISO-8859-1?Q?Kai_F=FCrstenberg?=)
Date: Wed, 15 Oct 2014 11:07:27 +0200
Subject: [Postfixbuch-users] Frage zu DKIM
In-Reply-To: <20141015100856.05f5948b@workstation.bitcorner.intern>
References: <20141015091948.59f195ed@workstation.bitcorner.intern>
 <543E27BA.1000800@fuerstenberg.ws>
 <20141015100856.05f5948b@workstation.bitcorner.intern>
Message-ID: <543E394F.1000101@fuerstenberg.ws>

Am 15.10.2014 10:08, schrieb Andreas Meyer:
>> Am 15.10.2014 09:19, schrieb Andreas Meyer:
>>> Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
>>> mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
>>> Felder doppelt vorkommen.
>>
>> das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
> 
> Ich habe gerade gesehen, dass die Liste der signierten Felder h=
> die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
> date und from kommen in den Headern nur einmal vor im Gegensatz
> zu z.B. Received-Zeilen. Und date und from und subject werden
> verdoppelt.

habs gefunden. Das ist Absicht:
http://marc.info/?l=amavis-user&m=127194779526738&w=2

>>> Außerdem sind die Authentication-Results bei email, die das System
>>> verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
>>>
>>> Authentication-Results: hefe.heinlein-support.de (amavisd-new);
>>>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
>>>  header.d=bitcorner.de
>>
>> Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
>> Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
>> Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
>> Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
>> been altered).
>>
> 
> Nein, dieses Authentication-Result ist von einer anderen einfach mail,
> die an eine Adresse bei mailbox.org ging.

Oh, ja, genau, mailbox.org. Ist ja auch von Peer. Ich vergaß ...

Nichtsdestotrotz sagt das Ergebnis aber, dass die Mail verändert wurde
(z.B. durch Header/Body-checks, Canonical, irgendwelche Signaturen, wie
auch immer).

Prüfe mal den Inhalt einer Mail und alle angegebenen Header auf
Veränderungen, bzw. schalte den ein oder anderen Header in der Prüfung
mal aus.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From p.heinlein at heinlein-support.de  Wed Oct 15 11:28:50 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 15 Oct 2014 11:28:50 +0200
Subject: [Postfixbuch-users] Frage zu DKIM
In-Reply-To: <20141015100856.05f5948b@workstation.bitcorner.intern>
References: <20141015091948.59f195ed@workstation.bitcorner.intern>
 <543E27BA.1000800@fuerstenberg.ws>
 <20141015100856.05f5948b@workstation.bitcorner.intern>
Message-ID: <543E3E52.7040507@heinlein-support.de>

Am 15.10.2014 10:08, schrieb Andreas Meyer:

> Nein, dieses Authentication-Result ist von einer anderen einfach mail,
> die an eine Adresse bei mailbox.org ging.

Wir haben da bei uns gerade einen Bug offen daß irgendwas mit der
DKIM-Signierung nicht ganz rund ist. Klären wir derzeit und wird
vermutlich die Ursache sein.

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From anmeyer at mailbox.org  Wed Oct 15 13:18:23 2014
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Wed, 15 Oct 2014 13:18:23 +0200
Subject: [Postfixbuch-users] Frage zu DKIM
In-Reply-To: <543E394F.1000101@fuerstenberg.ws>
References: <20141015091948.59f195ed@workstation.bitcorner.intern>
 <543E27BA.1000800@fuerstenberg.ws>
 <20141015100856.05f5948b@workstation.bitcorner.intern>
 <543E394F.1000101@fuerstenberg.ws>
Message-ID: <20141015131823.538193c6@workstation.bitcorner.intern>

Kai Fürstenberg <kai_postfix at fuerstenberg.ws> schrieb am 15.10.14 um 11:07:27 Uhr:

> Am 15.10.2014 10:08, schrieb Andreas Meyer:
> >> Am 15.10.2014 09:19, schrieb Andreas Meyer:
> >>> Ich habe hier einen Server, auf dem Amavis das Signieren und Verifizieren
> >>> mittels DKIM vornimmt und frage mich, warum in den Headerfields manche
> >>> Felder doppelt vorkommen.
> >>
> >> das hier ^^ kann ich dir jetzt nicht sagen, das weiß ich nicht.
> > 
> > Ich habe gerade gesehen, dass die Liste der signierten Felder h=
> > die einzeln abgearbeiteten Header bis zum Signieren enthält. Aber
> > date und from kommen in den Headern nur einmal vor im Gegensatz
> > zu z.B. Received-Zeilen. Und date und from und subject werden
> > verdoppelt.
> 
> habs gefunden. Das ist Absicht:
> http://marc.info/?l=amavis-user&m=127194779526738&w=2

Super, interessant!

> >>> Außerdem sind die Authentication-Results bei email, die das System
> >>> verlassen hat (und nicht an eine Mailingliste gegangen ist), negativ:
> >>>
> >>> Authentication-Results: hefe.heinlein-support.de (amavisd-new);
> >>>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
> >>>  header.d=bitcorner.de
> >>
> >> Aber dieses Ergebnis hier ^^ dürfte von vermutlich von genau dieser
> >> Mailing-Liste hier sein (hefe.heinlein-support.de) Und diese
> >> Mailing-Liste verändert den Inhalt der E-Mail dadurch, dass eine
> >> Signatur angehängt wird. Dadurch ist das Ergebnis negativ (message has
> >> been altered).
> >>
> > 
> > Nein, dieses Authentication-Result ist von einer anderen einfach mail,
> > die an eine Adresse bei mailbox.org ging.
> 
> Oh, ja, genau, mailbox.org. Ist ja auch von Peer. Ich vergaß ...
> 
> Nichtsdestotrotz sagt das Ergebnis aber, dass die Mail verändert wurde
> (z.B. durch Header/Body-checks, Canonical, irgendwelche Signaturen, wie
> auch immer).
> 
> Prüfe mal den Inhalt einer Mail und alle angegebenen Header auf
> Veränderungen, bzw. schalte den ein oder anderen Header in der Prüfung
> mal aus.

Es hat offensichtlich mit 

localhost:10025 inet    n       -       n       -       -       smtpd
        -o content_filter=
        -o smtpd_proxy_filter=
        -o mynetworks=127.0.0.0/8
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=check_recipient_access,hash:/etc/postfix/hold,permit_mynetworks,reject
        -o smtpd_data_restrictions=
        -o receive_override_options=no_unknown_recipient_checks
        #,no_header_body_checks

zu tun. Ändere ich um in -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

gibt's kein failure:

Authentication-Results: gerste.heinlein-support.de (amavisd-new);
 dkim=pass (1024-bit key) header.d=bitcorner.de

Danke für den Hinweis! Nur hätte ich gerne die header_body_checks weiterhin
aktiv.

  Andreas


From Hajo.Locke at gmx.de  Wed Oct 15 16:47:30 2014
From: Hajo.Locke at gmx.de (Hajo Locke)
Date: Wed, 15 Oct 2014 16:47:30 +0200
Subject: [Postfixbuch-users] ssl clients
Message-ID: <543E8902.2050908@gmx.de>

Hallo,

wegen der neuen Entwicklungen im SSL Bereich wollen wir nun auch SSLv3 
komplett abschalten. Einige von Euch werden das sicherlich schon gemacht 
haben.
Sind Euch da Probleme mit Clients aufgefallen? Gibt es eventuell noch 
beliebte und verbreitete Clients die kein TLS können? Dürfte eigentlich 
kaum der Fall sein, oder?

Danke,
Hajo


From Hullen at t-online.de  Wed Oct 15 17:13:00 2014
From: Hullen at t-online.de (Helmut Hullen)
Date: Wed, 15 Oct 2014 17:13:00 +0200
Subject: [Postfixbuch-users] ssl clients
In-Reply-To: <543E8902.2050908@gmx.de>
Message-ID: <D2w7ZEYPCXB@helmut.hullen.de>

Hallo, Hajo,

Du meintest am 15.10.14:

> wegen der neuen Entwicklungen im SSL Bereich wollen wir nun auch
> SSLv3 komplett abschalten. Einige von Euch werden das sicherlich
> schon gemacht haben.

Nein - da scheint (mal wieder) viel Panikmache dabei zu sein:

<http://www.welt.de/wirtschaft/webwelt/article133284672/Durch-Poodle-koennen-Hacker-ihre-Mails-mitlesen.html>

und dort insbesondere der Absatz
"Dazu müssen die Hacker allerdings im selben lokalen Netzwerk aktiv sein
wie der Nutzer - möglich wäre eine Attacke etwa, wenn Opfer und Täter
mit demselben öffentlichen WLAN-Netz eines Cafés oder eines Hotels
verbunden sind."


Viele Gruesse!
Helmut



From wn at neessen.net  Wed Oct 15 18:03:18 2014
From: wn at neessen.net (Winfried Neessen)
Date: Wed, 15 Oct 2014 18:03:18 +0200
Subject: [Postfixbuch-users] ssl clients
In-Reply-To: <D2w7ZEYPCXB@helmut.hullen.de>
References: <D2w7ZEYPCXB@helmut.hullen.de>
Message-ID: <c180557cd286c6e4fb72205c101e71ad@neessen.net>

Hi,

Am 2014-10-15 17:13, schrieb Helmut Hullen:

> Nein - da scheint (mal wieder) viel Panikmache dabei zu sein
> 

Von Panikmache wuerde ich hier nicht sprechen. SSLv3 ist schon seit 
langem ein als
"obsolete" und unsicher bekanntes Protokoll. POODLE ist nur ein weiterer 
Meilenstein
in diesem Konstrukt. Nur das es diesmal kaum Workarounds (anders als bei 
BEAST oder
Lucky 13) gibt- ausser halt SSLv3 komplett zu deaktiveren.

> http://www.welt.de/wirtschaft/webwelt/article133284672/Durch-Poodle-koennen-Hacker-ihre-Mails-mitlesen.html
> 

Ohne den Damen und Herren vom der Wirtschaftsteil der WELT in 
irgendeiner Form zu Nahe
treten zu wollen, wuerde ich hier doch eher auf andere Quellen aus der 
Szene bauen (z. B.
das originale Advisory von Bodo Möller[1]).

Sicherlich ist die Sache nicht ganz trivial auszunutzen, aber die Luecke 
ist definitiv kritisch
und sollte nicht vernachlaessigt werden. Nicht umsonst haben Marktriesen 
wie Facebook, Amazon AWS,
Akamai, Edgecast und dergl. bereits SSLv3 komplett auf ihren Systemen 
deaktiviert.


Winni

[1] = https://www.openssl.org/~bodo/ssl-poodle.pdf


From stse+postfixbuch at fsing.rootsland.net  Wed Oct 15 19:26:32 2014
From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz)
Date: Wed, 15 Oct 2014 19:26:32 +0200
Subject: [Postfixbuch-users] ssl clients
In-Reply-To: <c180557cd286c6e4fb72205c101e71ad@neessen.net>
References: <D2w7ZEYPCXB@helmut.hullen.de>
 <c180557cd286c6e4fb72205c101e71ad@neessen.net>
Message-ID: <20141015T192217.GA.c36e0.stse@fsing.rootsland.net>

On Wed, Oct 15, 2014 at 06:03:18PM +0200, Winfried Neessen wrote:
>Sicherlich ist die Sache nicht ganz trivial auszunutzen, aber die Luecke 
>ist definitiv kritisch

Ob das für jedes Protokoll gilt, das sich mit SSL absichert, ist 
allerdings fraglich. Auf der postfix-Liste meinte jemand, daß dieser 
Angriff mit SMTP wohl eher schwieriger zu realisieren ist als z.B. bei 
HTTP.

Und bei der opportunistischen Verschlüsselung, die meistens im 
SMTP-Bereich verwendet wird, mußt du dir halt überlegen, ob du lieber die 
Mail dann im Klartext übermittelt bekommen willst, wenn dein Partner 
nichts anderes spricht, oder mit SSLv3 verschlüsselt.

Allerdings glaube ich nicht wirklich, daß es noch Systeme geben mag, 
maximal SSLv3 sprechen.

Shade and sweet water!

	Stephan

-- 
| Stephan Seitz          E-Mail: stse at fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3735 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141015/48fbbf85/attachment.bin>

From Hullen at t-online.de  Thu Oct 16 09:03:00 2014
From: Hullen at t-online.de (Helmut Hullen)
Date: Thu, 16 Oct 2014 09:03:00 +0200
Subject: [Postfixbuch-users] ssl clients
In-Reply-To: <c180557cd286c6e4fb72205c101e71ad@neessen.net>
Message-ID: <D2+8gnV9CXB@helmut.hullen.de>

Hallo, Winfried,

Du meintest am 15.10.14:


[Poodle]

>> Nein - da scheint (mal wieder) viel Panikmache dabei zu sein
>>

> Von Panikmache wuerde ich hier nicht sprechen. SSLv3 ist schon seit
> langem ein als "obsolete" und unsicher bekanntes Protokoll. POODLE ist
> nur ein weiterer Meilenstein in diesem Konstrukt. Nur das es diesmal
> kaum Workarounds (anders als bei BEAST oder Lucky 13) gibt- ausser
> halt SSLv3 komplett zu deaktiveren.

Etwas differenzierter:

<http://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html>

<http://www.heise.de/security/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html>

Viele Gruesse!
Helmut



From info at rolandschnabel.de  Thu Oct 16 23:46:54 2014
From: info at rolandschnabel.de (Roland Schnabel)
Date: Thu, 16 Oct 2014 23:46:54 +0200
Subject: [Postfixbuch-users] SSLv3
Message-ID: <54403CCE.2020004@rolandschnabel.de>


Nach dem Gerangel um SSLv3 in den letzten Tagen hätte ich da mal ein 
paar Fragen dazu:

Ich habe opportunistisches TLS konfiguriert und SSLv3 deaktiviert:

smtp_tls_security_level = may
smtp_tls_protocols = !SSLv2, !SSLv3

Dies würde bedeuten, dass falls beim Versenden einer Email der 
empfangende Mailserver nur SSLv3 akzeptiert, der TLS-Handshake 
fehlschlägt und somit gar keine Verschlüsselung eingesetzt wird. Macht 
es deshalb überhaupt Sinn SSLv3 zu deaktivieren? Besser eine anfällige 
SSLv3-Verschlüsselung als gar keine?

