From sebastian at debianfan.de  Tue Sep  2 21:36:47 2014
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Tue, 02 Sep 2014 21:36:47 +0200
Subject: [Postfixbuch-users] seltsamer Linkspam - wie abwehren
Message-ID: <54061C4F.9050304@debianfan.de>

Hallo & Guten Abend zusammen,

ich bekomme seit längerem "seltsamen Spam", d.h. Mails von kryptischen 
Adressen mit Links zu Unterseiten von irgendwelchen Domains.

Vermutlich hat irgendwer auf den Servern der Domains einzelne Seiten 
eingeschoben und schickt die Links per Mail.
Hinter den Links verbirgt sich von Trojanern bis zum Laden für blaue 
Pillen alles.

Wie kann man dieses abwehren?

gruß
Sebastian

Return-Path: <stofi at inmail.sk>
Delivered-To: sebastian at meinserver.de
X-policyd-weight: using cached result; rate: -6.2
X-Greylist: delayed 349 seconds by postgrey-1.34 at meinserver.de; Tue, 02 Sep 2014 21:24:52 CEST
Received: from smtp.inmail24.com (ri2.inmail24.com [217.198.113.97])
	by meinserver.de (Postfix) with ESMTPS id E5B5120B9B
	for <sebastian at meinserver.de>; Tue,  2 Sep 2014 21:24:42 +0200 (CEST)
X-Amavis-Modified: Mail body modified (using disclaimer) - smtp.inmail24.com
Received: from smtp.inmail24.com ([217.198.113.94])
	by localhost (smtp.inmail24.com [127.0.0.1]) (amavisd-new, port 10026)
	with LMTP id ejVQh6Vt3Hni; Tue,  2 Sep 2014 21:18:56 +0200 (CEST)
Received: from xupivadi (unknown [181.67.67.60])
	(Authenticated sender: stofi at inmail.sk)
	by smtp.inmail24.com (Postfix) with ESMTPA id E58B610A83;
	Tue,  2 Sep 2014 21:18:52 +0200 (CEST)
Message-ID: <CC41F7A4CFCF94D66D99890A3C13C834 at xupivadi>
From: "uofpussylicking" <stofi at inmail.sk>
To: <ggoyo28 at yahoo.com>
Subject:
Date: Wed, 3 Sep 2014 01:13:24 -0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0083_01CF2195.5082C2A0"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3508.205
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3508.205

This is a multi-part message in MIME format.

------=_NextPart_000_0083_01CF2195.5082C2A0
Content-Type: text/plain;
	charset="charset=us-ascii"
Content-Transfer-Encoding: quoted-printable

http://yakaron.com/XXXXXanimeXXXXXXX.html
----------=0D=0A
Zoner Photo Studio 16 s rozsirenim pre celu domacnost len za 39 EUR=0D=0A
=0D=0A
Najdite si strateny alebo ukradnuty telefon pomocou aplikacie Zoner AntiVir=
us Free pre Android=0D=0A
=0D=0A
Domeny .SK len za 12.29 EUR=0D=0A
=0D=0A
Skvele knihy z vydavatelstva Zoner Press=0D=0A
=0D=0A
Mam rad Android - klikni tu

------=_NextPart_000_0083_01CF2195.5082C2A0




From wn at neessen.net  Wed Sep  3 10:05:46 2014
From: wn at neessen.net (Winfried Neessen)
Date: Wed, 03 Sep 2014 10:05:46 +0200
Subject: [Postfixbuch-users] seltsamer Linkspam - wie abwehren
In-Reply-To: <54061C4F.9050304@debianfan.de>
References: <54061C4F.9050304@debianfan.de>
Message-ID: <c2df4e196eba3a32967645ba30b24603@neessen.net>

Hi,

Am 2014-09-02 21:36, schrieb sebastian at debianfan.de:

> ich bekomme seit längerem "seltsamen Spam", d.h. Mails von kryptischen 
> Adressen mit
> Links zu Unterseiten von irgendwelchen Domains.
> 

Hab' mal die Mail die Du angehaengt hattest durch einen meiner 
Spamassassins gejagt
und dort wurde sie sofort als SPAM geflaggt.

Content analysis details:   (11.5 points, 6.1 required)

  pts rule name              description
---- ---------------------- 
--------------------------------------------------
  0.0 FREEMAIL_FROM          Sender email is commonly abused enduser mail 
provider
                             (stofi[at]inmail.sk)
  2.7 RCVD_IN_PSBL           RBL: Received via a relay in PSBL
                             [217.198.113.97 listed in psbl.surriel.com]
  3.8 RCVD_IN_MSPIKE_L5      RBL: Very bad reputation (-5)
                             [217.198.113.97 listed in bl.mailspike.net]
  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
                 [Blocked - see 
<http://www.spamcop.net/bl.shtml?181.67.67.60>]
  1.4 RCVD_IN_BRBL_LASTEXT   RBL: No description available.
                             [217.198.113.97 listed in 
bb.barracudacentral.org]
  0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was 
blocked.
                             See
                             
http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
                              for more information.
                             [URIs: yakaron.com]
  3.2 DATE_IN_FUTURE_12_24   Date: is 12 to 24 hours after Received: date
-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
                             [score: 0.0000]
  0.9 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
  0.0 RCVD_IN_MSPIKE_BL      Mailspike blacklisted


Ich wuerde mal sagen, das ist die einfachste Methode sowas zu blocken.


Winni


From postfixbuch-users at 0xaffe.de  Wed Sep  3 10:11:13 2014
From: postfixbuch-users at 0xaffe.de (Mathias Jeschke)
Date: Wed, 03 Sep 2014 10:11:13 +0200
Subject: [Postfixbuch-users] seltsamer Linkspam - wie abwehren
In-Reply-To: <c2df4e196eba3a32967645ba30b24603@neessen.net>
References: <54061C4F.9050304@debianfan.de>
 <c2df4e196eba3a32967645ba30b24603@neessen.net>
Message-ID: <5406CD21.9070808@0xaffe.de>

Hi Winfried,

On 09/03/2014 10:05 AM, Winfried Neessen wrote:

[...]

