From lists at xunil.at Sun Mar 1 14:24:59 2015 From: lists at xunil.at (Stefan G. Weichinger) Date: Sun, 01 Mar 2015 14:24:59 +0100 Subject: [Postfixbuch-users] OT: Preisniveau Spam-Filterung In-Reply-To: <3114119.e44aeXHUSv@tux.boltz.de.vu> References: <54EEF0CF.10107@xunil.at> <3114119.e44aeXHUSv@tux.boltz.de.vu> Message-ID: <54F3132B.8060809@xunil.at> On 27.02.2015 17:06, Christian Boltz wrote: > Also 350-500 MB pro Tag - das wären 15 000 Mails a 20 kB bei reinem > Mailinglisten-Traffic oder 3000 Mails a 100 kB, was bei Geschäftskunden > dank HTML-Mails und Anhängen wohl eher passt. (Jetzt mal ohne den > abgewiesenen Spam gerechnet.) > > Diese Menge Mails macht einer meiner Rootserver nebenher, neben > Webhosting (hauptsächlich Typo3) für > 100 Domains ;-) - und der ist > immer noch gelangweilt. Yep. Keine große Last zu erwarten ... maximal anfangs dadurch, daß die ziemliche Spam-Probleme haben (deswegen wollen sie ja was neues davor setzen ...) und daher wohl viele Bots und so am Eingang rumprobieren ;-) >> Von einem großen Provider in A hab ich eine interne Angabe von etwa >> 1000 EUR bei 1000 Adressen, pro Monat. >> >> Könnt Ihr mir weiter helfen, was da ein realistischer Preis sein >> könnte? Ein ungefähres Niveau ... > > Ich sags mal so: wenn Du 4 Kunden a 2000 Postfächer findest, die das > Preisniveau dieses östereichischen Providers zahlen, kannst Du Dir ein > _sehr_ schönes Leben machen *eg* - überleg Dir aber schonmal, wie Du dem > Kunden den neuen Ferrari erklärst ;-) > > Und falls noch ein paar solcher Kunden auftauchen, Du aber vom Geld- > schaufeln gerade Kreuzweh hast, darfst Du sie gern zu mir schicken ;-) Ja, es ist einem eigentlich fast peinlich, auf diesem Preisniveau mit-anzubieten. Wobei es da leicht ist, den besseren Preis zu machen und dennoch kostendeckend und zufriedenstellend den Job machen zu können. Ich bin gespannt auf deren Entscheidung (bin natürlich drunter gegangen) Ferrari wird's so noch keiner ... gut, daß ich den nicht dringend brauche! Stefan From jk at jkart.de Mon Mar 2 14:41:34 2015 From: jk at jkart.de (Jim Knuth) Date: Mon, 02 Mar 2015 14:41:34 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new Message-ID: <54F4688E.5030802@jkart.de> Hallo, ich habe schon das "ganze" Netz abgegrast, aber leider nix praktikables gefunden. Kann mir bitte jemand einen Tipp (Link) dazu geben? Ich will Clamav OHNE Amavisd-new in Postfix einbinden. Und ja ? Das geht nicht anders. ;) Vielen Dank schon mal. -- Mit freundlichen Grüßen, with kind regards, Jim Knuth From olaf at zaplinski.de Mon Mar 2 14:56:18 2015 From: olaf at zaplinski.de (Olaf Zaplinski) Date: Mon, 02 Mar 2015 14:56:18 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: Moin! Am 2015-03-02 14:41, schrieb Jim Knuth: > Ich will Clamav OHNE Amavisd-new in Postfix einbinden. > Und ja ? Das geht nicht anders. ;) Wie wäre es mit clamav-milter? Olaf From wn at neessen.net Mon Mar 2 14:56:05 2015 From: wn at neessen.net (Winfried Neessen) Date: Mon, 02 Mar 2015 14:56:05 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: <68459f75838ad0b5731e09d300cfafe2@neessen.net> Hi, Am 2015-03-02 14:41, schrieb Jim Knuth: > ich habe schon das "ganze" Netz abgegrast, aber leider nix > praktikables gefunden. Kann mir bitte jemand einen Tipp > (Link) dazu geben? > IIRC brauchst Du dafuer Milter: https://duckduckgo.com/?q=clamd+postfix+milter Winni From webmaster at fitonbit.de Mon Mar 2 14:57:22 2015 From: webmaster at fitonbit.de (Mathias Jung) Date: Mon, 2 Mar 2015 14:57:22 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: Hi, einbinden per Procmail wäre eine Option. Am 02.03.2015 um 14:41 schrieb Jim Knuth : > Hallo, > > ich habe schon das "ganze" Netz abgegrast, aber leider nix > praktikables gefunden. Kann mir bitte jemand einen Tipp > (Link) dazu geben? > > Ich will Clamav OHNE Amavisd-new in Postfix einbinden. > Und ja ? Das geht nicht anders. ;) > Vielen Dank schon mal. > > -- > Mit freundlichen Grüßen, > with kind regards, > > Jim Knuth > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From jk at jkart.de Mon Mar 2 15:00:06 2015 From: jk at jkart.de (Jim Knuth) Date: Mon, 02 Mar 2015 15:00:06 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: References: <54F4688E.5030802@jkart.de> Message-ID: <54F46CE6.3090008@jkart.de> am 02.03.15 14:56 schrieb Olaf Zaplinski : > Moin! > > Am 2015-03-02 14:41, schrieb Jim Knuth: >> Ich will Clamav OHNE Amavisd-new in Postfix einbinden. >> Und ja ? Das geht nicht anders. ;) > > Wie wäre es mit clamav-milter? > > Olaf kenne ich leider nicht. Hat das die gleiche Wirkung wie bei Clamav mit amavisd-new? Und wie binde ich clamav-milter in Postfix ein? Ein Link wäre nett. ;) -- Mit freundlichen Grüßen, with kind regards, Jim Knuth From gregor at a-mazing.de Mon Mar 2 15:02:33 2015 From: gregor at a-mazing.de (Gregor Hermens) Date: Mon, 2 Mar 2015 15:02:33 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: <201503021502.33658@office.a-mazing.net> Hallo Jim, Am Montag, 2. März 2015 schrieb Jim Knuth: > ich habe schon das "ganze" Netz abgegrast, aber leider nix > praktikables gefunden. Kann mir bitte jemand einen Tipp > (Link) dazu geben? > > Ich will Clamav OHNE Amavisd-new in Postfix einbinden. clamav-milter? Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From olaf at zaplinski.de Mon Mar 2 15:04:54 2015 From: olaf at zaplinski.de (Olaf Zaplinski) Date: Mon, 02 Mar 2015 15:04:54 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: <13008ecd7e0aa3ad4b0fb69b3626b90a@mail.zaplinski.de> Moin! Am 2015-03-02 14:41, schrieb Jim Knuth: > Ich will Clamav OHNE Amavisd-new in Postfix einbinden. > Und ja ? Das geht nicht anders. ;) Wie wäre es mit clamav-milter? Olaf From dominik at kupschke.net Mon Mar 2 14:57:58 2015 From: dominik at kupschke.net (Dominik Kupschke) Date: Mon, 02 Mar 2015 14:57:58 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: <54F46C66.9030202@kupschke.net> Hallo Jim, ich benutze clamsmtp dafür: http://thewalter.net/stef/software/clamsmtp/ Sofern du Debian oder Ubuntu nutzt kannst du es direkt aus den Paketquellen installieren. Viele Grüße, Dominik Am 02.03.2015 um 14:41 schrieb Jim Knuth: > Hallo, > > ich habe schon das "ganze" Netz abgegrast, aber leider nix > praktikables gefunden. Kann mir bitte jemand einen Tipp > (Link) dazu geben? > > Ich will Clamav OHNE Amavisd-new in Postfix einbinden. > Und ja ? Das geht nicht anders. ;) > Vielen Dank schon mal. > -- Dominik Kupschke Website: https://www.kupschke.net E-Mail: dominik at kupschke.net Xing: https://www.xing.com/profile/Dominik_Kupschke/ LinkedIn: https://www.linkedin.com/pub/dominik-kupschke/90/110/525 -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From olaf at zaplinski.de Mon Mar 2 15:10:12 2015 From: olaf at zaplinski.de (Olaf Zaplinski) Date: Mon, 02 Mar 2015 15:10:12 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F46CE6.3090008@jkart.de> References: <54F4688E.5030802@jkart.de> <54F46CE6.3090008@jkart.de> Message-ID: Am 2015-03-02 15:00, schrieb Jim Knuth: > kenne ich leider nicht. Hat das die gleiche Wirkung wie > bei Clamav mit amavisd-new? Und wie binde ich clamav-milter > in Postfix ein? Ein Link wäre nett. ;) Nunja, Du definierst in der main.cf einen Milter-Eintrag, z.B. smtpd_milters = inet:127.0.0.1:8897 und läßt den Milterprozeß auf Port 8897 lauschen. Ich selbst habe den clamav-milter neulich rausgeschmissen, er fand in meinem Fall über Monate eh keine Viren. ;-) Im Fall von z.B. opendmarc als Milter wäre der passende Eintrag Socket inet:8897 at localhost in dessen Konfigfile. Da hilft nur ausprobieren... nur Mut, mit einem "soft_bounce = yes" kann ja nix kaputtgehen. ;-) Olaf From sebastian at debianfan.de Mon Mar 2 15:12:26 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 2 Mar 2015 15:12:26 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F4688E.5030802@jkart.de> References: <54F4688E.5030802@jkart.de> Message-ID: <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> Ich nutze das über spamassassin > Am 02.03.2015 um 14:41 schrieb Jim Knuth : > > Hallo, > > ich habe schon das "ganze" Netz abgegrast, aber leider nix > praktikables gefunden. Kann mir bitte jemand einen Tipp > (Link) dazu geben? > > Ich will Clamav OHNE Amavisd-new in Postfix einbinden. > Und ja ? Das geht nicht anders. ;) > Vielen Dank schon mal. > > -- > Mit freundlichen Grüßen, > with kind regards, > > Jim Knuth > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From jk at jkart.de Mon Mar 2 15:35:32 2015 From: jk at jkart.de (Jim Knuth) Date: Mon, 02 Mar 2015 15:35:32 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> References: <54F4688E.5030802@jkart.de> <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> Message-ID: <54F47534.4050903@jkart.de> am 02.03.15 15:12 schrieb sebastian at debianfan.de : > Ich nutze das über spamassassin > >> Am 02.03.2015 um 14:41 schrieb Jim Knuth : >> >> Hallo, >> >> ich habe schon das "ganze" Netz abgegrast, aber leider nix >> praktikables gefunden. Kann mir bitte jemand einen Tipp >> (Link) dazu geben? >> >> Ich will Clamav OHNE Amavisd-new in Postfix einbinden. >> Und ja ? Das geht nicht anders. ;) >> Vielen Dank schon mal. >> >> -- >> Mit freundlichen Grüßen, >> with kind regards, >> >> Jim Knuth äähm, wie soll das gehen? -- Mit freundlichen Grüßen, with kind regards, Jim Knuth From wn at neessen.net Mon Mar 2 15:37:42 2015 From: wn at neessen.net (Winfried Neessen) Date: Mon, 02 Mar 2015 15:37:42 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F47534.4050903@jkart.de> References: <54F4688E.5030802@jkart.de> <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> <54F47534.4050903@jkart.de> Message-ID: <772d17632ce485cc48020c3696a44665@neessen.net> Am 2015-03-02 15:35, schrieb Jim Knuth: >> am 02.03.15 15:12 schrieb sebastian at debianfan.de >> : >> Ich nutze das über spamassassin >> > äähm, wie soll das gehen? > https://wiki.apache.org/spamassassin/ClamAVPlugin Winni From sebastian at debianfan.de Mon Mar 2 15:40:42 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 2 Mar 2015 15:40:42 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <54F47534.4050903@jkart.de> References: <54F4688E.5030802@jkart.de> <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> <54F47534.4050903@jkart.de> Message-ID: master.cf ? > Am 02.03.2015 um 15:35 schrieb Jim Knuth : > > am 02.03.15 15:12 schrieb sebastian at debianfan.de : > >> Ich nutze das über spamassassin >> >>> Am 02.03.2015 um 14:41 schrieb Jim Knuth : >>> >>> Hallo, >>> >>> ich habe schon das "ganze" Netz abgegrast, aber leider nix >>> praktikables gefunden. Kann mir bitte jemand einen Tipp >>> (Link) dazu geben? >>> >>> Ich will Clamav OHNE Amavisd-new in Postfix einbinden. >>> Und ja ? Das geht nicht anders. ;) >>> Vielen Dank schon mal. >>> >>> -- >>> Mit freundlichen Grüßen, >>> with kind regards, >>> >>> Jim Knuth > > > äähm, wie soll das gehen? > > -- > Mit freundlichen Grüßen, > with kind regards, > > Jim Knuth > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From sebastian at debianfan.de Mon Mar 2 15:41:00 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 2 Mar 2015 15:41:00 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <772d17632ce485cc48020c3696a44665@neessen.net> References: <54F4688E.5030802@jkart.de> <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> <54F47534.4050903@jkart.de> <772d17632ce485cc48020c3696a44665@neessen.net> Message-ID: <68F6F62F-1946-41DC-8A5B-C30D2B9E33CF@debianfan.de> Exakt - funktioniert wunderbar ! > Am 02.03.2015 um 15:37 schrieb Winfried Neessen : > > Am 2015-03-02 15:35, schrieb Jim Knuth: > >>> am 02.03.15 15:12 schrieb sebastian at debianfan.de : >>> Ich nutze das über spamassassin >> äähm, wie soll das gehen? > > https://wiki.apache.org/spamassassin/ClamAVPlugin > > Winni > -- > _______________________________________________ > Postfixbuch-users -- http://www.postfixbuch.de > Heinlein Professional Linux Support GmbH > > Postfixbuch-users at listen.jpberlin.de > https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From jk at jkart.de Mon Mar 2 21:34:53 2015 From: jk at jkart.de (Jim Knuth) Date: Mon, 02 Mar 2015 21:34:53 +0100 Subject: [Postfixbuch-users] Clamav ohne amavisd-new In-Reply-To: <772d17632ce485cc48020c3696a44665@neessen.net> References: <54F4688E.5030802@jkart.de> <0F3E303C-1977-4B53-8A69-62112582E766@debianfan.de> <54F47534.4050903@jkart.de> <772d17632ce485cc48020c3696a44665@neessen.net> Message-ID: <54F4C96D.1030700@jkart.de> am 02.03.15 15:37 schrieb Winfried Neessen : > Am 2015-03-02 15:35, schrieb Jim Knuth: > >>> am 02.03.15 15:12 schrieb sebastian at debianfan.de >>> : >>> Ich nutze das über spamassassin >>> >> äähm, wie soll das gehen? >> > > https://wiki.apache.org/spamassassin/ClamAVPlugin > > Winni danke @all. Habe mich für diese Variante entschieden. -- Mit freundlichen Grüßen, with kind regards, Jim Knuth From br at wolffsohn-it.com Wed Mar 4 12:11:26 2015 From: br at wolffsohn-it.com (Bastian Reichart) Date: Wed, 4 Mar 2015 12:11:26 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam Message-ID: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> Hallo zusammen, habt Ihr mmt. auch Probleme mit zunehmendem Paketversand Spam? Leider unterscheiden die Spam-Mails sich nicht wirklich von den echten Versandbestätigungen von UPS oder DHL... Wie geht Ihr mit sowas um? Grüße Basti From bjoern.meier at gmail.com Wed Mar 4 12:45:35 2015 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Wed, 4 Mar 2015 12:45:35 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> Message-ID: Hallo, Am 4. März 2015 um 12:11 schrieb Bastian Reichart
