From mailinglisten at pothe.de Tue Dec 1 18:31:36 2015 From: mailinglisten at pothe.de (Andreas Pothe) Date: Tue, 1 Dec 2015 18:31:36 +0100 Subject: Problem bei mir oder beim Testtool? In-Reply-To: <001201d12b83$4fd738b0$ef85aa10$@ist-immer-online.de> References: <565C6578.3000909@pothe.de> <001201d12b83$4fd738b0$ef85aa10$@ist-immer-online.de> Message-ID: <565DD978.7030403@pothe.de> Am 30.11.2015 um 16:25 schrieb Daniel: > Hi, > > prüfe sonst noch mal deine IPv6 Freigaben ect. > > https://www.liveconfig.com/de/sslcheck?q=proweser.de > > Ping und Tenet auf Port 25 gehen ebenfalls nicht vom Rechner hier. > > Du hast auch auf der IP des MX getestet? Wenn ich die nämlich in den liveconfig-Check eingebe, reagiert alles. Also scheint das Tool einen Schuss weg zu haben. Danke! From daniel at ist-immer-online.de Tue Dec 1 19:34:05 2015 From: daniel at ist-immer-online.de (Daniel) Date: Tue, 1 Dec 2015 19:34:05 +0100 Subject: AW: Problem bei mir oder beim Testtool? In-Reply-To: <565DD978.7030403@pothe.de> References: <565C6578.3000909@pothe.de> <001201d12b83$4fd738b0$ef85aa10$@ist-immer-online.de> <565DD978.7030403@pothe.de> Message-ID: <000001d12c66$dba3da90$92eb8fb0$@ist-immer-online.de> Hi, ne hatte die IP genommen die liveconfig anzeigt, da für IPv4 nen SMTP lief bin ich von ausgegangen dass es schon passt. Bei SSL Tool ist auch selbe IPv4 IP, hast wohl nur für IPv6 andere IP. Gruß Daniel Am 30.11.2015 um 16:25 schrieb Daniel: > Hi, > > prüfe sonst noch mal deine IPv6 Freigaben ect. > > https://www.liveconfig.com/de/sslcheck?q=proweser.de > > Ping und Tenet auf Port 25 gehen ebenfalls nicht vom Rechner hier. > > Du hast auch auf der IP des MX getestet? Wenn ich die nämlich in den liveconfig-Check eingebe, reagiert alles. Also scheint das Tool einen Schuss weg zu haben. Danke! From theodor.machnich at gmail.com Thu Dec 3 13:51:54 2015 From: theodor.machnich at gmail.com (Duufoy) Date: Thu, 3 Dec 2015 05:51:54 -0700 (MST) Subject: Interne und externe Mails gleiche Domain Message-ID: <1449147114487-80806.post@n5.nabble.com> Hallo Zusammen, ich hab mal eine kurze Frage. Ich möchte mittels des Postfix der auf einer UCS von Univention läuft realsieren, dass die Mails mit domain.com sowohl intern als auch extern versendet werden. Sprich, postfix soll selektieren wenn ein User am Server bekannt ist soll die Mail intern behalten werden in etwa userbekannt at domain.com und Mails an userunbekannt at domain.com soll an den relay Server gehen. Ich kann ohne Probleme Mails an Domains senden die am System nicht bekannt sind und auch Mails an userbekannt at domain.com gehen ohne Probleme. Sobald ich an userunbekannt at domain.com versenden meckert postfix Die Nachricht hat einen oder mehrere Empfänger nicht erreicht. Betreff: test Gesendet: Thu 12/03/15 12:30:31 Der/die folgenden Empfänger konnten nicht erreicht werden: buz at domain.com on Thu 12/03/15 12:30:31 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table Gibt es irgendeine Möglichkeit via transport oder was müsste ich diesbezüglich aufbohren. Ich hatte das postfixbuch durchgefühlt aber nichts passendes gefunden oder dass was passen könnte geht nicht wie in etwa dieses userbekannt at domain.com *@domain.com relay:[mail.selfhost.de] Würde mich über einen Tipp freuen, es gibt in dem anderen Forum noch User die ebenfalls auf eine Lösung warten, daher habe ich mich entschlossen, hier etwas zu posten. Viele Grüße D. -- View this message in context: http://postfix.1071664.n5.nabble.com/Interne-und-externe-Mails-gleiche-Domain-tp80806.html Sent from the Germany Postfixbuch mailing list archive at Nabble.com. From Jogie at quantentunnel.de Thu Dec 3 14:22:25 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Thu, 3 Dec 2015 14:22:25 +0100 Subject: Aw: Postfix Virtuelle Domains SPF SRS In-Reply-To: <340c590f920f86ede9216bae7d9a42f7@freecards.de> References: <340c590f920f86ede9216bae7d9a42f7@freecards.de> Message-ID: Hi Max, > ich grübele seit einiger Zeit über diese Problem nach. Ich habe das > Problem bei Weiterleitunge, sprich es gibt kein Postfach für die > Adresse, kommt es immer wieder zu Problemen, besipielsweise mit gmx, > wenn der Empfänger den SPF prüft. > Hat jemand damit Erfahrungen oder gar eine Lösung? Wenn ich dich richtig verstehe dann kommt eine E-Mail mit dem Absender "ab at cd.ef" von einem Mailserver A auf deinem Mailserver B an und du leitest diese weiter bspw. an bla at gmx.net? In diesem Falle müsste dein Server in den SPF Eintrag der Domain cd.ef aufgenommen werden. Alternativ kannst du statt einer Weiterleitung eine Mailingsliste einrichten, wo die FROM Adresse umgeschrieben wird. Schau mal im PDF https://www.heinlein-support.de/upload/mk4/3-08_SPF-DKIM-und-Co-Der-neue-Spamschutz.pdf auf Seite 9. Viele Grüße Jörg From jost+lists at dimejo.at Thu Dec 3 18:50:12 2015 From: jost+lists at dimejo.at (Alex JOST) Date: Thu, 3 Dec 2015 18:50:12 +0100 Subject: Interne und externe Mails gleiche Domain In-Reply-To: <1449147114487-80806.post@n5.nabble.com> References: <1449147114487-80806.post@n5.nabble.com> Message-ID: <566080D4.40909@dimejo.at> Am 03.12.2015 um 13:51 schrieb Duufoy: > Hallo Zusammen, > > ich hab mal eine kurze Frage. > Ich möchte mittels des Postfix der auf einer UCS von Univention läuft > realsieren, dass die Mails mit domain.com sowohl intern als auch extern > versendet werden. > > Sprich, postfix soll selektieren wenn ein User am Server bekannt ist soll > die Mail intern behalten werden in etwa userbekannt at domain.com und Mails an > userunbekannt at domain.com soll an den relay Server gehen. > > Ich kann ohne Probleme Mails an Domains senden die am System nicht bekannt > sind und auch Mails an userbekannt at domain.com gehen ohne Probleme. > Sobald ich an userunbekannt at domain.com versenden meckert postfix > Die Nachricht hat einen oder mehrere Empfänger nicht erreicht. > > Betreff: test > Gesendet: Thu 12/03/15 12:30:31 > > Der/die folgenden Empfänger konnten nicht erreicht werden: > > buz at domain.com on Thu 12/03/15 12:30:31 > 5.1.1 : Recipient address rejected: User unknown in > virtual mailbox table > > Gibt es irgendeine Möglichkeit via transport oder was müsste ich > diesbezüglich aufbohren. > Ich hatte das postfixbuch durchgefühlt aber nichts passendes gefunden oder > dass was passen könnte geht nicht wie in etwa dieses > > userbekannt at domain.com > *@domain.com relay:[mail.selfhost.de] > > > Würde mich über einen Tipp freuen, es gibt in dem anderen Forum noch User > die ebenfalls auf eine Lösung warten, daher habe ich mich entschlossen, hier > etwas zu posten. > > Viele Grüße D. Meine erste Idee wäre mit relay_transport auf das externe System zu zeigen, und per Skript eine transport-Tabelle für die bekannten Benutzer zu erzeugen. => /etc/postfix/main.cf relay_domains = example.com relay_transport = smtp:[extern.example.net]:25 transport_maps = btree:/etc/postfix/bekannte_benutzer => /etc/postfix/bekannte_benutzer benutzer1 at example.com lmtps:[intern.example.net]:24 benutzer2 at example.com lmtps:[intern.example.net]:24 -- Alex JOST From theodor.machnich at gmail.com Fri Dec 4 10:09:26 2015 From: theodor.machnich at gmail.com (Duufoy) Date: Fri, 4 Dec 2015 02:09:26 -0700 (MST) Subject: Interne und externe Mails gleiche Domain In-Reply-To: <566080D4.40909@dimejo.at> References: <1449147114487-80806.post@n5.nabble.com> <566080D4.40909@dimejo.at> Message-ID: <1449220166134-80835.post@n5.nabble.com> Hi Axel, super danke Dir für die Erklärung. Da die ganze mit zarafa zusammenspielt haben wir nun noch eine elegantere Lösung gefunden, die auch auf anhiebt funtioniert. Die Mails werden nun auf den dagent von zarafa umgebogen, was wohl auch ein Mailspooler oder so ähnlich von zarafa ist. In etwa so ucr set mail/maps/transport/usergmx="user at gmx.de lmtp:127.0.0.1:2003" Danke Dir Duufoy -- View this message in context: http://postfix.1071664.n5.nabble.com/Interne-und-externe-Mails-gleiche-Domain-tp80806p80835.html Sent from the Germany Postfixbuch mailing list archive at Nabble.com. From daniel at ist-immer-online.de Sat Dec 5 14:55:52 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 5 Dec 2015 14:55:52 +0100 Subject: =?iso-8859-1?Q?AW:_Account_=F6fters_mal_reaktivieren_/_bad_DKIM_signature?= =?iso-8859-1?Q?_data?= Message-ID: <001801d12f64$a85605e0$f90211a0$@ist-immer-online.de> Hi, ich habe gesehen, dass in der opendkim.conf ein "On-BadSignature reject" stand, habe es auskommentiert, damit ist nun wieder default (accept). Nun werden auch keine Maillings Mails mehr von euch abgelehnt sowie für einen Benutzer bei mir der selbe Problem mit Twitter hat/hatte. Sollte die Optionen auf Standard bleiben # On-Default # On-BadSignature # On-DNSError # On-InternalError # On-NoSignature # On-Security # On-SignatureError oder wäre es besser, ggf. nen On-BadSignature tempfail oder ähnliches zusetzen? Das diese zwar akzeptiert werden, aber ggf. in Spambewertung extra Punkte gibt wegen falscher Signatur. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Schulze Gesendet: Freitag, 24. Juli 2015 08:18 An: Diskussionen und Support rund um Postfix Betreff: Re: Account öfters mal reaktivieren Am 24.07.2015 07:56 schrieb Daniel: > Ich habe innerhalb weniger Wochen schon 2-3 bekommen, obwohl ich Nachrichten lese, und der Mailserver keine ablehnt. > > Einzige was ich finde ist > opendkim[24662]: 53A1D267EE002: bad signature data > postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM Man solltest Mails nicht ablehnen, nur weil die DKIM-Signatur nicht passt. In deinem Fall sieht der Listserver Nachrichten an Dich bouncen und stellt die Auslieferung des Listentraffics an Dich ein :-/ -- Andreas Schulze Internetdienste | P252 From daniel at ist-immer-online.de Sat Dec 5 15:07:31 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 5 Dec 2015 15:07:31 +0100 Subject: Welche DNSBL verwendet ihr? Message-ID: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> Hi, Welche DNSBL verwendet ihr direkt im Postfix und welche für reine Spambewertung in Spamassian, MailScanner, ect. ? Eine Liste ich mir zusammen gesammelt habe ist z.B. abuse.ch-Drone drone.abuse.ch. abuse.ch-Spam spam.abuse.ch. abuseat.org cbl.abuseat.org. backscatterer ips.backscatterer.org. Barracuda b.barracudacentral.org. iX-Heise ix.dnsbl.manitu.net. Mailspike bl.mailspike.net. SORBS dnsbl.sorbs.net. Spamcannibal bl.spamcannibal.org. spamcop.net bl.spamcop.net. spamhaus-ZEN zen.spamhaus.org. Spamrats spam.spamrats.com. StopSpam block.stopspam.org. TorExit torexit.dan.me.uk. UCEPROTECT-Level1 dnsbl-1.uceprotect.net. UCEPROTECT-Level2 dnsbl-2.uceprotect.net. UCEPROTECT-Level3 dnsbl-3.uceprotect.net. Jedoch kommt es auch mal vor, dass manche Listen auch T-Online, 1&1 ect. mal mit drauf setzen, was nicht optimal ist. ;-) Daher möchte ich nicht alle direkt vom Postfix direkt abweisen lassen, sondern Großteil halt im Schritt weiter als Spambewertung verwenden. Letzten Tage sind mal wieder so 10-20 verseuchte Mails im Spam gelandet. Daher schaue ich noch etwas, ob was sich ggf. noch optimieren lässt. Gruß Daniel From gnitzsche at netcologne.de Sat Dec 5 22:51:05 2015 From: gnitzsche at netcologne.de (Gunther Nitzsche) Date: Sat, 5 Dec 2015 22:51:05 +0100 Subject: Welche DNSBL verwendet ihr? In-Reply-To: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> Message-ID: <56635C49.1000709@netcologne.de> Hi, Am 05.12.2015 um 15:07 schrieb Daniel: > Hi, > > Welche DNSBL verwendet ihr direkt im Postfix und welche für reine Spambewertung in Spamassian, MailScanner, ect. ? Vielleicht hilft noch ein Blick in https://e-mail.eco.de/wp-content/blogs.dir/26/files/auswahl-einer-dnsbl.pdf mit dem zugehörigen Anhang https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf > > Eine Liste ich mir zusammen gesammelt habe ist z.B. > abuse.ch-Drone drone.abuse.ch. > abuse.ch-Spam spam.abuse.ch. > abuseat.org cbl.abuseat.org. > backscatterer ips.backscatterer.org. > Barracuda b.barracudacentral.org. > iX-Heise ix.dnsbl.manitu.net. > Mailspike bl.mailspike.net. > SORBS dnsbl.sorbs.net. > Spamcannibal bl.spamcannibal.org. > spamcop.net bl.spamcop.net. > spamhaus-ZEN zen.spamhaus.org. > Spamrats spam.spamrats.com. > StopSpam block.stopspam.org. > TorExit torexit.dan.me.uk. > UCEPROTECT-Level1 dnsbl-1.uceprotect.net. > UCEPROTECT-Level2 dnsbl-2.uceprotect.net. > UCEPROTECT-Level3 dnsbl-3.uceprotect.net. > > Jedoch kommt es auch mal vor, dass manche Listen auch T-Online, 1&1 ect. mal mit drauf setzen, was nicht optimal ist. ;-) Da sind so einige drauf, von denen ich die Finger lassen würde. Siehe Link oben. Schönen Gruß Gunther > Daher möchte ich nicht alle direkt vom Postfix direkt abweisen lassen, sondern Großteil halt im Schritt weiter als Spambewertung > verwenden. > > Letzten Tage sind mal wieder so 10-20 verseuchte Mails im Spam gelandet. Daher schaue ich noch etwas, ob was sich ggf. noch > optimieren lässt. > > Gruß Daniel > > > From daniel at ist-immer-online.de Sun Dec 6 05:47:31 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 6 Dec 2015 05:47:31 +0100 Subject: AW: Welche DNSBL verwendet ihr? In-Reply-To: <56635C49.1000709@netcologne.de> References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> <56635C49.1000709@netcologne.de> Message-ID: <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> Hi Gunther, danke für die PDF´s, ich habe Liste nun mal gekürzt, nicht viel übergeblieben. iX-Heise-NixSpam ix.dnsbl.manitu.net. SORBS dnsbl.sorbs.net. spamcop.net bl.spamcop.net. spamhaus-ZEN zen.spamhaus.org. NixSpam und ZEN direkt im Postfix für reject, und beiden anderen nur noch im Spamfilter zur Bewertung, oder wie würdest du es Handhaben? Wie gesagt, wollt ich vermeiden das große Provider drauf stehen, nur weil bei denen auf gehackten Kundenseiten ggf. Spam verschleudert wird oder so. sa-udates mache ich regelmäßig mit Channel von Spamassian und heinlein, aber hat ja nicht direkt mit DNSBL zutun. Gruß Daniel Hi, Am 05.12.2015 um 15:07 schrieb Daniel: > Hi, > > Welche DNSBL verwendet ihr direkt im Postfix und welche für reine Spambewertung in Spamassian, MailScanner, ect. ? Vielleicht hilft noch ein Blick in https://e-mail.eco.de/wp-content/blogs.dir/26/files/auswahl-einer-dnsbl.pdf mit dem zugehörigen Anhang https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf > Eine Liste ich mir zusammen gesammelt habe ist z.B. > abuse.ch-Drone drone.abuse.ch. > abuse.ch-Spam spam.abuse.ch. > abuseat.org cbl.abuseat.org. > backscatterer ips.backscatterer.org. > Barracuda b.barracudacentral.org. > iX-Heise ix.dnsbl.manitu.net. > Mailspike bl.mailspike.net. > SORBS dnsbl.sorbs.net. > Spamcannibal bl.spamcannibal.org. > spamcop.net bl.spamcop.net. > spamhaus-ZEN zen.spamhaus.org. > Spamrats spam.spamrats.com. > StopSpam block.stopspam.org. > TorExit torexit.dan.me.uk. > UCEPROTECT-Level1 dnsbl-1.uceprotect.net. > UCEPROTECT-Level2 dnsbl-2.uceprotect.net. > UCEPROTECT-Level3 dnsbl-3.uceprotect.net. > > Jedoch kommt es auch mal vor, dass manche Listen auch T-Online, 1&1 ect. mal mit drauf setzen, was nicht optimal ist. ;-) Da sind so einige drauf, von denen ich die Finger lassen würde. Siehe Link oben. Schönen Gruß Gunther > Daher möchte ich nicht alle direkt vom Postfix direkt abweisen lassen, sondern Großteil halt im Schritt weiter als Spambewertung > verwenden. > > Letzten Tage sind mal wieder so 10-20 verseuchte Mails im Spam gelandet. Daher schaue ich noch etwas, ob was sich ggf. noch > optimieren lässt. > > Gruß Daniel From Zahlenmaler at t-online.de Sun Dec 6 09:54:38 2015 From: Zahlenmaler at t-online.de (=?UTF-8?Q?Robert_M=c3=b6ker?