Meine zweite Frage:
In einem Testszenario haben sowohl der sendende als auch der empfangende 
Postfix das SSLv3-Protokoll komplett deaktiviert. Trotzdem finde ich in 
den Logs folgende Einträge:

Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server 
certificate A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server 
key exchange A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server 
done A
Oct 15 11:04:16 xxx postfix/smtp[23630]: initializing the client-side 
TLS engine
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 write client 
key exchange A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 write change 
cipher spec A
Oct 15 11:04:16 xxx postfix/smtp[23631]: initializing the client-side 
TLS engine
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 write finished A
Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 flush data
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 write client 
key exchange A
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 write change 
cipher spec A
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 write finished A
Oct 15 11:04:16 xxx postfix/smtp[23589]: SSL_connect:SSLv3 flush data
Oct 15 11:04:16 xxx postfix/smtp[23617]: SSL_connect:SSLv3 read server 
hello A

Was haben diese SSL_connect-Einträge zu bedeuten, und wieso wird SSLv3 
benutzt obwohl dies auf beiden Seiten deaktiviert wurde?

Bin für jeden Hinweis dankbar,
Roland






-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4258 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141016/449945ce/attachment.p7s>

From mail at timwattenberg.de  Fri Oct 17 00:08:21 2014
From: mail at timwattenberg.de (Tim Wattenberg)
Date: Fri, 17 Oct 2014 00:08:21 +0200
Subject: [Postfixbuch-users] .forward-files
Message-ID: <544041D5.2010508@timwattenberg.de>

Hallo zusammen,

ich würde gerne die .forward-files auch für virtuelle Adressen einsetzen
können.
Ich habe dazu den forward path angepasst:

forward_path = /var/mail/control.d/forward/$user

Damit die Zustellung in die richtigen Maildirs auch klappt übergebe ich
beim mailbox transport an lmtp:

mailbox_transport = lmtp:unix:private/dovecot-lmtp

Wenn ich nun bspw. per virtual_alias_maps an <user> weiterleite:
- und <user> ein Systembenutzer ist funktioniert alles besten (.forward
wird berücksichtigt, ansonsten delivery in die richtige Mailbox per lmtp)
- und <user> kein Systembenutzer ist (aus der Dovecot Userdb)
funktioniert zwar natürlich die delivery in die Mailbox, ein
.forward-file wird allerdings nicht berücksichtigt.

Auch eine Erweiterung der local_recipient_maps um die virtuellen
Benutzer hat keinen Erfolg gebracht.

Gibt es irgendeine Möglichkeit das umzusetzen, oder ist der setzen der
Variablen im forward path "fest verdrahtet" mit den Systembenutzern?

Besten Dank,
Tim



From andreas.schulze at datev.de  Fri Oct 17 08:10:21 2014
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Fri, 17 Oct 2014 08:10:21 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <54403CCE.2020004@rolandschnabel.de>
References: <54403CCE.2020004@rolandschnabel.de>
Message-ID: <20141017061021.GB9484@spider.services.datevnet.de>

Am 16.10.2014 23:46 schrieb Roland Schnabel:
> 
> Ich habe opportunistisches TLS konfiguriert und SSLv3 deaktiviert:
> Dies würde bedeuten, dass falls beim Versenden einer Email der
> empfangende Mailserver nur SSLv3 akzeptiert, der TLS-Handshake
> fehlschlägt und somit gar keine Verschlüsselung eingesetzt wird.
korrekt

> Macht es deshalb überhaupt Sinn SSLv3 zu deaktivieren? Besser eine
> anfällige SSLv3-Verschlüsselung als gar keine?
macht es Sinn, mit abgefahrenen Winterreifen rumzufahren?
OK, es ist auf jeden Fall besser, als die blanke Felge.

SSLv3 an oder aus ist eine Policy-Entscheidung, die jeder selbst treffen muss.
Will ich ein kaputtes Protokoll weiterbenutzen und mich in trügerischer Sicherheit wiegen
oder werden alte Zöpfe konsequent abgeschnitten.

Wer SSLv3 am Mailserver weiterbetreibt hat jedenfalls nicht ein soooo
großes Angriffspotential wie bei HTTP. http://marc.info/?l=postfix-users&m=141347702723101

Um selbst zu ermitteln, welche Protokolle am eigenen MTA benutzt werden, sollte man einfach in seine Logs schauen:

< inbound >
# grep 'TLS connection established from' /var/log/mail | sed -e 's/^.*\]\: //' -e 's/ with cipher.*//' | sort | uniq -c

< outbound >
# grep 'TLS connection established to' /var/log/mail | sed -e 's/^.*\]:25\: //' -e 's/ with cipher.*//' | sort | uniq -c

Und so kann man SSLv2 + SSLv3 deaktivieren:
# postconf -e 'lmtp_tls_protocols = !SSLv2,!SSLv3'
# postconf -e 'smtp_tls_protocols = !SSLv2,!SSLv3'
# postconf -e 'smtpd_tls_protocols = !SSLv2,!SSLv3'
# postfix reload

> Meine zweite Frage:
> In einem Testszenario haben sowohl der sendende als auch der
> empfangende Postfix das SSLv3-Protokoll komplett deaktiviert.
> Trotzdem finde ich in den Logs folgende Einträge:
> 
> Oct 15 11:04:16 xxx postfix/smtp[23594]: SSL_connect:SSLv3 read server certificate A
...

> Was haben diese SSL_connect-Einträge zu bedeuten, und wieso wird
> SSLv3 benutzt obwohl dies auf beiden Seiten deaktiviert wurde?
http://marc.info/?l=postfix-users&m=141343456207551
beide Protocolle teilen eine gemeinsame Codebasis im postfix.

Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From p.heinlein at heinlein-support.de  Fri Oct 17 10:24:25 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 17 Oct 2014 10:24:25 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <54403CCE.2020004@rolandschnabel.de>
References: <54403CCE.2020004@rolandschnabel.de>
Message-ID: <5440D239.8050108@heinlein-support.de>

Am 16.10.2014 23:46, schrieb Roland Schnabel:
> Dies würde bedeuten, dass falls beim Versenden einer Email der
> empfangende Mailserver nur SSLv3 akzeptiert, der TLS-Handshake
> fehlschlägt und somit gar keine Verschlüsselung eingesetzt wird. Macht
> es deshalb überhaupt Sinn SSLv3 zu deaktivieren? Besser eine anfällige
> SSLv3-Verschlüsselung als gar keine?

Wir haben das Jahr 2014.

Es gibt noch uralte Clients wie Windows-XP oder älter, aber auch die
sind über SSLv3 langsam weg. Ich glaube, der IE6 war der letzte
SSLv3-Browser.

Aber welcher SERVER soll denn heute noch SSLv3 unterstützen? Und wenn
ja: In welchem Zustand soll sich dieser bitte befinden damit Sicherheit
und Verschlüsselung überhaupt noch irgendeine Rolle spielen können?

Sprich: Irrelevante Fragestellung :-)

Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From p.heinlein at heinlein-support.de  Fri Oct 17 10:25:28 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 17 Oct 2014 10:25:28 +0200
Subject: [Postfixbuch-users] .forward-files
In-Reply-To: <544041D5.2010508@timwattenberg.de>
References: <544041D5.2010508@timwattenberg.de>
Message-ID: <5440D278.6020104@heinlein-support.de>

Am 17.10.2014 00:08, schrieb Tim Wattenberg:
> - und <user> kein Systembenutzer ist (aus der Dovecot Userdb)
> funktioniert zwar natürlich die delivery in die Mailbox, ein
> .forward-file wird allerdings nicht berücksichtigt.

Ja, .forward geht da nicht sinnvollerweise.
Aber dafür gibt es ja die virtual_alias_maps.


Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From stse+postfixbuch at fsing.rootsland.net  Fri Oct 17 10:53:44 2014
From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz)
Date: Fri, 17 Oct 2014 10:53:44 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <5440D239.8050108@heinlein-support.de>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
Message-ID: <20141017T105106.GA.c6ff9.stse@fsing.rootsland.net>

On Fri, Oct 17, 2014 at 10:24:25AM +0200, Peer Heinlein wrote:
>Es gibt noch uralte Clients wie Windows-XP oder älter, aber auch die
>sind über SSLv3 langsam weg. Ich glaube, der IE6 war der letzte
>SSLv3-Browser.

Jemand erwähnte (hier oder auf der Postfix-Liste) die Kombination von XP 
mit Outlook 2003. Ohne SSLv3 war zumindest mit Dovecot keine Verbindung 
mehr möglich. Also kann es da durchaus noch SSLv3-Systeme geben, wenn 
auch vielleicht nicht mehr im Browser-Bereich.

Umd laut meinem Maillog habe ich noch SSLv3-Verbindungen von meinem 
Hoster, wenn er z.B. die Rechnung schickt. Das ist aber auch der einzige.

Shade and sweet water!

	Stephan

-- 
| Stephan Seitz          E-Mail: stse at fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3735 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141017/898638f1/attachment.bin>

From stefan+postfix at srcbox.net  Fri Oct 17 10:48:56 2014
From: stefan+postfix at srcbox.net (Stefan Gehn)
Date: Fri, 17 Oct 2014 10:48:56 +0200
Subject: [Postfixbuch-users] .forward-files
In-Reply-To: <544041D5.2010508@timwattenberg.de>
References: <544041D5.2010508@timwattenberg.de>
Message-ID: <5440D7F8.1090606@srcbox.net>


(erste Mail ging nicht an die Liste, Sorry)

On 16.10.2014, at 23:13, Tim Wattenberg <mail at timwattenberg.de> wrote:
 >
 > ich würde gerne die .forward-files auch für virtuelle Adressen einsetzen
 > können.
 > Ich habe dazu den forward path angepasst:
 >
 > forward_path = /var/mail/control.d/forward/$user
 >

forward_path wird vom local Transport verarbeitet und greift daher wohl 
nicht für virtuelle Nutzer.


 > Wenn ich nun bspw. per virtual_alias_maps an <user> weiterleite:
 > - und <user> ein Systembenutzer ist funktioniert alles besten (.forward
 > wird berücksichtigt, ansonsten delivery in die richtige Mailbox per lmtp)

Richtig, da der local Transport vor dem mailbox_transport noch zum Zuge 
kommt.


 > - und <user> kein Systembenutzer ist (aus der Dovecot Userdb)
 > funktioniert zwar natürlich die delivery in die Mailbox, ein
 > .forward-file wird allerdings nicht berücksichtigt.

Falls dieses Forwarding vom Benutzer einstellbar sein soll und da 
letztendlich Dovecot das finale Ziel der Mail ist, wäre evtl. eine 
redirect Sieve-Regel hier eine sinnvolle Alternative.

Stefan


From heli at tzv.fal.de  Fri Oct 17 10:55:33 2014
From: heli at tzv.fal.de (Helmut Lichtenberg)
Date: Fri, 17 Oct 2014 10:55:33 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <5440D239.8050108@heinlein-support.de>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
Message-ID: <20141017085533.GS1285@tzv.fal.de>

Peer Heinlein schrieb am 17.10.2014 10:24:
> Wir haben das Jahr 2014.
> 
> Es gibt noch uralte Clients wie Windows-XP oder älter, aber auch die
> sind über SSLv3 langsam weg. Ich glaube, der IE6 war der letzte
> SSLv3-Browser.
> 
> Aber welcher SERVER soll denn heute noch SSLv3 unterstützen? Und wenn
> ja: In welchem Zustand soll sich dieser bitte befinden damit Sicherheit
> und Verschlüsselung überhaupt noch irgendeine Rolle spielen können?

Na ja, einige gibt es schon noch (in den letzten 6 Tagen):
    126 SSLv3
   1071 TLSv1
     67 TLSv1.1
   2058 TLSv1.2

Hinter den 126 verbergen sich aber nur 4 IP-Adressen, z.B. die vom DFN-CERT  :^)

Oct 16 17:45:57 mail postfix/smtpd[29240]: Anonymous TLS connection established
   from sam.dfn-cert.de[193.174.13.196]: SSLv3 with cipher AECDH-AES256-SHA (256/256 bits)

Helmut

-- 
-------------------------------------------------------------------------
Helmut Lichtenberg  <Helmut.Lichtenberg at fli.bund.de>  Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI)         31535 Neustadt         Germany
-------------------------------------------------------------------------


From andreas.schulze at datev.de  Fri Oct 17 13:35:31 2014
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Fri, 17 Oct 2014 13:35:31 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <20141017085533.GS1285@tzv.fal.de>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
Message-ID: <20141017113530.GA14909@spider.services.datevnet.de>

Am 17.10.2014 10:55 schrieb Helmut Lichtenberg:
> Hinter den 126 verbergen sich aber nur 4 IP-Adressen, z.B. die vom DFN-CERT  :^)
> 
> Oct 16 17:45:57 mail postfix/smtpd[29240]: Anonymous TLS connection established
>    from sam.dfn-cert.de[193.174.13.196]: SSLv3 with cipher AECDH-AES256-SHA (256/256 bits)

Auch ein Cert ist nicht unfehlbar.

Aber zum Glück, wenn sowas passiert:
Oct 17 11:56:01 idvmailin03 postfix/smtpd[24235]: SSL_accept error from sam.dfn-cert.de[193.174.13.196]: -1
machen die einen Retry im Klartext.

Das ist dann aber auch egal, denn AECDH-AES256-SHA will man ja auch nicht haben...


Wenn also jemand vom DFN-CERT mitliest: gebt eurem Postmaster mal einen Tipp:
SSLv3 ist abgesagt.