: > Hallo zusammen, > > habt Ihr mmt. auch Probleme mit zunehmendem Paketversand Spam? > Leider unterscheiden die Spam-Mails sich nicht wirklich von den echten Versandbestätigungen von UPS oder DHL... > Wie geht Ihr mit sowas um? > > Grüße > Basti Jup, heute. Allerdings hat unser AV das abgefangen, war auch über einen webmailer. Gruß, Björn From postfixer99 at gmail.com Thu Mar 5 11:54:48 2015 From: postfixer99 at gmail.com (Carsten) Date: Thu, 05 Mar 2015 11:54:48 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> Message-ID: <54F835F8.6090403@gmail.com> Am 04.03.2015 um 12:11 schrieb Bastian Reichart: > Leider unterscheiden die Spam-Mails sich nicht wirklich von den echten Versandbestätigungen von UPS oder DHL... > Wie geht Ihr mit sowas um? > Hallo zusammen, die echten DHL Mails sind DKIM signiert. Um False-Positives zu vermeiden lässt man einfach korrekt signierte Mails von @dhl.de und @dhl.com am Spamfilter per WHITELIST vorbei. Das gleiche gilt übrigends auch neuerdings für die echten Telekom-Rechnungen von rechnungonline at telekom.de Danach kannst Du harte Regeln zum Ablehnen bauen, weil Du dann keine echten Mails mehr triffst. Damit fahre ich sehr gut! Soweit ich weiß, bleiben DKIM-Signaturen auch beim Weiterleiten vorhanden, oder gibt es da andere Erfahrungen? Beste Grüße Carsten From olaf at zaplinski.de Thu Mar 5 12:39:06 2015 From: olaf at zaplinski.de (Olaf Zaplinski) Date: Thu, 05 Mar 2015 12:39:06 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <54F835F8.6090403@gmail.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F835F8.6090403@gmail.com> Message-ID: <2ba0613820c46a6a88eb7379ad13862f@mail.zaplinski.de> Am 2015-03-05 11:54, schrieb Carsten: > [...] > Soweit ich weiß, bleiben DKIM-Signaturen auch beim Weiterleiten > vorhanden, oder gibt es da andere Erfahrungen? Schaun wir mal... Olaf From olaf at zaplinski.de Thu Mar 5 12:43:53 2015 From: olaf at zaplinski.de (Olaf Zaplinski) Date: Thu, 05 Mar 2015 12:43:53 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <2ba0613820c46a6a88eb7379ad13862f@mail.zaplinski.de> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F835F8.6090403@gmail.com> <2ba0613820c46a6a88eb7379ad13862f@mail.zaplinski.de> Message-ID: Am 2015-03-05 12:39, schrieb Olaf Zaplinski: > Am 2015-03-05 11:54, schrieb Carsten: >> [...] >> Soweit ich weiß, bleiben DKIM-Signaturen auch beim Weiterleiten >> vorhanden, oder gibt es da andere Erfahrungen? > > Schaun wir mal... > > Olaf DKIM-Signaturen bleiben vorhanden, allerdings blieb meine letzte Email an die Liste kleben, ich erhielt auch eine Nachricht an meine per "rua" definierte Adresse: This is an authentication failure report for an email message received from IP 213.203.238.6 on Thu, 5 Mar 2015 12:39:43 +0100 (CET). Authentication-Results: mx01.nausch.org; dkim=fail reason="verification failed; unprotected key" header.d=zaplinski.de header.i=@zaplinski.de header.b=AFqdegFa; dkim-adsp=discard (unprotected policy) Authentication-Results: mx01.nausch.org; spf=pass smtp.mailfrom= smtp.helo=ilpostino.jpberlin.de Received: from mailman.heinlein-hosting.de (localhost [127.0.0.1]) by ilpostino.jpberlin.de (Postfix) with ESMTP id 271C061967; Thu, 5 Mar 2015 12:39:17 +0100 (CET) X-Original-To: postfixbuch-users at listi.jpberlin.de Delivered-To: postfixbuch-users at listi.jpberlin.de Received: from mx1.heinlein-support.de (mx1.heinlein-support.de [91.198.250.10]) by ilpostino.jpberlin.de (Postfix) with ESMTPS id 245F961967 for ; Thu, 5 Mar 2015 12:39:15 +0100 (CET) Received: from hefe.heinlein-support.de (hefe.heinlein-support.de [91.198.250.172]) by mx1.heinlein-support.de (Postfix) with ESMTP id 1251530FEE for ; Thu, 5 Mar 2015 12:39:15 +0100 (CET) X-Virus-Scanned: amavisd-new at heinlein-support.de Received: from mx1.heinlein-support.de ([91.198.250.10]) by hefe.heinlein-support.de (hefe.heinlein-support.de [91.198.250.170]) (amavisd-new, port 10024) with ESMTP id vlOW7DeF7ELy for ; Thu, 5 Mar 2015 12:39:14 +0100 (CET) X-policyd-weight: DYN_NJABL=ERR(0) NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 BL_NJABL=SKIP(-1.5) CL_IP_EQ_FROM_MX=-3.1; rate: -7.6 Received: from binky.tuxfriends.net (binky.tuxfriends.net [109.75.188.214]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mx1.heinlein-support.de (Postfix) with ESMTPS for ; Thu, 5 Mar 2015 12:39:07 +0100 (CET) Received: from mail.zaplinski.de (ip6-localhost [IPv6:::1]) by binky.tuxfriends.net (Postfix) with ESMTP id 83BAE156 for ; Thu, 5 Mar 2015 12:39:06 +0100 (CET) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=zaplinski.de; s=20131022; t=1425555546; bh=lOVK+bDIpimnov42h1mWw1k/dEdbB12JNOeErvThSl4=; h=Date:From:To:Subject:In-Reply-To:References; b=AFqdegFag6+y0PxD5B4zDsO1YxnYQhLJHXBpZQXS9H2LdOVGUmVEWTxP5TX757Aua ODSD8Bjtx17N9x+KpDFcCv7iv4klMhvVTKegmB9vTgZT4d4Qo7vWzWyp2VliFmNxpL 03P00cGEedMACr3q/yqQ4XoS2JlNQfEfCiSAntKqstk4VT8gLGImrvvfL9i24Q2+k7 2DFR7EnNfr4U+QNmYc8AxIeJv0DTbc5OmsoPPTTDTbNMus6grMFq1B3Jppu8guQvyc E2e8D63m+MtZLPnO+onrQDXh9szal4ckCDWoZA+hRpP6ELPJq0rTmGfrHdT9sYWVHy MZgCT6S1GwNHw== MIME-Version: 1.0 Trotzdem kam besagte Email zur Liste durch. Olaf From news at amaltea.de Thu Mar 5 15:55:55 2015 From: news at amaltea.de (Paul) Date: Thu, 05 Mar 2015 15:55:55 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <54F835F8.6090403@gmail.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F835F8.6090403@gmail.com> Message-ID: <54F86E7B.2070604@amaltea.de> Am 05.03.2015 um 11:54 schrieb Carsten: > Am 04.03.2015 um 12:11 schrieb Bastian Reichart: >> Leider unterscheiden die Spam-Mails sich nicht wirklich von den echten >> Versandbestätigungen von UPS oder DHL... >> Wie geht Ihr mit sowas um? >> > Hallo zusammen, > die echten DHL Mails sind DKIM signiert. > Um False-Positives zu vermeiden lässt man einfach korrekt signierte > Mails von @dhl.de und @dhl.com am Spamfilter per WHITELIST vorbei. Für den Fall dass Return-Path @dhl.com/.de ist, mag das helfen, aber die (derzeit 2) Mails, die ich gesichtet habe, kommen bspw von rosner14 at smtp.dragon.cz über Received: from smtp.dragon.cz (smtp.dragon.cz [213.168.176.4]) oder rezsoh at mail.1ahosting.hu Received: from mail.1ahosting.hu (mail.1ahosting.hu [62.68.162.114]) Ich blocke nun alle Mails, die irgendwo ein zs oder cz beinhalten. *scherz*. Momentan ist noch der Betreff in einem schlechten Deutsch verfasst und bei meinen beiden Spammails nahezu identisch. Header-Check oder amavis Regel schaffen da evtl. Abhilfe. > Das gleiche gilt übrigends auch neuerdings für die echten > Telekom-Rechnungen von rechnungonline at telekom.de > > Danach kannst Du harte Regeln zum Ablehnen bauen, weil Du dann keine > echten Mails mehr triffst. Damit fahre ich sehr gut! Mich interessiert, wie du das umgesetzte hast. Kannst du mal grob beschreiben wie, womit du die Prüfung und die Abweisung machst? Gruß, Paul > Soweit ich weiß, bleiben DKIM-Signaturen auch beim Weiterleiten > vorhanden, oder gibt es da andere Erfahrungen? > > Beste Grüße > Carsten From postfixer99 at gmail.com Thu Mar 5 16:59:43 2015 From: postfixer99 at gmail.com (Carsten) Date: Thu, 05 Mar 2015 16:59:43 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <54F86E7B.2070604@amaltea.de> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F835F8.6090403@gmail.com> <54F86E7B.2070604@amaltea.de> Message-ID: <54F87D6F.9080205@gmail.com> Am 05.03.2015 um 15:55 schrieb Paul: > Für den Fall dass Return-Path @dhl.com/.de ist, mag das helfen, aber die > (derzeit 2) Mails, die ich gesichtet habe, kommen bspw von > rosner14 at smtp.dragon.cz über > Received: from smtp.dragon.cz (smtp.dragon.cz [213.168.176.4]) > oder > rezsoh at mail.1ahosting.hu > Received: from mail.1ahosting.hu (mail.1ahosting.hu [62.68.162.114]) Das hast Du falsch verstanden. Die Mails die Du siehst sind mit höchster Wahrscheinlichkeit Spam. Ich schicke die korrekt signierten Mails am Spamfilter vorbei, sodass sie nicht mehr geprüft werden. Das geht mit DKIM sehr gut. Die echten Mails sind nämlich von "@dhl.de" und "@dhl.com". > Momentan ist noch der Betreff in einem schlechten Deutsch verfasst und > bei meinen beiden Spammails nahezu identisch. Header-Check oder amavis > Regel schaffen da evtl. Abhilfe. Ähhm, kann ich nicht nachvollziehen. Die Betreffs sind immer mit "Paketankündigung" oder "Zustellbenachrichtigung" etc. und einer Paketnummer. Da ist kein schlechtes deutsch im Betreff, höchstens im Content. Die Betreffs variieren sehr stark in der Anordnung, daher ist das ein mittelgutes Kriterium. > Mich interessiert, wie du das umgesetzte hast. > Kannst du mal grob beschreiben wie, womit du die Prüfung und die > Abweisung machst? Naja die Prüfung auf korrekt signierte Mails geht mit Amvis Boardmitteln: @author_to_policy_bank_maps = ( { 'rechnungsstelle at 1und1.de' => 'WHITELIST', '1und1.de' => 'WHITELIST', 'rechnungonline at telekom.de' => 'WHITELIST', 'servicecenter.gk at telekom.de' => 'WHITELIST', 'buchungbestaetigung at bahn.de' => 'WHITELIST', 'bahn.de' => 'WHITELIST', 'deutschebahn.com' => 'WHITELIST', 'commerzbank.com' => 'WHITELIST', 'paypal.com' => 'WHITELIST', 'ebay.de' => 'WHITELIST', 'dhl.de' => 'WHITELIST', 'dhl.com' => 'WHITELIST', 'ups.com' => 'WHITELIST', 'kundenservice.vodafone.com' => 'WHITELIST', } ); $policy_bank{'WHITELIST'} = { bypass_spam_checks_maps => [1], spam_lovers_maps => [1], }; Danach baust Du mit Spamassassin Regeln zum Blockieren der Fälschungen. Hier kann man schon harte Regeln bauen, weil die echten Mails ja niemals den Spamfilter erreichen. Ich nutze mehrere Regeln zur Sicherheit, das muss aber jeder selbst entscheiden. Eine grobe Regel sieht z.b. so aus. Wem das zu hart ist, kann sich ja Meta-Regeln bauen, die auch den Betreff mit einbeziehen. header MY_HEADER_104 From =~ /DHL.*<.*>/ describe MY_HEADER_104 gefaelschte DHL-Paketankuendigungen score MY_HEADER_104 8 Man kann natürlich das ganze verfeiern. Wer kein DKIM prüfen kann, könnte sich auch einer Prüfung des Return-Paths bedienen, da dieser schwerer zu fälschen ist, und sowieso nicht bei den geklauten Accounts (welche das Botnet nutzt) machbar ist. Der Return-Path der echten Mails lautet paket at dhl.de Beste Grüße Carsten -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bind at enas.net Thu Mar 5 17:29:35 2015 From: bind at enas.net (Urban Loesch) Date: Thu, 05 Mar 2015 17:29:35 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> Message-ID: <54F8846F.7090909@enas.net> Am 04.03.2015 um 12:11 schrieb Bastian Reichart: > Hallo zusammen, > > habt Ihr mmt. auch Probleme mit zunehmendem Paketversand Spam? > Leider unterscheiden die Spam-Mails sich nicht wirklich von den echten Versandbestätigungen von UPS oder DHL... > Wie geht Ihr mit sowas um? Ich nehme dafür DMARC, da DHL eine DMARC Policy publiziert: # opendmarc-check dhl.com DMARC record for dhl.com: Sample percentage: 100 DKIM alignment: relaxed SPF alignment: relaxed Domain policy: reject Subdomain policy: unspecified Aggregate report URIs: mailto:dhl at rua.agari.com Forensic report URIs: (none) Postfixlog: ... Mar 5 11:13:59 mx1 rolmx1/smtpd[28238]: 3kySbW3t3tz11Lx4: client=eye.dialego.de[93.159.255.178] Mar 5 11:13:59 mx1 rolmx1/cleanup[842]: 3kySbW3t3tz11Lx4: message-id=<20150305100724.20FC02D8877 at eye2.dialego.de> Mar 5 11:13:59 mx1 rolmx1/cleanup[842]: 3kySbW3t3tz11Lx4: milter-reject: END-OF-MESSAGE from eye.dialego.de[93.159.255.178]: 5.7.1 rejected by DMARC policy for dhl.com; from= to= proto=ESMTP helo= ... Mail wird dajer rejected und kommt gar nicht zum Viren/Spamscanner. > > Grüße > Basti > Grüße Urban From postfixer99 at gmail.com Thu Mar 5 17:58:47 2015 From: postfixer99 at gmail.com (Carsten) Date: Thu, 05 Mar 2015 17:58:47 