>   2.7 RCVD_IN_PSBL           RBL: Received via a relay in PSBL
>                              [217.198.113.97 listed in psbl.surriel.com]
>   3.8 RCVD_IN_MSPIKE_L5      RBL: Very bad reputation (-5)
>                              [217.198.113.97 listed in bl.mailspike.net]
>   1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
>                  [Blocked - see
> <http://www.spamcop.net/bl.shtml?181.67.67.60>]
>   1.4 RCVD_IN_BRBL_LASTEXT   RBL: No description available.
>                              [217.198.113.97 listed in

[...]

> Ich wuerde mal sagen, das ist die einfachste Methode sowas zu blocken.

Nun ja, *Stunden* später irgendwelche RBLs zu fragen ist nicht das was 
ich ein "reproduzierbares Ergebnis" nennen würde ;)

Mathias.


From Jogie at quantentunnel.de  Wed Sep  3 13:25:37 2014
From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=)
Date: Wed, 3 Sep 2014 13:25:37 +0200
Subject: [Postfixbuch-users] DMARC
In-Reply-To: <20140829172310.GA17071@sys4.de>
References: <5400A68C.8050804@felsing.net>, <20140829172310.GA17071@sys4.de>
Message-ID: <trinity-7b7420f4-204f-4262-b964-27e8361aa802-1409743537108@3capp-gmx-bs44>

Hallo p at trick,

> Wir nutzen es nur inbound

Wie genau macht ihr das? Gibt es da schon einen Deamon für, oder wie lässt sich das mit Postfix abbilden? Würde es auch gerne nutzen um etwas ristriktive Regeln in den smtpd_recipient_restrictions ablösen zu können.
Wie versendet ihr die XML-Report Mails zu denen, die einen DMARC-Eintrag haben?



> DMARC ist nicht so durchdacht wie es nötig wäre. Es fehlt vor allem an einer
> brauchbaren Interop mit Mailinglisten. Die neu gegründete IETF WG soll eine
> Lösung erarbeiten. Bis dahin würde ich von einer eigenen Policy absehen.

Ich finde den Ansatz sehr interessant und unterstützenswert. Da wir nicht groß mit Mailinglisten interagieren habe ich für unsere Hauptdomains und Newsletterdomains DMARC Einträge gesetzt. Ich finde, zumindest mit der Option monitor gibt es einen interssanten Einblick, ob und woher mit der eigenen Domain gespammt wird. Auch wenn sich bisher nur gefühlt 10% der Provider daran beteiligen.

Ohne Werbung machen zu wollen, beim Anbieter https://dmarcian.com/ können dann die XML-Reports in eine grafische Ansicht ausgewertet werden. Wer sich registriert, kann dann sogar die Reports direkt an den Anbieter schicken und bekommst so eine 90 Tage Statistik. Die XML-Reports manuell auszuwerten finde ich doch etwas mühsam.

Viele Grüße,
Jörg


From r.breuer at gmx.de  Wed Sep  3 13:33:05 2014
From: r.breuer at gmx.de (Ralf Breuer)
Date: Wed, 03 Sep 2014 13:33:05 +0200
Subject: [Postfixbuch-users] Ausrufezeichen im Localpart der Mailadresse
Message-ID: <0ad0b31de32be0765669e307524d17a8@rh-zw.de>

Hallo zusammen,

ich habe hier das Problem, dass Maiadressen mit einem Ausrufezeichen im 
LocalPart der Mailadresse (!abc at xyz.de oder ab!@xyz.de) von einem meiner 
Postfix-Server abgeleht (Relay access denied). Laut debug-Log bekommt 
der vorherige server die Meldung 454 4.5.1 Error: no valid recipients 
(softbounce ist an, sonst wäre es ein 500-er Fehler). Alle anderen Mails 
an, diese Domain (xyz.de) werden aber weitergeleitet.....
Laut RFC sind doch Ausrufezeichen erlaubt.

Habe die main.cf und master.cf auch schon mit unseren externen 
Mailservern verglichen (die haben diese Mail ja angenommen), in der 
Richtung keine Abweichung entdeckt.
Habe auch keine Änderung, wenn ich swap_bangpath auf "no" stelle.....

postconf -n bringt folgendes:
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
body_checks = pcre:/etc/postfix/mail_check_pcre
config_directory = /etc/postfix
header_checks = pcre:/etc/postfix/mail_check_pcre
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = ipv4
local_recipient_maps =
mailbox_command =
mailbox_size_limit = 0
message_size_limit = 55924053
mime_header_checks = pcre:/etc/postfix/mail_check_pcre
myhostname = abc.xxx.intern
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/25
myorigin = /etc/mailname
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
relay_domains = hash:/etc/postfix/relay_domains
relayhost = xyz.xxx.intern
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
soft_bounce = yes
swap_bangpath = no
transport_maps = hash:/etc/postfix/relay_domains, 
hash:/etc/postfix/edi_transport


Hat jemand von Euch eine Idee?

Viele Grüße

Ralf


From andreas.schulze at datev.de  Wed Sep  3 13:45:17 2014
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Wed, 3 Sep 2014 13:45:17 +0200
Subject: [Postfixbuch-users] DMARC
In-Reply-To: <trinity-7b7420f4-204f-4262-b964-27e8361aa802-1409743537108@3capp-gmx-bs44>
References: <5400A68C.8050804@felsing.net> <20140829172310.GA17071@sys4.de>
 <trinity-7b7420f4-204f-4262-b964-27e8361aa802-1409743537108@3capp-gmx-bs44>
Message-ID: <20140903114517.GA8227@spider.services.datevnet.de>

Am 03.09.2014 13:25 schrieb "Jörg Sitek":
> Wie genau macht ihr das? Gibt es da schon einen Deamon für, oder wie lässt sich das mit Postfix abbilden? Würde es auch gerne nutzen um etwas ristriktive Regeln in den smtpd_recipient_restrictions ablösen zu können.
> Wie versendet ihr die XML-Report Mails zu denen, die einen DMARC-Eintrag haben?

schau Dir OpenDMARC (http://www.trusteddomain.org/opendmarc.html) an.
Das ist ein Milter, der DMARC beim Empfang validieren kann und daraus auch die Reports zum Versand erzeugt.