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From bjoern.meier at gmail.com  Fri Oct 17 13:43:03 2014
From: bjoern.meier at gmail.com (Bjoern Meier)
Date: Fri, 17 Oct 2014 13:43:03 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <20141017113530.GA14909@spider.services.datevnet.de>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
Message-ID: <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>

hi,

Am 17. Oktober 2014 13:35 schrieb Andreas Schulze <andreas.schulze at datev.de>:
> Wenn also jemand vom DFN-CERT mitliest: gebt eurem Postmaster mal einen Tipp:
> SSLv3 ist abgesagt.


ich frage mich eh die ganze Zeit was es da zu diskustieren gibt? SSL
wurde 1999 zu TLS.
Vor 15 Jahren. Das ist Quasi die Bronzezeit der IT.

Ihr würdet auch lachen, wenn die Deutschen heutzutage mit Pfeil, Bogen
und Lanzen in den Krieg zögen.

Wer denkt, dieser Vergleich hinkt, sollte mal einen genaueren Blick in
seine Logs werfen.

Gruß,
Björn


From gjn at gjn.priv.at  Sat Oct 18 12:39:50 2014
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Sat, 18 Oct 2014 12:39:50 +0200
Subject: [Postfixbuch-users] X pop3 Mailboxen und antworten
Message-ID: <3144897.UyA85Qoa2K@gjn.priv.at>

Hallo,

wie würdet Ihr so einen Fall lösen?

Hintergrund meine Freundin arbeitet bei X Firmen Ihre Email holt Sie mit pop3 
ab. Jetzt würde ich Ihr gerne einen Mailserver konfigurieren eigene Domain 
reverse DNS. der das ganze "vernünftig" verarbeitet. (Dovecot)

Noch dazu gesagt das sind fast alles Firmen die gar keine Ahnung von EDV haben 
und dazu noch "falsche" Berater

Es darf nur kein Fehler passieren das z.B die Mail an die falsche Firma geht.

Also mit fetchmail die Mails abholen (die müssen auf dem Server verbleiben) 
mit Postfix dovecot verarbeiten. Mit relay_host wieder versenden.

Ist mein Denkansatz dazu richtig oder bekomme ich da irgendwie ein loop 
zustande.

Danke für einen Antwort.
 
-- 
mit freundlichen Grüßen / best Regards,

  Günther J. Niederwimmer


From igor.sverkos at googlemail.com  Mon Oct 20 13:07:44 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 20 Oct 2014 13:07:44 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
Message-ID: <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>

Hallo,

so klar finde ich das nicht:
Die YouTube-Videoserver funktionieren nur mit RC4. OK, seit ~Juli
herum auch mit TLS_RSA_WITH_AES_128_GCM_SHA256, aber findet erst
einmal einen Browser der diesen CIpher unterstützt.

Jaja, die Leute von Google sind schon Profis. Die werden wissen was
sie tun und haben bestimmt auch andere Anforderungen an die
Performance - das ist ja nur YouTube.
Nur YouTube? Wieso dann überhaupt "verschlüsseln"?

Hier kam ja der Vergleich mit den Winterreifen auf: Ich habe zwei paar
Reifen: Relativ abgefahrene Winterreifen und normale Sommerreifen.
Womit sollte ich jetzt fahren?
Sehr wahrscheinlich werden die abgefahrenen Winterreifen die bessere
Wahl sein (sofern sie nicht schon kaputt gehen). Sie mögen zwar vom
Profil her schon zu Slicks tendieren, aber die Gummi-Mischung verhält
sich bei Nässe und Kälte besser als das Gummi der ansonsten besseren
Sommerreifen.

So mag jetzt bspw. RC4 angeblich von der NSA in Echtzeit mitgelesen
werden (wissen tun wir es nicht, aber wir vermuten es alle). Aber nur
deshalb RC4 aussperren was zur Folge hat, dass Clients dann im Zweifel
auf Plaintext umschwenken, halte ich dann doch für eine Überreaktion.

Natürlich können in einer idealen Welt alle TLS 1.2 (aktuell höchste
Version) mit den besten Ciphern. Aber in der Realität sieht es anders
aus.

Jetzt muss ich halt entscheiden:
Riskiere ich es im Zweifel offen (Plaintext) zu kommunizieren, statt
eine Verschlüsselung zu wählen die möglicherweise angreifbar ist?

Und vergesst nicht, dass bei SSL/TLS es einen Server und einen Client
gibt. D.h. manchmal sollte ich auch darauf vertrauen, dass mein
Gegenüber weiß was er will (sei es, weil er nichts anderes kann oder
warum auch immer genau das will). Hier aus Serversicht immer zu sagen
"Wenn du nicht das willst was ich will, dann sprechen wir halt gar
nicht oder Plaintext..." halte ich für dumm.

Ja, Downgrade-Attacken sind eine Gefahr. Bis sich Dinge wie
TLS_FALLBACK_SCSV durchsetzen wird es noch etwas dauern (wie viele
LTS-Distributionen sind noch bei OpenSSL 0.9.8?).
Aber manche tun förmlich so, als seien alle Probleme vom Tisch, wenn
man jetzt schlechte Cipher und SSLv3 einfach abschaltet...

Dabei vergessen sie Kernprobleme wie bspw. den Schlüsselaustausch
(DANE). Und so Dinge Gültigkeitsprüfungen von Zertifikaten Mittels
OCSP... hat das einer von euch je bei Mailservern beobachtet? Nein?
Aber ist ja eh egal, da die meisten Server irgendein Zertifikat
akzeptieren... aber SSLv3 bitte SOFORT abschalten, das gefährdet die
Sicherheit! ;)


-- 
Ich Grüße,
Igor


From wn at neessen.net  Mon Oct 20 13:28:49 2014
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 20 Oct 2014 13:28:49 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de> <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
Message-ID: <806b1641eed1ff069565510fd1b5ceee@neessen.net>

Hi,

Am 2014-10-20 13:07, schrieb Igor Sverkos:

> Ja, Downgrade-Attacken sind eine Gefahr. Bis sich Dinge wie
> TLS_FALLBACK_SCSV durchsetzen wird es noch etwas dauern (wie viele
> LTS-Distributionen sind noch bei OpenSSL 0.9.8?).
> Aber manche tun förmlich so, als seien alle Probleme vom Tisch, wenn
> man jetzt schlechte Cipher und SSLv3 einfach abschaltet...
> 

Das Problem ist, wenn hier nicht mal ein harter Schritt vollzogen wird, 
wird
sich an der ganzen Problematik nichts aendern. Meine Hoffnung ist, dass 
dadurch
das viele Anbieter sich jetzt "gezwungen" fuehlen SSLv3 abzuschalten, 
das dieses
total veraltete Protokoll endlich mal vom Markt verschwindet. Wenn man 
nicht mal
zu so drastischen Massnahmen greift, wird man diese legacy Protokolle 
immer
weiter mit sich schleppen.

Natuerlich wird es immer Leute geben, die weiterhin SSLv3 einsetzen. 
Aber wenn
das Gro der Dienst-Anbieter dies einstampft, stehen die Chancen gut, 
dass es
sich auch langsam aber sicher auf der Client-Seite verabschiedet. Und 
wer weiss
vielleicht sehen dann einige Anbieter auch ein, dass sie z. Zt. nur 
SSLv3 und
TLS 1.0 anbieten und wenn sie SSLv3 abschalten, da nicht mehr viel 
Spielraum
uebrig bleibt und sie mal drueber nachdenken sollten TLS 1.1/1.2 zu
implementieren.

> Aber ist ja eh egal, da die meisten Server irgendein Zertifikat
> akzeptieren... aber SSLv3 bitte SOFORT abschalten, das gefährdet die
> Sicherheit! ;)
> 

SSLv3 haette schon vor 10 Jahren SOFORT abgeschaltet werden sollen. 
Deine
Aussage hinkt ein wenig. Nur weil es andere Angriffsmoeglichkeiten gibt, 
sollte
man SSLv3 nicht abschalten- nur damit es noch eine Angriffsmoeglichkeit 
mehr
gibt?



Winni


From igor.sverkos at googlemail.com  Mon Oct 20 14:21:18 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 20 Oct 2014 14:21:18 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <806b1641eed1ff069565510fd1b5ceee@neessen.net>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
 <806b1641eed1ff069565510fd1b5ceee@neessen.net>
Message-ID: <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>

Hallo Winni,

wir sind in der Sache ja gar nicht soweit von einander entfernt. Ich
finde nur den Weg falsch.

Erkläre mir bitte, wieso Du (=Server) mich (=Client) glaubst zwingen
zu müssen, auf SSLv3 oder irgendeinen TLS-Cipher den du nicht magst,
verzichten zu müssen.

Stellt die Clients so um, dass Sie nur noch TLS und eure
Wunsch-Ciphern sprechen. Damit habe ich kein Problem.

Natürlich kann es Gründe geben auch serverseitig gewisse Dinge nicht
zu unterstützen, aber hier finde ich, muss es schon bessere
Begründungen wie "Mag ich nicht", "Ist von vor 10 Jahren" geben...

Aber: Einzig alleine der Client ist für Downgrade-Attacken anfällig.
Wenn er es nicht sein will, muss er Gegenmaßnahmen durchführen. Das
kann er. Aber wenn ich auf Serverseite im Zweifel lieber Plaintext
erzwinge als irgendeine Verschlüsselung - aus Prinzip - dann verstehe
ich das nicht. Tut mir leid.


-- 
Ich Grüße,
Igor


From wn at neessen.net  Mon Oct 20 14:28:43 2014
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 20 Oct 2014 14:28:43 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de> <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
 <806b1641eed1ff069565510fd1b5ceee@neessen.net>
 <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
Message-ID: <00b825b8566357b27207e871d55a3fe3@neessen.net>

Hi,

Am 2014-10-20 14:21, schrieb Igor Sverkos:

> Erkläre mir bitte, wieso Du (=Server) mich (=Client) glaubst zwingen
> zu müssen, auf SSLv3 oder irgendeinen TLS-Cipher den du nicht magst,
> verzichten zu müssen.
> 

Ganz einfach. Weil ich, als Betreiber eines Dienstesm es im Zweifel 
meist besser
weiss als der Endkunde. Ich arbeite im E-Commerce und ich bin mir 
sicher, dass
90% unserer Kunden nichtmal wissen was SSL bedeutet- geschweige denn, 
dass sie
wissen welcher Cipher oder welches Protokoll sicher ist. Als Anbieter 
des
Dienstes sehe ich es als meine Pflicht, meinen Kunden zu schuetzen, in 
dem ich
Protokolle oder Cipher nicht akzeptiere die als unsicher einzustufen 
sind.

Ich kann nicht von meinem Kunden erwarten, dass sie dieses Fachwissen 
haben.
Sicherlich ist das auch 'ne Sache des Client-Herstellers (in diesem Fall 
also
Browser Hersteller), wenn ich dann aber sehe, dass einige Kunden noch 
immer mit
'nem IE8 und Windows Vista am Start sind, koennen auch die da nur 
begrenzt
etwas unternehmen. Im Endeffekt ist also das Nichtakzeptieren der 
unsicheren
Protokolle/Cipher auf Server-Seite die einzig effektive und sichere 
Loesung.



Winni


From bjoern.meier at gmail.com  Mon Oct 20 14:29:26 2014
From: bjoern.meier at gmail.com (Bjoern Meier)
Date: Mon, 20 Oct 2014 14:29:26 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
 <806b1641eed1ff069565510fd1b5ceee@neessen.net>
 <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
Message-ID: <CAGMPS551UWSan6FpOGBV-chu+ybsLMHvxcCtr2=4hLQUk4x59g@mail.gmail.com>

hi,


Am 20. Oktober 2014 14:21 schrieb Igor Sverkos <igor.sverkos at googlemail.com>:

> Aber: Einzig alleine der Client ist für Downgrade-Attacken anfällig.
> Wenn er es nicht sein will, muss er Gegenmaßnahmen durchführen. Das
> kann er. Aber wenn ich auf Serverseite im Zweifel lieber Plaintext
> erzwinge als irgendeine Verschlüsselung - aus Prinzip - dann verstehe
> ich das nicht. Tut mir leid.

Wie argumentiert man so etwas eigentlich, wenn DAU XXX daher kommt und
sagt:"Das hab ich mir bei euch eingefangen?".
So eine Diskussionb würde ich dann lieber aus dem Weg gehen.

ICH kann Cipher beschränken. Kann das jeder Benutzer? Ich denke nicht.
Wenn etwas nicht läuft, kann ich sagen:"Bitte aktualisieren Sie auf
aktuelle Software". Das verstehen sie noch. Wenn ich aber anfange zu
erklären, dass z. B. Chrome diese Beschränkung nur per Kommandozeile
hinbekommt, hört es meist schon da auf.

Das ich wie mit Zäunen an Wasserfällen. Natürlich der gesunde
Menschenverstand sagt:"Wieso brauch ich ein Zaun. Ich bin nicht so
dumm, da reinzuhüpfen.". Dennoch gibt es Zäune aus gutem Grund.

Gruß,
Björn


From robert.rottermann at gmx.ch  Mon Oct 20 15:30:47 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Mon, 20 Oct 2014 15:30:47 +0200
Subject: [Postfixbuch-users] postgres/dovecot behaupten die mailbox sei voll
	(was nicht stimmt)
Message-ID: <54450E87.1010708@gmx.ch>

Hoi zäme,

Meine Dovecot/Postfix Pärchen behaupten die Mailbox für einen bestimmten 
User sei voll.
Wenn ich das aber auf dem Server mit du überprüfe, sehe ich dass das gar 
nicht stimmt.
Es werden (physikalisch) nur ca 20% der erlaubten Menge genutzt.
Wenn ich hingegen mit
doveadm quota get -u xxx at yyy.ch abfrage, erhalte ich folgende Antwort:
Quota name Type      Value 
Limit                                                         %
            STORAGE 1231685 
1228800                                                       100
            MESSAGE    2732 
-                                                         0

auch
doveadm quota recalc -u xxx at yyy.ch

bringt keine Aenderungen

kann mir jemand bitte sagen, wo ich da schrauben kann?

besten Dank
robert




From igor.sverkos at googlemail.com  Mon Oct 20 17:01:53 2014
From: igor.sverkos at googlemail.com (Igor Sverkos)
Date: Mon, 20 Oct 2014 17:01:53 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <00b825b8566357b27207e871d55a3fe3@neessen.net>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
 <806b1641eed1ff069565510fd1b5ceee@neessen.net>
 <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
 <00b825b8566357b27207e871d55a3fe3@neessen.net>
Message-ID: <CAAyQC43N838gNL2H4Df02VFCmF3Y7mdanKW1GOxiQ=6q8buHOg@mail.gmail.com>

Hallo,

ich stimme dir ja in der Sache zu, wäre da nur nicht der Haken, dass
eben opportunistische Verschlüsselung zum Einsatz käme. Denn ich
bezweifle ernsthaft, dass irgendwer da draußen im Zweifel Plaintext
vorziehen würde. Aber genau das passiert, wenn schwächere
Verschlüsselungen einfach abgeschaltet werden und der Client aus den
verbliebenen Möglichkeiten nichts wählen will/kann.