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <54F8846F.7090909@enas.net> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F8846F.7090909@enas.net> Message-ID: <54F88B47.8020309@gmail.com> Am 05.03.2015 um 17:29 schrieb Urban Loesch: > Ich nehme dafür DMARC, da DHL eine DMARC Policy publiziert: > > # opendmarc-check dhl.com > DMARC record for dhl.com: > Sample percentage: 100 > DKIM alignment: relaxed > SPF alignment: relaxed > Domain policy: reject > Subdomain policy: unspecified > Aggregate report URIs: > mailto:dhl at rua.agari.com > Forensic report URIs: > (none) > > Postfixlog: > ... > Mar 5 11:13:59 mx1 rolmx1/smtpd[28238]: 3kySbW3t3tz11Lx4: client=eye.dialego.de[93.159.255.178] > Mar 5 11:13:59 mx1 rolmx1/cleanup[842]: 3kySbW3t3tz11Lx4: message-id=<20150305100724.20FC02D8877 at eye2.dialego.de> > Mar 5 11:13:59 mx1 rolmx1/cleanup[842]: 3kySbW3t3tz11Lx4: milter-reject: END-OF-MESSAGE from eye.dialego.de[93.159.255.178]: 5.7.1 rejected by DMARC > policy for dhl.com; from= to= proto=ESMTP helo= > ... > > Mail wird dajer rejected und kommt gar nicht zum Viren/Spamscanner. > > Kannst Du Infos zur Konfiguration posten? Habe noch nichts mit DMARC gemacht. Geht das auch easy mit Amavis/Spamassassin oder nur über einen anderen milter? From news at amaltea.de Thu Mar 5 19:02:38 2015 From: news at amaltea.de (Paul) Date: Thu, 05 Mar 2015 19:02:38 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> Message-ID: <54F89A3E.9010606@amaltea.de> Am 04.03.2015 um 12:11 schrieb Bastian Reichart: > Hallo zusammen, > > habt Ihr mmt. auch Probleme mit zunehmendem Paketversand Spam? > Leider unterscheiden die Spam-Mails sich nicht wirklich von den echten Versandbestätigungen von UPS oder DHL... > Wie geht Ihr mit sowas um? Kannst du mal bitte eine typische Mail dieser Art beschreiben? Envelope-Sender, From:, Subject sind für mich grad interessant. Gruß, Paul > > Grüße > Basti > From bind at enas.net Fri Mar 6 09:24:05 2015 From: bind at enas.net (Urban Loesch) Date: Fri, 06 Mar 2015 09:24:05 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <54F88B47.8020309@gmail.com> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F8846F.7090909@enas.net> <54F88B47.8020309@gmail.com> Message-ID: <54F96425.4020003@enas.net> >> >> Mail wird dajer rejected und kommt gar nicht zum Viren/Spamscanner. >> >> > Kannst Du Infos zur Konfiguration posten? > Habe noch nichts mit DMARC gemacht. > > Geht das auch easy mit Amavis/Spamassassin oder nur über einen anderen milter? > > Ganz so einfach geht es nicht. Amavis/Spamassassin unterstützen soweit ich weiß kein DMARC. Oder besser gesagt, ich habe nicht wirklich was brauchbares dazu mit Google gefunden. Daher habe ich mich entschieden es mit dem opendmarc-milter zu versuchen. Etwas Arbeit und Tests waren da schon dabei :-) DMARC baut auf SPF und DKIM auf und wertet eigentlich nur die im Mailheader enthaltenen Zeilen diesbezüglich aus und entscheidet was mit der eingehenden Mail je nach Policy des Absenders passieren soll. D.h.: 1) Mail auf SPF prüfen und Resultat im Header einfügen 2) Mail auf DKIM prüfen und REsultat im Header einfügen 3) Mail mit den eingefügten Headern dem DMARC Milter übergeben zur weiteren Verarbeitung Die Konfiguration sieht bei mir folgendermaßen aus (hoffe ich habe nichts vergessen): Relevante installierete Pakete und Reihenfolge der Checks - postfix-policyd-spf-python - opendkim als Milter nur im Verify-Modus - opendmarc als Milter - clamav-milter - amavis-milter mit spamassassin Konfiguration: POSTFIX main.cf ... smtpd_data_restrictions = check_sender_access regexp:/etc/postfix/add_header_to_all.regexp, # setzt leeren Pseudo Header, da sonst opendmarc den SPF Header nicht uebertragen bekommt. Details: # https://groups.google.com/forum/#!topic/mailing.postfix.users/FyFdakjwZ-s -> mit Postfix 3.0 behoben. # Besser in smtpd_data_restrictions, so wird der Header bei mehreren gleichzeitigen Recipients nur 1x gesetzt # SPF Policyserver der A+R Header einfuegt. check_policy_service unix:private/policyd-spf milter_default_action = accept milter_protocol = 6 # SPF Header werden mit postfix-policyd-spf gesetzt # inet:localhost:8891 = OpenDKIM - ersetzt Amavis Verification # inet:localhost:8892 = OpenDMARC - braucht SPF + DKIM Results im Header für Auswertung smtpd_milters = inet:IPMILTER-SERVER:8891,inet:IPMILTER-SERVER:8892,ANDRE MILTER MAXIMAL 4 ... # cat etc/postfix/add_header_to_all.regexp /.\@./ PREPEND X-PSEUDO: Auth-Res POLICYD-SPF: # cat /etc/postfix-policyd-spf-python/policyd-spf.conf # For a fully commented sample config file see policyd-spf.conf.commented debugLevel = 0 defaultSeedOnly = 1 Mail_From_reject = False HELO_reject = False PermError_reject = False TempError_Defer = False No_Mail = False Header_Type = AR Authserv_Id = mein.mx.com skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0//104,::1//128 ... OPENDKIM: # cat /etc/opendkim.conf |grep -v ^# Syslog yes SyslogSuccess yes LogWhy yes LogResults yes UMask 000 ExemptDomains /etc/opendkim_whitelist.txt TemporaryDirectory /var/tmp Mode v DNSTimeout 5 AlwaysAddARHeader yes AddAllSignatureResults yes AutoRestart yes SoftwareHeader yes DisableADSP yes MaximumHeaders 131072 PeerList /etc/postfix/opendmarc-ignore.lst Statistics /var/run/opendkim/opendkim.db TrustAnchorFile /etc/opendkim_trusted_anchor.txt On-Default a On-KeyNotFound r ... OPENDMARC: # cat /etc/opendmarc.conf HistoryFile /var/tmp/dmarc.dat IgnoreHosts /etc/postfix/opendmarc-ignore.lst RejectFailures true SoftwareHeader true Syslog true UMask 0111 Socket inet:8892 SPFSelfValidate false SPFIgnoreResults false ... Der Postfix und der Milterserver sind 2 getrennte virtuelle Server auf dem selben Host. Als OS nutze ich Debian Wheezy für Postfix und Debian Testing für den Milterserver. Ich weiß, ich weiß "Testing".... Ich hatte aber seit 6 Monaten nie Probleme damit und es läuft zu meiner Zufriedenheit. Ich hoffe ich habe nichts vergessen. Schöne Grüße Urban From uwe at kiewel-online.ch Fri Mar 6 10:07:23 2015 From: uwe at kiewel-online.ch (Uwe Kiewel) Date: Fri, 6 Mar 2015 09:07:23 +0000 Subject: [Postfixbuch-users] amavisd snmp Implementierung Message-ID: <20FB68FE-60FA-414E-87A7-43C35BD1B354@kiewel-online.ch> Hallo Zusammen Hat jemand erfolgreich und stabil eine snmp Implementierung am laufen? Wie ist die (re)start Reihenfolge von amavisd, amavisd-snmp und snmpd? Ich habe immer wieder das Phänomen, dass plötzlich ?no such OID? als Antwort kommt. Danke und Gruss Uwe -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From p at sys4.de Fri Mar 6 10:11:17 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 6 Mar 2015 10:11:17 +0100 Subject: [Postfixbuch-users] amavisd snmp Implementierung In-Reply-To: <20FB68FE-60FA-414E-87A7-43C35BD1B354@kiewel-online.ch> References: <20FB68FE-60FA-414E-87A7-43C35BD1B354@kiewel-online.ch> Message-ID: <20150306091117.GE16256@sys4.de> * Uwe Kiewel : > Hat jemand erfolgreich und stabil eine snmp Implementierung am laufen? Wie > ist die (re)start Reihenfolge von amavisd, amavisd-snmp und snmpd? Ich habe > immer wieder das Phänomen, dass plötzlich ?no such OID? als Antwort kommt. Postfix starten snmpd starten amavisd-snmp starten Amavis starten Wenn er ?no such OID? meldet, kann das auch mit fehlenden Queue-Dirs in Postfix zusammenhängen. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From andreas.schulze at datev.de Fri Mar 6 12:22:03 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 6 Mar 2015 12:22:03 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <54F96425.4020003@enas.net> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F8846F.7090909@enas.net> <54F88B47.8020309@gmail.com> <54F96425.4020003@enas.net> Message-ID: <20150306112203.GA21932@spider.services.datevnet.de> Am 06.03.2015 09:24 schrieb Urban Loesch: > 1) Mail auf SPF prüfen und Resultat im Header einfügen > 2) Mail auf DKIM prüfen und REsultat im Header einfügen > 3) Mail mit den eingefügten Headern dem DMARC Milter übergeben zur weiteren Verarbeitung ok > Relevante installierete Pakete und Reihenfolge der Checks > - postfix-policyd-spf-python KNIRSCH > - opendkim als Milter nur im Verify-Modus > - opendmarc als Milter > - clamav-milter > - amavis-milter mit spamassassin es gibt da eine Reihe von ungünstigen Umständen, die so ein Setup sehr wackelig machen können. Kann sein, dass es klappt, muss aber nicht :-/ Das Problem ist der SPF-Checker als Policy Daemon. Zu dem Zeitpunkt, wo der PolicyDaemon sein Resultat als Header einfügt, ist möglicherweise der DMARC-Milter schon vorbei und hat seine Entscheidung getroffen. Das wurde erst in Postfix 2.12 irgendwann im Herbst 2014 bzw. mit Postfix 3.0.0 gefixt. Das gemeine an der Geschichte ist die Oder-Verknüpfung von SPF und DKIM. Solange SPF *oder* DKIM ein "pass" liefern, ist DMARC zufrieden. Nur bei einigen Mail, wo DKIM kaputt ist, sollte halt SPF noch OK sein und einen DMARC pass erzeugen. Und dort wundert man sich dann, dass genau das nicht passiert! Daher würde ich einen SPF-Checker in MILTER-Form immer einem Policy-Daemon vorziehen. Ich habe mit smf-spf Milter und einigen Patches gute Erfahrungen. Quelle und Patches habe ich hier geposted: http://www.trusteddomain.org/pipermail/opendmarc-users/2013-April/000140.html Übrigens: Aktuelle OpenDMARC Versionen können auch selber die SPF-Prüfung durchführen. Leider ist auch dieser Code immernoch nicht fehlerfrei. http://sf.net/p/opendmarc/tickets/95/ Wer allerdings noch kein IPv6 als MX einsetzt, dem kann das egal sein. Dann würde ich opendkim + opendmarc-1.3.x empfehlen. Andreas > > > Konfiguration: > POSTFIX main.cf > ... > smtpd_data_restrictions = check_sender_access regexp:/etc/postfix/add_header_to_all.regexp, > # setzt leeren Pseudo Header, da sonst opendmarc den SPF Header nicht uebertragen bekommt. Details: > # https://groups.google.com/forum/#!topic/mailing.postfix.users/FyFdakjwZ-s -> mit Postfix 3.0 behoben. > # Besser in smtpd_data_restrictions, so wird der Header bei mehreren gleichzeitigen Recipients nur 1x gesetzt > # SPF Policyserver der A+R Header einfuegt. > check_policy_service unix:private/policyd-spf genau, mit einem SPF Chacker als MILTER spart man sich solche undurchsichtigen Krücken. > # SPF Header werden mit postfix-policyd-spf gesetzt > # inet:localhost:8891 = OpenDKIM - ersetzt Amavis Verification > # inet:localhost:8892 = OpenDMARC - braucht SPF + DKIM Results im Header für Auswertung > smtpd_milters = inet:IPMILTER-SERVER:8891,inet:IPMILTER-SERVER:8892,ANDRE MILTER MAXIMAL 4 warum "MAXIMAL 4" ?? es gibt da keine Begrenzung. Ich habe schon Setups mit 7 Miltern gesehen... lesbarer wird das Ganze übrigens, wenn man in der main.cf Macros definiert spf_milter = inet:... opendkim_milter = inet:... und diese Macros dann in main- oder master.cf benutzt: smtpd_milters = ${spf_milter},${opendkim_milter}, ... -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From bind at enas.net Fri Mar 6 15:20:13 2015 From: bind at enas.net (Urban Loesch) Date: Fri, 06 Mar 2015 15:20:13 +0100 Subject: [Postfixbuch-users] UPS/DHL Spam In-Reply-To: <20150306112203.GA21932@spider.services.datevnet.de> References: <5d6e38a8-61a6-44fe-bf61-ea86b759ced5@wolffsohn-it.com> <54F8846F.7090909@enas.net> <54F88B47.8020309@gmail.com> <54F96425.4020003@enas.net> <20150306112203.GA21932@spider.services.datevnet.de> Message-ID: <54F9B79D.4000109@enas.net> Am 06.03.2015 um 12:22 schrieb Andreas Schulze: > Am 06.03.2015 09:24 schrieb Urban Loesch: >> 1) Mail auf SPF prüfen und Resultat im Header einfügen >> 2) Mail auf DKIM prüfen und REsultat im Header einfügen >> 3) Mail mit den eingefügten Headern dem DMARC Milter übergeben zur weiteren Verarbeitung > ok > >> Relevante installierete Pakete und Reihenfolge der Checks >> - postfix-policyd-spf-python > KNIRSCH Hatte bis jetzt keine Probleme damit. > >> - opendkim als Milter nur im Verify-Modus >> - opendmarc als Milter >> - clamav-milter >> - amavis-milter mit spamassassin > > es gibt da eine Reihe von ungünstigen Umständen, die so ein Setup sehr wackelig machen können. > Kann sein, dass es klappt, muss aber nicht :-/ > > Das Problem ist der SPF-Checker als Policy Daemon. Zu dem Zeitpunkt, wo der PolicyDaemon > sein Resultat als Header einfügt, ist möglicherweise der DMARC-Milter schon vorbei und hat seine > Entscheidung getroffen. > > Das wurde erst in Postfix 2.12 irgendwann im Herbst 2014 bzw. mit Postfix 3.0.0 gefixt. > Das gemeine an der Geschichte ist die Oder-Verknüpfung von SPF und DKIM. > Solange SPF *oder* DKIM ein "pass" liefern, ist DMARC zufrieden. Daher der Workaround wie unten beschrieben mit dem Psuedo-Header. > > Nur bei einigen Mail, wo DKIM kaputt ist, sollte halt SPF noch OK sein und einen