Mailing-Listen: http://www.trusteddomain.org/mailman/listinfo

> Ich finde den Ansatz sehr interessant und unterstützenswert. Da wir nicht groß mit Mailinglisten interagieren habe ich für unsere Hauptdomains und Newsletterdomains DMARC Einträge gesetzt. Ich finde, zumindest mit der Option monitor gibt es einen interssanten Einblick, ob und woher mit der eigenen Domain gespammt wird. Auch wenn sich bisher nur gefühlt 10% der Provider daran beteiligen.
Provider/Firmen sind recht scheu, solche Reports zu versenden:

Szenario bei dem jeder Datenschützer erstmal im Dreieck springt:
 - Provider P berichtet dem Domaineigner D, dass sein Kunde K eine Mail von einem externen Dritten X
   bekommen hat/sollte wobei X die Identität von D gefälscht hat.

Und das sind nur die "harmlosen" aggregieren Reports...

> Ohne Werbung machen zu wollen, beim Anbieter https://dmarcian.com/ können dann die XML-Reports in eine grafische Ansicht ausgewertet werden. Wer sich registriert, kann dann sogar die Reports direkt an den Anbieter schicken und bekommst so eine 90 Tage Statistik. Die XML-Reports manuell auszuwerten finde ich doch etwas mühsam.
Yep, da ist man gut aufgehoben. Dennoch sollte man sich bewusst sein, dass die Server in Nordamerika stehen...

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From Ralf.Hildebrandt at charite.de  Wed Sep  3 14:02:24 2014
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 3 Sep 2014 14:02:24 +0200
Subject: [Postfixbuch-users] Ausrufezeichen im Localpart der Mailadresse
In-Reply-To: <0ad0b31de32be0765669e307524d17a8@rh-zw.de>
References: <0ad0b31de32be0765669e307524d17a8@rh-zw.de>
Message-ID: <20140903120224.GB27483@charite.de>

* Ralf Breuer <r.breuer at gmx.de>:
> Hallo zusammen,
> 
> ich habe hier das Problem, dass Maiadressen mit einem Ausrufezeichen
> im LocalPart der Mailadresse (!abc at xyz.de oder ab!@xyz.de) von einem
> meiner Postfix-Server abgeleht (Relay access denied). Laut debug-Log
> bekommt der vorherige server die Meldung 454 4.5.1 Error: no valid
> recipients (softbounce ist an, sonst wäre es ein 500-er Fehler). Alle
> anderen Mails an, diese Domain (xyz.de) werden aber
> weitergeleitet.....
> Laut RFC sind doch Ausrufezeichen erlaubt.

Als routingcharacter, ja

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de
	    


From jost+lists at dimejo.at  Wed Sep  3 14:03:38 2014
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 03 Sep 2014 14:03:38 +0200
Subject: [Postfixbuch-users] Ausrufezeichen im Localpart der Mailadresse
In-Reply-To: <0ad0b31de32be0765669e307524d17a8@rh-zw.de>
References: <0ad0b31de32be0765669e307524d17a8@rh-zw.de>
Message-ID: <5407039A.1090109@dimejo.at>

Am 03.09.2014 um 13:33 schrieb Ralf Breuer:
> Hallo zusammen,
>
> ich habe hier das Problem, dass Maiadressen mit einem Ausrufezeichen im
> LocalPart der Mailadresse (!abc at xyz.de oder ab!@xyz.de) von einem meiner
> Postfix-Server abgeleht (Relay access denied). Laut debug-Log bekommt
> der vorherige server die Meldung 454 4.5.1 Error: no valid recipients
> (softbounce ist an, sonst wäre es ein 500-er Fehler). Alle anderen Mails
> an, diese Domain (xyz.de) werden aber weitergeleitet.....
> Laut RFC sind doch Ausrufezeichen erlaubt.
>
> Habe die main.cf und master.cf auch schon mit unseren externen
> Mailservern verglichen (die haben diese Mail ja angenommen), in der
> Richtung keine Abweichung entdeckt.
> Habe auch keine Änderung, wenn ich swap_bangpath auf "no" stelle.....
>
> postconf -n bringt folgendes:
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> body_checks = pcre:/etc/postfix/mail_check_pcre
> config_directory = /etc/postfix
> header_checks = pcre:/etc/postfix/mail_check_pcre
> html_directory = /usr/share/doc/postfix/html
> inet_interfaces = all
> inet_protocols = ipv4
> local_recipient_maps =
> mailbox_command =
> mailbox_size_limit = 0
> message_size_limit = 55924053
> mime_header_checks = pcre:/etc/postfix/mail_check_pcre
> myhostname = abc.xxx.intern
> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/25
> myorigin = /etc/mailname
> readme_directory = /usr/share/doc/postfix
> recipient_delimiter = +
> relay_domains = hash:/etc/postfix/relay_domains
> relayhost = xyz.xxx.intern
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtpd_use_tls = yes
> soft_bounce = yes
> swap_bangpath = no
> transport_maps = hash:/etc/postfix/relay_domains,
> hash:/etc/postfix/edi_transport
>
>
> Hat jemand von Euch eine Idee?
>
> Viele Grüße
>
> Ralf

http://marc.info/?l=postfix-users&m=134132194913503&w=2

-- 
Alex JOST


From r.breuer at gmx.de  Wed Sep  3 15:58:58 2014
From: r.breuer at gmx.de (Ralf Breuer)
Date: Wed, 03 Sep 2014 15:58:58 +0200
Subject: [Postfixbuch-users] Ausrufezeichen im Localpart der Mailadresse
In-Reply-To: <20140903120224.GB27483@charite.de>
References: <0ad0b31de32be0765669e307524d17a8@rh-zw.de>
 <20140903120224.GB27483@charite.de>
Message-ID: <878a9e8e650927ae12b44bd934bc99d6@rh-zw.de>