Wenn du es ernst meinst müsstest du dein System so konfigurieren: Ich
erlaube nur TLS in Version X mit den Ciphern Y. Ist das nicht möglich,
verweigere ich die Zusammenarbeit.

Hier siehst du dann aber sicherlich das Ende deiner Pflicht, den
eigenen Kunden zu schützen. Schließlich würde das in der Praxis doch
zu Problemen führen. Und bevor ein Kunde jammer "Die wichtige Mail von
X kommt bei mir nicht an"...

Und das finde ich eben falsch, weil scheinheilig. Das habe ich
versucht dadurch auszudrücken, dass SSLv3 abzuschalten überhaupt
nichts verbessert/irgendein Problem löst.

Setzt die Reihenfolge richtig und ein moderner Client wird die
optimale Lösung finden.
Aber hört bitte auf es besser zu wissen als der Client... denn selbst
wenn ihr es besser wisst: Das Protokoll sieht nun einmal einen
gemeinsamen Handshake vor. D.h. es wird eine Einigung erzwungen... das
klappt selten, wenn eine Partei meint "Nur was ich will..."

Dabei entstehen ja ganz andere Probleme: Was ist, wenn der Client
plötzlich Dinge kann, die der Server noch nicht kann (und Clients
aktualisieren sich nun einmal schneller)? Wie viele Legacy-Systeme
sind da draußen, die mit 0.9.8 laufen oder mit einer Konfiguration,
die veraltet ist, weil der Admin zwar vor 2j mal die Cipher-Liste
angepasst hatte... aber seit dem nie mehr? Hätte man die bei den
Upstream-Vorgaben belassen und nur NULL-Cipher usw. gesperrt, dann
hätte vermutlich ein Update hier automatisch die Sicherheit
angehoben...


-- 
Ich Grüße,
Igor


From p.heinlein at heinlein-support.de  Mon Oct 20 18:15:10 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Mon, 20 Oct 2014 18:15:10 +0200
Subject: [Postfixbuch-users] postgres/dovecot behaupten die mailbox sei
 voll (was nicht stimmt)
In-Reply-To: <54450E87.1010708@gmx.ch>
References: <54450E87.1010708@gmx.ch>
Message-ID: <5445350E.2030206@heinlein-support.de>

Am 20.10.2014 15:30, schrieb robert rottermann:


Hi,

> Wenn ich das aber auf dem Server mit du überprüfe, sehe ich dass das gar
> nicht stimmt.

Zeigen.

> Es werden (physikalisch) nur ca 20% der erlaubten Menge genutzt.
> Wenn ich hingegen mit
> doveadm quota get -u xxx at yyy.ch abfrage, erhalte ich folgende Antwort:
> Quota name Type      Value
> Limit                                                         %
>            STORAGE 1231685
> 1228800                                                       100
>            MESSAGE    2732
> -                                                         0
> 
> auch
> doveadm quota recalc -u xxx at yyy.ch

Tja, dann sollte man mal ernsthaft damit rechnen DASS das stimmt.

> kann mir jemand bitte sagen, wo ich da schrauben kann?

Ohne Details keine Antworten.

Bitte zeigen:

a) doveconf -n
b) Das "du"-Kommando mit einem pwd davor
c) den Output von "doveadm user xxx at yyy.ch"

Peer




-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From bjoern.meier at gmail.com  Mon Oct 20 18:23:35 2014
From: bjoern.meier at gmail.com (Bjoern Meier)
Date: Mon, 20 Oct 2014 18:23:35 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <CAAyQC43N838gNL2H4Df02VFCmF3Y7mdanKW1GOxiQ=6q8buHOg@mail.gmail.com>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de>
 <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
 <806b1641eed1ff069565510fd1b5ceee@neessen.net>
 <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
 <00b825b8566357b27207e871d55a3fe3@neessen.net>
 <CAAyQC43N838gNL2H4Df02VFCmF3Y7mdanKW1GOxiQ=6q8buHOg@mail.gmail.com>
Message-ID: <CAGMPS574BE_D4j-q7gGi7Q8sT=8t+WP+PmvMU4O3A9fa3ytVtw@mail.gmail.com>

Am 20. Oktober 2014 17:01 schrieb Igor Sverkos <igor.sverkos at googlemail.com>:

> Wenn du es ernst meinst müsstest du dein System so konfigurieren: Ich
> erlaube nur TLS in Version X mit den Ciphern Y. Ist das nicht möglich,
> verweigere ich die Zusammenarbeit.
>
> Hier siehst du dann aber sicherlich das Ende deiner Pflicht, den
> eigenen Kunden zu schützen. Schließlich würde das in der Praxis doch
> zu Problemen führen. Und bevor ein Kunde jammer "Die wichtige Mail von
> X kommt bei mir nicht an"...

wieso sollte bei einem ordentlichen MTA ohne TLS Schluß sein?
Wenn das deine einzige Argumentation hier sage ich:"Bravo, sollen Sie
wegbleiben!".
So wichtig kann die Mail nicht sein, bei einem SSL only MTA.

Wie schon mal gesagt: 1999. Ich sehe da überhaupt keinen
Diskussionsbedarf. Wenn tatsächlich jemand mit Vista und IE8 rumsurft,
dürfte SSL nicht das einzige Problem sein, dass er hat. Auch hier:
Bitte nicht bei uns.

Gruß,
Björn


From info at rolandschnabel.de  Mon Oct 20 19:15:26 2014
From: info at rolandschnabel.de (Roland Schnabel)
Date: Mon, 20 Oct 2014 19:15:26 +0200
Subject: [Postfixbuch-users] SSLv3
In-Reply-To: <00b825b8566357b27207e871d55a3fe3@neessen.net>
References: <54403CCE.2020004@rolandschnabel.de>
 <5440D239.8050108@heinlein-support.de> <20141017085533.GS1285@tzv.fal.de>
 <20141017113530.GA14909@spider.services.datevnet.de>
 <CAGMPS571nGJeRVE664u3prkzwQGUf9PNFLDSNSiGG3p8DCH8_w@mail.gmail.com>
 <CAAyQC41S9su4bP5WQ2KO6x-SRaJk5gbxzdW9Mu6Mq7FJoe8j8A@mail.gmail.com>
 <806b1641eed1ff069565510fd1b5ceee@neessen.net>
 <CAAyQC41BcZujstQef=NrGzZymU6dKLJkWp4kU1CmN23JAjmTKQ@mail.gmail.com>
 <00b825b8566357b27207e871d55a3fe3@neessen.net>
Message-ID: <5445432E.1000503@rolandschnabel.de>

On 20.10.2014 14:28, Winfried Neessen wrote:
>
> Ganz einfach. Weil ich, als Betreiber eines Dienstesm es im Zweifel 
> meist besser
> weiss als der Endkunde. Ich arbeite im E-Commerce und ich bin mir 
> sicher, dass
> 90% unserer Kunden nichtmal wissen was SSL bedeutet- geschweige denn, 
> dass sie
> wissen welcher Cipher oder welches Protokoll sicher ist. Als Anbieter des
> Dienstes sehe ich es als meine Pflicht, meinen Kunden zu schuetzen, in 
> dem ich
> Protokolle oder Cipher nicht akzeptiere die als unsicher einzustufen 
> sind.
>
> Ich kann nicht von meinem Kunden erwarten, dass sie dieses Fachwissen 
> haben.
> Sicherlich ist das auch 'ne Sache des Client-Herstellers (in diesem 
> Fall also
> Browser Hersteller), wenn ich dann aber sehe, dass einige Kunden noch 
> immer mit
> 'nem IE8 und Windows Vista am Start sind, koennen auch die da nur 
> begrenzt
> etwas unternehmen. Im Endeffekt ist also das Nichtakzeptieren der 
> unsicheren
> Protokolle/Cipher auf Server-Seite die einzig effektive und sichere 
> Loesung.

Ich glaube das dies in der ganzen Diskussion ein entscheidender Punkt ist:
Der Endkunde kennt Protokolle und Algorithmen nicht, und weiß schon gar 
nicht wie die Email letztendlich von Mailserver zu Mailserver übertragen 
wurde.

Daher mein Vorschlag: Jede Email bekommt einen neuen X-Header eingefügt 
für jede SMTP-Verbindung die sie durchlaufen hat. "Sicher" für TLSv1.x, 
"Wenig sicher" für SSLv2/3 und "Unsicher" für keine TLS-Verschlüsselung. 
Der Mail-Client (Thunderbird, Outlook, etc.) würde diesen X-Header 
auslesen und jede Email entsprechend in der Anzeige markieren. Damit 
hätte der Endnutzer die absolute Kontrolle über den Datenaustausch. Es 
wäre sofort klar, wenn z.B. die eigene Firma nur unsichere Protokolle 
oder gar keine Verschlüsselung bei ihren Mailservern einsetzt.

Ist nur so eine Idee, um den Druck der Masse zu nutzen. Denn momentan 
bekommt von der TLS-Verschlüsselung zwischen den Mailservern keiner was 
mit, außer vielleicht der Admin selbst der von Zeit zu Zeit mal einen 
Blick ins Log wirft. Die Motivation alte und unsichere Protokolle 
auszuschließen ist gering, zumal damit nicht selten ein Upgrade des 
gesamten Systems einhergehen dürfte (s. openssl 0.9.8).

Hätte aber der User in seinem Email-Client ein direktes Feedback über 
den Übertragungsweg seiner Email, würde der Druck enorm wachsen. Und 
vielleicht würden dann auch Firmen ihren Admins mehr Zeit für die 
Wartung alter Systeme zugestehen, einfach aus dem Grund sich nicht vor 
ihren Geschäftskunden und Angestellten mit veralteten und unsicheren 
Systemen zu blamieren.





From toag at izsr.de  Tue Oct 21 12:40:18 2014
From: toag at izsr.de (Tim-Ole)
Date: Tue, 21 Oct 2014 12:40:18 +0200
Subject: [Postfixbuch-users] Postfix, Mailman und virtual Domains
Message-ID: <9E3374DC-66B9-4AD1-8524-9D370FC8B2F3@izsr.de>

Hallo, Liste,


ein bisschen OffTopic, aber vielleicht / sicherlich hat hier jemand Erfahrungen damit.

Wir haben ein Postfix mit diversen virtual Domains. Hostname ist mailserver.de, als virtual Domains in der main.cf steht:

virtual_mailbox_domains =
        neue-domain1.de
        neue-domain2.de

Hier kommt jetzt Mailman ins Spiel - aber wie?

Um Mailman einigermassen zum Laufen zu bekommen, habe ich folgende Konstruktion eingerichtet (aus den Angaben der Mailman-Doku, die halbwegs funktionierten oder die ich wenigstens verstanden habe ?):

- die Domain neue-domain.de ist in /etc/postfix/main.cf eingetragen bei virtual_mailbox_domains =
- Mailman ist installiert mit dem Verteiler ?Newsletter?
- in /etc/aliases ist nichts definiert ausser dem ursprünglichen mailman-Eintrag - oder auch newsletter, aber das ist für den Betrieb vollkommen belanglos, wie ich festgestellt habe :\
- in /etc/postfix/virtual ist angelegt, dass newsletter at neue-domain.de an newsletter at lists.mailserver.de geht

- in /etc/postfix/transport ist angelegt, dass lists.mailserver.de an mailman: übergeben wird
  lists.mailserver.de  mailman:

- in /etc/postfix/sender_canonical wird ausgehend umgeschrieben:

newsletter at mailserver.de	newsletter at neue-domain.de
newsletter at lists.mailserver.de	newsletter at neue-domain.de

- in /etc/mailman/mm_cfg.py sind diese relevanten Daten gesetzt:

MTA='Postfix'
POSTFIX_STYLE_VIRTUAL_DOMAINS = ['mailserver.de', 'neue-domain.de']

- in /etc/mailman/virtual-mailman steht:

# diese beiden hzeilen sind offensichtlich durch Mailman angelegt worden:
mailserver.com       IGNORE
@mailserver.com      @

# dieser Hinweis aus dem Netz funktionierte nicht:
#@lists.mailserver.de       @

# eigene:
newsletter at neue-domain.de newsletter at lists.mailserver.de
newsletter-admin at neue-domain.de newsletter-admin at lists.mailserver.de
newsletter-owner at neue-domain.de newsletter-owner at lists.mailserver.de
usw.

= so funktioniert das zwar halbwegs - aber das ist doch vollkommen krank und fünfmal umgebogen :(

Hat das jemand bei sich eleganter eingerichtet?

Dass man mit Mailman und virtuellem Mailhosting jeden Listennamen nur einmal setzen kann, ist mir schon klar - auch, dass Mailman und virtual Domainhosting nicht so richtigngut funktionieren soll. 

Aber das Konstrukt zum ?Umbiegen? der ganzen Mailman-Adressen, die normalerweise in /etc/aliases definiert sind, gefällrt mir nicht bzw. ich weiss nicht, wie es anders funktionieren kann. In einer virtual_alias_map (die zeigen bei uns ohnehin auf virtual_maps) kann ich auch nicht alle Mails an neue-domain.de abfangen, weil,es neben den Mailman-Adressen auch noch andere Mailaccounts dieser virtuellen Domain gibt.