DMARC pass erzeugen. > Und dort wundert man sich dann, dass genau das nicht passiert! > > Daher würde ich einen SPF-Checker in MILTER-Form immer einem Policy-Daemon vorziehen. > Ich habe mit smf-spf Milter und einigen Patches gute Erfahrungen. > Quelle und Patches habe ich hier geposted: http://www.trusteddomain.org/pipermail/opendmarc-users/2013-April/000140.html > > > Übrigens: > Aktuelle OpenDMARC Versionen können auch selber die SPF-Prüfung durchführen. > Leider ist auch dieser Code immernoch nicht fehlerfrei. http://sf.net/p/opendmarc/tickets/95/ Das hatte ich auch versucht. Ging aber irgendwie nicht und konnte nicht herausfinden waru. Ich habe es dann aufgegeben. > Wer allerdings noch kein IPv6 als MX einsetzt, dem kann das egal sein. > Dann würde ich opendkim + opendmarc-1.3.x empfehlen. > >> >> Konfiguration: >> POSTFIX main.cf >> ... >> smtpd_data_restrictions = check_sender_access regexp:/etc/postfix/add_header_to_all.regexp, >> # setzt leeren Pseudo Header, da sonst opendmarc den SPF Header nicht uebertragen bekommt. Details: >> # https://groups.google.com/forum/#!topic/mailing.postfix.users/FyFdakjwZ-s -> mit Postfix 3.0 behoben. >> # Besser in smtpd_data_restrictions, so wird der Header bei mehreren gleichzeitigen Recipients nur 1x gesetzt >> # SPF Policyserver der A+R Header einfuegt. >> check_policy_service unix:private/policyd-spf > genau, mit einem SPF Chacker als MILTER spart man sich solche undurchsichtigen Krücken. Naja so undurchsichtig sehe ich das jetzt nicht. Es gibt nun mal mehrere Wege die zum Ziel führen und anderer ist mir zu der Zeit als ich das implementiert habe keiner eingefallen. Auch habe ich bis jetzt keine Nebenwirkungen feststellen können. Zudem habe ich Postfix 3.0.0 noch nicht am laufen. > >> # SPF Header werden mit postfix-policyd-spf gesetzt >> # inet:localhost:8891 = OpenDKIM - ersetzt Amavis Verification >> # inet:localhost:8892 = OpenDMARC - braucht SPF + DKIM Results im Header für Auswertung >> smtpd_milters = inet:IPMILTER-SERVER:8891,inet:IPMILTER-SERVER:8892,ANDRE MILTER MAXIMAL 4 > warum "MAXIMAL 4" ?? > es gibt da keine Begrenzung. Ich habe schon Setups mit 7 Miltern gesehen... Habe ich mal irgendwo gelesen, glaube ich zumindest. Kann mich aber auch auch täuschen. Egal, je mehr, je besser... > > lesbarer wird das Ganze übrigens, wenn man in der main.cf Macros definiert > > spf_milter = inet:... > opendkim_milter = inet:... > > und diese Macros dann in main- oder master.cf benutzt: > > smtpd_milters = ${spf_milter},${opendkim_milter}, .. > > Urban From atann at alphasrv.net Fri Mar 13 09:01:48 2015 From: atann at alphasrv.net (Andre Tann) Date: Fri, 13 Mar 2015 09:01:48 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL Message-ID: <5502996C.40508@alphasrv.net> Servus zusammen, ich komm grad bei einer Zertifikatsverlängerung nicht weiter. Das Zertifikat ist abgelaufen, und ich möchte ein neues selbstsigniertes Zertifikat einrichten. # postconf | egrep "^smtpd_tls_(CAfile|cert_file|key_file)" smtpd_tls_CAfile = /etc/postfix/CA/cacert.pem smtpd_tls_cert_file = /etc/postfix/CA/cert.pem smtpd_tls_key_file = /etc/postfix/CA/key.pem Ist folgendes richtig: cacert.pem => ist der öffentliche Schlüssel meiner CA, bleibt gleich cert.pem => ist das Zertifikat, das auf den neuen Request ausge- stellt wurde, diese Datei ist also neu key.pem => Ist das private key file meines Postfix => bleibt gleich Ich muß also nur cert.pem austauschen, richtig? Das habe ich auch gemacht, und in dieser Datei ist das neue Ablaufdatum enthalten: # openssl x509 -noout -dates -in /etc/postfix/CA/cert.pem notBefore=Mar 10 07:25:57 2015 GMT notAfter=Mar 9 07:25:57 2017 GMT Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem, daß das Zertifikat ungültig sei? Und noch eine Anschlußfrage: wieso braucht Postfix den Pubkey der CA, dovecot aber nicht? # grep "^ssl_" /etc/dovecot/dovecot.conf ssl_cert_file = /etc/postfix/CA/cert.pem ssl_key_file = /etc/postfix/CA/key.pem Wo steh ich auf dem Schlauch? Danke & Gruß -- Andre Tann From wn at neessen.net Fri Mar 13 09:22:46 2015 From: wn at neessen.net (Winfried Neessen) Date: Fri, 13 Mar 2015 09:22:46 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502996C.40508@alphasrv.net> References: <5502996C.40508@alphasrv.net> Message-ID: <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> Hi, Am 2015-03-13 09:01, schrieb Andre Tann: > [...] und ich möchte ein neues selbstsigniertes Zertifikat einrichten. > > Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem, > daß das Zertifikat ungültig sei? > Weil das Zertifikat selbstsigniert ist. Damit die Clients dem Zertifikat vertrauen, muss das CA Zerifikat im Windows Truststore vorhanden sein, bzw. wenn der Client (wie z. B. Thunderbird) einen eignenen Truststore vorhaelt, in diesem. Winni From postfixbuch-users at 0xaffe.de Fri Mar 13 09:37:35 2015 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 13 Mar 2015 09:37:35 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Duplikate_bei_Verwendung_von_Aliase?= =?utf-8?q?n_underdr=C3=BCcken?= In-Reply-To: <54E1BEC8.5090006@wk-serv.de> References: <54E1B914.5010703@0xaffe.de> <54E1BEC8.5090006@wk-serv.de> Message-ID: <5502A1CF.2040807@0xaffe.de> Hallo, Patrick Westenberg schrieb: >> wie realisiert ihr es bei euren Systemen, dass Mails die sowohl direkt >> an einen Empfänger als auch an einen Alias (bzw. zwei Aliase) gehen, >> doppelt in der Inbox landen? > > -o receive_override_options=no_address_mappings > > hat mir geholfen. Leider funktionieren beide Optionen nicht zusammen der Adress-Verifikation (gegen Dovecot via LMTP). Ich habe das mal auf einem Testsystem (Debian Wheezy) nachgestellt - master.cf ist unverändert, die main.cf sieht so aus: ---------------------------------------------------------------------- $ cat /etc/postfix/main.cf mydomain = example.com mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 alias_maps = $alias_database virtual_alias_maps = hash:/etc/postfix/virtual_aliases smtpd_recipient_restrictions = permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, # Variante 1: enable_original_recipient = no # Variante 2: #receive_override_options = no_address_mappings ---------------------------------------------------------------------- $ cat /etc/postfix/virtual_aliases muster at postfix-test.example.com root at postfix-test.example.com test at postfix-test.example.com root at postfix-test.example.com ---------------------------------------------------------------------- Auf dem Testsystem erfolgt die Zustellung lokal nach /var/mail/root. Ohne reject_unverified_recipient wird bei beiden Varianten _eine_ Mail zugestellt, ohne enable_original_recipient bzw. receive_override_options erfolgt die Adress-Verifikation, aber wie eingangs erwähnt erhalte ich dabei _zwei_ Mails. Wenn ich die Adress-Verifikation aktiviere und "enable_original_recipient = no" setze, bekommt der Sender immer ein 450 Fehler: "Recipient address rejected: unverified address: Address verification in progress" > Mar 13 09:30:01 postfix-test postfix/smtpd[9667]: connect from unknown[172.31.31.51] > Mar 13 09:30:01 postfix-test postfix/verify[9671]: cache btree:/var/lib/postfix/verify_cache full cleanup: retained=0 dropped=0 entries > Mar 13 09:30:01 postfix-test postfix/cleanup[9672]: 8F30D3837: message-id=<20150313083001.8F30D3837 at postfix-test.example.com> > Mar 13 09:30:01 postfix-test postfix/qmgr[9666]: 8F30D3837: from=, size=259, nrcpt=1 (queue active) > Mar 13 09:30:01 postfix-test postfix/local[9673]: 8F30D3837: to=, relay=local, delay=0.06, delays=0.03/0.01/0/0.02, dsn=2.0.0, status=deliverable (delivers to mailbox) > Mar 13 09:30:01 postfix-test postfix/qmgr[9666]: 8F30D3837: removed > Mar 13 09:30:07 postfix-test postfix/smtpd[9667]: NOQUEUE: reject: RCPT from unknown[172.31.31.51]: 450 4.1.1 : Recipient address rejected: unverified address: Address verification in progress; from= to= proto=SMTP helo= > Mar 13 09:30:07 postfix-test postfix/smtpd[9667]: lost connection after RCPT from unknown[172.31.31.51] > Mar 13 09:30:07 postfix-test postfix/smtpd[9667]: disconnect from unknown[172.31.31.51] Wenn ich stattdessen "receive_override_options = no_address_mappings" setze, kommt es zu Bounces: > Mar 13 09:33:41 postfix-test postfix/smtpd[9797]: connect from unknown[172.31.31.51] > Mar 13 09:33:41 postfix-test postfix/verify[9801]: cache btree:/var/lib/postfix/verify_cache full cleanup: retained=0 dropped=0 entries > Mar 13 09:33:41 postfix-test postfix/cleanup[9802]: 8A5E43837: message-id=<20150313083341.8A5E43837 at postfix-test.example.com> > Mar 13 09:33:41 postfix-test postfix/qmgr[9796]: 8A5E43837: from=, size=259, nrcpt=1 (queue active) > Mar 13 09:33:41 postfix-test postfix/local[9803]: 8A5E43837: to=, orig_to=, relay=local, delay=0.07, delays=0.05/0.01/0/0.02, dsn=2.0.0, status=deliverable (delivers to mailbox) > Mar 13 09:33:41 postfix-test postfix/qmgr[9796]: 8A5E43837: removed > Mar 13 09:33:44 postfix-test postfix/smtpd[9797]: 8B3F83837: client=unknown[172.31.31.51] > Mar 13 09:33:44 postfix-test postfix/cleanup[9804]: 90B4638B9: message-id=<20150313083344.90B4638B9 at postfix-test.example.com> > Mar 13 09:33:44 postfix-test postfix/qmgr[9796]: 90B4638B9: from=, size=259, nrcpt=1 (queue active) > Mar 13 09:33:44 postfix-test postfix/local[9803]: 90B4638B9: to=, orig_to=, relay=local, delay=0.07, delays=0.05/0/0/0.02, dsn=2.0.0, status=deliverable (delivers to mailbox) > Mar 13 09:33:44 postfix-test postfix/qmgr[9796]: 90B4638B9: removed > Mar 13 09:33:47 postfix-test postfix/cleanup[9802]: 8B3F83837: message-id=<5502a0e5.Esnx2uXCcEAkCtsY%sender at example.invalid> > Mar 13 09:33:47 postfix-test postfix/qmgr[9796]: 8B3F83837: from=, size=512, nrcpt=2 (queue active) > Mar 13 09:33:47 postfix-test postfix/smtpd[9797]: disconnect from unknown[172.31.31.51] > Mar 13 09:33:47 postfix-test postfix/local[9803]: 8B3F83837: to=, relay=local, delay=6.2, delays=6.2/0/0/0.03, dsn=5.1.1, status=bounced (unknown user: "muster") > Mar 13 09:33:48 postfix-test postfix/local[9805]: 8B3F83837: to=, relay=local, delay=7.4, delays=6.2/0.01/0/1.2, dsn=5.1.1, status=bounced (unknown user: "test") > Mar 13 09:33:48 postfix-test postfix/cleanup[9804]: DD23038BD: message-id=<20150313083348.DD23038BD at postfix-test.example.com> > Mar 13 09:33:48 postfix-test postfix/qmgr[9796]: DD23038BD: from=<>, size=2655, nrcpt=1 (queue active) > Mar 13 09:33:48 postfix-test postfix/bounce[9806]: 8B3F83837: sender non-delivery notification: DD23038BD > Mar 13 09:33:48 postfix-test postfix/qmgr[9796]: 8B3F83837: removed > Mar 13 09:33:48 postfix-test postfix/smtp[9808]: DD23038BD: to=, relay=none, delay=0.07, delays=0.02/0.01/0.04/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=example.invalid type=AAAA: Host not found) > Mar 13 09:33:48 postfix-test postfix/qmgr[9796]: DD23038BD: removed Hat jemand eine Idee wie ich die Duplikate verhindern kann und trotzdem Adress-Verifikation durchführen kann? Vielen Dank, Mathias. From atann at alphasrv.net Fri Mar 13 10:05:13 2015 From: atann at alphasrv.net (Andre Tann) Date: Fri, 13 Mar 2015 10:05:13 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> References: <5502996C.40508@alphasrv.net> <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> Message-ID: <5502A4C3.8050008@alphasrv.net> Moin, Am 13.03.2015 um 09:22 schrieb Winfried Neessen: >> Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem, >> daß das Zertifikat ungültig sei? >> > Weil das Zertifikat selbstsigniert ist. Damit die Clients dem Zertifikat > vertrauen, muss das CA Zerifikat im Windows Truststore vorhanden sein, bzw. > wenn der Client (wie z. B. Thunderbird) einen eignenen Truststore vorhaelt, > in diesem. Hatte ich nicht dazugeschrieben: die CA ist auf dem Client installiert. Und das Zertifikat, das zuvor von Postfix verwendet wurde, wurde ja auch akzeptiert vom Client. Aber das ist jetzt abgelaufen, und ich bekomme kein neues ans Laufen. Wie kann man denn "zu Fuß" nachvollziehen, was der Client vom Postfix/Dovecot präsentiert kriegt, und es gegen den Key der root-CA prüfen? -- Andre Tann From postfixbuch-users at 0xaffe.de Fri Mar 13 10:11:38 2015 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Fri, 13 Mar 2015 10:11:38 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502A4C3.8050008@alphasrv.net> References: <5502996C.40508@alphasrv.net> <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> <5502A4C3.8050008@alphasrv.net> Message-ID: <5502A9CA.50507@0xaffe.de> Hallo Andre, Am 13.03.15 um 10:05 schrieb Andre Tann: > Wie kann man denn "zu Fuß" nachvollziehen, was der Client vom > Postfix/Dovecot präsentiert kriegt, und es