Am 03.09.2014 14:02, schrieb Ralf Hildebrandt:

> * Ralf Breuer <r.breuer at gmx.de>:
> 
>> Hallo zusammen, ich habe hier das Problem, dass Maiadressen mit einem 
>> Ausrufezeichen im LocalPart der Mailadresse (!abc at xyz.de oder 
>> ab!@xyz.de) von einem meiner Postfix-Server abgeleht (Relay access 
>> denied). Laut debug-Log bekommt der vorherige server die Meldung 454 
>> 4.5.1 Error: no valid recipients (softbounce ist an, sonst wäre es ein 
>> 500-er Fehler). Alle anderen Mails an, diese Domain (xyz.de) werden 
>> aber weitergeleitet..... Laut RFC sind doch Ausrufezeichen erlaubt.
> 
> Als routingcharacter, ja
> 
> --
> Ralf Hildebrandt
> Geschäftsbereich IT | Abteilung Netzwerk
> Charité - Universitätsmedizin Berlin
> Campus Benjamin Franklin
> Hindenburgdamm 30 | D-12203 Berlin
> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
> ralf.hildebrandt at charite.de | http://www.charite.de [1]

Hallo Ralf,

wie meinst Du das, wegen UUCP?

Ich habe noch einmal nachgegrast:

The local-part of the email address may use any of these ASCII 
characters.[4] RFC 6531 permits Unicode characters beyond the ASCII 
range:

     Uppercase and lowercase English letters (a?z, A?Z) (ASCII: 65?90, 
97?122)
     Digits 0 to 9 (ASCII: 48?57)
     These special characters: ! # $ % & ' * + - / = ? ^ _ ` { | } ~

Und die externen Postfix-Server (selbe Version) nehmen ohne besonder 
Konfiguration solche Mails an.
Bin etwas ratlos....

Gruß
Ralf



From jk at jkart.de  Mon Sep  8 13:51:52 2014
From: jk at jkart.de (Jim Knuth)
Date: Mon, 08 Sep 2014 13:51:52 +0200
Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity
Message-ID: <540D9858.2030501@jkart.de>

Hallo,

ich hatte letze Woche vermehrt FP festgestellt.
DIESE eMail war eine html-Mail, aber ohne Anhang.
Nach welchen Kriterien sortiert/bewertet Sanesecurity
eigentlich und wie kann man FP weitestgehend vermeiden.


X-Amavis-Alert: INFECTED, message contains virus:
	ScamNailer.Phish._AT_t-online.de.UNOFFICIAL

Log:

Sep  5 08:30:07 server2 postfix/qmgr[30959]: AB765B7AB0B: 
from=<becker-dessau at t-online.de>, size=12544, nrcpt=1 (queue active)
Sep  5 08:30:08 server2 amavis[7568]: (07568-01) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL) 
{DiscardedInternal,Quarantined}, ORIGINATING LOCAL 
[194.25.134.85]:47294 [87.15
8.46.12] <becker-dessau at t-online.de> -> 
<a.bethge at becker-sicherheit.de>, quarantine: 
quarantine at art-domains.de, Queue-ID: AB765B7AB0B, Message-ID: 
<000c01cfc8d2$d40e5470$7c2afd50$@t-online.de
 >, mail_id: XHL5ZsHLJshE, Hits: -, size: 12544, 554 ms
Sep  5 08:30:08 server2 amavis[7568]: (07568-01) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <a.bethge at becker-sicherheit.de>, Hits: 
-, tag=-
9999.9, tag2=2.5, kill=3, L/Y/0/0
Sep  5 08:46:49 server2 postfix/qmgr[30959]: 2F3C3B7AB0B: 
from=<becker-dessau at t-online.de>, size=13632, nrcpt=1 (queue active)
Sep  5 08:46:49 server2 amavis[7566]: (07566-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL) 
{DiscardedInternal,Quarantined}, ORIGINATING LOCAL 
[194.25.134.83]:53148 [87.15
8.46.12] <becker-dessau at t-online.de> -> 
<a.bethge at becker-sicherheit.de>, quarantine: 
quarantine at art-domains.de, Queue-ID: 2F3C3B7AB0B, Message-ID: 
<001401cfc8d5$2acf9470$806ebd50$@t-online.de
 >, mail_id: EDcLJclrUjPe, Hits: -, size: 13632, 415 ms
Sep  5 08:46:49 server2 amavis[7566]: (07566-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <a.bethge at becker-sicherheit.de>, Hits: 
-, tag=-
9999.9, tag2=2.5, kill=3, L/Y/0/0
Sep  5 08:48:08 server2 postfix/qmgr[30959]: 1EC27B7AB0B: 
from=<becker-dessau at t-online.de>, size=15186, nrcpt=2 (queue active)
Sep  5 08:48:08 server2 amavis[7564]: (07564-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL) 
{DiscardedInternal,Quarantined}, ORIGINATING LOCAL 
[194.25.134.20]:45039 [87.15
8.46.12] <becker-dessau at t-online.de> -> 
<a.bethge at becker-sicherheit.de>,<d.krueger at becker-sicherheit.de>, 
quarantine: quarantine at art-domains.de, Queue-ID: 1EC27B7AB0B, 
Message-ID: <001901cfc8
d5$583a2ab0$08ae8010$@t-online.de>, mail_id: j58KH6c51McL, Hits: -, 
size: 15186, 445 ms
Sep  5 08:48:08 server2 amavis[7564]: (07564-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <a.bethge at becker-sicherheit.de>, Hits: 
-, tag=-
9999.9, tag2=2.5, kill=3, L/Y/0/0
Sep  5 08:48:08 server2 amavis[7564]: (07564-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <d.krueger at becker-sicherheit.de>, Hits: 
-, tag=
-9999.9, tag2=2.5, kill=3, L/Y/0/0
Sep  5 08:48:53 server2 postfix/qmgr[30959]: 8F744B7AB0B: 
from=<becker-dessau at t-online.de>, size=15236, nrcpt=1 (queue active)
Sep  5 08:48:53 server2 amavis[7569]: (07569-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL) 
{DiscardedInternal,Quarantined}, ORIGINATING LOCAL 
[194.25.134.83]:54423 [87.15
8.46.12] <becker-dessau at t-online.de> -> 
<u.becker at becker-sicherheit.de>, quarantine: 
quarantine at art-domains.de, Queue-ID: 8F744B7AB0B, Message-ID: 
<001e01cfc8d5$745a2dd0$5d0e8970$@t-online.de
 >, mail_id: xCfpk5Gg9QY4, Hits: -, size: 15236, 306 ms
Sep  5 08:48:53 server2 amavis[7569]: (07569-03) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <u.becker at becker-sicherheit.de>, Hits: 
-, tag=-
9999.9, tag2=2.5, kill=3, L/Y/0/0
Sep  5 09:30:15 server2 postfix/qmgr[30959]: 28430B7AB0B: 
from=<becker-dessau at t-online.de>, size=10365, nrcpt=1 (queue active)
Sep  5 09:30:15 server2 amavis[7569]: (07569-05) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL) 
{DiscardedInternal,Quarantined}, ORIGINATING LOCAL 
[194.25.134.85]:52874 [87.15
8.46.12] <becker-dessau at t-online.de> -> 
<u.becker at becker-sicherheit.de>, quarantine: 
quarantine at art-domains.de, Queue-ID: 28430B7AB0B, Message-ID: 
<000301cfc8db$3692b110$a3b81330$@t-online.de
 >, mail_id: fzYeUoNwGcQ7, Hits: -, size: 10365, 372 ms
Sep  5 09:30:15 server2 amavis[7569]: (07569-05) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <u.becker at becker-sicherheit.de>, Hits: 
-, tag=-
9999.9, tag2=2.5, kill=3, L/Y/0/0
Sep  5 09:42:24 server2 postfix/qmgr[30959]: 3A4CFB7AB0B: 
from=<becker-dessau at t-online.de>, size=12153, nrcpt=1 (queue active)
Sep  5 09:42:24 server2 amavis[7564]: (07564-06) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL) 
{DiscardedInternal,Quarantined}, ORIGINATING LOCAL 
[194.25.134.82]:36475 [87.15
8.46.12] <becker-dessau at t-online.de> -> 
<a.bethge at becker-sicherheit.de>, quarantine: 
quarantine at art-domains.de, Queue-ID: 3A4CFB7AB0B, Message-ID: 
<001b01cfc8dc$ee3a6b40$caaf41c0$@t-online.de
 >, mail_id: 9S5Hx2-Vvr1o, Hits: -, size: 12153, 379 ms
Sep  5 09:42:24 server2 amavis[7564]: (07564-06) Blocked INFECTED 
(ScamNailer.Phish._AT_t-online.de.UNOFFICIAL), 
<becker-dessau at t-online.de> -> <a.bethge at becker-sicherheit.de>, Hits: 
-, tag=-
9999.9, tag2=2.5, kill=3, L/Y/0/0