Wo liegt mein Denk- oder Verständnisfehler?


Vielen Dank im Voraus für Hilfe!


mfg


toag






From lists at xunil.at  Wed Oct 22 11:19:55 2014
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 22 Oct 2014 11:19:55 +0200
Subject: [Postfixbuch-users] OT: imapsync-excludes
Message-ID: <544776BB.60409@xunil.at>


Sorry für die non-postfix-Frage ... aber postfix ist auch im Spiel hier ;-)

Ich versuche grade, einen Exchange abzulösen und will die Mailboxen per
imapsync migrieren.

Dabei will ich die "Öffentliche Ordner" ausschliessen, die synce ich
einmal in einen public namespace ... und nicht bei jedem User nochmal.

Daher suche ich nach der passenden regex aber irgendwie scheint das
nicht zu greifen (oder ich interpretiere die Ausgaben von imapsync --dry
falsch?).

Mein aktueller Versuch:

imapsync --authmech1 NTLM  --host1 host1 --user1 "$u1" --password1 "$p1" \
                 --host2 host2 --user2 "$u2" --password2 "$p2" \
                 --exclude '&ANY-ffentliche Ordner/*' \
                 --dry  ?-nofoldersizes --skipsize ?-fast

Per Google finde ich keine passenden Beispiele ... hat das jemand von
Euch schon mal erfolgreich durchgeführt?

Ich bin sicher ;-) !

Danke für jeden Tip, Stefan


From chkem08 at googlemail.com  Wed Oct 22 12:45:07 2014
From: chkem08 at googlemail.com (Christian Ke)
Date: Wed, 22 Oct 2014 12:45:07 +0200
Subject: [Postfixbuch-users] OT:Domain-Name-Registrar DNSSEC / DANE
Message-ID: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>

Hallo Postfix-Community,

im Rahmen meiner Bachelor-Thesis beschäftige ich mit mit dem Thema:
Sicherer Mailversand mit DANE in Verbindung mit einem Postfixserver.
Hierfür würde ich mir gerne eine eigene Domain zulegen, jedoch finde ich
keinen passenden deutschen Anbieter, der eine DNS-Serverstruktur vorweisen
kann, die bereits DNSSEC / DANE fähig ist. Ich würde ungern einen
DNS-Server selber hosten wollen.

Ich habe die große Anbieter
wie, InterNetWorX, Host Europe, InterNetX und Key Systems bereits
angeschrieben, wurde jeweils darauf verwiesen, dass dieser Dienst zwar
interessant für sie sei, aber bisher noch nicht implementiert. Sofern man
einen eigenen DNS-Server besitzt funktioniere die Weiterleitung jedoch.

Daher mein Frage, ob ihr evtl. weitere Domain-Name-Registrare kennt bei
denen ich eine Domain, mit den genannten
Vorraussetzungen, regestrieren lassen kann.

Mit freundlichen Grüßen

C.Kempe
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141022/078ac5ac/attachment.htm>

From sebastian at debianfan.de  Wed Oct 22 12:59:39 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 22 Oct 2014 12:59:39 +0200
Subject: [Postfixbuch-users] OT:Domain-Name-Registrar DNSSEC / DANE
In-Reply-To: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>
References: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>
Message-ID: <7943E24E-92A1-4E55-910B-C955A3C8CE59@debianfan.de>

Wk-serv.de z.B. - bin seit 5 Jahren dort Kunde & sehr zufrieden 

> Am 22.10.2014 um 12:45 schrieb Christian Ke <chkem08 at googlemail.com>:
> 
> Hallo Postfix-Community,
> 
> im Rahmen meiner Bachelor-Thesis beschäftige ich mit mit dem Thema: Sicherer Mailversand mit DANE in Verbindung mit einem Postfixserver. Hierfür würde ich mir gerne eine eigene Domain zulegen, jedoch finde ich keinen passenden deutschen Anbieter, der eine DNS-Serverstruktur vorweisen kann, die bereits DNSSEC / DANE fähig ist. Ich würde ungern einen DNS-Server selber hosten wollen.
> 
> Ich habe die große Anbieter wie, InterNetWorX, Host Europe, InterNetX und Key Systems bereits angeschrieben, wurde jeweils darauf verwiesen, dass dieser Dienst zwar interessant für sie sei, aber bisher noch nicht implementiert. Sofern man einen eigenen DNS-Server besitzt funktioniere die Weiterleitung jedoch. 
> 
> Daher mein Frage, ob ihr evtl. weitere Domain-Name-Registrare kennt bei denen ich eine Domain, mit den genannten Vorraussetzungen, regestrieren lassen kann.
> 
> Mit freundlichen Grüßen
> 
> C.Kempe
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141022/9000020c/attachment.htm>

From lists at xunil.at  Wed Oct 22 13:32:16 2014
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 22 Oct 2014 13:32:16 +0200
Subject: [Postfixbuch-users] OT: imapsync-excludes
In-Reply-To: <544776BB.60409@xunil.at>
References: <544776BB.60409@xunil.at>
Message-ID: <544795C0.4050604@xunil.at>

Am 22.10.2014 um 11:19 schrieb Stefan G. Weichinger:

> imapsync --authmech1 NTLM  --host1 host1 --user1 "$u1" --password1 "$p1" \
>                  --host2 host2 --user2 "$u2" --password2 "$p2" \
>                  --exclude '&ANY-ffentliche Ordner/*' \
>                  --dry  ?-nofoldersizes --skipsize ?-fast
> 
> Per Google finde ich keine passenden Beispiele ... hat das jemand von
> Euch schon mal erfolgreich durchgeführt?
> 
> Ich bin sicher ;-) !

Anfrage an deren ML ist auch draußen ... bevor mich jemand rügt ;-)

Ich habe alle möglichen Formulierungen versucht, scheitere aber nach wie
vor. Irgendwie ist das ein "special folder" und wird wohl anders
behandelt, ich muß mal in das Script schauen ...

S


From Christian.Schmidt at chemie.uni-hamburg.de  Wed Oct 22 14:32:26 2014
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Wed, 22 Oct 2014 14:32:26 +0200
Subject: [Postfixbuch-users] OT:Domain-Name-Registrar DNSSEC / DANE
In-Reply-To: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>
References: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>
Message-ID: <5447A3DA.20100@chemie.uni-hamburg.de>

On 22.10.2014 12:45, Christian Ke wrote:
> Ich habe die große Anbieter
> wie, InterNetWorX, Host Europe, InterNetX und Key Systems bereits
> angeschrieben, wurde jeweils darauf verwiesen, dass dieser Dienst zwar
> interessant für sie sei, aber bisher noch nicht implementiert.

Ich könnte mir vorstellen, dass unsere Listmom Peer Heinlein dort evtl.
behilflich sein könnte. Alternativ vielleicht die Crew von sys4, die
hier auch alle mitlesen und -schreiben.

Mit freundlichen Grüßen
Christian Schmidt

-- 
No signature available.


From p.heinlein at heinlein-support.de  Wed Oct 22 16:42:55 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 22 Oct 2014 16:42:55 +0200
Subject: [Postfixbuch-users] OT:Domain-Name-Registrar DNSSEC / DANE
In-Reply-To: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>
References: <CAN4Lmh9gQ3FqCETX5-szq6_m3vHct7adZsPAoPJXL4cGKi360w@mail.gmail.com>
Message-ID: <5447C26F.7090704@heinlein-support.de>

Am 22.10.2014 12:45, schrieb Christian Ke:
> m Rahmen meiner Bachelor-Thesis beschäftige ich mit mit dem Thema:
> Sicherer Mailversand mit DANE in Verbindung mit einem Postfixserver.
> Hierfür würde ich mir gerne eine eigene Domain zulegen, jedoch finde ich
> keinen passenden deutschen Anbieter, der eine DNS-Serverstruktur
> vorweisen kann, die bereits DNSSEC / DANE fähig ist. Ich würde ungern
> einen DNS-Server selber hosten wollen.

Machen wir gerne mit links für Dich.

http://www.jpberlin.de

Mail an support at jpberlin.de und CC: an mich.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From robert.rottermann at gmx.ch  Wed Oct 22 16:46:05 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Wed, 22 Oct 2014 16:46:05 +0200
Subject: [Postfixbuch-users] postgres/dovecot behaupten die mailbox sei
 voll (was nicht stimmt)
In-Reply-To: <5445350E.2030206@heinlein-support.de>
References: <54450E87.1010708@gmx.ch> <5445350E.2030206@heinlein-support.de>
Message-ID: <5447C32D.4050801@gmx.ch>

Peer,
danke für die Antwort.

Deine Vermutung, dass Dovecot beim kalkulieren des genutzten Platzes 
recht hat ist richtig.
Beim bereitstellen der Daten, um Deine Fragen zu beantworten, habe ich 
gemerkt, dass irgendwo etwas schief konfiguriert ist:
die Mail Directories sind zweifach vorhanden:
einmal unter:
/var/syscp/mails/redcor/bauholzenergie.ch/juerg.kaerle
und einmal unter:
/var/syscp/mails/redcor/juerg.kaerle at bauholzenergie.ch/

es is dazu zu sagen, dass das System in den letzten 12 Jahren mehrmals 
auf neue Systeme konvertiert wurde.
da ist offensichtlich einmal was schief gelaufen.

Um Hinweise, was falsch, ist bin ich dankbar.
Genügen die beigefügten Daten?

besten Dank
robert

On 20.10.2014 18:15, Peer Heinlein wrote:
> Am 20.10.2014 15:30, schrieb robert rottermann:
>
>
> Hi,
>
>> Wenn ich das aber auf dem Server mit du überprüfe, sehe ich dass das gar
>> nicht stimmt.
> Zeigen.
>
>> Es werden (physikalisch) nur ca 20% der erlaubten Menge genutzt.
>> Wenn ich hingegen mit
>> doveadm quota get -u xxx at yyy.ch abfrage, erhalte ich folgende Antwort:
>> Quota name Type      Value
>> Limit                                                         %
>>             STORAGE 1231685
>> 1228800                                                       100
>>             MESSAGE    2732
>> -                                                         0
>>
>> auch
>> doveadm quota recalc -u xxx at yyy.ch
> Tja, dann sollte man mal ernsthaft damit rechnen DASS das stimmt.
>
>> kann mir jemand bitte sagen, wo ich da schrauben kann?
> Ohne Details keine Antworten.
>
> Bitte zeigen:
>
> a) doveconf -n
root at susanne 
~/mailing/MailingsUsw/redhotnews/bauholz/kongress/mailing_kongress_14 # 
doveconf -n
# 2.2.9: /etc/dovecot/dovecot.conf
# OS: Linux 3.13.0-36-generic x86_64 Ubuntu 14.04.1 LTS
auth_debug = yes
auth_debug_passwords = yes
disable_plaintext_auth = no
mail_access_groups = vmail
mail_debug = yes
mail_location = maildir:~/.Maildir
mail_plugins = quota
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope 
encoded-character vacation subaddress comparator-i;ascii-numeric 
relational regex imap4flags copy include variables body enotify 
environment mailbox date ihave
passdb {
   args = /etc/dovecot/dovecot-sql.conf.ext
   driver = sql
}
plugin {
   quota = maildir
   sieve = ~/.dovecot.sieve
   sieve_dir = ~/sieve
}
protocols = imap pop3 sieve
service auth {
   unix_listener /var/spool/postfix/private/auth {
     group = postfix
     mode = 0660
     user = postfix
   }
   unix_listener /var/spool/postfix/private/dovecot-auth {
     group = postfix
     mode = 0660
     user = postfix
   }
   unix_listener auth-userdb {
     group = vmail
     user = vmail
   }
}
ssl_cert = </etc/postfix/sslcert/mailserver.crt
ssl_cipher_list = 
ALL:!LOW:!SSLv2:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:+HIGH:+MEDIUM
ssl_key = </etc/postfix/sslcert/mailserver.key
userdb {
   args = /etc/dovecot/dovecot-sql.conf.ext
   driver = sql
}
protocol imap {
   imap_client_workarounds = delay-newmail
   mail_max_userip_connections = 10
   mail_plugins = quota imap_quota
}
protocol pop3 {
   mail_max_userip_connections = 10
   mail_plugins = quota
   pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
   pop3_uidl_format = UID%u-%v
}
protocol lda {
   deliver_log_format = msgid=%m: %$
   mail_plugins = sieve
   postmaster_address = rejected at redcor.ch
   quota_full_tempfail = yes
   rejection_reason = Your message to <%t> was automatically rejected:%n%r
}

> b) Das "du"-Kommando mit einem pwd davor
root at susanne /var/syscp/mails/redcor # du 
`pwd`/juerg.kaerle at bauholzenergie.ch/ -sh
177M    /var/syscp/mails/redcor/juerg.kaerle at bauholzenergie.ch/

> c) den Output von "doveadm user xxx at yyy.ch"
root at susanne /var/syscp/mails/redcor # doveadm user 
juerg.kaerle at bauholzenergie.ch
field    value
uid    2000
gid    2000
home /var/syscp/mails/redcor/bauholzenergie.ch/juerg.kaerle/Maildir/
mail maildir:/var/syscp/mails/redcor/bauholzenergie.ch/juerg.kaerle/Maildir/
quota_rule    *:storage=2048000

>
> Peer
>
>
>
>



From p.heinlein at heinlein-support.de  Wed Oct 22 16:47:32 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 22 Oct 2014 16:47:32 +0200
Subject: [Postfixbuch-users] OT: imapsync-excludes
In-Reply-To: <544776BB.60409@xunil.at>
References: <544776BB.60409@xunil.at>
Message-ID: <5447C384.2000004@heinlein-support.de>

Am 22.10.2014 11:19, schrieb Stefan G. Weichinger:

> imapsync --authmech1 NTLM  --host1 host1 --user1 "$u1" --password1 "$p1" \
>                  --host2 host2 --user2 "$u2" --password2 "$p2" \
>                  --exclude '&ANY-ffentliche Ordner/*' \
>                  --dry  ?-nofoldersizes --skipsize ?-fast

--exclude erfordert einen REGEXP, siehe auch die Hilfe:

--exclude     <regex>  : Skips folders matching this regular expression

Versuche es mal mit:

'&ANY-ffentliche Ordner/.*'

Also ".*" und ansonsten schick doch bitte die Ausgabe von imapsync,
damit man die genauen Details und Daten auch sehen kann. Sonst kann man
ohne hellseherische Fähigkeiten den Fehler auch nicht finden.