gegen den Key der root-CA prüfen? IMAPS: $ openssl s_client -connect your-mailserver.yourdomain.tld:993 -CAfile /tmp/cacert.pem References: <5502996C.40508@alphasrv.net> <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> <5502A4C3.8050008@alphasrv.net> Message-ID: <79f35cb71bd5711e17516a92a89e5baf@neessen.net> Am 2015-03-13 10:05, schrieb Andre Tann: > Wie kann man denn "zu Fuß" nachvollziehen, was der Client vom > Postfix/Dovecot präsentiert kriegt, und es gegen den Key der root-CA > prüfen? > OpenSSL's s_client ist Dein Freund: $ openssl s_client -connect :25 -starttls smtp SSLyze[1] kann noch 'n Stueck Benutzerfreundlicher: $ python sslyze.py --regular --starttls=smtp :25 Winni [1] = https://github.com/nabla-c0d3/sslyze/releases From Ralf.Eichler at dfkdw.org Fri Mar 13 10:10:36 2015 From: Ralf.Eichler at dfkdw.org (Ralf Eichler) Date: Fri, 13 Mar 2015 09:10:36 +0000 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502A4C3.8050008@alphasrv.net> References: <5502996C.40508@alphasrv.net> <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> <5502A4C3.8050008@alphasrv.net> Message-ID: Hallo Andre, ggf. hilft dieser Link weiter https://qmail.jms1.net/test-auth.shtml bzw. openssl s_client -starttls smtp -crlf -connect 1.2.3.4:25 Schuß ins Blaue: hast du für das selbstsignierte Zertifikat auch einen neuen private-key generiert? Falls ja, braucht es wahrscheinlich entweder eine Anpassung dessen im Postfix (/anderen Diensten, die das Zertifikat verwenden möchten) oder ein ersetzen des in der Konfig referenzierten Private-Keyfiles. Grüße, Ralf -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andre Tann Gesendet: Freitag, 13. März 2015 10:05 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Frage zu OpenSSL Moin, Am 13.03.2015 um 09:22 schrieb Winfried Neessen: >> Postfix ist neu gestartet. Warum beschweren sich die Clients >> trotzdem, daß das Zertifikat ungültig sei? >> > Weil das Zertifikat selbstsigniert ist. Damit die Clients dem > Zertifikat vertrauen, muss das CA Zerifikat im Windows Truststore vorhanden sein, bzw. > wenn der Client (wie z. B. Thunderbird) einen eignenen Truststore > vorhaelt, in diesem. Hatte ich nicht dazugeschrieben: die CA ist auf dem Client installiert. Und das Zertifikat, das zuvor von Postfix verwendet wurde, wurde ja auch akzeptiert vom Client. Aber das ist jetzt abgelaufen, und ich bekomme kein neues ans Laufen. Wie kann man denn "zu Fuß" nachvollziehen, was der Client vom Postfix/Dovecot präsentiert kriegt, und es gegen den Key der root-CA prüfen? -- Andre Tann -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6840 bytes Beschreibung: nicht verfügbar URL : From andre.peters at debinux.de Fri Mar 13 10:16:14 2015 From: andre.peters at debinux.de (=?windows-1252?Q?Andr=E9_Peters?=) Date: Fri, 13 Mar 2015 10:16:14 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502A4C3.8050008@alphasrv.net> References: <5502996C.40508@alphasrv.net> <3fc1e3b491aee7d237e3d753df9db61a@neessen.net> <5502A4C3.8050008@alphasrv.net> Message-ID: <5502AADE.5050805@debinux.de> Hi, du musst das Zertifikat der CA nicht mitgeben, wenn es den Clients bekannt ist: If the client trusts the root CA, it will already have a local copy of the root CA certificate. Omitting the root CA certificate reduces the size of the server TLS handshake. Allgemein prüfst du mit "smtpd_tls_CAfile", ob SMTP clients ein valides Zertifikat für die Anmeldung verwenden. Sowas scheinst du ja auch gar nicht zu verwenden. Du musst das Problem an einem Client debuggen. Zu sagen, dass die Clients dem Zertifikat nicht vertrauen, reicht nicht aus. :-) Am besten löschen die Clients das alte Zertifikat einmal aus ihrem Speicher und ziehen dann das neue. Ich glaube, dass ich solche Probleme mal mit Thunderbird hatte. Viele Grüße und schönes fast-Wochenende André Am 13.03.2015 um 10:05 schrieb Andre Tann: > Moin, > > Am 13.03.2015 um 09:22 schrieb Winfried Neessen: > >>> Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem, >>> daß das Zertifikat ungültig sei? >>> >> Weil das Zertifikat selbstsigniert ist. Damit die Clients dem Zertifikat >> vertrauen, muss das CA Zerifikat im Windows Truststore vorhanden sein, bzw. >> wenn der Client (wie z. B. Thunderbird) einen eignenen Truststore vorhaelt, >> in diesem. > > Hatte ich nicht dazugeschrieben: die CA ist auf dem Client installiert. > Und das Zertifikat, das zuvor von Postfix verwendet wurde, wurde ja auch > akzeptiert vom Client. Aber das ist jetzt abgelaufen, und ich bekomme > kein neues ans Laufen. > > > Wie kann man denn "zu Fuß" nachvollziehen, was der Client vom > Postfix/Dovecot präsentiert kriegt, und es gegen den Key der root-CA prüfen? > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5622 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Hajo.Locke at gmx.de Fri Mar 13 10:27:06 2015 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Fri, 13 Mar 2015 10:27:06 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502996C.40508@alphasrv.net> References: <5502996C.40508@alphasrv.net> Message-ID: <5502AD6A.40206@gmx.de> Hallo, Am 13.03.2015 um 09:01 schrieb Andre Tann: > Servus zusammen, > > ich komm grad bei einer Zertifikatsverlängerung nicht weiter. Das > Zertifikat ist abgelaufen, und ich möchte ein neues selbstsigniertes > Zertifikat einrichten. > > # postconf | egrep "^smtpd_tls_(CAfile|cert_file|key_file)" > smtpd_tls_CAfile = /etc/postfix/CA/cacert.pem > smtpd_tls_cert_file = /etc/postfix/CA/cert.pem > smtpd_tls_key_file = /etc/postfix/CA/key.pem > > Ist folgendes richtig: > > cacert.pem => ist der öffentliche Schlüssel meiner CA, bleibt > gleich > > cert.pem => ist das Zertifikat, das auf den neuen Request ausge- > stellt wurde, diese Datei ist also neu > > key.pem => Ist das private key file meines Postfix => bleibt > gleich Wieso musst du den key nicht tauschen? Beim generieren des Zertifikates muss doch auch ein neuer Key entstanden sein. Beibehalten des Keys geht meiner Meinug nach nur, wenn du das ursprüngliche Zertifikat verlängerst. Die Checksummen müssen identisch sein: CSR openssl req -noout -modulus -in CSR | openssl md5 CRT openssl x509 -noout -modulus -in CRT | openssl md5 KEY openssl rsa -noout -modulus -in KEY | openssl md5 Woher du bei einem selbstsignierten Zertifikat ein cacert.pem hast ist mir nicht ganz klar. Du musst ja deinen CSR mit deinem eigenen CA beglaubigt haben, um an das CRT zu kommen. Wir lassen auch extern bei einer offiziellen CA beglaubigen. > > Ich muß also nur cert.pem austauschen, richtig? Das habe ich auch > gemacht, und in dieser Datei ist das neue Ablaufdatum enthalten: > > # openssl x509 -noout -dates -in /etc/postfix/CA/cert.pem > notBefore=Mar 10 07:25:57 2015 GMT > notAfter=Mar 9 07:25:57 2017 GMT > > Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem, > daß das Zertifikat ungültig sei? > > > > Und noch eine Anschlußfrage: wieso braucht Postfix den Pubkey der CA, > dovecot aber nicht? > > # grep "^ssl_" /etc/dovecot/dovecot.conf > ssl_cert_file = /etc/postfix/CA/cert.pem > ssl_key_file = /etc/postfix/CA/key.pem > > > > Wo steh ich auf dem Schlauch? > > Danke & Gruß > From wn at neessen.net Fri Mar 13 11:16:35 2015 From: wn at neessen.net (Winfried Neessen) Date: Fri, 13 Mar 2015 11:16:35 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502AD6A.40206@gmx.de> References: <5502996C.40508@alphasrv.net> <5502AD6A.40206@gmx.de> Message-ID: Am 2015-03-13 10:27, schrieb Hajo Locke: > Wieso musst du den key nicht tauschen? Beim generieren des Zertifikates > muss doch auch > ein neuer Key entstanden sein. Beibehalten des Keys geht meiner Meinug > nach nur, wenn > du das ursprüngliche Zertifikat verlängerst. > "Verlaengern" gibts in dem Sinne nicht. Das ist die Sprache der CAs. Im Prinzip hast Du drei Optionen: - Du nimmst das gleich CSR fuer das zu erneuernde Zertifikat, was auch den gleichen Key beinhaltet. - Du erstellst ein neues CSR (weil sich vllt. irgendwas an den Daten geaendert hat) benutzt aber den gleichen Private Key: $ openssl req -new -sha256 -key .key -out .csr - Du erstellst ein neues CSR mit neuem Key. Winni From ml at fsproductions.de Sat Mar 14 12:35:21 2015 From: ml at fsproductions.de (=?UTF-8?B?U3RlZmFuIFNjaMOkZmVy?=) Date: Sat, 14 Mar 2015 12:35:21 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot Message-ID: <55041CF9.7010005@fsp-net.loc> Hallo in die Runde, evtl. sehe ich gerade den Wald vor lauter Bäumen nicht. Folgendes Problem. Ich verwende Postfix in Verbindung mit Dovecot. Postfix stellt Mails lokal über Dovecot lmtp zu. Für diesen Zweck habe ich in /etc/postfix/relay folgende Einträge: domain1.tld lmtp:unix:private/lmtp-dovecot domain2.tld lmtp:unix:private/lmtp-dovecot Eingebunden ist das Ganze über: relay_domains = btree:/etc/postfix/relay transport_maps = btree:/etc/postfix/transport, $relay_domains Die Zustellung funktioniert prinzipiell. Nicht existierende Empfänger werden mit reject_unverified_recipient in den smtpd_recipient_restrictions abgewiesen. Jetzt möchte Domain-interne Weiterleitungen vornehmen. Bisher habe ich das über virtual_alias_maps gemacht: info at domain1.de user at domain1.tld Diese Einträge werden ignoriert, es wird mir dann ein " User doesn't exist": zurück geliefert. Es sieht so aus, als sei beim Relay-Domain Eintrag bzw. den transport_maps schluss ist und die virtual_alias_maps dann schlicht ignoriert werden. Ich dachte immer, dass virtual_alias_maps vorher angewendet werden. Wo könnte der Fehler liegen? Hier noch die Ausgabe von postconf -n: alias_database = hash:/etc/aliases broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 default_database_type = btree html_directory = /usr/share/doc/packages/postfix-doc/html inet_interfaces = all mail_owner = postfix mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain mydomain = fspisp.de myhostname = mail1.xyz.de mynetworks_style = host myorigin = $myhostname newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES relay_domains = btree:/etc/postfix/relay sample_directory = /usr/share/doc/packages/postfix-doc/samples sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_tls_security_level = may smtpd_banner = $myhostname ESMTP smtpd_helo_required = yes smtpd_proxy_filter = localhost:10024 smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/recipient_access, reject_unauth_pipelining, check_sender_access btree:/etc/postfix/access, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_non_fqdn_sender, reject_non_fqdn_recipient, permit_sasl_authenticated, permit_tls_clientcerts, permit_mynetworks, reject_unverified_recipient, reject_unknown_client_hostname, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.njabl.org, permit_mx_backup, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous, noplaintext smtpd_sasl_tls_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem smtpd_tls_cert_file = /etc/ssl/certs/pf-mail1.xyz.de-cert.pem smtpd_tls_key_file = /etc/ssl/private/mail1.xyz.de-key.pem smtpd_tls_loglevel = 1 smtpd_use_tls = yes transport_maps = btree:/etc/postfix/transport, $relay_domains unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 577 virtual_alias_maps = btree:/etc/postfix/virtual Gruß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From atann at alphasrv.net Sun Mar 15 18:20:20 2015 From: atann at alphasrv.net (Andre Tann) Date: Sun, 15 Mar 2015 18:20:20 +0100 Subject: [Postfixbuch-users] Frage zu OpenSSL In-Reply-To: <5502996C.40508@alphasrv.net> References: <5502996C.40508@alphasrv.net> Message-ID: <5504A84F.4070906@alphasrv.net> Am 13.03.2015 um 09:01 schrieb Andre Tann: > ich komm grad bei einer Zertifikatsverlängerung nicht weiter. Hier stellvertretend an alle, die geschrieben haben: vielen Dank für die Hinweise. Hat die Sichtweise geklärt, und jetzt habe ich wieder meine gültigen Zertifikate. Viele Grüße! -- Andre Tann From joerg at backschues.de Sun Mar 15 20:58:34 2015 From: joerg at backschues.de (=?UTF-8?B?SsO2cmcgQmFja3NjaHVlcw==?