-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Ich hab nichts gegen Gott. Nur seine Fanclubs
gehen mir auf den Sack!


From postfix-user at arcor.de  Mon Sep  8 14:18:37 2014
From: postfix-user at arcor.de (andreas hildebrandt)
Date: Mon, 08 Sep 2014 14:18:37 +0200
Subject: [Postfixbuch-users]
 =?utf-8?q?Exchange=3A_G=C3=BCltige_Empf=C3=A4?=
 =?utf-8?q?nger_verifizieren?=
In-Reply-To: <5400E011.2000303@alphasrv.net>
References: <5400E011.2000303@alphasrv.net>
Message-ID: <20140908141837.Horde.30GSyDSe1439g21WAb4DWg1@mail.ahone.net>


Quoting Andre Tann <atann at alphasrv.net>:

> Moin,
>
> wenn ich das hier
>
> 	http://www.msxfaq.de/e2013/e2013recipientfilter.htm
> 	(=> Absatz "Kontrolle")
>
> richtig verstehe, kann man Exchange in der aktuellen Version nicht mehr
> so einstellen, daß address-verify korrekt funktioniert.
>
> Ist das wirklich so, oder kennt jemand einen Trick?
>

Der "Trick" wäre mit der "Mailbox-Rolle" (Mailbox Receive Connnector)  
zu sprechen und nicht mit "CAS-Rolle".


saludos
andreas


> Danke, und viele Grüße!
> --
> Andre Tann




From wolfgang.zeikat at desy.de  Mon Sep  8 15:02:13 2014
From: wolfgang.zeikat at desy.de (Zeikat, Wolfgang)
Date: Mon, 8 Sep 2014 15:02:13 +0200 (CEST)
Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity
In-Reply-To: <540D9858.2030501@jkart.de>
References: <540D9858.2030501@jkart.de>
Message-ID: <1327921337.395676.1410181333081.JavaMail.zimbra@desy.de>

Moin,

----- Original Message -----
> From: "Jim Knuth" <jk at jkart.de>
> Sent: Monday, 8 September, 2014 1:51:52 PM
> Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity

> ich hatte letze Woche vermehrt FP festgestellt.

Das ist sehr vage ...

> DIESE eMail war eine html-Mail, aber ohne Anhang.
> Nach welchen Kriterien sortiert/bewertet Sanesecurity
> eigentlich und wie kann man FP weitestgehend vermeiden.

ScamNailer wird nur von Sanesecurity vertrieben, siehe
http://sanesecurity.com/usage/signatures/
ScamNailer wird erstellt von
http://www.scamnailer.info/

Ich empfehle, FP mit von Sanesecurity verteilten Signaturen auf der Liste
http://www.freelists.org/archives/sanesecurity
zu melden.

> 	ScamNailer.Phish._AT_t-online.de.UNOFFICIAL

Hattest du nur mit dieser einen Signatur das Problem?