Schönen Gruß

Peer Heinlein



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From p.heinlein at heinlein-support.de  Wed Oct 22 17:36:01 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Wed, 22 Oct 2014 17:36:01 +0200
Subject: [Postfixbuch-users] postgres/dovecot behaupten die mailbox sei
 voll (was nicht stimmt)
In-Reply-To: <5447C32D.4050801@gmx.ch>
References: <54450E87.1010708@gmx.ch> <5445350E.2030206@heinlein-support.de>
 <5447C32D.4050801@gmx.ch>
Message-ID: <5447CEE1.7050000@heinlein-support.de>

Am 22.10.2014 16:46, schrieb robert rottermann:


Hi,

> Deine Vermutung, dass Dovecot beim kalkulieren des genutzten Platzes
> recht hat ist richtig.

Nicht bei jeder SOftware, aber bei Postfix und Dovecot sollte man zu 98%
immer davon ausgehen, daß die recht haben und man selbst nur noch nicht
verstanden hat, warum die recht haben.

> die Mail Directories sind zweifach vorhanden:
> einmal unter:
> /var/syscp/mails/redcor/bauholzenergie.ch/juerg.kaerle
> und einmal unter:
> /var/syscp/mails/redcor/juerg.kaerle at bauholzenergie.ch/

Und? Was ist in dem zweiten Pfad denn drin?

Alte Mails? Neue Mails? Gar nichts? Ich sehe gerade nicht, wo/wie der
zweite Pfad erzeugt oder benutzt wird und wie das mit den Quotas was zu
tun hat. Oder sind das einfach nur alte tote Verzeichnisse? Dann wären
die ja egal.

> Genügen die beigefügten Daten?

Nein, ich hätte gerne mal userdb- und passdb-Abfrage aus
dovecot-sql.conf. Die Frage ist ja, was da zu Quotas und vor allem auch
$HOME definiert ist und ob userdb- und passdb-Abfrage sich bei der
Generierung von $HOME wiedersprechen.

> mail_location = maildir:~/.Maildir

Also $HOME und ./Maildir -- soweit, so gut. Warum Du das Maildir mit
einem "." versteckst, kapiere ich nicht; nimm den Default, dann hast Du
keinen Streß. Schaden sollte es nicht, aber es gibt einfach keinen Grund
hier zu verkonfigurieren und etwas abweichend vom Standard zu machen.

Solltest Du mal mein auto-Feature in Dovecot nutzen (automatische
Erkennung des Storage-Formates) dann würde er nur ein ~/Maildir richtig
erkennen. Also warum um Himmels willen einfach so Pfade verbiegen?!

Aber, das ist (sicher? vermutlich?) nicht das Problem.

> root at susanne /var/syscp/mails/redcor # doveadm user
> juerg.kaerle at bauholzenergie.ch
> field    value
> uid    2000
> gid    2000
> home /var/syscp/mails/redcor/bauholzenergie.ch/juerg.kaerle/Maildir/
> mail
> maildir:/var/syscp/mails/redcor/bauholzenergie.ch/juerg.kaerle/Maildir/

Aber hier stinkt was.

a) Wenn oben ".Maildir" steht, warum taucht dann hier im mail-Pfad nur
"Maildir" auf, also ohne Punkt? Hier KANN etwas in der von Dir gezeigten
Konfiguration nicht stimmen. Wenn stimmt, was Du postest, dann MUSS hier
ein ".Maildir" stehen. Tut es aber nicht.

b) Wenn $home hier schon auf "Maildir" endet, die mail_location oben
aber angeblich ~/.Maildir heißt, dann wären hier zwei mal Maildir am
Ende. Ist aber auch nicht der Fall.

Ergo: Ganz egal, ob das was mit Deinem Quota-Problem zu tun hat (hat's
ja vielleicht sogar): Fest steht, daß die hier von Dir gezeigte
Konfiguration sicherlich nicht die Konfig ist, die Du hier betreibst.
Das stimmt einfach nicht -- und da schmort dann vermutlich auch Dein
Problem.

Peer





-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From lists at xunil.at  Wed Oct 22 18:08:21 2014
From: lists at xunil.at (Stefan G. Weichinger)
Date: Wed, 22 Oct 2014 18:08:21 +0200
Subject: [Postfixbuch-users] OT: imapsync-excludes
In-Reply-To: <5447C384.2000004@heinlein-support.de>
References: <544776BB.60409@xunil.at> <5447C384.2000004@heinlein-support.de>
Message-ID: <5447D675.4080002@xunil.at>

Am 22.10.2014 um 16:47 schrieb Peer Heinlein:
> Am 22.10.2014 11:19, schrieb Stefan G. Weichinger:
> 
>> imapsync --authmech1 NTLM  --host1 host1 --user1 "$u1" --password1 "$p1" \
>>                  --host2 host2 --user2 "$u2" --password2 "$p2" \
>>                  --exclude '&ANY-ffentliche Ordner/*' \
>>                  --dry  ?-nofoldersizes --skipsize ?-fast
> 
> --exclude erfordert einen REGEXP, siehe auch die Hilfe:
> 
> --exclude     <regex>  : Skips folders matching this regular expression
> 
> Versuche es mal mit:
> 
> '&ANY-ffentliche Ordner/.*'
> 
> Also ".*" und ansonsten schick doch bitte die Ausgabe von imapsync,
> damit man die genauen Details und Daten auch sehen kann. Sonst kann man
> ohne hellseherische Fähigkeiten den Fehler auch nicht finden.

ja, schon klar, aber die Ausgaben sind Kilometer lang ;-)

Dein Vorschlag klang gut, klappte aber auch nicht.
Aber jetzt hab ich's, denke ich ->

Der Whitespace war's ...

--exclude '&ANY-ffentliche\ Ordner/.*'   ... works!

cool, dann lege ich mal los mit den vielen vielen Usern ;-)

Danke, beste Grüße, Stefan




From postfix at linuxmaker.com  Thu Oct 23 09:53:16 2014
From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=)
Date: Thu, 23 Oct 2014 09:53:16 +0200
Subject: [Postfixbuch-users] =?utf-8?q?UNCHECKED-Markierung_in_verschl?=
	=?utf-8?q?=C3=BCsselten_Mails?=
Message-ID: <2141124.Y5OEd0UPl8@stuttgart>

Hallo,

ich habe auf einem Debian Jessie-Server Postfix mit Amavis-new (1:2.7.1-2) am 
Laufen. 
Wenn ich mit GPG verschlüsselte Mails versende oder erhalte, dann meldet mir 
Amavis in einer Systemmail "UNCHECKED contents in mail TO YOU from" und die 
eigentliche Mail wird im Subject mit ***UNCHECKED*** markiert.

Kann man das für verschlüsselte Mails in Amavis irgendwie abstellen?

Vielen Dank,

Andreas


From p at sys4.de  Thu Oct 23 10:05:01 2014
From: p at sys4.de (Patrick Ben Koetter)
Date: Thu, 23 Oct 2014 10:05:01 +0200
Subject: [Postfixbuch-users] =?utf-8?q?UNCHECKED-Markierung_in_verschl?=
 =?utf-8?q?=C3=BCsselten_Mails?=
In-Reply-To: <2141124.Y5OEd0UPl8@stuttgart>
References: <2141124.Y5OEd0UPl8@stuttgart>
Message-ID: <20141023080501.GD5891@sys4.de>

* Andreas Günther <postfixbuch-users at listen.jpberlin.de>:
> Hallo,
> 
> ich habe auf einem Debian Jessie-Server Postfix mit Amavis-new (1:2.7.1-2) am 
> Laufen. 
> Wenn ich mit GPG verschlüsselte Mails versende oder erhalte, dann meldet mir 
> Amavis in einer Systemmail "UNCHECKED contents in mail TO YOU from" und die 
> eigentliche Mail wird im Subject mit ***UNCHECKED*** markiert.
> 
> Kann man das für verschlüsselte Mails in Amavis irgendwie abstellen?

%final_destiny_by_ccat = (
  CC_VIRUS,             sub { c('final_virus_destiny') },
  CC_BANNED,            sub { c('final_banned_destiny') },
  CC_UNCHECKED,         sub { c('final_unchecked_destiny') },
  CC_UNCHECKED.',1',    D_PASS,
  CC_SPAM,              sub { c('final_spam_destiny') },
  CC_BADH,              sub { c('final_bad_header_destiny') },
  CC_MTA.',1',          D_TEMPFAIL,
  CC_MTA.',2',          D_REJECT,
  CC_OVERSIZED,         D_BOUNCE,
  CC_CATCHALL,          D_PASS,
);

%admin_maps_by_ccat = (
  CC_VIRUS,       sub { ca('virus_admin_maps') },
  CC_BANNED,      sub { ca('banned_admin_maps') },
  CC_UNCHECKED,   sub { ca('virus_admin_maps') },
  CC_UNCHECKED.',1',    undef,
  CC_SPAM,        sub { ca('spam_admin_maps') },
  CC_BADH,        sub { ca('bad_header_admin_maps') },
);


p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From werner at aloah-from-hell.de  Thu Oct 23 10:44:58 2014
From: werner at aloah-from-hell.de (Werner Detter)
Date: Thu, 23 Oct 2014 10:44:58 +0200
Subject: [Postfixbuch-users]
 =?iso-8859-1?q?UNCHECKED-Markierung_in_versch?=
 =?iso-8859-1?q?l=FCsselten_Mails?=
In-Reply-To: <20141023080501.GD5891@sys4.de>
References: <2141124.Y5OEd0UPl8@stuttgart> <20141023080501.GD5891@sys4.de>
Message-ID: <5448C00A.4050502@aloah-from-hell.de>

Am 23.10.14 10:05, schrieb Patrick Ben Koetter:
> * Andreas Günther <postfixbuch-users at listen.jpberlin.de>:
>> Hallo,
>>
>> ich habe auf einem Debian Jessie-Server Postfix mit Amavis-new (1:2.7.1-2) am 
>> Laufen. 
>> Wenn ich mit GPG verschlüsselte Mails versende oder erhalte, dann meldet mir 
>> Amavis in einer Systemmail "UNCHECKED contents in mail TO YOU from" und die 
>> eigentliche Mail wird im Subject mit ***UNCHECKED*** markiert.
>>
>> Kann man das für verschlüsselte Mails in Amavis irgendwie abstellen?
> 
> %final_destiny_by_ccat = (
>   CC_VIRUS,             sub { c('final_virus_destiny') },
>   CC_BANNED,            sub { c('final_banned_destiny') },
>   CC_UNCHECKED,         sub { c('final_unchecked_destiny') },
>   CC_UNCHECKED.',1',    D_PASS,
>   CC_SPAM,              sub { c('final_spam_destiny') },
>   CC_BADH,              sub { c('final_bad_header_destiny') },
>   CC_MTA.',1',          D_TEMPFAIL,
>   CC_MTA.',2',          D_REJECT,
>   CC_OVERSIZED,         D_BOUNCE,
>   CC_CATCHALL,          D_PASS,
> );
> 
> %admin_maps_by_ccat = (
>   CC_VIRUS,       sub { ca('virus_admin_maps') },
>   CC_BANNED,      sub { ca('banned_admin_maps') },
>   CC_UNCHECKED,   sub { ca('virus_admin_maps') },
>   CC_UNCHECKED.',1',    undef,
>   CC_SPAM,        sub { ca('spam_admin_maps') },
>   CC_BADH,        sub { ca('bad_header_admin_maps') },
> );

Moin,

$undecipherable_subject_tag = undef;

VG,
Werner




From postfix at linuxmaker.com  Thu Oct 23 11:06:10 2014
From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=)
Date: Thu, 23 Oct 2014 11:06:10 +0200
Subject: [Postfixbuch-users] =?utf-8?q?UNCHECKED-Markierung_in_verschl?=
	=?utf-8?q?=C3=BCsselten_Mails?=
In-Reply-To: <5448C00A.4050502@aloah-from-hell.de>
References: <2141124.Y5OEd0UPl8@stuttgart> <20141023080501.GD5891@sys4.de>
 <5448C00A.4050502@aloah-from-hell.de>
Message-ID: <3917195.Uim2UPQBCr@stuttgart>

Vielen Dank, 

für Euere Posts. Die Markierung ist raus nachdem ich euere Vorschläge in 50-
user angehängt habe. Die Unchecked-Benachrichtung kommt jedoch immer noch, was 
ein bisschen nervig ist.

Grüße

Andreas



From postfix at online-webservice24.de  Fri Oct 24 11:41:32 2014
From: postfix at online-webservice24.de (Online-WebService23 - Postfix)
Date: Fri, 24 Oct 2014 11:41:32 +0200
Subject: [Postfixbuch-users] Exchange 2011 und Postfix mit Dovecot
Message-ID: <!&!AAAAAAAAAAAuAAAAAAAAALBeM0/kY8tOrNItOpjY3SQBAIoADrCeb8NHg15vbto+JDUAAAAAlgYAABAAAAAeIoddf4wxRay26Sk+QhyUAQAAAAA=@online-webservice24.de>

 
Hallo Gruppe,
 
vielleicht habt ihr eine Idee, ich habe Kunden, bei denen Exchange 2011
läuft und die mittels
Pop3 Connector bei mir am Server abrufen ...
Das funktioniert auch so weit, nur dass der bei Returnmails das Abholen
abbricht und die dadurch
in den cur Ordner verschoben werden ...
Dies passiert aber ausschließlich bei Returnmals ...
 
