From michael.mertel at bwc.de Wed Jul 8 12:25:16 2015 From: michael.mertel at bwc.de (Bit World Computing - Michael Mertel) Date: Wed, 8 Jul 2015 12:25:16 +0200 Subject: [Postfixbuch-users] Postfix 3.0 - Ubuntu pre-compiled package? In-Reply-To: References: Message-ID: <4E1C9C32-5637-4462-89F4-FF52E2B65282@bwc.de> Hallo, sorry das ich das Thema nochmal aufbringe, aber hat jemand mittlerweile ein repo für Ubuntu 14.04 (trusty) und postfix-3.0.1 gefunden? Lt. Launchpad enthält folgendes PPA alles was ich benötige: https://launchpad.net/~i3systems/+archive/ubuntu/ubuntu-packages/+build/7366344 Der Kollege aus Ungarn hat sich da sicherlich Mühe gemacht, aber gibt es evtl. noch eine Quelle mit höheren Verbreitungsgrad? Falls alle Stricke reißen müsste ich dann doch wohl selbst compilieren. Vielen Dank und beste Grüße. ?Michael > Am 19.02.2015 um 10:46 schrieb Bit World Computing - Michael Mertel : > > Hallo, > > ich würde gerne unseren Postix (und eigentlich auch Dovecot) komplett neu aufsetzen. Bisher habe ich immer die von Ubuntu zur Verfügung gestellten Pakete genutzt. > > Nun würde ich das neue System gerne mit Postfix 3.0 aufsetzen, kennt daher jemand ein repository wo ich die aktuellste Version beziehen kann? > > Bin leider nicht fündig geworden, compilieren wollte ich jetzt auch nicht unbedingt, würde ich nur machen wenn es kein fertiges binary geben würde. > > Bin für jeden Tip dankbar. > > Beste Grüße aus Würzburg. > > > ?Michael > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 2297 bytes Beschreibung: nicht verfügbar URL : From postfix at online-webservice24.de Wed Jul 8 17:40:27 2015 From: postfix at online-webservice24.de (Online-WebService23 - Postfix) Date: Wed, 8 Jul 2015 17:40:27 +0200 Subject: [Postfixbuch-users] Absender blockieren Message-ID: Hallo Liste, ich hab da nen Frage bzw. den Durchblick verloren … Ich versuche seit einiger Zeit mails mit einem Absender nicht anzunehmen, was mir aber eben nicht gelingt … der absender variirt at empfehlung-vom-profi.de … hier mal die log dazu … Jul 8 05:28:57 srv1 postfix/smtpd[30200]: connect from mta-121-101.from-me-to-yours.com[95.130.121.101] Jul 8 05:28:57 srv1 postgrey[3306]: action=pass, reason=client AWL, client_name=mta-121-101.from-me-to-yours.com, client_address=95.130.121.101, sender=bounce-20150708-231247d2-8e23-4f81-8874-3445727257b4 at from-me-to-yours .com, recipient=empfänger Jul 8 05:28:57 srv1 postfix/policyd-weight[10969]: cache_query: ask 95.130.121.101 bounce at from-me-to-yours.com from-me-to-yours.com Jul 8 05:28:57 srv1 postfix/policyd-weight[10969]: cache_query: "ask95.130.121.101bounce at from-me-to-yours.com rate:hard: -7" vs "ask95.130.121.101bounce at from-me-to-yours.com " Jul 8 05:28:57 srv1 postfix/policyd-weight[10969]: decided action=PREPEND X-policyd-weight: using cached result; rate:hard: -7; ; delay: 0s Jul 8 05:28:57 srv1 postfix/smtpd[30200]: D28FF3580ABA: client=mta-121-101.from-me-to-yours.com[95.130.121.101] Jul 8 05:28:57 srv1 postfix/cleanup[30219]: D28FF3580ABA: message-id=<20150708-231247d2-8e23-4f81-8874-3445727257b4 at aaa> Jul 8 05:28:58 srv1 postfix/qmgr[11775]: D28FF3580ABA: from=, size=40835, nrcpt=1 (queue active) Jul 8 05:28:58 srv1 postfix/smtpd[30200]: disconnect from mta-121-101.from-me-to-yours.com[95.130.121.101] Jul 8 05:28:58 srv1 spamd[9564]: spamd: connection from localhost [127.0.0.1] at port 38833 Jul 8 05:28:58 srv1 spamd[9564]: spamd: processing message <20150708-231247d2-8e23-4f81-8874-3445727257b4 at aaa> for empfänger:2000 Jul 8 05:29:00 srv1 spamd[9564]: spamd: identified spam (6.1/5.0) for empfänger:2000 in 2.5 seconds, 40091 bytes. Jul 8 05:29:00 srv1 spamd[9564]: spamd: result: Y 6 - BAYES_50,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,HTML_FONT_FACE_BAD,HTML_IMAGE_ RATIO_02,HTML_MESSAGE,SPF_PASS,SUBJ_ILLEGAL_CHARS,T_RP_MATCHES_RCVD,URIBL_BL OCKED,URIBL_DBL_SPAM scantime=2.5,size=40091,user= empfänger,uid=2000,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport= 38833,mid=<20150708-231247d2-8e23-4f81-8874-3445727257b4 at aaa>,bayes=0.500000 ,autolearn=no Jul 8 05:29:00 srv1 spamd[21380]: prefork: child states: II Jul 8 05:29:00 srv1 dovecot: lda(empfänger): sieve: msgid=<20150708-231247d2-8e23-4f81-8874-3445727257b4 at aaa>: stored mail into mailbox '--== Spam ==--' Jul 8 05:29:00 srv1 postfix/pipe[30236]: D28FF3580ABA: to=, relay=maildrop, delay=2.9, delays=0.18/0/0/2.7, dsn=2.0.0, status=sent (delivered via maildrop service) Jul 8 05:29:00 srv1 postfix/qmgr[11775]: D28FF3580ABA: removed Wie kann ich das denn unterbinden … Mit freundlichen Grüßen R. Wilhelm -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Wed Jul 8 17:57:52 2015 From: wn at neessen.net (Winfried Neessen) Date: Wed, 08 Jul 2015 17:57:52 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: Message-ID: <2e82039a15854125fae9fce955b9bed5@neessen.net> Hi, Am 2015-07-08 17:40, schrieb Online-WebService23 - Postfix: > Ich versuche seit einiger Zeit mails mit einem Absender nicht > anzunehmen, > was mir aber eben nicht gelingt ? > der absender variirt at empfehlung-vom-profi.de ? > Ach ja... @empfehlung-vom-profi.de ... die moegene manche meiner Kunden auch nicht. Die senden ihre Mails (wie Dein Log zeigt) allerdings nicht mit der Absenderadresse @empfehlung-vom-profi.de sondern der Envelope-From ist meist irgend ein anderer. In Deinem Fall wohl: @from-me-to-yours.com (bei uns wars @email-vision.com) Da wir die Domain nicht generell blocke koennen/wollen, machen wir das auf Kundenanfrage ueber 'ne per-Empfaengerdomain Blacklist (via smtpd_restriction_classes): Bsp: email-vision.com REJECT Sender address blacklisted (per-domain BL) Viel Erfolg Winni From driessen at fblan.de Thu Jul 9 06:49:05 2015 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Thu, 9 Jul 2015 06:49:05 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?Headercheck_Aamzon_F=E4lschung?= Message-ID: <005201d0ba02$95d4da40$c17e8ec0$@fblan.de> Riskiert da mal jemand nen Blick ob das so stimmt Geprüft wird wer Amazon im "from : Amazon Server" stehen hat auch in den <> eine Amazonabsender ist. Ähnliches Spiel wie bei den DHL Spam/ Trojaner if /^From:.*amazon.*/i if !/\<.+@(.*\.)?amazon\.de\>$/i /^/ REJECT fuck off, we go on strike and do not provide packages, Your Mailaccount is hacked endif endif Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From kai_postfix at fuerstenberg.ws Thu Jul 9 10:16:01 2015 From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=) Date: Thu, 09 Jul 2015 10:16:01 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <2e82039a15854125fae9fce955b9bed5@neessen.net> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> Message-ID: <559E2DC1.7030700@fuerstenberg.ws> Am 08.07.2015 um 17:57 schrieb Winfried Neessen: > Am 2015-07-08 17:40, schrieb Online-WebService23 - Postfix: > >> > Ich versuche seit einiger Zeit mails mit einem Absender nicht >> > anzunehmen, >> > was mir aber eben nicht gelingt ? >> > der absender variirt at empfehlung-vom-profi.de ? >> > > Ach ja... @empfehlung-vom-profi.de ... die moegene manche meiner Kunden > auch nicht. > Die senden ihre Mails (wie Dein Log zeigt) allerdings nicht mit der > Absenderadresse > @empfehlung-vom-profi.de sondern der Envelope-From ist meist irgend ein > anderer. ... aber die Header-Adresse ist immer von der gleiche Domain. Insofern dürfte ein entsprechender Header-Check hier Abhilfe schaffen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From mailingliste-postfixbuch+spamtrap at pothe.de Fri Jul 10 11:20:47 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Fri, 10 Jul 2015 11:20:47 +0200 Subject: [Postfixbuch-users] Log-Informationen Postausgang Message-ID: <559F8E6F.3050909@pothe.de> Servus, da ich mich seit geraumer Zeit mit DNSSEC und DANE beschäftige, habe ich das inzwischen natürlich auch für meinen Mailserver aktiviert und das Logging entsprechend hochgedreht, sodass ich sehen kann, welche ausgehenden Verbindungen Verified, Trusted oder Untrusted sind. Nun habe ich keinen High-Traffic-Server, vielmehr laufen nur meine kleine Nebenerwerbs-Ein-Personen-Firma sowie meine private Korrespondenz darüber, entsprechend klein sind auch die Postausgangsraten. Erfreulicherweise habe ich aber bereits festgestellt, dass mit Kabel Deutschland inzwischen auch ein größerer (E-Mail-) Provider DANE einsetzt (kabelmail.de), es also nicht mehr nur ein Thema für kleine, nahezu unbekannte Anbieter wie Posteo, mail.de oder mailbox.org ist. Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online, Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank, die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich so, dass praktisch alle nicht von einer CA unterschriebene Zertifikate benutzen? Oder fehlt da nur etwas in meinem Postfix? Ok, ich gebe zu, bei mir ist das Zertifikat auch nur von einer CA unterschrieben, weil es identisch ist mit dem des Webservers und ein Einsatz auf verschiedenen Servern vom Anbieter her auch erlaubt ist. Was mir aber noch aufgefallen ist: Eine nicht verschlüsselte Verbindung wird bei mir nicht weiter im Logfile markiert. Bei einem verschlüsselten Postausgang steht im Logfile z. B. soetwas (gekürzt): postfix/smtp[4613]: Untrusted TLS connection established to smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) postfix/smtp[4613]: 8AF6C280002: to=, relay=smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25, [SNIP] Bei einer unverschlüsselten Verbindung dagegen nur: postfix/smtp[4671]: 79C93280002: to=, relay=smtp.tin.it[62.211.72.32]:25, [SNIP] Gibt es die Möglichkeit, hier auch eine weitere Info einzubringen, dass es sich um eine nicht-verschlüsselte Verbindung handelt? TIA! Andreas From p at sys4.de Fri Jul 10 11:37:45 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 10 Jul 2015 11:37:45 +0200 Subject: [Postfixbuch-users] Log-Informationen Postausgang In-Reply-To: <559F8E6F.3050909@pothe.de> References: <559F8E6F.3050909@pothe.de> Message-ID: <20150710093745.GE5253@sys4.de> * Andreas Pothe : > Servus, > > da ich mich seit geraumer Zeit mit DNSSEC und DANE beschäftige, habe ich > das inzwischen natürlich auch für meinen Mailserver aktiviert und das > Logging entsprechend hochgedreht, sodass ich sehen kann, welche > ausgehenden Verbindungen Verified, Trusted oder Untrusted sind. Nun habe > ich keinen High-Traffic-Server, vielmehr laufen nur meine kleine > Nebenerwerbs-Ein-Personen-Firma sowie meine private Korrespondenz > darüber, entsprechend klein sind auch die Postausgangsraten. > > Erfreulicherweise habe ich aber bereits festgestellt, dass mit Kabel > Deutschland inzwischen auch ein größerer (E-Mail-) Provider DANE > einsetzt (kabelmail.de), es also nicht mehr nur ein Thema für kleine, > nahezu unbekannte Anbieter wie Posteo, mail.de oder mailbox.org ist. > > Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur > Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal > einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online, > Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank, > die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich > so, dass praktisch alle nicht von einer CA unterschriebene Zertifikate > benutzen? Oder fehlt da nur etwas in meinem Postfix? > Ok, ich gebe zu, bei mir ist das Zertifikat auch nur von einer CA > unterschrieben, weil es identisch ist mit dem des Webservers und ein > Einsatz auf verschiedenen Servern vom Anbieter her auch erlaubt ist. Kann es sein, dass Du dem smtp-Client keine CA, in der er nachprüfen kann ob das Cert von einer ihm bekannten CA signiert (ca-chain) wurde, an die Seite gegeben hast? Der Klassiker wäre Folgendes einzutragen: smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt Nach einen Reload solltest Du 'trusted' im Log sehen sobald der Client die CA-chain eines TLS-Server auflösen kann. > Was mir aber noch aufgefallen ist: Eine nicht verschlüsselte Verbindung > wird bei mir nicht weiter im Logfile markiert. > Bei einem verschlüsselten Postausgang steht im Logfile z. B. soetwas > (gekürzt): > > postfix/smtp[4613]: Untrusted TLS connection established to > smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > postfix/smtp[4613]: 8AF6C280002: to=, > relay=smtp.rzone.de[2a01:238:20a:202:50f0::2097]:25, [SNIP] > > > Bei einer unverschlüsselten Verbindung dagegen nur: > postfix/smtp[4671]: 79C93280002: to=, > relay=smtp.tin.it[62.211.72.32]:25, [SNIP] > > > Gibt es die Möglichkeit, hier auch eine weitere Info einzubringen, dass > es sich um eine nicht-verschlüsselte Verbindung handelt? Nein. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From django at nausch.org Fri Jul 10 11:51:45 2015 From: django at nausch.org (Django) Date: Fri, 10 Jul 2015 11:51:45 +0200 Subject: [Postfixbuch-users] Log-Informationen Postausgang In-Reply-To: <559F8E6F.3050909@pothe.de> References: <559F8E6F.3050909@pothe.de> Message-ID: <559F95B1.8070205@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI Andreas Am 10.07.2015 um 11:20 schrieb Andreas Pothe: > Bei einer unverschlüsselten Verbindung dagegen nur: > postfix/smtp[4671]: 79C93280002: to=, > relay=smtp.tin.it[62.211.72.32]:25, [SNIP] > > > Gibt es die Möglichkeit, hier auch eine weitere Info einzubringen, > dass es sich um eine nicht-verschlüsselte Verbindung handelt? Darf ich sagen wozu? Es ist doch auch so schön erkennbar, welcher Traffic wie gesichert war, oder eben nicht war. Bsp.: https://mailgraph.piratenpartei-bayern.de/ Hier die jeweils zwei letzten Graphen bei Tag, Woche, Monat und Jahr ankucken. Wie Du sehen kannst, brauchst Du gar keine extra Kennzeichnung, denn diese ist ja schon da, als "Ausschlusskriterium". :) Servus Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJVn5WxAAoJEAdOz2FQpr/twaEP/2gqLmJwDCpBK+y/Z9eTzcbq SaZr8GiuTWwzlV2W2m2Db5N0I2FR+6IPOp8xx6aUL8jFPWEeQ4QpLi6HHeS2VvkD m8KRSCnb/AuKa4GXk4HLpILRGkGHl5Exs5kNgyGO66XLhI/w4eAAIOqlMpVSvwRz c+ptI1ej0ZDSdr+ooVZBlu7dzIFH+E1AoMVzUHgQPJL8cqzbsbbKhn+asvW1zza7 tkUfCK06Tu/hvjWlxYYocRTfrjmBm+9vOtturq6etZMhq6BuOCl11Tim1nJzv4ZI eD1c1U7+DgIQt/91704+EjySMafs8VK0qqujXECxmdHltf2Y3Bx41Pzo8gVxhqUe yC1QMHdamajCneQdFU35nk7nO9rqQUaICDzU9YtMp/AMr89Eq+Z74C/NTyPOi6dv NK6h0jIbPq0Gp9XmtDWORLXBDZC6cH2Wu65A6/4Kg9dJ6GOVGc534GJImkAdHpC1 nbBAodURF/dOumxc7zaGfWfqsw7n1XvzoV+f2A6DSZxT0sbZgJA/mv4sWH7+qoVb PSiWuZPnpI7uFnA+Y4xqrPYK0PrYkn1dV42ZmlvuJd8tg3sJtFwe6ysnmnOL6/fb 3ScQTUHcUSXqYXmjJNyzNl3tP2oYOaIw9V2xYvhgP3IvG/Cog5SbPEpyI2hvyYnM O/CGe7mb1VL2SzaijSJS =Yb9F -----END PGP SIGNATURE----- From mailingliste-postfixbuch+spamtrap at pothe.de Fri Jul 10 12:24:54 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Fri, 10 Jul 2015 12:24:54 +0200 Subject: [Postfixbuch-users] Log-Informationen Postausgang In-Reply-To: <20150710093745.GE5253@sys4.de> References: <559F8E6F.3050909@pothe.de> <20150710093745.GE5253@sys4.de> Message-ID: <559F9D76.9060403@pothe.de> Am 10.07.2015 um 11:37 schrieb Patrick Ben Koetter: > * Andreas Pothe : >> Was mir aber auch aufgefallen ist: Ich habe im Maillog bislang nur >> Verified und Untrusted TLS-Verbindungen drin, bislang kein einziges mal >> einen Trusted Postausgang - selbst die "großen" Anbieter wie T-Online, >> Gmail, GMX & Co. aber auch Bankinstitute (einschließlich der Postbank, >> die zwar DNSSEC hat, aber kein DANE) sind nur Untrusted. Ist es wirklich >> >> Kann es sein, dass Du dem smtp-Client keine CA, in der er nachprüfen kann ob >> das Cert von einer ihm bekannten CA signiert (ca-chain) wurde, an die Seite >> gegeben hast? >> >> Der Klassiker wäre Folgendes einzutragen: >> >> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt >> >> So ähnlich, dank Deines Hinweises bin ich dem Mysterium auf die Spur gekommen. Ich habe ein smtp_tls_CAfile in der main.cf angegeben, ja. Aber Postfix hängt das standardmäßig nicht an die System-CAs an, sondern nimmt nur diese Liste. Kaum habe ich die main.cf um "tls_append_default_CA = yes" ergänzt, sind Verbindungen zu t-online.de & Co auch schon Trusted... Manchmal sind es Kleinigkeiten. CU Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixer99 at gmail.com Fri Jul 10 13:03:20 2015 From: postfixer99 at gmail.com (Carsten) Date: Fri, 10 Jul 2015 13:03:20 +0200 Subject: [Postfixbuch-users] Sophos Antivirus for Linux kostenlos auf Mailserver nutzen? Message-ID: <559FA678.4000100@gmail.com> Hallo Leute, ist stelle mir gerade die Frage, ob man die Lösung "Sophos Antivirus for Linux" tatsächlich auch im kommerziellen Umfeld kostenlos auf Mailgateways nutzen kann und ob die Einbindung in Amavis möglich ist. Auf der Webseite steht "The basic edition of Sophos Antivirus for Linux is 100%, totally, absolutely, completely free." Echte Lizenzbedingungen habe ich nicht gefunden. Details zum Produkt: https://www.sophos.com/de-DE/products/free-tools/sophos-antivirus-for-linux.aspx Hat das jemand im Einsatz insbesondere mit Einbindung über Amavis? Beste Grüße Carsten From wn at neessen.net Fri Jul 10 13:07:12 2015 From: wn at neessen.net (Winfried Neessen) Date: Fri, 10 Jul 2015 13:07:12 +0200 Subject: [Postfixbuch-users] Sophos Antivirus for Linux kostenlos auf Mailserver nutzen? In-Reply-To: <559FA678.4000100@gmail.com> References: <559FA678.4000100@gmail.com> Message-ID: Hi Karsten, Am 2015-07-10 13:03, schrieb Carsten: > Auf der Webseite steht "The basic edition of Sophos Antivirus for Linux > is 100%, totally, absolutely, completely free." > Echte Lizenzbedingungen habe ich nicht gefunden. > Da es auf der gleichen Seite auch einen "Preisanfrage" Knopf gibt, bin ich mir halbwegs sicher, dass sich dieses Angebot nur an Privatnutzer richtet. Winni From Marc.Grooz at regioit.de Fri Jul 10 13:12:32 2015 From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT)) Date: Fri, 10 Jul 2015 11:12:32 +0000 Subject: [Postfixbuch-users] Sophos Antivirus for Linux kostenlos auf Mailserver nutzen? In-Reply-To: <559FA678.4000100@gmail.com> References: <559FA678.4000100@gmail.com> Message-ID: Ich glaube schon das man den als Firma einsetzen darf: http://www.heise.de/security/meldung/Kostenloser-Virenschutz-fuer-Linux-266 9114.html Nur braucht man dafür noch den savdid von Sophos um Ihn in Verbindung mit dem Amavis zu nutzen. Der savdid kostet bestimmt was und ist nicht free. Am 10.07.15 13:03 schrieb "Postfixbuch-users on behalf of Carsten" unter : >Hallo Leute, > >ist stelle mir gerade die Frage, ob man die Lösung "Sophos Antivirus for >Linux" tatsächlich auch im kommerziellen Umfeld >kostenlos auf Mailgateways nutzen kann und ob die Einbindung in Amavis >möglich ist. > >Auf der Webseite steht "The basic edition of Sophos Antivirus for Linux >is 100%, totally, absolutely, completely free." >Echte Lizenzbedingungen habe ich nicht gefunden. > >Details zum Produkt: >https://www.sophos.com/de-DE/products/free-tools/sophos-antivirus-for-linu >x.aspx > >Hat das jemand im Einsatz insbesondere mit Einbindung über Amavis? > >Beste Grüße > >Carsten > > > >-- >_______________________________________________ >Postfixbuch-users -- http://www.postfixbuch.de >Heinlein Professional Linux Support GmbH > >Postfixbuch-users at listen.jpberlin.de >https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From wn at neessen.net Fri Jul 10 13:26:12 2015 From: wn at neessen.net (Winfried Neessen) Date: Fri, 10 Jul 2015 13:26:12 +0200 Subject: [Postfixbuch-users] Sophos Antivirus for Linux kostenlos auf Mailserver nutzen? In-Reply-To: <559FA678.4000100@gmail.com> References: <559FA678.4000100@gmail.com> Message-ID: <2890070b168f20e65b17996b7d5372e1@neessen.net> Hi nochmal Carsten, Am 2015-07-10 13:03, schrieb Carsten: > https://www.sophos.com/de-DE/products/free-tools/sophos-antivirus-for-linux.aspx > [1] > Wenn Du auf den DL Link klickst, wirst Du zur EULA geleitet: https://www.sophos.com/de-de/support/downloads/eula.aspx Und zusaetzlich gibts dann noch das hier: http://openforum.sophos.com/t5/Sophos-Anti-Virus-for-Linux/License-EULA/td-p/20939 "[...] According to customercare at sophos.com, "Sophos Antivirus for Linux Free Edition" is a Consumer Product, licensed to one user and not allowed for business use." Winni From postfix at online-webservice24.de Fri Jul 10 13:27:03 2015 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Fri, 10 Jul 2015 13:27:03 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <559E2DC1.7030700@fuerstenberg.ws> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> Message-ID: Hallo, ja also das mit dem Header_checks hab ich versucht, aber es interessiert Postfix leider nicht ... hier mal mein Eintrag in der header_checks : /^From:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1000 /^From:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1001 /^Reply-To:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1002 /^Reply-To:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1003 Beide mails gehen aber durch ... Mit freundlichen Grüßen R. Wilhelm -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai Fürstenberg Gesendet: Donnerstag, 9. Juli 2015 10:16 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Absender blockieren Am 08.07.2015 um 17:57 schrieb Winfried Neessen: > Am 2015-07-08 17:40, schrieb Online-WebService23 - Postfix: > >> > Ich versuche seit einiger Zeit mails mit einem Absender nicht >> > anzunehmen, was mir aber eben nicht gelingt ? der absender >> > variirt at empfehlung-vom-profi.de ? >> > > Ach ja... @empfehlung-vom-profi.de ... die moegene manche meiner > Kunden auch nicht. > Die senden ihre Mails (wie Dein Log zeigt) allerdings nicht mit der > Absenderadresse @empfehlung-vom-profi.de sondern der Envelope-From ist > meist irgend ein anderer. ... aber die Header-Adresse ist immer von der gleiche Domain. Insofern dürfte ein entsprechender Header-Check hier Abhilfe schaffen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From kai_postfix at fuerstenberg.ws Fri Jul 10 13:35:05 2015 From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=) Date: Fri, 10 Jul 2015 13:35:05 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> Message-ID: <559FADE9.1080106@fuerstenberg.ws> Am 10.07.2015 um 13:27 schrieb Online-WebService24 - Postfix: > ja also das mit dem Header_checks hab ich versucht, aber es interessiert Postfix leider nicht ... > > hier mal mein Eintrag in der header_checks : > > /^From:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1000 > /^From:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1001 > /^Reply-To:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1002 > /^Reply-To:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1003 > > Beide mails gehen aber durch ... ... und die header_checks hast du wie eingebunden? Bitte postconf -n. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From mailingliste-postfixbuch+spamtrap at pothe.de Fri Jul 10 13:50:39 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Fri, 10 Jul 2015 13:50:39 +0200 Subject: [Postfixbuch-users] Log-Informationen Postausgang In-Reply-To: <559F95B1.8070205@nausch.org> References: <559F8E6F.3050909@pothe.de> <559F95B1.8070205@nausch.org> Message-ID: <559FB18F.1060103@pothe.de> Moin Django, Am 10.07.2015 um 11:51 schrieb Django: > Darf ich sagen wozu? Es ist doch auch so schön erkennbar, welcher > Traffic wie gesichert war, oder eben nicht war. > > Bsp.: https://mailgraph.piratenpartei-bayern.de/ Hier die jeweils zwei > letzten Graphen bei Tag, Woche, Monat und Jahr ankucken. > > Wie Du sehen kannst, brauchst Du gar keine extra Kennzeichnung, denn > diese ist ja schon da, als "Ausschlusskriterium". :) Bislang hatte ich keine graphische Auswertung (habe ich für meinen Low-Traffic-Mailserver nicht für notwendig erachtet), jetzt habe ich mir mal mailgraph installiert - sieht aber anders aus als bei dir (den DANE-Patch habe ich eingespielt). Aber auch bei dir ist es nicht explizit erwähnt, dass eine Mail unverschlüsselt raus ging, man kann es nur selbst im Kopf berechnen. BTW: Ausgehend verwendet ihr DANE, selbst ist die Domain aber nicht signiert. Scheint OptOutDay.de (welche aber nur sehr gelegentlich für Aktionen verwendet wird) doch immer noch die einzige DANE-fähige Piratenpartei-Domain zu sein? ;-) CU Andreas From postfix at online-webservice24.de Fri Jul 10 13:54:56 2015 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Fri, 10 Jul 2015 13:54:56 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <559FADE9.1080106@fuerstenberg.ws> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> Message-ID: smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unlisted_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_invalid_hostname, reject_unauth_pipelining, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unlisted_recipient, check_recipient_access pcre:/etc/postfix/recipient_checks.pcre, check_sender_access hash:/etc/postfix/bogus_mx, check_sender_access hash:/etc/postfix/sender_checks, check_recipient_access hash:/etc/postfix/client_checks, check_sender_access regexp:/etc/postfix/header_checks, check_policy_service inet:127.0.0.1:60000, check_policy_service inet:127.0.0.1:12525, reject_rbl_client ix.dnsbl.manitu.net joar, da sage ich mal darin liegt der Fehler ... sollte das sicher mit header_checks = pcre:/etc/postfix/header_checks einbinden oder ??? man man man ... Mit freundlichen Grüßen R. Wilhelm -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai Fürstenberg Gesendet: Freitag, 10. Juli 2015 13:35 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Absender blockieren Am 10.07.2015 um 13:27 schrieb Online-WebService24 - Postfix: > ja also das mit dem Header_checks hab ich versucht, aber es interessiert Postfix leider nicht ... > > hier mal mein Eintrag in der header_checks : > > /^From:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1000 > /^From:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1001 > /^Reply-To:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1002 > /^Reply-To:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1003 > > Beide mails gehen aber durch ... ... und die header_checks hast du wie eingebunden? Bitte postconf -n. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From postfixer99 at gmail.com Fri Jul 10 14:03:32 2015 From: postfixer99 at gmail.com (Carsten) Date: Fri, 10 Jul 2015 14:03:32 +0200 Subject: [Postfixbuch-users] Sophos Antivirus for Linux kostenlos auf Mailserver nutzen? In-Reply-To: <2890070b168f20e65b17996b7d5372e1@neessen.net> References: <559FA678.4000100@gmail.com> <2890070b168f20e65b17996b7d5372e1@neessen.net> Message-ID: <559FB494.8080604@gmail.com> Am 10.07.2015 um 13:26 schrieb Winfried Neessen: > "[...] According to customercare at sophos.com, "Sophos Antivirus for > Linux Free Edition" is a > Consumer Product, licensed to one user and not allowed for business use." > Ahh ok. Danke für den Hinweis. Das ist ja schade :-( From kai_postfix at fuerstenberg.ws Fri Jul 10 15:18:41 2015 From: kai_postfix at fuerstenberg.ws (=?windows-1252?Q?Kai_F=FCrstenberg?