=) Date: Sun, 6 Dec 2015 09:54:38 +0100 Subject: Welche DNSBL verwendet ihr? In-Reply-To: <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> <56635C49.1000709@netcologne.de> <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> Message-ID: <5663F7CE.8050402@t-online.de> Hi Daniel, Am 06.12.2015 um 05:47 schrieb Daniel: > Hi Gunther, > > danke für die PDF´s, ich habe Liste nun mal gekürzt, nicht viel übergeblieben. > > iX-Heise-NixSpam ix.dnsbl.manitu.net. > SORBS dnsbl.sorbs.net. > spamcop.net bl.spamcop.net. > spamhaus-ZEN zen.spamhaus.org. > > NixSpam und ZEN direkt im Postfix für reject, und beiden anderen nur noch im Spamfilter zur Bewertung, oder wie würdest du es > Handhaben? nach dem Treffer auf einer Liste Direkt Rejecten sehe ich als sehr Fragwürdig an. Da gibts Du die Entscheidung der Verweigerung der Mail zu 100% an dritte ab, kann ich nicht empfehlen. Würde ein Wertesystem wählen. > Wie gesagt, wollt ich vermeiden das große Provider drauf stehen, nur weil bei denen auf gehackten Kundenseiten ggf. Spam > verschleudert wird oder so. Wieso? 1. Das hat doch nichts miteinander zutun. 2. Nur weil der ein großer Betreiber ist darf der an deinen MTA Spam schicken und Du heist ihn Willkommen? > > sa-udates mache ich regelmäßig mit Channel von Spamassian und heinlein, aber hat ja nicht direkt mit DNSBL zutun. > > Gruß Daniel Gruß Robert > Hi, > > Am 05.12.2015 um 15:07 schrieb Daniel: >> Hi, >> >> Welche DNSBL verwendet ihr direkt im Postfix und welche für reine Spambewertung in Spamassian, MailScanner, ect. ? > Vielleicht hilft noch ein Blick in > https://e-mail.eco.de/wp-content/blogs.dir/26/files/auswahl-einer-dnsbl.pdf > > mit dem zugehörigen Anhang > > https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf > >> Eine Liste ich mir zusammen gesammelt habe ist z.B. >> abuse.ch-Drone drone.abuse.ch. >> abuse.ch-Spam spam.abuse.ch. >> abuseat.org cbl.abuseat.org. >> backscatterer ips.backscatterer.org. >> Barracuda b.barracudacentral.org. >> iX-Heise ix.dnsbl.manitu.net. >> Mailspike bl.mailspike.net. >> SORBS dnsbl.sorbs.net. >> Spamcannibal bl.spamcannibal.org. >> spamcop.net bl.spamcop.net. >> spamhaus-ZEN zen.spamhaus.org. >> Spamrats spam.spamrats.com. >> StopSpam block.stopspam.org. >> TorExit torexit.dan.me.uk. >> UCEPROTECT-Level1 dnsbl-1.uceprotect.net. >> UCEPROTECT-Level2 dnsbl-2.uceprotect.net. >> UCEPROTECT-Level3 dnsbl-3.uceprotect.net. >> >> Jedoch kommt es auch mal vor, dass manche Listen auch T-Online, 1&1 ect. mal mit drauf setzen, was nicht optimal ist. ;-) > Da sind so einige drauf, von denen ich die Finger lassen würde. > Siehe Link oben. > > Schönen Gruß > > Gunther > >> Daher möchte ich nicht alle direkt vom Postfix direkt abweisen lassen, sondern Großteil halt im Schritt weiter als Spambewertung >> verwenden. >> >> Letzten Tage sind mal wieder so 10-20 verseuchte Mails im Spam gelandet. Daher schaue ich noch etwas, ob was sich ggf. noch >> optimieren lässt. >> >> Gruß Daniel From jost+lists at dimejo.at Sun Dec 6 14:44:22 2015 From: jost+lists at dimejo.at (Alex JOST) Date: Sun, 6 Dec 2015 14:44:22 +0100 Subject: Welche DNSBL verwendet ihr? In-Reply-To: <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> <56635C49.1000709@netcologne.de> <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> Message-ID: <56643BB6.8040103@dimejo.at> Am 06.12.2015 um 05:47 schrieb Daniel: > Hi Gunther, > > danke für die PDF´s, ich habe Liste nun mal gekürzt, nicht viel übergeblieben. > > iX-Heise-NixSpam ix.dnsbl.manitu.net. > SORBS dnsbl.sorbs.net. > spamcop.net bl.spamcop.net. > spamhaus-ZEN zen.spamhaus.org. > > NixSpam und ZEN direkt im Postfix für reject, und beiden anderen nur noch im Spamfilter zur Bewertung, oder wie würdest du es > Handhaben? Mit Zen haben wir gute Erfahrungen gemacht, aber Du hast grundsätzlich bei jeder DNSBL die Möglichkeit von false positives. Deshalb solltest Du Dir auch überlegen diese Test in Postscreen[1] zu verschieben. Damit kannst Du dann z.B. bestimmen, dass es mindestens 2 DNSBLs braucht um einen Sender zu blocken. [1] http://www.postfix.org/POSTSCREEN_README.html > Wie gesagt, wollt ich vermeiden das große Provider drauf stehen, nur weil bei denen auf gehackten Kundenseiten ggf. Spam > verschleudert wird oder so. Mit Postscreen kannst Du auch eine DNSWL wie z.B. dnswl.org abfragen, um "ordentliche" Sender von den Tests auszunehmen. > sa-udates mache ich regelmäßig mit Channel von Spamassian und heinlein, aber hat ja nicht direkt mit DNSBL zutun. > > Gruß Daniel > > Hi, > > Am 05.12.2015 um 15:07 schrieb Daniel: >> Hi, >> >> Welche DNSBL verwendet ihr direkt im Postfix und welche für reine Spambewertung in Spamassian, MailScanner, ect. ? > > Vielleicht hilft noch ein Blick in > https://e-mail.eco.de/wp-content/blogs.dir/26/files/auswahl-einer-dnsbl.pdf > > mit dem zugehörigen Anhang > > https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf > >> Eine Liste ich mir zusammen gesammelt habe ist z.B. >> abuse.ch-Drone drone.abuse.ch. >> abuse.ch-Spam spam.abuse.ch. >> abuseat.org cbl.abuseat.org. >> backscatterer ips.backscatterer.org. >> Barracuda b.barracudacentral.org. >> iX-Heise ix.dnsbl.manitu.net. >> Mailspike bl.mailspike.net. >> SORBS dnsbl.sorbs.net. >> Spamcannibal bl.spamcannibal.org. >> spamcop.net bl.spamcop.net. >> spamhaus-ZEN zen.spamhaus.org. >> Spamrats spam.spamrats.com. >> StopSpam block.stopspam.org. >> TorExit torexit.dan.me.uk. >> UCEPROTECT-Level1 dnsbl-1.uceprotect.net. >> UCEPROTECT-Level2 dnsbl-2.uceprotect.net. >> UCEPROTECT-Level3 dnsbl-3.uceprotect.net. >> >> Jedoch kommt es auch mal vor, dass manche Listen auch T-Online, 1&1 ect. mal mit drauf setzen, was nicht optimal ist. ;-) > > Da sind so einige drauf, von denen ich die Finger lassen würde. > Siehe Link oben. > > Schönen Gruß > > Gunther > >> Daher möchte ich nicht alle direkt vom Postfix direkt abweisen lassen, sondern Großteil halt im Schritt weiter als Spambewertung >> verwenden. >> >> Letzten Tage sind mal wieder so 10-20 verseuchte Mails im Spam gelandet. Daher schaue ich noch etwas, ob was sich ggf. noch >> optimieren lässt. >> >> Gruß Daniel > -- Alex JOST From max.grobecker at ml.grobecker.info Sun Dec 6 15:48:13 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 6 Dec 2015 15:48:13 +0100 Subject: Welche DNSBL verwendet ihr? In-Reply-To: <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> <56635C49.1000709@netcologne.de> <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> Message-ID: <56644AAD.2050200@ml.grobecker.info> Buenos Tardes, Am 06.12.2015 um 05:47 schrieb Daniel: > Wie gesagt, wollt ich vermeiden das große Provider drauf stehen, nur weil bei denen auf gehackten Kundenseiten ggf. Spam > verschleudert wird oder so. Wenn du das sicher vermeiden willst, musst du deren Server bei dir auf eine Whitelist setzen. Für die "Weiterleitungsserver" von Web.de, GMX und T-Online habe ich das bei mir getan, da diese IP-Adressen relativ häufig auf irgendwelchen Blacklisten stehen. Die IP-Adressen findest du hier: [1] [2] [3] Das ist allerdings eine Lösung, bei der du mit einer gewissen Regelmäßigkeit prüfen musst, ob die IP-Adressen noch aktuell sind. Sicherer ist es da wohl, auf den PTR resp. die Domain des PTR zu prüfen - also "*.t-online.de". Da Postfix den PTR nur für gültig erachtet, wenn er auch wirklich konsistent ist, kannst du Fakes an der Stelle ausschließen. Ansonsten kannst du zum Beispiel - das wäre die zu bevorzugende Lösung - zu policyd-weight greifen und alle DNSBL-Abfragen darüber laufen lassen. Damit kannst du dann Punkte für die Präsenz auf einer DNSBL festlegen und dann erst ab einem Punktelevel blockieren. So würde dann eine einzige DNSBL die eine IP gelistet hat nicht mehr ausreichen die Annahme komplett zu blockieren, solange die IP nicht noch woanders gelistet ist. In Postfix selbst fragst du dann - vor der BL-Prüfung - nur noch die DNSWL ab und solltest dann genau das erreichen was du haben willst. Oder du verlagerst selbst die DNSWL-Abfrage in Policyd-Weight, vergibst dafür aber negative Punktzahlen, die ausreichen eine gewisse Anzahl Blacklisten zu kompensieren. Du siehst, man kann da sehr individuell arbeiten ;-) [1] http://postmaster.web.de/de/e-mail-server/ [2] http://postmaster.gmx.de/de/e-mail-server/ [3] http://postmaster.t-online.de/-/id_17017976/index Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From gnitzsche at netcologne.de Sun Dec 6 22:10:53 2015 From: gnitzsche at netcologne.de (Gunther Nitzsche) Date: Sun, 6 Dec 2015 22:10:53 +0100 Subject: Welche DNSBL verwendet ihr? In-Reply-To: <56644AAD.2050200@ml.grobecker.info> References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de> <56635C49.1000709@netcologne.de> <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de> <56644AAD.2050200@ml.grobecker.info> Message-ID: <5664A45D.4020903@netcologne.de> Am 06.12.2015 um 15:48 schrieb Max Grobecker: > Buenos Tardes, > > Am 06.12.2015 um 05:47 schrieb Daniel: > >> Wie gesagt, wollt ich vermeiden das große Provider drauf stehen, >> nur weil bei denen auf gehackten Kundenseiten ggf. Spam >> verschleudert wird oder so. Bei seriösen Blacklisten wird dies nicht ohne Grund passieren. Ich empfehle: benutze seriöse Blacklisten zum rejecten. Sollten dabei irgendwelche Probleme auftreten, kannst Du den Einlieferer an die Blacklist verweisen (auch direkt in der reject-Meldung). Seriöse DNSBLs haben Kontaktadressen und üblicherweise auch Nachweise für den Blockgrund. Kommen große Provider auf eine (seriöse) Blacklist, so kümmern die sich dann sehr schnell um ein Delisting. Bei "irgendwelchen" Blacklists, die für ein Delisting evtl. sogar Geld nehmen, wird dies eher nicht passieren. Dann hat die Blacklist das Problem.. Hast Du dann tatsächlich Probleme, schmeiss die BL weg. > > Wenn du das sicher vermeiden willst, musst du deren Server bei dir > auf eine Whitelist setzen. Für die "Weiterleitungsserver" von > Web.de, GMX und T-Online habe ich das bei mir getan, da diese > IP-Adressen relativ häufig auf irgendwelchen Blacklisten stehen. > Die IP-Adressen findest du hier: [1] [2] [3] Die Adressen mit niedriger Reputation (laut Webseite) brauchst Du definitiv nicht zu whitelisten. Schönen Gruß Gunther > Das ist allerdings eine Lösung, bei der du mit einer gewissen > Regelmäßigkeit prüfen musst, ob die IP-Adressen noch aktuell sind. > Sicherer ist es da wohl, auf den PTR resp. die Domain des PTR zu > prüfen - also "*.t-online.de". Da Postfix den PTR nur für gültig > erachtet, wenn er auch wirklich konsistent ist, kannst du Fakes an > der Stelle ausschließen. > > Ansonsten kannst du zum Beispiel - das wäre die zu bevorzugende > Lösung - zu policyd-weight greifen und alle DNSBL-Abfragen darüber > laufen lassen. Damit kannst du dann Punkte für die Präsenz auf > einer DNSBL festlegen und dann erst ab einem Punktelevel > blockieren. So würde dann eine einzige DNSBL die eine IP gelistet > hat nicht mehr ausreichen die Annahme komplett zu blockieren, > solange die IP nicht noch woanders gelistet ist. > > In Postfix selbst fragst du dann - vor der BL-Prüfung - nur noch > die DNSWL ab und solltest dann genau das erreichen was du haben > willst. Oder du verlagerst selbst die DNSWL-Abfrage in > Policyd-Weight, vergibst dafür aber negative Punktzahlen, die > ausreichen eine gewisse Anzahl Blacklisten zu kompensieren. Du > siehst, man kann da sehr individuell arbeiten ;-) > > > [1] http://postmaster.web.de/de/e-mail-server/ [2] > http://postmaster.gmx.de/de/e-mail-server/ [3] > http://postmaster.t-online.de/-/id_17017976/index > > > Viele Grüße aus dem Tal Max > From rog7993 at web.de Mon Dec 7 14:58:00 2015 From: rog7993 at web.de (rog7993 at web.de) Date: Mon, 7 Dec 2015 14:58:00 +0100 Subject: Zusammenspiel von Virtual Alias Map und Tranport Map Message-ID: <56659068.2090307@web.de> Hallo, wir haben derzeit ein Setup, das vereinfacht dargestellt ein Mailgateway in der DMZ und einen Message Store im internen LAN enthält. Dem Mailgateway sind alle Mailadressen in einer Virtual Alias Map" bekannt. Darüber erfolgt ein Umschreiben des SMTP-Envelope Empfängers der Art: user1 at domain1.org user1 at msgstore Über die Transport Map erfolgt dann das Routing an den Message Store: msgstore :[msgstore.domain1.org] Die derzeitige Konfiguration findet sich am Ende dieser Mail. Ich möchte das derart umstellen, dass der originale SMTP-Envelope Empfänger an den neuen Message Store durchgereicht wird. Die Migration wird ein paar Wochen dauern und es müssen temporär, wahrscheinlich dauerhaft, beide Varianten funktionieren. Mein erster Ansatz war, in der "transport map" einen Eintrag dieser Art zu machen: user2 at domain1.org :[msgstore-neu.domain1.org] Das funktioniert nicht, weil diese Adresse nicht in der Virtual Alias Map definiert ist und offenbar wird diese vor der Transport Map ausgewertet: Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) Wenn ich die Domäne "domain1.org" aus dem Konfigurationsparameter "virtual_alias_domains" entferne, funktioniert dies. Es hat aber mindestens den Nachteil, dass das Mailgateway sich dann nicht mehr für diese Domäne zuständig fühlt und Mails an nichtexistente Mailadressen dieser Domäne an den Relayhost (ein externer Dienstleister) schickt. Zumindest dann, wenn alle Mailadressen einzeln in der Transport Map definiert (analog oben) werden. Sollte man in der Transport Map hingegen noch einen Catch-All Eintrag für die komplette Domäne domain1.org haben (stellt sich die Frage wohin?), würde das Mailgateway alle Mails dieser Domäne annehmen, also auch solche an nicht existente Mailadressen und erst der nachgelagerte Message Store verwirft diese dann, was hinsichtlich Backscatter-Spam nicht zu empfehlen ist. Wie würde man das gewünschte Verhalten idealerweise erreichen? 