"vermehrt false positive mit Sanesecurity" ist m.E. zu pauschal, um den unterschiedlichen Signaturpaketen, -Herkünften und -Kriterien bei Sanesecurity gerecht zu werden.

Hope this helps,

wolfgang


From jk at jkart.de  Mon Sep  8 16:33:51 2014
From: jk at jkart.de (Jim Knuth)
Date: Mon, 8 Sep 2014 16:33:51 +0200
Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity
In-Reply-To: <1327921337.395676.1410181333081.JavaMail.zimbra@desy.de>
References: <540D9858.2030501@jkart.de>
 <1327921337.395676.1410181333081.JavaMail.zimbra@desy.de>
Message-ID: <A2D618E4-E75A-4E0F-BE2A-70BA090E3FDC@jkart.de>



> Am 08.09.2014 um 15:02 schrieb "Zeikat, Wolfgang" <wolfgang.zeikat at desy.de>:
> 
> Moin,
> 
> Hattest du nur mit dieser einen Signatur das Problem?

Ja, das waren ca 5-6 Mails
nur von t-online

Mfg

Jim Knuth
(Unterwegs)


From wolfgang.zeikat at desy.de  Mon Sep  8 17:09:09 2014
From: wolfgang.zeikat at desy.de (Zeikat, Wolfgang)
Date: Mon, 8 Sep 2014 17:09:09 +0200 (CEST)
Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity
In-Reply-To: <A2D618E4-E75A-4E0F-BE2A-70BA090E3FDC@jkart.de>
References: <540D9858.2030501@jkart.de>
 <1327921337.395676.1410181333081.JavaMail.zimbra@desy.de>
 <A2D618E4-E75A-4E0F-BE2A-70BA090E3FDC@jkart.de>
Message-ID: <1290157772.397187.1410188949705.JavaMail.zimbra@desy.de>

Die betreffende Signatur ist jetzt bei Sanesecurity in der Whitelist, ein Update der lokalen Signaturen sollte das Problem beheben.

Es kann auch eine lokale Whitelist angelegt werden, bei uns z.B.

/var/clamav/local.ign2

Da kann dann eingetragen werden:

ScamNailer.Phish._AT_t-online.de

damit clamav die entsprechende Signatur ignoriert. Das finde ich als Sofortmaßnahme hilfreich.

Gruß,

wolfgang

----- Original Message -----
Sent: Monday, 8 September, 2014 5:01:09 PM
Subject: [sanesecurity] Re: Reported FPs with ScamNailer.Phish._AT_t-online.de


On Mon, September 8, 2014 3:56 pm, Zeikat, Wolfgang wrote:
> Hi,
>
>
> on the German postfix mailing list postfixbuch-users at listen.jpberlin.de
> someone reports FPs with ScamNailer.Phish._AT_t-online.de - apparently
> with mails from <addresses>@t-online.de

Hi Wolfgang,

Whitelisted on Mirrors (using .ign2 file, thanks for the report.

Cheers,

Steve
Sanesecurity.com


From jk at jkart.de  Mon Sep  8 23:53:21 2014
From: jk at jkart.de (Jim Knuth)
Date: Mon, 08 Sep 2014 23:53:21 +0200
Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity
In-Reply-To: <1290157772.397187.1410188949705.JavaMail.zimbra@desy.de>
References: <540D9858.2030501@jkart.de>
 <1327921337.395676.1410181333081.JavaMail.zimbra@desy.de>
 <A2D618E4-E75A-4E0F-BE2A-70BA090E3FDC@jkart.de>
 <1290157772.397187.1410188949705.JavaMail.zimbra@desy.de>
Message-ID: <540E2551.3020209@jkart.de>

am 08.09.14 17:09 schrieb Zeikat, Wolfgang <wolfgang.zeikat at desy.de>:



> Die betreffende Signatur ist jetzt bei Sanesecurity in der Whitelist, ein Update der lokalen Signaturen sollte das Problem beheben.
>
> Es kann auch eine lokale Whitelist angelegt werden, bei uns z.B.
>
> /var/clamav/local.ign2
>
> Da kann dann eingetragen werden:
>
> ScamNailer.Phish._AT_t-online.de
>
> damit clamav die entsprechende Signatur ignoriert. Das finde ich als Sofortmaßnahme hilfreich.
>
> Gruß,
>
> wolfgang

recht vielen Dank für deine Hilfe, Wolfgang. Das hat geholfen
und das Problem beseitigt.


-- 
Mit freundlichen Grüßen,
with kind regards,
Jim Knuth
---------
Ein leidenschaftlicher Raucher, der immer von der
Gefahr des Rauchens für die Gesundheit liest, hört
in den meisten Fällen auf - zu lesen. [Churchill]


From wolfgang.zeikat at desy.de  Tue Sep  9 00:22:07 2014
From: wolfgang.zeikat at desy.de (Zeikat, Wolfgang)
Date: Tue, 9 Sep 2014 00:22:07 +0200 (CEST)
Subject: [Postfixbuch-users] vermehrt false positive mit Sanesecurity
In-Reply-To: <540E2551.3020209@jkart.de>
References: <540D9858.2030501@jkart.de>
 <1327921337.395676.1410181333081.JavaMail.zimbra@desy.de>
 <A2D618E4-E75A-4E0F-BE2A-70BA090E3FDC@jkart.de>
 <1290157772.397187.1410188949705.JavaMail.zimbra@desy.de>
 <540E2551.3020209@jkart.de>
Message-ID: <1592904745.398741.1410214927391.JavaMail.zimbra@desy.de>

Rehi,

zum Thema FP und Sanesecurity gibts auf
http://sanesecurity.com/support/false-positives/
Kontaktadressen für die unterschiedlichen Signatur-Dateien.

Statt über die Sanesecurity-Mailingliste können FPs auch direkt an

false_positive at sanesecurity.me.uk

gemeldet werden.

Mir scheint allerdings die Mailingliste
http://sanesecurity.com/support/mailing-list/
sinnvoller, weil es dann auch andere potentiell Betroffene schneller mitkriegen.