=) Date: Fri, 10 Jul 2015 15:18:41 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> Message-ID: <559FC631.3070106@fuerstenberg.ws> Am 10.07.2015 um 13:54 schrieb Online-WebService24 - Postfix: > sollte das sicher mit > > header_checks = pcre:/etc/postfix/header_checks > > einbinden oder ??? ja... ja, das solltest du ;-) -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From postfix at online-webservice24.de Fri Jul 10 15:25:38 2015 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Fri, 10 Jul 2015 15:25:38 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <559FC631.3070106@fuerstenberg.ws> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <559FC631.3070106@fuerstenberg.ws> Message-ID: Ja, hab ich gemacht und siehe da sofort kommt fehler ... warning: unknown smtpd restriction: "header_checks" hm, was mag mir das teil sagen, kann mich dunkel erinnern dass ich das schon mal hatte ... Mit freundlichen Grüßen R. Wilhelm -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai Fürstenberg Gesendet: Freitag, 10. Juli 2015 15:19 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Absender blockieren Am 10.07.2015 um 13:54 schrieb Online-WebService24 - Postfix: > sollte das sicher mit > > header_checks = pcre:/etc/postfix/header_checks > > einbinden oder ??? ja... ja, das solltest du ;-) -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From wn at neessen.net Fri Jul 10 15:28:20 2015 From: wn at neessen.net (Winfried Neessen) Date: Fri, 10 Jul 2015 15:28:20 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <559FC631.3070106@fuerstenberg.ws> Message-ID: <0e33d06afeebb5467ad8a3aa67d4f5b9@neessen.net> Hi, Am 2015-07-10 15:25, schrieb Online-WebService24 - Postfix: > warning: unknown smtpd restriction: "header_checks" > Du hast die header_checks als smtpd_*_restriction festgelegt. header_checks ist aber eine eigenstaendige Direktive. Beispiel: smtpd_recipient_restrictions = check_recipient_access hash:${config_directory}/access_lists/perdomain_blacklist reject_non_fqdn_recipient reject_non_fqdn_sender [...] permit smtpd_data_restrictions = reject_multi_recipient_bounce header_checks = regexp:${config_directory}/access_lists/header_body/nazispam, [...] Winni From Ralf.Hildebrandt at charite.de Fri Jul 10 15:36:02 2015 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 10 Jul 2015 15:36:02 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> Message-ID: <20150710133602.GB20699@charite.de> * Online-WebService24 - Postfix : > > > > Hallo, > > ja also das mit dem Header_checks hab ich versucht, aber es interessiert Postfix leider nicht ... > > hier mal mein Eintrag in der header_checks : > > /^From:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1000 > /^From:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1001 > /^Reply-To:.*@empfehlung-vom-profi.de.*/ REJECT Header-Spamschutzregel 1002 > /^Reply-To:.*@erfolg-durch-profis.com.*/ REJECT Header-Spamschutzregel 1003 > > Beide mails gehen aber durch ... Prüfen mit: /^(From|Reply-To):/ WARN dann steht es im Log, was Postfix "sieht" -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jul 10 15:36:27 2015 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 10 Jul 2015 15:36:27 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <559FC631.3070106@fuerstenberg.ws> Message-ID: <20150710133627.GC20699@charite.de> * Online-WebService24 - Postfix : > > > > Ja, hab ich gemacht und siehe da sofort kommt fehler ... > > warning: unknown smtpd restriction: "header_checks" > > hm, was mag mir das teil sagen, kann mich dunkel erinnern dass ich das schon > > mal hatte ... header_checks = ... einzeln, nicht in smtpd_* > > > > Mit freundlichen Grüßen > R. Wilhelm > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] > Im Auftrag von Kai Fürstenberg > Gesendet: Freitag, 10. Juli 2015 15:19 > An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Betreff: Re: [Postfixbuch-users] Absender blockieren > > Am 10.07.2015 um 13:54 schrieb Online-WebService24 - Postfix: > > sollte das sicher mit > > > > header_checks = pcre:/etc/postfix/header_checks > > > > einbinden oder ??? > > ja... ja, das solltest du ;-) > > -- > Kai Fürstenberg > > PM an: kai at fuerstenberg punkt ws > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux > Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfix at online-webservice24.de Fri Jul 10 15:37:24 2015 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Fri, 10 Jul 2015 15:37:24 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <0e33d06afeebb5467ad8a3aa67d4f5b9@neessen.net> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <559FC631.3070106@fuerstenberg.ws> <0e33d06afeebb5467ad8a3aa67d4f5b9@neessen.net> Message-ID: Super danke ... Ich sach ja manchmal ist man einfach nur blind ... Mit freundlichen Grüßen R. Wilhelm -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Freitag, 10. Juli 2015 15:28 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Absender blockieren Hi, Am 2015-07-10 15:25, schrieb Online-WebService24 - Postfix: > warning: unknown smtpd restriction: "header_checks" > Du hast die header_checks als smtpd_*_restriction festgelegt. header_checks ist aber eine eigenstaendige Direktive. Beispiel: smtpd_recipient_restrictions = check_recipient_access hash:${config_directory}/access_lists/perdomain_blacklist reject_non_fqdn_recipient reject_non_fqdn_sender [...] permit smtpd_data_restrictions = reject_multi_recipient_bounce header_checks = regexp:${config_directory}/access_lists/header_body/nazispam, [...] Winni -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From matthias.doering at mldsc.de Fri Jul 10 16:32:22 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Fri, 10 Jul 2015 16:32:22 +0200 Subject: [Postfixbuch-users] Rate Limit exceeded Message-ID: <559FD776.6030406@mldsc.de> Hi @all, wie geht Ihr mit Domains/ Mailservern um damit Ihr verhindert ein Rate Limit Exceeded zu erhalten? Nein, Ich habe damit gerade kein akutes Problem. Mich würden nur eure Taktiken interessieren wir Ihr diesem versucht entgegen zu wirken. -- Mit freundlichen Grüßen Matthias Döring From ad+lists at uni-x.org Fri Jul 10 20:20:10 2015 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Fri, 10 Jul 2015 20:20:10 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> Message-ID: <55A00CDA.8020101@uni-x.org> Am 10.07.2015 um 13:54 schrieb Online-WebService24 - Postfix: > > > smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, > reject_non_fqdn_sender, reject_unlisted_recipient, > reject_unknown_recipient_domain, reject_unauth_destination, > reject_invalid_hostname, reject_unauth_pipelining, reject_non_fqdn_hostname, > reject_non_fqdn_recipient, reject_non_fqdn_sender, > reject_unlisted_recipient, check_recipient_access > pcre:/etc/postfix/recipient_checks.pcre, check_sender_access > hash:/etc/postfix/bogus_mx, check_sender_access > hash:/etc/postfix/sender_checks, check_recipient_access > hash:/etc/postfix/client_checks, check_sender_access > regexp:/etc/postfix/header_checks, check_policy_service > inet:127.0.0.1:60000, check_policy_service inet:127.0.0.1:12525, > reject_rbl_client ix.dnsbl.manitu.net Ein ganz schön unsauberer Haufen restrictions. Warum überhaupt SMTP AUTH auf Port 25 ermöglichen? Nutze submission für einliefernde Clients. Warum invalide Hostnamen erst an der Stelle blocken? $mynetworks dürfen die verwenden? Warum reject_unlisted_recipient 2 Mal? Warum der RBL Reject erst ganz am Ende? Zu den header_checks gab es ja schon den richtigen Wink. [ ... ] > Mit freundlichen Grüßen > R. Wilhelm Alexander From matthias.doering at mldsc.de Sun Jul 12 15:51:36 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Sun, 12 Jul 2015 15:51:36 +0200 Subject: [Postfixbuch-users] Deutsche Bouncemeldungen Message-ID: <55A270E8.1030801@mldsc.de> Hi, ich habe meine Bouncemeldungen angepasst. Leider funktioniert das so noch nicht wirklich. Im /etc/postfix wget http://postfix.state-of-mind.de/bounce-templates/bounce.de-DE.cf Dateirechte sind auf root.root. Ist das ein Problem? Meine Bouncemeldungen kommen immernoch auf Englisch zurück. Ich versteh es nicht So steht es in der main.cf: *bounce_template_file = /etc/postfix/bounce.de-DE.cf* Habe Ich hier ein Fehler? -- Mit freundlichen Grüßen Matthias Döring -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From matthias.doering at mldsc.de Sun Jul 12 18:54:33 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Sun, 12 Jul 2015 18:54:33 +0200 Subject: [Postfixbuch-users] Amavisd-new konfigurieren aber wie? Message-ID: <55A29BC9.2020608@mldsc.de> Hi, ich habe heute versucht Amavis von Debian/ Ubuntu zu verstehen. Unter den RPM-basierten Distributionen gibt es wohl eine amavisd.conf. Unter Debian findet man ja nur mehrere Dateien. Ich habe versucht die Konfigurationsparameter von Peer anzuwenden. Ich kann nicht sinnvoll nachvollziehen was wohin gehören soll auch wie Ich es bauen muss damit es funktioniert. Hat jeider Jemand für mich etwas Starthilfe? Auch mit dem mir bekannten konnte ich in Google nichts finden. Ich suche sicher falsch. Jeder fängt damit an aktiviere Spam- und Virenschutz aber dann wirds auch bald recht dünn überall nach der Installation von clamd :( Die Ports 25, 10025 gehen wie gewünscht auf. Postfix 2.11.0-1ubuntu1 amavisd-new 2.11.0-1ubuntu1 _ _Wenn Ich Infos vergessen habe bitte schreien :) -- Mit freundlichen Grüßen Matthias Döring -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From p at sys4.de Sun Jul 12 21:40:46 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 12 Jul 2015 21:40:46 +0200 Subject: [Postfixbuch-users] Deutsche Bouncemeldungen In-Reply-To: <55A270E8.1030801@mldsc.de> References: <55A270E8.1030801@mldsc.de> Message-ID: <20150712194046.GB4342@sys4.de> * Matthias Doering : > ich habe meine Bouncemeldungen angepasst. > Leider funktioniert das so noch nicht wirklich. > > Im /etc/postfix > > wget http://postfix.state-of-mind.de/bounce-templates/bounce.de-DE.cf > Dateirechte sind auf root.root. Ist das ein Problem? root:root ist kein Fehler. > Meine Bouncemeldungen kommen immernoch auf Englisch zurück. Ich > versteh es nicht > > So steht es in der main.cf: > > *bounce_template_file = /etc/postfix/bounce.de-DE.cf* > > Habe Ich hier ein Fehler? Ich kann keinen erkennen. Was sagt Dein Log? Wie testest Du? p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From p at sys4.de Sun Jul 12 21:43:24 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 12 Jul 2015 21:43:24 +0200 Subject: [Postfixbuch-users] Amavisd-new konfigurieren aber wie? In-Reply-To: <55A29BC9.2020608@mldsc.de> References: <55A29BC9.2020608@mldsc.de> Message-ID: <20150712194324.GC4342@sys4.de> * Matthias Doering : > Hi, > > ich habe heute versucht Amavis von Debian/ Ubuntu zu verstehen. > Unter den RPM-basierten Distributionen gibt es wohl eine > amavisd.conf. Unter Debian findet man ja nur mehrere Dateien. > Ich habe versucht die Konfigurationsparameter von Peer anzuwenden. > Ich kann nicht sinnvoll nachvollziehen was wohin gehören soll auch > wie Ich es bauen muss damit es funktioniert. > Hat jeider Jemand für mich etwas Starthilfe? > Auch mit dem mir bekannten konnte ich in Google nichts finden. Ich > suche sicher falsch. > Jeder fängt damit an aktiviere Spam- und Virenschutz aber dann wirds > auch bald recht dünn überall nach der Installation von clamd :( > > Die Ports 25, 10025 gehen wie gewünscht auf. > > Postfix 2.11.0-1ubuntu1 > amavisd-new 2.11.0-1ubuntu1 > _ > _Wenn Ich Infos vergessen habe bitte schreien :) Ignoriere alle files bis auf die 50-user. In diese Datei trägst Du von den 0- - 40- Dateien und zusätzliche Optionen ein. Die 50-user wird als Letzte gelesen und überschreibt ggf. anderslautende vorherige Werte. Starthilfe? Sowas? https://sys4.de/de/blog/2013/02/15/e-mail-content-policies-mit-amavis/ > > -- > Mit freundlichen Grüßen > > Matthias Döring > > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From matthias.doering at mldsc.de Sun Jul 12 22:06:15 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Sun, 12 Jul 2015 22:06:15 +0200 Subject: [Postfixbuch-users] Deutsche Bouncemeldungen In-Reply-To: <20150712194046.GB4342@sys4.de> References: <55A270E8.1030801@mldsc.de> <20150712194046.GB4342@sys4.de> Message-ID: <55A2C8B7.6020802@mldsc.de> Sorry. Da macht man es doch täglich in der Arbeit und doch fällt. Man selber drüber. Man sollte schon dafür sorgen der Server mit den deutschen Bouncemeldungen auch der generierende Server ist :-! Am 12.07.2015 um 21:40 schrieb Patrick Ben Koetter: > * Matthias Doering : >> ich habe meine Bouncemeldungen angepasst. >> Leider funktioniert das so noch nicht wirklich. >> >> Im /etc/postfix >> >> wget http://postfix.state-of-mind.de/bounce-templates/bounce.de-DE.cf >> Dateirechte sind auf root.root. Ist das ein Problem? > root:root ist kein Fehler. > >> Meine Bouncemeldungen kommen immernoch auf Englisch zurück. Ich >> versteh es nicht >> >> So steht es in der main.cf: >> >> *bounce_template_file = /etc/postfix/bounce.de-DE.cf* >> >> Habe Ich hier ein Fehler? > Ich kann keinen erkennen. Was sagt Dein Log? Wie testest Du? > > p at rick > -- Mit freundlichen Grüßen Matthias Döring From matthias.doering at mldsc.de Sun Jul 12 22:20:59 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Sun, 12 Jul 2015 22:20:59 +0200 Subject: [Postfixbuch-users] Amavisd-new konfigurieren aber wie? In-Reply-To: <20150712194324.GC4342@sys4.de> References: <55A29BC9.2020608@mldsc.de> <20150712194324.GC4342@sys4.de> Message-ID: <55A2CC2B.5040407@mldsc.de> Das hilft beides schon mal ungemein! Debian hätte das auch gerne in einer Datei lassen dürfen. Würde sicher viel Nerven sparen. Am 12.07.2015 um 21:43 schrieb Patrick Ben Koetter: > * Matthias Doering : >> Hi, >> >> ich habe heute versucht Amavis von Debian/ Ubuntu zu verstehen. >> Unter den RPM-basierten Distributionen gibt es wohl eine >> amavisd.conf. Unter Debian findet man ja nur mehrere Dateien. >> Ich habe versucht die Konfigurationsparameter von Peer anzuwenden. >> Ich kann nicht sinnvoll nachvollziehen was wohin gehören soll auch >> wie Ich es bauen muss damit es funktioniert. >> Hat jeider Jemand für mich etwas Starthilfe? >> Auch mit dem mir bekannten konnte ich in Google nichts finden. Ich >> suche sicher falsch. >> Jeder fängt damit an aktiviere Spam- und Virenschutz aber dann wirds >> auch bald recht dünn überall nach der Installation von clamd :( >> >> Die Ports 25, 10025 gehen wie gewünscht auf. >> >> Postfix 2.11.0-1ubuntu1 >> amavisd-new 2.11.0-1ubuntu1 >> _ >> _Wenn Ich Infos vergessen habe bitte schreien :) > Ignoriere alle files bis auf die 50-user. In diese Datei trägst Du von den 0- > - 40- Dateien und zusätzliche Optionen ein. Die 50-user wird als Letzte > gelesen und überschreibt ggf. anderslautende vorherige Werte. > > Starthilfe? Sowas? > https://sys4.de/de/blog/2013/02/15/e-mail-content-policies-mit-amavis/ > > > >> -- >> Mit freundlichen Grüßen >> >> Matthias Döring >> >> -- >> _______________________________________________ >> Postfixbuch-users -- http://www.postfixbuch.de >> Heinlein Professional Linux Support GmbH >> >> Postfixbuch-users at listen.jpberlin.de >> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users > -- Mit freundlichen Grüßen Matthias Döring From ta at lonestar-bbs.de Mon Jul 13 00:13:16 2015 From: ta at lonestar-bbs.de (Andreas Tauscher) Date: Mon, 13 Jul 2015 01:13:16 +0300 Subject: [Postfixbuch-users] Amavisd-new konfigurieren aber wie? In-Reply-To: <55A2CC2B.5040407@mldsc.de> References: <55A29BC9.2020608@mldsc.de> <20150712194324.GC4342@sys4.de> <55A2CC2B.5040407@mldsc.de> Message-ID: <55A2E67C.1090600@lonestar-bbs.de> On 07/12/2015 11:20 PM, Matthias Doering wrote: > Das hilft beides schon mal ungemein! Debian hätte das auch gerne in > einer Datei lassen dürfen. Würde sicher viel Nerven sparen. Nein. Vereinfacht updates. 50-user wird nicht angefasst. Alle anderen Dateien werden bei Updates mehr oder weniger rücksichtslos überschrieben. Eine Datei: Gefummel die Maintainerversion und deine Konfiguration zusammenbekommen. Aufgeteilt: Übersichlicher als eine Datei mit X hundert Zeilen. 50-user wird als letzte gelesen und überschreibt Defaultwerte mit Deinen Einstellungen. Vereinfach IMHO auch Dokumentation: Alles default bis auf 50-user. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: OpenPGP digital signature URL : From django at nausch.org Mon Jul 13 10:09:17 2015 From: django at nausch.org (Django [BOfH]) Date: Mon, 13 Jul 2015 10:09:17 +0200 Subject: [Postfixbuch-users] Log-Informationen Postausgang In-Reply-To: <559FB18F.1060103@pothe.de> References: <559F8E6F.3050909@pothe.de> <559F95B1.8070205@nausch.org> <559FB18F.1060103@pothe.de> Message-ID: <55A3722D.6070606@nausch.org> Griasde Bou! Am 10.07.2015 um 13:50 schrieb Andreas Pothe: > Aber auch bei dir ist es nicht > explizit erwähnt, dass eine Mail unverschlüsselt raus ging, man kann es > nur selbst im Kopf berechnen. Ahh, jetzt verstehe ich Dich! Willst Du denn einen separaten Graphen, der Dir die unverschlüsselten Verbindungen anzeigt, oder soll dass als "line" in die hier rein? https://mailgraph.piratenpartei-bayern.de/mailgraph.cgi?0-t https://mailgraph.piratenpartei-bayern.de/mailgraph.cgi?0-i Wäre eigentlich 'ne gute Idee, oder? Ich denke mal eine Integration der unverschlüsselten Verbindungen in die beiden obigen Verbindungen wären e wohl die beste Vernknüpfung? Oder, was meinst Du? > BTW: Ausgehend verwendet ihr DANE, selbst ist die Domain aber nicht > signiert. Scheint OptOutDay.de (welche aber nur sehr gelegentlich für > Aktionen verwendet wird) doch immer noch die einzige DANE-fähige > Piratenpartei-Domain zu sein? ;-) Tja, das scheitert in diesem Fall alleine daran, dass der verwendet Registrar kein DNSsec anbietet. Aber was nicht ist, kann ja noch werden? Servus Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From lists at xunil.at Mon Jul 13 13:21:13 2015 From: lists at xunil.at (Stefan G. Weichinger) Date: Mon, 13 Jul 2015 13:21:13 +0200 Subject: [Postfixbuch-users] postscreen und MS Office In-Reply-To: <04011F8B-1384-4FE7-853E-C18EDCE2700A@ovis-consulting.de> References: <555EECBD.2020008@xunil.at> <555F15F4.10307@alphasrv.net> <555F2189.7000205@xunil.at> <000a01d094c8$4ddca420$e995ec60$@fblan.de> <55620461.3040900@xunil.at> <62473491-EB9D-47AA-936A-BDCF48B1CF83@ovis-consulting.de> <5563176A.7060204@xunil.at> <04011F8B-1384-4FE7-853E-C18EDCE2700A@ovis-consulting.de> Message-ID: <55A39F29.8070202@xunil.at> On 25.05.2015 16:51, T. Wiese, OVIS IT Consulting GmbH wrote: > Moin, > Die ist statisch... Keine Ausreißer ;) .... und was ist mit gmail.com ? Da sehe ich ähnliche Verzögerungen, hat da auch jemand eine gute Liste parat? ;-) Danke, Stefan From matthias.doering at mldsc.de Mon Jul 13 16:17:01 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Mon, 13 Jul 2015 16:17:01 +0200 Subject: [Postfixbuch-users] strict_rfc821_envelopes Message-ID: <55A3C85D.8080708@mldsc.de> Hi Liste, was habt Ihr für Erfahrungen mit dem Parameter strict_rfc821_envelopes gemacht? Im Standard ist dieser Parameter ja auch no. Setzt Ihr Ihn auf yes oder lasst Ihr diesen auf no? Was habt Ihr für Erfahrungen bisher damit gemacht? Ich habe gehört das kann durchaus Probleme machen. -- Mit freundlichen Grüßen Matthias Döring From p at sys4.de Mon Jul 13 16:21:23 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Mon, 13 Jul 2015 16:21:23 +0200 Subject: [Postfixbuch-users] strict_rfc821_envelopes In-Reply-To: <55A3C85D.8080708@mldsc.de> References: <55A3C85D.8080708@mldsc.de> Message-ID: <20150713142123.GK18034@sys4.de> * Matthias Doering : > Hi Liste, > > was habt Ihr für Erfahrungen mit dem Parameter > strict_rfc821_envelopes gemacht? > Im Standard ist dieser Parameter ja auch no. Setzt Ihr Ihn auf yes > oder lasst Ihr diesen auf no? > Was habt Ihr für Erfahrungen bisher damit gemacht? > Ich habe gehört das kann durchaus Probleme machen. Seit Jahren für MTA zu MTA Traffic aktiviert. Probleme sind mir nicht bekannt. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From wn at neessen.net Mon Jul 13 16:58:59 2015 From: wn at neessen.net (Winfried Neessen) Date: Mon, 13 Jul 2015 16:58:59 +0200 Subject: [Postfixbuch-users] strict_rfc821_envelopes In-Reply-To: <55A3C85D.8080708@mldsc.de> References: <55A3C85D.8080708@mldsc.de> Message-ID: <2e1f71d7543055942336443503abdd25@neessen.net> Hi Matthias, Am 2015-07-13 16:17, schrieb Matthias Doering: > Im Standard ist dieser Parameter ja auch no. Setzt Ihr Ihn auf yes oder > lasst Ihr diesen auf no? > Was habt Ihr für Erfahrungen bisher damit gemacht? > Ich habe gehört das kann durchaus Probleme machen. > Ist bei uns seit Jahren standardmaessig auf "yes". Bisher keine Probleme gehabt. Winni From postfix at online-webservice24.de Tue Jul 14 09:55:12 2015 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Tue, 14 Jul 2015 09:55:12 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <55A00CDA.8020101@uni-x.org> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <55A00CDA.8020101@uni-x.org> Message-ID: Hallo Alexander, deine Fragen sind sicher durchaus berechtig, nun versuche ich mal zu verwirren ... also wie immer Blind, klar einemal reject_unlisted_recipient reicht auch ;) ... der Port 25 wir weiter so bleiben, weil ich sonst den kunden erklähren muss, wieso sie nur noch verschlüsselt senden sollen ... und wer bitte will das tun, zumal ich dass bei den meißten eh dann eh selber umstellen muss ... das mit der RBL ist später dazu gekommen, und die anderen restrictions sind halt über die jahre so gewachsen ... weiß nicht mal mehr, ob die so alle noch sinn machen, denke mal nicht alle ... hier mal meine übersicht, über paar gedanken wäre ich dankbar .... smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unlisted_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_invalid_hostname, reject_unauth_pipelining, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_non_fqdn_sender, check_recipient_access pcre:/etc/postfix/recipient_checks check_sender_access hash:/etc/postfix/bogus_mx, check_sender_access hash:/etc/postfix/sender_checks, check_recipient_access hash:/etc/postfix/client_checks, check_policy_service inet:127.0.0.1:60000, check_policy_service inet:127.0.0.1:12525, reject_rbl_client ix.dnsbl.manitu.net header_checks = pcre:/etc/postfix/header_checks, smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unknown_sender_domain smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, Mit freundlichen Grüßen R. Wilhelm -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Alexander Dalloz Gesendet: Freitag, 10. Juli 2015 20:20 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Absender blockieren Am 10.07.2015 um 13:54 schrieb Online-WebService24 - Postfix: > > > smtpd_recipient_restrictions = permit_mynetworks, > permit_sasl_authenticated, reject_non_fqdn_sender, > reject_unlisted_recipient, reject_unknown_recipient_domain, > reject_unauth_destination, reject_invalid_hostname, > reject_unauth_pipelining, reject_non_fqdn_hostname, > reject_non_fqdn_recipient, reject_non_fqdn_sender, > reject_unlisted_recipient, check_recipient_access > pcre:/etc/postfix/recipient_checks.pcre, check_sender_access > hash:/etc/postfix/bogus_mx, check_sender_access > hash:/etc/postfix/sender_checks, check_recipient_access > hash:/etc/postfix/client_checks, check_sender_access > regexp:/etc/postfix/header_checks, check_policy_service > inet:127.0.0.1:60000, check_policy_service inet:127.0.0.1:12525, > reject_rbl_client ix.dnsbl.manitu.net Ein ganz schön unsauberer Haufen restrictions. Warum überhaupt SMTP AUTH auf Port 25 ermöglichen? Nutze submission für einliefernde Clients. Warum invalide Hostnamen erst an der Stelle blocken? $mynetworks dürfen die verwenden? Warum reject_unlisted_recipient 2 Mal? Warum der RBL Reject erst ganz am Ende? Zu den header_checks gab es ja schon den richtigen Wink. [ ... ] > Mit freundlichen Grüßen > R. Wilhelm Alexander -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From lists at xunil.at Tue Jul 14 23:35:23 2015 From: lists at xunil.at (Stefan G. Weichinger) Date: Tue, 14 Jul 2015 23:35:23 +0200 Subject: [Postfixbuch-users] postscreen und gmail.com ? In-Reply-To: <55A39F29.8070202@xunil.at> References: <555EECBD.2020008@xunil.at> <555F15F4.10307@alphasrv.net> <555F2189.7000205@xunil.at> <000a01d094c8$4ddca420$e995ec60$@fblan.de> <55620461.3040900@xunil.at> <62473491-EB9D-47AA-936A-BDCF48B1CF83@ovis-consulting.de> <5563176A.7060204@xunil.at> <04011F8B-1384-4FE7-853E-C18EDCE2700A@ovis-consulting.de> <55A39F29.8070202@xunil.at> Message-ID: <55A5809B.1010006@xunil.at> On 13.07.2015 13:21, Stefan G. Weichinger wrote: > .... und was ist mit gmail.com ? > > Da sehe ich ähnliche Verzögerungen, hat da auch jemand eine gute Liste > parat? subject corrected ... From postfixbuch-users at makomi.de Wed Jul 15 09:32:14 2015 From: postfixbuch-users at makomi.de (Michael Koehler) Date: Wed, 15 Jul 2015 09:32:14 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Bounce_statt_Reject_bei_nicht_vorha?= =?utf-8?q?ndenem_Empf=C3=A4nger?