=) Date: Sun, 15 Mar 2015 20:58:34 +0100 Subject: [Postfixbuch-users] DKIM Expiration Time in amavisd-new Message-ID: <5505E46A.7010008@backschues.de> Hallo, welche DKIM Expiration Time (Tag x) habt ihr in amavisd-new eingetragen? Welche Expiration Time macht Sinn und wie lässt sie sich begründen? -- Mit freundlichen Grüßen Jörg Backschues From Rainer_Wiesenfarth at Trimble.com Mon Mar 16 07:55:43 2015 From: Rainer_Wiesenfarth at Trimble.com (Rainer Wiesenfarth) Date: Mon, 16 Mar 2015 06:55:43 +0000 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55041CF9.7010005@fsp-net.loc> References: <55041CF9.7010005@fsp-net.loc> Message-ID: <4AE00D781A09064297022337CA5D27F94F70CFE2@sed-mbx-03.trimblecorp.net> From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] > [...] > Ich verwende Postfix in Verbindung mit Dovecot. Postfix stellt Mails lokal > über Dovecot lmtp zu. Für diesen Zweck habe ich in /etc/postfix/relay > folgende Einträge: > > domain1.tld lmtp:unix:private/lmtp-dovecot > domain2.tld lmtp:unix:private/lmtp-dovecot > > Eingebunden ist das Ganze über: > > relay_domains = btree:/etc/postfix/ > relay transport_maps = btree:/etc/postfix/transport, $relay_domains > > [...] > Jetzt möchte Domain-interne Weiterleitungen vornehmen. Bisher habe ich das > über virtual_alias_maps gemacht: > > info at domain1.de user at domain1.tld > > Diese Einträge werden ignoriert, es wird mir dann ein " User > doesn't exist": zurück geliefert. Es sieht so aus, als sei beim Relay-Domain > Eintrag bzw. den transport_maps schluss ist und die virtual_alias_maps dann > schlicht ignoriert werden. Ich dachte immer, dass virtual_alias_maps vorher > angewendet werden. > [...] Möglich, dass ich Blödsinn erzähle, aber meines Wissens sind Relay-Domains solche, für die ich nicht zuständig bin, ich aber weiß, wo die E-Mails hin gehören. Die virtual... Einträge betreffen nur die Domains, für die ich selbst zuständig bin, will heißen: deren E-Mails ich selbst "final" (von Um- und Weiterleitungen abgesehen) zustelle. Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- Software Engineer | Trimble Geospatial Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 http://www.trimble.com/geospatial/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Hans-Jürgen Gebauer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6250 bytes Beschreibung: nicht verfügbar URL : From p.heinlein at heinlein-support.de Mon Mar 16 09:51:03 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Mar 2015 09:51:03 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55041CF9.7010005@fsp-net.loc> References: <55041CF9.7010005@fsp-net.loc> Message-ID: <55069977.1050600@heinlein-support.de> Am 14.03.2015 um 12:35 schrieb Stefan Schäfer: > info at domain1.de user at domain1.tld > > Diese Einträge werden ignoriert, es wird mir dann ein " > User doesn't exist": zurück geliefert. Es sieht so aus, als sei beim Was liefert ein postmap -q info at domain1.de btree:/etc/postfix/virtual und was liefert ein grep receive_override_options /etc/postfix/* und was liefert ein postconf virtual_alias_maps ??? Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Mon Mar 16 09:51:08 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Mar 2015 09:51:08 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <4AE00D781A09064297022337CA5D27F94F70CFE2@sed-mbx-03.trimblecorp.net> References: <55041CF9.7010005@fsp-net.loc> <4AE00D781A09064297022337CA5D27F94F70CFE2@sed-mbx-03.trimblecorp.net> Message-ID: <5506997C.2060708@heinlein-support.de> Am 16.03.2015 um 07:55 schrieb Rainer Wiesenfarth: Hallo, > Möglich, dass ich Blödsinn erzähle, aber meines Wissens sind Relay-Domains > solche, für die ich nicht zuständig bin, ich aber weiß, wo die E-Mails hin > gehören. Die virtual... Einträge betreffen nur die Domains, für die ich > selbst zuständig bin, will heißen: deren E-Mails ich selbst "final" (von Um- > und Weiterleitungen abgesehen) zustelle. Kurz und knapp: Diese Aussage ist nicht richtig. Die virtual_alias_maps betrifft ALLE E-Mails die Postfix jemals sieht, denn die virtual-Maps sitzt am cleanup-Prozess. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From ml at fsproductions.de Mon Mar 16 10:07:28 2015 From: ml at fsproductions.de (=?windows-1252?Q?Stefan_Sch=E4fer?=) Date: Mon, 16 Mar 2015 10:07:28 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55069977.1050600@heinlein-support.de> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> Message-ID: <55069D50.6020505@fsp-net.loc> Am 16.03.2015 um 09:51 schrieb Peer Heinlein: > Am 14.03.2015 um 12:35 schrieb Stefan Schäfer: > >> info at domain1.de user at domain1.tld >> >> Diese Einträge werden ignoriert, es wird mir dann ein " >> User doesn't exist": zurück geliefert. Es sieht so aus, als sei beim > Was liefert ein > > postmap -q info at domain1.de btree:/etc/postfix/virtual Ergibt die korrekte Antwort: user at domain1.tld > > und was liefert ein > > grep receive_override_options /etc/postfix/* mail1:~ # grep receive_override_options /etc/postfix/* /etc/postfix/master.cf: -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings grep: /etc/postfix/system: Ist ein Verzeichnis > > und was liefert ein > > postconf virtual_alias_maps mail1:~ # postconf virtual_alias_maps virtual_alias_maps = btree:/etc/postfix/virtual > > ??? > > Peer > > Gruß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Mon Mar 16 10:12:38 2015 From: ml at fsproductions.de (=?windows-1252?Q?Stefan_Sch=E4fer?=) Date: Mon, 16 Mar 2015 10:12:38 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55069977.1050600@heinlein-support.de> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> Message-ID: <55069E86.6030500@fsp-net.loc> Am 16.03.2015 um 09:51 schrieb Peer Heinlein: > Am 14.03.2015 um 12:35 schrieb Stefan Schäfer: > >> info at domain1.de user at domain1.tld >> >> Diese Einträge werden ignoriert, es wird mir dann ein " >> User doesn't exist": zurück geliefert. Es sieht so aus, als sei beim > Was liefert ein > > postmap -q info at domain1.de btree:/etc/postfix/virtual > > und was liefert ein > > grep receive_override_options /etc/postfix/* > > und was liefert ein > > postconf virtual_alias_maps > > ??? > > Peer > > Ich hätte in der letzten Antwort erwähnen sollen, dass der von grep in der master.cf gefundene Eintrag "-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings" unter localhost:10025 steht. hier der ganze Eintrag: localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_delay_reject=no -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o smtpd_restriction_classes= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings -o local_header_rewrite_clients= -o local_recipient_maps= -o relay_recipient_maps= Gruß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From p.heinlein at heinlein-support.de Mon Mar 16 10:16:24 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Mar 2015 10:16:24 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55069D50.6020505@fsp-net.loc> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> <55069D50.6020505@fsp-net.loc> Message-ID: <55069F68.7040609@heinlein-support.de> Am 16.03.2015 um 10:07 schrieb Stefan Schäfer: > mail1:~ # grep receive_override_options /etc/postfix/* > /etc/postfix/master.cf: -o > receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings Wenn du einem smtpd in der master.cf sagst, daß er keine virtual_alias_map auswerten soll... wieso wunderst Du Dich dann, daß er keine virtual_alias-Map auswertet? Works as expected, würde ich mal formulieren. Und: Wenn Du nicht weißt was "no_address_mappings" und "receive_override_options" in der master.cf bewirkt -- warum trägst Du es dann ein? (Ja, weil es ihn einem doofen Howto stand, die Antwort ist schon klar...) Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From p.heinlein at heinlein-support.de Mon Mar 16 10:00:27 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Mar 2015 10:00:27 +0100 Subject: [Postfixbuch-users] =?windows-1252?q?Duplikate_bei_Verwendung_von?= =?windows-1252?q?_Aliasen_underdr=FCcken?= In-Reply-To: <5502A1CF.2040807@0xaffe.de> References: <54E1B914.5010703@0xaffe.de> <54E1BEC8.5090006@wk-serv.de> <5502A1CF.2040807@0xaffe.de> Message-ID: <55069BAB.6050109@heinlein-support.de> Am 13.03.2015 um 09:37 schrieb Mathias Jeschke: Hallo, >>> wie realisiert ihr es bei euren Systemen, dass Mails die sowohl direkt >>> an einen Empfänger als auch an einen Alias (bzw. zwei Aliase) gehen, >>> doppelt in der Inbox landen? >> >> -o receive_override_options=no_address_mappings >> > Leider funktionieren beide Optionen nicht zusammen der > Adress-Verifikation (gegen Dovecot via LMTP). Doch, das hat nichts miteinander zu tun. > Ohne reject_unverified_recipient wird bei beiden Varianten _eine_ Mail > zugestellt, ohne enable_original_recipient bzw. receive_override_options > erfolgt die Adress-Verifikation, aber wie eingangs erwähnt erhalte ich > dabei _zwei_ Mails. Dann zeig doch mal im Logfile wo/wie die Zwei Mails entstehen. die fallen ja nicht vom Himmel. > Wenn ich die Adress-Verifikation aktiviere und > "enable_original_recipient = no" setze, bekommt der Sender immer ein 450 > Fehler: "Recipient address rejected: unverified address: Address > verification in progress" Dann zeig doch mal im Logfile die Verifikation. Das ist ja eine normale E-Mail. Die steht im Logfile. Und wenn die "noch in progress ist" :-) dann hängt da irgendwas weswegen er das noch nicht abgeschlossen hat. Was ja insb. nicht heißt, daß es ein Bounce ist o.ä., aber irgendwie läuft da noch was in einen Timeout. Also: Zeigen. > Hat jemand eine Idee wie ich die Duplikate verhindern kann und trotzdem > Adress-Verifikation durchführen kann? Das hat NICHTS miteinander zu tun. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From andre.peters at debinux.de Mon Mar 16 10:24:37 2015 From: andre.peters at debinux.de (=?windows-1252?Q?Andr=E9_Peters?=) Date: Mon, 16 Mar 2015 10:24:37 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55069F68.7040609@heinlein-support.de> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> <55069D50.6020505@fsp-net.loc> <55069F68.7040609@heinlein-support.de> Message-ID: <5506A155.5010109@debinux.de> Am 16.03.2015 um 10:16 schrieb Peer Heinlein: > Am 16.03.2015 um 10:07 schrieb Stefan Schäfer: > > >> mail1:~ # grep receive_override_options /etc/postfix/* > >> /etc/postfix/master.cf: -o >> receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings > > Wenn du einem smtpd in der master.cf sagst, daß er keine > virtual_alias_map auswerten soll... wieso wunderst Du Dich dann, daß er > keine virtual_alias-Map auswertet? > > Works as expected, würde ich mal formulieren. > Schaut aus wie ein smtpd für einen "advanced content-filter", da ist sowas durchaus korrekt (wem sage ich das?). Das Mapping findet vorher statt. Der smtpd für den Filter würde ja sonst auch Dinge wie always_bcc doppelt raushauen. > Und: Wenn Du nicht weißt was "no_address_mappings" und > "receive_override_options" in der master.cf bewirkt -- warum trägst Du > es dann ein? > > (Ja, weil es ihn einem doofen Howto stand, die Antwort ist schon klar...) > Verteufel doch nicht direkt alle How-Tos! :-) > Peer > > > André -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5622 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ml at fsproductions.de Mon Mar 16 10:33:15 2015 From: ml at fsproductions.de (=?windows-1252?Q?Stefan_Sch=E4fer?=) Date: Mon, 16 Mar 2015 10:33:15 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55069F68.7040609@heinlein-support.de> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> <55069D50.6020505@fsp-net.loc> <55069F68.7040609@heinlein-support.de> Message-ID: <5506A35B.5000409@fsp-net.loc> Am 16.03.2015 um 10:16 schrieb Peer Heinlein: > (Ja, weil es ihn einem doofen Howto stand, die Antwort ist schon klar...) Es war eher ein Denkfehler. Jetzt funktioniert es jedenfalls. Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Mon Mar 16 10:36:18 2015 From: ml at fsproductions.de (=?windows-1252?Q?Stefan_Sch=E4fer?=) Date: Mon, 16 Mar 2015 10:36:18 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <5506A155.5010109@debinux.de> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> <55069D50.6020505@fsp-net.loc> <55069F68.7040609@heinlein-support.de> <5506A155.5010109@debinux.de> Message-ID: <5506A412.1000400@fsp-net.loc> Am 16.03.2015 um 10:24 schrieb André Peters: > > Schaut aus wie ein smtpd für einen "advanced content-filter", da ist > sowas durchaus korrekt (wem sage ich das?). Das Mapping findet vorher > statt. Genau das war es, nur dass ich smtp_proxy_filter verwende. Gruß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From p.heinlein at heinlein-support.de Mon Mar 16 10:44:39 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 16 Mar 2015 10:44:39 +0100 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <55069E86.6030500@fsp-net.loc> References: <55041CF9.7010005@fsp-net.loc> <55069977.1050600@heinlein-support.de> <55069E86.6030500@fsp-net.loc> Message-ID: <5506A607.2000405@heinlein-support.de> Am 16.03.2015 um 10:12 schrieb Stefan Schäfer: > Ich hätte in der letzten Antwort erwähnen sollen, dass der von grep in > der master.cf gefundene Eintrag > "-o > receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings" > > > unter localhost:10025 steht. hier der ganze Eintrag: Ja, schön. Aber ich RATE mal, daß Du auf :25 einen smtpd_proxy_filter einsetzt und DANN geht die Mail dort nicht über cleanup sondern wird NUR auf :10025 beim zweiten durchlauf über cleanup und die virtual-Map gezogen (was hier deaktiviert wurde). Mannomannomannliebeleutejetztwirklichmalsendetdocheinfachmaldieconfigdannmussmannichtimmerhellsehen. Hört doch mal mit der Geheimniskrämerei auf und packt die Config auf den Tisch,. Vollständig. Wie soll man denn setzt helfen ohne immer 3 mal Ping-Pong zu spielen? Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Rainer_Wiesenfarth at Trimble.com Mon Mar 16 11:24:08 2015 From: Rainer_Wiesenfarth at Trimble.com (Rainer Wiesenfarth) Date: Mon, 16 Mar 2015 10:24:08 +0000 Subject: [Postfixbuch-users] internes Mailrouting Postfix/Dovecot In-Reply-To: <5506997C.2060708@heinlein-support.de> References: <55041CF9.7010005@fsp-net.loc> <4AE00D781A09064297022337CA5D27F94F70CFE2@sed-mbx-03.trimblecorp.net> <5506997C.2060708@heinlein-support.de> Message-ID: <4AE00D781A09064297022337CA5D27F94F70E0FA@sed-mbx-03.trimblecorp.net> From: Peer Heinlein > Am 16.03.2015 um 07:55 schrieb Rainer Wiesenfarth: > > [Blödsinn] > > Kurz und knapp: Diese Aussage ist nicht richtig. > > Die virtual_alias_maps betrifft ALLE E-Mails die Postfix jemals sieht, denn > die virtual-Maps sitzt am cleanup-Prozess. Danke, Peer, für die Korrektur. Ich sollte den AccessMode für die Liste für mich wohl eher doch besser auf read-only setzen... :-) Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- Software Engineer | Trimble Geospatial Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 http://www.trimble.com/geospatial/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Hans-Jürgen Gebauer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6250 bytes Beschreibung: nicht verfügbar URL : From postfixbuch-users at 0xaffe.de Mon Mar 16 14:09:41 2015 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 16 Mar 2015 14:09:41 +0100 Subject: [Postfixbuch-users] =?windows-1252?q?Duplikate_bei_Verwendung_von?= =?windows-1252?q?_Aliasen_underdr=FCcken?= In-Reply-To: <55069BAB.6050109@heinlein-support.de> References: <54E1B914.5010703@0xaffe.de> <54E1BEC8.5090006@wk-serv.de> <5502A1CF.2040807@0xaffe.de> <55069BAB.6050109@heinlein-support.de> Message-ID: <5506D615.6060903@0xaffe.de> Hallo Peer, Am 16.03.2015 um 10:00 schrieb Peer Heinlein: >> Leider funktionieren beide Optionen nicht zusammen der >> Adress-Verifikation (gegen Dovecot via LMTP). > > Doch, das hat nichts miteinander zu tun. Cool. >> Ohne reject_unverified_recipient wird bei beiden Varianten _eine_ Mail >> zugestellt, ohne enable_original_recipient bzw. receive_override_options >> erfolgt die Adress-Verifikation, aber wie eingangs erwähnt erhalte ich >> dabei _zwei_ Mails. > > Dann zeig doch mal im Logfile wo/wie die Zwei Mails entstehen. die > fallen ja nicht vom Himmel. Zum Beispiel wenn ich im genannten Testsystem eine Mail an muster at postfix-test.example.com und test at postfix-test.example.com schicke: ---------------------------------------------------------------------- Mar 16 13:54:42 postfix-test postfix/smtpd[10894]: connect from unknown[172.31.31.51] Mar 16 13:54:42 postfix-test postfix/smtpd[10894]: 900CFD86: client=unknown[172.31.31.51] Mar 16 13:54:42 postfix-test postfix/cleanup[10898]: 900CFD86: message-id=<5506d292.xt8HsnPttjA0uMC3%sender at example.invalid> Mar 16 13:54:42 postfix-test postfix/qmgr[10893]: 900CFD86: from=, size=511, nrcpt=2 (queue active) Mar 16 13:54:42 postfix-test postfix/smtpd[10894]: disconnect from unknown[172.31.31.51] Mar 16 13:54:42 postfix-test postfix/local[10899]: 900CFD86: to=, orig_to=, relay=local, delay=0.15, delays=0.11/0.01/0/0.03, dsn=2.0.0, status=sent (delivered to mailbox) Mar 16 13:54:43 postfix-test postfix/local[10900]: 900CFD86: to=, orig_to=, relay=local, delay=1.3, delays=0.11/0.01/0/1.2, dsn=2.0.0, status=sent (delivered to mailbox) Mar 16 13:54:43 postfix-test postfix/qmgr[10893]: 900CFD86: removed ---------------------------------------------------------------------- >> Wenn ich die Adress-Verifikation aktiviere und >> "enable_original_recipient = no" setze, bekommt der Sender immer ein 450 >> Fehler: "Recipient address rejected: unverified address: Address >> verification in progress" > > Dann zeig doch mal im Logfile die Verifikation. Das ist ja eine normale > E-Mail. Die steht im Logfile. Und wenn die "noch in progress ist" :-) > dann hängt da irgendwas weswegen er das noch nicht abgeschlossen hat. Den Log-Eintrag hatte ich in der Mail (okay, ich hätte ihn evtl. nicht "quoten" sollen): ---------------------------------------------------------------------- Mar 13 09:30:01 postfix-test postfix/smtpd[9667]: connect from unknown[172.31.31.51] Mar 13 09:30:01 postfix-test postfix/verify[9671]: cache btree:/var/lib/postfix/verify_cache full cleanup: retained=0 dropped=0 entries Mar 13 09:30:01 postfix-test postfix/cleanup[9672]: 8F30D3837: message-id=<20150313083001.8F30D3837 at postfix-test.example.com> Mar 13 09:30:01 postfix-test postfix/qmgr[9666]: 8F30D3837: from=, size=259, nrcpt=1 (queue active) Mar 13 09:30:01 postfix-test postfix/local[9673]: 8F30D3837: to=, relay=local, delay=0.06, delays=0.03/0.01/0/0.02, dsn=2.0.0, status=deliverable (delivers to mailbox) Mar 13 09:30:01 postfix-test postfix/qmgr[9666]: 8F30D3837: removed Mar 13 09:30:07 postfix-test postfix/smtpd[9667]: NOQUEUE: reject: RCPT from unknown[172.31.31.51]: 450 4.1.1 : Recipient address rejected: unverified address: Address verification in progress; from= to= proto=SMTP helo= Mar 13 09:30:07 postfix-test postfix/smtpd[9667]: lost connection after RCPT from unknown[172.31.31.51] Mar 13 09:30:07 postfix-test postfix/smtpd[9667]: disconnect from unknown[172.31.31.51] ---------------------------------------------------------------------- Das "verification in progress" kommt nur wenn ich "enable_original_recipient = no" setze. > Was ja insb. nicht heißt, daß es ein Bounce ist o.ä., aber irgendwie > läuft da noch was in einen Timeout. Also: Zeigen. Der Bounce kommt nur wenn ich "receive_override_options = no_address_mappings" setze: ---------------------------------------------------------------------- Mar 13 09:33:41 postfix-test postfix/smtpd[9797]: connect from unknown[172.31.31.51] Mar 13 09:33:41 postfix-test postfix/verify[9801]: cache btree:/var/lib/postfix/verify_cache full cleanup: retained=0 dropped=0 entries Mar 13 09:33:41 postfix-test postfix/cleanup[9802]: 8A5E43837: message-id=<20150313083341.8A5E43837 at postfix-test.example.com> Mar 13 09:33:41 postfix-test postfix/qmgr[9796]: 8A5E43837: from=, size=259, nrcpt=1 (queue active) Mar 13 09:33:41 postfix-test postfix/local[9803]: 8A5E43837: to=, orig_to=, relay=local, delay=0.07, delays=0.05/0.01/0/0.02, dsn=2.0.0, status=deliverable (delivers to mailbox) Mar 13 09:33:41 postfix-test postfix/qmgr[9796]: 8A5E43837: removed Mar 13 09:33:44 postfix-test postfix/smtpd[9797]: 8B3F83837: client=unknown[172.31.31.51] Mar 13 09:33:44 postfix-test postfix/cleanup[9804]: 90B4638B9: message-id=<20150313083344.90B4638B9 at postfix-test.example.com> Mar 13 09:33:44 postfix-test postfix/qmgr[9796]: 90B4638B9: from=, size=259, nrcpt=1 (queue active) Mar 13 09:33:44 postfix-test postfix/local[9803]: 90B4638B9: to=, orig_to=, relay=local, delay=0.07, delays=0.05/0/0/0.02, dsn=2.0.0, status=deliverable (delivers to mailbox) Mar 13 09:33:44 postfix-test postfix/qmgr[9796]: 90B4638B9: removed Mar 13 09:33:47 postfix-test postfix/cleanup[9802]: 8B3F83837: message-id=<5502a0e5.Esnx2uXCcEAkCtsY%sender at example.invalid> Mar 13 09:33:47 postfix-test postfix/qmgr[9796]: 8B3F83837: from=, size=512, nrcpt=2 (queue active) Mar 13 09:33:47 postfix-test postfix/smtpd[9797]: disconnect from unknown[172.31.31.51] Mar 13 09:33:47 postfix-test postfix/local[9803]: 8B3F83837: to=, relay=local, delay=6.2, delays=6.2/0/0/0.03, dsn=5.1.1, status=bounced (unknown user: "muster") Mar 13 09:33:48 postfix-test postfix/local[9805]: 8B3F83837: to=, relay=local, delay=7.4, delays=6.2/0.01/0/1.2, dsn=5.1.1, status=bounced (unknown user: "test") Mar 13 09:33:48 postfix-test postfix/cleanup[9804]: DD23038BD: message-id=<20150313083348.DD23038BD at postfix-test.example.com> Mar 13 09:33:48 postfix-test postfix/qmgr[9796]: DD23038BD: from=<>, size=2655, nrcpt=1 (queue active) Mar 13 09:33:48 postfix-test postfix/bounce[9806]: 8B3F83837: sender non-delivery notification: DD23038BD Mar 13 09:33:48 postfix-test postfix/qmgr[9796]: 8B3F83837: removed Mar 13 09:33:48 postfix-test postfix/smtp[9808]: DD23038BD: to=, relay=none, delay=0.07, delays=0.02/0.01/0.04/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=example.invalid type=AAAA: Host not found) Mar 13 09:33:48 postfix-test postfix/qmgr[9796]: DD23038BD: removed ---------------------------------------------------------------------- >> Hat jemand eine Idee wie ich die Duplikate verhindern kann und trotzdem >> Adress-Verifikation durchführen kann? > > Das hat NICHTS miteinander zu tun. Leider bekomme ich es nicht ohne einen Tipp zum Fliegen :-/ Vielen Dank, Mathias. From postfixbuch-users at 0xaffe.de Wed Mar 18 10:32:00 2015 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 18 Mar 2015 10:32:00 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Duplikate_bei_Verwendung_von_Aliase?= =?utf-8?q?n_underdr=C3=BCcken?= In-Reply-To: <5506D615.6060903@0xaffe.de> References: <54E1B914.5010703@0xaffe.de> <54E1BEC8.5090006@wk-serv.de> <5502A1CF.2040807@0xaffe.de> <55069BAB.6050109@heinlein-support.de> <5506D615.6060903@0xaffe.de> Message-ID: <55094610.6000706@0xaffe.de> Hallo, Offensichtlich habe ich bzgl. Variante 2 falsch gelegen (bzw. mich in die Irre leiten lassen) - receive_override_options=no_address_mappings kann auch ohne Adress-Verifikation keine Duplikate in meinem Szenario unterdrücken, daher bleibt nur Variante 1 übrig (enable_original_recipient=no), siehe auch: http://serverfault.com/questions/18707/postfix-send-double-mail-when-mail-is-forwarded Damit hat sich das Problem der "Bounces" erübrigt, aber leider hilft mir das für die Lösung des Kernproblems auch nicht wirklich weiter. Am 16.03.2015 um 14:09 schrieb Mathias Jeschke: > Am 16.03.2015 um 10:00 schrieb Peer Heinlein: > >>> Leider funktionieren beide Optionen nicht zusammen der >>> Adress-Verifikation (gegen Dovecot via LMTP). >> >> Doch, das hat nichts miteinander zu tun. > > Cool. Basierend auf dem Diagramm in http://www.postfix.org/ADDRESS_VERIFICATION_README.html#how habe ich mal das Debugging für verify/qmgr/cleanup aktiviert und bin zu dem Schluss gekommen, dass Adressverifikation offenbar doch nicht zusammen mit den den beiden genannten Parameter zur Unterdrückung von Duplikaten funktioniert: a) smtpd erhält die Mail an muster@ und test@ b) smtpd übergibt wegen reject_unverified_recipient die Mail an verify c) verify packt die Mail (from: double-bounce@ / rcpt to: muster@) in die Queue d) cleanup löst den Alias auf (aus muster@ wird root@) e) local versucht root@ zuzustellen, was erfolgreich ist f) verify fragt qmgr ("probe status" im Diagram) ob die Zustellung an muster@ erfolgreich war, was natürlich ins Leere, weil der "orig_to" von cleanup entfernt wurde. Daher bleibt der Probe-Versuch "in progress" ... Kann es sein, dass hier ein Bug bzw. fehlendes Feature in Postfix vorliegt? >>> Hat jemand eine Idee wie ich die Duplikate verhindern kann und trotzdem >>> Adress-Verifikation durchführen kann? >> >> Das hat NICHTS miteinander zu tun. > > Leider bekomme ich es nicht ohne einen Tipp zum Fliegen :-/ Da diese Konfiguration anscheinend eine Sackgasse ist, versuche ich es noch einmal von vorn: - Wie stellt Ihr E-Mails an eine Empfänger-Gruppe zu? Ich habe dafür bislang virtuelle Aliase benutzt: * vorstand@ -> müller@, meier@ * personal@ -> schulze@, hoffmann@ * betriebsrat@ -> meier@, hoffmann@ - Falls Ihr das auch so macht und Empfänger-Verifikation aktiviert habt, akzeptieren Eure Nutzer/Kunden Mailduplikate, wenn eine Mail (hier z.B. an vorstand@ personal@ und betriebsrat@) gesendet wird oder wie löst Ihr das Problem? - Wäre es möglich Empfänger-Verifikation durchzuführen ohne den Alias aufzulösen? Sprich: reicht die Existenz des Alias aus, sofern die Aliase so generiert werden, dass die Alias-Ziele zustellbar sind (z.B. per LDAP)? - Habt Ihr andere Vorschläge, wie ich das genannte Szenario realisieren kann? Vielen Dank für Eure Hinweise. Mathias. From torben at dannhauer.info Wed Mar 18 12:47:50 2015 From: torben at dannhauer.info (Torben Dannhauer) Date: Wed, 18 Mar 2015 12:47:50 +0100 Subject: [Postfixbuch-users] Mailman bei Mailserver != Webserver Message-ID: <00a501d06171$5cdf9660$169ec320$@dannhauer.info> Hallo, evtl ist diese Frage trivial, dennoch habe ich keine Lösung bei meiner Internet Recherche gefunden. Ich möchte mailman einsetzen, habe jedoch einen getrennten Webserver und Mailserver. Wo muss ich mailman dann idealerweise installieren? Auf dme mailhost oder dem webhost? Wie bekomme ich dann die nötige Funktionalität jeweils zum anderen host herüber? Des Weiteren treibt mich noch die Frage um, ob Mailman mit Postfix virtual domains zurechtkommt, wenn es gleichnamige Listen für mehrer virtuelle Domains geben soll… Herzlichen Dank für eure Hilfe, Torben ---------------------------- Torben Dannhauer Salzstr. 