1. Durchreichen des SMTP-Envelope Empfängers vom Mailgateway an den Messagestore 2. Das Mailgateway soll in der Lage sein, Mails an nichtexistente Adressen unserer Domäne, abzuweisen 3. Das alte Routing mit Umschreiben des SMTP-Envelope Empfängers soll nach wie vor funktionieren. Ahh. Ich sehe gerade in der Man-Page der transport-Table, dass man dort einen Error Mailer einsetzen kann. Wäre dies die Lösung für den oben angesprochenen Catch-All Eintrag? Derzeite Konfiguration: /etc/postfix/main.cf: ===================== # postconf -nf alias_database = hash:/etc/postfix/shared/aliases alias_maps = hash:/etc/postfix/shared/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix delay_warning_time = 4h inet_interfaces = x.x.x.x localhost mailbox_size_limit = 0 message_size_limit = 102400000 mydestination = localhost myhostname = mailgw.domain1.org mynetworks = 127.0.0.0/8 10.0.0.0/8 myorigin = $mydomain relayhost = mailgw.domain-ext.org sender_dependent_default_transport_maps = hash:/etc/postfix/sender_dependent_default_transport slow-smtp_destination_concurrency_limit = 1 slow-smtp_destination_rate_delay = 1 smtp_tls_CAfile = /etc/postfix/shared/certs/ca-certificates.crt smtp_tls_loglevel = 1 smtp_tls_policy_maps = hash:/etc/postfix/shared/tls_policy smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination smtpd_tls_CAfile = /etc/postfix/shared/certs/ca-certificates.crt smtpd_tls_cert_file = /etc/ssl/certs/mailgw-cert.pem smtpd_tls_key_file = /etc/ssl/private/mailgw-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache transport_maps = hash:/etc/postfix/shared/transport unverified_recipient_reject_code = 550 virtual_alias_domains = domain1.org domain2.org virtual_alias_expansion_limit = 5000 virtual_alias_maps = hash:/etc/postfix/shared/virtual /etc/postfix/shared/virtual: ======================= user1 at domain1.org user1 at dovecot /etc/postfix/shared/transport: ======================= dovecot :[dovecot.domain1.org] -- Viele Grüße, Ingo From w.flamme at web.de Tue Dec 8 13:42:17 2015 From: w.flamme at web.de (Werner Flamme) Date: Tue, 8 Dec 2015 13:42:17 +0100 Subject: Zusammenspiel von Virtual Alias Map und Tranport Map In-Reply-To: <56659068.2090307@web.de> References: <56659068.2090307@web.de> Message-ID: <5666D029.4070807@web.de> Am 07.12.2015 um 14:58 schrieb rog7993 at web.de: > Hallo, > > wir haben derzeit ein Setup, das vereinfacht dargestellt ein Mailgateway > in der DMZ und einen Message Store im internen LAN enthält. Dem > Mailgateway sind alle Mailadressen in einer Virtual Alias Map" bekannt. > Darüber erfolgt ein Umschreiben des SMTP-Envelope Empfängers der Art: > > user1 at domain1.org user1 at msgstore > > Über die Transport Map erfolgt dann das Routing an den Message Store: > > msgstore :[msgstore.domain1.org] > > Die derzeitige Konfiguration findet sich am Ende dieser Mail. > > Ich möchte das derart umstellen, dass der originale SMTP-Envelope > Empfänger an den neuen Message Store durchgereicht wird. Die Migration > wird ein paar Wochen dauern und es müssen temporär, wahrscheinlich > dauerhaft, beide Varianten funktionieren. [...] > Sollte man in der Transport Map hingegen > noch einen Catch-All Eintrag für die komplette Domäne domain1.org haben > (stellt sich die Frage wohin?), würde das Mailgateway alle Mails dieser > Domäne annehmen, also auch solche an nicht existente Mailadressen und > erst der nachgelagerte Message Store verwirft diese dann, was > hinsichtlich Backscatter-Spam nicht zu empfehlen ist. > > Wie würde man das gewünschte Verhalten idealerweise erreichen? Ist das nicht ein Fall für relay_domain und relay_recipient_maps? Und was willst Du mit einem Catchall erreichen? Ich meine, außer Backscatter zu erzeugen? relay_domains = domain1.org, $mydestination relay_recipient_maps = /etc/postfix/shared/virtual Die Liste der gültigen User für die Weiterleitung hast Du ja wohl schon in /etc/postfix/shared/virtual abgelegt, wenn ich das richtig gesehen habe, deshalb habe ich die Datei mal recycled, siehe "man 5 postconf". Und ggf. musst Du permit_mx_backup noch bearbeiten, das steht da aber auch :) Zumindest wäre das mein erster Gedanke, ich weiß aber nicht, ob das so klappt. Gruß Werner -- From beat at juckers.ch Tue Dec 8 16:11:07 2015 From: beat at juckers.ch (Beat Jucker) Date: Tue, 8 Dec 2015 16:11:07 +0100 Subject: Mail Delivery "Loadbalancing" Message-ID: <5666F30B.4010103@juckers.ch> Gibt es eine einfache Methode, wie Emails an eine Zieladresse nach dem RoundRobin Prinzip in verschiedene Mailfolders verteilt werden können? Beispiel: alle Mails an user at x.y adressiert, wobei Auslieferung 1. Mail -->user_1, 2. Mail -->user_2, 3. Mail -->user_1, 4. Mail -->user_2, ... usw ... Hintergrund: Ein Prozess verarbeitet eingehende Emails. Dieser Prozess holt die Emails mit POP ab und werden einzeln verarbeitet. Die Verarbeitung dauert aber länger als erwartet und als Folge kann es einen grossen Backlog geben. Zur Optimierung will man nun mehrere Prozesse parallel die Emails abarbeiten lassen ... daher ist die Idee aufgekommen, die eingehenden Emails in verschiedene Mailfolders zu verteilen. Eine Lösung könnte sein, dass losgelöst von Postfix dieses "Loadbalancing" implementiert wird. Gibt es aber eventuell auch innerhalb Postfix eine Möglichkeit? Besten Dank für Ideen -- Beat From m.grundmann at wittich-foehren.de Tue Dec 8 16:23:39 2015 From: m.grundmann at wittich-foehren.de (Michael Grundmann) Date: Tue, 8 Dec 2015 16:23:39 +0100 Subject: Mail Delivery "Loadbalancing" In-Reply-To: <5666F30B.4010103@juckers.ch> References: <5666F30B.4010103@juckers.ch> Message-ID: <5666F5FB.8060305@wittich-foehren.de> Hallo Beat, procmail und modulo ist dein Freund. Hier ein Script: #!/bin/bash tmpfile=/etc/num.txt num=$(cat $tmpfile) max=$(perl - "print in(rand()*$num)") Die .procmailrc : MAILDIR=$HOME/Maildir/ FOLDER=`/das/script/oben.sh` :0 .$FOLDER/ In die num.txt trägst du die Anzahl der Ordner ein, die du haben möchtest (modulo fängt bei 0 an). Am 08.12.15 um 16:11 schrieb Beat Jucker: > Gibt es eine einfache Methode, wie Emails an eine Zieladresse nach dem > RoundRobin Prinzip in verschiedene Mailfolders verteilt werden können? > > Beispiel: alle Mails an user at x.y adressiert, wobei Auslieferung > > 1. Mail -->user_1, > 2. Mail -->user_2, > 3. Mail -->user_1, > 4. Mail -->user_2, > ... usw ... > > Hintergrund: > > Ein Prozess verarbeitet eingehende Emails. Dieser Prozess holt die > Emails mit POP ab und werden einzeln verarbeitet. Die Verarbeitung > dauert aber länger als erwartet und als Folge kann es einen grossen > Backlog geben. Zur Optimierung will man nun mehrere Prozesse parallel > die Emails abarbeiten lassen ... daher ist die Idee aufgekommen, die > eingehenden Emails in verschiedene Mailfolders zu verteilen. > > Eine Lösung könnte sein, dass losgelöst von Postfix dieses > "Loadbalancing" implementiert wird. Gibt es aber eventuell auch > innerhalb Postfix eine Möglichkeit? > > Besten Dank für Ideen > -- Beat -- Mit freundlichen Grüßen *Verlag + Druck LINUS WITTICH KG* i. A. Michael Grundmann 54343 Föhren Europaallee 2 E-Mail: m.grundmann at wittich-foehren.de Internet: http://www.wittich.de Tel.: +49 6502/9147210 Fax: +49 6502/9147332 Sitz der Gesellschaft: Föhren Geschäftsführer: Dietmar Kaupp Amtsgericht: Wittlich HR 4199 USt ID gemäß §27 a UStG DE 149324406 *Kennen Sie schon localbook? Nein? Hier >>> * From wn at neessen.net Tue Dec 8 16:46:08 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 08 Dec 2015 16:46:08 +0100 Subject: Mail Delivery "Loadbalancing" In-Reply-To: <5666F5FB.8060305@wittich-foehren.de> References: <5666F30B.4010103@juckers.ch> <5666F5FB.8060305@wittich-foehren.de> Message-ID: Hi, Am 2015-12-08 16:23, schrieb Michael Grundmann: > max=$(perl - "print in(rand()*$num)") > Da ist Dir wohl ein Syntaxfehler unterlaufen. "perl -" wuerde in dem Beispiel hier niemals etwas ausfuehren, da es auf den Input von STDIN wartet. Ich denke es sollte "perl -e" heissen. Und die Perl-Funktion in() gibts auch nicht. Ich vermute hier soll int() gemeint sein. Und warum den Umweg ueber 2 Dateien? Warum nicht in "FOLDER=``" direkt das Perl Script mit der entsprechenden Anzahl eintragen? Winni From beat at juckers.ch Tue Dec 8 16:52:52 2015 From: beat at juckers.ch (Beat Jucker) Date: Tue, 8 Dec 2015 16:52:52 +0100 Subject: Mail Delivery "Loadbalancing" In-Reply-To: <5666F5FB.8060305@wittich-foehren.de> References: <5666F30B.4010103@juckers.ch> <5666F5FB.8060305@wittich-foehren.de> Message-ID: <5666FCD4.8080309@juckers.ch> Hallo Michael Besten Dank für deine Lösung - ist sicher ein guter und funktionierender Lösungsansatz. Das Fragezeichen, das ich dazu setze ist die Performance bei hohem Mailaufkommen: zusätzlich Procmail mit einem Shell- und einem Perl-Interpreter wobei sich dieser Lösungsansatz sicher auch als kleines C-Programm implementieren lässt. Es spricht auch nichts dagegen, Shell durch Perl zu ersetzen (ein Interpreter weniger). Vielleicht mache ich mir betreffend Performance aber auch zuviele Gedanken. Ich selber habe an ein einfaches Script gedacht, das die Emails im User-Mailfolder auf mehrere User-N Mailfoders verteilt. Eventuell gibt es aber auch einen Postfix internen Kniff? Der Grund für die Loadbalancing Idee war ein Massentest, den wir durchführten: über eine längere Zeit 400 S/Mime Emails pro Minute mit Spitzenwert 700 S/Mime Emails/Min). Für den Mailserver kein Problem, aber für den dahinter liegenden Verarbeitungsprozess. Gruss -- Beat Am 08.12.2015 um 16:23 schrieb Michael Grundmann: > Hallo Beat, > > procmail und modulo ist dein Freund. > > Hier ein Script: > > #!/bin/bash > tmpfile=/etc/num.txt > num=$(cat $tmpfile) > max=$(perl - "print in(rand()*$num)") > > > Die .procmailrc : > > MAILDIR=$HOME/Maildir/ > > FOLDER=`/das/script/oben.sh` > :0 > .$FOLDER/ > > > In die num.txt trägst du die Anzahl der Ordner ein, die du haben > möchtest (modulo fängt bei 0 an). > > > > Am 08.12.15 um 16:11 schrieb Beat Jucker: >> Gibt es eine einfache Methode, wie Emails an eine Zieladresse nach dem >> RoundRobin Prinzip in verschiedene Mailfolders verteilt werden können? >> >> Beispiel: alle Mails an user at x.y adressiert, wobei Auslieferung >> >> 1. Mail -->user_1, >> 2. Mail -->user_2, >> 3. Mail -->user_1, >> 4. Mail -->user_2, >> ... usw ... >> >> Hintergrund: >> >> Ein Prozess verarbeitet eingehende Emails. Dieser Prozess holt die >> Emails mit POP ab und werden einzeln verarbeitet. Die Verarbeitung >> dauert aber länger als erwartet und als Folge kann es einen grossen >> Backlog geben. Zur Optimierung will man nun mehrere Prozesse parallel >> die Emails abarbeiten lassen ... daher ist die Idee aufgekommen, die >> eingehenden Emails in verschiedene Mailfolders zu verteilen. >> >> Eine Lösung könnte sein, dass losgelöst von Postfix dieses >> "Loadbalancing" implementiert wird. Gibt es aber eventuell auch >> innerhalb Postfix eine Möglichkeit? >> >> Besten Dank für Ideen >> -- Beat From m.grundmann at wittich-foehren.de Tue Dec 8 18:45:45 2015 From: m.grundmann at wittich-foehren.de (Michael Grundmann) Date: Tue, 8 Dec 2015 18:45:45 +0100 Subject: Mail Delivery "Loadbalancing" In-Reply-To: References: <5666F30B.4010103@juckers.ch> <5666F5FB.8060305@wittich-foehren.de> Message-ID: <56671749.5060103@wittich-foehren.de> Hi, uiuiui, sorry, nicht mal NUR Tippfehler ... AUCH überhaupt nicht getippt :( max=$(perl -e "print int(rand()*$num)") so, jetzt stimmt die Zeile. Danke für den Hinweis!!! Am 08.12.15 um 16:46 schrieb Winfried Neessen: > Hi, > > Am 2015-12-08 16:23, schrieb Michael Grundmann: > >> max=$(perl - "print in(rand()*$num)") >> > > Da ist Dir wohl ein Syntaxfehler unterlaufen. "perl -" wuerde in dem > Beispiel hier > niemals etwas ausfuehren, da es auf den Input von STDIN wartet. Ich > denke es sollte > "perl -e" heissen. Und die Perl-Funktion in() gibts auch nicht. Ich > vermute hier > soll int() gemeint sein. > > Und warum den Umweg ueber 2 Dateien? Warum nicht in "FOLDER=``" direkt > das Perl > Script mit der entsprechenden Anzahl eintragen? > > > Winni -- Mit freundlichen Grüßen *Verlag + Druck LINUS WITTICH KG* i. A. Michael Grundmann 54343 Föhren Europaallee 2 E-Mail: m.grundmann at wittich-foehren.de Internet: http://www.wittich.de Tel.: +49 6502/9147210 Fax: +49 6502/9147332 Sitz der Gesellschaft: Föhren Geschäftsführer: Dietmar Kaupp Amtsgericht: Wittlich HR 4199 USt ID gemäß §27 a UStG DE 149324406 *Kennen Sie schon localbook? Nein? Hier >>> * From m.grundmann at wittich-foehren.de Tue Dec 8 18:52:46 2015 From: m.grundmann at wittich-foehren.de (Michael Grundmann) Date: Tue, 8 Dec 2015 18:52:46 +0100 Subject: Mail Delivery "Loadbalancing" In-Reply-To: <5666FCD4.8080309@juckers.ch> References: <5666F30B.4010103@juckers.ch> <5666F5FB.8060305@wittich-foehren.de> <5666FCD4.8080309@juckers.ch> Message-ID: <566718EE.9090500@wittich-foehren.de> Hallo Beat, a) die perl-Zeile war falsch, habe ich (Danke @Winfried) neu gepostet. b) genau aus diesem Grund habe ich das auch gebraucht. Die dahinterliegenden Prozesse müssen mit dem Mailaufkommen klar kommen... Ich weiss nicht was genau Ihr dort anstellt, aber bei uns werden die eMails von einem Programm abgerufen und weiterverarbeitet. Damit wir vom Mailaufkommen nicht überrannt werden, haben wir das eben so gelöst, dass wir zufällig in die Ordner verschieben. Die jeweiligen Weiterverarbeitungsinstanzen greifen definiert auf einen der Ordner zu. Passt das nicht mehr, erhöhen wir num.txt, erstellen eine neue Instanz und diese greift den neuen Ordner ab. Fertig ist das LB Am 08.12.15 um 16:52 schrieb Beat Jucker: > Hallo Michael > > Besten Dank für deine Lösung - ist sicher ein guter und funktionierender > Lösungsansatz. Das Fragezeichen, das ich dazu setze ist die Performance > bei hohem Mailaufkommen: zusätzlich Procmail mit einem Shell- und einem > Perl-Interpreter wobei sich dieser Lösungsansatz sicher auch als kleines > C-Programm implementieren lässt. Es spricht auch nichts dagegen, Shell > durch Perl zu ersetzen (ein Interpreter weniger). Vielleicht mache ich > mir betreffend Performance aber auch zuviele Gedanken. > > Ich selber habe an ein einfaches Script gedacht, das die Emails im > User-Mailfolder auf mehrere User-N Mailfoders verteilt. Eventuell gibt > es aber auch einen Postfix internen Kniff? > > Der Grund für die Loadbalancing Idee war ein Massentest, den wir > durchführten: über eine längere Zeit 400 S/Mime Emails pro Minute mit > Spitzenwert 700 S/Mime Emails/Min). Für den Mailserver kein Problem, > aber für den dahinter liegenden Verarbeitungsprozess. > > Gruss > -- Beat > > Am 08.12.2015 um 16:23 schrieb Michael Grundmann: >> Hallo Beat, >> >> procmail und modulo ist dein Freund. >> >> Hier ein Script: >> >> #!/bin/bash >> tmpfile=/etc/num.txt >> num=$(cat $tmpfile) >> max=$(perl - "print in(rand()*$num)") >> >> >> Die .procmailrc : >> >> MAILDIR=$HOME/Maildir/ >> >> FOLDER=`/das/script/oben.sh` >> :0 >> .$FOLDER/ >> >> >> In die num.txt trägst du die Anzahl der Ordner ein, die du haben >> möchtest (modulo fängt bei 0 an). >> >> >> >> Am 08.12.15 um 16:11 schrieb Beat Jucker: >>> Gibt es eine einfache Methode, wie Emails an eine Zieladresse nach dem >>> RoundRobin Prinzip in verschiedene Mailfolders verteilt werden können? >>> >>> Beispiel: alle Mails an user at x.y adressiert, wobei Auslieferung >>> >>> 1. Mail -->user_1, >>> 2. Mail -->user_2, >>> 3. Mail -->user_1, >>> 4. Mail -->user_2, >>> ... usw ... >>> >>> Hintergrund: >>> >>> Ein Prozess verarbeitet eingehende Emails. Dieser Prozess holt die >>> Emails mit POP ab und werden einzeln verarbeitet. Die Verarbeitung >>> dauert aber länger als erwartet und als Folge kann es einen grossen >>> Backlog geben. Zur Optimierung will man nun mehrere Prozesse parallel >>> die Emails abarbeiten lassen ... daher ist die Idee aufgekommen, die >>> eingehenden Emails in verschiedene Mailfolders zu verteilen. >>> >>> Eine Lösung könnte sein, dass losgelöst von Postfix dieses >>> "Loadbalancing" implementiert wird. Gibt es aber eventuell auch >>> innerhalb Postfix eine Möglichkeit? >>> >>> Besten Dank für Ideen >>> -- Beat > -- Mit freundlichen Grüßen *Verlag + Druck LINUS WITTICH KG* i. A. Michael Grundmann 54343 Föhren Europaallee 2 E-Mail: m.grundmann at wittich-foehren.de Internet: http://www.wittich.de Tel.: +49 6502/9147210 Fax: +49 6502/9147332 Sitz der Gesellschaft: Föhren Geschäftsführer: Dietmar Kaupp Amtsgericht: Wittlich HR 4199 USt ID gemäß §27 a UStG DE 149324406 *Kennen Sie schon localbook? Nein? Hier >>> * From daniel at ist-immer-online.de Tue Dec 8 22:43:56 2015 From: daniel at ist-immer-online.de (Daniel) Date: Tue, 8 Dec 2015 22:43:56 +0100 Subject: Viruswelle von "kreditoren@dertour.de" Message-ID: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> Huhu, Heise empfiehlt grad auf http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht ml einen Reject Filter einzubinden. Zitat: sudo touch /etc/postfix/viruswelle Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus: kreditoren at dertour.de REJECT Virus kreditoren at dertour.de Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um: sudo postmap hash:/etc/postfix/viruswelle Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein: smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/viruswelle ==== Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen? Dec 8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138] Dec 8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server Dec 8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 : Recipient address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from= to= proto=ESMTP helo=<[45.64.137.138]> Dec 8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5 Dec 8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec 8 11:03:47 Dec 8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec 8 11:03:47 Dec 8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec 8 11:03:47 Dec 8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133] Dec 8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server Dec 8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 : Recipient address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server; from= to= proto=ESMTP helo= Dec 8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5 Gruß Daniel From wn at neessen.net Tue Dec 8 22:48:55 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 8 Dec 2015 22:48:55 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> Message-ID: <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> Hi, Am 08.12.2015 um 22:43 schrieb Daniel : > kreditoren at dertour.de REJECT Virus kreditoren at dertour.de REJECT ist m. E. schonmal falsch. DISCARD wuerde ich hier waehlen. > Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure > Vorkehrungen bzw. Empfehlungen? > Wenn Deine aktuellen Abwehrmassnahmen bereits funktionieren, warum dann noch zusaetzlich irgendwas blocken, was evtl. auch als Absender fuer valide Mails genutzt wird? Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From p at sys4.de Tue Dec 8 22:49:45 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 8 Dec 2015 22:49:45 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> Message-ID: <20151208214945.GD21179@sys4.de> * Daniel : > Huhu, > > Heise empfiehlt grad auf > http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht > ml einen Reject Filter einzubinden. Als ich den Artikel heute verfasst habe, waren nur vereinzelt Filter verfügbar, die diese Ransomware geblockt hat. Der beschrieben Filter dient nur als Kurzzeit-Maßnahme, weil der eindimensional und dumm ist. Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der durch die Schadroutine, die in der kreditoren at dertour.de-Mail ist, entstehen würde. Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese und deaktiviere stattdessen die von mir beschriebene Methode. p at rick > > Zitat: > sudo touch /etc/postfix/viruswelle > Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus: > kreditoren at dertour.de REJECT Virus kreditoren at dertour.de > Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen > hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um: > sudo postmap hash:/etc/postfix/viruswelle > Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein: > smtpd_recipient_restrictions = > check_sender_access hash:/etc/postfix/viruswelle > > ==== > > Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen? > > Dec 8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138] > Dec 8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see > http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server > Dec 8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 : Recipient address rejected: > Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from= > to= proto=ESMTP helo=<[45.64.137.138]> > Dec 8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5 > Dec 8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec 8 11:03:47 > Dec 8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec 8 11:03:47 > Dec 8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec 8 11:03:47 > Dec 8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133] > Dec 8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see > http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server > Dec 8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 : Recipient > address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server; > from= to= proto=ESMTP helo= > Dec 8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 > commands=3/5 > > Gruß Daniel > > -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From daniel at ist-immer-online.de Tue Dec 8 23:04:28 2015 From: daniel at ist-immer-online.de (Daniel) Date: Tue, 8 Dec 2015 23:04:28 +0100 Subject: AW: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <20151208214945.GD21179@sys4.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <20151208214945.GD21179@sys4.de> Message-ID: <000a01d13204$692fbfd0$3b8f3f70$@ist-immer-online.de> Hi, ich denke war heute eher Zufall mit SPF, dass es geklappt hat. Clamav ist ned der Hit, erkennt einiges nicht, darf dann immer Antivirus am Desktop PC bereinigen oft. Gruß Daniel -----Ursprüngliche Nachricht----- Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der durch die Schadroutine, die in der kreditoren at dertour.de-Mail ist, entstehen würde. Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese und deaktiviere stattdessen die von mir beschriebene Methode. p at rick From wn at neessen.net Tue Dec 8 23:10:18 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 8 Dec 2015 23:10:18 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <000a01d13204$692fbfd0$3b8f3f70$@ist-immer-online.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <20151208214945.GD21179@sys4.de> <000a01d13204$692fbfd0$3b8f3f70$@ist-immer-online.de> Message-ID: Hi, Am 08.12.2015 um 23:04 schrieb Daniel : > ich denke war heute eher Zufall mit SPF, dass es geklappt hat. > Clamav ist ned der Hit, erkennt einiges nicht, darf dann immer Antivirus am Desktop PC bereinigen oft. > Nunja. Solange Du mit Blacklist-Produkten arbeitest, wirst Du immer hinterher hinken und es besteht immer die Gefahr, dass etwas durchkommt. Meines Erachtens sind die sinnvollsten Mittel gegen Malware: a) Whitelist-Loesungen => Ich verbiete alles und lasse meinen User nur Programme ausführen, die freigegeben sind. b) User Awareness Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From buettnerp at web.de Tue Dec 8 23:33:43 2015 From: buettnerp at web.de (Peter Buettner) Date: Tue, 8 Dec 2015 23:33:43 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <20151208214945.GD21179@sys4.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <20151208214945.GD21179@sys4.de> Message-ID: <56675AC7.2000507@web.de> Bei mir kam der "Angriff" ausschließlich über den zweiten MX'er. Das ganze lief ins Leere, weil ich dort nur verschlüsselte Sessions zulasse. Einen Access-Filter der beschriebenen Art habe ich eh schon für hotmail und Co.. Peter Büttner Am 08.12.2015 um 22:49 schrieb Patrick Ben Koetter: > * Daniel : >> Huhu, >> >> Heise empfiehlt grad auf >> http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht >> ml einen Reject Filter einzubinden. > > Als ich den Artikel heute verfasst habe, waren nur vereinzelt Filter > verfügbar, die diese Ransomware geblockt hat. Der beschrieben Filter dient nur > als Kurzzeit-Maßnahme, weil der eindimensional und dumm ist. > > Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der > durch die Schadroutine, die in der kreditoren at dertour.de-Mail ist, entstehen > würde. > > Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese > und deaktiviere stattdessen die von mir beschriebene Methode. > > p at rick > > > > >> >> Zitat: >> sudo touch /etc/postfix/viruswelle >> Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus: >> kreditoren at dertour.de REJECT Virus kreditoren at dertour.de >> Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen >> hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um: >> sudo postmap hash:/etc/postfix/viruswelle >> Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein: >> smtpd_recipient_restrictions = >> check_sender_access hash:/etc/postfix/viruswelle >> >> ==== >> >> Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen? >> >> Dec 8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138] >> Dec 8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see >> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server >> Dec 8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 : Recipient address rejected: >> Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from= >> to= proto=ESMTP helo=<[45.64.137.138]> >> Dec 8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5 >> Dec 8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec 8 11:03:47 >> Dec 8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec 8 11:03:47 >> Dec 8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec 8 11:03:47 >> Dec 8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133] >> Dec 8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see >> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server >> Dec 8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 : Recipient >> address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server; >> from= to= proto=ESMTP helo= >> Dec 8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 >> commands=3/5 >> >> Gruß Daniel >> >> > From max.grobecker at ml.grobecker.info Wed Dec 9 00:56:47 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Wed, 9 Dec 2015 00:56:47 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> Message-ID: <56676E3F.3030309@ml.grobecker.info> Buenos Tardes, Am 08.12.2015 um 22:48 schrieb Winfried Neessen: >> kreditoren at dertour.de REJECT Virus kreditoren at dertour.de > > REJECT ist m. E. schonmal falsch. DISCARD wuerde ich hier waehlen. Muss nicht zwingend falsch sein. Wenn man sie ganz vorne ablehnt bevor (!) man sie angenommen hat, ist REJECT sogar zu bevorzugen. Solange du während der laufenden SMTP-Transaktion mit einem 5.7.x-Code dem Remote-Server zu verstehen gibst dass du diese E-Mail nicht zustellen wirst, generiert Postfix dafür auch keine eigenen Bounces. Dann hat der Remote-Server das Problem dass er einen NDN generieren und den Absender informieren muss ;-) Bei Discard würde der Absender (bei False Positives) nie erfahren dass die Mail nicht angekommen ist und das kann dir im Zweifel juristisch vielleicht nicht den Hals, aber wenigstens ein Bein brechen! Generell zu den E-Mails: Es scheint *jetzt* der Zeitpunkt gekommen zu sein Windows-Updates zu installieren ;-) Da werden mir eine ganze Menge Updates für Office mit Referenz auf MS-15-131 angeboten: (Beispielhaft) -> https://support.microsoft.com/de-de/kb/3085549 Und hier die MS15-131: -> https://technet.microsoft.com/library/security/MS15-131 Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From wn at neessen.net Wed Dec 9 08:53:33 2015 From: wn at neessen.net (Winfried Neessen) Date: Wed, 09 Dec 2015 08:53:33 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <56676E3F.3030309@ml.grobecker.info> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> <56676E3F.3030309@ml.grobecker.info> Message-ID: <0a2e35751efd8be8cacb34a286817f1e@neessen.net> Hi, Am 2015-12-09 00:56, schrieb Max Grobecker: > Dann hat der Remote-Server das Problem dass er einen NDN generieren und > den > Absender informieren muss ;-) > Wie REJECT und DISCARD arbeiten ist mir schon klar. Aber genau das "Absender informieren" ist das Problem. Ich denke nicht, dass der Absender bei solchen Mails darueber informiert werden moechte, denn der ist sowieso gefaelscht. Aber gut, jeder so wie er mag - ich versuche eher Backscatter zu vermeiden. > Bei Discard würde der Absender (bei False Positives) nie erfahren dass > die Mail nicht > angekommen ist und das kann dir im Zweifel juristisch vielleicht nicht > den Hals, aber > wenigstens ein Bein brechen! > Aus juristischer Sicht waere es dann schon sehr zweifelhaft ueberhaupt eine Absenderadresse komplett zu blocken. Ausserdem wird die Mail ueber den 1 von 10.000 false-positive mit Sicherheit beim Absender eh untergehen. Winni From gregor at a-mazing.de Wed Dec 9 09:15:49 2015 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 9 Dec 2015 09:15:49 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <0a2e35751efd8be8cacb34a286817f1e@neessen.net> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <56676E3F.3030309@ml.grobecker.info> <0a2e35751efd8be8cacb34a286817f1e@neessen.net> Message-ID: <201512090915.50100@office.a-mazing.net> Hallo Winni, Am Mittwoch, 9. Dezember 2015 schrieb Winfried Neessen: > Wie REJECT und DISCARD arbeiten ist mir schon klar. Aber genau das > "Absender informieren" > ist das Problem. Ich denke nicht, dass der Absender bei solchen Mails > darueber > informiert werden moechte, denn der ist sowieso gefaelscht. Aber gut, > jeder so wie > er mag - ich versuche eher Backscatter zu vermeiden. ein REJECT selbst erezugt keinen Backscatter, sondern sorgt dafür, daß der Client seine Mails nicht los wird. Solange es sich dabei nicht um einen echten MTA handelt oder Weiterleitungen im Spiel sind entsteht auch dort kein Backscatter. Ein False-Positive wird aber von einem echten MTA kommen, dort eine DSN auslösen und den Absender über das Problem informieren. Bei DISCARD gilt die Mail aber für den Client als erfolgreich zugestellt. > Aus juristischer Sicht waere es dann schon sehr zweifelhaft ueberhaupt > eine > Absenderadresse komplett zu blocken. Ausserdem wird die Mail ueber den 1 > von 10.000 > false-positive mit Sicherheit beim Absender eh untergehen. Grundsätzlich darfst du blocken, was du willst. Solange du die Mail nicht annimmst (REJECT), gelangt sie auch nicht in deinen Verantwortungsbereich. Wenn du dem Client allerdings die Annahme bestätigst und die Mail dann stillschweigend entsorgst (DISCARD) bist du juristisch auch dafür verantwortlich. Sobald du also Maildienste für andere erbringst kann ein DISCARD dir erhebliche Probleme verschaffen. Der False-Positive wird beim Absender auch nur dann untergehen, wenn er wirklich Backscatter bekommt, also z.B. Opfer eines Joe-Jobs geworden ist. Wenn die Mails aber nicht über einen "vernünftigen" MTA sondern z.B. trojanerverseuchte PCs in einem Botnet verschickt werden, werden diese auch keinen Backscatter erzeugen... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From wn at neessen.net Wed Dec 9 09:29:38 2015 From: wn at neessen.net (Winfried Neessen) Date: Wed, 09 Dec 2015 09:29:38 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <201512090915.50100@office.a-mazing.net> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <56676E3F.3030309@ml.grobecker.info> <0a2e35751efd8be8cacb34a286817f1e@neessen.net> <201512090915.50100@office.a-mazing.net> Message-ID: Hi Gregor, Am 2015-12-09 09:15, schrieb Gregor Hermens: > ein REJECT selbst erezugt keinen Backscatter, sondern sorgt dafür, daß > der > Client seine Mails nicht los wird. Solange es sich dabei nicht um einen > echten > MTA handelt oder Weiterleitungen im Spiel sind entsteht auch dort kein > Backscatter. Ein False-Positive wird aber von einem echten MTA kommen, > dort > eine DSN auslösen und den Absender über das Problem informieren. > Bei DISCARD gilt die Mail aber für den Client als erfolgreich > zugestellt. > Wie gesagt, mir ist bewusst wie sich REJECT und DISCARD verhalten. Aber genau der Punkt, dass valide MTAs die Mails eingeliefert haben, war bei uns mehrfach der Fall. Mal davon abgesehen, haben wir die Heise Regeln bei uns nicht eingebaut, da die vorhandenen Anti-Malware Vorkehrungen die Mails eh schon erkannt und ausgefilter haben. Winni From driessen at fblan.de Wed Dec 9 13:41:15 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 9 Dec 2015 13:41:15 +0100 Subject: AW: Viruswelle von "kreditoren@dertour.de" In-Reply-To: References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <56676E3F.3030309@ml.grobecker.info> <0a2e35751efd8be8cacb34a286817f1e@neessen.net> <201512090915.50100@office.a-mazing.net> Message-ID: <00fb01d1327e$e5cfbd40$b16f37c0$@fblan.de> Im Auftrag von Winfried Neessen > Am 2015-12-09 09:15, schrieb Gregor Hermens: > > > ein REJECT selbst erezugt keinen Backscatter, sondern sorgt dafür, daß > > der > > Client seine Mails nicht los wird. Solange es sich dabei nicht um einen > > echten > > MTA handelt oder Weiterleitungen im Spiel sind entsteht auch dort kein > > Backscatter. Ein False-Positive wird aber von einem echten MTA kommen, > > dort > > eine DSN auslösen und den Absender über das Problem informieren. > > Bei DISCARD gilt die Mail aber für den Client als erfolgreich > > zugestellt. > > > > Wie gesagt, mir ist bewusst wie sich REJECT und DISCARD verhalten. Aber > genau > der Punkt, dass valide MTAs die Mails eingeliefert haben, war bei uns > mehrfach der Fall. Mal davon abgesehen, haben wir die Heise Regeln bei > uns > nicht eingebaut, da die vorhandenen Anti-Malware Vorkehrungen die Mails > eh schon erkannt und ausgefilter haben. Nur reject während der Einlieferung Nur beim reject trifft es genau den Einlieferer und nicht unbeteiligte Dritte(Absenderfälschung) Und bei Preque Filter oder als Milter geht das schneller als den Spammern das lieb ist Bei eigenen Usern welche über den eigenen Server verschicken kann man das anders Handhaben Da kann man auch eine Mail zurücksenden was beanstandet wurde und was evtl. besser gemacht werden sollte. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Wed Dec 9 14:44:01 2015 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 9 Dec 2015 14:44:01 +0100 Subject: AW: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> Message-ID: <00ff01d13287$ab378010$01a68030$@fblan.de> Winfried Neessen > Wenn Deine aktuellen Abwehrmassnahmen bereits funktionieren, warum > dann noch > zusaetzlich irgendwas blocken, was evtl. auch als Absender fuer valide Mails > genutzt wird? Hat mal jemand Header von solchen Mails Bei mich sind scheinbar noch keine in welcher Art auch immer durch Log geflogen Für DHL paypal und andere benutze ich sowas wie z.B. if /^From:.*DHL.*/i if !/\<.+ at dhl\.de\>$/i /^/ REJECT we go on strike and do not provide packages, Your Mailaccount was hacked endif endif if /^From:.*amazon.*/i if !/\<.+@(.*\.)?amazon\.de\>$/i /^/ REJECT we go on strike and do not provide packages, Your Mailaccount is hacked endif endif das trifft alle welche nicht wirklich von der Absender Domain kommen und nur davor paket at dhl.de aber in den stehen haben in der letzten Zeit sehe ich aber von der Toplevel xyz einiges an Spam > > Winni Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From max.grobecker at ml.grobecker.info Wed Dec 9 22:18:52 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Wed, 9 Dec 2015 22:18:52 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <00ff01d13287$ab378010$01a68030$@fblan.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> <00ff01d13287$ab378010$01a68030$@fblan.de> Message-ID: <56689ABC.5040509@ml.grobecker.info> Ola! Am 09.12.2015 um 14:44 schrieb Uwe Drießen: > Hat mal jemand Header von solchen Mails > > Bei mich sind scheinbar noch keine in welcher Art auch immer durch Log > geflogen Ich habe hier zwei liegen: ------------------------------------------------------------------------------------------ Return-Path: Received: from localhost (localhost [127.0.0.1]) by mx0.301-moved.de (GrobiSuperMail) with ESMTP id 3pFFRD02gFzB11M for ; Tue, 8 Dec 2015 09:43:51 +0100 (CET) X-Virus-Scanned: Mailfilter on mx0.301-moved.de X-Spam-Flag: NO X-Spam-Score: 2.843 X-Spam-Level: ** X-Spam-Status: No, score=2.843 tagged_above=-99 required=5.3 tests=[BAYES_00=-1.9, RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_BRBL_LASTEXT=1.449, RCVD_IN_XBL=0.375, RDNS_NONE=0.793, SPF_NEUTRAL=0.779] autolearn=no autolearn_force=no Received: from mx0.301-moved.de ([127.0.0.1]) by localhost (mx0.301-moved.de [127.144.138.238]) (amavisd-new, port 10024) with ESMTP id NB1c4SfhpVZC for ; Tue, 8 Dec 2015 09:43:51 +0100 (CET) Received: from [49.156.156.41] (unknown [49.156.156.41]) by mx0.301-moved.de (GrobiSuperMail) with ESMTP for ; Tue, 8 Dec 2015 09:43:27 +0100 (CET) MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Content-Type: multipart/mixed; boundary="_----------=_922055094809325879614" Date: Tue, 08 Dec 2015 14:13:31 +0530 From: Hans Meier To: x Subject: =?UTF-8?B?UmVjaG51bmcgNDY5NTIzMTUgdm9tIDA3LjEyLjIwMTU=?= X-Id_client: 85616714 X-Mailer: MIME::Lite 3.027 (F2.77; T1.30; A2.06; B3.08; Q3.08) X-AV-Checked: clean on av10 Message-Id: <20150812141331.40F4CA786E3 at x> This is a multi-part message in MIME format. --_----------=_922055094809325879614 Content-Disposition: inline Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset="UTF-8" Hallo, als Anhang finden Sie die Rechnung 46952315 vom 07.12.2015. Nettosumme: 325,00 MwSt: 19,00 Bruttosumme: 386,75 Mit freundlichen GrÃ¼Ã?en Hans Meier ------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------ Return-Path: Received: from localhost (localhost [127.0.0.1]) by mx0.301-moved.de (GrobiSuperMail) with ESMTP id 3pFMLy5s7WzB1Hy for ; Tue, 8 Dec 2015 14:10:34 +0100 (CET) X-Virus-Scanned: Mailfilter on mx0.301-moved.de X-Spam-Flag: NO X-Spam-Score: 3.382 X-Spam-Level: *** X-Spam-Status: No, score=3.382 tagged_above=-99 required=5.3 tests=[BAYES_00=-1.9, RCVD_IN_PBL=3.335, RCVD_IN_XBL=0.375, RDNS_NONE=0.793, SPF_NEUTRAL=0.779] autolearn=no autolearn_force=no Received: from mx0.301-moved.de ([127.0.0.1]) by localhost (mx0.301-moved.de [127.144.138.238]) (amavisd-new, port 10024) with ESMTP id AEX9oRCL1QDb for ; Tue, 8 Dec 2015 14:10:33 +0100 (CET) Received: from [39.33.33.36] (unknown [39.33.33.36]) by mx0.301-moved.de (GrobiSuperMail) with ESMTP for ; Tue, 8 Dec 2015 14:10:25 +0100 (CET) MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Content-Type: multipart/mixed; boundary="_----------=_427526494477774699324" Date: Tue, 08 Dec 2015 05:10:21 -0700 From: Wenzel Schulte To: x Subject: =?UTF-8?B?QVc6IEZlaGxlbmRlIFJlY2hudW5n?= X-Id_client: 10617745 X-Mailer: MIME::Lite 3.027 (F2.77; T1.30; A2.06; B3.08; Q3.08) X-AV-Checked: clean on av10 Message-Id: <20150812051021.178EB66ADE0 at x> This is a multi-part message in MIME format. --_----------=_427526494477774699324 Content-Disposition: inline Content-Transfer-Encoding: 8bit Content-Type: text/plain; charset="UTF-8" Guten Morgen, anbei erhalten Sie die gewÃ¼nschte Rechnung 50852532. Mit freundlichem GruÃ? Wenzel Schulte -Aussendienst Backoffice- GmbH Siemensstr. 23 D-42551 Velbert ------------------------------------------------------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From max.grobecker at ml.grobecker.info Wed Dec 9 22:20:58 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Wed, 9 Dec 2015 22:20:58 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <56689ABC.5040509@ml.grobecker.info> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> <00ff01d13287$ab378010$01a68030$@fblan.de> <56689ABC.5040509@ml.grobecker.info> Message-ID: <56689B3A.7000606@ml.grobecker.info> Nachtrag zu meiner letzten Mail: Die kommen nicht von "kreditoren at dertour.de", aber sie sind identisch aufgebaut. Zusätzlich enthalten die einen .doc-Anhang den ich jetzt natürlich nicht mitgeschickt habe ;-) Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From driessen at fblan.de Wed Dec 9 23:00:23 2015 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 9 Dec 2015 23:00:23 +0100 Subject: AW: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <56689B3A.7000606@ml.grobecker.info> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> <00ff01d13287$ab378010$01a68030$@fblan.de> <56689ABC.5040509@ml.grobecker.info> <56689B3A.7000606@ml.grobecker.info> Message-ID: <013501d132cd$0227c3e0$06774ba0$@fblan.de> Hallo Max Danke fürs nicht mitschicken :-)) Und mit Subject: =?UTF-8?B?QVc6IEZlaGxlbmRlIFJlY2hudW5n?= AW: Fehlende Rechnung Und Rechnung 46952315 vom 07.12.2015 Sehen die ganz normal aus Ansonsten sehe ich auch keine eindeutigen Merkmale Was ich aber bei den Mails sehe ist das die scheinbar keinen PTR DNS haben Received: from [49.156.156.41] (unknown [49.156.156.41]) = Indien Received: from [39.33.33.36] (unknown [39.33.33.36]) = Pakistan Ohne PTR / DNS wird hier überhaupt nicht durch gelassen. Uns aus Indien und Pakistan haben wir eher weniger Mails von daher kann es auch schon mal passieren das das ganze Netz mit ipset in der Firewall verewigt wird auf port 25 Verbindung aufzubauen Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker > Gesendet: Mittwoch, 9. Dezember 2015 22:21 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Viruswelle von "kreditoren at dertour.de" > > Nachtrag zu meiner letzten Mail: > Die kommen nicht von "kreditoren at dertour.de", aber sie sind identisch > aufgebaut. > Zusätzlich enthalten die einen .doc-Anhang den ich jetzt natürlich nicht > mitgeschickt habe ;-) > > > Max From max.grobecker at ml.grobecker.info Wed Dec 9 23:21:48 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Wed, 9 Dec 2015 23:21:48 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <013501d132cd$0227c3e0$06774ba0$@fblan.de> References: <000001d13201$8aaa2ea0$9ffe8be0$@ist-immer-online.de> <9E0F5937-2EDF-4EE6-85A2-634E4C348065@neessen.net> <00ff01d13287$ab378010$01a68030$@fblan.de> <56689ABC.5040509@ml.grobecker.info> <56689B3A.7000606@ml.grobecker.info> <013501d132cd$0227c3e0$06774ba0$@fblan.de> Message-ID: <5668A97C.7030000@ml.grobecker.info> Hallo Uwe, Am 09.12.2015 um 23:00 schrieb Uwe Drießen: > Was ich aber bei den Mails sehe ist das die scheinbar keinen PTR DNS haben > Received: from [49.156.156.41] (unknown [49.156.156.41]) = Indien > Received: from [39.33.33.36] (unknown [39.33.33.36]) = Pakistan > > Ohne PTR / DNS wird hier überhaupt nicht durch gelassen. Ja, hier auch - in dem Fall sind die Ausnahmsweise durchgegangen weil die an die "hostmaster@"-Adresse gerichtet waren. Da habe ich eine Ausnahmeregel, dass das auch ohne PTR durchgehen darf... :-/ Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From Rainer_Wiesenfarth at Trimble.com Thu Dec 10 08:42:59 2015 From: Rainer_Wiesenfarth at Trimble.com (Rainer Wiesenfarth) Date: Thu, 10 Dec 2015 07:42:59 +0000 Subject: =?iso-8859-1?Q?"Erlaubte"_Checks_f=FCr_postmaster@..._(was:_Viruswelle_vo?= =?iso-8859-1?Q?n_"kreditoren@dertour.de")?= Message-ID: <4AE00D781A09064297022337CA5D27F997E9FBE0@sed-mbx-03.trimblecorp.net> From: Max Grobecker > Am 09.12.2015 um 23:00 schrieb Uwe Drießen: > > Was ich aber bei den Mails sehe ist das die scheinbar keinen PTR DNS haben > > Received: from [49.156.156.41] (unknown [49.156.156.41]) = Indien > > Received: from [39.33.33.36] (unknown [39.33.33.36]) = Pakistan > > > > Ohne PTR / DNS wird hier überhaupt nicht durch gelassen. > > Ja, hier auch - in dem Fall sind die Ausnahmsweise durchgegangen weil die an die "hostmaster@"-Adresse gerichtet waren. > Da habe ich eine Ausnahmeregel, dass das auch ohne PTR durchgehen darf... :-/ Frage an die Experten: Darf ich für postmaster und Co. nicht auch z.B. reject_unknown_client_hostname setzen? Damit lehne ich ja keine richtig konfigurierten Systeme ab. Auf Einlieferungsversuche per HTTP Post muss ich ja auch nicht reagieren... Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- Software Engineer | Trimble Imaging Division Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 http://www.trimble.com/imaging/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Hans-Jürgen Gebauer From max.grobecker at ml.grobecker.info Thu Dec 10 10:58:47 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Thu, 10 Dec 2015 10:58:47 +0100 Subject: Viruswelle von "kreditoren@dertour.de" In-Reply-To: <4AE00D781A09064297022337CA5D27F997E9FBE0@sed-mbx-03.trimblecorp.net> References: <4AE00D781A09064297022337CA5D27F997E9FBE0@sed-mbx-03.trimblecorp.net> Message-ID: <56694CD7.6060600@ml.grobecker.info> Hallo Rainer, Am 10.12.2015 um 08:42 schrieb Rainer Wiesenfarth: > > Frage an die Experten: Darf ich für postmaster und Co. nicht auch z.B. > > reject_unknown_client_hostname > > setzen? Damit lehne ich ja keine richtig konfigurierten Systeme ab. Auf Einlieferungsversuche per HTTP Post muss ich ja auch nicht reagieren... Ich hatte diese Regel mal für eine einzelne Empfängeradresse gesetzt, um Ausnahmsweise mal Mails von einem Mailserver entgegenzunehmen bei dem der Administrator eigentlich zu doof für Mailserverbetrieb ist und mein Interesse am Erhalt der Mail größer war als der Drang einfach mit dem Finger auf den Admin zu zeigen und zu insistieren dass er endlich einen konsistenten PTR setzt. Uwe meinte gestern auch (außerhalb der Liste) dass die Sache mit den PTRs eigentlich indiskutabel ist und es auch legitim wäre, diese Checks für RFC-Adressen zu haben ;-) Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From pw at wk-serv.de Thu Dec 10 11:28:58 2015 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 10 Dec 2015 11:28:58 +0100 Subject: postscreen bei mehreren IPs Message-ID: <566953EA.4020300@wk-serv.de> Hallo zusammen, ich möchte (bzw. habe) auf einem eingehenden System (bisher mit 1x IPv4 und 1x IPv6) eine zweite IPv4-Adresse hinzugefügt auf der postscreen nicht laufen soll. Das funktioniert auch soweit, allerdings bekomme ich einen, nachvollziehbaren, Fehler: Dec 10 10:27:25 mx02 postfix/postscreen[5903]: fatal: btree:/var/lib/postfix/postscreen_cache: unable to get exclusive lock: Resource temporarily unavailable Dec 10 10:27:26 mx02 postfix/master[5320]: warning: process /usr/lib/postfix/postscreen pid 5903 exit status 1 Dec 10 10:27:26 mx02 postfix/master[5320]: warning: /usr/lib/postfix/postscreen: bad command startup -- throttling Durch die geänderte Konfiguration wird postscreen nun zweimal gestartet und das funktioniert nicht. Folgendes hat auch nicht funktioniert, da die x.x.67.235 dann nochmal belegt werden soll: x.x.67.235:smtp inet n - - - 1 smtpd smtp inet n - - - 1 postscreen Hat jemand einen Tipp? Danke und Gruß Patrick Bisher: ------------ smtp inet n - - - 1 postscreen smtpd pass - - - - - smtpd -o receive_override_options=no_address_mappings -o smtpd_proxy_filter=127.0.0.1:10024 dnsblog unix - - - - 0 dnsblog tlsproxy unix - - - - 0 tlsproxy Neu: ------------ x.x.67.235:smtp inet n - - - 40 smtpd -o receive_override_options=no_address_mappings -o smtpd_proxy_filter=127.0.0.1:10024 x.x.67.233:smtp inet n - - - 1 postscreen [x:x:x:x:20:2:2:1]:smtp inet n - - - 1 postscreen smtpd pass - - - - - smtpd -o receive_override_options=no_address_mappings -o smtpd_proxy_filter=127.0.0.1:10024 dnsblog unix - - - - 0 dnsblog tlsproxy unix - - - - 0 tlsproxy -- Westenberg + Kueppers GbR Spanische Schanzen 37 ---- Buero Koeln ---- 47495 Rheinberg pwestenberg at wk-serv.de Tel.: +49 (0)2843 90369-06 http://www.wk-serv.de Fax : +49 (0)2843 90369-07 Gesellschafter: Sebastian Kueppers & Patrick Westenberg From thomas.wiese at ovis-consulting.de Thu Dec 10 11:36:18 2015 From: thomas.wiese at ovis-consulting.de (T. Wiese, OVIS IT Consulting GmbH) Date: Thu, 10 Dec 2015 10:36:18 +0000 Subject: postscreen bei mehreren IPs In-Reply-To: <566953EA.4020300@wk-serv.de> References: <566953EA.4020300@wk-serv.de> Message-ID: <62316682-4F5D-4338-B1B6-B85D947C192B@ovis-consulting.de> Moin, ich löse das mit memcache als DB. Hier können dann mehrere Instanzen auf die selbe Datenbank zugreifen und es gibt keine lock Probleme. Mit freundlichen Grüßen Thomas > Mit freundlichen Grüßen Thomas Wiese Geschäftsführender Gesellschafter OVIS IT Consulting GmbH Arnulfstraße 95, 12105 Berlin Tel.: 030 - 2201206 01 Fax: 030 - 2201206 30 https://www.ovis-consulting.de Geschäftsführer: Thomas Wiese Handelsregister: Berlin - Charlottenburg, HRB 155424B UST-IdNr.: DE293333139 Am 10.12.2015 um 11:28 schrieb Patrick Westenberg : > > Hallo zusammen, > > ich möchte (bzw. habe) auf einem eingehenden System (bisher mit 1x IPv4 und 1x IPv6) eine zweite IPv4-Adresse hinzugefügt auf der postscreen nicht laufen soll. > > Das funktioniert auch soweit, allerdings bekomme ich einen, > nachvollziehbaren, Fehler: > > Dec 10 10:27:25 mx02 postfix/postscreen[5903]: fatal: btree:/var/lib/postfix/postscreen_cache: unable to get exclusive lock: Resource temporarily unavailable > Dec 10 10:27:26 mx02 postfix/master[5320]: warning: process /usr/lib/postfix/postscreen pid 5903 exit status 1 > Dec 10 10:27:26 mx02 postfix/master[5320]: warning: /usr/lib/postfix/postscreen: bad command startup -- throttling > > Durch die geänderte Konfiguration wird postscreen nun zweimal gestartet und das funktioniert nicht. Folgendes hat auch nicht funktioniert, da > die x.x.67.235 dann nochmal belegt werden soll: > > x.x.67.235:smtp inet n - - - 1 smtpd > smtp inet n - - - 1 postscreen > > Hat jemand einen Tipp? > > Danke und Gruß > Patrick > > > > Bisher: > ------------ > smtp inet n - - - 1 postscreen > smtpd pass - - - - - smtpd > -o receive_override_options=no_address_mappings > -o smtpd_proxy_filter=127.0.0.1:10024 > > dnsblog unix - - - - 0 dnsblog > tlsproxy unix - - - - 0 tlsproxy > > > > > > Neu: > ------------ > > x.x.67.235:smtp inet n - - - 40 smtpd > -o receive_override_options=no_address_mappings > -o smtpd_proxy_filter=127.0.0.1:10024 > > x.x.67.233:smtp inet n - - - 1 postscreen > [x:x:x:x:20:2:2:1]:smtp inet n - - - 1 postscreen > > smtpd pass - - - - - smtpd > -o receive_override_options=no_address_mappings > -o smtpd_proxy_filter=127.0.0.1:10024 > > dnsblog unix - - - - 0 dnsblog > tlsproxy unix - - - - 0 tlsproxy > > > > > -- > Westenberg + Kueppers GbR Spanische Schanzen 37 > ---- Buero Koeln ---- 47495 Rheinberg > pwestenberg at wk-serv.de Tel.: +49 (0)2843 90369-06 > http://www.wk-serv.de Fax : +49 (0)2843 90369-07 > Gesellschafter: Sebastian Kueppers & Patrick Westenberg From andreas.schulze at datev.de Thu Dec 10 11:51:45 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 10 Dec 2015 11:51:45 +0100 Subject: mit amavis gegen Teslacrypt Message-ID: <56695941.1030602@datev.de> Hallo, Teslacrypt ist unserer Ansicht nach eine Mail mit einem ZIP als Anlage, welche eine .JS Datei enthält. für Amavis haben wir foldenden Config-Schnipsel: unshift @$banned_namepath_re, qr'(?