= Message-ID: <55A60C7E.4060202@makomi.de> Hallo, ich habe bei meinem Server folgendes Problem: Ich bekomme Emails an die Adresse wordpress at controlc.de gesendet - die Email-Adresse gibt es aber bei mir nicht. Ich bin der Meinung, dass auch nicht bekannte Empfänger abgelehnt werden. Hier erst einmal den Logeintrag: ------ Jul 15 01:18:54 mail postfix/smtpd[17136]: connect from hcp2-mail.webkazan.ru[5.9.71.21] Jul 15 01:18:54 mail postfix/smtpd[17136]: Anonymous TLS connection established from hcp2-mail.webkazan.ru[5.9.71.21]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Jul 15 01:18:54 mail postgrey[776]: action=pass, reason=triplet found, client_name=hcp2-mail.webkazan.ru, client_address=5.9.71.21, recipient=wordpress at controlc.de Jul 15 01:18:54 mail postfix/smtpd[17136]: NOQUEUE: client=hcp2-mail.webkazan.ru[5.9.71.21] Jul 15 01:18:54 mail amavis[3991]: (03991-08) ESMTP [::1]:10024 /var/lib/amavis/tmp/amavis-20150714T142624-03991-ZhAJlcAk: <> -> SIZE=3130 BODY=8BITMIME Received: from mail.controlc.de ([IPv6:::1]) by localhost (mail.controlc.de [IPv6:::1]) (amavisd-new, port 10024) with ESMTP for ; Wed, 15 Jul 2015 01:18:54 +0200 (CEST) Jul 15 01:18:54 mail amavis[3991]: (03991-08) Checking: 4TfOupfg7G3R [5.9.71.21] <> -> Jul 15 01:18:56 mail postfix/amavisd-feed-smtpd/smtpd[17144]: connect from localhost[127.0.0.1] Jul 15 01:18:56 mail postfix/amavisd-feed-smtpd/smtpd[17144]: 9EC4AE0E16: client=localhost[127.0.0.1] Jul 15 01:18:56 mail postfix/cleanup[17149]: 9EC4AE0E16: info: header Subject: Undelivered Mail Returned to Sender from localhost[127.0.0.1]; from=<> to= proto=ESMTP helo= Jul 15 01:18:56 mail postfix/cleanup[17149]: 9EC4AE0E16: message-id=<20150714231824.D90A3662FDBD at hcp2-mail.webkazan.ru> Jul 15 01:18:56 mail postfix/cleanup[17149]: 9EC4AE0E16: info: header Subject: Re:Oh my god she is from localhost[127.0.0.1]; from=<> to= proto=ESMTP helo= Jul 15 01:18:56 mail postfix/amavisd-feed-smtpd/smtpd[17144]: disconnect from localhost[127.0.0.1] Jul 15 01:18:56 mail postfix/qmgr[30856]: 9EC4AE0E16: from=<>, size=4133, nrcpt=1 (queue active) Jul 15 01:18:56 mail amavis[3991]: (03991-08) 4TfOupfg7G3R FWD from <> -> , BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 9EC4AE0E16 Jul 15 01:18:56 mail amavis[3991]: (03991-08) Passed CLEAN {RelayedInbound}, [5.9.71.21]:56020 [5.9.71.21] <> -> , Message-ID: <20150714231824.D90A3662FDBD at hcp2-mail.webkazan.ru>, mail_id: 4TfOupfg7G3R, Hits: 3.631, size: 3431, queued_as: 9EC4AE0E16, 2307 ms Jul 15 01:18:56 mail dovecot: lmtp(17156): Connect from local Jul 15 01:18:56 mail postfix/smtpd[17136]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 9EC4AE0E16; from=<> to= proto=ESMTP helo= Jul 15 01:18:56 mail postfix/smtpd[17136]: disconnect from hcp2-mail.webkazan.ru[5.9.71.21] Jul 15 01:18:56 mail postfix/lmtp[17155]: 9EC4AE0E16: to=, relay=mail.controlc.de[private/dovecot-lmtp], delay=0.1, delays=0.05/0/0.01/0.04, dsn=5.1.1, status=bounced (host mail.controlc.de[private/dovecot-lmtp] said: 550 5.1.1 User doesn't exist: wordpress at controlc.de (in reply to RCPT TO command)) Jul 15 01:18:56 mail dovecot: lmtp(17156): Disconnect from local: Successful quit ------ Sollte Postfix nicht viel eher, also bereits vor amavis, die Mail bereits ablehnen? Und wie kann ich amavis dazu überreden einen Empfängercheck zu machen - immerhin stecken alle Empfänger in einer SQL-Datenbank?! Ich finde die Lösung dass erst dovecot die EMail abweist als unbefriedigend und ressourcenverschwendend. Viele Grüße, Michael postconf -n sagt: ------ alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_template_file = /etc/postfix/bounce-templates/bounce.de-DE.cf config_directory = /etc/postfix header_checks = pcre:/etc/postfix/header_checks html_directory = /usr/share/doc/postfix/html inet_interfaces = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 message_size_limit = 0 mydestination = localhost myhostname = mail.controlc.de mynetworks = 127.0.0.0/8 192.168.0.0/24 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname postscreen_access_list = permit_mynetworks,regexp:/etc/postfix/postscreen_whitelist postscreen_dnsbl_action = drop postscreen_dnsbl_sites = ix.dnsbl.manitu.net*1 dsn.rfc-ignorant.org*1 postscreen_dnsbl_threshold = 2 postscreen_greet_action = drop postscreen_helo_required = $smtpd_helo_required readme_directory = /usr/share/doc/postfix recipient_delimiter = + relayhost = smtp_tls_CAfile = $smtpd_tls_CAfile smtp_tls_CApath = /etc/ssl/certs smtp_tls_exclude_ciphers = RC4, aNULL smtp_tls_loglevel = 1 smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name smtpd_data_restrictions = reject_multi_recipient_bounce reject_unauth_pipelining smtpd_helo_required = yes smtpd_proxy_filter = 10024 smtpd_proxy_options = speed_adjust smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_sender_domain check_recipient_access hash:/etc/postfix/roleaccount_exceptions check_recipient_access mysql:/etc/postfix/maps/sql-maintain.cf reject_invalid_helo_hostname reject_non_fqdn_helo_hostname check_helo_access pcre:/etc/postfix/helo_checks check_sender_mx_access cidr:/etc/postfix/bogus_mx check_sender_access pcre:/etc/postfix/umlaute reject_unlisted_recipient check_client_access hash:/etc/postfix/client_whitelist reject_rbl_client ix.dnsbl.manitu.net check_policy_service inet:127.0.0.1:60000 permit smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination smtpd_tls_CAfile = /etc/ssl/certs/startssl-ca.pem smtpd_tls_CApath = /etc/ssl/certs smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/startssl-sub-cert.pem smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = RC4, aNULL, EXPORT, LOW smtpd_tls_key_file = /etc/ssl/private/startssl-key.pem smtpd_tls_loglevel = 1 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes soft_bounce = no tls_append_default_CA = yes tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA tls_preempt_cipherlist = yes tls_random_source = dev:/dev/urandom tls_ssl_options = NO_COMPRESSION virtual_alias_domains = mysql:/etc/postfix/maps/sql-domain-aliases.cf virtual_alias_maps = mysql:/etc/postfix/maps/sql-mailboxes-self-aliases.cf, mysql:/etc/postfix/maps/sql-aliases.cf, mysql:/etc/postfix/maps/sql-domain-aliases-mailboxes.cf, mysql:/etc/postfix/maps/sql-catchall-aliases.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /var/mail virtual_mailbox_domains = mysql:/etc/postfix/maps/sql-domains.cf virtual_mailbox_limit = 102400000 virtual_minimum_uid = 5000 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:5000 ------ From joeml at fv-berlin.de Wed Jul 15 10:22:09 2015 From: joeml at fv-berlin.de (Joe =?iso-8859-1?q?Sch=F6nberg?=) Date: Wed, 15 Jul 2015 10:22:09 +0200 Subject: [Postfixbuch-users] =?iso-8859-1?q?relay=5Frecipient=5Fmaps_=26_D?= =?iso-8859-1?q?ynamische_Empf=E4nger-Verifizierung?= In-Reply-To: <48BFE8E1.8060000@japantest.homelinux.com> References: <44DF72FC036E6347817A71713EE839720B347E@x-mob.strassenfeger.local> <48BFE8E1.8060000@japantest.homelinux.com> Message-ID: <201507151022.09629.joeml@fv-berlin.de> Hallo allerseits, Am Donnerstag, 4. September 2008 15:55:45 schrieb Sandy Drobic: > Jörg Sitek - mob e.V. wrote: > > > > Hallo zusammen, > > > > ich möchte bei meinem Postfix gerne die relay_recipient_maps und die > > dynamische Empfänger-Verifikation gleichzeitig nutzen. > > > > Jedoch fällt mir für die Konfiguration kein Ansatz ein. Das Szenario > > soll so ablaufen. > > > > Steht der Empfänger nicht in den relay_recipient_maps, so soll als > > nächstes die dynamische Verifikation starten. Hintergrund ist, dass wir > > einige Kunden haben, die noch einen Exchange 2000 einsetzen und dort die > > dynamische Verifikation keinen Sinn macht, da dort die im Buch > > beschriebene Option der Empfängerprüfung nicht möglich ist. > > > > Also müsste relay_recipient_maps ja statt einem reject dann ein dunno > > geben. Nur habe ich keinen Parameter gefunden, wo ich das einstellen kann. > > Dies sind auch zwei Mechanismen, die nichts miteinander zu tun haben. > Technisch sind sie völlig unabhängig. > > Du kannst jedoch pro Domain entscheiden, ob relay_recipient_maps oder > reject_unverified_recipient engesetzt wird: > > relay_recipient_maps: > user1 at domain1.example xx > user2 at domain1.example xx > user1 at domain2.example xx > .... > # keine relay_recipient_maps für diese Domains: > @domain-exchange.example xx > > > /etc/postfix/main.cf: > > smtpd_recipient_restrictions = > permit_mynetworks > permit_sasl_authenticated > reject_unauth_destination > # dafür aber reject_unverified_recipient: > check_recipient_access hash:/etc/postfix/verify_domains > > > /etc/postfix/verify_domains: > domain-exchange.example reject_unverified_recipient > Der Beitrag ist sehr alt, ich bin aber gerade erst darauf gestoßen, da ich die gleiche Anforderung hatte (nicht alle "Kunden" unterstützen dynamische Empfängervalidierung). Da der Themenstarter nicht mehr geantwortet hat, möchte ich zu Protokoll geben, dass es genau mit dem oben angegebenen Setup funktioniert. Daher besten Dank an Sandy. Joe Schönberg Forschungsverbund Berlin e.V. IT-Services From ad+lists at uni-x.org Wed Jul 15 10:37:50 2015 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 15 Jul 2015 10:37:50 +0200 Subject: [Postfixbuch-users] =?utf-8?q?Bounce_statt_Reject_bei_nicht_vorha?= =?utf-8?q?ndenem_Empf=C3=A4nger?= In-Reply-To: <55A60C7E.4060202@makomi.de> References: <55A60C7E.4060202@makomi.de> Message-ID: <55A61BDE.4000301@uni-x.org> Am 15.07.2015 um 09:32 schrieb Michael Koehler: > Hallo, > > ich habe bei meinem Server folgendes Problem: Ich bekomme Emails an die > Adresse wordpress at controlc.de gesendet - die Email-Adresse gibt es aber > bei mir nicht. Ich bin der Meinung, dass auch nicht bekannte Empfänger > abgelehnt werden. Hier erst einmal den Logeintrag: [ log content ] > Sollte Postfix nicht viel eher, also bereits vor amavis, die Mail > bereits ablehnen? Und wie kann ich amavis dazu überreden einen > Empfängercheck zu machen - immerhin stecken alle Empfänger in einer > SQL-Datenbank?! Ich finde die Lösung dass erst dovecot die EMail abweist > als unbefriedigend und ressourcenverschwendend. Du betreibstamavisd-new im Proxy Modus und nicht als after queue content filter. Wenn die Mail den amavisd-new durchläuft, dann hat sie die Postfx Restrictions noch gar nicht passiert. Dein reject_unlisted_recipient in dne smtpd_recipient_restrictions greift nicht, weil der Nullsender vorher akzeptiert wird. > Viele Grüße, > Michael [ postconf -n] Alexander From Christian.Schmidt at chemie.uni-hamburg.de Wed Jul 15 11:30:13 2015 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Wed, 15 Jul 2015 11:30:13 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <55A00CDA.8020101@uni-x.org> Message-ID: <55A62825.2080904@chemie.uni-hamburg.de> On 14.07.2015 09:55, Online-WebService24 - Postfix wrote: > der Port 25 wir weiter so bleiben, weil ich sonst den kunden erklähren muss, > wieso sie nur noch verschlüsselt senden sollen ... > und wer bitte will das tun, zumal ich dass bei den meißten eh dann eh selber > umstellen muss ... Ich würde als Kunde schon wollen, dass mein Dienstleister mich davon abhält, weiterhin meine SMTP-Authentifizierungsdaten im Klartext ins Netz zu posaunen... Mit freundlichen Grüßen Christian Schmidt -- No signature available. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5306 bytes Beschreibung: S/MIME Cryptographic Signature URL : From wn at neessen.net Wed Jul 15 11:52:18 2015 From: wn at neessen.net (Winfried Neessen) Date: Wed, 15 Jul 2015 11:52:18 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <55A62825.2080904@chemie.uni-hamburg.de> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <55A00CDA.8020101@uni-x.org> <55A62825.2080904@chemie.uni-hamburg.de> Message-ID: <548c3967192de6f71e7776dda7082cc3@neessen.net> Am 2015-07-15 11:30, schrieb Christian Schmidt: > On 14.07.2015 09:55, Online-WebService24 - Postfix wrote: > > Ich würde als Kunde schon wollen, dass mein Dienstleister mich davon > abhält, weiterhin meine SMTP-Authentifizierungsdaten im Klartext ins > Netz zu posaunen... > Man kann auch auf Port 25 STARTTLS erlauben. Daher ist die Aussage vielleicht etwas zu allgemein gehalten. Winni From Ralf.Hildebrandt at charite.de Wed Jul 15 12:14:03 2015 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 15 Jul 2015 12:14:03 +0200 Subject: [Postfixbuch-users] Bounce =?utf-8?Q?s?= =?utf-8?Q?tatt_Reject_bei_nicht_vorhandenem_Empf=C3=A4nger?= In-Reply-To: <55A61BDE.4000301@uni-x.org> References: <55A60C7E.4060202@makomi.de> <55A61BDE.4000301@uni-x.org> Message-ID: <20150715101402.GD23536@charite.de> * Alexander Dalloz : > Am 15.07.2015 um 09:32 schrieb Michael Koehler: > >Hallo, > > > >ich habe bei meinem Server folgendes Problem: Ich bekomme Emails an die > >Adresse wordpress at controlc.de gesendet - die Email-Adresse gibt es aber > >bei mir nicht. Ich bin der Meinung, dass auch nicht bekannte Empfänger > >abgelehnt werden. Hier erst einmal den Logeintrag: > > [ log content ] > > >Sollte Postfix nicht viel eher, also bereits vor amavis, die Mail > >bereits ablehnen? Und wie kann ich amavis dazu überreden einen > >Empfängercheck zu machen - immerhin stecken alle Empfänger in einer > >SQL-Datenbank?! Ich finde die Lösung dass erst dovecot die EMail abweist > >als unbefriedigend und ressourcenverschwendend. > > Du betreibstamavisd-new im Proxy Modus und nicht als after queue content > filter. Wenn die Mail den amavisd-new durchläuft, dann hat sie die Postfx > Restrictions noch gar nicht passiert. Das stimmt nicht. Die smptpd_*_restrictions laufen auch in proxy modus, vor amavis. > Dein reject_unlisted_recipient in dne smtpd_recipient_restrictions greift > nicht, weil der Nullsender vorher akzeptiert wird. Auf basis welcher Restriktion im postconf -n Output machst du diese Aussage? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From andre.peters at debinux.de Wed Jul 15 11:56:50 2015 From: andre.peters at debinux.de (=?windows-1252?Q?Andr=E9_Peters?=) Date: Wed, 15 Jul 2015 11:56:50 +0200 Subject: [Postfixbuch-users] Absender blockieren In-Reply-To: <548c3967192de6f71e7776dda7082cc3@neessen.net> References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <55A00CDA.8020101@uni-x.org> <55A62825.2080904@chemie.uni-hamburg.de> <548c3967192de6f71e7776dda7082cc3@neessen.net> Message-ID: <55A62E62.7060804@debinux.de> Ich denke auch, dass STARTTLS auf Port 25 annehmbar ist. Meiner Meinung nach ist die Verwendung des Ports 25 zum Einsenden von Mail, ein falsch angelerntes Relikt aus frühen Jahren des Internets. Wenn man das so schreiben kann. :-) Als Hoster würde ich es nicht vollständig sperren, wobei plain-text AUTH vielleicht nicht sein sollte. Aber denkt an die Kunden, die evtl. Multifunktionsgeräte etc. konfiguriert haben, die gerade so mit SMTP umgehen können. Solche Änderungen geben fast immer Krach. Lieber groß ankündigen. :-) Am 15.07.2015 um 11:52 schrieb Winfried Neessen: > Am 2015-07-15 11:30, schrieb Christian Schmidt: > >> On 14.07.2015 09:55, Online-WebService24 - Postfix wrote: >> >> Ich würde als Kunde schon wollen, dass mein Dienstleister mich davon >> abhält, weiterhin meine SMTP-Authentifizierungsdaten im Klartext ins >> Netz zu posaunen... >> > > Man kann auch auf Port 25 STARTTLS erlauben. Daher ist die Aussage > vielleicht > etwas zu allgemein gehalten. > > > Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5622 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p.heinlein at heinlein-support.de Wed Jul 15 12:26:20 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 15 Jul 2015 12:26:20 +0200 Subject: [Postfixbuch-users]: Change der Listen-Konfiguration Message-ID: <55A6354C.7010803@heinlein-support.de> Hallo, seit langer Zeit schon sollte man bei Mailinglisten keinen Subject-Prefix (also: "[Postfixbuch-users]") und keinen Message-Footer mti AUstragungslinks mehr einsetzen, weil das durch die Veränderung der Prüfsummen die DKIM-Signatur zerstört. Soweit, so bekannt; andererseits haben viele User aufbauend auf den Subject-Prefix auch alle möglichen Filterregeln definiert. Ich habe es Andreas Schulze schon seit Ewigkeiten versprochen hier das Procedere bei den Postfix-/Dovecot-Buch-Mailinglisten anzupassen und DKIM-konform zu machen. Aber ich wollte das immer nicht übers Knie brechen um Leuten die Gelegenheit zu geben, vorher noch ihre Filterregeln anzupassen. Und wie's dann immer so ist, wenn viel zu tun ist: Alles, was nicht "muß" fällt irgendwann hinten runter und schwupp sind (wirklich) zwei Jahre um. Und jedes mal wieder sagt man sich: Es sind nur 5 Minuten Arbeit, man müßte mal. Den Schuh muß ich mir anziehen. :-) Also: Da ich da eh gerade für andere Mailinglisten dran war und es sonst nie was wird pfeife ich auf eine Übergangszeit und habe ich es jetzt auch für die Postfix-/Dovecot-Liste durchgezogen. Ab sofort gibt's keinen Subject-Prefix und keinen Footer mehr, damit Andreas sorgendfrei in seinen Sommer starten kann und ich ebenso einen der ältesten Punkte auf meiner Todo-Liste gestrichen kriege. Bitte paßt ggf. Eure Procmail-/Sieve-Filterregeln an. Jetzt steht [Postfixbuch-users] noch einmal händisch (von mir) im Betreff, die nächsten Mails werden das nicht mehr haben. Bitte filtert stattdessen auf den Mail-Header List-Id: und den Eintrag postfixbuch-users.listen.jpberlin.de bzw. dovecot.listen.jpberlin.de Schönen Gruß Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From postfix at online-webservice24.de Wed Jul 15 12:30:41 2015 From: postfix at online-webservice24.de (Online-WebService24 - Postfix) Date: Wed, 15 Jul 2015 12:30:41 +0200 Subject: WG: [Postfixbuch-users] Absender blockieren In-Reply-To: References: <2e82039a15854125fae9fce955b9bed5@neessen.net> <559E2DC1.7030700@fuerstenberg.ws> <559FADE9.1080106@fuerstenberg.ws> <55A00CDA.8020101@uni-x.org> <55A62825.2080904@chemie.uni-hamburg.de> <548c3967192de6f71e7776dda7082cc3@neessen.net> Message-ID: Also ich habe grundsätzlich einen Fehler ... JEDER den möchte kann sich via sub port auch verschlüsselt anmalden, per pop und smtp und imap ... Also ist mit gültigen Serverzertifikaten eingerichtet ... Wer es nicht will, darf weiter ohne alles die standartports nutzen ... Mit freundlichen Grüßen R. Wilhelm -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Mittwoch, 15. Juli 2015 11:52 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Re: [Postfixbuch-users] Absender blockieren Am 2015-07-15 11:30, schrieb Christian Schmidt: > On 14.07.2015 09:55, Online-WebService24 - Postfix wrote: > > Ich würde als Kunde schon wollen, dass mein Dienstleister mich davon > abhält, weiterhin meine SMTP-Authentifizierungsdaten im Klartext ins > Netz zu posaunen... > Man kann auch auf Port 25 STARTTLS erlauben. Daher ist die Aussage vielleicht etwas zu allgemein gehalten. Winni -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From andreas.schulze at datev.de Wed Jul 15 12:57:32 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 15 Jul 2015 12:57:32 +0200 Subject: Danke: Change der Listen-Konfiguration In-Reply-To: <55A6354C.7010803@heinlein-support.de> References: <55A6354C.7010803@heinlein-support.de> Message-ID: <20150715105732.GA27216@spider.services.datevnet.de> Am 15.07.2015 12:26 schrieb Peer Heinlein: > Ab sofort gibt's keinen Subject-Prefix und keinen Footer mehr, > damit Andreas sorgendfrei in seinen Sommer starten kann Hallo Peer, erstmal ein großes Dankeschön! Es ist aber nicht so, dass ich mir Deine Änderung aus der Luft herwünsche. Wir kommen damit der Lösung eines generelles Problem näher: Email Authentisierung. Es gibt auf den ML Anwender, die Yahoo, AOL oder GMail nutzen. Alle 3 Domains sind leidvoll von Phising geplagt. Es gibt tonneweise Mails mit From Headern der betreffenden Domains, die jedoch von irgendeiner SpamEngine verschickt wurden. Wie unterscheidet man diese von regulären Mails? Klassiche Methoden wie RBL-Listen und Inhaltsfilterung halfen offensichtlich nicht wirklich. Der Ansatz der Wahl heist heute DMARC¹). Eine Mail gilt als authentisch, wenn der RFC5322.From per SPF oder DKIM validiert wird. ( wichtig: "oder", es ist kein "und" ) Damit lässt sich ein gigantisch großer Teil des weltweiten Mailvolumens beschreiben. ( leider nicht alles, auch DMARC ist nicht zu 100% perfekt. ) ABER: ein Yahoo-Versender, der an diese ML schreibt, ist weiterhin durch die intakte DKIM-Signatur erkennbar, weil der Listserver den Inhalt nicht angefasst hat. Daduch gibt es keinen Stress, wenn ein MX der DMARC-Policy von Yahoo folgt und Nachrichten, die den DMARC-Test nicht bestehen, Rejected. Ja, es gibt noch Unschärfen bei DMARC. Ja, es gibt außer Gmail, Yahoo und AOL extrem wenig MX-Server, die DMARC validieren und die Policy anwenden. Ja, auch weiterhin wird Nachrichten über diese Liste geben, deren DKIM-Signatur kaputtgemacht wird. Aber der Schritt in diese Richtung ist keinesfalls falsch. Grundregel: ein MTA hat am Inhalt einer Nachricht nichts ändern. Der Postbote korrigiert ja auch keine Schreibfehler auf der Urlaubs-Postkarte! Das gilt für Mailing-Listen und Forwarder. In diesem Sinne: Danke & allen einen schönen Sommer :-) ¹) https://dmarc.org -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From gregor at aeppelbroe.de Wed Jul 15 13:33:14 2015 From: gregor at aeppelbroe.de (Gregor Burck) Date: Wed, 15 Jul 2015 13:33:14 +0200 Subject: Danke: Change der Listen-Konfiguration In-Reply-To: <55A6354C.7010803@heinlein-support.de> References: <55A6354C.7010803@heinlein-support.de> Message-ID: <20150715133314.EGroupware.Fl8jIi7AyDYeVXpqwK5SACQ@heim.aeppelbroe.de> Moin, > Am 15.07.2015 12:26 schrieb Peer Heinlein: >> Ab sofort gibt's keinen Subject-Prefix und keinen Footer mehr, >> damit Andreas sorgendfrei in seinen Sommer starten kann Shit, darüber habe ich meinen sieve Filter arbeiten lassen :-0 Dann nehme ich die Zieladresse für meinen Filter,... Grüße Gregor From listen at kielgas.org Wed Jul 15 13:36:04 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 15 Jul 2015 13:36:04 +0200 (CEST) Subject: Danke: Change der Listen-Konfiguration In-Reply-To: <20150715133314.EGroupware.Fl8jIi7AyDYeVXpqwK5SACQ@heim.aeppelbroe.de> References: <55A6354C.7010803@heinlein-support.de> <20150715133314.EGroupware.Fl8jIi7AyDYeVXpqwK5SACQ@heim.aeppelbroe.de> Message-ID: <1245695431.233.1436960165051.open-xchange@kielgas.org> > Gregor Burck hat am 15. Juli 2015 um 13:33 geschrieben: > > Moin, > > > Am 15.07.2015 12:26 schrieb Peer Heinlein: > >> Ab sofort gibt's keinen Subject-Prefix und keinen Footer mehr, > >> damit Andreas sorgendfrei in seinen Sommer starten kann > Shit, darüber habe ich meinen sieve Filter arbeiten lassen :-0 > > Dann nehme ich die Zieladresse für meinen Filter,... oder, wie Peer das beschrieben hat: List-Id: und den Eintrag postfixbuch-users.listen.jpberlin.de > > Grüße > > Gregor > > > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From listen at kielgas.org Wed Jul 15 13:51:51 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 15 Jul 2015 13:51:51 +0200 (CEST) Subject: Danke: Change der Listen-Konfiguration In-Reply-To: <1245695431.233.1436960165051.open-xchange@kielgas.org> References: <55A6354C.7010803@heinlein-support.de> <20150715133314.EGroupware.Fl8jIi7AyDYeVXpqwK5SACQ@heim.aeppelbroe.de> <1245695431.233.1436960165051.open-xchange@kielgas.org> Message-ID: <1129834543.237.1436961111284.open-xchange@kielgas.org> > Uwe Kielgas hat am 15. Juli 2015 um 13:36 geschrieben: > > Gregor Burck hat am 15. Juli 2015 um 13:33 > > geschrieben: > > > > Moin, > > > > > Am 15.07.2015 12:26 schrieb Peer Heinlein: > > >> Ab sofort gibt's keinen Subject-Prefix und keinen Footer mehr, > > >> damit Andreas sorgendfrei in seinen Sommer starten kann > > Shit, darüber habe ich meinen sieve Filter arbeiten lassen :-0 > > > > Dann nehme ich die Zieladresse für meinen Filter,... > > oder, wie Peer das beschrieben hat: > > List-Id: > > und den Eintrag > > postfixbuch-users.listen.jpberlin.de > ... wobei..., das ja Wurscht ist, da identisch. > > > > Grüße > > > > Gregor > > > > > > > > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Wed Jul 15 14:00:51 2015 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 15 Jul 2015 14:00:51 +0200 Subject: [Postfixbuch-users] Bounce =?utf-8?Q?s?= =?utf-8?Q?tatt_Reject_bei_nicht_vorhandenem_Empf=C3=A4nger?= In-Reply-To: <55A60C7E.4060202@makomi.de> References: <55A60C7E.4060202@makomi.de> Message-ID: <20150715120051.GG23536@charite.de> * Michael Koehler : > Hallo, > > ich habe bei meinem Server folgendes Problem: Ich bekomme Emails an die > Adresse wordpress at controlc.de gesendet - die Email-Adresse gibt es aber bei > mir nicht. Ich bin der Meinung, dass auch nicht bekannte Empfänger abgelehnt > werden. Hier erst einmal den Logeintrag: ... > recipient=wordpress at controlc.de ... > virtual_alias_domains = mysql:/etc/postfix/maps/sql-domain-aliases.cf > virtual_alias_maps = mysql:/etc/postfix/maps/sql-mailboxes-self-aliases.cf, > mysql:/etc/postfix/maps/sql-aliases.cf, > mysql:/etc/postfix/maps/sql-domain-aliases-mailboxes.cf, > mysql:/etc/postfix/maps/sql-catchall-aliases.cf > virtual_mailbox_domains = mysql:/etc/postfix/maps/sql-domains.cf Zuerst ist zu prüfen: Wo ist "controlc.de" drin? virtual_alias_domains? virtual_mailbox_domains? Teste mit: postmap -q controlc.de mysql:/etc/postfix/maps/sql-domain-aliases.cf und: postmap -q controlc.de mysql:/etc/postfix/maps/sql-domains.cf -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfixbuch-users at makomi.de Wed Jul 15 15:08:09 2015 From: postfixbuch-users at makomi.de (M. Koehler) Date: Wed, 15 Jul 2015 15:08:09 +0200 Subject: =?utf-8?Q?Re=3A_=5BPostfixbuch-users=5D_Bounce_statt_Reject_bei_?= =?utf-8?Q?nicht_vorhandenem_Empf=C3=A4nger?= In-Reply-To: <20150715120051.GG23536@charite.de> References: <55A60C7E.4060202@makomi.de> <20150715120051.GG23536@charite.de> Message-ID: <2A3A2CEC-DFD7-449B-8054-EFD0F9918DED@makomi.de> Hallo Ralf, > Am 15.07.2015 um 14:00 schrieb Ralf Hildebrandt : > >> virtual_alias_domains = mysql:/etc/postfix/maps/sql-domain-aliases.cf >> virtual_alias_maps = mysql:/etc/postfix/maps/sql-mailboxes-self-aliases.cf, >> mysql:/etc/postfix/maps/sql-aliases.cf, >> mysql:/etc/postfix/maps/sql-domain-aliases-mailboxes.cf, >> mysql:/etc/postfix/maps/sql-catchall-aliases.cf >> virtual_mailbox_domains = mysql:/etc/postfix/maps/sql-domains.cf > > Zuerst ist zu prüfen: Wo ist "controlc.de" drin? > virtual_alias_domains? > virtual_mailbox_domains? > > Teste mit: > postmap -q controlc.de mysql:/etc/postfix/maps/sql-domain-aliases.cf > > und: > postmap -q controlc.de mysql:/etc/postfix/maps/sql-domains.cf Die Domain ?controlc.de? ist in letzterem drin. Viele Grüße, Michael From Ralf.Hildebrandt at charite.de Wed Jul 15 15:40:49 2015 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 15 Jul 2015 15:40:49 +0200 Subject: [Postfixbuch-users] Bounce =?utf-8?Q?s?= =?utf-8?Q?tatt_Reject_bei_nicht_vorhandenem_Empf=C3=A4nger?= In-Reply-To: <2A3A2CEC-DFD7-449B-8054-EFD0F9918DED@makomi.de> References: <55A60C7E.4060202@makomi.de> <20150715120051.GG23536@charite.de> <2A3A2CEC-DFD7-449B-8054-EFD0F9918DED@makomi.de> Message-ID: <20150715134049.GO23536@charite.de> * M. Koehler : > > Teste mit: > > postmap -q controlc.de mysql:/etc/postfix/maps/sql-domain-aliases.cf > > > > und: > > postmap -q controlc.de mysql:/etc/postfix/maps/sql-domains.cf > > Die Domain ?controlc.de? ist in letzterem drin. Und warum hast du kein "virtual_mailbox_maps"? Optional lookup tables with all valid addresses in the domains that match $virtual_mailbox_domains. :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfixbuch-users at makomi.de Wed Jul 15 21:12:20 2015 From: postfixbuch-users at makomi.de (M. Koehler) Date: Wed, 15 Jul 2015 21:12:20 +0200 Subject: =?utf-8?Q?Re=3A_=5BPostfixbuch-users=5D_Bounce_statt_Reject_bei_?= =?utf-8?Q?nicht_vorhandenem_Empf=C3=A4nger?