> From: "Jim Knuth" <jk at jkart.de>
> Sent: Monday, 8 September, 2014 11:53:21 PM
> recht vielen Dank für deine Hilfe, Wolfgang. Das hat geholfen
> und das Problem beseitigt.

Fein, gern geschehen.

Mit freundlichen Grüßen,

wolfgang


From driessen at fblan.de  Tue Sep  9 15:48:51 2014
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Tue, 9 Sep 2014 15:48:51 +0200
Subject: [Postfixbuch-users] deutsche Post versendent mails mit meiner
	Mailadresse als absender
Message-ID: <008b01cfcc34$ca219d40$5e64d7c0$@fblan.de>

Wer auf der Epostfiliale der DEUTSCHEN POST eine Anfrage stellt und Kopie
der Mail an meine Adresse zustellen auswählt 

Bekommt vom Mailserver der DEUTSCHEN POST eine Mail die als Absender 

Die eigenen Adresse enthält 
Wird diese nicht angenommen weil der DEUTSCHE Post Server nun mal NICHT die
HOHEIT (auch als ehemaliges Staatsunternehmen) über genau diese Mailadresse
hat 

Dann bekommt man vom Mailer-deamon des Mailservers der DEUTSCHEN POST eine
NICHT Zustellbarkeitsbenachrichtung  das der eigene Mailserver sich
erdreistet hat, eine Mail des deutschen Post Servers, welche unter falscher
Flagge segelte nicht anzunehmen! 

Liebe Deutsche Post wo kommen wir denn hin wenn das jeder macht und einfach
unter fremden Mailadressen mails versendet ??
Liebe Deutsche Post sowas nennt man Adressmissbrauch! 
Liebe Deutsche Post sowas nennt man Adressfälschung !

Auch wenn ich gerne eine Kopie der Anfrage habe so seid IHR der Absender
dann macht das doch bitte auch so kenntlich !

Alles andere KANN und TRIFFT GARANTIERT sehr oft auch UNBETEILIGTE Dritte.

Und mir spart die richtige Adressierung Absender/Empfänger das nachschauen
wo da was warum und wieso schiefgelaufen ist auf MEINEM Mailserver 

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




From anton at am-news.eu  Tue Sep  9 23:31:22 2014
From: anton at am-news.eu (Anton)
Date: Tue, 09 Sep 2014 23:31:22 +0200
Subject: [Postfixbuch-users] deutsche Post versendent mails mit meiner
	Mailadresse als absender
In-Reply-To: <008b01cfcc34$ca219d40$5e64d7c0$@fblan.de>
References: <008b01cfcc34$ca219d40$5e64d7c0$@fblan.de>
Message-ID: <1485c540010.2813.5513fdf845bcf599b904c72413b04302@am-news.eu>

Was hat das mit Postfix zutun?


Am 9. September 2014 15:49:04 schrieb Uwe Drießen <driessen at fblan.de>:

> Wer auf der Epostfiliale der DEUTSCHEN POST eine Anfrage stellt und Kopie
> der Mail an meine Adresse zustellen auswählt
>
> Bekommt vom Mailserver der DEUTSCHEN POST eine Mail die als Absender
>
> Die eigenen Adresse enthält
> Wird diese nicht angenommen weil der DEUTSCHE Post Server nun mal NICHT die
> HOHEIT (auch als ehemaliges Staatsunternehmen) über genau diese Mailadresse
> hat
>
> Dann bekommt man vom Mailer-deamon des Mailservers der DEUTSCHEN POST eine
> NICHT Zustellbarkeitsbenachrichtung  das der eigene Mailserver sich
> erdreistet hat, eine Mail des deutschen Post Servers, welche unter falscher
> Flagge segelte nicht anzunehmen!
>
> Liebe Deutsche Post wo kommen wir denn hin wenn das jeder macht und einfach
> unter fremden Mailadressen mails versendet ??
> Liebe Deutsche Post sowas nennt man Adressmissbrauch!
> Liebe Deutsche Post sowas nennt man Adressfälschung !
>
> Auch wenn ich gerne eine Kopie der Anfrage habe so seid IHR der Absender
> dann macht das doch bitte auch so kenntlich !
>
> Alles andere KANN und TRIFFT GARANTIERT sehr oft auch UNBETEILIGTE Dritte.
>
> Und mir spart die richtige Adressierung Absender/Empfänger das nachschauen
> wo da was warum und wieso schiefgelaufen ist auf MEINEM Mailserver
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users




From lists at localguru.de  Fri Sep 12 10:15:41 2014
From: lists at localguru.de (Marcus Schopen)
Date: Fri, 12 Sep 2014 10:15:41 +0200
Subject: [Postfixbuch-users] sa-learn von einem remote imap folder
Message-ID: <1410509741.8945.14.camel@cramer>

Hallo,

ich suche ein Skript, mit welchem man sa-learn von einem entfernten imap
folder (Cyrus) befüttern kann. Gefunden habe ich bisher diese:

https://gist.github.com/colinmollenhour/4127743

https://wiki.apache.org/spamassassin/RemoteImapFolder

Ciao
Marcus




From wn at neessen.net  Fri Sep 12 10:28:07 2014
From: wn at neessen.net (Winfried Neessen)
Date: Fri, 12 Sep 2014 10:28:07 +0200
Subject: [Postfixbuch-users] sa-learn von einem remote imap folder
In-Reply-To: <1410509741.8945.14.camel@cramer>
References: <1410509741.8945.14.camel@cramer>
Message-ID: <090eb2081b863eae8495667c661a8c37@neessen.net>

Hi,

Am 2014-09-12 10:15, schrieb Marcus Schopen:

> ich suche ein Skript, mit welchem man sa-learn von einem entfernten 
> imap
> folder (Cyrus) befüttern kann. Gefunden habe ich bisher diese:
> 

Entweder den Ordner mit imapsync vom Remote-IMAP Server auf den lokalen 
IMAP Server syncen
oder einfach mit scp.