#BANNED:TESLACRYPT) ^ .* M=application/zip\tT=zip\tN=.+\.zip\n.* L=1/2/1 .* N=.+\.js $'xmi; 1; Kommentare willkommen ... -- A. Schulze DATEV eG From pw at wk-serv.de Thu Dec 10 12:30:05 2015 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 10 Dec 2015 12:30:05 +0100 Subject: postscreen bei mehreren IPs In-Reply-To: <62316682-4F5D-4338-B1B6-B85D947C192B@ovis-consulting.de> References: <566953EA.4020300@wk-serv.de> <62316682-4F5D-4338-B1B6-B85D947C192B@ovis-consulting.de> Message-ID: <5669623D.9070907@wk-serv.de> T. Wiese, OVIS IT Consulting GmbH schrieb: > Moin, > ich löse das mit memcache als DB. Hier können dann mehrere Instanzen auf die selbe Datenbank zugreifen und es gibt keine lock Probleme. Danke :-) Gruß Patrick From Hajo.Locke at gmx.de Thu Dec 10 13:17:30 2015 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Thu, 10 Dec 2015 13:17:30 +0100 Subject: postscreen bei mehreren IPs In-Reply-To: <5669623D.9070907@wk-serv.de> References: <566953EA.4020300@wk-serv.de> <62316682-4F5D-4338-B1B6-B85D947C192B@ovis-consulting.de> <5669623D.9070907@wk-serv.de> Message-ID: <56696D5A.2050307@gmx.de> Hallo, Am 10.12.2015 um 12:30 schrieb Patrick Westenberg: > T. Wiese, OVIS IT Consulting GmbH schrieb: >> Moin, >> ich löse das mit memcache als DB. Hier können dann mehrere Instanzen >> auf die selbe Datenbank zugreifen und es gibt keine lock Probleme. > > Danke :-) > > Gruß > Patrick > > Es müsste doch auch gehen mit -o postscreen_cache_map in der master.cf eine neue DB festzulegen, damit sich die Prozesse nicht in die Quere kommen. Hajo From pw at wk-serv.de Thu Dec 10 14:34:33 2015 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 10 Dec 2015 14:34:33 +0100 Subject: postscreen bei mehreren IPs In-Reply-To: <56696D5A.2050307@gmx.de> References: <566953EA.4020300@wk-serv.de> <62316682-4F5D-4338-B1B6-B85D947C192B@ovis-consulting.de> <5669623D.9070907@wk-serv.de> <56696D5A.2050307@gmx.de> Message-ID: <56697F69.6020108@wk-serv.de> Hajo Locke schrieb: > Es müsste doch auch gehen mit -o postscreen_cache_map in der master.cf > eine neue DB festzulegen, damit sich die Prozesse nicht in die Quere > kommen. Ohne es ausprobiert zu haben: Dann würde man sich zwar den memcache sparen, aber man hätte eben auch zwei seperate Datenbanken und die Prozesse können nicht auf vorhandenes Wissen des anderen zugreifen, d.h. es kommt ggf. zu noch mehr Verzögerungen. Gruß Patrick From Hajo.Locke at gmx.de Thu Dec 10 15:31:31 2015 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Thu, 10 Dec 2015 15:31:31 +0100 Subject: postscreen bei mehreren IPs In-Reply-To: <56697F69.6020108@wk-serv.de> References: <566953EA.4020300@wk-serv.de> <62316682-4F5D-4338-B1B6-B85D947C192B@ovis-consulting.de> <5669623D.9070907@wk-serv.de> <56696D5A.2050307@gmx.de> <56697F69.6020108@wk-serv.de> Message-ID: <56698CC3.7010402@gmx.de> Hallo, Am 10.12.2015 um 14:34 schrieb Patrick Westenberg: > Hajo Locke schrieb: > >> Es müsste doch auch gehen mit -o postscreen_cache_map in der master.cf >> eine neue DB festzulegen, damit sich die Prozesse nicht in die Quere >> kommen. > > Ohne es ausprobiert zu haben: > Dann würde man sich zwar den memcache sparen, aber man hätte eben auch > zwei seperate Datenbanken und die Prozesse können nicht auf > vorhandenes Wissen des anderen zugreifen, d.h. es kommt ggf. zu noch > mehr Verzögerungen. > > Gruß > Patrick > Ja, das mag sicherlich sein. Je nach Anforderung genügt das eventuell. Postfix eigene Bestandteile sind immer sehr stabil. Ein weiterer Dienst den man benutzt, muss aber auf Verfügbarkeit überwacht werden etc.. Je nach Umfeld kann das mehr oder weniger aufwändig sein. Hajo From daniel at ist-immer-online.de Mon Dec 14 10:49:06 2015 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 14 Dec 2015 10:49:06 +0100 Subject: AW: Problem bei mir oder beim Testtool? In-Reply-To: <9e8-565c8700-3-55db0880@83652309> References: <001201d12b83$4fd738b0$ef85aa10$@ist-immer-online.de> <9e8-565c8700-3-55db0880@83652309> Message-ID: <000801d13654$ac79ef00$056dcd00$@ist-immer-online.de> Hi Andreas, die SSL Tools Seite geht wieder mit IPv6, habe die mal angeschrieben. Als Antwort kam " Der radvd auf unserem Router hatte sich Aufgehängt" Gruß Daniel Hallo, > > ich wollte eigentlich eine neue Domain testen, ob alles in Ordnung ist, > doch der Test hat einen Fehler geworfen. Also testete ich meinen > Mailserver mal mit einer Domain, die in der Vergangenheit problemlos lief: > > https://de.ssl-tools.net/mailservers/proweser.de > > Nun aber wird auch hier der Fehler angezeigt - witzigerweise nur auf > Seiten von IPv6, während IPv4 problemlos läuft, einschließlich DANE. Ist > das Testtool kaputt oder mein Server? Lokal scheint die Verbindung mit > der IPv6-Adresse zu funktionieren, allerdings habe ich momentan leider > keine Möglichkeit, von extern zu testen, ob der Zugriff klappt. > > Falls es an meiner Seite liegt: Irgendwelche Tipps, woran es liegen kann? > > Danke > Andreas From sebastian at debianfan.de Mon Dec 14 11:34:52 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 14 Dec 2015 11:34:52 +0100 Subject: Startssl & Postfix Message-ID: <566E9B4C.3010505@debianfan.de> Guten Morgen, betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit StartSSL-Zertifikaten? Ist das zu empfehlen ? Bislang hatte ich bei PSW immer die Zertifikate gekauft - aber wenn es auch mit StartSSL gehen würde, wäre das natürlich auch gut. gruß Sebastian From daniel at ist-immer-online.de Mon Dec 14 11:49:58 2015 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 14 Dec 2015 11:49:58 +0100 Subject: AW: Startssl & Postfix In-Reply-To: <566E9B4C.3010505@debianfan.de> References: <566E9B4C.3010505@debianfan.de> Message-ID: <001c01d1365d$2d4685f0$87d391d0$@ist-immer-online.de> Hi, falls nichts ausgeben willst, kannst dir bei https://buy.wosign.com/free/ eins kostenlos für 3 Jahre ordern. Dieses wird soweit vom Browser und Smartphone akzeptiert. Mit Comodo habe ich zumindest nicht viel Erfahrung eher nur kurz zu Testzwecken, verwende eher lieber Rapid oder geotrust je nachdem was günstiger kommt. Was für ein Cert möchtest denn verwenden? Nen DV Single? Oder lieber eher nen SAN mit mehren Hostnamen? Gruß Daniel -----Ursprüngliche Nachricht----- Guten Morgen, betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit StartSSL-Zertifikaten? Ist das zu empfehlen ? Bislang hatte ich bei PSW immer die Zertifikate gekauft - aber wenn es auch mit StartSSL gehen würde, wäre das natürlich auch gut. gruß Sebastian From torben at dannhauer.info Mon Dec 14 11:43:57 2015 From: torben at dannhauer.info (Torben Dannhauer) Date: Mon, 14 Dec 2015 11:43:57 +0100 Subject: AW: Startssl & Postfix In-Reply-To: <566E9B4C.3010505@debianfan.de> References: <566E9B4C.3010505@debianfan.de> Message-ID: <006e01d1365c$55d998f0$018ccad0$@dannhauer.info> Hi, ich nutze StartSSL Zertifikate, geht einwandfrei. Einzig Outlook motzt hin und wieder über "Nicht vertrauenswürdiges Zertifikat", sagt aber nicht warum.. Nutze StartSSL für http, smtp imap und pop. BG; Torben -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Montag, 14. Dezember 2015 11:35 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Startssl & Postfix Guten Morgen, betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit StartSSL-Zertifikaten? Ist das zu empfehlen ? Bislang hatte ich bei PSW immer die Zertifikate gekauft - aber wenn es auch mit StartSSL gehen würde, wäre das natürlich auch gut. gruß Sebastian From sebastian at debianfan.de Mon Dec 14 12:17:45 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 14 Dec 2015 12:17:45 +0100 Subject: Startssl & Postfix In-Reply-To: <001c01d1365d$2d4685f0$87d391d0$@ist-immer-online.de> References: <566E9B4C.3010505@debianfan.de> <001c01d1365d$2d4685f0$87d391d0$@ist-immer-online.de> Message-ID: <566EA559.3050401@debianfan.de> single Am 14.12.2015 um 11:49 schrieb Daniel: > Hi, > > falls nichts ausgeben willst, kannst dir bei https://buy.wosign.com/free/ eins kostenlos für 3 Jahre ordern. > > Dieses wird soweit vom Browser und Smartphone akzeptiert. > > Mit Comodo habe ich zumindest nicht viel Erfahrung eher nur kurz zu Testzwecken, verwende eher lieber Rapid oder geotrust je nachdem was günstiger kommt. > > Was für ein Cert möchtest denn verwenden? Nen DV Single? Oder lieber eher nen SAN mit mehren Hostnamen? > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Guten Morgen, > > betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit > StartSSL-Zertifikaten? > > Ist das zu empfehlen ? Bislang hatte ich bei PSW immer die Zertifikate > gekauft - aber wenn es auch mit StartSSL gehen würde, wäre das natürlich > auch gut. > > gruß > > Sebastian > > > > > > From buettnerp at web.de Mon Dec 14 13:18:42 2015 From: buettnerp at web.de (Peter Buettner) Date: Mon, 14 Dec 2015 13:18:42 +0100 Subject: Startssl & Postfix In-Reply-To: <566E9B4C.3010505@debianfan.de> References: <566E9B4C.3010505@debianfan.de> Message-ID: <566EB3A2.2000503@web.de> Moin, für imap, pop3 und smtp benutze ich StartCom Class3 Zertifikate. Diese funktionieren einwandfrei. Https (Webmailer) ist mit StartCom EV (Class4) abgesichert. Nur Mozilla Firefox zeigt den "green bar" für alle CA's. IE hat noch niemand probiert. Opera, Chrome und Chromium (Linux) sind bis auf das Startlogo identische Maschinen und zeigen den "green bar" nur von unverschämt teuren CA's. Das liegt an einer "alternativen" Prüftechnik, wie man mir sagte. StartCom rüstet 2016 nach. StartCom ist nicht nur gnadenlos günstig, auch der Support ist vom Feinsten. Gruß Peter Büttner Am 14.12.2015 um 11:34 schrieb sebastian at debianfan.de: > Guten Morgen, > > betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit > StartSSL-Zertifikaten? > > Ist das zu empfehlen ? Bislang hatte ich bei PSW immer die Zertifikate > gekauft - aber wenn es auch mit StartSSL gehen würde, wäre das natürlich > auch gut. > > gruß > > Sebastian > > > > > From pw at wk-serv.de Mon Dec 14 14:04:47 2015 From: pw at wk-serv.de (Patrick Westenberg) Date: Mon, 14 Dec 2015 14:04:47 +0100 Subject: Startssl & Postfix In-Reply-To: <566E9B4C.3010505@debianfan.de> References: <566E9B4C.3010505@debianfan.de> Message-ID: <566EBE6F.4000607@wk-serv.de> sebastian at debianfan.de schrieb: > Guten Morgen, > > betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit > StartSSL-Zertifikaten? Die Zertifikate sind in Ordnung, aber ich hatte in den letzten Monaten zweimal das Problem, dass deren OCSP nicht richtig funktionierte und es Warnungen vom Browser gab. :( Gruß Patrick From max.grobecker at ml.grobecker.info Mon Dec 14 14:47:46 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Mon, 14 Dec 2015 14:47:46 +0100 Subject: Startssl & Postfix In-Reply-To: <566EBE6F.4000607@wk-serv.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> Message-ID: <566EC882.7000908@ml.grobecker.info> Hallo, Am 14.12.2015 um 14:04 schrieb Patrick Westenberg: > Die Zertifikate sind in Ordnung, aber ich hatte in den letzten Monaten zweimal das Problem, dass deren OCSP nicht richtig funktionierte und > es Warnungen vom Browser gab. :( Das Problem hatte ich mit GeoTrust-Zertifikaten auch schon. Ich glaube, die waren schlichtweg überfordert als einige Browser angefangen haben standardmäßig gegen OCSP zu validieren. Bei HTTPS hilft dagegen OCSP stapling mit relativ langer Cache-Zeit - ähnliche Konstrukte scheint es für Postfix / Dovecot aber leider nicht zu geben. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From sebastian at debianfan.de Mon Dec 14 17:06:52 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 14 Dec 2015 17:06:52 +0100 Subject: Startssl & Postfix In-Reply-To: <566EBE6F.4000607@wk-serv.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> Message-ID: <566EE91C.8070201@debianfan.de> Ich hab da mal was testweise gebastelt und mit ssl-tools.net den smtp getestet. Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist. Wie schalte ich diese Unterstützung bei Postfix ab? Ich habe mal eine Mail an das Mailkonto bei meinem Arbeitgeber geschickt - hier steht jetzt im Postfix-Log bei mir: Dec 14 16:27:41 debian postfix/qmgr[1794]: ADFD640041: removed Dec 14 16:28:05 debian postfix/pickup[1795]: CCC3140041: uid=0 from= Dec 14 16:28:05 debian postfix/cleanup[1816]: CCC3140041: message-id=<20151214152805.CCC3140041 at deiszner.info> Dec 14 16:28:05 debian postfix/qmgr[1794]: CCC3140041: from=, size=284, nrcpt=1 (queue active) Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) Dec 14 16:28:07 debian postfix/smtp[1818]: CCC3140041: to=, relay=mail07.arbeitgeber.de[94.26.172.35]:25, delay=1.5, delays=0.02/0/1.4/0.09, dsn=2.0.0, status=sent (250 ok: Message 63990573 accepted) Dec 14 16:28:07 debian postfix/qmgr[1794]: CCC3140041: removed Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert? Am 14.12.2015 um 14:04 schrieb Patrick Westenberg: > sebastian at debianfan.de schrieb: >> Guten Morgen, >> >> betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit >> StartSSL-Zertifikaten? > > Die Zertifikate sind in Ordnung, aber ich hatte in den letzten Monaten > zweimal das Problem, dass deren OCSP nicht richtig funktionierte und > es Warnungen vom Browser gab. :( > > Gruß > Patrick From max.grobecker at ml.grobecker.info Mon Dec 14 18:40:37 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Mon, 14 Dec 2015 18:40:37 +0100 Subject: Startssl & Postfix In-Reply-To: <566EE91C.8070201@debianfan.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566EE91C.8070201@debianfan.de> Message-ID: <566EFF15.4060600@ml.grobecker.info> Hallo Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de: > Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist. > Wie schalte ich diese Unterstützung bei Postfix ab? Ich habe bei mir in der main.cf folgende Einträge: --------------------------------------------- smtpd_tls_eecdh_grade = strong smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2 ; Die hier genannten Ciphers werden NICHT verwendet. smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA ; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge tls_preempt_cipherlist = yes ; Optional: Selbst generierte DH-Parameter benutzen smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem --------------------------------------------- > Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) > > Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert? Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-) Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Mon Dec 14 20:11:29 2015 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 14 Dec 2015 20:11:29 +0100 Subject: AW: Startssl & Postfix In-Reply-To: <566EFF15.4060600@ml.grobecker.info> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566EE91C.8070201@debianfan.de> <566EFF15.4060600@ml.grobecker.info> Message-ID: <001c01d136a3$3d7d5c50$b87814f0$@ist-immer-online.de> Hi, sonst probiere es mal mit smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_loglevel = 1 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_ciphers = high smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_ciphers= high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 Gruß Daniel -----Ursprüngliche Nachricht----- Hallo Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de: > Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist. > Wie schalte ich diese Unterstützung bei Postfix ab? Ich habe bei mir in der main.cf folgende Einträge: --------------------------------------------- smtpd_tls_eecdh_grade = strong smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2 ; Die hier genannten Ciphers werden NICHT verwendet. smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA ; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge tls_preempt_cipherlist = yes ; Optional: Selbst generierte DH-Parameter benutzen smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem --------------------------------------------- > Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) > > Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert? Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-) Viele Grüße aus dem Tal Max From rog7993 at web.de Tue Dec 15 01:22:01 2015 From: rog7993 at web.de (rog7993 at web.de) Date: Tue, 15 Dec 2015 01:22:01 +0100 Subject: Zusammenspiel von Virtual Alias Map und Tranport Map In-Reply-To: <5666D029.4070807@web.de> References: <56659068.2090307@web.de> <5666D029.4070807@web.de> Message-ID: <20151215012201.57218468@mbp161x.iis.fhg.de> Hallo, On Tue, 8 Dec 2015 13:42:17 +0100 Werner Flamme wrote: > Ist das nicht ein Fall für relay_domain und relay_recipient_maps? Und > was willst Du mit einem Catchall erreichen? Ich meine, außer > Backscatter zu erzeugen? > > relay_domains = domain1.org, $mydestination > relay_recipient_maps = /etc/postfix/shared/virtual > > Die Liste der gültigen User für die Weiterleitung hast Du ja wohl > schon in /etc/postfix/shared/virtual abgelegt, wenn ich das richtig > gesehen habe, deshalb habe ich die Datei mal recycled, siehe "man 5 > postconf". Und ggf. musst Du permit_mx_backup noch bearbeiten, das > steht da aber auch :) Vielen Dank. Das war der entscheidende Hinweis. Ich habe das vor ein paar Tagen ausprobiert und meine Tests haben so funktioniert, wie ich mir das wünsche. Etwas abwandeln musste ich die obigen Zeilen natürlich noch. Letztlich stellt dies einen Paradigmenwechsel dar. Bisher hat sich das Mailgateway zuständig gefühlt für die Domänen in "virtual_alias_maps", war also gewissermaßen Endpunkt für die Mails, auch wenn diese dann noch mal weiter geschickt wurden. Jetzt ist es "nur" noch ein Relay, das aber alle Mailadressen kennt, die es weiterleiten darf, es sei denn natürlich, die Mail stammt aus einem internen Netz und soll in die weite Welt. Na egal. Tatsächlich umgebaut habe ich das noch nicht. Ein paar Skripte wollen noch angepasst werden. -- Viele Grüße, Ingo From sebastian at debianfan.de Tue Dec 15 12:09:20 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 15 Dec 2015 12:09:20 +0100 Subject: Startssl & Postfix In-Reply-To: <001c01d136a3$3d7d5c50$b87814f0$@ist-immer-online.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566EE91C.8070201@debianfan.de> <566EFF15.4060600@ml.grobecker.info> <001c01d136a3$3d7d5c50$b87814f0$@ist-immer-online.de> Message-ID: <566FF4E0.5010008@debianfan.de> geht - Danke :-) Am 14.12.2015 um 20:11 schrieb Daniel: > Hi, > > sonst probiere es mal mit > > smtp_tls_ciphers = high > smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtp_tls_loglevel = 1 > smtp_tls_note_starttls_offer = yes > smtp_tls_protocols = !SSLv2, !SSLv3 > > smtpd_tls_ciphers = high > smtpd_tls_eecdh_grade = strong > smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtpd_tls_mandatory_ciphers= high > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtpd_tls_protocols = !SSLv2,!SSLv3 > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Hallo > > Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de: > >> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist. >> Wie schalte ich diese Unterstützung bei Postfix ab? > Ich habe bei mir in der main.cf folgende Einträge: > > --------------------------------------------- > smtpd_tls_eecdh_grade = strong > smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2 > > ; Die hier genannten Ciphers werden NICHT verwendet. > smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA > > ; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge > tls_preempt_cipherlist = yes > > ; Optional: Selbst generierte DH-Parameter benutzen > smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem > --------------------------------------------- > >> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) >> >> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert? > Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-) > > Viele Grüße aus dem Tal > Max > > From sebastian at debianfan.de Tue Dec 15 12:16:37 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 15 Dec 2015 12:16:37 +0100 Subject: Startssl & Postfix In-Reply-To: <566EBE6F.4000607@wk-serv.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> Message-ID: <566FF695.3020408@debianfan.de> Die bieten ja auch Wildcard-Zertifikate an - hierfür braucht man aber die Authentifizierung für knapp 55 Euro. Hat jemand damit positive Erfahrungen gemacht ? gruß Sebastian Am 14.12.2015 um 14:04 schrieb Patrick Westenberg: > sebastian at debianfan.de schrieb: >> Guten Morgen, >> >> betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit >> StartSSL-Zertifikaten? > > Die Zertifikate sind in Ordnung, aber ich hatte in den letzten Monaten > zweimal das Problem, dass deren OCSP nicht richtig funktionierte und > es Warnungen vom Browser gab. :( > > Gruß > Patrick From ck+postfixbuch at bl4ckb0x.de Tue Dec 15 13:31:33 2015 From: ck+postfixbuch at bl4ckb0x.de (ck+postfixbuch at bl4ckb0x.de) Date: Tue, 15 Dec 2015 13:31:33 +0100 (CET) Subject: Startssl & Postfix In-Reply-To: <566FF695.3020408@debianfan.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566FF695.3020408@debianfan.de> Message-ID: <1360883362.4856.c1ea2f27-41f0-4b75-86fc-825afa2963fc.open-xchange@office.mailbox.org> > "sebastian at debianfan.de" hat am 15. Dezember 2015 um > 12:16 geschrieben: > Die bieten ja auch Wildcard-Zertifikate an - hierfür braucht man aber > die Authentifizierung für knapp 55 Euro. > > Hat jemand damit positive Erfahrungen gemacht ? Hallo Sebastian, ja, ich ;) Ich habe dort eine Freischaltung für Class 2 gemacht und kann damit 1 Jahr lang unbegrenzt viele Wildcard-Zertifikate ausstellen, wobei die Zertifikate selbst 2 Jahre lang gültig sind. Die Freischaltung ging fix, es werden 2 Dokumente verlangt, welche man hochlädt und im Anschluss wirst ggf. du angerufen (ist nicht immer so) und es werden Zufallsinformationen abgefragt, damit du deine Identität bestätigst. Viele Grüße Conrad From thomasitcom at gmail.com Wed Dec 16 09:22:19 2015 From: thomasitcom at gmail.com (Thomas) Date: Wed, 16 Dec 2015 09:22:19 +0100 Subject: Subject mit "Sonderzeichen" Message-ID: <11792756.E0Q1ZVAqs2@tmprod1> Hallo, kann ich eigentlich auch "Sonderzeichen" im Subject benutzen oder macht das Probleme. Versand wäre vom "eigenen" Email Server und kein Spam oder so. So könnte man die Aufmerksamkeit der Empfänger für bestimme Emails steigern. So wie hier: Subject: =?UTF-8?Q?WG:_=E2=9C=94_Thomas,_entdecken_Si?= =?UTF-8?Q?e_unsere_besten_Apartments_=E2=9C=94?= Gruss Thomas From max at freecards.de Wed Dec 16 09:47:25 2015 From: max at freecards.de (Markus Heinze) Date: Wed, 16 Dec 2015 09:47:25 +0100 Subject: Subject mit "Sonderzeichen" In-Reply-To: <11792756.E0Q1ZVAqs2@tmprod1> References: <11792756.E0Q1ZVAqs2@tmprod1> Message-ID: Moin moin, Am 2015-12-16 9:22, schrieb Thomas: > Hallo, > > kann ich eigentlich auch "Sonderzeichen" im Subject benutzen oder macht > das > Probleme. Kann man durchaus benutzen, Probleme gibt es nur bei 'schlechten' Mailclients die dies nicht korrekt decodieren bzw. alten nicht UTF8 Systemen. Die Mailserver dürfte dies wenige stören da Mails generell in 7Bit ASCII durch die Welt wandern und das Subject keine Transportrelevanten Informationen enthält. > > Versand wäre vom "eigenen" Email Server und kein Spam oder so. > So könnte man die Aufmerksamkeit der Empfänger für bestimme Emails > steigern. > > > So wie hier: > Subject: =?UTF-8?Q?WG:_=E2=9C=94_Thomas,_entdecken_Si?= > =?UTF-8?Q?e_unsere_besten_Apartments_=E2=9C=94?= > > Gruss Thomas lg max From postfixbuch-users at list-post.mks-mail.de Wed Dec 16 09:53:24 2015 From: postfixbuch-users at list-post.mks-mail.de (=?UTF-8?Q?Markus_Sch=c3=b6nhaber?=) Date: Wed, 16 Dec 2015 09:53:24 +0100 Subject: Subject mit "Sonderzeichen" In-Reply-To: <11792756.E0Q1ZVAqs2@tmprod1> References: <11792756.E0Q1ZVAqs2@tmprod1> Message-ID: <56712684.4030809@list-post.mks-mail.de> Am 16.12.2015 um 09:22 schrieb Thomas: > kann ich eigentlich auch "Sonderzeichen" im Subject benutzen oder macht das > Probleme. Rein technisch gesehen sind in Email-Header-Feldern nur druckbare ASCII-Zeichen erlaubt. Deswegen musst Du nicht-ASCII-Zeichen nach der in RFC 2047 beschriebenen Methodik in ASCII darstellen. Also so, wie Du das unten mit Subject: WG: ? Thomas, entdecken Sie unsere besten Apartments ? getan hast. Damit ist die Sache standardkonform und sollte (zumindest bei halbwegs modernen Clients) keine technischen Probleme erzeugen. Ob nun allerdings jemand bspw. eine Mail mit solchen Häkchen oder anderen Sonderzeichen im Subject als SPAM einstuft, ist eine Frage, die man sicher nicht pauschal beantworten kann. > Versand wäre vom "eigenen" Email Server und kein Spam oder so. > So könnte man die Aufmerksamkeit der Empfänger für bestimme Emails steigern. > > > So wie hier: > Subject: =?UTF-8?Q?WG:_=E2=9C=94_Thomas,_entdecken_Si?= > =?UTF-8?Q?e_unsere_besten_Apartments_=E2=9C=94?= -- Gruß mks From andreas.schulze at datev.de Wed Dec 16 10:22:43 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 16 Dec 2015 10:22:43 +0100 Subject: Subject mit "Sonderzeichen" In-Reply-To: <56712684.4030809@list-post.mks-mail.de> References: <11792756.E0Q1ZVAqs2@tmprod1> <56712684.4030809@list-post.mks-mail.de> Message-ID: <56712D63.7000207@datev.de> Am 16.12.2015 um 09:53 schrieb Markus Schönhaber: > Ob nun allerdings jemand bspw. eine Mail mit solchen Häkchen oder > anderen Sonderzeichen im Subject als SPAM einstuft, ist eine Frage, die > man sicher nicht pauschal beantworten kann. es gibt Leute, die machen das regelmäßig und haben offenbar gute Erfahrungen :-) https://www.optivo.com/de/blog/2015/12/2015-war-das-jahr-des-emojis-und-gifs-im-e-mail-postfach -- A. Schulze DATEV eG From torben at dannhauer.info Wed Dec 16 10:34:47 2015 From: torben at dannhauer.info (Torben Dannhauer) Date: Wed, 16 Dec 2015 10:34:47 +0100 Subject: AW: Startssl & Postfix In-Reply-To: <566FF695.3020408@debianfan.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566FF695.3020408@debianfan.de> Message-ID: <034d01d137e5$01504010$03f0c030$@dannhauer.info> Ja, läuft bei mir einwandfrei für 2 domains inkl subdomains in einem einzelnen Zertifikat. Die 55? sinds wert meiner Meinung nach. BG; Torben -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Dienstag, 15. Dezember 2015 12:17 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Startssl & Postfix Die bieten ja auch Wildcard-Zertifikate an - hierfür braucht man aber die Authentifizierung für knapp 55 Euro. Hat jemand damit positive Erfahrungen gemacht ? gruß Sebastian Am 14.12.2015 um 14:04 schrieb Patrick Westenberg: > sebastian at debianfan.de schrieb: >> Guten Morgen, >> >> betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit >> StartSSL-Zertifikaten? > > Die Zertifikate sind in Ordnung, aber ich hatte in den letzten Monaten > zweimal das Problem, dass deren OCSP nicht richtig funktionierte und > es Warnungen vom Browser gab. :( > > Gruß > Patrick From andre.peters at debinux.de Wed Dec 16 10:37:02 2015 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Wed, 16 Dec 2015 10:37:02 +0100 Subject: AW: Startssl & Postfix In-Reply-To: <034d01d137e5$01504010$03f0c030$@dannhauer.info> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566FF695.3020408@debianfan.de> <034d01d137e5$01504010$03f0c030$@dannhauer.info> Message-ID: <567130BE.10900@debinux.de> Let's Encrypt baut ein Multi-SAN, kostenfrei. On 12/16/2015 10:34 AM, Torben Dannhauer wrote: > Ja, läuft bei mir einwandfrei für 2 domains inkl subdomains in einem einzelnen Zertifikat. Die 55? sinds wert meiner Meinung nach. > > BG; > Torben > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de > Gesendet: Dienstag, 15. Dezember 2015 12:17 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Startssl & Postfix > > Die bieten ja auch Wildcard-Zertifikate an - hierfür braucht man aber die Authentifizierung für knapp 55 Euro. > > Hat jemand damit positive Erfahrungen gemacht ? > > gruß > > Sebastian > > Am 14.12.2015 um 14:04 schrieb Patrick Westenberg: >> sebastian at debianfan.de schrieb: >>> Guten Morgen, >>> >>> betreibt einer der Mitlesenden Postfix erfolgreich & stabil mit >>> StartSSL-Zertifikaten? >> >> Die Zertifikate sind in Ordnung, aber ich hatte in den letzten Monaten >> zweimal das Problem, dass deren OCSP nicht richtig funktionierte und >> es Warnungen vom Browser gab. :( >> >> Gruß >> Patrick > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: S/MIME Cryptographic Signature URL : From driessen at fblan.de Wed Dec 16 10:38:39 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 16 Dec 2015 10:38:39 +0100 Subject: AW: Subject mit "Sonderzeichen" In-Reply-To: <56712D63.7000207@datev.de> References: <11792756.E0Q1ZVAqs2@tmprod1> <56712684.4030809@list-post.mks-mail.de> <56712D63.7000207@datev.de> Message-ID: <00fa01d137e5$8b996760$a2cc3620$@fblan.de> Im Auftrag von Andreas Schulze > Am 16.12.2015 um 09:53 schrieb Markus Schönhaber: > > Ob nun allerdings jemand bspw. eine Mail mit solchen Häkchen oder > > anderen Sonderzeichen im Subject als SPAM einstuft, ist eine Frage, die > > man sicher nicht pauschal beantworten kann. > > es gibt Leute, die machen das regelmäßig und haben offenbar gute > Erfahrungen :-) > https://www.optivo.com/de/blog/2015/12/2015-war-das-jahr-des-emojis- > und-gifs-im-e-mail-postfach > Und das sollte sogar mit reinen Textmails auch im Body funktionieren (je nach Client halt) ? ? ? ? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at ist-immer-online.de Wed Dec 16 10:57:57 2015 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 16 Dec 2015 10:57:57 +0100 Subject: AW: AW: Startssl & Postfix In-Reply-To: <567130BE.10900@debinux.