Habt ihr auch so eine Fenomen oder eine Idee, woran das liegen kann ???

ich danke euch LG ...
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141024/3a9a5b72/attachment.htm>

From ralf.hansen2000 at yahoo.de  Fri Oct 24 15:02:18 2014
From: ralf.hansen2000 at yahoo.de (Ralf Hansen)
Date: Fri, 24 Oct 2014 15:02:18 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Frage_zu_Regex-Pr=C3=BCfungen_in_He?=
	=?utf-8?q?ader-checks?=
Message-ID: <544A4DDA.7090205@yahoo.de>

Hi @all,

ich mache sehr viele REGEX-Prüfungen mit Postfix für header- und 
Body-Checks, die in der Regel auch gut funktionieren.
Bei einigen Regeln jedoch, haut es einfach nicht hin, z.B.

Header-Zeile:
Reply-To: "no-reply at easyremovemail.eu" <no-reply at easyremovemail.eu>

Postfix-Regel:
/^Reply-To:.*<no-reply at easyremovemail\.eu>/ REJECT   no-spam


Ich habe das sogar mit einem Regex-Tester geprüft, und der meint, es 
müsste klappen.
Die Einbindung der header- und body-checks klappt bei 500 anderen Regeln 
ja auch, daran wirds wohl nicht liegen

Gibt es hier irgendwelche Stolpersteine oder Ausnahmen, wann die 
Regex-Prüfung nicht funktioniert?

Grüße, Ralf


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141024/5ef51fa1/attachment.htm>

From ralf.petry at icloud.com  Mon Oct 27 08:39:56 2014
From: ralf.petry at icloud.com (Ralf Petry)
Date: Mon, 27 Oct 2014 08:39:56 +0100
Subject: [Postfixbuch-users] Mein Mailserver kennt mich nicht mehr
Message-ID: <544DF6CC.3040407@icloud.com>

Guten Morgen,
ich habe privat einen Mac Mini Server im Einsatz, der auch weitestgehend 
zu meiner Zufriedenheit läuft / lief. Unter anderem werkelt eine 
Kombination aus Postfix und Dovecot. Mails hole ich von meinen 
verschiedenen Postfächern vermittels fetchmail ab.
Nach dem Update auf Yosemite musste ich die Server App erneuern (von 
Version 3.2.2 auf 4). Seitdem kann fetchmail die Mails nicht mehr 
loswerden. Die Fehlermeldung lautet:
---
fetchmail: SMTP error: 550 5.1.1 <ralf at localhost>: Recipient address 
rejected: User unknown in local recipient table
---
Ich verstehe zwar, was mir die Fehlermeldung sagen will, aber ich 
verstehe nicht, warum und vor allem nicht, wie ich dem Fehler abhelfe. 
local_recipient_maps (in main.cf) steht auf:
---
proxy:unix:passwd.byname $alias_maps
---
wobei dieser Eintrag nur bei einem postconf -d erscheint. In postconf -n 
taucht der Parameter nicht auf.

Nachfolgend noch postconf -n (ah, btw. gibt es einige Warnings bezügl. 
ungenutzter Parameter. Kann ich die dann einfach auskommentieren?)
---
alias_maps = hash:/etc/aliases
biff = no
command_directory = /Applications/Server.app/Contents/ServerRoot/usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = 
/Applications/Server.app/Contents/ServerRoot/usr/libexec/postfix
data_directory = /Library/Server/Mail/Data/mta
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin 
xxgdb $daemon_directory/$process_name $process_id & sleep 5
dovecot_destination_recipient_limit = 1
header_checks = 
pcre:/Library/Server/Mail/Config/postfix/custom_header_checks
html_directory = 
/Applications/Server.app/Contents/ServerRoot/usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = all
mail_owner = _postfix
mailbox_size_limit = 0
mailbox_transport = dovecot
mailq_path = /Applications/Server.app/Contents/ServerRoot/usr/bin/mailq
manpage_directory = 
/Applications/Server.app/Contents/ServerRoot/usr/share/man
maps_rbl_domains =
message_size_limit = 104857600
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mydomain = sredzki23.local
myhostname = pymac.sredzki23.local
mynetworks = 127.0.0.0/8, [::1]/128, 192.168.178.0/24
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
postscreen_dnsbl_sites = zen.spamhaus.org*2
queue_directory = /Library/Server/Mail/Data/spool
readme_directory = 
/Applications/Server.app/Contents/ServerRoot/usr/share/doc/postfix
recipient_canonical_maps = 
hash:/Library/Server/Mail/Config/postfix/system_user_maps
recipient_delimiter = +
relayhost = smtp.1und1.de
sample_directory = 
/Applications/Server.app/Contents/ServerRoot/usr/share/doc/postfix/examples
sender_canonical_maps = 
hash:/Library/Server/Mail/Config/postfix/sender_canonical
sendmail_path = 
/Applications/Server.app/Contents/ServerRoot/usr/sbin/sendmail
setgid_group = _postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = 
hash:/Library/Server/Mail/Config/postfix/sasl/passwd
smtp_sasl_security_options = noanonymous
smtp_tls_CAfile = 
/etc/certificates/pymac.sredzki23.local.F968A7E3F6037A40D01987B6978FBC7C07528C43.chain.pem
smtp_tls_cert_file = 
/etc/certificates/pymac.sredzki23.local.F968A7E3F6037A40D01987B6978FBC7C07528C43.cert.pem
smtp_tls_key_file = 
/etc/certificates/pymac.sredzki23.local.F968A7E3F6037A40D01987B6978FBC7C07528C43.key.pem
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated 
reject_rbl_client zen.spamhaus.org permit
smtpd_enforce_tls = no
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_sasl_authenticated 
permit_mynetworks reject_unauth_destination check_policy_service 
unix:private/policy permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = pymac.sredzki23.local
smtpd_tls_CAfile = 
/etc/certificates/pymac.sredzki23.local.F968A7E3F6037A40D01987B6978FBC7C07528C43.chain.pem
smtpd_tls_cert_file = 
/etc/certificates/pymac.sredzki23.local.F968A7E3F6037A40D01987B6978FBC7C07528C43.cert.pem
smtpd_tls_ciphers = medium
smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL
smtpd_tls_key_file = 
/etc/certificates/pymac.sredzki23.local.F968A7E3F6037A40D01987B6978FBC7C07528C43.key.pem
smtpd_tls_loglevel = 0
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 550
virtual_alias_domains = $virtual_alias_maps 
hash:/Library/Server/Mail/Config/postfix/virtual_domains
virtual_alias_maps = $virtual_maps 
hash:/Library/Server/Mail/Config/postfix/virtual_users
---

Vielen Dank vorab.


From ffiene at veka.com  Sat Oct 25 18:31:58 2014
From: ffiene at veka.com (Frank Fiene)
Date: Sat, 25 Oct 2014 18:31:58 +0200
Subject: [Postfixbuch-users] SSLv3 und SSLv2
Message-ID: <7DFD0D05-5861-4D95-B542-D1DE9D927EF9@veka.com>

Moin,

ich habe mal die Parameter im Postfix laut http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/ <http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/> korrigiert.

Jetzt sagt mir mein Postfix zwar, dass SSLv3 deaktiviert ist, aber SSLv2 nicht.

WTF?

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3
Ich habe es mal mit Komma und auch ohne versucht, kann es sein, dass da ein Tippfehler passiert ist.

Auf der Projektseite von Postfix steht das mit Komma.

Gibt es noch andere Parameter?

Bei Dovecot hat es ja nach dem Ubuntu LTS Upgrade auch mit den angegebenen Parametern geklappt. Die Parameter passen nur nicht für das ältere Dovecot.


Viele Grüße!
Frank
-- 
Frank Fiene / IT-Services
Internet Services / IT-Security
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141025/08063a03/attachment.htm>

From olaf at zaplinski.de  Mon Oct 27 10:00:47 2014
From: olaf at zaplinski.de (Olaf Zaplinski)
Date: Mon, 27 Oct 2014 10:00:47 +0100
Subject: [Postfixbuch-users] SSLv3 und SSLv2
In-Reply-To: <7DFD0D05-5861-4D95-B542-D1DE9D927EF9@veka.com>
References: <7DFD0D05-5861-4D95-B542-D1DE9D927EF9@veka.com>
Message-ID: <c73817922cd7de381baf0bfce0870625@mail.zaplinski.de>

Moin!

Am 2014-10-25 18:31, schrieb Frank Fiene:
> ich habe mal die Parameter im Postfix laut
> http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/
> [1] korrigiert.
> 
> Jetzt sagt mir mein Postfix zwar, dass SSLv3 deaktiviert ist, aber
> SSLv2 nicht.
> 
> WTF?
> 
> smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
> smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
> smtp_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_protocols = !SSLv2 !SSLv3

tls_preempt_cipherlist = yes gesetzt?

Darüberhinaus habe ich bei mir (*) nur

smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = 
ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-SHA

gesetzt, smtp(d)_tls_mandatory_protocols wollte nicht funktionieren.

Olaf

(*) postfix 2.9


From ffiene at veka.com  Mon Oct 27 10:17:57 2014
From: ffiene at veka.com (Frank Fiene)
Date: Mon, 27 Oct 2014 10:17:57 +0100
Subject: [Postfixbuch-users] SSLv3 und SSLv2
In-Reply-To: <c73817922cd7de381baf0bfce0870625@mail.zaplinski.de>
References: <7DFD0D05-5861-4D95-B542-D1DE9D927EF9@veka.com>
 <c73817922cd7de381baf0bfce0870625@mail.zaplinski.de>
Message-ID: <A3E53CA6-6237-4980-96F9-A8E0FC214426@veka.com>

Oh ja, sorry. Bei mir postfix-2.11!



> Am 27.10.2014 um 10:00 schrieb Olaf Zaplinski <olaf at zaplinski.de>:
> 
> Moin!
> 
> Am 2014-10-25 18:31, schrieb Frank Fiene:
>> ich habe mal die Parameter im Postfix laut
>> http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/
>> [1] korrigiert.
>> Jetzt sagt mir mein Postfix zwar, dass SSLv3 deaktiviert ist, aber
>> SSLv2 nicht.
>> WTF?
>> smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
>> smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
>> smtp_tls_protocols = !SSLv2, !SSLv3
>> smtpd_tls_protocols = !SSLv2 !SSLv3
> 
> tls_preempt_cipherlist = yes gesetzt?
> 
> Darüberhinaus habe ich bei mir (*) nur
> 
> smtp_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_mandatory_ciphers = high
> tls_high_cipherlist = ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-SHA
> 
> gesetzt, smtp(d)_tls_mandatory_protocols wollte nicht funktionieren.
> 
> Olaf
> 
> (*) postfix 2.9
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene / IT-Services
Internet Services / IT-Security
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141027/a29bd5ae/attachment.htm>

From django at nausch.org  Wed Oct 29 17:15:18 2014
From: django at nausch.org (Django)
Date: Wed, 29 Oct 2014 17:15:18 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
Message-ID: <54511296.7020303@nausch.org>

Griaseichallemidananda!

Ich bin grad dabei meine 5 Jahre alte bewährte Konfiguration zu
durchforsten. O.K., "never touch a running system", aber das heisst ja
nicht, sich Gedanken zu machen wie man Dinge besser und einfacher machen
könnte.

Bis jetzt verwende ich bei meinen Installationen folgende Listen, ohne
nennenswerte false-positives oder anderweitigen Stress.

        reject_rbl_client zen.spamhaus.org
        reject_rbl_client ix.dnsbl.manitu.net
        reject_rbl_client bl.spamcop.net
        reject_rhsbl_client multi.uribl.com

Gibt's Einwände oder Verbesserungen? Nur her damit!


Macht eigentlich policyd-weight noch Sinn, oder fackelt man das
mittlerweilen einfacher mit RBL, RHSBL und postscreen? Wie sehen da hier
Eure Erfahrungen und Empfehlungen aus?


ttyl
Django






From postfix_ml at rirasoft.de  Wed Oct 29 17:58:51 2014
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Wed, 29 Oct 2014 17:58:51 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54511296.7020303@nausch.org>
References: <54511296.7020303@nausch.org>
Message-ID: <54511CCB.2090400@rirasoft.de>

Am 29.10.2014 um 17:15 schrieb Django:
> Griaseichallemidananda!
> 
> Ich bin grad dabei meine 5 Jahre alte bewährte Konfiguration zu
> durchforsten. O.K., "never touch a running system", aber das heisst ja
> nicht, sich Gedanken zu machen wie man Dinge besser und einfacher machen
> könnte.
> 
> Bis jetzt verwende ich bei meinen Installationen folgende Listen, ohne
> nennenswerte false-positives oder anderweitigen Stress.
> 
>         reject_rbl_client zen.spamhaus.org
>         reject_rbl_client ix.dnsbl.manitu.net
>         reject_rbl_client bl.spamcop.net
>         reject_rhsbl_client multi.uribl.com
> 
> Gibt's Einwände oder Verbesserungen? Nur her damit!
> 
> 
> Macht eigentlich policyd-weight noch Sinn, oder fackelt man das
> mittlerweilen einfacher mit RBL, RHSBL und postscreen? Wie sehen da hier
> Eure Erfahrungen und Empfehlungen aus?
> 
> 
> ttyl
> Django
> 
> 
> 
> 

Hallo Django,

ich habe zwar noch
 reject_rbl_client zen.spamhaus.org,
 reject_rbl_client ix.dnsbl.manitu.net
in meiner Konfig drin, (könnte ich auch entfernen) aber den
policyd-weight nicht mehr installiert, wird alles über postscreen
erledigt, und zwar sehr zuverlässig.

OS: CentOS7 mit postfix-2.10.1-6.el7

Gruß
Andreas


From django at nausch.org  Wed Oct 29 18:27:46 2014
From: django at nausch.org (Django)
Date: Wed, 29 Oct 2014 18:27:46 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54511CCB.2090400@rirasoft.de>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
Message-ID: <54512392.3050901@nausch.org>

Ahoi!

Am 29.10.2014 um 17:58 schrieb Andreas Reschke:

> ... aber den
> policyd-weight nicht mehr installiert, wird alles über postscreen
> erledigt, und zwar sehr zuverlässig.