36 D-83404 Ainring Phone: +49/8654/5892151 Mobile: +43/676/9384844 -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From toag at izsr.de Fri Mar 20 14:38:26 2015 From: toag at izsr.de (Tim-Ole) Date: Fri, 20 Mar 2015 14:38:26 +0100 Subject: [Postfixbuch-users] Mailman bei Mailserver != Webserver In-Reply-To: <00a501d06171$5cdf9660$169ec320$@dannhauer.info> References: <00a501d06171$5cdf9660$169ec320$@dannhauer.info> Message-ID: <12980D28-8AA1-40AC-A877-FF8DD2E1DA42@izsr.de> Moin, Torben, > Des Weiteren treibt mich noch die Frage um, ob Mailman mit Postfix virtual domains zurechtkommt, wenn es gleichnamige Listen für mehrer virtuelle Domains geben soll? wir haben Mailman mit virtuellen Domains laufen, und meines Wissens geht das eben gerade nicht mit gleichnamigen Listen. Du könntest Dir natürlich krückenmässig behelfen mit Umschreibungen, so dass Du wenigstens nach Aussen dieselben namen rausgibst. hth Schöne Grüsse toag From wolfgang.zeikat at desy.de Mon Mar 23 09:32:01 2015 From: wolfgang.zeikat at desy.de (Wolfgang Zeikat) Date: Mon, 23 Mar 2015 09:32:01 +0100 (CET) Subject: [Postfixbuch-users] X-Clacks-Overhead: GNU Terry Pratchett Message-ID: <745674522.1869803.1427099521938.JavaMail.zimbra@desy.de> http://gnuterrypratchett.com/#postfix http://www.theguardian.com/books/shortcuts/2015/mar/17/terry-pratchetts-name-lives-on-in-the-clacks-with-hidden-web-code From hans.moser at ofd-z.niedersachsen.de Thu Mar 26 09:56:40 2015 From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann) Date: Thu, 26 Mar 2015 09:56:40 +0100 Subject: [Postfixbuch-users] =?utf-8?q?Mailman_f=C3=BCr_internen_Newslette?= =?utf-8?q?r?= Message-ID: <5513C9C8.1000001@ofd-z.niedersachsen.de> Hallo, wir versuchen Mailman für internen Newsletter-Versand zu "missbrauchen". (Nur der Newsletter-Absender darf senden, alle anderen nicht. Einfache An- und Abmeldung per Mail.) Die Bestätigung beim Abmelden (double-opt-out) kann man nicht abschalten, oder? Wir würden gern die Fehlermails bei mehrfacher An- und Abmeldung anpassen. Die .mo und .po Dateien haben wir gefunden. Die Änderungen dort reichen den Kollegen aber nicht aus. Welche der Python-Skripte sind denn für die Erstellung der Mails verantwortlich. Hat jemand einen Tipp? Grüße Marc From jk at jkart.de Sat Mar 28 16:03:13 2015 From: jk at jkart.de (Jim Knuth) Date: Sat, 28 Mar 2015 16:03:13 +0100 Subject: [Postfixbuch-users] (OT) Greygraph Message-ID: <5516C2B1.7090506@jkart.de> Moinsen, hat jemand noch das Greygraph tar.gz? https://listi.jpberlin.de/pipermail/postfixbuch-users/2012-December/059507.html Eine PM wäre nett. Schönes WE. -- Mit freundlichen Grüßen, Jim Knuth From florian at familysnow.net Sun Mar 29 13:49:45 2015 From: florian at familysnow.net (Florian Snow) Date: Sun, 29 Mar 2015 13:49:45 +0200 Subject: [Postfixbuch-users] ROLE-Accounts komplett auf die Whitelist? Message-ID: <20150329134945.343d9d9c@anastasia.fritz.box> Hallo zusammen, nachdem ich jetzt das Postfix-Buch und das Dovecot-Buch durch habe, bin ich dabei, einen eigenen Mail-Server aufzusetzen. Aktuell bastle ich an den Restrictions und frage mich, ob ich die Role-Accounts wirklich als erstes whitelisten muss. So wie ich die RFC verstehe, müssen die Accounts in erster Linie einfach bestehen, d.h. ich dürfte sogar Spam-Filterung durchführen. Allerdings sehe ich schon ein, dass das schwierig wird, wenn mir z.B. jemand einen Auszug aus einer Spam-Mail schickt, um mich darauf aufmerksam zu machen. Andererseits möchte ich auch ungern jeden Müll dort annehmen, denn sonst kann ich ja gleich alle Filter für meine Haupt-Adresse ausschalten, denn irgendwer muss das Zeug ja lesen (also ich). Deswegen überlege ich, ob es nicht sinnvoll wäre, Mails an ROLE-Accounts zumindest auf grundsätzliche Probleme zu untersuchen, also z.B. gültiger HELO, gültige Absender-Domain (oder leerer Absender <>) usw. und _dann_ erst zu whitelisten. Der letzte Eintrag zu dem Thema auf der Liste hier, den ich finden konnte, ist von 2007 [1]. Wie sieht es aktuell damit aus? Muss ich Mails an diese Accounts komplett ungefiltert durchlassen? Liebe Grüße Florian [1] https://listi.jpberlin.de/pipermail/postfixbuch-users/2007-October/039091.html From jost+lists at dimejo.at Sun Mar 29 14:22:23 2015 From: jost+lists at dimejo.at (Alex JOST) Date: Sun, 29 Mar 2015 14:22:23 +0200 Subject: [Postfixbuch-users] ROLE-Accounts komplett auf die Whitelist? In-Reply-To: <20150329134945.343d9d9c@anastasia.fritz.box> References: <20150329134945.343d9d9c@anastasia.fritz.box> Message-ID: <5517EE7F.4080901@dimejo.at> Am 29.03.2015 um 13:49 schrieb Florian Snow: > Deswegen überlege ich, ob es nicht sinnvoll wäre, Mails an > ROLE-Accounts zumindest auf grundsätzliche Probleme zu untersuchen, > also z.B. gültiger HELO, gültige Absender-Domain (oder leerer Absender > <>) usw. und _dann_ erst zu whitelisten. In den neueren Postfix-Versionen (ab 2.8 glaube ich) steht Dir Postscreen zur Verfügung. Das weist einen Großteil des Mülls ab, bevor die smtpd_*_restrictions in Aktion treten. Mein Vorschlag wäre es zuerst mit Postscreen und dem Muster-Beispiel aus dem Buch zu versuchen, und später falls notwendig die Regeln zu verschärfen. -- Alex JOST From florian at familysnow.net Sun Mar 29 14:37:28 2015 From: florian at familysnow.net (Florian Snow) Date: Sun, 29 Mar 2015 14:37:28 +0200 Subject: [Postfixbuch-users] ROLE-Accounts komplett auf die Whitelist? In-Reply-To: <5517EE7F.4080901@dimejo.at> References: <20150329134945.343d9d9c@anastasia.fritz.box> <5517EE7F.4080901@dimejo.at> Message-ID: <20150329143728.3c5402ce@anastasia.fritz.box> Hallo, Alex JOST, 2015-03-29, 14:22 CEST (+0200): > Mein Vorschlag wäre es zuerst mit Postscreen und dem Muster-Beispiel > aus dem Buch zu versuchen, und später falls notwendig die Regeln zu > verschärfen. Danke für den Hinweis! Postscreen schau ich mir auf jeden Fall an. Die Frage, ob ich die ROLE-Accounts komplett whitelisten muss, bleibt aber offen. Es geht mir nicht in erster Line darum Ressourcen beim Filtern zu sparen, sondern mir beim Lesen Zeit zu sparen. Und wenn es da Spam gibt, den ich auch für die ROLE-Accounts abweisen kann, dann würde ich das gern machen. Liebe Grüße Florian From driessen at fblan.de Sun Mar 29 16:46:55 2015 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sun, 29 Mar 2015 16:46:55 +0200 Subject: [Postfixbuch-users] ROLE-Accounts komplett auf die Whitelist? In-Reply-To: <20150329143728.3c5402ce@anastasia.fritz.box> References: <20150329134945.343d9d9c@anastasia.fritz.box> <5517EE7F.4080901@dimejo.at> <20150329143728.3c5402ce@anastasia.fritz.box> Message-ID: <000901d06a2f$3480ae40$9d820ac0$@fblan.de> Im Auftrag von Florian Snow > Die Frage, ob ich die ROLE-Accounts komplett whitelisten muss, bleibt > aber offen. Es geht mir nicht in erster Line darum Ressourcen beim > Filtern zu sparen, sondern mir beim Lesen Zeit zu sparen. Und wenn es > da Spam gibt, den ich auch für die ROLE-Accounts abweisen kann, dann > würde ich das gern machen. An der Frage entstehen immer hitzige Diskussionen. Mit Postscreen sind die accounts schon nicht mehr komplett white. Persönlich durchlaufen meine Roleacounts so viel Filter wie möglich ohne das es zu Verlusten von erlaubten/gewünschten Mails kommt. Und was heißt denn müssen ? Du legst die Spielregeln für deinen Server fest und von wem du Mails annimmst und von wem nicht. Mit allen Konsequenzen auch mal auf einer Blacklist zu landen und sei es auch nur auf den internen der Großen weil du eben keine Mail von deren Postmaster oder so angenommen hast. Wobei die "Großen" schreiben eher seltenstes an die sperren einfach wenn was mit deinem Server nicht stimmt :-) Von einem korrekt konfiguriert und betriebenen Mailserver sollte immer auf den Roleaccounts angenommen werden. Von misskonfigurierten ist eine freie Entscheidung. Ich bin ja nicht dafür verantwortlich wenn mein Gegenüber rote Ampeln missachtet. Wenn es ihm wichtig ist gibt es auch noch andere Möglichkeiten der Kommunikation. Es ist auch eine Frage wer alles über deinen Server Mails verschickt. Nur du und deine Familie oder auch Fremde und Firmen? > > Liebe Grüße > Florian Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From sebastian at debianfan.de Sun Mar 29 18:57:53 2015 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 29 Mar 2015 18:57:53 +0200 Subject: [Postfixbuch-users] Spammails "markieren" Message-ID: <55182F11.1050403@debianfan.de> Hallo & Guten Abend zusammen, ich habe eine Testmaschine, bei welcher ich mal schauen würde, wie sich Änderungen am Spamfilter auswirken. Gibt es eine Chance, dass Postfix die Mails nur "markiert" aber mit einem Vermerk im Header zustellt (RBL XY hätte reject geliefert)? gruß Sebastian From bluewind at xinu.at Sun Mar 29 19:05:19 2015 From: bluewind at xinu.at (Florian Pritz) Date: Sun, 29 Mar 2015 19:05:19 +0200 Subject: [Postfixbuch-users] Spammails "markieren" In-Reply-To: <55182F11.1050403@debianfan.de> References: <55182F11.1050403@debianfan.de> Message-ID: <551830CF.2000509@xinu.at> On 29.03.2015 18:57, sebastian at debianfan.de wrote: > Gibt es eine Chance, dass Postfix die Mails nur "markiert" aber mit > einem Vermerk im Header zustellt (RBL XY hätte reject geliefert)? Sofern du von postfix restrictions redest pack "warn_if_reject" davor. Z.b. "warn_if_reject reject_unknown_client_hostname". Die Informationen landen dann in syslog und das kann man dann z.b. so auswerten: https://paste.xinu.at/tGG/ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: OpenPGP digital signature URL : From florian at familysnow.net Sun Mar 29 19:16:51 2015 From: florian at familysnow.net (Florian Snow) Date: Sun, 29 Mar 2015 19:16:51 +0200 Subject: [Postfixbuch-users] ROLE-Accounts komplett auf die Whitelist? In-Reply-To: <000901d06a2f$3480ae40$9d820ac0$@fblan.de> References: <20150329134945.343d9d9c@anastasia.fritz.box> <5517EE7F.4080901@dimejo.at> <20150329143728.3c5402ce@anastasia.fritz.box> <000901d06a2f$3480ae40$9d820ac0$@fblan.de> Message-ID: <20150329191651.1ce7686e@anastasia.fritz.box> Hallo zusammen, Uwe Drießen, 2015-03-29, 16:46 CEST (+0200): > Persönlich durchlaufen meine Roleacounts so viel Filter wie möglich > ohne das es zu Verlusten von erlaubten/gewünschten Mails kommt. So in etwa hatte ich das auch vor. > Und was heißt denn müssen ? > Du legst die Spielregeln für deinen Server fest und von wem du Mails > annimmst und von wem nicht. Ich hatte noch überlegt ob ich das in der ersten Mail genauer beschreibe. Natürlich kann ich auch Mailserver konfigurieren, die jeden zweiten Dienstag keine Mails annehmen, aber ich möchte mich halt an best practice/RFC halten. > Von einem korrekt konfiguriert und betriebenen Mailserver sollte > immer auf den Roleaccounts angenommen werden. Und das ist halt meine Frage: So wie ich die RFC verstehe, muss es die Role-Accounts nur geben. Dass ich dort weniger streng filtern sollte als bei persönlichen Postfächern, ist mir auch einleuchtend. Aber ist es bei einem korrekt konfigurierten Mailserver wirklich vorgesehen, Mails an Role-Accounts gar nicht zu filtern? Wenn das so in nem RFC steht, dann mach ich das, aber bisher hab ich das so eindeutig nicht gefunden, deswegen meine Frage hier. > Es ist auch eine Frage wer alles über deinen Server Mails verschickt. > Nur du und deine Familie oder auch Fremde und Firmen? Erst mal hauptsächlich ich, Freunde, Familie. Später eventuell aber auch noch andere Leute. Aber in jedem Fall möchte ich den Mailserver "korrekt" konfigurieren. Wenn das heißt, ich muss jeden Müll an Role-Accounts durchlassen, dann ok, aber ich bin mir da halt nicht so sicher, dass das wirklich so sein muss. Mal andersrum formuliert: Wenn ich für Role-Accounts nur Prüfungen durchführe, die Mails von schlecht konfigurierten einliefernden Mailservern ablehnen, mit welcher Begründung kann deren Betreiber damit rechnen, dass ich sowas annehme? D.h. wenn ich nur gegenüber schlecht konfigurierten Mailservern ebenfalls als schlecht konfiguriert auftrete, ist das typischerweise ein Problem? Liebe Grüße Florian