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566FF695.3020408@debianfan.de> <034d01d137e5$01504010$03f0c030$@dannhauer.info> <567130BE.10900@debinux.de> Message-ID: <001d01d137e8$3e33d660$ba9b8320$@ist-immer-online.de> Dafür braucht man aber ein Tool was läuft, und sind nicht lange gültig und werden automatisch immer neu erstellt bzw. verlängert. Also auch entsprechend mehr Aufwand. Gruß Daniel -----Ursprüngliche Nachricht----- Let's Encrypt baut ein Multi-SAN, kostenfrei. From postfix at linuxmaker.com Mon Dec 21 07:39:35 2015 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Mon, 21 Dec 2015 07:39:35 +0100 Subject: Administrations-Gui Message-ID: <2318946.bbl6LzbyfB@stuttgart> Guten Morgen, ich bin auf der Suche nach einer Administrations-Gui zum Anlegen von Postfix- Benutzern und den dazugehörigen Cyrus-Benutzerkonten. Habt ihr hier einige gute Vorschläge? Besten Dank, Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andre.peters at debinux.de Mon Dec 21 07:47:18 2015 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Mon, 21 Dec 2015 07:47:18 +0100 Subject: Administrations-Gui In-Reply-To: <2318946.bbl6LzbyfB@stuttgart> References: <2318946.bbl6LzbyfB@stuttgart> Message-ID: <5677A076.1060503@debinux.de> Ich habe sowas mit mailcow (https://github.com/andryyy/mailcow) geschrieben, allerdings mit-ohne Cyrus und mit-mit Dovecot. :-) On 12/21/2015 07:39 AM, Andreas Günther wrote: > Guten Morgen, > > ich bin auf der Suche nach einer Administrations-Gui zum Anlegen von > Postfix-Benutzern und den dazugehörigen Cyrus-Benutzerkonten. > > Habt ihr hier einige gute Vorschläge? > > Besten Dank, > > Andreas > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postfix at linuxmaker.com Mon Dec 21 07:56:40 2015 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Mon, 21 Dec 2015 07:56:40 +0100 Subject: Administrations-Gui In-Reply-To: <5677A076.1060503@debinux.de> References: <2318946.bbl6LzbyfB@stuttgart> <5677A076.1060503@debinux.de> Message-ID: <3734519.sJbHWBIMiJ@stuttgart> Erst einmal besten Dank für die prompte Antwort. Da müsste ich mir zusätzlich Dovecot verinnerlichen. > Ich habe sowas mit mailcow (https://github.com/andryyy/mailcow) > geschrieben, allerdings mit-ohne Cyrus und mit-mit Dovecot. :-) > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From m.grundmann at wittich-foehren.de Mon Dec 21 09:27:51 2015 From: m.grundmann at wittich-foehren.de (Michael Grundmann) Date: Mon, 21 Dec 2015 09:27:51 +0100 Subject: Administrations-Gui In-Reply-To: <5677A076.1060503@debinux.de> References: <2318946.bbl6LzbyfB@stuttgart> <5677A076.1060503@debinux.de> Message-ID: <5677B807.1020803@wittich-foehren.de> http://sourceforge.net/projects/web-cyradm/ Am 21.12.15 um 07:47 schrieb André Peters: > Ich habe sowas mit mailcow (https://github.com/andryyy/mailcow) > geschrieben, allerdings mit-ohne Cyrus und mit-mit Dovecot. :-) > > On 12/21/2015 07:39 AM, Andreas Günther wrote: >> Guten Morgen, >> >> ich bin auf der Suche nach einer Administrations-Gui zum Anlegen von >> Postfix-Benutzern und den dazugehörigen Cyrus-Benutzerkonten. >> >> Habt ihr hier einige gute Vorschläge? >> >> Besten Dank, >> >> Andreas >> > -- Mit freundlichen Grüßen *Verlag + Druck LINUS WITTICH KG* i. A. Michael Grundmann 54343 Föhren Europaallee 2 E-Mail: m.grundmann at wittich-foehren.de Internet: http://www.wittich.de Tel.: +49 6502/9147210 Fax: +49 6502/9147332 Sitz der Gesellschaft: Föhren Geschäftsführer: Dietmar Kaupp Amtsgericht: Wittlich HR 4199 USt ID gemäß §27 a UStG DE 149324406 *Kennen Sie schon localbook? Nein? Hier >>> * From postfixbuch at cboltz.de Mon Dec 21 12:46:02 2015 From: postfixbuch at cboltz.de (Christian Boltz) Date: Mon, 21 Dec 2015 12:46:02 +0100 Subject: Administrations-Gui In-Reply-To: <2318946.bbl6LzbyfB@stuttgart> References: <2318946.bbl6LzbyfB@stuttgart> Message-ID: <2211207.1LhjM0g7rH@tux.boltz.de.vu> Hallo Andreas, hallo Leute, Am Montag, 21. Dezember 2015 schrieb Andreas Günther: > ich bin auf der Suche nach einer Administrations-Gui zum Anlegen von > Postfix- Benutzern und den dazugehörigen Cyrus-Benutzerkonten. PostfixAdmin, was sonst? ;-) http://sourceforge.net/projects/postfixadmin/ (2.93 ist zwar offiziell noch Beta, aber lass Dich davon nicht abhalten ;-) Davon abgesehen - warum eigentlich Cyrus? PostfixAdmin hat kein Problem damit, aber ich würde trotzdem Dovecot empfehlen ;-) Gruß Christian Boltz -- > [Ergebnis von validator.w3.org] 409 Fehler in 282 Zeilen. > Erinnert mich ein bisserl an meine Deutsch-Diktate in der Schule ;-) Ehrlich??? Ortographisches Genie dieser Größenordnung hätte ich eher Anderen hier auf der Liste zugetraut ;-) [ > Manfred Tremmel und Thorsten Körner in suse-linux] From hartmut.woehrle at mail.pcom.de Mon Dec 21 17:40:30 2015 From: hartmut.woehrle at mail.pcom.de (Hartmut =?utf-8?b?V8O2aHJsZQ==?=) Date: Mon, 21 Dec 2015 16:40:30 +0000 Subject: Administrations-Gui...webcyradm In-Reply-To: <5677B807.1020803@wittich-foehren.de> References: <2318946.bbl6LzbyfB@stuttgart> <5677A076.1060503@debinux.de> <5677B807.1020803@wittich-foehren.de> Message-ID: <20151221164030.Horde.nIJ27shY17fL2ITB4a5mjU4@www.hartmut-woehrle.ch> Hallo Andreas erstaunlich wie lange sich ein totes (sowas von tot) Projekt durch Google und Mailinglisten am Leben und in Erinnerung hält. webcyradm ist nicht mehr als Download aufzufinden (nur noch svn checkout), die Webseite des Projektes zeigt auf eine asiatische(?) Jeans oder-sonstwas Seite, Seit 2010 keine Veröffentlichungen mehr..... Ich denke wir können diese Software in die Analen der Entwicklungsgeschichte eingehen lassen und es in Frieden ruhen lassen ("zwinker") - schade aber wahr... Grüsse Hartmut Zitat von Michael Grundmann : > http://sourceforge.net/projects/web-cyradm/ > > Am 21.12.15 um 07:47 schrieb André Peters: >> Ich habe sowas mit mailcow (https://github.com/andryyy/mailcow) >> geschrieben, allerdings mit-ohne Cyrus und mit-mit Dovecot. :-) >> >> On 12/21/2015 07:39 AM, Andreas Günther wrote: >>> Guten Morgen, >>> >>> ich bin auf der Suche nach einer Administrations-Gui zum Anlegen von >>> Postfix-Benutzern und den dazugehörigen Cyrus-Benutzerkonten. >>> >>> Habt ihr hier einige gute Vorschläge? >>> >>> Besten Dank, >>> >>> Andreas >>> >> > > -- > Mit freundlichen Grüßen > > *Verlag + Druck LINUS WITTICH KG* > > i. A. Michael Grundmann > > 54343 Föhren > Europaallee 2 > E-Mail: m.grundmann at wittich-foehren.de > > Internet: http://www.wittich.de > Tel.: +49 6502/9147210 > Fax: +49 6502/9147332 > > Sitz der Gesellschaft: Föhren > Geschäftsführer: Dietmar Kaupp > Amtsgericht: Wittlich HR 4199 > USt ID gemäß §27 a UStG DE 149324406 > > *Kennen Sie schon localbook? Nein? Hier >>> * -- Hartmut Wöhrle Email: hartmut.woehrle at mail.pcom.de From django at nausch.org Mon Dec 21 18:55:42 2015 From: django at nausch.org (Django) Date: Mon, 21 Dec 2015 18:55:42 +0100 Subject: Administrations-Gui...webcyradm In-Reply-To: <20151221164030.Horde.nIJ27shY17fL2ITB4a5mjU4@www.hartmut-woehrle.ch> References: <2318946.bbl6LzbyfB@stuttgart> <5677A076.1060503@debinux.de> <5677B807.1020803@wittich-foehren.de> <20151221164030.Horde.nIJ27shY17fL2ITB4a5mjU4@www.hartmut-woehrle.ch> Message-ID: <56783D1E.5070204@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI! Am 21.12.2015 um 17:40 schrieb Hartmut Wöhrle: > Hallo Andreas > > erstaunlich wie lange sich ein totes (sowas von tot) Projekt durch > Google und Mailinglisten am Leben und in Erinnerung hält. Ja, die Seite hier gibt'Äs auch noch (aus nostalgischen Gründen) - das web-cyradm-svn-0.5.5.tar.gz gäbs auch noch. Aber dank Dovecot und Postfixadmin wird weder cyrus noch webcyradm jemand ernsthaft installieren wollen, ;) Servus Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWeD0eAAoJEAdOz2FQpr/t9/0P/iX5bEQoe+oDdwD+ZDL0xXrk 2aIgV0BCLlvFOetG+KoediOcc46LNRl+VS3p0oRLWcOrpuoLdBh4gvsFxRQToMzk a5uRW9ql8Ugs0GTzUlG44tuxH2i7pBHfLiehMh+xmY9ZcAxcADb3XJ4Geot8lPWY zvnYV3aVAIBOqUCfndu+Fme47n6WNRMPHTMJ6p2LiVSBZEYDT6V5yZOTAW9tk++M jsQZKukyeGcEv5fSkwg5WOs1hgRALiQh/sdZwd+0jwpIRLCXRGdJ3UZXe5AIKfj7 OvZrEDgG1d2wA52P79BkRPO7ZH2laHzTm1bbrkFn/eAXFmpEwY+vrkeKRWbvYwmF n3IRVxGzB0OljwLqUjjHb8vApNE33RCOoNxUoMebDndoVWr3adhPJ4mmxRT4fPMk TxP1mNTbyUQqaEoIAIT89AUiA6KjBV8E8B6LrbVhJ3pPmep+/L+AhNXchV5d9y6c 4IbzWgt4y+fQuTuFtvl72J1aVPrWJKOsSwyRNpV19j3Q4/BHYkEERUuX6B2EL/ST gtPcHfTtTdi+aCFDeShQPJ2gXnoo04acBXkIOB0mg8FsaGpoJFyZ9jaDA6Ax9P2F ++vBCIKXLD0aNrj+/4M2v/XLW0vtyE5NxoG/98SwlQtQAASptaPxDBibuAgauqWC 8VFnyCiUGiwbrZILZGwe =fwPH -----END PGP SIGNATURE----- From Jogie at quantentunnel.de Wed Dec 23 15:35:08 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Wed, 23 Dec 2015 15:35:08 +0100 Subject: DKIM Signierung mit amavisd-new Message-ID: Hallo Postfix Freunde, lassen sich E-Mails mit amavis mit einer DKIM Signatur versehen ohne die Contentfilter Checks aktivieren zu müssen? Ich habe auf einem neuen System (Ubuntu 14.04) alles ganz genau so eingerichtet wie auf einem bestehenden (Debian Wheezy) wo es funktioniert, nur dass ich die Content Checks nicht aktiviert habe. Amavis ist via milter an submission angebunden und laufen auch durch amavis durch, nur werden die E-Mails nicht signiert und ein amavis Header ist auch nicht vorhanden. Müssen content checks aktiviert sein, oder gibt es bei ubuntu Unterschiede in der Konfiguration zu Debian? Danke & frohes Fest. Viele Grüße Jörg From sebastian at debianfan.de Sun Dec 27 07:40:33 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 27 Dec 2015 07:40:33 +0100 Subject: Anzahl Sendeprozesse in Postfix Message-ID: <7a85fc6e4b1299119537576128fc8e53@debianfan.de> Moin zusammen, wie setze ich die Anzahl der Sendeprozesse in Postfix herunter, z.B. nur 1 Prozess zum senden. Ich habe einige Mailserver auf der Gegenseite, welche die betreffende sendende Maschine in die Firewall aufnehmen (zwar nur für eine kurze Zeit), aber mit weniger "Power" beim Senden wäre das Problem dann sicher nicht mehr da. Es geht nur um die Sendeprozesse - nicht um die Empfangenden. gruß & noch gesegnete Weihnachten sd From driessen at fblan.de Sun Dec 27 08:49:14 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Sun, 27 Dec 2015 08:49:14 +0100 Subject: AW: Anzahl Sendeprozesse in Postfix In-Reply-To: <7a85fc6e4b1299119537576128fc8e53@debianfan.de> References: <7a85fc6e4b1299119537576128fc8e53@debianfan.de> Message-ID: <05ea01d1407b$16916f00$43b44d00$@fblan.de> Im Auftrag von sebastian at debianfan.de Hallo Sebastian > > wie setze ich die Anzahl der Sendeprozesse in Postfix herunter, z.B. nur > 1 Prozess zum senden. Evtl. suchst du smtp_destination_concurrency_limit = 1 smtp_destination_concurrency_limit (default: $default_destination_concurrency_limit) The maximal number of parallel deliveries to the same destination via the smtp message delivery transport. This limit is enforced by the queue manager. The message delivery transport name is the first field in the entry in the master.cf file. smtp_destination_recipient_limit = 1 smtp_destination_recipient_limit (default: $default_destination_recipient_limit) The maximal number of recipients per message for the smtp message delivery transport. This limit is enforced by the queue manager. The message delivery transport name is the first field in the entry in the master.cf file. Setting this parameter to a value of 1 changes the meaning of smtp_destination_concurrency_limit from concurrency per domain into concurrency per recipient. Die 1 habe ich bei mir sitzen seitdem scheint es zumindest auch mit gmail zu klappen (oder war es das fax ? nie eine Antwort bekommen) > > Ich habe einige Mailserver auf der Gegenseite, welche die betreffende > sendende Maschine in die Firewall aufnehmen (zwar nur für eine kurze > Zeit), aber mit weniger "Power" beim Senden wäre das Problem dann sicher > nicht mehr da. > > Es geht nur um die Sendeprozesse - nicht um die Empfangenden. > > gruß & noch gesegnete Weihnachten Danke dir auch > > sd Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From jost+lists at dimejo.at Sun Dec 27 11:58:47 2015 From: jost+lists at dimejo.at (Alex JOST) Date: Sun, 27 Dec 2015 11:58:47 +0100 Subject: Anzahl Sendeprozesse in Postfix In-Reply-To: <7a85fc6e4b1299119537576128fc8e53@debianfan.de> References: <7a85fc6e4b1299119537576128fc8e53@debianfan.de> Message-ID: <567FC467.6070904@dimejo.at> Am 27.12.2015 um 07:40 schrieb sebastian at debianfan.de: > wie setze ich die Anzahl der Sendeprozesse in Postfix herunter, z.B. nur > 1 Prozess zum senden. > > Ich habe einige Mailserver auf der Gegenseite, welche die betreffende > sendende Maschine in die Firewall aufnehmen (zwar nur für eine kurze > Zeit), aber mit weniger "Power" beim Senden wäre das Problem dann sicher > nicht mehr da. > > Es geht nur um die Sendeprozesse - nicht um die Empfangenden. Wirf mal einen Blick auf diesen Blogpost[1]. Der beschreibt recht gut wie man die Sendegeschwindigkeit für einen bestimmten Empfänger einstellt. [1] http://www.stevejenkins.com/blog/2012/08/how-to-postfix-configuration-to-reduce-yahoo-deferrals-using-transport-maps/ -- Alex JOST From daniel at ist-immer-online.de Thu Dec 31 17:43:56 2015 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 31 Dec 2015 17:43:56 +0100 Subject: AW: Startssl & Postfix In-Reply-To: <566FF4E0.5010008@debianfan.de> References: <566E9B4C.3010505@debianfan.de> <566EBE6F.4000607@wk-serv.de> <566EE91C.8070201@debianfan.de> <566EFF15.4060600@ml.grobecker.info> <001c01d136a3$3d7d5c50$b87814f0$@ist-immer-online.de> <566FF4E0.5010008@debianfan.de> Message-ID: <002b01d143ea$7120d380$53627a80$@ist-immer-online.de> Hi Sebastian, anbei noch mal paar mehr Zeilen als Teilauszug, hatte wohl Tick zu wenig kopiert. Falls ganze noch etwas konkreter vorgeben magst. broken_sasl_auth_clients = yes disable_vrfy_command = yes duplicate_filter_limit = 32768 inet_protocols = ipv4, ipv6 mailbox_size_limit = 0 smtp_dns_support_level = dnssec smtp_host_lookup = dns, native smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers= high smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = dane smtpd_sasl_authenticated_header = yes smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = yes smtpd_tls_ciphers = high smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers= high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may tls_daemon_random_bytes = 64 tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK tls_preempt_cipherlist = yes tls_random_bytes = 64 tls_ssl_options = no_ticket, no_compression Falls wer noch Verbesserungsvorschläge hat, immer her damit. :-) Frohes neues noch euch :-) Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Dienstag, 15. Dezember 2015 12:09 An: Diskussionen und Support rund um Postfix Betreff: Re: Startssl & Postfix geht - Danke :-) Am 14.12.2015 um 20:11 schrieb Daniel: > Hi, > > sonst probiere es mal mit > > smtp_tls_ciphers = high > smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtp_tls_loglevel = 1 > smtp_tls_note_starttls_offer = yes > smtp_tls_protocols = !SSLv2, !SSLv3 > > smtpd_tls_ciphers = high > smtpd_tls_eecdh_grade = strong > smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtpd_tls_mandatory_ciphers= high > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtpd_tls_protocols = !SSLv2,!SSLv3 > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Hallo > > Am 14.12.2015 um 17:06 schrieb sebastian at debianfan.de: > >> Es kam die Meldung, dass die Unterstützung von ECDHE_RSA_WITH_RC4_128_SHA "gefährlich" ist. >> Wie schalte ich diese Unterstützung bei Postfix ab? > Ich habe bei mir in der main.cf folgende Einträge: > > --------------------------------------------- > smtpd_tls_eecdh_grade = strong > smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2 > > ; Die hier genannten Ciphers werden NICHT verwendet. > smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA > > ; Der Server (also du) bestimmst die Ciphers resp. deren Reihenfolge > tls_preempt_cipherlist = yes > > ; Optional: Selbst generierte DH-Parameter benutzen > smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dhparams2k.pem > --------------------------------------------- > >> Dec 14 16:28:06 debian postfix/smtp[1818]: Anonymous TLS connection established to mail07.arbeitgeber.de[94.26.172.35]:25: TLSv1 with cipher ADH-AES256-SHA (256/256 bits) >> >> Kann ich dann davon ausgehen, dass die SSL-Verbindung korrekt funktioniert? > Ja, spätestens wenn Postfix die verwendeten Ciphers ins Log schreibt weißt du dass verschlüsselt wird :-) > > Viele Grüße aus dem Tal > Max > >