Da bin ich grad dran. :)

> OS: CentOS7 mit postfix-2.10.1-6.el7

Und warum nicht "mail_version = 2.11.1" unter CentOS7 ;)


Servus
Django


From postfix_ml at rirasoft.de  Wed Oct 29 18:45:15 2014
From: postfix_ml at rirasoft.de (Andreas Reschke)
Date: Wed, 29 Oct 2014 18:45:15 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54512392.3050901@nausch.org>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
 <54512392.3050901@nausch.org>
Message-ID: <545127AB.70303@rirasoft.de>

Am 29.10.2014 um 18:27 schrieb Django:
> Ahoi!
> 
> Am 29.10.2014 um 17:58 schrieb Andreas Reschke:
> 
>> ... aber den
>> policyd-weight nicht mehr installiert, wird alles über postscreen
>> erledigt, und zwar sehr zuverlässig.
> 
> Da bin ich grad dran. :)
> 
>> OS: CentOS7 mit postfix-2.10.1-6.el7
> 
> Und warum nicht "mail_version = 2.11.1" unter CentOS7 ;)
> 
> 
> Servus
> Django
> 

Tja, wo gibt es diese Version als rpm? Muß ich morgen mal im großen
weiten I-Net suchen.

Gruß aus dem Herzen des Schwäbischen
Andreas


From sebastian at debianfan.de  Wed Oct 29 19:01:13 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 29 Oct 2014 19:01:13 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54511296.7020303@nausch.org>
References: <54511296.7020303@nausch.org>
Message-ID: <54512B69.2070309@debianfan.de>

Am 29.10.2014 17:15, schrieb Django:
> Griaseichallemidananda!
>
> Ich bin grad dabei meine 5 Jahre alte bewährte Konfiguration zu
> durchforsten. O.K., "never touch a running system", aber das heisst ja
> nicht, sich Gedanken zu machen wie man Dinge besser und einfacher machen
> könnte.
>
> Bis jetzt verwende ich bei meinen Installationen folgende Listen, ohne
> nennenswerte false-positives oder anderweitigen Stress.
>
>          reject_rbl_client zen.spamhaus.org
>          reject_rbl_client ix.dnsbl.manitu.net
>          reject_rbl_client bl.spamcop.net
>          reject_rhsbl_client multi.uribl.com
>
> Gibt's Einwände oder Verbesserungen? Nur her damit!
>
>
> Macht eigentlich policyd-weight noch Sinn, oder fackelt man das
> mittlerweilen einfacher mit RBL, RHSBL und postscreen? Wie sehen da hier
> Eure Erfahrungen und Empfehlungen aus?
>
>
> ttyl
> Django
>
>
>
>

Ich verwende policyd-weight mit eigenen Anpassungen - ein paar RBL's 
habe ich verändert:

## DNSBL settings
my @dnsbl_score = (
#    HOST,                    HIT SCORE,  MISS SCORE,  LOG NAME
     'zen.spamhaus.org',       2.75,       0,        'ZEN_SPAMHAUS',
     'bl.spamcop.net',         3.75,       0,        'SPAMCOP',
     'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU',
     'dnsbl-1.uceprotect.net', 4.75,         0,        '1_UCEPROTECT',
     'free.v4bl.org',          3.75,         0,        'FREE_V4BL_RBL',
     'bl.blocklist.de',    3.75,         0,        'BLOCKLIST_RBL',
     'spam.dnsbl.anonmails.de',    3.75,         0,        'ANONMAILS_RBL'
);


### DNSBL settings
# my @dnsbl_score = (
#    HOST,                    HIT SCORE,  MISS SCORE,  LOG NAME
#    'pbl.spamhaus.org',       3.25,          0,        'DYN_PBL_SPAMHAUS',
#    'sbl-xbl.spamhaus.org',   4.35,       -1.5,        'SBL_XBL_SPAMHAUS',
#    'bl.spamcop.net',         3.75,       -1.5,        'SPAMCOP',
#    'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU',
#    'dnsbl-1.uceprotect.net', 4.75,	     0,        '1_UCEPROTECT'
# );
#




From django at nausch.org  Wed Oct 29 19:17:43 2014
From: django at nausch.org (Django)
Date: Wed, 29 Oct 2014 19:17:43 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <545127AB.70303@rirasoft.de>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
 <54512392.3050901@nausch.org> <545127AB.70303@rirasoft.de>
Message-ID: <54512F47.4060309@nausch.org>

HI!

Am 29.10.2014 um 18:45 schrieb Andreas Reschke:

> Tja, wo gibt es diese Version als rpm? 

Hier: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_2#postfix_211

<bg>


servus
Django


From ad+lists at uni-x.org  Wed Oct 29 20:13:18 2014
From: ad+lists at uni-x.org (Alexander Dalloz)
Date: Wed, 29 Oct 2014 20:13:18 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54512F47.4060309@nausch.org>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
 <54512392.3050901@nausch.org> <545127AB.70303@rirasoft.de>
 <54512F47.4060309@nausch.org>
Message-ID: <54513C4E.9030108@uni-x.org>

Am 29.10.2014 um 19:17 schrieb Django:
> HI!
>
> Am 29.10.2014 um 18:45 schrieb Andreas Reschke:
>
>> Tja, wo gibt es diese Version als rpm?
>
> Hier: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_2#postfix_211

Warum sollte man einem anonymen Repository ohne SRPMs vertrauen?

> servus
> Django

Alexander





From django at nausch.org  Wed Oct 29 20:39:36 2014
From: django at nausch.org (Django)
Date: Wed, 29 Oct 2014 20:39:36 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54513C4E.9030108@uni-x.org>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
 <54512392.3050901@nausch.org> <545127AB.70303@rirasoft.de>
 <54512F47.4060309@nausch.org> <54513C4E.9030108@uni-x.org>
Message-ID: <54514278.4070506@nausch.org>

hi!

Am 29.10.2014 um 20:13 schrieb Alexander Dalloz:

> Warum sollte man einem anonymen Repository ohne SRPMs vertrauen?

Recht hast Du, ich vertrau dem ja auch nur, weil ich den Maintainer
kenn, die faule Sau! ;) Aber ich weiss, der ist da d'ran


Servus
Django


From sebastian at debianfan.de  Wed Oct 29 21:50:59 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 29 Oct 2014 21:50:59 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54511CCB.2090400@rirasoft.de>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
Message-ID: <54515333.4010208@debianfan.de>

Am 29.10.2014 17:58, schrieb Andreas Reschke:
> Hallo Django, ich habe zwar noch reject_rbl_client zen.spamhaus.org, 
> reject_rbl_client ix.dnsbl.manitu.net in meiner Konfig drin, (könnte 
> ich auch entfernen) aber den policyd-weight nicht mehr installiert, 
> wird alles über postscreen erledigt, und zwar sehr zuverlässig. OS: 
> CentOS7 mit postfix-2.10.1-6.el7 Gruß Andreas 

Kannst Du Deine postscreen-Konfiguration mal bitte posten?


From django at nausch.org  Wed Oct 29 22:49:44 2014
From: django at nausch.org (Django)
Date: Wed, 29 Oct 2014 22:49:44 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <54515333.4010208@debianfan.de>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
 <54515333.4010208@debianfan.de>
Message-ID: <545160F8.8050904@nausch.org>

HI!

Am 29.10.2014 um 21:50 schrieb sebastian at debianfan.de:

> Kannst Du Deine postscreen-Konfiguration mal bitte posten?

Wer? ich?

Na gut:
################################################################################
## Postscreen
#
# Django : 2014-10-29 - PERMANENT WHITE/BLACKLIST TEST
# default: postscreen_access_list = permit_mynetworks
postscreen_access_list = permit_mynetworks
                         cidr:/etc/postfix/postscreen_whitelist
#
# default: postscreen_blacklist_action = ignore
postscreen_blacklist_action = drop


# Django : 2014-10-29 - MAIL EXCHANGER POLICY TESTS
# default: postscreen_whitelist_interfaces = static:all
postscreen_whitelist_interfaces = !88.217.171.167
                                  static:all


# Django : 2014-10-29 - BEFORE 220 GREETING TESTS
# default: postscreen_dnsbl_threshold = 1
postscreen_dnsbl_threshold = 2
#
# default: postscreen_dnsbl_sites =
postscreen_dnsbl_sites = zen.spamhaus.org*2
                         bl.spamcop.net*1
                         b.barracudacentral.org*1
                         swl.spamhaus.org*2
#
# default: postscreen_dnsbl_action = ignore
postscreen_dnsbl_action = enforce
#
# default: postscreen_greet_banner = $smtpd_banner
#
# default: postscreen_greet_action = ignore
postscreen_greet_action = enforce


# Django : 2014-10-29 - AFTER 220 GREETING TESTS
# default: postscreen_bare_newline_action = ignore
postscreen_bare_newline_action = drop
#
# default: postscreen_bare_newline_enable = no
postscreen_bare_newline_enable = yes
#
# default: postscreen_non_smtp_command_enable = no
postscreen_non_smtp_command_enable = yes
# default: postscreen_non_smtp_command_action = drop
#
# default: postscreen_pipelining_enable = no
postscreen_pipelining_enable = yes
#
# default: postscreen_pipelining_action = enforce


und hier die master.cf
smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
          -o
smtpd_milters=${spf_milter},${opendkim_milter},${opendmarc_milter},${amavisd_milter}
dnsblog   unix  -       -       n       -       0       dnsblog
tlsproxy  unix  -       -       n       -       0       tlsproxy


Servus
Django


From thomas at preissler.me  Wed Oct 29 23:01:12 2014
From: thomas at preissler.me (=?UTF-8?Q?Thomas_Prei=C3=9Fler?=)
Date: 29 Oct 2014 23:01:12 +0100
Subject: [Postfixbuch-users] RBL, RHSBL und policyd-weight
In-Reply-To: <545160F8.8050904@nausch.org>
References: <54511296.7020303@nausch.org> <54511CCB.2090400@rirasoft.de>
 <54515333.4010208@debianfan.de> <545160F8.8050904@nausch.org>
Message-ID: <73EC521D-1F37-4D45-95C7-A647473593FF@preissler.me>

  Hey Django,


> postscreen_dnsbl_sites = zen.spamhaus.org*2
> bl.spamcop.net*1
> b.barracudacentral.org*1
> swl.spamhaus.org*2


Bist du dir sicher, dass du der Whitelist swl.spamhaus.org auch einen positiven Wert geben willst? Müsste das nicht eher swl.spamhaus.org*-2 heißen?


Viele Grüße
Thomas

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141029/aa3b2e83/attachment.htm>

From django at nausch.org  Thu Oct 30 14:33:34 2014
From: django at nausch.org (django at nausch.org)
Date: Thu, 30 Oct 2014 14:33:34 +0100
Subject: [Postfixbuch-users]
 =?utf-8?q?Frage_zu_Regex-Pr=C3=BCfungen_in_He?=
 =?utf-8?q?ader-checks?=
In-Reply-To: <544A4DDA.7090205@yahoo.de>
Message-ID: <20141030143334.Horde.iREvTqpjVqzlXfTXVhza8A2@xn--bro-hoa.nausch.org>

HI Ralf,

Quoting Ralf Hansen <ralf.hansen2000 at yahoo.de>:

nicht, dass ich wüsste, aber probiers doch einfach mal so:
/^Reply-To:.*no-reply at easyremovemail\.eu.*/ REJECT   no-spam

(nur mal so aus der Hüfte geschossen ...)


Servus
Django
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: Digitale PGP-Signatur
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20141030/37225391/attachment.sig>

From lists at xunil.at  Fri Oct 31 19:05:14 2014
From: lists at xunil.at (Stefan G. Weichinger)
Date: Fri, 31 Oct 2014 19:05:14 +0100
Subject: [Postfixbuch-users] OT: imapsync-excludes
In-Reply-To: <5447D675.4080002@xunil.at>
References: <544776BB.60409@xunil.at> <5447C384.2000004@heinlein-support.de>
 <5447D675.4080002@xunil.at>
Message-ID: <5453CF5A.1060702@xunil.at>

Am 22.10.2014 um 18:08 schrieb Stefan G. Weichinger:

> Der Whitespace war's ...
> 
> --exclude '&ANY-ffentliche\ Ordner/.*'   ... works!
> 
> cool, dann lege ich mal los mit den vielen vielen Usern ;-)

.. der Autor hat mein Feedback schon in seine neue Version aufgenommen,
und das Verhalten bezgl. der Regexes verändert.

-

Zusatzfrage .... komplementär, quasi:

Wenn ich die "öffentlichen Ordner" in Richtung eines public namespaces
(dovecot) syncen will, so daß die dort dann für alle User automatisch
"eingeblendet" sind ... muß ich dann im Rahmen von imapsync den Prefix
umschreiben, um quasi den Ziel-Ordner zu modifzieren?

ala

--prefix1 '&ANY-ffentliche\ Ordner/' --prefix2 'Public/'

?

Danke, Stefan


From lists at xunil.at  Fri Oct 31 20:27:22 2014
From: lists at xunil.at (Stefan G. Weichinger)
Date: Fri, 31 Oct 2014 20:27:22 +0100
Subject: [Postfixbuch-users] OT: imapsync-excludes
In-Reply-To: <5453CF5A.1060702@xunil.at>
References: <544776BB.60409@xunil.at> <5447C384.2000004@heinlein-support.de>
 <5447D675.4080002@xunil.at> <5453CF5A.1060702@xunil.at>
Message-ID: <5453E29A.6040605@xunil.at>

Am 31.10.2014 um 19:05 schrieb Stefan G. Weichinger:

> ala
> 
> --prefix1 '&ANY-ffentliche\ Ordner/' --prefix2 'Public/'

was besser tut, ist etwas wie:

--regextrans2 's!&ANY-ffentliche\ Ordner!Oeffentlich!'

... wenn der Ziel-Namespace "Oeffentlich" heißt ... ein Umlaut-Ö hab ich
mich in der dovecot.conf bislang nicht getraut ;-)