= In-Reply-To: <20150715134049.GO23536@charite.de> References: <55A60C7E.4060202@makomi.de> <20150715120051.GG23536@charite.de> <2A3A2CEC-DFD7-449B-8054-EFD0F9918DED@makomi.de> <20150715134049.GO23536@charite.de> Message-ID: <6EFBB5C8-F29A-4B9A-B788-1D7374075FB4@makomi.de> Hallo Ralf, > Am 15.07.2015 um 15:40 schrieb Ralf Hildebrandt : > >>> Teste mit: >>> postmap -q controlc.de mysql:/etc/postfix/maps/sql-domain-aliases.cf >>> >>> und: >>> postmap -q controlc.de mysql:/etc/postfix/maps/sql-domains.cf >> >> Die Domain ?controlc.de? ist in letzterem drin. > > Und warum hast du kein "virtual_mailbox_maps"? > > Optional lookup tables with all valid addresses in the domains that > match $virtual_mailbox_domains. > > :) Vielen Dank für den Hinweis - warum kann ich Dir in der Tat nicht wirklich beantworten. Oder vielleicht doch: Ich setze seit kurzem Modoboa ein und habe den virtual_*-Teil unreflektiert übernommen! Sollte man eben nicht machen ... Viele Grüße, Michael From gregor at aeppelbroe.de Wed Jul 15 23:05:15 2015 From: gregor at aeppelbroe.de (Gregor Burck) Date: Wed, 15 Jul 2015 23:05:15 +0200 Subject: Frage zu konfiguration von mailinglisten Message-ID: <4666909.sVD16l99cf@sojus> Moin, ich bin noch mit auf der mailingliste von glusterfs. Dort wird der header von 'Reply-To' nicht durch die Listen Adresse ersetzt. Dadurch werden Antworten von meinen Mailprogrammen (Kontact/Kmail, egrououpware) an den ursprünglichen Absender geschickt. Ist das ein Fehlverhalten der Mailprogramme oder sollte bei einer mailingliste der Reply-To immer ersetzt werden? Grüße Gregor From gregor at aeppelbroe.de Wed Jul 15 23:07:18 2015 From: gregor at aeppelbroe.de (Gregor Burck) Date: Wed, 15 Jul 2015 23:07:18 +0200 Subject: Danke: Change der Listen-Konfiguration In-Reply-To: <1245695431.233.1436960165051.open-xchange@kielgas.org> References: <55A6354C.7010803@heinlein-support.de> <20150715133314.EGroupware.Fl8jIi7AyDYeVXpqwK5SACQ@heim.aeppelbroe.de> <1245695431.233.1436960165051.open-xchange@kielgas.org> Message-ID: <6183800.GUgeeCzHVt@sojus> Moin, > oder, wie Peer das beschrieben hat: Den Thread habe ich durch den fehlenden Filter nicht gesehen. Ich habe direkt auf die ungefilterte Mail genatwortet,... Erst später viel mir die Mail von peer auf. Grüßle Gregor From wn at neessen.net Wed Jul 15 23:13:12 2015 From: wn at neessen.net (Winfried Neessen) Date: Wed, 15 Jul 2015 23:13:12 +0200 Subject: Frage zu konfiguration von mailinglisten In-Reply-To: <4666909.sVD16l99cf@sojus> References: <4666909.sVD16l99cf@sojus> Message-ID: Hi, Am 2015-07-15 23:05, schrieb Gregor Burck: > ich bin noch mit auf der mailingliste von glusterfs. > Dort wird der header von 'Reply-To' nicht durch die Listen Adresse > ersetzt. > Das muss ein Fehler in Deinem Mail-Client sein. Alle relevanten ML-Header werden gesetzt: X-BeenThere: postfixbuch-users at listen.jpberlin.de X-Mailman-Version: 2.1.17 Precedence: list Reply-To: Diskussionen und Support rund um Postfix List-Id: Diskussionen und Support rund um Postfix List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Errors-To: postfixbuch-users-bounces at listen.jpberlin.de Sender: "Postfixbuch-users" Winni From j_adam at web.de Wed Jul 15 23:32:50 2015 From: j_adam at web.de (Jens Adam) Date: Wed, 15 Jul 2015 23:32:50 +0200 Subject: Frage zu konfiguration von mailinglisten In-Reply-To: <4666909.sVD16l99cf@sojus> References: <4666909.sVD16l99cf@sojus> Message-ID: <20150715233250.0b435574@titan.byte.cx> Wed, 15 Jul 2015 23:05:15 +0200 Gregor Burck : > Ist das ein Fehlverhalten der Mailprogramme oder sollte bei einer > mailingliste der Reply-To immer ersetzt werden? http://woozle.org/~neale/papers/reply-to-still-harmful.html Das ist jedenfalls wohl Konsens unter den Mailman-Entwicklern. Ansonsten kann mittlerweile jedes relevante Mailprogramm mit "List-Post"-Headern umgehen und kennt außer "Antworten" und "Allen antworten" auch "Antwort an Liste", Kmail und Claws auf alle Fälle. Gruß, Jens -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From max.grobecker at ml.grobecker.info Thu Jul 16 00:08:23 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Thu, 16 Jul 2015 00:08:23 +0200 Subject: [Postfixbuch-users]: Change der Listen-Konfiguration In-Reply-To: <55A6354C.7010803@heinlein-support.de> References: <55A6354C.7010803@heinlein-support.de> Message-ID: <55A6D9D7.4050508@ml.grobecker.info> Hallo, mal ganz dumm gefragt: Reicht das denn wirklich aus, Betreff und Inhalt unverändert zu lassen? Ich meine mich dunkel daran zu erinnern, dass Mailman auch teilweise manch anderen Header (z.B. Reply-To oder MIME-Version) anfasst, die teilweise von der Signatur mit eingeschlossen werden. Oder sind aktuellere Mailman-Versionen klug genug, das einfach nicht zu machen? Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From p at sys4.de Thu Jul 16 07:15:55 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 16 Jul 2015 07:15:55 +0200 Subject: [Postfixbuch-users]: Change der Listen-Konfiguration In-Reply-To: <55A6D9D7.4050508@ml.grobecker.info> References: <55A6354C.7010803@heinlein-support.de> <55A6D9D7.4050508@ml.grobecker.info> Message-ID: <20150716051555.GD10141@sys4.de> * Max Grobecker : > Hallo, > > mal ganz dumm gefragt: > Reicht das denn wirklich aus, Betreff und Inhalt unverändert zu lassen? > Ich meine mich dunkel daran zu erinnern, dass Mailman auch teilweise manch anderen Header > (z.B. Reply-To oder MIME-Version) anfasst, die teilweise von der Signatur mit eingeschlossen werden. > > Oder sind aktuellere Mailman-Versionen klug genug, das einfach nicht zu machen? Die Klugheit muss in diesem Fall auf Seite des Postmasters liegen. Er muss mit Bedacht auswählen, welche Header er in die DKIM-Signatur einbezieht und welche er bewußt aussen vor läßt. Zu denen gehören dann eben auch der Reply-To-Header. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From w.flamme at web.de Thu Jul 16 07:52:35 2015 From: w.flamme at web.de (Werner Flamme) Date: Thu, 16 Jul 2015 07:52:35 +0200 Subject: Danke: Change der Listen-Konfiguration In-Reply-To: <1245695431.233.1436960165051.open-xchange@kielgas.org> References: <55A6354C.7010803@heinlein-support.de> <20150715133314.EGroupware.Fl8jIi7AyDYeVXpqwK5SACQ@heim.aeppelbroe.de> <1245695431.233.1436960165051.open-xchange@kielgas.org> Message-ID: <55A746A3.3090608@web.de> Uwe Kielgas [15.07.2015 13:36]: >> Gregor Burck hat am 15. Juli 2015 um 13:33 geschrieben: >> >> Moin, >> >>> Am 15.07.2015 12:26 schrieb Peer Heinlein: >>>> Ab sofort gibt's keinen Subject-Prefix und keinen Footer mehr, >>>> damit Andreas sorgendfrei in seinen Sommer starten kann >> Shit, darüber habe ich meinen sieve Filter arbeiten lassen :-0 >> >> Dann nehme ich die Zieladresse für meinen Filter,... > > oder, wie Peer das beschrieben hat: > > List-Id: > > und den Eintrag > > postfixbuch-users.listen.jpberlin.de Das kann ich zu Hause machen, aber meine Listen-Mails gehen an web.de, und die erlauben keine Filterung nach diesem Header-Feld. Da gibt es nur eine feste Auswahl. Also habe auch ich nach "Empfänger" gefiltert, und hoffe, dass damit auch To: und CC:/BCC: abgefangen werden. saacht Werner -- From Ralf.Hildebrandt at charite.de Thu Jul 16 10:27:51 2015 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 16 Jul 2015 10:27:51 +0200 Subject: [Postfixbuch-users] Bounce =?utf-8?Q?s?= =?utf-8?Q?tatt_Reject_bei_nicht_vorhandenem_Empf=C3=A4nger?= In-Reply-To: <6EFBB5C8-F29A-4B9A-B788-1D7374075FB4@makomi.de> References: <55A60C7E.4060202@makomi.de> <20150715120051.GG23536@charite.de> <2A3A2CEC-DFD7-449B-8054-EFD0F9918DED@makomi.de> <20150715134049.GO23536@charite.de> <6EFBB5C8-F29A-4B9A-B788-1D7374075FB4@makomi.de> Message-ID: <20150716082747.GA1644@charite.de> * M. Koehler : > Hallo Ralf, > > > Am 15.07.2015 um 15:40 schrieb Ralf Hildebrandt : > > > >>> Teste mit: > >>> postmap -q controlc.de mysql:/etc/postfix/maps/sql-domain-aliases.cf > >>> > >>> und: > >>> postmap -q controlc.de mysql:/etc/postfix/maps/sql-domains.cf > >> > >> Die Domain ?controlc.de? ist in letzterem drin. > > > > Und warum hast du kein "virtual_mailbox_maps"? > > > > Optional lookup tables with all valid addresses in the domains that > > match $virtual_mailbox_domains. > > > > :) > > Vielen Dank für den Hinweis - warum kann ich Dir in der Tat nicht wirklich beantworten. Oder vielleicht doch: Ich setze seit kurzem Modoboa ein und habe den virtual_*-Teil unreflektiert übernommen! Sollte man eben nicht machen ... Der virtual_* teil ist sicher auch notwendig (Aliase!) aber das aktuelle Setup nimmt ALLES an die ?controlc.de? Domain an. Erst wenn Du über eine SQL abfrage virtual_mailbox_maps drinhast wirst du mail an unbekannte Empfänger abweisen. Sollte aber recht einfach sein ... (soft_bounce = yes) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From gregor at aeppelbroe.de Thu Jul 16 11:33:30 2015 From: gregor at aeppelbroe.de (Gregor Burck) Date: Thu, 16 Jul 2015 11:33:30 +0200 Subject: Frage zu konfiguration von mailinglisten In-Reply-To: <4666909.sVD16l99cf@sojus> References: <4666909.sVD16l99cf@sojus> Message-ID: <20150716113330.EGroupware.9HgEc0eJYIoCM_c3_XLefa1@heim.aeppelbroe.de> > Das muss ein Fehler in Deinem Mail-Client sein. Alle relevanten ML-Header > werden gesetzt: Ich meinte nicht die postfix Liste, hier klappt alles ;-) Bin halt noch auf X Mailinglisten, bloß bei der Liste von glusterfs klappt es nicht,... From mailingliste-postfixbuch+spamtrap at pothe.de Thu Jul 16 16:42:00 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Thu, 16 Jul 2015 16:42:00 +0200 Subject: Frage zu konfiguration von mailinglisten In-Reply-To: <20150715233250.0b435574@titan.byte.cx> References: <4666909.sVD16l99cf@sojus> <20150715233250.0b435574@titan.byte.cx> Message-ID: <55A7C2B8.4000208@pothe.de> Am 15.07.2015 um 23:32 schrieb Jens Adam: > Ansonsten kann mittlerweile jedes relevante Mailprogramm mit > "List-Post"-Headern umgehen und kennt außer "Antworten" und "Allen > antworten" auch "Antwort an Liste", Kmail und Claws auf alle Fälle. > Gruß, Jens Thunderbird kann es auch. Wo ich mir nicht sicher wäre, ob es Outlook kann. Das ist gerade in Unternehmen sehr stark verbreitet und deswegen nutze ich es beruflich auch, aber dort beziehe ich keine Mailinglisten, weswegen ich es nicht nachprüfen kann :-) Beste Grüße Andreas From debian at slashproc.org Thu Jul 16 17:33:56 2015 From: debian at slashproc.org (Manfred Schmitt) Date: Thu, 16 Jul 2015 17:33:56 +0200 Subject: Frage zu konfiguration von mailinglisten In-Reply-To: <4666909.sVD16l99cf@sojus> References: <4666909.sVD16l99cf@sojus> Message-ID: <20150716173356.578b31b0.debian@slashproc.org> Gregor Burck schrieb: > > ich bin noch mit auf der mailingliste von glusterfs. > Dort wird der header von 'Reply-To' nicht durch die Listen Adresse ersetzt. > > Dadurch werden Antworten von meinen Mailprogrammen (Kontact/Kmail, > egrououpware) an den ursprünglichen Absender geschickt. > > Ist das ein Fehlverhalten der Mailprogramme oder sollte bei einer mailingliste > der Reply-To immer ersetzt werden? > Reply-To will man eigentlich nicht auf die Listenadresse setzen weil dann zu viele Auto-Responder-Emails an die Mailinglisten-Adresse geschickt werden. Ob es heutzutage nicht mehr so viele kaputte Auto-Responder gibt oder viele Mailinglistenprogramme Auto-Responder nun ausfiltern weiss ich nicht. Ich vermute beides ist der Fall. Auf jeden Fall sehe ich Auto-Responder-Emails nur noch relativ selten in Mailinglisten (Was aber auch mit an der hauptsaechlich doch eher technischen Orientierung der Listen die ich lese liegen kann). Spontan faellt mir nur eine Liste ein auf der immer noch haeufig Auto-Responder-Emails aufschlagen: debian-security Und in debian-security landen die mails weil das Reply-To bei der moderierten Liste debian-security-announce eben auf debian-security gesetzt ist. Es gibt also immer noch kaputte Auto-Responder. Und zumindest die SmartList-Installation bei debian.org filtert die auch nicht oder nicht wirklich erfolgreich aus. In dieser Liste habe ich trotz auf die Liste gesetztem Reply-To noch gar keinen Auto-Responder gesehen, Mailman filtert die wohl? Und wech, Manne From Jogie at quantentunnel.de Fri Jul 17 09:28:02 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 17 Jul 2015 09:28:02 +0200 Subject: =?UTF-8?Q?Verschl=C3=BCsselte_vs=2E_unverschl=C3=BCsselte_?= =?UTF-8?Q?Verbindungen_via_mailgraph_auswerten?= Message-ID: Hallo Postfix Freunde,   im Blog von Pieer gibt es einen Artikel, wie SSLv2 und SSLv3 in Postfix deaktiviert werden kann. Unten dran ist ein interessanter, kritischer Kommentar zu dem Thema. Ich bin jetzt neugierig und würde gerne grafisch aufbereitet sehen, wieviele verschlüsselte Verbindungen es von und nach extern zu meinen Mailserver gibt und wieviel von den gesamten Verbindungen weiterhin nicht verschlüsselt sind und ob sich mit dem Deaktivieren von SSLv3 die Zahl ändert. Mailgraph ist in der Standardkonfiguration schon vorhanden. Ich habe hier schon öfter Posts gesehen, wo Greylisting und andere Werte nachkonfiguriert werden konnten.   Gibt es so ein Konfigurationsbeispiel evtl. auch schon für Verbindungen (verschlüsselt / unverschlüsselt)?   Danke & Gruß Jörg From django at nausch.org Fri Jul 17 16:13:47 2015 From: django at nausch.org (Django) Date: Fri, 17 Jul 2015 16:13:47 +0200 Subject: =?UTF-8?B?VmVyc2NobMO8c3NlbHRlIHZzLiB1bnZlcnNjaGzDvHNzZWx0ZSA=?= =?UTF-8?B?VmVyYmluZHVuZ2VuIHZpYSBtYWlsZ3JhcGggYXVzd2VydGVu?= In-Reply-To: References: Message-ID: <55A90D9B.1070108@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI! Am 17.07.2015 um 09:28 schrieb "Jörg Sitek": > Gibt es so ein Konfigurationsbeispiel evtl. auch schon für > Verbindungen (verschlüsselt / unverschlüsselt)? Meinst Du sowas da: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_13 ;) ttyl Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJVqQ2bAAoJEAdOz2FQpr/t0k8P/2ywf2q+6NINKkRhXSECJylc 7/82bvG8fXQHxyM64JUWBnEDkw8fIffWxCfkBnWxYoVNRPzeNPU4aAWu4gzxz2HH HoFRhiwfU8HOQYdGGB3IlYhiH8MVPT0jsnO/6D7limijLEj9uBp+jzu8mD2QNAcr 02WTZlI0i0c2aXOAqlonB9Chjnvzgq6QC9f0a9GzCFx+VEVMZBwDdVmzVWQvkLR8 5Iec+K1POBgvohN0rA8WUbhoSjd8963XlN7N9kykKAMOqbW6Mb0GQE67zXdDBARy NkDTsqmwh1PXNbr/WQWK1zvCqkOSzDrxTwDmLaGTBPzQiubxvOIDa/JBYeAbj5zZ B88f7xcOnIPWRiNg05M/v4Y1OjtADD5JRRwV/MENVXflpz617bAz4RCrjOvJPY0G tYl422/wilK0IXaYFBtrLJwDHEyCoBEDnBB9QTg0XXiwe8CGOTjjf/7UlsWwFpOg vYx4cZNCK3U8fj2nngFJjpDx5c2ift+8wtB9CXjC6bXPR9YEDJ+FzBruap3ATeGa IG9EPI06nGTQIiBJvbaWqldwVwXZbVm+f6aN5jE43Lp3qPs0JdjXNSq1EUgdxvzE Wk9Th8fv3EM0/JrZIUblaQpvpf/zX9hLTkuSHBzAjr47+i/Hm81+iKNeWWd0UBsC WuXnZeOY8oSqWzZWWqpj =Du9H -----END PGP SIGNATURE----- From max.grobecker at ml.grobecker.info Sat Jul 18 13:39:36 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 18 Jul 2015 13:39:36 +0200 Subject: Frage zu konfiguration von mailinglisten In-Reply-To: <20150716173356.578b31b0.debian@slashproc.org> References: <4666909.sVD16l99cf@sojus> <20150716173356.578b31b0.debian@slashproc.org> Message-ID: <55AA3AF8.8000908@ml.grobecker.info> Moin, Am 16.07.2015 um 17:33 schrieb Manfred Schmitt: > Ob es heutzutage nicht mehr so viele kaputte Auto-Responder gibt oder > viele Mailinglistenprogramme Auto-Responder nun ausfiltern weiss ich > nicht. Ich vermute beides ist der Fall. Es gibt noch viele kaputte Auto-Responder :-( Die kaputtesten, die mir zumindest immer auffallen, sind die von Confixx (was dankenswerterweise nicht mehr vertrieben wird). Nicht nur, dass sie alles beantworten. Sie haben auch selbst keine Header, die diese Mails als Auto-Reply identifizieren. Dass die Dinger auch kein Antwort-Limit haben ist da nur noch schmückendes Beiwerk. > In dieser Liste habe ich trotz auf die Liste gesetztem Reply-To > noch gar keinen Auto-Responder gesehen, Mailman filtert die wohl? Es könnte einfach daran liegen, dass die meisten Mails von Autorespondern die ich so bekomme, einen leeren Return-Path haben und in der Regel auch nicht an den Reply-To sondern den From zurückadressiert werden. Mailman filtert Mails mit leerem Return-Path AFAIK sowieso aus, weil es ja auch Bounces oder Delay-Warnings sein könnten. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From max.grobecker at ml.grobecker.info Sun Jul 19 12:39:39 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 19 Jul 2015 12:39:39 +0200 Subject: [Postfixbuch-users]: Change der Listen-Konfiguration In-Reply-To: <20150716051555.GD10141@sys4.de> References: <55A6354C.7010803@heinlein-support.de> <55A6D9D7.4050508@ml.grobecker.info> <20150716051555.GD10141@sys4.de> Message-ID: <55AB7E6B.8070900@ml.grobecker.info> Hallo, ich habe gerade nochmal nachgesehen was mein Amavis so signiert: signed_header_fields => { 'subject' => 1, 'message-id' => 1, 'user-agent' => 0, 'received' => 0, 'content-transfer-encoding' => 0, 'from' => 2, 'to' => 2, 'date' => 2, 'mime-version' => 0, 'content-type' => 0, 'references' => 0, 'sender' => 0, 'reply-to' => 0, }, Damit müsste ich mit Mailinglisten arbeiten können, aber auch eine vernünftige Signatur haben - oder? Diese E-Mail hier ist absichtlich nicht DKIM-Signiert, weil ich mit der auch auf anderen Mailinglisten arbeite, die DKIM kaputtmachen und ich keine Lust auf die ständigen "Authentication failure" reports habe ;-) Viele Grüße aus dem Tal Max Am 16.07.2015 um 07:15 schrieb Patrick Ben Koetter: > * Max Grobecker : >> Hallo, >> >> mal ganz dumm gefragt: >> Reicht das denn wirklich aus, Betreff und Inhalt unverändert zu lassen? >> Ich meine mich dunkel daran zu erinnern, dass Mailman auch teilweise manch anderen Header >> (z.B. Reply-To oder MIME-Version) anfasst, die teilweise von der Signatur mit eingeschlossen werden. >> >> Oder sind aktuellere Mailman-Versionen klug genug, das einfach nicht zu machen? > > Die Klugheit muss in diesem Fall auf Seite des Postmasters liegen. Er muss mit > Bedacht auswählen, welche Header er in die DKIM-Signatur einbezieht und welche > er bewußt aussen vor läßt. Zu denen gehören dann eben auch der > Reply-To-Header. > > p at rick > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From p at sys4.de Sun Jul 19 19:43:31 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 19 Jul 2015 19:43:31 +0200 Subject: [Postfixbuch-users]: Change der Listen-Konfiguration In-Reply-To: <55AB7E6B.8070900@ml.grobecker.info> References: <55A6354C.7010803@heinlein-support.de> <55A6D9D7.4050508@ml.grobecker.info> <20150716051555.GD10141@sys4.de> <55AB7E6B.8070900@ml.grobecker.info> Message-ID: <20150719174331.GB21715@sys4.de> * Max Grobecker : > Hallo, > > ich habe gerade nochmal nachgesehen was mein Amavis so signiert: > > signed_header_fields => { > 'subject' => 1, > 'message-id' => 1, > 'user-agent' => 0, > 'received' => 0, > 'content-transfer-encoding' => 0, > 'from' => 2, > 'to' => 2, > 'date' => 2, > 'mime-version' => 0, > 'content-type' => 0, > 'references' => 0, > 'sender' => 0, > 'reply-to' => 0, > }, > > > > Damit müsste ich mit Mailinglisten arbeiten können, aber auch eine vernünftige Signatur haben - oder? Das sieht für mich "sauber" aus. Aus meiner Sicht eine gute Mischung aus muss- und kann, die aich in Mailinglisten stabil sein sollte. Wenn Du mehr nachlesen willst, kannst Du Dir https://tools.ietf.org/html/rfc6376#section-5.4.1 zu Gemüte führen. Der erste Absatz beschäftigt sich schon mit derselben Fragestellung wie wir hier: The purpose of the DKIM cryptographic algorithm is to affix an identifier to the message in a way that is both robust against normal transit-related changes and resistant to kinds of replay attacks. > Diese E-Mail hier ist absichtlich nicht DKIM-Signiert, weil ich mit der auch > auf anderen Mailinglisten arbeite, die DKIM kaputtmachen und ich keine Lust > auf die ständigen "Authentication failure" reports habe ;-) Ich signiere alles. Die Vorteile, die mit DKIM kommen, sind mir wichtiger als Nachteile z.B. das Zerhackstücken von Mailinglisten. Wer selbst seinen Mailman DKIM-konform konfigurieren möchte, kann sich in unserem Blog das Notwendige anlesen: https://sys4.de/de/blog/2013/08/11/dkim-konforme-mailinglisten/ p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From Jogie at quantentunnel.de Mon Jul 20 15:02:16 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Mon, 20 Jul 2015 15:02:16 +0200 Subject: =?UTF-8?Q?Aw=3A_Re=3A_Verschl=C3=BCsselte_vs=2E_unverschl=C3=BCsse?= =?UTF-8?Q?lte_Verbindungen_via_mailgraph_auswerten?= Message-ID: Hi Django, > Meinst Du sowas da: > https://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_13 > > ;) > ja, super. Genau... Klasse!!! Vielen Dank! Viele Grüße Jörg From Jogie at quantentunnel.de Tue Jul 21 11:24:18 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Tue, 21 Jul 2015 11:24:18 +0200 Subject: Postscreen und Greylisting? Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Tue Jul 21 11:32:39 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 21 Jul 2015 11:32:39 +0200 Subject: Postscreen und Greylisting? In-Reply-To: References: Message-ID: Hi Jörg, Am 2015-07-21 11:24, schrieb Jörg Sitek: > und dann sind ja da noch die von Peer beschriebenen Vorteile (die 5min > bis die Virenpattern aktuell sind, > bzw. die IP auf der Blacklist steht). > Ich kenne kein A/V Produkt, dass innerhalb von 5 Min. nach Virenausbruch einen Virus in ihre DB aufnimmt und diese dann auch noch global verteilt. A/V Software Hersteller sind immer viel zu spaet. M. E. sind Blacklist-basierte Systeme eh nicht mehr Zeitgemaess. Man laeuft immer einer bereits vorhandenen Gefahr hinterher. Die einzig aktuell brauchbare Loesung sind m. E. Whitelist Systeme (soweit praktikabel). Wenn nicht praktikabel wuerde ich statt auf A/V zu vertrauen lieber erstmal die "gefaehrlichsten" Attachments direkt blocken. Das hilft natuerlich nicht gegegen Drive-by Downloads, aber da hilft die A/V Software auch nicht wirklich (zumindest nich auf Seiten des Mailservers). > Dagegen steht, dass Greylisting die E-Mails zusätzlich verzögert und > dadurch hin und wieder > doch einige E-Mails durchaus mehrere Stunden benötigen. > Das war der Hauptgrund, weshalb wir vor 2-3 Jahren mit Greylisting aufgehoert haben. Die Zahl der durch Greylisting aufgehaltenen Mails, war taeglich im 1-stelligen Bereich, die Anfragen von Kunden, warum denn die Mail noch nicht angekommen sei, war da meist groesser. Winni From Django Tue Jul 21 12:05:58 2015 From: Django (Django) Date: Tue, 21 Jul 2015 12:05:58 +0200 Subject: Postscreen und Greylisting? In-Reply-To: References: Message-ID: <55AE1986.5080809@nausch.org> Griasdebou! Am 21.07.2015 um 11:24 schrieb "Jörg Sitek": > mich interessiert, ob ihr postscreen UND greylisting (bspw. postgrey) > einsetzt und warum, oder ob ihr nur eine der beiden Tools verwendet. Kurz und knapp: gussd Du hier => https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_3#fazit > Wie seht ihr das unter dem Gesichtspunkt, dass E-Mails möglichst schnell > ankommen sollen, aber auch möglichst wenig SPAM durchkommen sollte? Meine Aufgabe als Postmaster ist, dass gewünschte Kommunikation zu Stande kommt. Servus Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From zahlenmaler at t-online.de Tue Jul 21 12:07:24 2015 From: zahlenmaler at t-online.de (robert) Date: Tue, 21 Jul 2015 12:07:24 +0200 Subject: Postscreen und Greylisting? In-Reply-To: References: Message-ID: <55AE19DC.1060207@t-online.de> Hallo, ich setze nur auf postscreen, weil es postgrey mit erledigen kann. (Nicht genau so, aber bedingt ähnlich) Desweiteren fahre ich mit dem pregreet von postscreen ganz gut: Jul 21 07:06:39 mx01 postfix/postscreen[4574]: PREGREET 35 after 0.12 from [95.31.31.240]:51004: HELO 0894731129.static.corbina.ru\r\n grep PREGREET mail.log | wc -l 168608 (Nur heute von 0 Uhr beginnend) Wenn ich mir vorstelle dies hätte durch meine Mailfilter gemusst. :-) Das mit den mehreren Stunden habe ich auch schon beobachtet, allerdings nur von Google, weil die sich zwischen zwei Zustellversuchen gerne mal 2 Stunden zeit lassen, dafür können wir aber nichts das dann leider Google's Fehler. Das liegt aber nicht am Greylisting das dies mehrere Stunden dauert. Die Ablehnung erfolgt ja nur mit 4xx, also "kann gerade nicht - versuchs gleich nochmal", wenn da irgendwo definiert ist "gleich=2Stunden" Tja dann ist das halt so. In meinen Augen ist dies dann ein Zusteller Problem, der hat ja nachweislich die Mail noch nirgendwo hin verschickt. Sich damit mit Kunden Auseinander zu setzen, ist immer zeitaufwendig und manchmal nervig. Muss man dann für sich entscheiden ob man das will oder nicht. Gruß Robert Am 21.07.2015 um 11:24 schrieb "Jörg Sitek": > Hallo, > mich interessiert, ob ihr postscreen UND greylisting (bspw. postgrey) > einsetzt und warum, oder ob ihr nur eine der beiden Tools verwendet. Ist > es ein Vorteil beide Tools zu verwenden? Ich sehe, dass trotz aktivem > Postscreen das Greylisting weiterhin einige E-Mails Greylisting nicht > überleben und dann sind ja da noch die von Peer beschriebenen Vorteile > (die 5min bis die Virenpattern aktuell sind, bzw. die IP auf der > Blacklist steht). Dagegen steht, dass Greylisting die E-Mails zusätzlich > verzögert und dadurch hin und wieder doch einige E-Mails durchaus > mehrere Stunden benötigen. > Wie seht ihr das unter dem Gesichtspunkt, dass E-Mails möglichst schnell > ankommen sollen, aber auch möglichst wenig SPAM durchkommen sollte? > Zuviel SPAM in den Mailboxen würde ja auch wieder die Produktivität > verschlechtern. > Viele Grüße > Jörg From driessen at fblan.de Tue Jul 21 12:14:56 2015 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 21 Jul 2015 12:14:56 +0200 Subject: AW: Postscreen und Greylisting? In-Reply-To: References: Message-ID: <002401d0c39e$18287ca0$487975e0$@fblan.de> Im Auftrag von "Jörg Sitek" > > mich interessiert, ob ihr postscreen UND greylisting (bspw. postgrey) einsetzt Sowohl als auch Greylisting allerdings selektiv > und warum, oder ob ihr nur eine der beiden Tools verwendet. Ist es ein Vorteil > beide Tools zu verwenden? Ich sehe, dass trotz aktivem Postscreen das > Greylisting weiterhin einige E-Mails Greylisting nicht überleben und dann sind > ja da noch die von Peer beschriebenen Vorteile (die 5min bis die Virenpattern > aktuell sind, bzw. die IP auf der Blacklist steht). Dagegen steht, dass Greylisting > die E-Mails zusätzlich verzögert und dadurch hin und wieder doch einige E- > Mails durchaus mehrere Stunden benötigen. NUR die erste Mail des Tripels alle weiteren gehen ohne Verzögerung durch sofern nicht nur alle 6 Monate eine Mail kommt und dann ist das einfach so da wartet auch keiner drauf wenn da nur mal eine Mail kommt Bei Nachfragen ist meine Antwort immer "wenn die Mail uns zur Zustellung übergeben wurde dann liefern wir die auch aus und dann ist dich auch in Sekunden im Postfach" Zusätzlich dürfen keinerlei ausführbare Dateien durch (exe, bat, com, ....) Wer sowas verschickt kann das auch als Download irgendwo bereitstellen. Es gibt so manche Blacklist die reagiert sehr schnell wenn eine bestimmte Mail von einem bestimmten Absender überproportional oft auf den beteiligten Systemen auftaucht. Das kann in wenigen Minuten gehen das da eine mailadresse, ein Mailserver auf der Liste landet. > > Wie seht ihr das unter dem Gesichtspunkt, dass E-Mails möglichst schnell > ankommen sollen, aber auch möglichst wenig SPAM durchkommen sollte? Spam wird durch eine Vielzahl von Prüfungen erkannt und aussortiert da ist postgrey nur einer von vielen Bausteinen Und ja es wirkt immer noch, gerade den großen gibt es zeit gehackte Mailkonten zu erkennen und zu sperren. > Zuviel SPAM in den Mailboxen würde ja auch wieder die Produktivität > verschlechtern. > > Viele Grüße > Jörg > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Jogie at quantentunnel.de Thu Jul 23 11:15:18 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Thu, 23 Jul 2015 11:15:18 +0200 Subject: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration Message-ID: Hallo zusammen, hat jemand schon openDMARC in einer AMaViS Proxy Filter Konfiguration laufen? Ich habe alles wie in den einschlägigen Anleitungen beschrieben Konfiguriert, aber im Log sehe ich immer nur openDKIM, aber nie openDMARC. DebugLevel ist auf 9 und eingerichtet sind beide als MILTER in der main.cf. # OpenDMARC and OpenDKIM Milter milter_default_action = accept milter_protocol = 6 smtpd_milters = inet:localhost:8891, inet:localhost:8893 non_smtpd_milters = inet:localhost:8891, inet:localhost:8893 Auf einer Webseite habe ich gelesen,dass openDMARC in einer AMaViS Proxy Konfiguration nicht funktioniert? Stimmt das, oder was habe ich übersehen? Mein Zweites Problem: Wie aktiviere ich die libspf2? Einfach nur den Parameter "SPFSelfValidate true" setzen und fertig? Danke & Gruß Jörg From Django Thu Jul 23 12:56:10 2015 From: Django (Django) Date: Thu, 23 Jul 2015 12:56:10 +0200 Subject: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration In-Reply-To: References: Message-ID: <55B0C84A.90508@nausch.org> HI, Am 23.07.2015 um 11:15 schrieb "Jörg Sitek": > hat jemand schon openDMARC in einer AMaViS Proxy Filter Konfiguration laufen? Jepp, ich nutze AMaViS als Proxy, d.h. die eMails werden noch während der Zustelung gecheckt. Realisiert hab ich das via AMaViS-Milter. > Ich habe alles wie in den einschlägigen Anleitungen beschrieben Konfiguriert, ... Einschlägig? Na was war's denn für eine Anleitung. Ich hoffe ja mal, nicht diese da, oder? OpenDKIM: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_9#besonderheit_-_dmarc OpenDMARC: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_12 > Auf einer Webseite habe ich gelesen,dass openDMARC in einer AMaViS Proxy Konfiguration nicht funktioniert? Woot? Also ich würde sagen, das funktioniert bei mir hier wunderbar, na, wenigstens so wie ich das beurteile. ;) Servus Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From driessen at fblan.de Thu Jul 23 13:21:33 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 23 Jul 2015 13:21:33 +0200 Subject: AW: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration In-Reply-To: References: Message-ID: <002001d0c539$bba86f10$32f94d30$@fblan.de> Im Auftrag von "Jörg Sitek" > hat jemand schon openDMARC in einer AMaViS Proxy Filter Konfiguration > laufen? Ich habe alles wie in den einschlägigen Anleitungen beschrieben > Konfiguriert, aber im Log sehe ich immer nur openDKIM, aber nie > openDMARC. DebugLevel ist auf 9 und eingerichtet sind beide als MILTER in > der main.cf. Ich hab das in der Master.cf drinne weil mehrere IP mit unterschiedlichen Aufgaben smtpd pass - - n - - smtpd ................ -o smtpd_milters=${opendkim},${smfs},${opendmarc},${amavis} ...:submission ..... .......... -o smtpd_milters=${amavis} ....:smtps .......... ............ -o smtpd_milters=${amavis} Dazu in der Main.cf die variablen amavis = inet:127.0.0.1:10024 smfs = inet:[::1]:30065 opendkim = inet:[::1]:8891 opendmarc = inet:[::1]:8893 > > # OpenDMARC and OpenDKIM Milter > milter_default_action = accept > milter_protocol = 6 > smtpd_milters = inet:localhost:8891, inet:localhost:8893 > non_smtpd_milters = inet:localhost:8891, inet:localhost:8893 > > Auf einer Webseite habe ich gelesen,dass openDMARC in einer AMaViS Proxy > Konfiguration nicht funktioniert? Stimmt das, oder was habe ich übersehen? Habe ich so laufen s.o. evtl. lieber in der Master.cf auf dem richtigen Port in der Reihenfolge setzen dann ist das nicht global > > Mein Zweites Problem: Wie aktiviere ich die libspf2? Einfach nur den > Parameter "SPFSelfValidate true" setzen und fertig? Installierte Pakete i libmail-spf-perl - Perl implementation of Sender Policy Frame i A libspf2-2 - library for validating mail senders with S i libspf2-dev - Header and development libraries for libsp > > Danke & Gruß > Jörg Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at ist-immer-online.de Fri Jul 24 07:56:16 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 24 Jul 2015 07:56:16 +0200 Subject: =?iso-8859-1?Q?Account_=F6fters_mal_reaktivieren?= Message-ID: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> Huhu, bekommt ihr auch ab und zu für diese Liste eine Info wegen Account reaktivieren? Ich habe innerhalb weniger Wochen schon 2-3 bekommen, obwohl ich Nachrichten lese, und der Mailserver keine ablehnt. Einzige was ich finde ist opendkim[24662]: 53A1D267EE002: bad signature data postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= postfix/smtpd[8306]: disconnect from ilpostino.jpberlin.de[213.203.238.6] Gruß Daniel From andreas.schulze at datev.de Fri Jul 24 08:18:10 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 24 Jul 2015 08:18:10 +0200 Subject: Account =?iso-8859-1?Q?=F6fter?= =?iso-8859-1?Q?s?= mal reaktivieren In-Reply-To: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> Message-ID: <20150724061809.GA20925@spider.services.datevnet.de> Am 24.07.2015 07:56 schrieb Daniel: > Ich habe innerhalb weniger Wochen schon 2-3 bekommen, obwohl ich Nachrichten lese, und der Mailserver keine ablehnt. > > Einzige was ich finde ist > opendkim[24662]: 53A1D267EE002: bad signature data > postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM Man solltest Mails nicht ablehnen, nur weil die DKIM-Signatur nicht passt. In deinem Fall sieht der Listserver Nachrichten an Dich bouncen und stellt die Auslieferung des Listentraffics an Dich ein :-/ -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From daniel at ist-immer-online.de Fri Jul 24 08:25:36 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 24 Jul 2015 08:25:36 +0200 Subject: =?utf-8?Q?Re:_Account_=C3=B6fters_mal_reaktivieren?= In-Reply-To: <20150724061809.GA20925@spider.services.datevnet.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> Message-ID: <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> Guten Morgen, wurde ja nicht abgelehnt, sondern zugestellt. Keine reject im Log, nur weil dkim nicht passt wird nicht unbedingt abgelehnt. Gruß Daniel > Am 24.07.2015 um 08:18 schrieb Andreas Schulze : > > Am 24.07.2015 07:56 schrieb Daniel: >> Ich habe innerhalb weniger Wochen schon 2-3 bekommen, obwohl ich Nachrichten lese, und der Mailserver keine ablehnt. >> >> Einzige was ich finde ist >> opendkim[24662]: 53A1D267EE002: bad signature data >> postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM > > Man solltest Mails nicht ablehnen, nur weil die DKIM-Signatur nicht passt. > > In deinem Fall sieht der Listserver Nachrichten an Dich bouncen und stellt die Auslieferung des Listentraffics > an Dich ein :-/ > > > -- > Andreas Schulze > Internetdienste | P252 > > DATEV eG > 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 > E-Mail info at datev.de | Internet www.datev.de > Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 > > Vorstand > Prof. Dieter Kempf (Vorsitzender) > Dr. Robert Mayr (stellv. Vorsitzender) > Eckhard Schwarzer (stellv. Vorsitzender) > Dr. Peter Krug > Jörg Rabe von Pappenheim > > Vorsitzender des Aufsichtsrates: Dirk Schmale > From andreas.schulze at datev.de Fri Jul 24 09:09:47 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 24 Jul 2015 09:09:47 +0200 Subject: Account =?UTF-8?B?w7ZmdGVycyBtYWwgcmVha3RpdmllcmVu?= In-Reply-To: <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> Message-ID: <55B1E4BB.4080105@datev.de> Am 24.07.2015 um 08:25 schrieb Daniel: >>> postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM > wurde ja nicht abgelehnt, sondern zugestellt. wenn bei mir "milter-reject" im Log steht, dann ist die Mail abgewiesen. mit 'nem 500er, ohne Diskussion... Andreas From Jogie at quantentunnel.de Fri Jul 24 10:51:52 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 24 Jul 2015 10:51:52 +0200 Subject: Aw: AW: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration Message-ID: Hallo Uwe, Hallo Django, >> hat jemand schon openDMARC in einer AMaViS Proxy Filter Konfiguration >> laufen? Ich habe alles wie in den einschlägigen Anleitungen beschrieben >> Konfiguriert, aber im Log sehe ich immer nur openDKIM, aber nie >> openDMARC. DebugLevel ist auf 9 und eingerichtet sind beide als MILTER in >> der main.cf. > > Ich hab das in der Master.cf drinne weil mehrere IP mit unterschiedlichen Aufgaben > > smtpd pass - - n - - smtpd > ................ > -o smtpd_milters=${opendkim},${smfs},${opendmarc},${amavis} > > > Dazu in der Main.cf die variablen > > amavis = inet:127.0.0.1:10024 > smfs = inet:[::1]:30065 > opendkim = inet:[::1]:8891 > opendmarc = inet:[::1]:8893 irgendwie klappt das bei mir nicht. Funktioniert diese smtpd_milter Variante erst ab einer bestimmten Postfix & AMaVis Version? Bei mir läuft Debian wheezy 7.8, postfix 2.11.2-1~bpo70+1 und amavisd-new 2.7.1-2. Ich erhalte nach Aktivierung folgende Fehlermeldung Jul 24 10:30:41 ctd-mail01 amavis[9942]: () process_request: fileno sock=9, STDIN=0, STDOUT=1 Jul 24 10:30:41 ctd-mail01 postfix/smtpd[9494]: warning: milter inet:localhost:10024: unexpected reply "[" in initial handshake Jul 24 10:30:41 ctd-mail01 postfix/smtpd[9494]: NOQUEUE: milter-reject: CONNECT from mail.XXX.com[1.2.3.4] 451 4.7.1 Service unavailable - try again later; proto=SMTP >> # OpenDMARC and OpenDKIM Milter >> milter_default_action = accept >> milter_protocol = 6 >> smtpd_milters = inet:localhost:8891, inet:localhost:8893 >> non_smtpd_milters = inet:localhost:8891, inet:localhost:8893 >> >> Auf einer Webseite habe ich gelesen,dass openDMARC in einer AMaViS Proxy >> Konfiguration nicht funktioniert? Stimmt das, oder was habe ich übersehen? > > Habe ich so laufen > s.o. > > evtl. lieber in der Master.cf auf dem richtigen Port in der Reihenfolge setzen > dann ist das nicht global >> >> Mein Zweites Problem: Wie aktiviere ich die libspf2? Einfach nur den >> Parameter "SPFSelfValidate true" setzen und fertig? > > Installierte Pakete > i libmail-spf-perl - Perl implementation of Sender Policy Frame > i A libspf2-2 - library for validating mail senders with S > i libspf2-dev - Header and development libraries for libsp Wie hast Du libmail-spf-perl eingerichtet? Also mit welchem Tool stellst du den milter "smfs" bereit? Danke für eure Hilfe. Viele Grüße Jörg From c.wally at cwrm.at Fri Jul 24 10:57:22 2015 From: c.wally at cwrm.at (Christian Wally) Date: Fri, 24 Jul 2015 10:57:22 +0200 Subject: Aw: AW: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration In-Reply-To: References: Message-ID: <55B1FDF2.6010800@cwrm.at> On 24.07.15 10:51, "Jörg Sitek" wrote: > irgendwie klappt das bei mir nicht. Funktioniert diese smtpd_milter Variante erst ab einer bestimmten Postfix & AMaVis Version? Bei mir läuft Debian wheezy 7.8, postfix 2.11.2-1~bpo70+1 und amavisd-new 2.7.1-2. > > Ich erhalte nach Aktivierung folgende Fehlermeldung > Jul 24 10:30:41 ctd-mail01 amavis[9942]: () process_request: fileno sock=9, STDIN=0, STDOUT=1 > Jul 24 10:30:41 ctd-mail01 postfix/smtpd[9494]: warning: milter inet:localhost:10024: unexpected reply "[" in initial handshake > Jul 24 10:30:41 ctd-mail01 postfix/smtpd[9494]: NOQUEUE: milter-reject: CONNECT from mail.XXX.com[1.2.3.4] 451 4.7.1 Service unavailable - try again later; proto=SMTP Mein tipp wäre dass du versuchst den amavisd-new smtpd als MILTER anzusprechen. Du musst aber amavisd-milter verwenden und den MILTERSOCKET ansprechen. ciao chris -- Christian Wally ZCE _______________ Christian Wally Risk Management Sturnengasse 9 6700 Bludenz +43-5552-20803 http://www.cwrm.at From driessen at fblan.de Fri Jul 24 12:35:49 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 24 Jul 2015 12:35:49 +0200 Subject: AW: AW: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration In-Reply-To: References: Message-ID: <004101d0c5fc$83f7f400$8be7dc00$@fblan.de> Im Auftrag von "Jörg Sitek" > > irgendwie klappt das bei mir nicht. Funktioniert diese smtpd_milter Variante > erst ab einer bestimmten Postfix & AMaVis Version? Bei mir läuft Debian > wheezy 7.8, postfix 2.11.2-1~bpo70+1 und amavisd-new 2.7.1-2. http://sourceforge.net/projects/amavisd-milter/ aktuell steht da die 1.6.1 dazu gibt es noch einen policybank.patch (musst du mal googlen) evtl. https://sources.gentoo.org/cgi-bin/viewvc.cgi/gentoo-x86/mail-filter/amavisd-milter/files/amavisd-milter-1.6.0-policybank.patch?view=markup aber bitte prüfen ob der auch passt bzw. noch benötigt wird patch mit "patch -p1 -i ../policybank.patch" einspielen dazu http://smfs.sourceforge.net/ runterladen patchen übersetzen installieren einrichten dazu hab ich noch folgende zusätzliche Paket installiert (da kann ich aber jetzt nicht mehr sagen ob die einfach nur so da sind oder wirklich noch benötigt werden i libmilter-dev - Sendmail Mail Filter API (Milter) i A libmilter1.0.1 - Sendmail Mail Filter API (Milter) i python-milter - Python extension for Sendmail Milter Proto i libmail-spf-perl - Perl implementation of Sender Policy Frame i A libspf2-2 - library for validating mail senders with S i libspf2-dev - Header and development libraries for libsp je nach BS brauchst du noch den automatischen Start /etc/init/amavisd-milter.conf ------------------------------------ # amavisd-milter - Interface between Milter and Amavisd-new description "amavisd-milter" start on filesystem stop on runlevel S respawn pre-start script chmod 750 /var/lib/amavis/tmp end script exec su -c "/usr/local/sbin/amavisd-milter -b -S /var/lib/amavis/amavisd.sock -d 0 -f -s inet:10024 at 127.0.0.1" amavis ---------------------------- > Wie hast Du libmail-spf-perl eingerichtet? Also mit welchem Tool stellst du den > milter "smfs" bereit? s.o. http://smfs.sourceforge.net/ > > Danke für eure Hilfe. > > Viele Grüße > Jörg Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Fri Jul 24 12:41:56 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 24 Jul 2015 12:41:56 +0200 Subject: AW: AW: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration In-Reply-To: <004101d0c5fc$83f7f400$8be7dc00$@fblan.de> References: <004101d0c5fc$83f7f400$8be7dc00$@fblan.de> Message-ID: <004201d0c5fd$5cd0a600$1671f200$@fblan.de> Der patch scheint in die Entwicklung ab 1.6.1 eingeflossen zu sein und nicht mehr notwendig zu sein Aber prüft das bitte selber Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From postfixbuch-users at makomi.de Fri Jul 24 13:16:06 2015 From: postfixbuch-users at makomi.de (Michael Koehler) Date: Fri, 24 Jul 2015 13:16:06 +0200 Subject: =?UTF-8?B?UmU6IFtQb3N0Zml4YnVjaC11c2Vyc10gQm91bmNlIHN0YXR0IFJlamU=?= =?UTF-8?B?Y3QgYmVpIG5pY2h0IHZvcmhhbmRlbmVtIEVtcGbDpG5nZXI=?= In-Reply-To: <20150716082747.GA1644@charite.de> References: <55A60C7E.4060202@makomi.de> <20150715120051.GG23536@charite.de> <2A3A2CEC-DFD7-449B-8054-EFD0F9918DED@makomi.de> <20150715134049.GO23536@charite.de> <6EFBB5C8-F29A-4B9A-B788-1D7374075FB4@makomi.de> <20150716082747.GA1644@charite.de> Message-ID: <55B21E76.6090607@makomi.de> Hallo Ralf, >>>>> Teste mit: >>>>> postmap -q controlc.de mysql:/etc/postfix/maps/sql-domain-aliases.cf >>>>> >>>>> und: >>>>> postmap -q controlc.de mysql:/etc/postfix/maps/sql-domains.cf >>>> Die Domain ?controlc.de? ist in letzterem drin. >>> Und warum hast du kein "virtual_mailbox_maps"? >>> >>> Optional lookup tables with all valid addresses in the domains that >>> match $virtual_mailbox_domains. >>> >>> :) >> Vielen Dank für den Hinweis - warum kann ich Dir in der Tat nicht wirklich beantworten. Oder vielleicht doch: Ich setze seit kurzem Modoboa ein und habe den virtual_*-Teil unreflektiert übernommen! Sollte man eben nicht machen ... > Der virtual_* teil ist sicher auch notwendig (Aliase!) aber das > aktuelle Setup nimmt ALLES an die ?controlc.de? Domain an. Erst wenn > Du über eine SQL abfrage virtual_mailbox_maps drinhast wirst du mail > an unbekannte Empfänger abweisen. > > Sollte aber recht einfach sein ... > (soft_bounce = yes) Danke - das habe ich jetzt so drin (mehr oder weniger). Aber auf der Modoboa-ML kam der Hinweis, dass das Verhalten seit kurzem bewusst von virtual_mailbox_maps auf *check_recipient_access * umgestellt wurde. Was hat denn das für einen Vorteil, oder gibt es Argumente dagegen? Viele Grüße, Michael From pkoch at bgc-jena.mpg.de Fri Jul 24 14:02:40 2015 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Fri, 24 Jul 2015 14:02:40 +0200 Subject: OT: Frage zu cyrus + shared mailboxes + ldap Message-ID: <55B22960.1010103@bgc-jena.mpg.de> Hallo, folgendes Problem. Wir wollen unsere alte SAMBA3 Domain in Richtung Samba4 migrieren. Jetzt schleppen wir im LDAP noch ein paar Altlasten mit, wo wir nicht wissen, wo wir die im Samba4-AD hin packen können, bzw. es besser lassen. Eine davon sind LDAP-Einträge für shared mail folders. Für jede Mailbox gibt es ein LDAP-Object mit mailDeliveryProgram: "|/usr/bin/formail -I \"From \" \ /usr/cyrus/bin/deliver -e -r SharedMailBOX -a cyrus -m SharedMailBOX" Wo migriert man solche Objekte am besten (und saubersten) hin ? Ist nur eine kleine Anzahl. Einfach in /etc/aliases ? -- Schönes Wochenende, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4641 bytes Beschreibung: S/MIME Cryptographic Signature URL : From daniel at ist-immer-online.de Fri Jul 24 22:16:42 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 24 Jul 2015 22:16:42 +0200 Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren?= In-Reply-To: <55B1E4BB.4080105@datev.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> Message-ID: <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> Hallo Andreas, hast recht, zu der Urzeit keine Mail im Mailing Ordner, und es fehlt auch noch paar Zeilen wie Jul 24 12:42:24 postfix/qmgr[24648]: 2C7B4267EE003: from=, size=4504, nrcpt=1 (queue active) Jul 24 12:42:24 postfix/local[12727]: 2C7B4267EE003: to=, relay=local, delay=2.4, delays=2.4/0.02/0/0.01, dsn=2.0.0, status=sent (delivered to command: x/procmail -t) Jul 24 12:42:24 postfix/qmgr[24648]: 2C7B4267EE003: removed Wenn die Signatur falsch ist, dann müsste ich mich ja an Heinlein Support wenden, oder? Dann hätten aber wohl mehrere das Problem??? hmm Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Schulze Gesendet: Freitag, 24. Juli 2015 09:10 An: Diskussionen und Support rund um Postfix Betreff: Re: Account öfters mal reaktivieren Am 24.07.2015 um 08:25 schrieb Daniel: >>> postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM > wurde ja nicht abgelehnt, sondern zugestellt. wenn bei mir "milter-reject" im Log steht, dann ist die Mail abgewiesen. mit 'nem 500er, ohne Diskussion... Andreas From max.grobecker at ml.grobecker.info Sat Jul 25 21:56:54 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 25 Jul 2015 21:56:54 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren?= In-Reply-To: <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> Message-ID: <55B3EA06.4050301@ml.grobecker.info> Hallo, ich kann bei den Mails der letzen 1-2 Tage keine kaputten DKIM-Signaturen finden. Hast du da evtl. eine Message-ID mit der ich mal gegenchecken könnte, ob ich die Mail hier finde und zu welchem Ergebnis mein Amavis kam, als er die Signatur geprüft hat? Am 24.07.2015 um 22:16 schrieb Daniel: > Wenn die Signatur falsch ist, dann müsste ich mich ja an Heinlein Support wenden, oder? Dann hätten aber wohl mehrere das Problem??? hmm Evtl. ist das bei dir auch eine Einstellung in Mailman - z.B. dass du die Nachrichten immer als Plaintext bekommen willst. Dafür muss dann zwingend die E-Mail einmal umgeknetet werden, was dann ggf. signierte Header wie Content-Type oder MIME-Version mit erfasst. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From max.grobecker at ml.grobecker.info Sat Jul 25 22:03:02 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 25 Jul 2015 22:03:02 +0200 Subject: [Postfixbuch-users]: Change der Listen-Konfiguration In-Reply-To: <20150719174331.GB21715@sys4.de> References: <55A6354C.7010803@heinlein-support.de> <55A6D9D7.4050508@ml.grobecker.info> <20150716051555.GD10141@sys4.de> <55AB7E6B.8070900@ml.grobecker.info> <20150719174331.GB21715@sys4.de> Message-ID: <55B3EB76.7040701@ml.grobecker.info> Hallo Patrick, Am 19.07.2015 um 19:43 schrieb Patrick Ben Koetter: > Das sieht für mich "sauber" aus. Aus meiner Sicht eine gute Mischung aus muss- > und kann, die aich in Mailinglisten stabil sein sollte. Dann lasse ich das so - danke :-) >> Diese E-Mail hier ist absichtlich nicht DKIM-Signiert, weil ich mit der auch >> auf anderen Mailinglisten arbeite, die DKIM kaputtmachen und ich keine Lust >> auf die ständigen "Authentication failure" reports habe ;-) > > Ich signiere alles. Die Vorteile, die mit DKIM kommen, sind mir wichtiger als > Nachteile z.B. das Zerhackstücken von Mailinglisten. Wer selbst seinen Mailman > DKIM-konform konfigurieren möchte, kann sich in unserem Blog das Notwendige > anlesen: https://sys4.de/de/blog/2013/08/11/dkim-konforme-mailinglisten/ Ich habe mir für Mailinglisten ohnehin aus praktischen Grünen eine Mail-Subdomain eingerichtet. Dass auf der (momentan) nicht signiert wird ist jetzt erstmal so, kann sich aber in Zukunft natürlich ändern. Aber Mailman-Administratoren, denen man erstmal erklären muss WARUM deren Setup DKIM bricht und warum das schlecht ist, sind ganz spezielle Windmühlen gegen die ich den Kampf fast aufgegeben habe. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Sat Jul 25 22:28:47 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jul 2015 22:28:47 +0200 Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren?= In-Reply-To: <55B3EA06.4050301@ml.grobecker.info> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> <55B3EA06.4050301@ml.grobecker.info> Message-ID: <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> Hallo Max, danke für deine Antwort, ich habe die Liste auf MIME stehen. Anbei mal ne Liste aus den Logs, kannst dir da gerne ne ID rausnehmen: Jul 8 17:58:17 postfix/cleanup[17901]: B6C7F267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 11:38:18 postfix/cleanup[8665]: E2F07267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 12:01:05 postfix/cleanup[10063]: 380AF267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 13:05:18 postfix/cleanup[14119]: 7473F267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 13:07:41 postfix/cleanup[14265]: 9816E267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 13:13:04 postfix/cleanup[14653]: 1C023267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 13:26:54 postfix/cleanup[15595]: 87BC1267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 14:05:12 postfix/cleanup[18126]: AA596267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 15:28:45 postfix/cleanup[23540]: B654C267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 15:36:30 postfix/cleanup[24189]: 46E79267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 10 15:37:04 postfix/cleanup[24189]: 26E8B267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 12 21:41:16 postfix/cleanup[3566]: 1C781267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 12 21:44:00 postfix/cleanup[3893]: 15908267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 13 00:23:14 postfix/cleanup[18582]: 567C2267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 13 10:10:10 postfix/cleanup[28576]: D21C4267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 13 13:28:51 postfix/cleanup[9076]: 5E5E4267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 13 16:21:55 postfix/cleanup[20570]: F0C90267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 13 16:59:44 postfix/cleanup[24359]: 69180267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 14 23:36:03 postfix/cleanup[941]: 96096267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 09:40:00 postfix/cleanup[22276]: 85ED1267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 11:41:00 postfix/cleanup[29833]: 5FAEE267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 11:52:47 postfix/cleanup[30596]: 86162267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 12:14:51 postfix/cleanup[32064]: 36E54267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 14:01:28 postfix/cleanup[7711]: 68E6C267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 15:08:41 postfix/cleanup[13434]: 79C5A267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 15:41:26 postfix/cleanup[15938]: 3B9B3267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 15 21:12:52 postfix/cleanup[13798]: 87C72267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 16 10:28:28 postfix/cleanup[30657]: 26D83267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 17 16:14:53 postfix/cleanup[23831]: DE48E267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 21 12:06:42 postfix/cleanup[25717]: 9BF02267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 23 12:56:56 postfix/cleanup[8315]: 53A1D267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jul 24 13:16:44 postfix/cleanup[15016]: 22AFB267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Jeweils teils ne Stunde vorher oder nachher klappt es aber wieder. Jul 23 13:06:34 postfix/smtpd[8942]: connect from ilpostino.jpberlin.de[213.203.238.6] Jul 23 13:06:35 postfix/smtpd[8942]: Anonymous TLS connection established from ilpostino.jpberlin.de[213.203.238.6]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Jul 23 13:06:35 postfix/policy-spf[8950]: Policy action=PREPEND Received-SPF: pass (listen.jpberlin.de: 213.203.238.6 is authorized to use 'postfixbuch-users-bounces at listen.jpberlin.de' in 'mfrom' identity (mechanism 'ip4:213.203.238.0/25' matched)) receiver=Server; identity=mailfrom; envelope-from="postfixbuch-users-bounces at listen.jpberlin.de"; helo=ilpostino.jpberlin.de; client-ip=213.203.238.6 Jul 23 13:06:35 postfix/smtpd[8942]: B6B62267EE002: client=ilpostino.jpberlin.de[213.203.238.6] Jul 23 13:06:35 postfix/cleanup[8952]: B6B62267EE002: hold: header Received: from ilpostino.jpberlin.de (ilpostino.jpberlin.de [213.203.238.6])??(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))??(No client certificate requested)??by X from ilpostino.jpberlin.de[213.203.238.6]; from= to= proto=ESMTP helo= Jul 23 13:06:35 postfix/cleanup[8952]: B6B62267EE002: message-id= Jul 23 13:06:35 opendmarc[24668]: B6B62267EE002: listen.jpberlin.de none Jul 23 13:06:36 postfix/smtpd[8942]: disconnect from ilpostino.jpberlin.de[213.203.238.6] Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker Gesendet: Samstag, 25. Juli 2015 21:57 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Account öfters mal reaktivieren Hallo, ich kann bei den Mails der letzen 1-2 Tage keine kaputten DKIM-Signaturen finden. Hast du da evtl. eine Message-ID mit der ich mal gegenchecken könnte, ob ich die Mail hier finde und zu welchem Ergebnis mein Amavis kam, als er die Signatur geprüft hat? Am 24.07.2015 um 22:16 schrieb Daniel: > Wenn die Signatur falsch ist, dann müsste ich mich ja an Heinlein Support wenden, oder? Dann hätten aber wohl mehrere das Problem??? hmm Evtl. ist das bei dir auch eine Einstellung in Mailman - z.B. dass du die Nachrichten immer als Plaintext bekommen willst. Dafür muss dann zwingend die E-Mail einmal umgeknetet werden, was dann ggf. signierte Header wie Content-Type oder MIME-Version mit erfasst. Viele Grüße aus dem Tal Max From max.grobecker at ml.grobecker.info Sat Jul 25 22:51:17 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 25 Jul 2015 22:51:17 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren?= In-Reply-To: <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> <55B3EA06.4050301@ml.grobecker.info> <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> Message-ID: <55B3F6C5.4070404@ml.grobecker.info> Hallo, Am 25.07.2015 um 22:28 schrieb Daniel: > Hallo Max, > > danke für deine Antwort, ich habe die Liste auf MIME stehen. > > Anbei mal ne Liste aus den Logs, kannst dir da gerne ne ID rausnehmen: > > Jul 8 17:58:17 postfix/cleanup[17901]: B6C7F267EE002: milter-reject: END-OF-MESSAGE from ilpostino.jpberlin.de[213.203.238.6]: 5.7.0 bad DKIM signature data; from= to= proto=ESMTP helo= Die Queue-IDs kann ich bei mir natürlich nicht finden - die sind nur für dein Logfile ;-) Ich habe mir aber einfach mal deine Mail angesehen und festgestellt, dass da etwas merkwürdig ist: Mein Amavis befindet die DKIM-Signatur für gültig, irgendein anderer Server (vermutlich deiner?) ist der Meinung, dass die Signatur ungültig wäre: ---------------------------------------------------------- Received: from DanielPC (Daniel-PC.fritz.box [IPv6:2003:57:e631:4300:340e:5919:1371:ea4e]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) (Authenticated sender: Daniel) by server.ist-immer-online.de (Postfix) with ESMTPSA id 41123267EE002 for ; Sat, 25 Jul 2015 22:28:50 +0200 (CEST) Authentication-Results: server.ist-immer-online.de; dmarc=fail header.from=ist-immer-online.de <------- !!!! DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=ist-immer-online.de; s=mail; t=1437856130; bh=iSBWY8jmQY8vlQXlsegq9+iu39MR/4i5d4hZY7njm+c=; h=From:To:References:In-Reply-To:Subject:Date; b=s3HK29DncnTsZ7mbDfcmbjgsPMH25akqo6A6KCA104K30bAB1iM/1D8DAXaEGDrAa 7Tqy73aWTAXpZWyywGwUqT0spL5bagujHAYCyEt0NLfWKO80Vq/FVin5MFTP9zpc81 lzP2ofyWxUn00e911kbCWEGJZsZiOyOAreqbifjY= From: "Daniel" ---------------------------------------------------------- Ich habe mal die kompletten Header als Textdatei angehangen. Mein Amavis ist ganz oben und vermeldet gültige DKIM-Signatur. > > Jeweils teils ne Stunde vorher oder nachher klappt es aber wieder. Da habe ich eigentlich nur zwei Erklärungen für: * Das ist eine E-Mail, die einfach nicht DKIM-Signiert ist und durchgeht * Du nutzt einen DNS-Resolver, der dir faulige Daten zurückliefert Letztere Erklärung würde ggf. auch das oben beschriebene Phänomen erklären. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Return-Path: Received: from localhost (localhost [127.0.0.1]) by mx0.301-moved.de (GrobiSuperMail) with ESMTP id 3mdzX6639Wz9xtt for ; Sat, 25 Jul 2015 22:29:26 +0200 (CEST) X-Virus-Scanned: Mailfilter on mx0.301-moved.de X-Spam-Flag: NO X-Spam-Score: -4.939 X-Spam-Level: X-Spam-Status: No, score=-4.939 tagged_above=-99 required=5.3 tests=[BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, RCVD_IN_DNSWL_MED=-2.3, RP_MATCHES_RCVD=-0.608, SPF_PASS=-0.031] autolearn=ham Authentication-Results: mx0.301-moved.de (amavisd-new); dkim=pass (1024-bit key) header.d=ist-immer-online.de Received: from mx0.301-moved.de ([127.0.0.1]) by localhost (mx0.301-moved.de [127.144.138.238]) (amavisd-new, port 10024) with ESMTP id YT-I1B2rVk5l for ; Sat, 25 Jul 2015 22:29:24 +0200 (CEST) X-policyd-weight: using cached result; rate: -7.2 Received: from ilpostino.jpberlin.de (ilpostino.jpberlin.de [213.203.238.6]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by mx0.301-moved.de (GrobiSuperMail) with ESMTPS for ; Sat, 25 Jul 2015 22:29:23 +0200 (CEST) Received: from [127.0.0.1] (localhost [127.0.0.1]) by ilpostino.jpberlin.de (Postfix) with ESMTP id EF3A4610BE; Sat, 25 Jul 2015 22:28:58 +0200 (CEST) X-Original-To: postfixbuch-users at listi.jpberlin.de Delivered-To: postfixbuch-users at listi.jpberlin.de Received: from mx1.heinlein-support.de (mx1.heinlein-support.de [91.198.250.10]) by ilpostino.jpberlin.de (Postfix) with ESMTPS id 63E8560B4E for ; Sat, 25 Jul 2015 22:28:57 +0200 (CEST) Received: from gerste.heinlein-support.de (gerste.heinlein-support.de [91.198.250.173]) by mx1.heinlein-support.de (Postfix) with ESMTP id 56FB82FEAB for ; Sat, 25 Jul 2015 22:28:57 +0200 (CEST) X-Virus-Scanned: amavisd-new at heinlein-support.de Received: from mx1.heinlein-support.de ([91.198.250.10]) by gerste.heinlein-support.de (gerste.heinlein-support.de [91.198.250.170]) (amavisd-new, port 10024) with ESMTP id UTo3_H_gctlf for ; Sat, 25 Jul 2015 22:28:55 +0200 (CEST) X-policyd-weight: DYN_NJABL=SKIP(0) NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 BL_NJABL=SKIP(-1.5) CL_IP_EQ_HELO_IP=-2 (check from: .ist-immer-online. - helo: .mx02.posteo. - helo-domain: .posteo.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; rate: -5.5 Received: from mx02.posteo.de (mx02.posteo.de [89.146.194.165]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx1.heinlein-support.de (Postfix) with ESMTPS for ; Sat, 25 Jul 2015 22:28:54 +0200 (CEST) Received: from dovecot04.posteo.de (unknown [185.67.36.27]) by mx02.posteo.de (Postfix) with ESMTPS id 05C6825AF505 for ; Sat, 25 Jul 2015 22:28:53 +0200 (CEST) Received: from mail.posteo.de (localhost [127.0.0.1]) by dovecot04.posteo.de (Postfix) with ESMTPSA id 3mdzWT63W6zFpW3 for ; Sat, 25 Jul 2015 22:28:53 +0200 (CEST) Received: from DanielPC (Daniel-PC.fritz.box [IPv6:2003:57:e631:4300:340e:5919:1371:ea4e]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) (Authenticated sender: Daniel) by server.ist-immer-online.de (Postfix) with ESMTPSA id 41123267EE002 for ; Sat, 25 Jul 2015 22:28:50 +0200 (CEST) Authentication-Results: server.ist-immer-online.de; dmarc=fail header.from=ist-immer-online.de DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=ist-immer-online.de; s=mail; t=1437856130; bh=iSBWY8jmQY8vlQXlsegq9+iu39MR/4i5d4hZY7njm+c=; h=From:To:References:In-Reply-To:Subject:Date; b=s3HK29DncnTsZ7mbDfcmbjgsPMH25akqo6A6KCA104K30bAB1iM/1D8DAXaEGDrAa 7Tqy73aWTAXpZWyywGwUqT0spL5bagujHAYCyEt0NLfWKO80Vq/FVin5MFTP9zpc81 lzP2ofyWxUn00e911kbCWEGJZsZiOyOAreqbifjY= From: "Daniel" To: "'Diskussionen und Support rund um Postfix'" References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925 at spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F at ist-immer-online.de> <55B1E4BB.4080105 at datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> <55B3EA06.4050301 at ml.grobecker.info> In-Reply-To: <55B3EA06.4050301 at ml.grobecker.info> Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren?= Date: Sat, 25 Jul 2015 22:28:47 +0200 Message-ID: <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> MIME-Version: 1.0 Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: quoted-printable Thread-Index: AQHRRbVVd88qWoBpfdgUuo2iflAQOQHN8bo8AfCp3VQBw1wMLwMHucRNAzYMxWWdjaO8sA== Content-Language: de X-MailScanner-ID: 41123267EE002.A84F4 X-MailScanner: Found to be clean X-MailScanner-From: daniel at ist-immer-online.de X-BeenThere: postfixbuch-users at listen.jpberlin.de X-Mailman-Version: 2.1.17 Precedence: list Reply-To: Diskussionen und Support rund um Postfix List-Id: Diskussionen und Support rund um Postfix List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Errors-To: postfixbuch-users-bounces at listen.jpberlin.de Sender: "Postfixbuch-users" -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Sat Jul 25 23:36:21 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jul 2015 23:36:21 +0200 Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren?= In-Reply-To: <55B3F6C5.4070404@ml.grobecker.info> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> <55B3EA06.4050301@ml.grobecker.info> <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> <55B3F6C5.4070404@ml.grobecker.info> Message-ID: <00a801d0c721$f2e9a130$d8bce390$@ist-immer-online.de> Hallo Max, DKIM hat ja pass, also ist der ja ok. Wo nen Fail kommt ist opendmarc. Ich habe nochmal die trustet host neu gesetzt, passt es jetzt? Testmail an check-auth at verifier.port25.com ist nett für SPF und DKIM, aber prüft kein opendmarc. Gruß Daniel From max.grobecker at ml.grobecker.info Sun Jul 26 14:37:00 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 26 Jul 2015 14:37:00 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren?= In-Reply-To: <00a801d0c721$f2e9a130$d8bce390$@ist-immer-online.de> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> <55B3EA06.4050301@ml.grobecker.info> <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> <55B3F6C5.4070404@ml.grobecker.info> <00a801d0c721$f2e9a130$d8bce390$@ist-immer-online.de> Message-ID: <55B4D46C.70203@ml.grobecker.info> Hallo, da kommt immer noch Authentication-Results: server.ist-immer-online.de; dmarc=fail header.from=ist-immer-online.de Kann es sein, dass der prüft, BEVOR eine DKIM-Signatur erzeugt wird? Max Am 25.07.2015 um 23:36 schrieb Daniel: > Hallo Max, > > DKIM hat ja pass, also ist der ja ok. Wo nen Fail kommt ist opendmarc. > > Ich habe nochmal die trustet host neu gesetzt, passt es jetzt? > > Testmail an check-auth at verifier.port25.com ist nett für SPF und DKIM, aber prüft kein opendmarc. > > Gruß Daniel > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Sun Jul 26 14:48:43 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 26 Jul 2015 14:48:43 +0200 Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren?= In-Reply-To: <55B4D46C.70203@ml.grobecker.info> References: <000801d0c5d5$75134f10$5f39ed30$@ist-immer-online.de> <20150724061809.GA20925@spider.services.datevnet.de> <28D798A0-81DC-490B-BA37-C586ADC1391F@ist-immer-online.de> <55B1E4BB.4080105@datev.de> <001a01d0c64d$a7fe32a0$f7fa97e0$@ist-immer-online.de> <55B3EA06.4050301@ml.grobecker.info> <005b01d0c718$82aaab70$88000250$@ist-immer-online.de> <55B3F6C5.4070404@ml.grobecker.info> <00a801d0c721$f2e9a130$d8bce390$@ist-immer-online.de> <55B4D46C.70203@ml.grobecker.info> Message-ID: <00a101d0c7a1$67feac70$37fc0550$@ist-immer-online.de> Hi, habe noch ne Option gefunden zum prüfen, Testmal an sa-test at sendmail.net dann bekomme ich meine Emails als Anhang mit drin. Habe dmarc vorerst deaktiviert am Server. Wie kann ich prüfen in welcher Reihenfolge der es abarbeitet? In der main.cf? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker Gesendet: Sonntag, 26. Juli 2015 14:37 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Account öfters mal reaktivieren Hallo, da kommt immer noch Authentication-Results: server.ist-immer-online.de; dmarc=fail header.from=ist-immer-online.de Kann es sein, dass der prüft, BEVOR eine DKIM-Signatur erzeugt wird? Max Am 25.07.2015 um 23:36 schrieb Daniel: > Hallo Max, > > DKIM hat ja pass, also ist der ja ok. Wo nen Fail kommt ist opendmarc. > > Ich habe nochmal die trustet host neu gesetzt, passt es jetzt? > > Testmail an check-auth at verifier.port25.com ist nett für SPF und DKIM, aber prüft kein opendmarc. > > Gruß Daniel > From daniel at ist-immer-online.de Sun Jul 26 18:03:40 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 26 Jul 2015 18:03:40 +0200 Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren?= Message-ID: <011401d0c7bc$a3dd41f0$eb97c5d0$@ist-immer-online.de> Hallo Max, noch mal zum Nachtrag, denke muss mir mal Postfix Update besorgen, gab da wohl einige Patches. Die von sys4 sind hier ja auch aktiv, und bin auf deren Webseite fündig geworden bzw. drauf Aufmerksam. https://sys4.de/de/blog/2014/09/20/fallstricke-mit-opendmarc-und-postfix/ Einfach Paketupdate kann ich nicht machen ohne weiteres, muss da den Hersteller vom NAS was nerven. Gruß Daniel -----Ursprüngliche Nachricht----- Gesendet: Sonntag, 26. Juli 2015 14:49 An: 'Diskussionen und Support rund um Postfix' Betreff: AW: Account öfters mal reaktivieren Hi, habe noch ne Option gefunden zum prüfen, Testmal an sa-test at sendmail.net dann bekomme ich meine Emails als Anhang mit drin. Habe dmarc vorerst deaktiviert am Server. Wie kann ich prüfen in welcher Reihenfolge der es abarbeitet? In der main.cf? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker Gesendet: Sonntag, 26. Juli 2015 14:37 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Account öfters mal reaktivieren Hallo, da kommt immer noch Authentication-Results: server.ist-immer-online.de; dmarc=fail header.from=ist-immer-online.de Kann es sein, dass der prüft, BEVOR eine DKIM-Signatur erzeugt wird? Max Am 25.07.2015 um 23:36 schrieb Daniel: > Hallo Max, > > DKIM hat ja pass, also ist der ja ok. Wo nen Fail kommt ist opendmarc. > > Ich habe nochmal die trustet host neu gesetzt, passt es jetzt? > > Testmail an check-auth at verifier.port25.com ist nett für SPF und DKIM, aber prüft kein opendmarc. > > Gruß Daniel > From matthias.doering at mldsc.de Mon Jul 27 11:24:40 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Mon, 27 Jul 2015 11:24:40 +0200 Subject: dhparams erstellen Message-ID: <55B5F8D8.5030802@mldsc.de> Hi, ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten DH-Params ;) http://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_5 Dort ist ja sehr schön beschrieben wie man das tut und sogar wie man das regelmäßig wiederholen kann via Skript. Ich habe diesen openssl-Befehl auch zerlegt und gegoogelt. Ich kommen nur nicht dahinter. Was bringt es mir für ein Vorteil wenn ich einen dieser Parameter angebe? Ich habe dazu auch folgenden Link gefunden. Der hat mir aber auch nicht meine Fragen wirklich beantwortet. http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5 # openssl dhparam -out /etc/pki/postfix/private/dh_2048.pem -2 2048 openssl dhparam -h dhparam [options] [numbits] where options are -inform arg input format - one of DER PEM -outform arg output format - one of DER PEM -in arg input file -out arg output file -dsaparam read or generate DSA parameters, convert to DH -check check the DH parameters -text print a text form of the DH parameters -C Output C code * -2 generate parameters using 2 as the generator value** ** -5 generate parameters using 5 as the generator value* numbits number of bits in to generate (default 2048) -engine e use engine e, possibly a hardware device. -rand file:file:... - load the file (or the files in the directory) into the random number generator -noout no output -- Mit freundlichen Grüßen Matthias Döring -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andreas.schulze at datev.de Mon Jul 27 11:42:09 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 27 Jul 2015 11:42:09 +0200 Subject: dhparams erstellen In-Reply-To: <55B5F8D8.5030802@mldsc.de> References: <55B5F8D8.5030802@mldsc.de> Message-ID: <20150727094209.GA12104@spider.services.datevnet.de> -- Am 27.07.2015 11:24 schrieb Matthias Doering: > ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten > DH-Params ;) - DH-Parameter sollte nicht über mehrere Systeme geteilt werden. Daher generiere ich alle Monate mal neue DH-Paramter. Das schadet nicht und tut auf der anderen Seite kaum weh. - Die Größe der DH-Parameter sollte nicht kleiner sein als der korrespondierende RSA Schlüssel. für dovecot: https://andreasschulze.de/dovecot/ssl-params für postfix (apache/nginx/lighttpd/openldap analog): for length in 512 1024 2048 4096 8192 16384 32768; do FILENAME="dh_${length}.pem" nice -n 19 openssl gendh -out /tmp/${FILENAME} ${length} chown ${OWNER}:root /tmp/${FILENAME} chmod 600 /tmp/${FILENAME} mv /tmp/${FILENAME} ${DATA_DIR}/ logger -t $0 "created new ${DATA_DIR}/${FILENAME}" done $product reload jetzt warte ich mal auf eine Rückmeldung, wie lange openssl an einem 32 DH-Parameter rumkaut :-) Andreas Schulze Internetdienste | P252 -- DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From matthias.doering at mldsc.de Mon Jul 27 13:17:01 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Mon, 27 Jul 2015 13:17:01 +0200 Subject: dhparams erstellen In-Reply-To: <20150727094209.GA12104@spider.services.datevnet.de> References: <55B5F8D8.5030802@mldsc.de> <20150727094209.GA12104@spider.services.datevnet.de> Message-ID: <55B6132D.5040505@mldsc.de> Ja Ich weiß so kann man das schön machen. Ich wollte aber eigentlich was anderes wissen und zwar warum und weshalb es sich lohnt die Option -2 oder -5 mitzugeben. <<<<<<<<<<<<<<<<<<<<<< Ich habe diesen openssl-Befehl auch zerlegt und gegoogelt. Ich kommen nur nicht dahinter. Was bringt es mir für ein Vorteil wenn ich einen dieser Parameter angebe? Ich habe dazu auch folgenden Link gefunden. Der hat mir aber auch nicht meine Fragen wirklich beantwortet. http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5 # openssl dhparam -out /etc/pki/postfix/private/dh_2048.pem -2 2048 openssl dhparam -h dhparam [options] [numbits] where options are -inform arg input format - one of DER PEM -outform arg output format - one of DER PEM -in arg input file -out arg output file -dsaparam read or generate DSA parameters, convert to DH -check check the DH parameters -text print a text form of the DH parameters -C Output C code * -2 generate parameters using 2 as the generator value** ** -5 generate parameters using 5 as the generator value* numbits number of bits in to generate (default 2048) -engine e use engine e, possibly a hardware device. -rand file:file:... - load the file (or the files in the directory) into the random number generator -noout no output >>>>>>>>>>>>>>>>>>>>>> Am 27.07.2015 um 11:42 schrieb Andreas Schulze: > -- Am 27.07.2015 11:24 schrieb Matthias Doering: >> ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten >> DH-Params ;) > > > - DH-Parameter sollte nicht über mehrere Systeme geteilt werden. > Daher generiere ich alle Monate mal neue DH-Paramter. > Das schadet nicht und tut auf der anderen Seite kaum weh. > > - Die Größe der DH-Parameter sollte nicht kleiner sein > als der korrespondierende RSA Schlüssel. > > > für dovecot: > https://andreasschulze.de/dovecot/ssl-params > > für postfix (apache/nginx/lighttpd/openldap analog): > > for length in 512 1024 2048 4096 8192 16384 32768; do > FILENAME="dh_${length}.pem" > nice -n 19 openssl gendh -out /tmp/${FILENAME} ${length} > chown ${OWNER}:root /tmp/${FILENAME} > chmod 600 /tmp/${FILENAME} > mv /tmp/${FILENAME} ${DATA_DIR}/ > logger -t $0 "created new ${DATA_DIR}/${FILENAME}" > done > $product reload > > jetzt warte ich mal auf eine Rückmeldung, wie lange openssl an einem 32 DH-Parameter rumkaut :-) > > Andreas Schulze > Internetdienste | P252 > -- Mit freundlichen Grüßen Matthias Döring -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From jost+lists at dimejo.at Mon Jul 27 13:36:21 2015 From: jost+lists at dimejo.at (Alex JOST) Date: Mon, 27 Jul 2015 13:36:21 +0200 Subject: dhparams erstellen In-Reply-To: <55B6132D.5040505@mldsc.de> References: <55B5F8D8.5030802@mldsc.de> <20150727094209.GA12104@spider.services.datevnet.de> <55B6132D.5040505@mldsc.de> Message-ID: <55B617B5.9090205@dimejo.at> Am 27.07.2015 um 13:17 schrieb Matthias Doering: > Ja Ich weiß so kann man das schön machen. > > Ich wollte aber eigentlich was anderes wissen und zwar warum und weshalb > es sich lohnt die Option -2 oder -5 mitzugeben. > > <<<<<<<<<<<<<<<<<<<<<< > Ich habe diesen openssl-Befehl auch zerlegt und gegoogelt. Ich kommen > nur nicht dahinter. Was bringt es mir für ein Vorteil wenn ich einen > dieser Parameter angebe? > Ich habe dazu auch folgenden Link gefunden. Der hat mir aber auch nicht > meine Fragen wirklich beantwortet. > http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5 Im verlinkten Beitrag auf StackExchange findet sich in der Antwort von Karol Babioch der Hinweis, dass die Generatoren benutzt werden um die Elemente einer Gruppe zu generieren. Der Generator 2 scheint dabei effizienter zu sein als 5, weshalb er auch standardmäßig aktiviert ist. -- Alex JOST From matthias.doering at mldsc.de Mon Jul 27 20:33:03 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Mon, 27 Jul 2015 20:33:03 +0200 Subject: TLS_cipherlist vs. TLS_ciphers Message-ID: <55B6795F.1060000@mldsc.de> Hallo Liste. Ich habe noch Probleme bei Postfix zu erkennen welcher Default-Parameter von welchem angepassten Parameter überschrieben wird/ werden kann. Bsp.: *Angepasste Parameter:* tls_high_cipherlist = aNULL:-aNULL:RC4-SHA:ALL:@STRENGTH smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtpd_tls_protocols = !SSLv2 !SSLv3 smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA Mit dieser Konfiguration sollte man ja die höchstmögliche Sicherheit in Punkto TLS erreichen. Soweit sehe Ich das jetzt mal als eine korrekte Annahme an. Freue mich aber gerne über Hinweise wie man da mehr Sicherheit rein bekommt ;) *Jetzt gibt es solche Default Parameter:* lmtp_tls_ciphers = export smtp_tls_ciphers = export smtpd_tls_ciphers = export tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH Woher kann Ich jetzt wissen das diese Werte mit den obigen außer Kraft gesetzt werden wenn das so ist? Ich überschreibe ja nicht diese Werte sondern "ähnliche" äquivalente Parameter. Wie kann Ich jetzt ohne ein Test herausfinden ob das jetzt wirklich so ist wie Ich mir das denke? Ich will das nur die high_cipherlist genutzt wird für max. Sicherheit aber, was ist mit (smtpd_tls_ciphers, smtp_tls_ciphers, lmtp_tls_ciphers) werden diese komplette ignoriert? Wenn ja, wieso (Zusammenhang)? Testen kann man das ja so auch nur bedingt. Wer kennt schon wirklich alle Fälle die hier eintreten können? -- Mit freundlichen Grüßen Matthias Döring -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From pascal.weisshaupt at metagmbh.de Tue Jul 28 16:34:47 2015 From: pascal.weisshaupt at metagmbh.de (=?iso-8859-1?Q?Pascal_Wei=DFhaupt?=) Date: Tue, 28 Jul 2015 16:34:47 +0200 Subject: =?iso-8859-1?Q?Postscreen_und_Google?= Message-ID: Hallo zusammen,   ich habe gestern festgestellt, dass mein Postscreen Mails von Google abweist:   Jul 28 16:18:07 mailrelay postfix/postscreen[21964]: CONNECT from [209.85.217.176]:33547 to [192.168.211.21]:25 Jul 28 16:18:13 mailrelay postfix/postscreen[21964]: warning: connect to private/tlsproxy service: No such file or directory Jul 28 16:18:13 mailrelay postfix/postscreen[21964]: HANGUP after 0.12 from [209.85.217.176]:33547 in tests after SMTP handshake Jul 28 16:18:13 mailrelay postfix/postscreen[21964]: DISCONNECT [209.85.217.176]:33547   Gibt es diesbezüglich Erfahrungen? Was läuft da mit der Kommunikation mit Google falsch? Was kann man besser konfigurieren? Nachdem ich die IP-Adressen von Google auf die Whitelist gesetzt habe, ging die Mail natürlich durch - ist aber irgendwie nicht zufriedenstellend, vor allem bei so einem großen Anbieter wie Google...   Hier die Config in meiner main.cf:   postscreen_access_list = permit_mynetworks,     cidr:/etc/postfix/postscreen_access.cidr postscreen_blacklist_action = drop postscreen_dnsbl_threshold = 4 postscreen_dnsbl_sites = zen.spamhaus.org*2,     bl.spamcop.net*1,     ix.dnsbl.manitu.net*1, postscreen_dnsbl_action = enforce postscreen_greet_banner = $smtpd_banner postscreen_greet_action = ignore postscreen_bare_newline_enable = yes postscreen_non_smtp_command_enable = no postscreen_non_smtp_command_action = drop postscreen_pipelining_enable = yes     Pascal ________________________________________________________________________________________   Pascal Weißhaupt   Teamleiter IT Team Manager IT   Meta Motoren- und Energie-Technik GmbH   Kaiserstraße 100, D-52134 Herzogenrath Phone: +49 (0) 2407 9554-715 Fax:     +49 (0) 2407 9554-89 pascal.weisshaupt at metagmbh.de www.metagmbh.de Location: Aachen, Commercial Register: Handelsregister AG Aachen HRB 5174 Chairman of Supervisory Board: Ma Tongli, Management Board: Zhang Jianjun Ph. D., Dr.-Ing. Joachim Reinicke ________________________________________________________________________________________   -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From weinbauer at singollo.de Tue Jul 28 16:37:54 2015 From: weinbauer at singollo.de (Udo Neist) Date: Tue, 28 Jul 2015 16:37:54 +0200 Subject: Postscreen und Google In-Reply-To: References: Message-ID: <3712298.6s0Lbp8ts5@caesar> Am Dienstag, 28. Juli 2015, 16:34:47 schrieb Pascal Weißhaupt: > Hallo zusammen, > > > ich habe gestern festgestellt, dass mein Postscreen Mails von Google > abweist: > > Jul 28 16:18:07 mailrelay postfix/postscreen[21964]: CONNECT from > [209.85.217.176]:33547 to [192.168.211.21]:25 > Jul 28 16:18:13 mailrelay postfix/postscreen[21964]: warning: connect to > private/tlsproxy service: No such file or directory Auf Verdacht: Schalte mal den TLSProxy in der master.cf ein. Grüße Udo Neist From pascal.weisshaupt at metagmbh.de Wed Jul 29 16:10:28 2015 From: pascal.weisshaupt at metagmbh.de (=?utf-8?Q?Pascal_Wei=C3=9Fhaupt?=) Date: Wed, 29 Jul 2015 16:10:28 +0200 Subject: AW: Postscreen und Google In-Reply-To: <3712298.6s0Lbp8ts5@caesar> References: Message-ID: Hmmm, ja - sieht tatsächlich nun besser aus. Danke für den Tipp! ________________________________________________________________________________________ Pascal Weißhaupt Teamleiter IT Team Manager IT Meta Motoren- und Energie-Technik GmbH Kaiserstraße 100, D-52134 Herzogenrath Phone: +49 (0) 2407 9554-715 Fax:     +49 (0) 2407 9554-89 pascal.weisshaupt at metagmbh.de www.metagmbh.de Location: Aachen, Commercial Register: Handelsregister AG Aachen HRB 5174 Chairman of Supervisory Board: Ma Tongli, Management Board: Zhang Jianjun Ph. D., Dr.-Ing. Joachim Reinicke ________________________________________________________________________________________ > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Udo Neist > Gesendet: Dienstag, 28. Juli 2015 16:38 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postscreen und Google > > Am Dienstag, 28. Juli 2015, 16:34:47 schrieb Pascal Weißhaupt: > > Hallo zusammen, > > > > > > ich habe gestern festgestellt, dass mein Postscreen Mails von Google > > abweist: > > > > > Jul 28 16:18:07 mailrelay postfix/postscreen[21964]: CONNECT from > > [209.85.217.176]:33547 to [192.168.211.21]:25 > > > Jul 28 16:18:13 mailrelay postfix/postscreen[21964]: warning: connect > > to private/tlsproxy service: No such file or directory > > Auf Verdacht: Schalte mal den TLSProxy in der master.cf ein. > > Grüße > Udo Neist From w.flamme at web.de Thu Jul 30 07:57:39 2015 From: w.flamme at web.de (Werner Flamme) Date: Thu, 30 Jul 2015 07:57:39 +0200 Subject: Relay-Frage bei Subdomain Message-ID: <55B9BCD3.7070100@web.de> Hallo miteinander, ich habe einen Mailhost, der für abc.example.com zuständig ist. Das funktioniert soweit. Nun soll die Kiste aber auch Mails für irgendwelche.user at example.com annehmen (ohne Adressprüfung) und an den Haupt-MX forwarden. Das klappt bei mir nicht - auch die Mails an some.user at abc.example.com werden weitergeleitet. Alternativ werden die Mails an irgendwelche.user at example.com nicht angenommen, weil der Host sich nicht zuständig fühlt. Alles, was ich dazu per Suchmaschine finde, will das Problem andersrum lösen: zusätzlich zur Hauptdomain sollen auch Mails für Subdomains angenommen werden. Kann mir hier jemand verraten, was ich einstellen muss? in /etc/postfix/transport example.com smtp:[hauptmx.example.com] in /etc/postfix/relay example.com [hauptmx.example.com] und in /etc/main.cf mydestination = $myhostname, localhost.