Winni


From lists at localguru.de  Fri Sep 12 11:05:40 2014
From: lists at localguru.de (Marcus Schopen)
Date: Fri, 12 Sep 2014 11:05:40 +0200
Subject: [Postfixbuch-users] sa-learn von einem remote imap folder
In-Reply-To: <090eb2081b863eae8495667c661a8c37@neessen.net>
References: <1410509741.8945.14.camel@cramer>
 <090eb2081b863eae8495667c661a8c37@neessen.net>
Message-ID: <1410512740.8945.30.camel@cramer>

Moin Winni,

Am Freitag, den 12.09.2014, 10:28 +0200 schrieb Winfried Neessen:
> Hi,
> 
> Am 2014-09-12 10:15, schrieb Marcus Schopen:
> 
> > ich suche ein Skript, mit welchem man sa-learn von einem entfernten 
> > imap
> > folder (Cyrus) befüttern kann. Gefunden habe ich bisher diese:
> > 
> 
> Entweder den Ordner mit imapsync vom Remote-IMAP Server auf den lokalen 
> IMAP Server syncen
> oder einfach mit scp.

Auf der spamassassin box rennt leider kein imap, so dass ein imap to
imap sync nicht möglich wäre. offlineimap [1] scheint noch ganz
brauchbar zu sein, um Mails vom Cyrus lokal abzulegen und dann an
sa-learn zu übergeben. scp und rsync auf das Spamverzeichnis ginge
natürlich auch, hmm ...

Ciao!

[1] http://offlineimap.org/



From p.heinlein at heinlein-support.de  Fri Sep 12 11:28:35 2014
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 12 Sep 2014 11:28:35 +0200
Subject: [Postfixbuch-users] sa-learn von einem remote imap folder
In-Reply-To: <1410509741.8945.14.camel@cramer>
References: <1410509741.8945.14.camel@cramer>
Message-ID: <5412BCC3.5060703@heinlein-support.de>

Am 12.09.2014 10:15, schrieb Marcus Schopen:
> Hallo,
> 
> ich suche ein Skript, mit welchem man sa-learn von einem entfernten imap
> folder (Cyrus) befüttern kann. Gefunden habe ich bisher diese:
> 
> https://gist.github.com/colinmollenhour/4127743
> 
> https://wiki.apache.org/spamassassin/RemoteImapFolder

Es gibt SMTP-Wrapper rund um sa-learn. Da wird die Mail an eine
bestimmte Adresse gemailt und dann an sa-learn gepipt.

So kannst Du das per fetchmail auslesen und per SMTP weitersenden lassen.

Peer



-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin


From Hajo.Locke at gmx.de  Thu Sep 18 11:33:18 2014
From: Hajo.Locke at gmx.de (Hajo Locke)
Date: Thu, 18 Sep 2014 11:33:18 +0200
Subject: [Postfixbuch-users] =?utf-8?q?Null-Sender_verbieten_f=C3=BCr_smtp?=
	=?utf-8?q?-auth_User?=
Message-ID: <541AA6DE.5060507@gmx.de>

Hallo,

ich nutze in meiner Postfix-Konfig bereits sender_maps, um Loginnamen 
mit Domains zu verknüpfen.
Aufbau ist:

@domain1.de login1 login2 login3...

Das klappt soweit, aber mit Einschränkungen. Ich habe festgetsellt, dass 
es User aber trotzdem nicht daran hindert Mails ohne vollständigen 
Absender zu senden. Verwendet wird dann der leere Sender, typisch für 
eine DSN (<>).
Eigentlich will ich aber nicht, dass meine User sowas per smtp-auth 
einliefern.
Kann ich dies speziell für meine smtp-auth User abschalten und weiterhin 
für fremde einliefernde Server gestatten?

Danke,
Hajo


From robert.rottermann at gmx.ch  Thu Sep 18 21:55:25 2014
From: robert.rottermann at gmx.ch (robert rottermann)
Date: Thu, 18 Sep 2014 21:55:25 +0200
Subject: [Postfixbuch-users] forward lokale emails zu anderem server
Message-ID: <541B38AD.4040106@gmx.ch>

hallo,

ich habe folgendes Problem:

auf einem server SERVER.ch  läuft postfix.
der MX record für SERVER.ch zeigt jedoch auf EIN_ANDERER_SERVER.ch

Nun möchte ich, dass alle emails die auf diesem SERVER.ch generiert 
werden, an EIN_ANDERER_SERVER.ch zur Auslieferung weitergeleitet werden.

Wie mache ich das.

besten Dank für Eure Hilfe

Robert


From mail at patrickwitte.de  Fri Sep 19 10:59:34 2014
From: mail at patrickwitte.de (Patrick Witte)
Date: Fri, 19 Sep 2014 10:59:34 +0200
Subject: [Postfixbuch-users] forward lokale emails zu anderem server
In-Reply-To: <541B38AD.4040106@gmx.ch>
References: <541B38AD.4040106@gmx.ch>
Message-ID: <aa4ac2ef125043e06accae013d337003@patrickwitte.de>

Hallo Robert!

> 
> Nun möchte ich, dass alle emails die auf diesem SERVER.ch generiert
> werden, an EIN_ANDERER_SERVER.ch zur Auslieferung weitergeleitet
> werden.
> 
> Wie mache ich das.

Dafür reicht im Prinzip ein

relayhost=[EIN_ANDERER_SERVER.ch]

in der main.cf auf SERVER.ch.
Natürlich musst du dafür sorgen, dass EIN_ANDERER_SERVER.ch die E-Mails 
von SERVER.ch dann auch annimmt.


Davon ausgehend, dass der Postfix auf SERVER.cg nur lokal läuft, kann 
man, wenn man mag, auch noch

smtpd_recipient_restrictions = reject_non_fqdn_sender, 
reject_non_fqdn_recipient, reject_unknown_sender_domain, 
reject_unknown_recipient_domain, permit_mynetworks, reject

setzen, damit der größte Unsinn gar nicht erst bei EIN_ANDERER_SERVER.ch 
landet.

Grüße
Patrick