$mydomain, localhost, myhost, abc.example.com relay_domains = hash:/etc/postfix/relay relay_transport = hash:/etc/postfix/relay transport_maps = hash:/etc/postfix/transport ist irgendwie unfunktionabel. Wo liegt mein Fehler? Gruß Werner -- From j_adam at web.de Thu Jul 30 08:42:05 2015 From: j_adam at web.de (Jens Adam) Date: Thu, 30 Jul 2015 08:42:05 +0200 Subject: Relay-Frage bei Subdomain In-Reply-To: <55B9BCD3.7070100@web.de> References: <55B9BCD3.7070100@web.de> Message-ID: <20150730084205.3c29d056@titan.byte.cx> Thu, 30 Jul 2015 07:57:39 +0200 Werner Flamme : > Das klappt bei mir nicht - auch die Mails an > some.user at abc.example.com werden weitergeleitet. > [...] > Kann mir hier jemand verraten, was ich einstellen muss? Moin Werner, ganz konkret gerade nicht, aber guck dir doch mal http://www.postfix.org/transport.5.html an, und zwar den Abschnitt "REGULAR EXPRESSION TABLES": | Each pattern is a regular expression that is applied to the entire | address being looked up. Thus, some.domain.hierarchy is not looked | up via its parent domains, nor is user+foo at domain looked up as | user at domain. Gruß, Jens -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From kai_postfix at fuerstenberg.ws Thu Jul 30 09:39:50 2015 From: kai_postfix at fuerstenberg.ws (=?UTF-8?B?S2FpIEbDvHJzdGVuYmVyZw==?=) Date: Thu, 30 Jul 2015 09:39:50 +0200 Subject: Relay-Frage bei Subdomain In-Reply-To: <55B9BCD3.7070100@web.de> References: <55B9BCD3.7070100@web.de> Message-ID: <55B9D4C6.8050201@fuerstenberg.ws> Hi Werner, Am 30.07.2015 um 07:57 schrieb Werner Flamme: > Hallo miteinander, > > ich habe einen Mailhost, der für abc.example.com zuständig ist. Das > funktioniert soweit. > > Nun soll die Kiste aber auch Mails für irgendwelche.user at example.com > annehmen (ohne Adressprüfung) und an den Haupt-MX forwarden. > > Das klappt bei mir nicht - auch die Mails an some.user at abc.example.com > werden weitergeleitet. Alternativ werden die Mails an > irgendwelche.user at example.com nicht angenommen, weil der Host sich nicht > zuständig fühlt. wie lautet die genaue Fehlermeldung? Logauszug? Fühlt sich der Host nicht zuständig, oder beschwert er sich, dass der User nicht existiert? > Alles, was ich dazu per Suchmaschine finde, will das Problem andersrum > lösen: zusätzlich zur Hauptdomain sollen auch Mails für Subdomains > angenommen werden. > > Kann mir hier jemand verraten, was ich einstellen muss? > > in /etc/postfix/transport > example.com smtp:[hauptmx.example.com] > > in /etc/postfix/relay > example.com [hauptmx.example.com] > > und in /etc/main.cf > mydestination = $myhostname, localhost.$mydomain, > localhost, myhost, abc.example.com > relay_domains = hash:/etc/postfix/relay > relay_transport = hash:/etc/postfix/relay > transport_maps = hash:/etc/postfix/transport > > ist irgendwie unfunktionabel. > > Wo liegt mein Fehler? s. http://www.postfix.org/postconf.5.html#relay_domains: "Domains that match $relay_domains are delivered with the $relay_transport mail delivery transport. The SMTP server validates recipient addresses with $relay_recipient_maps and rejects non-existent recipients. See also the relay domains address class in the ADDRESS_CLASS_README file." Der macht also in jedem Fall eine Adress-Prüfung. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From w.flamme at web.de Thu Jul 30 11:16:30 2015 From: w.flamme at web.de (Werner Flamme) Date: Thu, 30 Jul 2015 11:16:30 +0200 Subject: Relay-Frage bei Subdomain In-Reply-To: <55B9D4C6.8050201@fuerstenberg.ws> References: <55B9BCD3.7070100@web.de> <55B9D4C6.8050201@fuerstenberg.ws> Message-ID: <55B9EB6E.8000601@web.de> Kai Fürstenberg [30.07.2015 09:39]: > Hi Werner, Hallo Kai, > Am 30.07.2015 um 07:57 schrieb Werner Flamme: >> Hallo miteinander, >> >> ich habe einen Mailhost, der für abc.example.com zuständig ist. Das >> funktioniert soweit. >> >> Nun soll die Kiste aber auch Mails für irgendwelche.user at example.com >> annehmen (ohne Adressprüfung) und an den Haupt-MX forwarden. >> >> Das klappt bei mir nicht - auch die Mails an some.user at abc.example.com >> werden weitergeleitet. Alternativ werden die Mails an >> irgendwelche.user at example.com nicht angenommen, weil der Host sich nicht >> zuständig fühlt. > > wie lautet die genaue Fehlermeldung? Logauszug? > Fühlt sich der Host nicht zuständig, oder beschwert er sich, dass der > User nicht existiert? Wie ich schrieb: er fühlt sich nicht zuständig. Er meckert nicht über User, sondern darüber, dass er für abc.exmple.com nicht zuständig sei. >> Alles, was ich dazu per Suchmaschine finde, will das Problem andersrum >> lösen: zusätzlich zur Hauptdomain sollen auch Mails für Subdomains >> angenommen werden. >> >> Kann mir hier jemand verraten, was ich einstellen muss? >> >> in /etc/postfix/transport >> example.com smtp:[hauptmx.example.com] >> >> in /etc/postfix/relay >> example.com [hauptmx.example.com] >> >> und in /etc/main.cf >> mydestination = $myhostname, localhost.$mydomain, >> localhost, myhost, abc.example.com >> relay_domains = hash:/etc/postfix/relay >> relay_transport = hash:/etc/postfix/relay >> transport_maps = hash:/etc/postfix/transport >> >> ist irgendwie unfunktionabel. >> >> Wo liegt mein Fehler? > > s. http://www.postfix.org/postconf.5.html#relay_domains: > > "Domains that match $relay_domains are delivered with the > $relay_transport mail delivery transport. The SMTP server validates > recipient addresses with $relay_recipient_maps and rejects non-existent > recipients. See also the relay domains address class in the > ADDRESS_CLASS_README file." > > Der macht also in jedem Fall eine Adress-Prüfung. > Aus http://www.postfix.org/ADDRESS_CLASS_README.html: Valid recipient addresses are listed with the relay_recipient_maps parameter. The Postfix SMTP server rejects invalid recipients with "User unknown in relay recipient table". If this parameter value is empty, the Postfix SMTP server accepts all recipients for domains listed with the relay_domains parameter. Und der Parameter ist leer, also... # postconf relay_recipient_maps relay_recipient_maps = Ah, vielleicht hier: # postconf parent_domain_matches_subdomains parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps Den Wert setze ich nicht, der ist wohl per Default so (postconf -d parent_domain_matches_subdomains gibt dieselbe Ausgabe). Hier sollte ich wohl mal die relay_domains entfernen.... Gruß Werner -- From w.flamme at web.de Thu Jul 30 12:24:43 2015 From: w.flamme at web.de (Werner Flamme) Date: Thu, 30 Jul 2015 12:24:43 +0200 Subject: =?UTF-8?Q?Re:_Relay-Frage_bei_Subdomain_[gel=c3=b6st]?= In-Reply-To: <55B9EB6E.8000601@web.de> References: <55B9BCD3.7070100@web.de> <55B9D4C6.8050201@fuerstenberg.ws> <55B9EB6E.8000601@web.de> Message-ID: <55B9FB6B.2010202@web.de> Werner Flamme [30.07.2015 11:16]: > Kai Fürstenberg [30.07.2015 09:39]: >> Hi Werner, > > Hallo Kai, > > >> Am 30.07.2015 um 07:57 schrieb Werner Flamme: >>> Hallo miteinander, >>> >>> ich habe einen Mailhost, der für abc.example.com zuständig ist. Das >>> funktioniert soweit. >>> >>> Nun soll die Kiste aber auch Mails für irgendwelche.user at example.com >>> annehmen (ohne Adressprüfung) und an den Haupt-MX forwarden. >>> >>> Das klappt bei mir nicht - auch die Mails an some.user at abc.example.com >>> werden weitergeleitet. Alternativ werden die Mails an >>> irgendwelche.user at example.com nicht angenommen, weil der Host sich nicht >>> zuständig fühlt. >> >> wie lautet die genaue Fehlermeldung? Logauszug? >> Fühlt sich der Host nicht zuständig, oder beschwert er sich, dass der >> User nicht existiert? > > Wie ich schrieb: er fühlt sich nicht zuständig. Er meckert nicht über > User, sondern darüber, dass er für abc.exmple.com nicht zuständig sei. > >>> Alles, was ich dazu per Suchmaschine finde, will das Problem andersrum >>> lösen: zusätzlich zur Hauptdomain sollen auch Mails für Subdomains >>> angenommen werden. >>> >>> Kann mir hier jemand verraten, was ich einstellen muss? >>> >>> in /etc/postfix/transport >>> example.com smtp:[hauptmx.example.com] >>> >>> in /etc/postfix/relay >>> example.com [hauptmx.example.com] >>> >>> und in /etc/main.cf >>> mydestination = $myhostname, localhost.$mydomain, >>> localhost, myhost, abc.example.com >>> relay_domains = hash:/etc/postfix/relay >>> relay_transport = hash:/etc/postfix/relay >>> transport_maps = hash:/etc/postfix/transport >>> >>> ist irgendwie unfunktionabel. >>> >>> Wo liegt mein Fehler? >> >> s. http://www.postfix.org/postconf.5.html#relay_domains: >> >> "Domains that match $relay_domains are delivered with the >> $relay_transport mail delivery transport. The SMTP server validates >> recipient addresses with $relay_recipient_maps and rejects non-existent >> recipients. See also the relay domains address class in the >> ADDRESS_CLASS_README file." >> >> Der macht also in jedem Fall eine Adress-Prüfung. >> > > > Aus http://www.postfix.org/ADDRESS_CLASS_README.html: > > Valid recipient addresses are listed with the relay_recipient_maps > parameter. The Postfix SMTP server rejects invalid recipients with "User > unknown in relay recipient table". If this parameter value is empty, the > Postfix SMTP server accepts all recipients for domains listed with the > relay_domains parameter. > > Und der Parameter ist leer, also... > > # postconf relay_recipient_maps > relay_recipient_maps = > > > Ah, vielleicht hier: > # postconf parent_domain_matches_subdomains > parent_domain_matches_subdomains = > debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps > > Den Wert setze ich nicht, der ist wohl per Default so (postconf -d > parent_domain_matches_subdomains gibt dieselbe Ausgabe). Hier sollte ich > wohl mal die relay_domains entfernen.... Der Eintrag scheint es gewesen zu sein. Ich habe jetzt: relay_domains = hash:/etc/postfix/relay relay_recipient_maps = relay_transport = hash:/etc/postfix/relay relayhost = [hauptmx.example.com]:25 transport_maps = hash:/etc/postfix/transport parent_domain_matches_subdomains = debug_peer_list, fast_flush_domains, mynetworks, qmqpd_authorized_clients, smtpd_access_maps In /etc/postfix/transport steht jetzt abc.example.com : myhost.cde.example.com : * smtp:[hauptmx.example.com]:25 In /etc/postfix/relay unverändert example.com [hauptmx.example.com] Und die 50 Mails, die sich auf einem Host aufgestaut hatten, sind angekommen. Gruß Werner -- From hn at maixit.de Thu Jul 30 13:02:58 2015 From: hn at maixit.de (Henning Nelihsen) Date: Thu, 30 Jul 2015 13:02:58 +0200 Subject: Relay-Frage bei Subdomain In-Reply-To: <55B9BCD3.7070100@web.de> References: <55B9BCD3.7070100@web.de> Message-ID: <1E48D14C-80E6-4DCB-9465-7E2D2E92D67B@maixit.de> Hallo Werner, > Am 30.07.2015 um 07:57 schrieb Werner Flamme : > > Kann mir hier jemand verraten, was ich einstellen muss? > > in /etc/postfix/transport > example.com smtp:[hauptmx.example.com] > > in /etc/postfix/relay > example.com [hauptmx.example.com] > > und in /etc/main.cf > mydestination = $myhostname, localhost.$mydomain, > localhost, myhost, abc.example.com > relay_domains = hash:/etc/postfix/relay > relay_transport = hash:/etc/postfix/relay > transport_maps = hash:/etc/postfix/transport > > ist irgendwie unfunktionabel. > > Wo liegt mein Fehler? m.E. ist der rhs Teil in der relay_domains Tabelle nicht richtig, kann mich aber irren ? # in /etc/postfix/relay example.com OK rechts kann *irgendwas* stehen, ich vermute aber, dass die Klammern nicht dahin gehören, der Rest sieht eigentlich richtig aus -- Gruss, Henning -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 496 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From gjn at gjn.priv.at Thu Jul 30 13:10:05 2015 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 30 Jul 2015 13:10:05 +0200 Subject: AmaVis Message-ID: <8221081.4sghmeXxfO@techz> Hallo, was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter oder der "normale" Weg. so richtig werde ich da nicht schlau daraus. Danke für einen Antwort -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From w.flamme at web.de Thu Jul 30 13:30:26 2015 From: w.flamme at web.de (Werner Flamme) Date: Thu, 30 Jul 2015 13:30:26 +0200 Subject: Relay-Frage bei Subdomain In-Reply-To: <1E48D14C-80E6-4DCB-9465-7E2D2E92D67B@maixit.de> References: <55B9BCD3.7070100@web.de> <1E48D14C-80E6-4DCB-9465-7E2D2E92D67B@maixit.de> Message-ID: <55BA0AD2.8020209@web.de> Henning Nelihsen [30.07.2015 13:02]: > Hallo Werner, > >> Am 30.07.2015 um 07:57 schrieb Werner Flamme : >> >> Kann mir hier jemand verraten, was ich einstellen muss? >> >> in /etc/postfix/transport example.com smtp:[hauptmx.example.com] >> >> in /etc/postfix/relay example.com [hauptmx.example.com] >> >> und in /etc/main.cf mydestination = $myhostname, >> localhost.$mydomain, localhost, myhost, abc.example.com >> relay_domains = hash:/etc/postfix/relay relay_transport = >> hash:/etc/postfix/relay transport_maps = >> hash:/etc/postfix/transport >> >> ist irgendwie unfunktionabel. >> >> Wo liegt mein Fehler? > > m.E. ist der rhs Teil in der relay_domains Tabelle nicht richtig, > kann mich aber irren ? > > # in /etc/postfix/relay example.com OK > > rechts kann *irgendwas* stehen, ich vermute aber, dass die > Klammern nicht dahin gehören, der Rest sieht eigentlich richtig > aus Hallo Henning, ja, bei relay_domains kann im rechten Teil "irgendwas" stehen. Da stören die Klammern also nicht. Und bei relay_transport habe ich mich an die Doku zu transport_maps bzw. den dokumentarischen Inhalt von /etc/postfix/transport gehalten. Da stehen die Klammern, um einen MX-Lookup zu vermeiden. Ich glaube, dass Peer im Postfixbuch auch geschrieben hat, dass man so vorgehen kann, aber das Buch habe ich privat - und da ich gerade im Büro bin, liegen zwischen dem Buch und mir mehr Meter als meine Leseentfernung (auch mit Brille) beträgt ;) Gruß Werner -- From andreas.schulze at datev.de Thu Jul 30 13:39:43 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 30 Jul 2015 13:39:43 +0200 Subject: AmaVis In-Reply-To: <8221081.4sghmeXxfO@techz> References: <8221081.4sghmeXxfO@techz> Message-ID: <20150730113943.GA9532@spider.services.datevnet.de> Am 30.07.2015 13:10 schrieb Günther J. Niederwimmer: > was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter oder > der "normale" Weg. ich habe mit dem Milter gute Erfahrungen... -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From andreas.schulze at datev.de Thu Jul 30 13:39:43 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 30 Jul 2015 13:39:43 +0200 Subject: AmaVis In-Reply-To: <8221081.4sghmeXxfO@techz> References: <8221081.4sghmeXxfO@techz> Message-ID: <20150730113943.GA9532@spider.services.datevnet.de> Am 30.07.2015 13:10 schrieb Günther J. Niederwimmer: > was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter oder > der "normale" Weg. ich habe mit dem Milter gute Erfahrungen... -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From p at sys4.de Fri Jul 31 00:08:33 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 31 Jul 2015 00:08:33 +0200 Subject: AmaVis In-Reply-To: <8221081.4sghmeXxfO@techz> References: <8221081.4sghmeXxfO@techz> Message-ID: <20150730220833.GI22851@sys4.de> Günther, * Günther J. Niederwimmer : > was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter oder > der "normale" Weg. die Antwort ist, denke ich, einfach. Die Erklärung aber nicht. Sie führt über ein paar Umwege. (Ist lang, aber kürzer kriege ich es gerade nicht hin.) Vorneweg: Wir (sys4) setzen bevorzugt Milter ein. Für uns waren (seitdem Wietse begonnen hatte MILTER in Postfix zu integrieren) die erweiterten Möglichkeiten, die sich durch deren Einsatz ergeben, ausschlaggebend. Um das zu begründen stelle ich die Filter-Schnittstellen und ihre Möglichkeiten mal gegenüber: In Postfix gibt es Connection Filter, die policy-Schnittstelle, Content Filter und MILTER. Was zeichnet diese Schnittstellen aus? Connection Filter Über Connection Filter kannst Du amavis nicht einbinden. Sie sind aber super für RBLs und anderen, selber programmierten Kram. ;) Session Filter Mit policy-Services "sieht" der policy-Server die SMTP Session zwischen Client und Server. Vom Content erfährt ein policy-Server nichts. Content Filter Ein Content Filter, Du kannst die content- oder smtpd_proxy-Filter Schnittstelle nehmen, hat Einblick in den Content. Wenn das Filter XFOWARD versteht, kann es noch eingeschränkt Session-Daten wahrnehmen. Milter Ein Milter sieht alles - Session und Content. Es kann Postfix zu jedem Zeitpunkt - egal zu welchem Session Step oder welcher Zeile im vorbeiströmenden Content - seine Entscheidung verkünden. Ein Milter arbeitet ausschliesslich im Arbeitsspeicher. Es kann Content modifizieren und on the fly austauschen. Was hat man davon? 1. Du kannst E-Mail programmieren (und nicht nur konfigurieren). Wenn Du E-Mail "machst", dann ist die Milter-Schnittstelle die API mit der Du arbeiten willst - Du kannst aus dem Vollen schöpfen. Diesen prinzipbedingten Vorteil der Milter-Schnittstelle nutzen wir z.B. um den Funktionsumfang von Postfix nach den Vorstellungen unserer Kunden zu erweitern. Als aktuelles Beispiel kann ich Dir https://github.com/sys4/smilla nennen. Dort haben wir ein Programm geschrieben, das pre-Queue über DNSSEC nach (über DANE) veröffentlichten S/MIME-Zertifikaten sucht und - sodann ein S/MIME-Cert vorhanden - die Mail an den Empfänger auf dem Server verschlüsselt und sie dann verschlüsselt zustellt. 2. Du kannst Funktionen umsetzen, die mit den anderen Filter-APIs nicht möglich sind. Wenn Du z.B. DMARC einsetzen willst (im Enterprise, Carrier und ISP-Bereich willst du das sehr wahrscheinlich) bist Du im Grunde auf die MILTER-API angewiesen. So wie wir uns DMARC-Verarbeitung vorstellen, willst Du die DMARC-Filter Entscheidungen (annehmen, ablehnen) gesetzeskonform "in Session" treffen. DMARC setzt eine (vorausgegangene) SPF- und DKIM-Valdierung voraus. SPF bekommst Du mit einem Session Filter hin, aber DKIM nicht. Für DKIM *muss* das Filter Header _und_ Body, also den Content, sehen. Wenn Du also "in Session" DMARC machen willst, musst Du *vor* dem DMARC-Filter in den Content gesehen und eine DKIM-Validierung durchgeführt haben, damit du dann "in Session" die DMARC-Entscheidung bekannt geben kannst. Kein Problem, wirst Du Dir sagen, das mache ich alles live in amavis. Vielleicht irgendwann mal, aber heute nicht. Als DMARC vor 4 Jahren auf der MAAWG in Paris vorgestellt wurde, habe ich sofort Mark angemailed und ihn auf DMARC aufmerksam gemacht. Er entschied sich dagegen, es zu implementieren. Bleibt, an nicht-kommerziellen Applikationen, heute opendmarc und das ist ein MILTER. Was kannst Du mit den APIs in Postfix anfangen? Die Nutzung der APis kannst Du, so wie Wietse sie implementiert hat, unterschiedlich umfangreich kontrollieren. Connection Filter Null Kontrolle. Total auf Speed optimiert. Policy-Server Policy-Server bieten keine Kontrollmöglichkeiten. Postfix "bläst" alle Infos, die es zu der SMTP-Phase in der der policy-Service gerufen wird kennt, zu dem Service rüber. Der entscheidet 'was' und 'sagt' es Postfix. Ende. Aus. Ich mag policy-Server, weil man so ressourcensparend mit ihnen arbeiten kann. Die fehlende Kontrolle mag ich aber nicht. Im Gegenteil! Wenn ein policy-Server auf die Schnauze fällt, darf er das nicht einmal sagen. Er darf selbst dann nur "Ja und Amen" antworten. Content Filter Du kannst pre-Queue kontrollieren, ob Postfix die Mail immer gleich zum Filter durchschiebt oder ggf. erst einmal zwischenspeichert (speed_adjust). Postfix geht aber *immer* davon aus, dass das Filter verfügbar ist. Wenn es failed, failed auch Postfix. Milter Du kannst steuern welche Informationen (milter_*_macros) zu welcher Phase übermittelt werden. Bis Postfix 3.0 nur global, seit 3.0 aber per Milter verfügbar: Du kannst für jeden Milter einzeln Optionen (connect, default_action etc.) für die Zusammenarbeit festlegen. Wenn, in einer Kette von Miltern, eines failed, kannst Du Dir überlegen, ob es arbeiten *muss* oder ob es möglicherweise zeitweilig auch ohne geht. Das kann für möglichst ununterbrochenen Betrieb eine entscheidene Kontrolle sein. Für uns sprechen also die Möglichkeiten, programmatisch in E-Mail einzugreifen und die feineren Kontrollmöglichkeiten, für Milter. Bleibt noch die Frage, ob die API in Postfix fehlerfrei, belastbar, und stabil ist. Vor Postfix 3.0 gab es eine fiesen BUG in Postfix. Naja, sagen wir mal es war ein Feature. Wietse hatte die API so umgesetzt, dass die erste Header-Zeile unterdrückt wurde, um Sendmai-kompatibel zu sein. Diese Einschränkung (unsere Meinung) ist mit 3.0 nun weggefallen. Wir haben die MILTER-API in Postfix intern getestet, weil es keine Daten dazu gab. MILTER sind so schnell wie die Aufgabe, die sie erledigen müssen, es ihnen gestattet. Wenn Du nur Daten erfassen und wegschreiben willst, kommst Du entspannt auf 140 msg/sec und mehr - je nach Hardware. Bei Virenscannen wird es weniger und bei Spam schlagen die umfangreichen und ressourcenhungrigen Tests von z.B. Spamassasin zu. Das kann den Server dann signifikant runterbremsen. An der MILTER-API liegt es nicht! Die Aufgabe des MILTER definiert die Grenzen seiner Performance. Weil wir bei sowas nicht spekulieren, messen wir einfach immer. Dann können wir belastbare Aussagen treffen. Ist Milter-Software stabil? Die MILTER-API in Postfix ist stabil. Wir haben wirklich viel Mail, auf eigenene und Kundensystemen, über die API gejagt und *nie* Probleme gehabt. Und die Programme? Die Meisten sind es. Die amavis-milter Bridge (MILTER <-> AM.PDP-Protokoll) ist es. Die Milter, die wir erstellen, sind es auch. Wir haben dazu wirklich viele Milter-Libraries ausprobiert und ausreichend Zeit damit verbracht, Spreu von Weizen zu trennen. So und jetzt (endlich) die Antwort auf Deine Frage... ;) Du willst amavis als Milter einbinden. Es spricht nichts dagegen. Es spricht sogar vieles dafür. Die kommenden Filter-Ansätze, wie z.B. DMARC, erfordern (zumindest heute) MILTER. Aber wenn MILTER, dann alles MILTER, denn sie mischen sich nicht gut mit smtpd_proxy_filtern. Einer meiner Liebblingsgründe für amavis über MILTER: Das LOG sieht endlich wieder normal aus. Programme können es sauber in Serie parsen. Menschen können die Ereigniskette schlüssig von oben nach unten lesen. Allein das bestätigt mich immer wieder in der Entscheidung den smtpd_proxy_filtern vor Jahren den Rücken gekehrt zu haben. Ich habe es bis heute nicht bereut. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From gjn at gjn.priv.at Fri Jul 31 08:42:01 2015 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 31 Jul 2015 08:42:01 +0200 Subject: AmaVis In-Reply-To: <20150730220833.GI22851@sys4.de> References: <8221081.4sghmeXxfO@techz> <20150730220833.GI22851@sys4.de> Message-ID: <1614955.FW1kAQkCrR@techz> Hallo Patrick, danke für die ausführliche Erklärung, wenn Du noch Beispiele dazu packst hätten wir ein sehr gutes HowTo ;-). Ich werde also versuchen den Milter in meinen neuen Centos 7 Server einzubinden, wenn ich nicht wieder in alle Fallen laufe, die es gibt (ist meine Spezialität) :-( Nochmal Danke. Am Freitag, 31. Juli 2015, 00:08:33 schrieb Patrick Ben Koetter: > Günther, > > * Günther J. Niederwimmer : > > was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter > > oder der "normale" Weg. > > die Antwort ist, denke ich, einfach. Die Erklärung aber nicht. Sie führt > über ein paar Umwege. (Ist lang, aber kürzer kriege ich es gerade nicht > hin.) > > Vorneweg: Wir (sys4) setzen bevorzugt Milter ein. Für uns waren (seitdem > Wietse begonnen hatte MILTER in Postfix zu integrieren) die erweiterten > Möglichkeiten, die sich durch deren Einsatz ergeben, ausschlaggebend. > > Um das zu begründen stelle ich die Filter-Schnittstellen und ihre > Möglichkeiten mal gegenüber: > > In Postfix gibt es Connection Filter, die policy-Schnittstelle, Content > Filter und MILTER. Was zeichnet diese Schnittstellen aus? > > Connection Filter > Über Connection Filter kannst Du amavis nicht einbinden. Sie sind aber super > für RBLs und anderen, selber programmierten Kram. ;) > > Session Filter > Mit policy-Services "sieht" der policy-Server die SMTP Session zwischen > Client und Server. Vom Content erfährt ein policy-Server nichts. > > Content Filter > Ein Content Filter, Du kannst die content- oder smtpd_proxy-Filter > Schnittstelle nehmen, hat Einblick in den Content. Wenn das Filter XFOWARD > versteht, kann es noch eingeschränkt Session-Daten wahrnehmen. > > Milter > Ein Milter sieht alles - Session und Content. Es kann Postfix zu jedem > Zeitpunkt - egal zu welchem Session Step oder welcher Zeile im > vorbeiströmenden Content - seine Entscheidung verkünden. Ein Milter arbeitet > ausschliesslich im Arbeitsspeicher. Es kann Content modifizieren und on the > fly austauschen. > > > Was hat man davon? > > 1. Du kannst E-Mail programmieren (und nicht nur konfigurieren). > Wenn Du E-Mail "machst", dann ist die Milter-Schnittstelle die API mit der > Du arbeiten willst - Du kannst aus dem Vollen schöpfen. Diesen > prinzipbedingten Vorteil der Milter-Schnittstelle nutzen wir z.B. um den > Funktionsumfang von Postfix nach den Vorstellungen unserer Kunden zu > erweitern. > > Als aktuelles Beispiel kann ich Dir https://github.com/sys4/smilla > nennen. Dort haben wir ein Programm geschrieben, das pre-Queue über DNSSEC > nach (über DANE) veröffentlichten S/MIME-Zertifikaten sucht und - sodann > ein S/MIME-Cert vorhanden - die Mail an den Empfänger auf dem Server > verschlüsselt und sie dann verschlüsselt zustellt. > > > 2. Du kannst Funktionen umsetzen, die mit den anderen Filter-APIs nicht > möglich sind. > Wenn Du z.B. DMARC einsetzen willst (im Enterprise, Carrier und ISP-Bereich > willst du das sehr wahrscheinlich) bist Du im Grunde auf die MILTER-API > angewiesen. So wie wir uns DMARC-Verarbeitung vorstellen, willst Du die > DMARC-Filter Entscheidungen (annehmen, ablehnen) gesetzeskonform "in > Session" treffen. > DMARC setzt eine (vorausgegangene) SPF- und DKIM-Valdierung voraus. SPF > bekommst Du mit einem Session Filter hin, aber DKIM nicht. Für DKIM *muss* > das Filter Header _und_ Body, also den Content, sehen. > Wenn Du also "in Session" DMARC machen willst, musst Du *vor* dem > DMARC-Filter in den Content gesehen und eine DKIM-Validierung durchgeführt > haben, damit du dann "in Session" die DMARC-Entscheidung bekannt geben > kannst. > Kein Problem, wirst Du Dir sagen, das mache ich alles live in amavis. > Vielleicht irgendwann mal, aber heute nicht. Als DMARC vor 4 Jahren auf der > MAAWG in Paris vorgestellt wurde, habe ich sofort Mark angemailed und ihn > auf DMARC aufmerksam gemacht. Er entschied sich dagegen, es zu > implementieren. Bleibt, an nicht-kommerziellen Applikationen, heute > opendmarc und das ist ein MILTER. > > > Was kannst Du mit den APIs in Postfix anfangen? > > Die Nutzung der APis kannst Du, so wie Wietse sie implementiert hat, > unterschiedlich umfangreich kontrollieren. > > Connection Filter > Null Kontrolle. Total auf Speed optimiert. > > Policy-Server > Policy-Server bieten keine Kontrollmöglichkeiten. Postfix "bläst" alle > Infos, die es zu der SMTP-Phase in der der policy-Service gerufen wird > kennt, zu dem Service rüber. Der entscheidet 'was' und 'sagt' es Postfix. > Ende. Aus. > > Ich mag policy-Server, weil man so ressourcensparend mit ihnen arbeiten > kann. Die fehlende Kontrolle mag ich aber nicht. Im Gegenteil! Wenn ein > policy-Server auf die Schnauze fällt, darf er das nicht einmal sagen. Er > darf selbst dann nur "Ja und Amen" antworten. > > Content Filter > Du kannst pre-Queue kontrollieren, ob Postfix die Mail immer gleich zum > Filter durchschiebt oder ggf. erst einmal zwischenspeichert (speed_adjust). > Postfix geht aber *immer* davon aus, dass das Filter verfügbar ist. Wenn es > failed, failed auch Postfix. > > Milter > Du kannst steuern welche Informationen (milter_*_macros) zu welcher Phase > übermittelt werden. Bis Postfix 3.0 nur global, seit 3.0 aber per Milter > verfügbar: Du kannst für jeden Milter einzeln Optionen (connect, > default_action etc.) für die Zusammenarbeit festlegen. > > Wenn, in einer Kette von Miltern, eines failed, kannst Du Dir überlegen, ob > es arbeiten *muss* oder ob es möglicherweise zeitweilig auch ohne geht. Das > kann für möglichst ununterbrochenen Betrieb eine entscheidene Kontrolle > sein. > > > Für uns sprechen also die Möglichkeiten, programmatisch in E-Mail > einzugreifen und die feineren Kontrollmöglichkeiten, für Milter. > > > Bleibt noch die Frage, ob die API in Postfix fehlerfrei, belastbar, und > stabil ist. > > Vor Postfix 3.0 gab es eine fiesen BUG in Postfix. Naja, sagen wir mal es > war ein Feature. Wietse hatte die API so umgesetzt, dass die erste > Header-Zeile unterdrückt wurde, um Sendmai-kompatibel zu sein. Diese > Einschränkung (unsere Meinung) ist mit 3.0 nun weggefallen. > > Wir haben die MILTER-API in Postfix intern getestet, weil es keine Daten > dazu gab. MILTER sind so schnell wie die Aufgabe, die sie erledigen müssen, > es ihnen gestattet. Wenn Du nur Daten erfassen und wegschreiben willst, > kommst Du entspannt auf 140 msg/sec und mehr - je nach Hardware. Bei > Virenscannen wird es weniger und bei Spam schlagen die umfangreichen und > ressourcenhungrigen Tests von z.B. Spamassasin zu. Das kann den Server dann > signifikant runterbremsen. An der MILTER-API liegt es nicht! Die Aufgabe > des MILTER definiert die Grenzen seiner Performance. > > Weil wir bei sowas nicht spekulieren, messen wir einfach immer. Dann > können wir belastbare Aussagen treffen. > > Ist Milter-Software stabil? Die MILTER-API in Postfix ist stabil. Wir haben > wirklich viel Mail, auf eigenene und Kundensystemen, über die API gejagt und > *nie* Probleme gehabt. Und die Programme? Die Meisten sind es. Die > amavis-milter Bridge (MILTER <-> AM.PDP-Protokoll) ist es. Die Milter, die > wir erstellen, sind es auch. Wir haben dazu wirklich viele Milter-Libraries > ausprobiert und ausreichend Zeit damit verbracht, Spreu von Weizen zu > trennen. > > So und jetzt (endlich) die Antwort auf Deine Frage... ;) > > Du willst amavis als Milter einbinden. Es spricht nichts dagegen. Es spricht > sogar vieles dafür. Die kommenden Filter-Ansätze, wie z.B. DMARC, erfordern > (zumindest heute) MILTER. Aber wenn MILTER, dann alles MILTER, denn sie > mischen sich nicht gut mit smtpd_proxy_filtern. > > Einer meiner Liebblingsgründe für amavis über MILTER: Das LOG sieht endlich > wieder normal aus. Programme können es sauber in Serie parsen. Menschen > können die Ereigniskette schlüssig von oben nach unten lesen. Allein das > bestätigt mich immer wieder in der Entscheidung den smtpd_proxy_filtern vor > Jahren den Rücken gekehrt zu haben. Ich habe es bis heute nicht bereut. > > p at rick -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From p at sys4.de Fri Jul 31 10:28:35 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 31 Jul 2015 10:28:35 +0200 Subject: AmaVis In-Reply-To: <1614955.FW1kAQkCrR@techz> References: <8221081.4sghmeXxfO@techz> <20150730220833.GI22851@sys4.de> <1614955.FW1kAQkCrR@techz> Message-ID: <20150731082835.GD12329@sys4.de> * Günther J. Niederwimmer : > Hallo Patrick, > > danke für die ausführliche Erklärung, wenn Du noch Beispiele dazu packst > hätten wir ein sehr gutes HowTo ;-). Zwei Dumme, ein Gedanke... ;) Ich habe IMO das Notwendige zusammengeschrieben. Falls was fehlt einfach melden: https://sys4.de/de/blog/2015/07/31/amavisd-milter-howto/ > Ich werde also versuchen den Milter in meinen neuen Centos 7 Server > einzubinden, wenn ich nicht wieder in alle Fallen laufe, die es gibt (ist > meine Spezialität) :-( Du willst das EPEL-Repo. Der Rest ist IMNSHO unbrauchbar. p at rick > > Nochmal Danke. > > Am Freitag, 31. Juli 2015, 00:08:33 schrieb Patrick Ben Koetter: > > Günther, > > > > * Günther J. Niederwimmer : > > > was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter > > > oder der "normale" Weg. > > > > die Antwort ist, denke ich, einfach. Die Erklärung aber nicht. Sie führt > > über ein paar Umwege. (Ist lang, aber kürzer kriege ich es gerade nicht > > hin.) > > > > Vorneweg: Wir (sys4) setzen bevorzugt Milter ein. Für uns waren (seitdem > > Wietse begonnen hatte MILTER in Postfix zu integrieren) die erweiterten > > Möglichkeiten, die sich durch deren Einsatz ergeben, ausschlaggebend. > > > > Um das zu begründen stelle ich die Filter-Schnittstellen und ihre > > Möglichkeiten mal gegenüber: > > > > In Postfix gibt es Connection Filter, die policy-Schnittstelle, Content > > Filter und MILTER. Was zeichnet diese Schnittstellen aus? > > > > Connection Filter > > Über Connection Filter kannst Du amavis nicht einbinden. Sie sind aber super > > für RBLs und anderen, selber programmierten Kram. ;) > > > > Session Filter > > Mit policy-Services "sieht" der policy-Server die SMTP Session zwischen > > Client und Server. Vom Content erfährt ein policy-Server nichts. > > > > Content Filter > > Ein Content Filter, Du kannst die content- oder smtpd_proxy-Filter > > Schnittstelle nehmen, hat Einblick in den Content. Wenn das Filter XFOWARD > > versteht, kann es noch eingeschränkt Session-Daten wahrnehmen. > > > > Milter > > Ein Milter sieht alles - Session und Content. Es kann Postfix zu jedem > > Zeitpunkt - egal zu welchem Session Step oder welcher Zeile im > > vorbeiströmenden Content - seine Entscheidung verkünden. Ein Milter arbeitet > > ausschliesslich im Arbeitsspeicher. Es kann Content modifizieren und on the > > fly austauschen. > > > > > > Was hat man davon? > > > > 1. Du kannst E-Mail programmieren (und nicht nur konfigurieren). > > Wenn Du E-Mail "machst", dann ist die Milter-Schnittstelle die API mit der > > Du arbeiten willst - Du kannst aus dem Vollen schöpfen. Diesen > > prinzipbedingten Vorteil der Milter-Schnittstelle nutzen wir z.B. um den > > Funktionsumfang von Postfix nach den Vorstellungen unserer Kunden zu > > erweitern. > > > > Als aktuelles Beispiel kann ich Dir https://github.com/sys4/smilla > > nennen. Dort haben wir ein Programm geschrieben, das pre-Queue über DNSSEC > > nach (über DANE) veröffentlichten S/MIME-Zertifikaten sucht und - sodann > > ein S/MIME-Cert vorhanden - die Mail an den Empfänger auf dem Server > > verschlüsselt und sie dann verschlüsselt zustellt. > > > > > > 2. Du kannst Funktionen umsetzen, die mit den anderen Filter-APIs nicht > > möglich sind. > > Wenn Du z.B. DMARC einsetzen willst (im Enterprise, Carrier und ISP-Bereich > > willst du das sehr wahrscheinlich) bist Du im Grunde auf die MILTER-API > > angewiesen. So wie wir uns DMARC-Verarbeitung vorstellen, willst Du die > > DMARC-Filter Entscheidungen (annehmen, ablehnen) gesetzeskonform "in > > Session" treffen. > > DMARC setzt eine (vorausgegangene) SPF- und DKIM-Valdierung voraus. SPF > > bekommst Du mit einem Session Filter hin, aber DKIM nicht. Für DKIM *muss* > > das Filter Header _und_ Body, also den Content, sehen. > > Wenn Du also "in Session" DMARC machen willst, musst Du *vor* dem > > DMARC-Filter in den Content gesehen und eine DKIM-Validierung durchgeführt > > haben, damit du dann "in Session" die DMARC-Entscheidung bekannt geben > > kannst. > > Kein Problem, wirst Du Dir sagen, das mache ich alles live in amavis. > > Vielleicht irgendwann mal, aber heute nicht. Als DMARC vor 4 Jahren auf der > > MAAWG in Paris vorgestellt wurde, habe ich sofort Mark angemailed und ihn > > auf DMARC aufmerksam gemacht. Er entschied sich dagegen, es zu > > implementieren. Bleibt, an nicht-kommerziellen Applikationen, heute > > opendmarc und das ist ein MILTER. > > > > > > Was kannst Du mit den APIs in Postfix anfangen? > > > > Die Nutzung der APis kannst Du, so wie Wietse sie implementiert hat, > > unterschiedlich umfangreich kontrollieren. > > > > Connection Filter > > Null Kontrolle. Total auf Speed optimiert. > > > > Policy-Server > > Policy-Server bieten keine Kontrollmöglichkeiten. Postfix "bläst" alle > > Infos, die es zu der SMTP-Phase in der der policy-Service gerufen wird > > kennt, zu dem Service rüber. Der entscheidet 'was' und 'sagt' es Postfix. > > Ende. Aus. > > > > Ich mag policy-Server, weil man so ressourcensparend mit ihnen arbeiten > > kann. Die fehlende Kontrolle mag ich aber nicht. Im Gegenteil! Wenn ein > > policy-Server auf die Schnauze fällt, darf er das nicht einmal sagen. Er > > darf selbst dann nur "Ja und Amen" antworten. > > > > Content Filter > > Du kannst pre-Queue kontrollieren, ob Postfix die Mail immer gleich zum > > Filter durchschiebt oder ggf. erst einmal zwischenspeichert (speed_adjust). > > Postfix geht aber *immer* davon aus, dass das Filter verfügbar ist. Wenn es > > failed, failed auch Postfix. > > > > Milter > > Du kannst steuern welche Informationen (milter_*_macros) zu welcher Phase > > übermittelt werden. Bis Postfix 3.0 nur global, seit 3.0 aber per Milter > > verfügbar: Du kannst für jeden Milter einzeln Optionen (connect, > > default_action etc.) für die Zusammenarbeit festlegen. > > > > Wenn, in einer Kette von Miltern, eines failed, kannst Du Dir überlegen, ob > > es arbeiten *muss* oder ob es möglicherweise zeitweilig auch ohne geht. Das > > kann für möglichst ununterbrochenen Betrieb eine entscheidene Kontrolle > > sein. > > > > > > Für uns sprechen also die Möglichkeiten, programmatisch in E-Mail > > einzugreifen und die feineren Kontrollmöglichkeiten, für Milter. > > > > > > Bleibt noch die Frage, ob die API in Postfix fehlerfrei, belastbar, und > > stabil ist. > > > > Vor Postfix 3.0 gab es eine fiesen BUG in Postfix. Naja, sagen wir mal es > > war ein Feature. Wietse hatte die API so umgesetzt, dass die erste > > Header-Zeile unterdrückt wurde, um Sendmai-kompatibel zu sein. Diese > > Einschränkung (unsere Meinung) ist mit 3.0 nun weggefallen. > > > > Wir haben die MILTER-API in Postfix intern getestet, weil es keine Daten > > dazu gab. MILTER sind so schnell wie die Aufgabe, die sie erledigen müssen, > > es ihnen gestattet. Wenn Du nur Daten erfassen und wegschreiben willst, > > kommst Du entspannt auf 140 msg/sec und mehr - je nach Hardware. Bei > > Virenscannen wird es weniger und bei Spam schlagen die umfangreichen und > > ressourcenhungrigen Tests von z.B. Spamassasin zu. Das kann den Server dann > > signifikant runterbremsen. An der MILTER-API liegt es nicht! Die Aufgabe > > des MILTER definiert die Grenzen seiner Performance. > > > > Weil wir bei sowas nicht spekulieren, messen wir einfach immer. Dann > > können wir belastbare Aussagen treffen. > > > > Ist Milter-Software stabil? Die MILTER-API in Postfix ist stabil. Wir haben > > wirklich viel Mail, auf eigenene und Kundensystemen, über die API gejagt und > > *nie* Probleme gehabt. Und die Programme? Die Meisten sind es. Die > > amavis-milter Bridge (MILTER <-> AM.PDP-Protokoll) ist es. Die Milter, die > > wir erstellen, sind es auch. Wir haben dazu wirklich viele Milter-Libraries > > ausprobiert und ausreichend Zeit damit verbracht, Spreu von Weizen zu > > trennen. > > > > So und jetzt (endlich) die Antwort auf Deine Frage... ;) > > > > Du willst amavis als Milter einbinden. Es spricht nichts dagegen. Es spricht > > sogar vieles dafür. Die kommenden Filter-Ansätze, wie z.B. DMARC, erfordern > > (zumindest heute) MILTER. Aber wenn MILTER, dann alles MILTER, denn sie > > mischen sich nicht gut mit smtpd_proxy_filtern. > > > > Einer meiner Liebblingsgründe für amavis über MILTER: Das LOG sieht endlich > > wieder normal aus. Programme können es sauber in Serie parsen. Menschen > > können die Ereigniskette schlüssig von oben nach unten lesen. Allein das > > bestätigt mich immer wieder in der Entscheidung den smtpd_proxy_filtern vor > > Jahren den Rücken gekehrt zu haben. Ich habe es bis heute nicht bereut. > > > > p at rick > > -- > mit freundlichen Grüssen / best regards, > > Günther J. Niederwimmer -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From m.grundmann at wittich-foehren.de Fri Jul 31 10:41:27 2015 From: m.grundmann at wittich-foehren.de (Michael Grundmann) Date: Fri, 31 Jul 2015 10:41:27 +0200 Subject: AmaVis In-Reply-To: <20150731082835.GD12329@sys4.de> References: <8221081.4sghmeXxfO@techz> <20150730220833.GI22851@sys4.de> <1614955.FW1kAQkCrR@techz> <20150731082835.GD12329@sys4.de> Message-ID: <55BB34B7.40201@wittich-foehren.de> Hallo Patrick, danke für die ausführliche Erklärung! Am 31.07.15 um 10:28 schrieb Patrick Ben Koetter: > * Günther J. Niederwimmer : >> Hallo Patrick, >> >> danke für die ausführliche Erklärung, wenn Du noch Beispiele dazu packst >> hätten wir ein sehr gutes HowTo ;-). > Zwei Dumme, ein Gedanke... ;) > > Ich habe IMO das Notwendige zusammengeschrieben. Falls was fehlt einfach > melden: > > https://sys4.de/de/blog/2015/07/31/amavisd-milter-howto/ > > >> Ich werde also versuchen den Milter in meinen neuen Centos 7 Server >> einzubinden, wenn ich nicht wieder in alle Fallen laufe, die es gibt (ist >> meine Spezialität) :-( > Du willst das EPEL-Repo. Der Rest ist IMNSHO unbrauchbar. > > p at rick > > > >> Nochmal Danke. >> >> Am Freitag, 31. Juli 2015, 00:08:33 schrieb Patrick Ben Koetter: >>> Günther, >>> >>> * Günther J. Niederwimmer : >>>> was ist eigentlich der "bessere" Weg um amavis einzubinden amavis-milter >>>> oder der "normale" Weg. >>> die Antwort ist, denke ich, einfach. Die Erklärung aber nicht. Sie führt >>> über ein paar Umwege. (Ist lang, aber kürzer kriege ich es gerade nicht >>> hin.) >>> >>> Vorneweg: Wir (sys4) setzen bevorzugt Milter ein. Für uns waren (seitdem >>> Wietse begonnen hatte MILTER in Postfix zu integrieren) die erweiterten >>> Möglichkeiten, die sich durch deren Einsatz ergeben, ausschlaggebend. >>> >>> Um das zu begründen stelle ich die Filter-Schnittstellen und ihre >>> Möglichkeiten mal gegenüber: >>> >>> In Postfix gibt es Connection Filter, die policy-Schnittstelle, Content >>> Filter und MILTER. Was zeichnet diese Schnittstellen aus? >>> >>> Connection Filter >>> Über Connection Filter kannst Du amavis nicht einbinden. Sie sind aber super >>> für RBLs und anderen, selber programmierten Kram. ;) >>> >>> Session Filter >>> Mit policy-Services "sieht" der policy-Server die SMTP Session zwischen >>> Client und Server. Vom Content erfährt ein policy-Server nichts. >>> >>> Content Filter >>> Ein Content Filter, Du kannst die content- oder smtpd_proxy-Filter >>> Schnittstelle nehmen, hat Einblick in den Content. Wenn das Filter XFOWARD >>> versteht, kann es noch eingeschränkt Session-Daten wahrnehmen. >>> >>> Milter >>> Ein Milter sieht alles - Session und Content. Es kann Postfix zu jedem >>> Zeitpunkt - egal zu welchem Session Step oder welcher Zeile im >>> vorbeiströmenden Content - seine Entscheidung verkünden. Ein Milter arbeitet >>> ausschliesslich im Arbeitsspeicher. Es kann Content modifizieren und on the >>> fly austauschen. >>> >>> >>> Was hat man davon? >>> >>> 1. Du kannst E-Mail programmieren (und nicht nur konfigurieren). >>> Wenn Du E-Mail "machst", dann ist die Milter-Schnittstelle die API mit der >>> Du arbeiten willst - Du kannst aus dem Vollen schöpfen. Diesen >>> prinzipbedingten Vorteil der Milter-Schnittstelle nutzen wir z.B. um den >>> Funktionsumfang von Postfix nach den Vorstellungen unserer Kunden zu >>> erweitern. >>> >>> Als aktuelles Beispiel kann ich Dir https://github.com/sys4/smilla >>> nennen. Dort haben wir ein Programm geschrieben, das pre-Queue über DNSSEC >>> nach (über DANE) veröffentlichten S/MIME-Zertifikaten sucht und - sodann >>> ein S/MIME-Cert vorhanden - die Mail an den Empfänger auf dem Server >>> verschlüsselt und sie dann verschlüsselt zustellt. >>> >>> >>> 2. Du kannst Funktionen umsetzen, die mit den anderen Filter-APIs nicht >>> möglich sind. >>> Wenn Du z.B. DMARC einsetzen willst (im Enterprise, Carrier und ISP-Bereich >>> willst du das sehr wahrscheinlich) bist Du im Grunde auf die MILTER-API >>> angewiesen. So wie wir uns DMARC-Verarbeitung vorstellen, willst Du die >>> DMARC-Filter Entscheidungen (annehmen, ablehnen) gesetzeskonform "in >>> Session" treffen. >>> DMARC setzt eine (vorausgegangene) SPF- und DKIM-Valdierung voraus. SPF >>> bekommst Du mit einem Session Filter hin, aber DKIM nicht. Für DKIM *muss* >>> das Filter Header _und_ Body, also den Content, sehen. >>> Wenn Du also "in Session" DMARC machen willst, musst Du *vor* dem >>> DMARC-Filter in den Content gesehen und eine DKIM-Validierung durchgeführt >>> haben, damit du dann "in Session" die DMARC-Entscheidung bekannt geben >>> kannst. >>> Kein Problem, wirst Du Dir sagen, das mache ich alles live in amavis. >>> Vielleicht irgendwann mal, aber heute nicht. Als DMARC vor 4 Jahren auf der >>> MAAWG in Paris vorgestellt wurde, habe ich sofort Mark angemailed und ihn >>> auf DMARC aufmerksam gemacht. Er entschied sich dagegen, es zu >>> implementieren. Bleibt, an nicht-kommerziellen Applikationen, heute >>> opendmarc und das ist ein MILTER. >>> >>> >>> Was kannst Du mit den APIs in Postfix anfangen? >>> >>> Die Nutzung der APis kannst Du, so wie Wietse sie implementiert hat, >>> unterschiedlich umfangreich kontrollieren. >>> >>> Connection Filter >>> Null Kontrolle. Total auf Speed optimiert. >>> >>> Policy-Server >>> Policy-Server bieten keine Kontrollmöglichkeiten. Postfix "bläst" alle >>> Infos, die es zu der SMTP-Phase in der der policy-Service gerufen wird >>> kennt, zu dem Service rüber. Der entscheidet 'was' und 'sagt' es Postfix. >>> Ende. Aus. >>> >>> Ich mag policy-Server, weil man so ressourcensparend mit ihnen arbeiten >>> kann. Die fehlende Kontrolle mag ich aber nicht. Im Gegenteil! Wenn ein >>> policy-Server auf die Schnauze fällt, darf er das nicht einmal sagen. Er >>> darf selbst dann nur "Ja und Amen" antworten. >>> >>> Content Filter >>> Du kannst pre-Queue kontrollieren, ob Postfix die Mail immer gleich zum >>> Filter durchschiebt oder ggf. erst einmal zwischenspeichert (speed_adjust). >>> Postfix geht aber *immer* davon aus, dass das Filter verfügbar ist. Wenn es >>> failed, failed auch Postfix. >>> >>> Milter >>> Du kannst steuern welche Informationen (milter_*_macros) zu welcher Phase >>> übermittelt werden. Bis Postfix 3.0 nur global, seit 3.0 aber per Milter >>> verfügbar: Du kannst für jeden Milter einzeln Optionen (connect, >>> default_action etc.) für die Zusammenarbeit festlegen. >>> >>> Wenn, in einer Kette von Miltern, eines failed, kannst Du Dir überlegen, ob >>> es arbeiten *muss* oder ob es möglicherweise zeitweilig auch ohne geht. Das >>> kann für möglichst ununterbrochenen Betrieb eine entscheidene Kontrolle >>> sein. >>> >>> >>> Für uns sprechen also die Möglichkeiten, programmatisch in E-Mail >>> einzugreifen und die feineren Kontrollmöglichkeiten, für Milter. >>> >>> >>> Bleibt noch die Frage, ob die API in Postfix fehlerfrei, belastbar, und >>> stabil ist. >>> >>> Vor Postfix 3.0 gab es eine fiesen BUG in Postfix. Naja, sagen wir mal es >>> war ein Feature. Wietse hatte die API so umgesetzt, dass die erste >>> Header-Zeile unterdrückt wurde, um Sendmai-kompatibel zu sein. Diese >>> Einschränkung (unsere Meinung) ist mit 3.0 nun weggefallen. >>> >>> Wir haben die MILTER-API in Postfix intern getestet, weil es keine Daten >>> dazu gab. MILTER sind so schnell wie die Aufgabe, die sie erledigen müssen, >>> es ihnen gestattet. Wenn Du nur Daten erfassen und wegschreiben willst, >>> kommst Du entspannt auf 140 msg/sec und mehr - je nach Hardware. Bei >>> Virenscannen wird es weniger und bei Spam schlagen die umfangreichen und >>> ressourcenhungrigen Tests von z.B. Spamassasin zu. Das kann den Server dann >>> signifikant runterbremsen. An der MILTER-API liegt es nicht! Die Aufgabe >>> des MILTER definiert die Grenzen seiner Performance. >>> >>> Weil wir bei sowas nicht spekulieren, messen wir einfach immer. Dann >>> können wir belastbare Aussagen treffen. >>> >>> Ist Milter-Software stabil? Die MILTER-API in Postfix ist stabil. Wir haben >>> wirklich viel Mail, auf eigenene und Kundensystemen, über die API gejagt und >>> *nie* Probleme gehabt. Und die Programme? Die Meisten sind es. Die >>> amavis-milter Bridge (MILTER <-> AM.PDP-Protokoll) ist es. Die Milter, die >>> wir erstellen, sind es auch. Wir haben dazu wirklich viele Milter-Libraries >>> ausprobiert und ausreichend Zeit damit verbracht, Spreu von Weizen zu >>> trennen. >>> >>> So und jetzt (endlich) die Antwort auf Deine Frage... ;) >>> >>> Du willst amavis als Milter einbinden. Es spricht nichts dagegen. Es spricht >>> sogar vieles dafür. Die kommenden Filter-Ansätze, wie z.B. DMARC, erfordern >>> (zumindest heute) MILTER. Aber wenn MILTER, dann alles MILTER, denn sie >>> mischen sich nicht gut mit smtpd_proxy_filtern. >>> >>> Einer meiner Liebblingsgründe für amavis über MILTER: Das LOG sieht endlich >>> wieder normal aus. Programme können es sauber in Serie parsen. Menschen >>> können die Ereigniskette schlüssig von oben nach unten lesen. Allein das >>> bestätigt mich immer wieder in der Entscheidung den smtpd_proxy_filtern vor >>> Jahren den Rücken gekehrt zu haben. Ich habe es bis heute nicht bereut. >>> >>> p at rick >> -- >> mit freundlichen Grüssen / best regards, >> >> Günther J. Niederwimmer -- Mit freundlichen Grüßen *Verlag + Druck LINUS WITTICH KG* i. A. Michael Grundmann 54343 Föhren Europaallee 2 E-Mail: m.grundmann at wittich-foehren.de Internet: http://www.wittich.de Tel.: +49 6502/9147210 Fax: +49 6502/9147332 Sitz der Gesellschaft: Föhren Geschäftsführer: Dietmar Kaupp Amtsgericht: Wittlich HR 4199 USt ID gemäß §27 a UStG DE 149324406 *Kennen Sie schon localbook? Nein? Hier >>> * -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 868 bytes Beschreibung: OpenPGP digital signature URL : From mailingliste-postfixbuch+spamtrap at pothe.de Fri Jul 31 16:20:09 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Fri, 31 Jul 2015 16:20:09 +0200 Subject: AmaVis In-Reply-To: <20150731082835.GD12329@sys4.de> References: <8221081.4sghmeXxfO@techz> <20150730220833.GI22851@sys4.de> <1614955.FW1kAQkCrR@techz> <20150731082835.GD12329@sys4.de> Message-ID: <55BB8419.4090004@pothe.de> Hi, Am 31.07.2015 um 10:28 schrieb Patrick Ben Koetter: > Zwei Dumme, ein Gedanke... ;) > > Ich habe IMO das Notwendige zusammengeschrieben. Falls was fehlt einfach > melden: > > https://sys4.de/de/blog/2015/07/31/amavisd-milter-howto/ > Danke für das Tut, es scheint (mit Modifikation) bei mir zu funktionieren. Zumindest unter Debian Jessie lief das so nicht ohne weiteres, hier muss der amavisd-milter zwingend als User "amavis" gestartet werden - keine Ahnung, wie das bei anderes Distris ist. Auch lautet das Verzeichnis unter Debian nicht /var/amavis/, sondern /var/lib/amavis/ - da viele Leute Tutorials ja immer 1:1 übernehmen, ohne mitzudenken, würde ich vorschlagen, hier einen expliziten Hinweis aufzunehmen. Eine Frage noch: Derart als Milter eingebunden darf ich Amavisd dann auch sagen, dass er REJECTen darf, wenn ein Spamscore übermittelt wird? Meine Config war bislang noch so alt, dass nicht einmal mehr smtpd_proxy_filter zum Einsatz kam, sondern die ganz alte Methode über content_filter=amavis:[127.0.0.1]:10024, was zur Konsequenz hatte, dass Amavis nur sieht, was Postfix bereits angenommen hatte, entsprechend ein BOUNCE oder REJECT nicht mehr möglich war (weil sonst seitens Postfix ein Bounce an einen möglicherweise gefälschten Absender generiert hätte). CU Andreas From mailingliste-postfixbuch+spamtrap at pothe.de Fri Jul 31 16:22:18 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Fri, 31 Jul 2015 16:22:18 +0200 Subject: AmaVis In-Reply-To: <55BB8419.4090004@pothe.de> References: <8221081.4sghmeXxfO@techz> <20150730220833.GI22851@sys4.de> <1614955.FW1kAQkCrR@techz> <20150731082835.GD12329@sys4.de> <55BB8419.4090004@pothe.de> Message-ID: <55BB849A.3040005@pothe.de> Am 31.07.2015 um 16:20 schrieb Andreas Pothe: > auch sagen, dass er REJECTen darf, wenn ein Spamscore übermittelt wird? Ich meine natürlich "überschritten", nicht "übermittelt" From p at sys4.de Fri Jul 31 16:29:48 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 31 Jul 2015 16:29:48 +0200 Subject: AmaVis In-Reply-To: <55BB8419.4090004@pothe.de> References: <8221081.4sghmeXxfO@techz> <20150730220833.GI22851@sys4.de> <1614955.FW1kAQkCrR@techz> <20150731082835.GD12329@sys4.de> <55BB8419.4090004@pothe.de> Message-ID: <20150731142948.GH4125@sys4.de> * Andreas Pothe : > Hi, > > Am 31.07.2015 um 10:28 schrieb Patrick Ben Koetter: > > Zwei Dumme, ein Gedanke... ;) > > > > Ich habe IMO das Notwendige zusammengeschrieben. Falls was fehlt einfach > > melden: > > > > https://sys4.de/de/blog/2015/07/31/amavisd-milter-howto/ > > > Danke für das Tut, es scheint (mit Modifikation) bei mir zu > funktionieren. Zumindest unter Debian Jessie lief das so nicht ohne > weiteres, hier muss der amavisd-milter zwingend als User "amavis" > gestartet werden - keine Ahnung, wie das bei anderes Distris ist. > Auch lautet das Verzeichnis unter Debian nicht /var/amavis/, sondern > /var/lib/amavis/ - da viele Leute Tutorials ja immer 1:1 übernehmen, > ohne mitzudenken, würde ich vorschlagen, hier einen expliziten Hinweis > aufzunehmen. Sind das alle Debian-spezifischen Parameter/Anpassungen? Dann würde ich die in das HOWTO einbauen. > Eine Frage noch: Derart als Milter eingebunden darf ich Amavisd dann > auch sagen, dass er REJECTen darf, wenn ein Spamscore übermittelt wird? > Meine Config war bislang noch so alt, dass nicht einmal mehr > smtpd_proxy_filter zum Einsatz kam, sondern die ganz alte Methode über > content_filter=amavis:[127.0.0.1]:10024, was zur Konsequenz hatte, dass > Amavis nur sieht, was Postfix bereits angenommen hatte, entsprechend ein > BOUNCE oder REJECT nicht mehr möglich war (weil sonst seitens Postfix > ein Bounce an einen möglicherweise gefälschten Absender generiert hätte). Ja, wenn Du per MILTER pre-Queue arbeitest, kannst/sollst/musst Du live rejecten. Sobald Du die Nachricht angenommen hast, musst Du sie zustellen oder Du machst Dich der Unterdrückung der Zustellung strafbar (sagen die Anwälte sinngemäß). p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein