From Rainer_Wiesenfarth at Trimble.com Thu Oct 1 08:13:10 2015 From: Rainer_Wiesenfarth at Trimble.com (Rainer Wiesenfarth) Date: Thu, 1 Oct 2015 06:13:10 +0000 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: <20150930094638.GD2708@sys4.de> References: <20150930094638.GD2708@sys4.de> Message-ID: <4AE00D781A09064297022337CA5D27F94F77A1F8@sed-mbx-03.trimblecorp.net> From: Patrick Ben Koetter > Wir, die sys4, veranstalten kommende Woche auf der it-sa sa.de> einen eintägigen Workshop zum Thema DNSSEC/DANE. Für den Workshop sind > noch Plätze frei. Die Teilname ist kostenlos und die Tickets brennen ein Loch > in meinen Tisch? ;) > [...] Hallo Patrick, gegen das Loch im Tisch kann ich leider nichts unternehmen (als Part-Time-Nebenjob-Admin ist ein Tag Workshop nicht drin), aber ich wäre an den Workshop-Unterlagen interessiert. Möchtest Du die nach dem Workshop über die Liste hier verfügbar machen? Best Regards / Mit freundlichen Grüßen Rainer Wiesenfarth -- Software Engineer | Trimble Geospatial Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 http://www.trimble.com/geospatial/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Hans-Jürgen Gebauer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6250 bytes Beschreibung: nicht verfügbar URL : From admin at bbs1emd.de Thu Oct 1 08:44:40 2015 From: admin at bbs1emd.de (admin) Date: Thu, 01 Oct 2015 08:44:40 +0200 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop =?ISO-8859-1?Q?teilnehmen=3F?= References: <20150930094638.GD2708@sys4.de> Message-ID: Hallo, ich würde liebend gerne die Chance haben, daran teilzu nehmen. Ich bin ein kleiner SysAdmin an einer Schule und es ist sehr schwer für mich, für solche Fortbildungen ein Budget zu bekommen. Ich würde mich über alle Maßen freuen, daran teil nehmen zu können! Viele Grüße Malte Müller BBS I Emden Diskussionen und Support rund um Postfix schrieb am Mi, 30.09.2015 11:46: > Hallo postfixbuch-users! > > Wir, die sys4, veranstalten kommende Woche auf der it-sa > einen eintägigen Workshop zum Thema DNSSEC/DANE. Für > den Workshop sind noch Plätze frei. Die Teilname ist kostenlos und die Tickets > brennen ein Loch in meinen Tisch? ;) > > # Eckdaten > Titel: DANEn lügen nicht! > Beginn: Dienstag, 06.10.2015 um 09:00 > Ende: Dienstag, 06.10.2015 um 17:00 > > ## Kurzbeschreibung > In unserem zweiteiligen Workshop informieren wir im ersten Teil über > Anwendungsszenarien und die Relevanz für die elektronische Kommunikation von > DNS und DNSSEC im Unternehmensumfeld. Wir erklären, was DNSSEC und DANE sind, > wie sie funktionieren und was sie bewirken. Dieser Teil richtet sich an > CTOs/IT-Leiter, CEOs/Geschäftsführer, Inhaber von KMU, CI(S)Os und > IT-Architekten. > > Im zweiten Teil üben wir mit Dir, wie sich eigene DNS-Zonen per DNSSEC > absichern lassen, und wie ein DNS-Server die DNSSEC-Daten anderer Zonen im > Netzwerk überprüfen (validieren) kann. Dieser Teil richtet sich vorrangig an > Administratoren, aber auch an technisch versierte Mitarbeiter der > Unternehmensleitung. > > # Wie kommst Du an ein Ticket? > Tickets für die it-sa und den Workshop gibt es bei mir. Sende eine Mail an > p at sys4.de und nenne mir die Anschrift an die wir die Tickets senden sollen. > First come, first serve! Freitag nachmittag gehen wir ein letztes Mal zur > Post? > > > Ich freu mich! > > p at rick > > P.S. > Die Teilnahme ist im Rahmen der Re-Zertifizierung zum T.I.S.P./T.E.S.S als > Weiterbildung anrechnungsfähig. ;) From p at sys4.de Thu Oct 1 10:27:04 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 1 Oct 2015 10:27:04 +0200 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: References: <20150930094638.GD2708@sys4.de> Message-ID: <560CEE58.4000709@sys4.de> Am 01.10.2015 um 08:44 schrieb admin: > Hallo, > ich würde liebend gerne die Chance haben, daran teilzu nehmen. Ich bin ein kleiner SysAdmin an einer Schule und es ist sehr schwer für mich, für solche Fortbildungen ein Budget zu bekommen. > Ich würde mich über alle Maßen freuen, daran teil nehmen zu können! Ticket kommt gleich in private message. p@ > > Viele Grüße > Malte Müller > BBS I Emden > > Diskussionen und Support rund um Postfix schrieb am Mi, 30.09.2015 11:46: >> Hallo postfixbuch-users! >> >> Wir, die sys4, veranstalten kommende Woche auf der it-sa >> einen eintägigen Workshop zum Thema DNSSEC/DANE. Für >> den Workshop sind noch Plätze frei. Die Teilname ist kostenlos und die Tickets >> brennen ein Loch in meinen Tisch? ;) >> >> # Eckdaten >> Titel: DANEn lügen nicht! >> Beginn: Dienstag, 06.10.2015 um 09:00 >> Ende: Dienstag, 06.10.2015 um 17:00 >> >> ## Kurzbeschreibung >> In unserem zweiteiligen Workshop informieren wir im ersten Teil über >> Anwendungsszenarien und die Relevanz für die elektronische Kommunikation von >> DNS und DNSSEC im Unternehmensumfeld. Wir erklären, was DNSSEC und DANE sind, >> wie sie funktionieren und was sie bewirken. Dieser Teil richtet sich an >> CTOs/IT-Leiter, CEOs/Geschäftsführer, Inhaber von KMU, CI(S)Os und >> IT-Architekten. >> >> Im zweiten Teil üben wir mit Dir, wie sich eigene DNS-Zonen per DNSSEC >> absichern lassen, und wie ein DNS-Server die DNSSEC-Daten anderer Zonen im >> Netzwerk überprüfen (validieren) kann. Dieser Teil richtet sich vorrangig an >> Administratoren, aber auch an technisch versierte Mitarbeiter der >> Unternehmensleitung. >> >> # Wie kommst Du an ein Ticket? >> Tickets für die it-sa und den Workshop gibt es bei mir. Sende eine Mail an >> p at sys4.de und nenne mir die Anschrift an die wir die Tickets senden sollen. >> First come, first serve! Freitag nachmittag gehen wir ein letztes Mal zur >> Post? >> >> >> Ich freu mich! >> >> p at rick >> >> P.S. >> Die Teilnahme ist im Rahmen der Re-Zertifizierung zum T.I.S.P./T.E.S.S als >> Weiterbildung anrechnungsfähig. ;) -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4209 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p at sys4.de Thu Oct 1 10:36:44 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 1 Oct 2015 10:36:44 +0200 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: <4AE00D781A09064297022337CA5D27F94F77A1F8@sed-mbx-03.trimblecorp.net> References: <20150930094638.GD2708@sys4.de> <4AE00D781A09064297022337CA5D27F94F77A1F8@sed-mbx-03.trimblecorp.net> Message-ID: <560CF09C.5000609@sys4.de> Hallo Rainer, Am 01.10.2015 um 08:13 schrieb Rainer Wiesenfarth: > From: Patrick Ben Koetter >> Wir, die sys4, veranstalten kommende Woche auf der it-sa > sa.de> einen eintägigen Workshop zum Thema DNSSEC/DANE. Für den Workshop sind >> noch Plätze frei. Die Teilname ist kostenlos und die Tickets brennen ein Loch >> in meinen Tisch? ;) >> [...] > Hallo Patrick, > > gegen das Loch im Tisch kann ich leider nichts unternehmen (als Part-Time-Nebenjob-Admin ist ein Tag Workshop nicht drin), aber ich wäre an den Workshop-Unterlagen interessiert. Möchtest Du die nach dem Workshop über die Liste hier verfügbar machen? wollen, ja. :) Dürfen, nein. :/ Grund: Teile der Unterlagen sind, von Partnern, nicht für freie Veröffentlichung freigegeben. Aber, weil wir Partner der Allianz für Cybersicherheit sind und uns das u.a. dazu verpflichtet regelmäßig Mitglieder in unserem Kompetenzbereich zu schulen, bin ich mir sicher, dass wir noch den einen oder anderen Interessierten "einfach so" mit auf diese Workshop bringen können. Wenn ich darf, melde ich mich einfach wieder hier und dann sehen wir, wer kommen mag und kann. p at rick P.S. In der Zwischenzeit können vielleicht unsere DNSSEC-Tutorials auf Youtube hefen. -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4209 bytes Beschreibung: S/MIME Cryptographic Signature URL : From werner at aloah-from-hell.de Thu Oct 1 10:48:24 2015 From: werner at aloah-from-hell.de (Werner Detter) Date: Thu, 1 Oct 2015 10:48:24 +0200 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: <20150930094638.GD2708@sys4.de> References: <20150930094638.GD2708@sys4.de> Message-ID: <560CF358.3010805@aloah-from-hell.de> Hey p at trick, planst du den Workshop bei Zeiten auch mal in München in deinem Büro zu machen? :) Viele Grüße, Werner Am 30.09.15 um 11:46 schrieb Patrick Ben Koetter: > Hallo postfixbuch-users! > > Wir, die sys4, veranstalten kommende Woche auf der it-sa > einen eintägigen Workshop zum Thema DNSSEC/DANE. Für > den Workshop sind noch Plätze frei. Die Teilname ist kostenlos und die Tickets > brennen ein Loch in meinen Tisch? ;) > > # Eckdaten > Titel: DANEn lügen nicht! > Beginn: Dienstag, 06.10.2015 um 09:00 > Ende: Dienstag, 06.10.2015 um 17:00 > > ## Kurzbeschreibung > In unserem zweiteiligen Workshop informieren wir im ersten Teil über > Anwendungsszenarien und die Relevanz für die elektronische Kommunikation von > DNS und DNSSEC im Unternehmensumfeld. Wir erklären, was DNSSEC und DANE sind, > wie sie funktionieren und was sie bewirken. Dieser Teil richtet sich an > CTOs/IT-Leiter, CEOs/Geschäftsführer, Inhaber von KMU, CI(S)Os und > IT-Architekten. > > Im zweiten Teil üben wir mit Dir, wie sich eigene DNS-Zonen per DNSSEC > absichern lassen, und wie ein DNS-Server die DNSSEC-Daten anderer Zonen im > Netzwerk überprüfen (validieren) kann. Dieser Teil richtet sich vorrangig an > Administratoren, aber auch an technisch versierte Mitarbeiter der > Unternehmensleitung. > > # Wie kommst Du an ein Ticket? > Tickets für die it-sa und den Workshop gibt es bei mir. Sende eine Mail an > p at sys4.de und nenne mir die Anschrift an die wir die Tickets senden sollen. > First come, first serve! Freitag nachmittag gehen wir ein letztes Mal zur > Post? > > > Ich freu mich! > > p at rick > > P.S. > Die Teilnahme ist im Rahmen der Re-Zertifizierung zum T.I.S.P./T.E.S.S als > Weiterbildung anrechnungsfähig. ;) > > > From p at sys4.de Thu Oct 1 11:32:43 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 1 Oct 2015 11:32:43 +0200 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: <560CF358.3010805@aloah-from-hell.de> References: <20150930094638.GD2708@sys4.de> <560CF358.3010805@aloah-from-hell.de> Message-ID: <560CFDBB.5040509@sys4.de> Am 01.10.2015 um 10:48 schrieb Werner Detter: > Hey p at trick, > > planst du den Workshop bei Zeiten auch mal in München in deinem > Büro zu machen? :) Ja. Wenn du magst, kann ich Dich aber auch am Di nach Nürnberg mitnehmen. ;) p@ > > Viele Grüße, > Werner > > > Am 30.09.15 um 11:46 schrieb Patrick Ben Koetter: >> Hallo postfixbuch-users! >> >> Wir, die sys4, veranstalten kommende Woche auf der it-sa >> einen eintägigen Workshop zum Thema DNSSEC/DANE. Für >> den Workshop sind noch Plätze frei. Die Teilname ist kostenlos und die Tickets >> brennen ein Loch in meinen Tisch? ;) >> >> # Eckdaten >> Titel: DANEn lügen nicht! >> Beginn: Dienstag, 06.10.2015 um 09:00 >> Ende: Dienstag, 06.10.2015 um 17:00 >> >> ## Kurzbeschreibung >> In unserem zweiteiligen Workshop informieren wir im ersten Teil über >> Anwendungsszenarien und die Relevanz für die elektronische Kommunikation von >> DNS und DNSSEC im Unternehmensumfeld. Wir erklären, was DNSSEC und DANE sind, >> wie sie funktionieren und was sie bewirken. Dieser Teil richtet sich an >> CTOs/IT-Leiter, CEOs/Geschäftsführer, Inhaber von KMU, CI(S)Os und >> IT-Architekten. >> >> Im zweiten Teil üben wir mit Dir, wie sich eigene DNS-Zonen per DNSSEC >> absichern lassen, und wie ein DNS-Server die DNSSEC-Daten anderer Zonen im >> Netzwerk überprüfen (validieren) kann. Dieser Teil richtet sich vorrangig an >> Administratoren, aber auch an technisch versierte Mitarbeiter der >> Unternehmensleitung. >> >> # Wie kommst Du an ein Ticket? >> Tickets für die it-sa und den Workshop gibt es bei mir. Sende eine Mail an >> p at sys4.de und nenne mir die Anschrift an die wir die Tickets senden sollen. >> First come, first serve! Freitag nachmittag gehen wir ein letztes Mal zur >> Post? >> >> >> Ich freu mich! >> >> p at rick >> >> P.S. >> Die Teilnahme ist im Rahmen der Re-Zertifizierung zum T.I.S.P./T.E.S.S als >> Weiterbildung anrechnungsfähig. ;) >> >> >> -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4209 bytes Beschreibung: S/MIME Cryptographic Signature URL : From werner at aloah-from-hell.de Thu Oct 1 16:51:52 2015 From: werner at aloah-from-hell.de (Werner Detter) Date: Thu, 1 Oct 2015 16:51:52 +0200 Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: <560CFDBB.5040509@sys4.de> References: <20150930094638.GD2708@sys4.de> <560CF358.3010805@aloah-from-hell.de> <560CFDBB.5040509@sys4.de> Message-ID: <560D4888.4040405@aloah-from-hell.de> Hi, > Ja. Wenn du magst, kann ich Dich aber auch am Di nach Nürnberg mitnehmen. ;) Danke dir - Dienstag kann ich leider nicht sonst wär das auch eine Option gewesen :) LG, der Werner From jk at jkart.de Fri Oct 2 02:19:44 2015 From: jk at jkart.de (Jamie Katharina Knuth) Date: Fri, 2 Oct 2015 02:19:44 +0200 Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven In-Reply-To: <012701d0f5e7$05390da0$0fab28e0$@fblan.de> References: <012701d0f5e7$05390da0$0fab28e0$@fblan.de> Message-ID: <560DCDA0.8040903@jkart.de> am 23.09.15, 12:02 schrieb Uwe Drießen : > Spam detection software, running on the system "server1.art-domains.de", > has identified this incoming email as possible spam. The original > message has been attached to this so you can view it or label > similar future email. If you have any questions, see > the administrator of that system for details. > > Content preview: Hi Der ging durch weil Mail komplett als TEXT kam. Da ist > kein Anhang im eigentlichen Sinne dran Somit kann auch keine Exe erkannt werden. > Das da .zip drin steht heißt ja nicht das da ein zip dran hängt Von daher > geht das "nur" durch die Textfilter [...] > > Content analysis details: (9.9 points, 4.0 required) > > pts rule name description > ---- ---------------------- -------------------------------------------------- > 0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked. > See > http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block > for more information. > [URIs: outlook.com] > -0.0 RCVD_IN_MSPIKE_H3 RBL: Good reputation (+3) > [213.203.238.6 listed in wl.mailspike.net] > 0.0 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail > domains are different > -0.0 SPF_PASS SPF: sender matches SPF record > 0.0 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain > 5.0 CLAMAV Clam AntiVirus detected a virus > [Sanesecurity.Foxhole.Zip_exe.UNOFFICIAL(1ed0a885b441fe1776fb4a7d7f3923d7:10147)] > -0.0 RCVD_IN_MSPIKE_WL Mailspike good senders > 4.9 ZMIde_Mahnung1 Mahnung spam > > die landen bei mir immer im Spamordner -- Mit freundlichen Grüßen, With kind regards, Jamie Katharina Knuth From p at sys4.de Fri Oct 2 11:58:06 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 2 Oct 2015 11:58:06 +0200 Subject: DONE Re: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen? In-Reply-To: <20150930094638.GD2708@sys4.de> References: <20150930094638.GD2708@sys4.de> Message-ID: <20151002095806.GB5023@sys4.de> So, vielen Dank für das rege Interesse. Die Plätze sind nun alle vergeben. Ich freue mich auf den Dienstag. :) p at rick * Patrick Ben Koetter : > Hallo postfixbuch-users! > > Wir, die sys4, veranstalten kommende Woche auf der it-sa > einen eintägigen Workshop zum Thema DNSSEC/DANE. Für > den Workshop sind noch Plätze frei. Die Teilname ist kostenlos und die Tickets > brennen ein Loch in meinen Tisch? ;) > > # Eckdaten > Titel: DANEn lügen nicht! > Beginn: Dienstag, 06.10.2015 um 09:00 > Ende: Dienstag, 06.10.2015 um 17:00 > > ## Kurzbeschreibung > In unserem zweiteiligen Workshop informieren wir im ersten Teil über > Anwendungsszenarien und die Relevanz für die elektronische Kommunikation von > DNS und DNSSEC im Unternehmensumfeld. Wir erklären, was DNSSEC und DANE sind, > wie sie funktionieren und was sie bewirken. Dieser Teil richtet sich an > CTOs/IT-Leiter, CEOs/Geschäftsführer, Inhaber von KMU, CI(S)Os und > IT-Architekten. > > Im zweiten Teil üben wir mit Dir, wie sich eigene DNS-Zonen per DNSSEC > absichern lassen, und wie ein DNS-Server die DNSSEC-Daten anderer Zonen im > Netzwerk überprüfen (validieren) kann. Dieser Teil richtet sich vorrangig an > Administratoren, aber auch an technisch versierte Mitarbeiter der > Unternehmensleitung. > > # Wie kommst Du an ein Ticket? > Tickets für die it-sa und den Workshop gibt es bei mir. Sende eine Mail an > p at sys4.de und nenne mir die Anschrift an die wir die Tickets senden sollen. > First come, first serve! Freitag nachmittag gehen wir ein letztes Mal zur > Post? > > > Ich freu mich! > > p at rick > > P.S. > Die Teilnahme ist im Rahmen der Re-Zertifizierung zum T.I.S.P./T.E.S.S als > Weiterbildung anrechnungsfähig. ;) > > > > -- > [*] sys4 AG > > https://sys4.de, +49 (89) 30 90 46 64 > Franziskanerstraße 15, 81669 München > > Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 > Vorstand: Patrick Ben Koetter, Marc Schiffbauer > Aufsichtsratsvorsitzender: Florian Kirstein > -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From gjn at gjn.priv.at Sat Oct 3 13:52:28 2015 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Sat, 03 Oct 2015 13:52:28 +0200 Subject: Externe EMail =?UTF-8?B?w7xiZXI=?= eigenen Server (an Google) Message-ID: <2013997.R00W1p35d9@techz> Hallo, hätte da eine Frage ;-) ist es eigentlich irgendwie möglich über den eigenen Mailserver legitim andere Adressen zu versenden? Ich habe einen Postfix aufgesetzt mit DKIM DMARK AMAVIS Ich habe 2 Domains mit DNSSEC Das Problem dabei ich soll auch zwei andere Domains versenden können wo ich noch keinen Zugang zum DNS habe. Das ganze funktioniert auch ganz gut, bis jetzt, nur Google macht Probleme mit der DMARKPolicie Kann man das irgendwie einstellen dass auch diese Domains senden dürfen? -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From andreas.schulze at datev.de Mon Oct 5 06:49:21 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 5 Oct 2015 06:49:21 +0200 Subject: =?UTF-8?Q?Re:_Externe_EMail_=c3=bcber_eigenen_Server_=28an_Google?= =?UTF-8?Q?=29?= In-Reply-To: <2013997.R00W1p35d9@techz> References: <2013997.R00W1p35d9@techz> Message-ID: <56120151.50706@datev.de> Am 03.10.2015 um 13:52 schrieb Günther J. Niederwimmer: > Das ganze funktioniert auch ganz gut, bis jetzt, nur Google macht Probleme mit > der DMARKPolicie Was ist das Problem? Logs ... Generell wirst Du keine Mail mit RFC5322.From <*@googlemail.com> versenden und dann hoffen, dass die /überall/ angenommen wird. Das ist DMARC... -- A. Schulze DATEV eG From gjn at gjn.priv.at Tue Oct 6 15:58:20 2015 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 06 Oct 2015 15:58:20 +0200 Subject: Externe EMail =?UTF-8?B?w7xiZXI=?= eigenen Server (an Google) In-Reply-To: <56120151.50706@datev.de> References: <2013997.R00W1p35d9@techz> <56120151.50706@datev.de> Message-ID: <3826220.379ieFOEGj@techz> Hallo, Am Montag, 5. Oktober 2015, 06:49:21 schrieb Andreas Schulze: > Am 03.10.2015 um 13:52 schrieb Günther J. Niederwimmer: > > Das ganze funktioniert auch ganz gut, bis jetzt, nur Google macht Probleme > > mit der DMARKPolicie > > Was ist das Problem? Logs ... > > Generell wirst Du keine Mail mit RFC5322.From <*@googlemail.com> > versenden und dann hoffen, dass die /überall/ angenommen wird. > Das ist DMARC... anders herum ;-) es ist mir nur aufgefallen weil google die Mail ablehnt. Dass war wieder einmal ein Eigentor ;-) wo kann ich es einstellen damit postfix die Mails über den "richtigen" Server versendet ? Transport, Transport_map ich muss ihm anscheinend ein Kennwort mitgeben damit der "original" Server das annimmt. da muss ich noch suchen, wird irgendwo im Postfixbuch stehen. -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From stefan.schwarz at gmx.com Tue Oct 6 17:02:57 2015 From: stefan.schwarz at gmx.com (Stefan Schwarz) Date: Tue, 6 Oct 2015 17:02:57 +0200 Subject: =?UTF-8?Q?Re:_Externe_EMail_=c3=bcber_eigenen_Server_=28an_Google?= =?UTF-8?Q?=29?= In-Reply-To: <2013997.R00W1p35d9@techz> References: <2013997.R00W1p35d9@techz> Message-ID: <5613E2A1.7040303@gmx.com> Am 06.10.2015 um 15:58 schrieb Günther J. Niederwimmer: > wo kann ich es einstellen damit postfix die Mails über den "richtigen" Server > versendet ? Das Stichwort wäre "sender_dependent_relayhost_maps" Kap 11.7.3 in der 3.Edition. siehe auch: http://serversupportforum.de/forum/mail/10299-postfix-2-3-0-absender-abhaengiges-mail-relay-mit-smtp-auth-fuer-ausgehende-mails.html > [..] Kennwort mitgeben damit der "original" Server das annimmt. ja, das läuft über sasl, offene Relays betreibt keiner mehr. Gruß St From andreas.schulze at datev.de Wed Oct 7 07:54:32 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 7 Oct 2015 07:54:32 +0200 Subject: =?UTF-8?Q?Re:_Externe_EMail_=c3=bcber_eigenen_Server_=28an_Google?= =?UTF-8?Q?=29?= In-Reply-To: <3826220.379ieFOEGj@techz> References: <2013997.R00W1p35d9@techz> <56120151.50706@datev.de> <3826220.379ieFOEGj@techz> Message-ID: <5614B398.8090709@datev.de> Am 06.10.2015 um 15:58 schrieb Günther J. Niederwimmer: >> anders herum ;-) es ist mir nur aufgefallen weil google die Mail ablehnt. Eigentlich sollte man heute überhaupt keine Mails mehr versenden, die nicht die eigenen, lokalen Domains als absender haben. Forwarding, OK. Dann sollten die Mails aber noch eine DKIM-Signatur vom Ersteller haben. Solange die Mails also unverändert bleiben, sind die Signaturen weiterhin gültig und man kann die weitersenden. Und ansonsten in der Tat: Submission. Dann muss die Mail auch über den Submissionserver des jeweiligen Mailproviders verschickt werden. http://www.postfix.org/postconf.5.html#sender_dependent_default_transport_maps sowie http://www.postfix.org/postconf.5.html#smtp_sasl_password_maps -- A. Schulze DATEV eG From gjn at gjn.priv.at Wed Oct 7 09:52:13 2015 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Wed, 07 Oct 2015 09:52:13 +0200 Subject: Externe EMail =?UTF-8?B?w7xiZXI=?= eigenen Server (an Google) In-Reply-To: <5613E2A1.7040303@gmx.com> References: <2013997.R00W1p35d9@techz> <5613E2A1.7040303@gmx.com> Message-ID: <1589988.2cOTv6Rk9s@techz> Hallo Stefan, Am Dienstag, 6. Oktober 2015, 17:02:57 schrieb Stefan Schwarz: > Am 06.10.2015 um 15:58 schrieb Günther J. Niederwimmer: > > wo kann ich es einstellen damit postfix die Mails über den > > "richtigen" Server > > > versendet ? > > Das Stichwort wäre "sender_dependent_relayhost_maps" Kap 11.7.3 in der > 3.Edition. > > siehe auch: > http://serversupportforum.de/forum/mail/10299-postfix-2-3-0-absender-abhaeng > iges-mail-relay-mit-smtp-auth-fuer-ausgehende-mails.html > > [..] Kennwort mitgeben damit der "original" Server das annimmt. Der Link hat geholfen, Danke habe mir dadurch eine Menge lesen erspart ;-). > ja, das läuft über sasl, offene Relays betreibt keiner mehr. > > Gruß > St -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From klaus at tachtler.net Wed Oct 7 12:44:18 2015 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 07 Oct 2015 12:44:18 +0200 Subject: Frage zu smtp_tls_policy_maps... Message-ID: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> Hallo Liste, wenn ich bei AUSGEHNDEN e-Mails via smtp_tls_policy_maps festlege, dass an eine Domain (example.com) nur dann e-Mails versendet werden dürfen, wenn der fingerprint des Zertifikats der Domain (exmaple.com) an die gesendet werden soll, auch mit dem in smtp_tls_policy_maps übereinstimmt, und der fingerprint jedoch NICHT übereinstimmt, werden diese e-Mails auf meinem Postfix in die deferred Queue gestellt. Gibt es eine Möglichkeit, dieses Verhalten zu ändern, sprich die e-Mail durch meinen Postfix erst gar nicht annehmen zu lassen? Beispiel: ======== /etc/postfix/tls_policy_maps: example.com fingerprint match=01:02:03:04:05:06:07:08:09:0A:0B:0C:0D:0E:0F:10:11:12:13:14 Der fingerprint ist tatsächlich (zum testen gewollt) falsch! # mailq -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 682B11800089 377 Mon Oct 5 14:55:47 klaus at tachtler.net (Server certificate not verified) irgendwer at example.com Ich möchte jedoch, das mein Postfix die e-Mail erst gar nicht zum versenden annimmt! Vielen Dank! Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From andreas.schulze at datev.de Wed Oct 7 13:58:00 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 7 Oct 2015 13:58:00 +0200 Subject: Frage zu smtp_tls_policy_maps... In-Reply-To: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> References: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> Message-ID: <20151007115800.GA2342@spider.services.datevnet.de> Am 07.10.2015 12:44 schrieb Klaus Tachtler: > wenn ich bei AUSGEHNDEN e-Mails via smtp_tls_policy_maps festlege, dass an > eine Domain (example.com) nur dann e-Mails versendet werden dürfen, wenn der > fingerprint des Zertifikats der Domain (exmaple.com) an die gesendet werden > soll, auch mit dem in smtp_tls_policy_maps übereinstimmt, und der > fingerprint jedoch NICHT übereinstimmt, werden diese e-Mails auf meinem > Postfix in die deferred Queue gestellt. > > Gibt es eine Möglichkeit, dieses Verhalten zu ändern, sprich die e-Mail > durch meinen Postfix erst gar nicht annehmen zu lassen? nein Du kannst höchstens die Mail gleich Bouncen, statt sie in die Queue zurückzustellen. > Ich möchte jedoch, das mein Postfix die e-Mail erst gar nicht zum versenden > annimmt! Das ginge nur mit etwas Script-Vodoo - prüfe regelmäßig, ob die Versandbedingungen für die Zieldomain passen - wenn nicht, fülle eine Access Map, die Postfix immer einliest und die im Normalfall leer ist. -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From andreas.schulze at datev.de Wed Oct 7 13:58:00 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 7 Oct 2015 13:58:00 +0200 Subject: Frage zu smtp_tls_policy_maps... In-Reply-To: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> References: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> Message-ID: <20151007115800.GA2342@spider.services.datevnet.de> Am 07.10.2015 12:44 schrieb Klaus Tachtler: > wenn ich bei AUSGEHNDEN e-Mails via smtp_tls_policy_maps festlege, dass an > eine Domain (example.com) nur dann e-Mails versendet werden dürfen, wenn der > fingerprint des Zertifikats der Domain (exmaple.com) an die gesendet werden > soll, auch mit dem in smtp_tls_policy_maps übereinstimmt, und der > fingerprint jedoch NICHT übereinstimmt, werden diese e-Mails auf meinem > Postfix in die deferred Queue gestellt. > > Gibt es eine Möglichkeit, dieses Verhalten zu ändern, sprich die e-Mail > durch meinen Postfix erst gar nicht annehmen zu lassen? nein Du kannst höchstens die Mail gleich Bouncen, statt sie in die Queue zurückzustellen. > Ich möchte jedoch, das mein Postfix die e-Mail erst gar nicht zum versenden > annimmt! Das ginge nur mit etwas Script-Vodoo - prüfe regelmäßig, ob die Versandbedingungen für die Zieldomain passen - wenn nicht, fülle eine Access Map, die Postfix immer einliest und die im Normalfall leer ist. -- Andreas Schulze Internetdienste | P252 DATEV eG 90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196 E-Mail info at datev.de | Internet www.datev.de Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70 Vorstand Prof. Dieter Kempf (Vorsitzender) Dr. Robert Mayr (stellv. Vorsitzender) Eckhard Schwarzer (stellv. Vorsitzender) Dr. Peter Krug Jörg Rabe von Pappenheim Vorsitzender des Aufsichtsrates: Dirk Schmale From klaus at tachtler.net Wed Oct 7 14:35:28 2015 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 07 Oct 2015 14:35:28 +0200 Subject: Frage zu smtp_tls_policy_maps... In-Reply-To: <20151007115800.GA2342@spider.services.datevnet.de> References: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> <20151007115800.GA2342@spider.services.datevnet.de> Message-ID: <20151007143528.Horde.x0UZ9if80joMOdyHyVcu5FV@buero.tachtler.net> Hallo, > Am 07.10.2015 12:44 schrieb Klaus Tachtler: >> wenn ich bei AUSGEHNDEN e-Mails via smtp_tls_policy_maps festlege, dass an >> eine Domain (example.com) nur dann e-Mails versendet werden dürfen, wenn der >> fingerprint des Zertifikats der Domain (exmaple.com) an die gesendet werden >> soll, auch mit dem in smtp_tls_policy_maps übereinstimmt, und der >> fingerprint jedoch NICHT übereinstimmt, werden diese e-Mails auf meinem >> Postfix in die deferred Queue gestellt. >> >> Gibt es eine Möglichkeit, dieses Verhalten zu ändern, sprich die e-Mail >> durch meinen Postfix erst gar nicht annehmen zu lassen? > nein > Du kannst höchstens die Mail gleich Bouncen, statt sie in die Queue > zurückzustellen. Mhhh, ich kann doch nicht sagen, wenn in der deferred Queue eine e-Mail enthalten ist, welche als Grund "Server certificate not verified" hat, sofort bouncen und bei z.B. A-Record not found erst nach 3 Tagen bouncen, oder doch? >> Ich möchte jedoch, das mein Postfix die e-Mail erst gar nicht zum versenden >> annimmt! > Das ginge nur mit etwas Script-Vodoo > - prüfe regelmäßig, ob die Versandbedingungen für die Zieldomain passen > - wenn nicht, fülle eine Access Map, die Postfix immer einliest und die im > Normalfall leer ist. Wow, das ist schon sehr Voodoo, auf so was wäre ich gar nicht gekommen... Danke - aber das mache ich lieber nicht... Danke Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From voelkers at ppp.net Wed Oct 7 15:00:31 2015 From: voelkers at ppp.net (=?UTF-8?B?SmFuIFbDtmxrZXJz?=) Date: Wed, 07 Oct 2015 15:00:31 +0200 Subject: policyd-weight =?UTF-8?B?bMOkdWZ0IGltIERlYnVnbW9kdXM=?= Message-ID: <5615176F.5080707@ppp.net> Hallo, mein policyd-weight auf Debian jessie lässt sich den Debugmodus nicht abgewöhnen. Könnte mich mal jemand auf den richtigen Pfad führen? in /etc/policyd-weight.conf steht DEBUG = 0; in /etc/default/policyd-weight sind alle Zeilen auskommentiert in /etc/init.dpolicyd-weight ist auch kein " -d" zu finden aber in /var/log/mail.log taucht das da auf: [...] Oct 7 14:57:51 MX postfix/policyd-weight[26492]: debug: Attribute: encryption_cipher=ecdhe-rsa-aes256-sha Oct 7 14:57:51 MX postfix/policyd-weight[26492]: debug: Attribute: encryption_keysize=256 [...] Jan, auf dem Schlauch stehend. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : voelkers.vcf Dateityp : text/x-vcard Dateigröße : 274 bytes Beschreibung: nicht verfügbar URL : From werner at aloah-from-hell.de Wed Oct 7 15:06:24 2015 From: werner at aloah-from-hell.de (Werner Detter) Date: Wed, 7 Oct 2015 15:06:24 +0200 Subject: =?UTF-8?Q?Re:_policyd-weight_l=c3=a4uft_im_Debugmodus?= In-Reply-To: <5615176F.5080707@ppp.net> References: <5615176F.5080707@ppp.net> Message-ID: <561518D0.1090103@aloah-from-hell.de> Moin, > in /etc/policyd-weight.conf steht DEBUG = 0; > in /etc/default/policyd-weight sind alle Zeilen auskommentiert > in /etc/init.dpolicyd-weight ist auch kein " -d" zu finden hast du das Debugging ggf. direkt in /usr/sbin/policyd-weight aktiviert? VG, Werner From Dominik.Ziegler at thi.de Thu Oct 8 07:10:24 2015 From: Dominik.Ziegler at thi.de (Ziegler Dominik) Date: Thu, 8 Oct 2015 05:10:24 +0000 Subject: Problem mit smtpd_relay_restrictions Message-ID: Guten Morgen zusammen, ich hatte die letzten Tage ein seltsames Problem mit verschiedenen Restrictions. Unser Mailsetup läuft seit ca. 5 Jahren in der gleichen Konfiguration. Ich hatte dann nur etwas an der Domäne geändert, worauf auf einmal interne, per "check_client_access" identifizierte Clients nicht mehr über mein Gateway nach extern senden konnten. Fehlermeldung war "454.7.2 Relay Access Denied". Aus den Logs (mit -v) ging hervor, das Postfix in diesem Falle wohl eine Art Standard beim relayen benutzte, der natürlich meinen "check_client_access" ignorierte. Im Endeffekt ließ sich das Problem lösen, indem ich die "smtpd_relay_restrictions" zur Config hinzugefügt habe und dort eben jenen "check_client_access" eingefügt habe. Nun funktioniert das Ganze zwar, nur leider erschließt sich mir nicht, wieso es die vielen Jahre davor dann überhaupt funktionieren konnte. Vielleicht hat hier jemand einen Rat für mich :-)? Grüße, Dominik Ziegler postconf -n: address_verify_map = btree:/var/spool/postfix/data/verify address_verify_negative_expire_time = 3d address_verify_negative_refresh_time = 30m alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 3d canonical_maps = hash:/etc/postfix/canonical config_directory = /etc/postfix inet_interfaces = all inet_protocols = ipv4 mail_owner = postfix mailbox_size_limit = 25000000 maximal_queue_lifetime = 3d message_size_limit = 25000000 mydestination = $myhostname, localhost.$mydomain, mailgate-1.thi.de mydomain = thi.de myhostname = mailgate-1.thi.de mynetworks = 127.0.0.0/8, 194.94.97.0/24, 194.94.240.0/24, 194.95.232.0/24, 194.95.234.0/24, 194.95.238.0/24, 192.168.144.0/24, 192.168.22.0/24, 192.168.155.0/24, 192.168.143.0/24, 192.168.42.0/24, 10.50.0.0/16, 10.151.0.0/16, 10.56.0.0/14, 10.252.0.0/16 myorigin = $mydomain readme_directory = no recipient_delimiter = + relay_domains = thi.de, fh-ingolstadt.de, carissma.eu, th-ingolstadt.de, haw-ingolstadt.de, listserv.fh-ingolstadt.de, listserv.haw-ingolstadt.de, listserv2.fh-ingolstadt.de, listserv2.haw-ingolstadt.de, listserv.thi.de, listserv2.thi.de, sp.thi.de, relayhost = smtpd_banner = $myhostname ESMTP smtpd_recipient_restrictions = permit_mynetworks, check_client_access cidr:/etc/postfix/access-client, reject_unauth_destination, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, reject_unverified_recipient smtpd_relay_restrictions = permit_mynetworks, check_client_access cidr:/etc/postfix/access-client smtpd_sender_restrictions = reject_non_fqdn_sender smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_loglevel = 1 smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache soft_bounce = no transport_maps = hash:/etc/postfix/transport unverified_recipient_reject_code = 550 virtual_alias_domains = alumni.thi.de virtual_alias_maps = hash:/etc/postfix/virtual_alumni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6532 bytes Beschreibung: nicht verfügbar URL : From voelkers at ppp.net Thu Oct 8 10:35:13 2015 From: voelkers at ppp.net (=?UTF-8?B?SmFuIFbDtmxrZXJz?=) Date: Thu, 08 Oct 2015 10:35:13 +0200 Subject: policyd-weight =?UTF-8?B?bMOkdWZ0IGltIERlYnVnbW9kdXM=?= In-Reply-To: <561518D0.1090103@aloah-from-hell.de> References: <5615176F.5080707@ppp.net> <561518D0.1090103@aloah-from-hell.de> Message-ID: <56162AC1.8080805@ppp.net> Am 07.10.2015 um 15:06 schrieb Werner Detter: > hast du das Debugging ggf. direkt in /usr/sbin/policyd-weight aktiviert? Natürlich nicht, aber ich habe gestern extra nochmal einen --reinstall gemacht, hat aber nix geändert :-( Jan -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : voelkers.vcf Dateityp : text/x-vcard Dateigröße : 274 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Thu Oct 8 17:10:13 2015 From: usenet at schani.com (Christian Leicht) Date: Thu, 8 Oct 2015 17:10:13 +0200 Subject: SSL / STARTTLS und Umlautprobleme Message-ID: <56168755.4020608@schani.com> Hallo zusammen, ich habe mir einen Postfix so eingerichtet das er TLS kann. Mit diesen Einstellungen im main.cf hat es dann auch geklappt: smtpd_tls_key_file = /usr/share/assp/certs/mail.key.ohnepass smtpd_tls_cert_file = /usr/share/assp/certs/server_mit_chain.pem smtpd_tls_CAfile = /usr/share/assp/certs/ca.pem smtpd_use_tls = yes smtp_use_tls = yes smtpd_tls_received_header = yes smtp_tls_loglevel = 1 smtpd_tls_loglevel = 1 Jetzt habe ich einen Thunderbird Client der Probleme beim senden hat. Eigentlich funktioniert soweit alles, aber er kann keine Umlaute senden. Auch gibt es Probleme mit manchen Word Dokumenten. 15 andere Email Clients und auch Thunderbirds haben keine Probleme. Kann das mit der SSL TLS Konfiguration zusammenhängen? Besten Dank für Hilfe Christian From jra at byte.cx Thu Oct 8 17:35:31 2015 From: jra at byte.cx (Jens Adam) Date: Thu, 8 Oct 2015 17:35:31 +0200 Subject: SSL / STARTTLS und Umlautprobleme In-Reply-To: <56168755.4020608@schani.com> References: <56168755.4020608@schani.com> Message-ID: <20151008173531.10300b82@titan.byte.cx> Thu, 8 Oct 2015 17:10:13 +0200 Christian Leicht : Hallo Christian. > smtpd_use_tls = yes > smtp_use_tls = yes Wenn dein Postfix nicht gerade steinalt ist, solltest du die beiden durch 'smtp(d)_tls_security_level = may' ersetzen. Ändert aber effektiv nichts. > Kann das mit der SSL TLS Konfiguration zusammenhängen? Eher weniger. Bringt 'postconf -n | egrep "bit|mime"' vielleicht Output? Ich vermute eher den Client als Ursache, vor allem wenn andere Thunderbirds funktionieren. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From mailingliste-postfixbuch+spamtrap at pothe.de Thu Oct 8 20:10:35 2015 From: mailingliste-postfixbuch+spamtrap at pothe.de (Andreas Pothe) Date: Thu, 8 Oct 2015 20:10:35 +0200 Subject: SSL / STARTTLS und Umlautprobleme In-Reply-To: <20151008173531.10300b82@titan.byte.cx> References: <56168755.4020608@schani.com> <20151008173531.10300b82@titan.byte.cx> Message-ID: <5616B19B.8040406@pothe.de> Servus, Am 08.10.2015 um 17:35 schrieb Jens Adam: > Thu, 8 Oct 2015 17:10:13 +0200 > Christian Leicht : > > Hallo Christian. > >> smtpd_use_tls = yes >> smtp_use_tls = yes > Wenn dein Postfix nicht gerade steinalt ist, solltest du die beiden > durch 'smtp(d)_tls_security_level = may' ersetzen. Ändert aber effektiv > nichts. Ich würde sogar empfehlen, 'smtp_tls_security_level = dane' zu setzen. Voraussetzung: Postfix 2.11 oder neuer und ein DNSSEC-fähiger Resolver. Wobei, was wäre die Konsequenz, wenn der Resolver kein DNSSEC kann? Wäre "dane" dann gleichbedeutend mit "may" oder würde es Fehlermeldungen hageln? BG Andreas From t.schneider at tms-itdienst.at Thu Oct 8 20:31:38 2015 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 8 Oct 2015 20:31:38 +0200 Subject: =?UTF-8?Q?mailman_-_=c3=b6ffentlich?= Message-ID: <5616B68A.4030103@tms-itdienst.at> Habs gefunden, denke ich. From t.schneider at tms-itdienst.at Thu Oct 8 20:28:06 2015 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 8 Oct 2015 20:28:06 +0200 Subject: =?UTF-8?Q?Mailman_-_Liste_nicht_=c3=b6ffentlich?= Message-ID: <5616B5B6.2030101@tms-itdienst.at> Hallo, besteht die Möglichkeit bei mailman die Listenoptionen so einzustellen, dass die Themen nur von den Mitgliedern einzusehen sind? Dass z.B. bei listinfo diese mailingliste nicht auftaucht, sozusagen versteckt ist? Oder auch der Inhalt von Nichtmitgliedern nicht einsehbar ist? pipermail/listenname/2015-September/thread.html Diese Liste soll für ein nicht öffentliches Projekt sein. Grüße Timm From usenet at schani.com Thu Oct 8 22:18:11 2015 From: usenet at schani.com (Christian Leicht) Date: Thu, 8 Oct 2015 22:18:11 +0200 Subject: SSL / STARTTLS und Umlautprobleme In-Reply-To: <5616B19B.8040406@pothe.de> References: <56168755.4020608@schani.com> <20151008173531.10300b82@titan.byte.cx> <5616B19B.8040406@pothe.de> Message-ID: <5616CF83.8090502@schani.com> Ich habe postfix 2.7.1 auf einer debian 6 Installation. Ja, ist nicht mehr die neuste Version. Ein Umstieg auf debian 8 ist geplant, dauert aber noch ein paar Wochen. Da hängt noch mehr dran. Ich muss meinen Mailserver überprüfen, da ich nicht weiß ob alles richtig konfiguriert ist. Soweit funktioniert eigentlich alles. Naja heute hatte ein Thunderbird seine Macken, wobei mir nicht klar ist wo der Fehler war. Nach Neuinstallation und DNS Cache leeren, neue Router IP usw. geht TB nun wieder. Alle anderen Clients machen keine Probleme. Meine Unsicherheit rührt daher, das sich auch auf Port 25 eine TLS Verbindung aufbauen lässt. Ich hatte auch einige Mühe die Zertifikate zu implementieren, da die StartSSL Anleitungen so für Postfix nicht funktionieren. Man muss erst das eigene domain.crt mit der "Class 1 Intermediate Server CA" kombinieren damit es in Postfix funktioniert. Ciper usw. sind für mich "Neuland". Ich weiß nicht ob ich das brauche. Mein Setup: ASSP -> postfix -> dovecot ASSP <- postfix ASSP tut schon seit einiger Zeit gute Dienste. Ich weiß das Postfix das auch alles kann. Aber ich hab mich dran gewöhnt. Ziel ist es Port 25, 465 und 587 sauber zu implementieren das SSL/TLS und STARTTLS solide arbeiten. Ich habe von StartSSL ein Zertifkat und alles so eingerichtet das externe Prüfungen keine Fehler zeigen. Was ich nicht prüfen kann, bzw. wozu ich nicht in der Lage bin, ob die STARTTLS Funktion sauber arbeitet und umschaltet bzw. prüft ob TLS möglich ist. Dazu gibt es so eine Menge an Variablen die mir da im Weg stehen (ASSP SSL/TLS Einstellungen, Port Umleitungen, Services, Postfix). Soweit ich weiß gibt es für die Dovecot Seite kein STARTTLS. Gibt es Tools die so ein Setup checken? Die meisten Email Clients an dem Server arbeiten derzeit auf 465, in Zukunft aber eher mit STARTSSL. IMAP und Pop scheinen gut zu funktionieren. Das von Andreas vorgeschlagene DANE sagt mir Ansatzweise was. Wie das funktioniert weiß ich nicht. Wäre schön, muss aber nicht (evtl. für debian 8 ab November - ich lerne gerne). Könnt Ihr mir dazu ein paar Tipps geben wie ich mich da ran tasten kann. Besten Dank für Eure Hilfe und Tipps Christian postconf -d | grep mail_version mail_version = 2.7.1 postconf -n alias_maps = $alias_database append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix default_destination_concurrency_limit = 20 inet_interfaces = all local_destination_concurrency_limit = 2 local_transport = local mailbox_command = /usr/lib/dovecot/deliver mailbox_size_limit = 0 maximal_queue_lifetime = 3d message_size_limit = 125829120 mydestination = $myhostname,$mydomain, localhost.$myhostname,localhost.$mydomain, localhost mydomain = mail.xxxx.info myhostname = $mydomain mynetworks = 127.0.0.0/8 smtp_tls_loglevel = 2 smtp_use_tls = yes smtpd_banner = $myhostname ESMTP smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname smtpd_helo_required = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_recipient smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject_unknown_helo_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain smtpd_tls_cert_file = /usr/share/assp/certs/server_mit_chain.pem smtpd_tls_key_file = /usr/share/assp/certs/mail.xxxx.info.key.ohnepass smtpd_tls_loglevel = 2 smtpd_tls_received_header = yes smtpd_use_tls = yes virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf virtual_gid_maps = static:2000 virtual_mailbox_base = /home/mail/ virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_mailbox_limit = 0 virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_transport = dovecot virtual_uid_maps = static:2000 Am 08.10.2015 um 20:10 schrieb Andreas Pothe: > Servus, > > Am 08.10.2015 um 17:35 schrieb Jens Adam: >> Thu, 8 Oct 2015 17:10:13 +0200 >> Christian Leicht : >> >> Hallo Christian. >> >>> smtpd_use_tls = yes >>> smtp_use_tls = yes >> Wenn dein Postfix nicht gerade steinalt ist, solltest du die beiden >> durch 'smtp(d)_tls_security_level = may' ersetzen. Ändert aber effektiv >> nichts. > > Ich würde sogar empfehlen, 'smtp_tls_security_level = dane' zu setzen. > Voraussetzung: Postfix 2.11 oder neuer und ein DNSSEC-fähiger Resolver. > Wobei, was wäre die Konsequenz, wenn der Resolver kein DNSSEC kann? Wäre > "dane" dann gleichbedeutend mit "may" oder würde es Fehlermeldungen hageln? > > BG > Andreas > From pug at felsing.net Fri Oct 9 06:30:51 2015 From: pug at felsing.net (Christian Felsing) Date: Fri, 9 Oct 2015 06:30:51 +0200 Subject: SSL / STARTTLS und Umlautprobleme In-Reply-To: <5616CF83.8090502@schani.com> References: <56168755.4020608@schani.com> <20151008173531.10300b82@titan.byte.cx> <5616B19B.8040406@pothe.de> <5616CF83.8090502@schani.com> Message-ID: <561742FB.1000904@felsing.net> Wenn es um TLS Tests geht, dann ist openssl ein sehr schöner Werkzeugkasten dafür. Im Falle von starttls ist folgender Einzeiler hilfreich: echo | openssl s_client -connect mailin.taunusstein.net:25 -starttls smtp Das klappt auch mit anderen starttls fähigen Protokollen. Ohne -starttls kann man auch direkt tls Protokolle testen, z.B. smtps oder auch https. Man kann dann noch jeweils alle von OpenSSL unterstützten Ciphers einzeln erzwingen und sehen, ob ein Connect zustande kommt. So ähnlich arbeitet auch ssllabs.com mit seinem Servertest. Ein kleines Skript kann das automatisieren. Viele Grüße Christian Am 08.10.2015 um 22:18 schrieb Christian Leicht: > Ziel ist es Port 25, 465 und 587 sauber zu implementieren das SSL/TLS > und STARTTLS solide arbeiten. Ich habe von StartSSL ein Zertifkat und > alles so eingerichtet das externe Prüfungen keine Fehler zeigen. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3810 bytes Beschreibung: S/MIME Cryptographic Signature URL : From jra at byte.cx Fri Oct 9 07:11:49 2015 From: jra at byte.cx (Jens Adam) Date: Fri, 9 Oct 2015 07:11:49 +0200 Subject: SSL / STARTTLS und Umlautprobleme In-Reply-To: <561742FB.1000904@felsing.net> References: <56168755.4020608@schani.com> <20151008173531.10300b82@titan.byte.cx> <5616B19B.8040406@pothe.de> <5616CF83.8090502@schani.com> <561742FB.1000904@felsing.net> Message-ID: <20151009071149.295607ed@titan.byte.cx> Fri, 9 Oct 2015 06:30:51 +0200 Christian Felsing : > Ein kleines Skript kann das automatisieren. Oder man nimmt gleich http://www.jetmore.org/john/code/swaks/ --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Christian.Schmidt at chemie.uni-hamburg.de Fri Oct 9 12:03:35 2015 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Fri, 9 Oct 2015 12:03:35 +0200 Subject: =?UTF-8?Q?Re:_mailman_-_=c3=b6ffentlich?= In-Reply-To: <5616B68A.4030103@tms-itdienst.at> References: <5616B68A.4030103@tms-itdienst.at> Message-ID: <561790F7.9020905@chemie.uni-hamburg.de> On 08.10.2015 20:31, Timm Schneider wrote: > Habs gefunden, denke ich. Magst Du Deine Lösung denn auch netterweise hier posten? Mit freundlichen Grüßen Christian Schmidt -- No signature available. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Fri Oct 9 13:27:45 2015 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 9 Oct 2015 13:27:45 +0200 Subject: =?UTF-8?Q?Re:_mailman_-_=c3=b6ffentlich?= In-Reply-To: <561790F7.9020905@chemie.uni-hamburg.de> References: <5616B68A.4030103@tms-itdienst.at> <561790F7.9020905@chemie.uni-hamburg.de> Message-ID: <5617A4B1.50508@tms-itdienst.at> Hallo Christian, Im Admin Menü gibt es Archivierungsoptionen und dort kann man auf privat stellen. Servus Timm From postfix at jpkessler.info Fri Oct 9 17:33:36 2015 From: postfix at jpkessler.info (Jan P. Kessler) Date: Fri, 09 Oct 2015 17:33:36 +0200 Subject: Frage zu smtp_tls_policy_maps... In-Reply-To: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> References: <20151007124418.Horde.-9aRddwUnhFx0xf-s6bEuHD@buero.tachtler.net> Message-ID: <5617DE50.5040305@jpkessler.info> > Ich möchte jedoch, das mein Postfix die e-Mail erst gar nicht zum > versenden annimmt! Evtl mit recipient_address_verification? MAIN.CF ======= # permanent verweigern unverified_recipient_reject_code = 550 smtpd_recipient_restrictions = ... # vor dem PERMIT fuer den Versand einbinden check_recipient_access hash:/etc/postfix/verify_recipients /etc/postfix/verify_recipients ======================== example.com reject_unverified_recipient Gruß, jpk From matthias.doering at mldsc.de Sun Oct 11 11:15:17 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Sun, 11 Oct 2015 11:15:17 +0200 Subject: =?UTF-8?Q?Welche_TLS-Ciphers_unterst=c3=bctzt_ein_Mailserver=3f?= Message-ID: <561A28A5.2020608@mldsc.de> Hi @all, seit einer Weile schon beschäftigt mich die Frage wie kann ich effizient ermitteln welche TLS-ciphers ein Mailserver offeriert? Ein openssl s_client und Wrapper-skripts und Tools die gefunden haben nutzen wohl auch nur die Funktion. Ich habe bisher nichts gefunden das wirklich hilft. Alle Tools die man so findet zielen auf SSL/TLS hinaus die kein STARTTLS machen. Scheint wohl nicht so untrivial zu sein. Dies wäre allerdings echt hilfreich wenn man mandatory TLS einrichten will :-) Hat jemand für hier schon ein Tool? Sowas wäre doch genial! --------------------------------------------------------- nmap --script ssl-enum-ciphers -p 443 www.example.com Starting Nmap 6.47 ( http://nmap.org ) at 2015-10-11 11:09 CEST Nmap scan report for www.example.com (100.64.40.1) Host is up (0.020s latency). PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | SSLv3: No supported ciphers found | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_AES_128_GCM_SHA256 - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong | TLS_RSA_WITH_AES_256_GCM_SHA384 - strong | compressors: | NULL |_ least strength: strong Nmap done: 1 IP address (1 host up) scanned in 1.29 seconds --------------------------------------------------------- -- Mit freundlichen Grüßen Matthias Döring From wn at neessen.net Sun Oct 11 12:10:07 2015 From: wn at neessen.net (Winfried Neessen) Date: Sun, 11 Oct 2015 12:10:07 +0200 Subject: =?UTF-8?Q?Re=3A_Welche_TLS-Ciphers_unterst=C3=BCtzt_ein_Mailserv?= =?UTF-8?Q?er=3F?= In-Reply-To: <561A28A5.2020608@mldsc.de> References: <561A28A5.2020608@mldsc.de> Message-ID: <6bc06cf0a452577f6737061b6cf68631@neessen.net> Hi Matthias, Am 2015-10-11 11:15, schrieb Matthias Doering: > Ein openssl s_client und Wrapper-skripts und Tools die gefunden > haben nutzen wohl auch nur die Funktion. > Ich habe bisher nichts gefunden das wirklich hilft. Alle Tools die man > so findet zielen auf SSL/TLS hinaus die kein STARTTLS machen. > OpenSSLs s_client hat 'ne STARTTLS Funktion. Du kannst also den manuellen Weg gehen: 1.) Cipher List ausgeben openssl ciphers -v '' 2.) Einzelne Cipher mit s_client testen openssl s_client -connect :25 -starttls smtp -cipher Kannste auch automatisieren (ungetestet): openssl ciphers -v '' | awk '{print $1}' | while read cipher; do echo -n "Teste $cipher: "; echo -n | openssl s_client -connect :25 -starttls smtp -cipher $cipher 2>/dev/null | grep '^SSL' >/dev/null 2>&1 && echo "Unterstuetzt" || echo "Nicht unterstuetzt"; done Alternativ machst Du es Dir einfach und nutzt sowas wie SSLyze[1]. Das kann auch von Haus aus STARTTLS. Winni [1] = https://github.com/nabla-c0d3/sslyze From matthias.doering at mldsc.de Sun Oct 11 13:05:59 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Sun, 11 Oct 2015 13:05:59 +0200 Subject: =?UTF-8?Q?Re:_Welche_TLS-Ciphers_unterst=c3=bctzt_ein_Mailserver=3f?= In-Reply-To: <6bc06cf0a452577f6737061b6cf68631@neessen.net> References: <561A28A5.2020608@mldsc.de> <6bc06cf0a452577f6737061b6cf68631@neessen.net> Message-ID: <561A4297.3040702@mldsc.de> Thanks a lot! Genau das habe Ich gesucht! Am 11.10.2015 um 12:10 schrieb Winfried Neessen: > Hi Matthias, > > Am 2015-10-11 11:15, schrieb Matthias Doering: > >> Ein openssl s_client und Wrapper-skripts und Tools die gefunden >> haben nutzen wohl auch nur die Funktion. >> Ich habe bisher nichts gefunden das wirklich hilft. Alle Tools die man >> so findet zielen auf SSL/TLS hinaus die kein STARTTLS machen. >> > > OpenSSLs s_client hat 'ne STARTTLS Funktion. Du kannst also den manuellen > Weg gehen: > > 1.) Cipher List ausgeben > openssl ciphers -v '' > 2.) Einzelne Cipher mit s_client testen > openssl s_client -connect :25 -starttls smtp -cipher > > > Kannste auch automatisieren (ungetestet): > openssl ciphers -v '' | awk '{print $1}' | while > read cipher; do echo -n "Teste $cipher: "; echo -n | openssl s_client > -connect :25 -starttls smtp -cipher $cipher 2>/dev/null | > grep '^SSL' >/dev/null 2>&1 && echo "Unterstuetzt" || echo "Nicht > unterstuetzt"; done > > Alternativ machst Du es Dir einfach und nutzt sowas wie SSLyze[1]. Das > kann auch > von Haus aus STARTTLS. > > > Winni > > [1] = https://github.com/nabla-c0d3/sslyze -- Mit freundlichen Grüßen Matthias Döring From max.grobecker at ml.grobecker.info Sun Oct 11 18:00:23 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 11 Oct 2015 18:00:23 +0200 Subject: Upgrade Debian Wheezy -> Jessie, main.cf Message-ID: <561A8797.9060605@ml.grobecker.info> Hallo zusammen, ich habe heute meinen Mailserver von Debian Wheezy auf Jessie upgegradet. Soweit läuft auch alles - allerdings hat es mich gerade echt Nerven gekostet herauszufinden warum ich als authentifizierter Client keine Mails mehr verschicken konnte. Irgendein Script hat während dem Upgrade in meiner main.cf herumgepfuscht und als letzte Zeile eingefügt: smtpd_relay_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, permit_mynetworks, reject_unauth_destination, reject_unauth_pipelining, check_client_access mysql:/etc/postfix/mysql_virtual_ipv4blacklist.cf, reject_unknown_reverse_client_hostname, [...] Das entspricht ziemlich genau dem, was bei mir in den smtpd_recipient_restrictions drinsteht und auch dort seinen Sinn hat. Diese recipient_restrictions werden von mir dann für SMTPS und Submission in der master.cf überschrieben und für authentifizierte Clients angepasst. Jedenfalls: Laut Doku ist der Default für "smtpd_relay_restrictions": smtpd_relay_restrictions (default: permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination) Für mich sieht das in Ordnung aus und macht den Eindruck, dass das bei mir so funktioniert - allerdings habe ich auch noch nicht alles getestet. Kann sich jemand diesen beknackten Stunt mit dem Duplizieren der recipeint_restrictions erklären? Macht das mehr Sinn als der Default-Wert? Immerhin laut Doku: " For backwards compatibility, sites that migrate from Postfix versions before 2.10 can set smtpd_relay_restrictions to the empty value, and use smtpd_recipient_restrictions exactly as before. " Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From jra at byte.cx Mon Oct 12 00:05:50 2015 From: jra at byte.cx (Jens Adam) Date: Mon, 12 Oct 2015 00:05:50 +0200 Subject: Upgrade Debian Wheezy -> Jessie, main.cf In-Reply-To: <561A8797.9060605@ml.grobecker.info> References: <561A8797.9060605@ml.grobecker.info> Message-ID: <20151012000550.48c33b68@rhea.byte.cx> Sun, 11 Oct 2015 18:00:23 +0200 Max Grobecker : Joah, das kenn ich; zwar nicht von wheezy->jessie sondern wheezy->wheezy-backports, aber ist ja quasi identisch. War bei mir nicht tragisch und wurde auch direkt revertet (smtpd_relay_restrictions = ), aber kurz gestutzt hatte ich schon. > Irgendein Script [...] > Kann sich jemand diesen beknackten Stunt mit dem Duplizieren der > recipeint_restrictions erklären? Macht das mehr Sinn als der > Default-Wert? Hier die Quellen: https://sources.debian.net/src/postfix/2.11.3-1/conf/post-install/#L824 (Upstream Postfix) https://sources.debian.net/src/postfix/2.11.3-1/debian/postfix.postinst/#L442 (Debian) Ohne Wertung... ~.~ --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From heiken at luis.uni-hannover.de Mon Oct 12 11:01:03 2015 From: heiken at luis.uni-hannover.de (Karsten Heiken) Date: Mon, 12 Oct 2015 11:01:03 +0200 Subject: Welche TLS-Ciphers =?iso-8859-1?Q?unte?= =?iso-8859-1?Q?rst=FCtzt?= ein Mailserver? In-Reply-To: <561A28A5.2020608@mldsc.de> References: <561A28A5.2020608@mldsc.de> Message-ID: <20151012090103.GA14456@mail.uni-hannover.de> Matthias Doering schrieb am Sun, 11. Oct 11:15: > Alle Tools die man so findet zielen auf SSL/TLS hinaus die kein > STARTTLS machen. Scheint wohl nicht so untrivial zu sein. Dies wäre > allerdings echt hilfreich wenn man mandatory TLS einrichten will > Hat jemand für hier schon ein Tool? Ich benutze sehr gerne testssl von https://testssl.sh . Mit der Option -t smtp macht der auch einwandfreies StartTLS für SMTP-Server. Ich würde empfehlen, auch das vorkompilierte OpenSSL (openssl-1.0.2e-chacha) herunterzuladen und zu verwenden. Dies wird einfach entpackt und neben die testssl.sh gelegt. Das enthält auch die Cipher, die in den Distributionen (zu recht) abgeschaltet wurden. Somit kann man auch auf diese "gefährlichen" Cipher und SSL-Versionen testen. Viele Grüße, Karsten -- Karsten Heiken Leibniz Universität IT Services Kommunikationssysteme E-Mail, XMPP, Kalender Schloßwender Str. 5 D-30159 Hannover -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: Digital signature URL : From ml at fsproductions.de Mon Oct 12 11:21:23 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Mon, 12 Oct 2015 11:21:23 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie Message-ID: <561B7B93.2080307@fsp-net.loc> Hallo Liste, ich denke das Thema wurde hier sicher schon diskutiert, wie in einigen andern Listen und Foren auch. Trotzdem möchte ich es noch mal einbringen. Nachdem ich eine Kunden-Domain auf einen neuen Server umgezogen habe, werden sämtliche Mails des Kunden an eine der Microsoft'schen Mail-Domains wie hotmail.com oder outlook.com mit folgender Meldung geblockt: ?host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F34) Unfortunately, messages from 4x.x.x.x8 weren?t sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL FROM command)?/ /Liest man sich die Hinweise unter dem angegebenen Link durch gelangt man früher oder später auf ein Formular mit dessen Hilfe man den Server von Microsofts Blacklists wieder entfernen kann. Anfangs wollte ich das nicht machen, ich hatte die leise Hoffnung dass sich das Problem von selbst erledigt, schließlich war der Server noch nie auf irgendeiner Blacklist. Dem war nicht so und mein Kunde hat mich gebeten etwas zu unternehmen. Also habe ich das Formular ausgefüllt, obwohl es mir wiederstrebt so viele Angaben zu machen, die MS nichts angehen.... (wer es nicht kennt: http://go.microsoft.com/fwlink/?LinkID=614866&clcid) Die Antwort war ernüchternd: "Sehr geehrter Herr Schaefer wir haben die Überprüfung der von Ihnen übermittelten IP-Adressen abgeschlossen. Die nachfolgende Tabelle enthält die Ergebnisse unserer Untersuchung. Qualifiziert nicht für Entsperrung 4x.x.x.x8 Unsere Untersuchung hat festgestellt, dass die oben genannte IP-Adresse(n) für eine Entblockung nicht qualifiziert ist (sind). Bitte überprüfen Sie, dass Ihre E-Mail den Outlook.com Richtlinien entsprechen. Praktiken und Richtlinien können Sie hier finden: http://mail.live.com/mail/policies.aspx. Um den Zustellbarkeitssupport weiter untersuchen zu lassen, antworten Sie bitte auf diese E-Mail mit einer detallierten Beschreibung des Problems und der genauen Fehlermeldung, die Sie bekommen. Ein Mitarbeiter wird Sie dann kontaktieren. Unabhängig vom Zustellbarkeitsstatus empfiehlt Outlook.com allen Absendern zwei kostenlosen Programmen beizutreten, die einen Einblick gibt, auf den Outlook.com-Verkehr Ihrer IP-Adresse, den Ruf der IP und die Beschwerderate der Outlook.com Nutzer. Junk E-Mail Reporting Program (JMRP). Wenn ein Outlook.com Nutzer eine E-Mail als Junk markiert, bekommen Absender, die im Programm eingeschrieben sind, eine Kopie der E-Mail and eine von Ihnen ausgewählte Kontakt E-Mail weitergeleitet. Dies erlaubt Sendern zu sehen, welche E-Mails als Junk markiert werden und somit eine bessere Kontrolle über den E-Mail-Verkehr haben. Um beizutreten, besuchen Sie bitte http://support.msn.com/eform.aspx?productKey=edfsjmrpp&page=support_home_options_form_byemail&ct=eformts. Smart Network Data Services Program (SDNS). Dieses Programm erlaubt es Absendern die ?Gesundheit? und den Ruf Ihrer IP-Adresse zu überwachen, indem Sie Daten über den Datenverkehr wie z.B. E-Mail-Volumen und Beschwerderate aus Ihren IPs stammend bekommen. Um beizutreten, besuchen Sie bitte http://postmaster.live.com/snds/. Es gibt keine einheitliche Lösung zur Erhaltung oder Verbesserung des IP-Rufes, aber diese Programme werden Ihnen aktiv helfen, Ihr E-Mail-Ökosystem zu verwalten um die Zustellbarkeit bezüglich Outlook.com Nutzern zu verbessern." Wenn hier jemand damit Erfahrung hat würde mich interessieren wie Ihr damit umgegangen seid, damit umgehen würdet. Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From driessen at fblan.de Mon Oct 12 11:59:00 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Mon, 12 Oct 2015 11:59:00 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561B7B93.2080307@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> Message-ID: <001201d104d4$9f273620$dd75a260$@fblan.de> Im Auftrag von Stefan Schäfer > > Hallo Liste, > > ich denke das Thema wurde hier sicher schon diskutiert, wie in einigen > andern Listen und Foren auch. Trotzdem möchte ich es noch mal einbringen. > > Nachdem ich eine Kunden-Domain auf einen neuen Server umgezogen habe, > werden sämtliche Mails des Kunden an eine der Microsoft'schen > Mail-Domains wie hotmail.com oder outlook.com mit folgender Meldung > geblockt: > > ?host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F34) > Unfortunately, messages from 4x.x.x.x8 weren?t sent. Please contact your > Internet service provider since part of their network is on our block > list. You can also refer your provider to > http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL > FROM command)?/ > Der Empfänger kann sich an MS wenden und darauf bestehen das ihm diese Mails zugestellt werden. (wesentlich effektiver) Sofern der Server, die IP noch nie in Erscheinung getreten sind und der Server bzw. die Einrichtung allen RFC's genügt muss man einfach sagen die Spinnen die Römer. "Alle" Amis haben irgendwie ne macke was empfang und Versand betrifft bis dahingehend das Mails einfach verschwinden. Und das schönste was man immer wieder feststellen muss ist das die sich nicht an ihre eigenen Vorgaben ausgehend halten (sonst würde bei weitem nicht so viel spam kommen) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Django Mon Oct 12 12:43:08 2015 From: Django (Django) Date: Mon, 12 Oct 2015 12:43:08 +0200 Subject: =?UTF-8?Q?Re:_Welche_TLS-Ciphers_unterst=c3=bctzt_ein_Mailserver=3f?= In-Reply-To: <561A28A5.2020608@mldsc.de> References: <561A28A5.2020608@mldsc.de> Message-ID: <561B8EBC.50100@nausch.org> Griasdebou! Am 11.10.2015 um 11:15 schrieb Matthias Doering: > seit einer Weile schon beschäftigt mich die Frage wie kann ich effizient > ermitteln welche TLS-ciphers ein Mailserver offeriert? Ich nutze dazu, wie hier [1] beschrieben, cipherscan von Julien Vehent und Hubert Kario. z.B. so: $ /usr/local/src/cipherscan-master/cipherscan \ -o /usr/local/src/cipherscan-master/openssl \ --curves -starttls imap imap.nausch.org:587 Servus Django [1] https://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_5#cipherscan -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From listen at kielgas.org Tue Oct 13 10:10:25 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Tue, 13 Oct 2015 10:10:25 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561B7B93.2080307@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> Message-ID: Hallo Stefan, das Problem habe ich auch gerade. Ich habe die Logs überprüft (man kann ja nie wissen) und nichts gefunden, was ein blockieren rechtfertigen würde. Ich habe aber kein großes Problem damit, da ich halt keine Mails an MS Konten schicke. Bei den Programmen von MS kann ich mich gerade nicht entscheiden, ob ich die als Frechheit oder Witz betrachten soll. Das wird ein Spaß, wenn jedes Mal eine Mail verschickt wird, wenn eine Mail im Junkordner landet, vor allem, weil davon dringendst abzuraten ist. Sind Deine Server bei einem Hoster? Dann sollte sich der Hoster darum kümmern, möglicherweise ist ein anderer Kunde betroffen und Du bist nur dummerweise im gleichen IP Block? Gruß Uwe -- Mit freundlichen Grüßen Uwe Kielgas Nicht das Erreichte zählt, das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Tue Oct 13 10:31:08 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 13 Oct 2015 10:31:08 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561B7B93.2080307@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> Message-ID: <66b46d1a8c201222cee07a8b547d5dea@neessen.net> Hi, Am 2015-10-12 11:21, schrieb Stefan Schäfer: > Wenn hier jemand damit Erfahrung hat würde mich interessieren wie Ihr > damit umgegangen > seid, damit umgehen würdet. > Das groesste Problem bei outlook.com ist, dass sie teilweise sehr restriktiv blocken. Wir sind zwar bei SDNS und JMRP angemeldet, haben aber keinen eigenen Netzbereich bzw. eigene AS. Wird jetzt eine SPAM Attacke von einem Server aus dem gleichen /24 gesendet in dem auch unsere Server stehen, geht outlook.com gerne hin und blockt das komplette /24 Netz. Somit muss Du nicht zwingend etwas falsch machen um bei MS geblockt zu werden- es reicht evtl. schon, wenn jemand anderes Scheisse baut. Winni From matthias.doering at mldsc.de Tue Oct 13 20:02:18 2015 From: matthias.doering at mldsc.de (Matthias Doering) Date: Tue, 13 Oct 2015 20:02:18 +0200 Subject: =?UTF-8?Q?Re:_Welche_TLS-Ciphers_unterst=c3=bctzt_ein_Mailserver=3f?= In-Reply-To: <561B8EBC.50100@nausch.org> References: <561A28A5.2020608@mldsc.de> <561B8EBC.50100@nausch.org> Message-ID: <561D472A.6000309@mldsc.de> SSLayse macht ein Super Job. Cipherscan liefert die Ergebnisse allerdings schöner zurück. Danke euch. Am 12.10.2015 um 12:43 schrieb Django [BOfH]: > Griasdebou! > > Am 11.10.2015 um 11:15 schrieb Matthias Doering: > >> seit einer Weile schon beschäftigt mich die Frage wie kann ich effizient >> ermitteln welche TLS-ciphers ein Mailserver offeriert? > Ich nutze dazu, wie hier [1] beschrieben, cipherscan von Julien Vehent > und Hubert Kario. > > z.B. so: > $ /usr/local/src/cipherscan-master/cipherscan \ > -o /usr/local/src/cipherscan-master/openssl \ > --curves -starttls imap imap.nausch.org:587 > > > Servus > Django > > [1] https://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_5#cipherscan -- Mit freundlichen Grüßen Matthias Döring From max.grobecker at ml.grobecker.info Tue Oct 13 22:32:01 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Tue, 13 Oct 2015 22:32:01 +0200 Subject: Upgrade Debian Wheezy -> Jessie, main.cf In-Reply-To: <20151012000550.48c33b68@rhea.byte.cx> References: <561A8797.9060605@ml.grobecker.info> <20151012000550.48c33b68@rhea.byte.cx> Message-ID: <561D6A41.9050906@ml.grobecker.info> Ola! Danke für die Links :-) Am 12.10.2015 um 00:05 schrieb Jens Adam: > https://sources.debian.net/src/postfix/2.11.3-1/conf/post-install/#L824 > (Upstream Postfix) > > https://sources.debian.net/src/postfix/2.11.3-1/debian/postfix.postinst/#L442 > (Debian) Ich wein' gleich...! "2.10 upgrade requires us to copy the smtpd_recipient_restrictions into smtpd_relay_restrictions" > Ohne Wertung... ~.~ Ich dachte bisher immer, nur der Dovecot-Maintainer wäre etwas rustikal im Umgang mit Installscripten und den Paketen. Von dem kenne ich solche Stunts mit - "Oh, das Upgrade kachelt jetzt frontal gegen die Wand, weil 'sieve' ein unbekanntes Protokoll in deiner Config ist!" - *installier* - "Oh, ich installiere dann jetzt das Paket 'dovecot-sieve'..." Jedes. Verdammte. Mal... Hat der das Postfix-Paket mit übernommen? :-P Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From listen at kielgas.org Wed Oct 14 09:21:51 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 14 Oct 2015 09:21:51 +0200 (CEST) Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561B7B93.2080307@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> Message-ID: <957851397.62.1444807311694.open-xchange@kielgas.org> Hi, > "Stefan Schäfer" hat am 12. Oktober 2015 um 11:21 > geschrieben: > > Hallo Liste, > > > Nachdem ich eine Kunden-Domain auf einen neuen Server umgezogen habe, > werden sämtliche Mails des Kunden an eine der Microsoft'schen > Mail-Domains wie hotmail.com oder outlook.com mit folgender Meldung > geblockt: > > ?host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F34) > Unfortunately, messages from 4x.x.x.x8 weren?t sent. Please contact your > Internet service provider since part of their network is on our block > list. You can also refer your provider to > http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL > FROM command)?/ ich habe mich jetzt mal doch an MS und an meinen ISP gewandt, nur um herauszufinden, wie der Prozeß abläuft. Mein ISP hat auf das MS Formular verwiesen, um sich aus der Blocklist auszutragen. Angeblich werden sie dann einen Nachweis von mir verlangen, dass ich meine IP exklusiv zum Senden verwende und mein ISP wird mir das bestätigen und dann soll ich aus der Blocklist herauskommen. So die Theorie, bisher läuft das etwas schleppend, der Prozeß zieht sich schon über 2 Tage, ohne dass etwas passiert seitens MS. Ich melde mich hier, wenn Ergebnisse vorliegen. Gruß Uwe -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From ml at fsproductions.de Wed Oct 14 10:02:20 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 10:02:20 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <001201d104d4$9f273620$dd75a260$@fblan.de> References: <561B7B93.2080307@fsp-net.loc> <001201d104d4$9f273620$dd75a260$@fblan.de> Message-ID: <561E0C0C.1070206@fsp-net.loc> Hallo Uwe Am 12.10.2015 um 11:59 schrieb Uwe Drießen: > Im Auftrag von Stefan Schäfer >> Hallo Liste, >> >> ich denke das Thema wurde hier sicher schon diskutiert, wie in einigen >> andern Listen und Foren auch. Trotzdem möchte ich es noch mal einbringen. >> >> Nachdem ich eine Kunden-Domain auf einen neuen Server umgezogen habe, >> werden sämtliche Mails des Kunden an eine der Microsoft'schen >> Mail-Domains wie hotmail.com oder outlook.com mit folgender Meldung >> geblockt: >> >> ?host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F34) >> Unfortunately, messages from 4x.x.x.x8 weren?t sent. Please contact your >> Internet service provider since part of their network is on our block >> list. You can also refer your provider to >> http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL >> FROM command)?/ >> > Der Empfänger kann sich an MS wenden und darauf bestehen das ihm diese Mails zugestellt werden. (wesentlich effektiver) > Sofern der Server, die IP noch nie in Erscheinung getreten sind und der Server bzw. die Einrichtung allen RFC's genügt muss man einfach sagen die Spinnen die Römer. Die Idee, dass sich der Empfänger damit an MS wendet finde ich gut. Bin ich nicht drauf gekommen. Ich könnte mir aber vorstellen, dass das Menschen, die weniger IT-affin sind überfordern dürfte. Ich werde diesen Weg mal versuchen. > > "Alle" Amis haben irgendwie ne macke was empfang und Versand betrifft bis dahingehend das Mails einfach verschwinden. > > Und das schönste was man immer wieder feststellen muss ist das die sich nicht an ihre eigenen Vorgaben ausgehend halten (sonst würde bei weitem nicht so viel spam kommen) Das ist nicht das erste Mal, das MS bei weit verbreiteten und weitgehend standardisierten Techniken eigene Regeln aufstellt. Kommt mir aus den vergangenen Jahrzehnten sehr bekannt vor... > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > Gruß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Wed Oct 14 10:08:05 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 10:08:05 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: References: <561B7B93.2080307@fsp-net.loc> Message-ID: <561E0D65.5010202@fsp-net.loc> Hallo Uwe Am 13.10.2015 um 10:10 schrieb Uwe Kielgas: > Hallo Stefan, > > das Problem habe ich auch gerade. Ich habe die Logs überprüft (man > kann ja nie wissen) und nichts gefunden, was ein blockieren > rechtfertigen würde. Ich habe aber kein großes Problem damit, da ich > halt keine Mails an MS Konten schicke. Bei den Programmen von MS kann > ich mich gerade nicht entscheiden, ob ich die als Frechheit oder Witz > betrachten soll. Das wird ein Spaß, wenn jedes Mal eine Mail > verschickt wird, wenn eine Mail im Junkordner landet, vor allem, weil > davon dringendst abzuraten ist. Ich verschicke eigentlich auch keine Mails an MS Konten und rate auch jedem davon ab sich MS als Mailprovider auszusuchen. Im geschilderten Fall trete ich aber als Mailprovider für meine Kunden auf und kann deren Kunden wiederum kaum raten sich einen anderen Provider zu suchen. Dass sich meine Kunden dann an mich wenden ist logisch. Ich befürchte auch, dass sich das Problem dank Microsofts Cloud-Strategie verschärfen wird. Pass ja in Microsofts typisches Schema, das eigene Produkt aggressiv vermarkten und andere, auf welchem Weg auch immer schlecht aussehen zu lassen. > > Sind Deine Server bei einem Hoster? Dann sollte sich der Hoster darum > kümmern, möglicherweise ist ein anderer Kunde betroffen und Du bist > nur dummerweise im gleichen IP Block? Ja, sind sie. Allerdings habe ich mein eigenes Subnetz. Also können aus diesem Netz heraus keine Dritten als Spammer auftreten. > > Gruß Uwe > -- > Mit freundlichen Grüßen > > Uwe Kielgas > > Nicht das Erreichte zählt, > das Erzählte reicht. Gruß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Wed Oct 14 10:11:15 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 10:11:15 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <66b46d1a8c201222cee07a8b547d5dea@neessen.net> References: <561B7B93.2080307@fsp-net.loc> <66b46d1a8c201222cee07a8b547d5dea@neessen.net> Message-ID: <561E0E23.3090208@fsp-net.loc> Am 13.10.2015 um 10:31 schrieb Winfried Neessen: > Hi, > > Am 2015-10-12 11:21, schrieb Stefan Schäfer: > >> Wenn hier jemand damit Erfahrung hat würde mich interessieren wie Ihr >> damit umgegangen >> seid, damit umgehen würdet. >> > > Das groesste Problem bei outlook.com ist, dass sie teilweise sehr > restriktiv blocken. Wir sind > zwar bei SDNS und JMRP angemeldet, haben aber keinen eigenen > Netzbereich bzw. eigene AS. Wird > jetzt eine SPAM Attacke von einem Server aus dem gleichen /24 gesendet > in dem auch unsere > Server stehen, geht outlook.com gerne hin und blockt das komplette /24 > Netz. Somit muss Du > nicht zwingend etwas falsch machen um bei MS geblockt zu werden- es > reicht evtl. schon, wenn > jemand anderes Scheisse baut. > > > Winni Hallo Winni, da ich mein eigenes Subnetz habe, ist das Problem schon mal ausgeschlossen. Es sei denn die Aufteilung eines größeren Netzes in viele Subnetze ist nirgendwo ersichtlich und das gesamte Netz wird geblockt. Ich werde jetzt mal auf die Mail von MS antworten und darauf hinweisen. Neuigkeiten werde ich hier posten. Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Wed Oct 14 10:13:55 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 10:13:55 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <957851397.62.1444807311694.open-xchange@kielgas.org> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> Message-ID: <561E0EC3.1030808@fsp-net.loc> Hallo Uwe Am 14.10.2015 um 09:21 schrieb Uwe Kielgas: > Hi, > > "Stefan Schäfer" hat am 12. Oktober 2015 um > 11:21 geschrieben: > > > > Hallo Liste, > > > > > > > Nachdem ich eine Kunden-Domain auf einen neuen Server umgezogen habe, > > werden sämtliche Mails des Kunden an eine der Microsoft'schen > > Mail-Domains wie hotmail.com oder outlook.com mit folgender Meldung > > geblockt: > > > > ?host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F34) > > Unfortunately, messages from 4x.x.x.x8 weren?t sent. Please contact > your > > Internet service provider since part of their network is on our block > > list. You can also refer your provider to > > http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to > MAIL > > FROM command)?/ > > ich habe mich jetzt mal doch an MS und an meinen ISP gewandt, nur um > herauszufinden, wie der Prozeß abläuft. Mein ISP hat auf das MS > Formular verwiesen, um sich aus der Blocklist auszutragen. Angeblich > werden sie dann einen Nachweis von mir verlangen, dass ich meine IP > exklusiv zum Senden verwende und mein ISP wird mir das bestätigen und > dann soll ich aus der Blocklist herauskommen. So die Theorie, bisher > läuft das etwas schleppend, der Prozeß zieht sich schon über 2 Tage, > ohne dass etwas passiert seitens MS. An meinen Hoster habe ich mich noch nicht gewendet, da ich genau damit, einem Verweis an das MS-Formular gerechnet habe. ;-) Ich werde mich aber jetzt noch mal an MS wenden, (war leider ein paar Tage außer Gefecht) Neues werde ich dann hier posten. > Ich melde mich hier, wenn Ergebnisse vorliegen. > Gruß Uwe Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Wed Oct 14 12:47:00 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 12:47:00 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561B7B93.2080307@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> Message-ID: <561E32A4.8030307@fsp-net.loc> Am 12.10.2015 um 11:21 schrieb Stefan Schäfer: > Hallo Liste, > > ich denke das Thema wurde hier sicher schon diskutiert, wie in einigen > andern Listen und Foren auch. Trotzdem möchte ich es noch mal einbringen. > > Nachdem ich eine Kunden-Domain auf einen neuen Server umgezogen habe, > werden sämtliche Mails des Kunden an eine der Microsoft'schen > Mail-Domains wie hotmail.com oder outlook.com mit folgender Meldung > geblockt: > > ?host mx3.hotmail.com[65.55.92.184] said: 550 SC-001 (SNT004-MC4F34) > Unfortunately, messages from 4x.x.x.x8 weren?t sent. Please contact > your Internet service provider since part of their network is on our > block list. You can also refer your provider to > http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to > MAIL FROM command)?/ > > /Liest man sich die Hinweise unter dem angegebenen Link durch gelangt > man früher oder später auf ein Formular mit dessen Hilfe man den > Server von Microsofts Blacklists wieder entfernen kann. Anfangs wollte > ich das nicht machen, ich hatte die leise Hoffnung dass sich das > Problem von selbst erledigt, schließlich war der Server noch nie auf > irgendeiner Blacklist. > > Dem war nicht so und mein Kunde hat mich gebeten etwas zu unternehmen. > Also habe ich das Formular ausgefüllt, obwohl es mir wiederstrebt so > viele Angaben zu machen, die MS nichts angehen.... (wer es nicht > kennt: http://go.microsoft.com/fwlink/?LinkID=614866&clcid) > > Die Antwort war ernüchternd: > > "Sehr geehrter Herr Schaefer > > wir haben die Überprüfung der von Ihnen übermittelten IP-Adressen > abgeschlossen. Die nachfolgende Tabelle enthält die Ergebnisse unserer > Untersuchung. > > Qualifiziert nicht für Entsperrung > > 4x.x.x.x8 > Unsere Untersuchung hat festgestellt, dass die oben genannte > IP-Adresse(n) für eine Entblockung nicht qualifiziert ist (sind). > > Bitte überprüfen Sie, dass Ihre E-Mail den Outlook.com Richtlinien > entsprechen. Praktiken und Richtlinien können Sie hier finden: > http://mail.live.com/mail/policies.aspx. > > Um den Zustellbarkeitssupport weiter untersuchen zu lassen, antworten > Sie bitte auf diese E-Mail mit einer detallierten Beschreibung des > Problems und der genauen Fehlermeldung, die Sie bekommen. Ein > Mitarbeiter wird Sie dann kontaktieren. > > Unabhängig vom Zustellbarkeitsstatus empfiehlt Outlook.com allen > Absendern zwei kostenlosen Programmen beizutreten, die einen Einblick > gibt, auf den Outlook.com-Verkehr Ihrer IP-Adresse, den Ruf der IP und > die Beschwerderate der Outlook.com Nutzer. > > Junk E-Mail Reporting Program (JMRP). Wenn ein Outlook.com Nutzer eine > E-Mail als Junk markiert, bekommen Absender, die im Programm > eingeschrieben sind, eine Kopie der E-Mail and eine von Ihnen > ausgewählte Kontakt E-Mail weitergeleitet. Dies erlaubt Sendern zu > sehen, welche E-Mails als Junk markiert werden und somit eine bessere > Kontrolle über den E-Mail-Verkehr haben. Um beizutreten, besuchen Sie > bitte > http://support.msn.com/eform.aspx?productKey=edfsjmrpp&page=support_home_options_form_byemail&ct=eformts. > > Smart Network Data Services Program (SDNS). Dieses Programm erlaubt es > Absendern die ?Gesundheit? und den Ruf Ihrer IP-Adresse zu überwachen, > indem Sie Daten über den Datenverkehr wie z.B. E-Mail-Volumen und > Beschwerderate aus Ihren IPs stammend bekommen. Um beizutreten, > besuchen Sie bitte http://postmaster.live.com/snds/. > > Es gibt keine einheitliche Lösung zur Erhaltung oder Verbesserung des > IP-Rufes, aber diese Programme werden Ihnen aktiv helfen, Ihr > E-Mail-Ökosystem zu verwalten um die Zustellbarkeit bezüglich > Outlook.com Nutzern zu verbessern." > > Wenn hier jemand damit Erfahrung hat würde mich interessieren wie Ihr > damit umgegangen seid, damit umgehen würdet. > > Stefan > Hallo Liste, ich habe mich jetzt auf die erste Ablehnung einer Freischaltung erneut an Microsoft gewandt. Jetzt wir es richtig sonderbar. Ich muss vorweg schicken, dass ich nach ausfüllen des Formulars zunächst eine Antwort in englischer Sprache erhalten habe, wo man mir mitteilte, dass mein Ticket wohl irrtümlich an die falsche Abteilung gesendet wurde. Die Mail enthielt einen Link zum gleichen Formular in deutscher Sprache. Nach erneutem Ausfüllen erhielt ich die Ablehnung wie in der ersten Mail zu sehen in deutsch. Auf diese Mail habe ich heute Morgen geantwortet und jetzt das: "Hello, My name is Bhawna and I work with the Outlook.com Sender Support Team. I do not see anything offhand that would be preventing your mail from reaching our customers. " Danach folgt nur noch der erneute Hinweis auf SNDS und JMRP, sowie zusätzlich auf das "Sender Score" Programm. Ich bin fassungslos..... In meiner Mail an MS habe ich mich als Besitzer des zur IP meines Server gehörigen Subnetzes bekannt, darauf hingewiesen, dass der Server der einzige Mailserver des Subnetzes ist und das dieser noch nie auf irgendeiner Blacklist gelistet war. Zugegeben, ich habe mich auch in höflichen Worten über Microsofts Methoden geäußert. Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From postfixer99 at gmail.com Wed Oct 14 13:10:04 2015 From: postfixer99 at gmail.com (Carsten) Date: Wed, 14 Oct 2015 13:10:04 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E32A4.8030307@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> <561E32A4.8030307@fsp-net.loc> Message-ID: <561E380C.3070406@gmail.com> Hallo Stefan, ich habe vor zwei Wochen genau das gleiche Problem gehabt. Es sind die mx[1-x].hotmail.com, die für alle MS-Produkte zuständig sind. Das sind diverse Domains von MS-Diensten. Ich nutze auch ein eigenes Subnetz bei einem Hoster, jedoch traue ich MS durchaus zu, einfach komplette /24 zu blocken. Ich habe das Formular ausgefüllt und siehe da, nach 3 Stunden hatte ich die Antwort von MS (auf englisch), dass sie mein Netz entsperrt haben, natürlich mit dem Hinweis auf die bekannten Programme. Vielleicht hilft es ja, wenn Du entsprechende SPF Records veröffentlichst, denn dann sehen sie zumindest, dass Deine Server für das Senden Deiner Domänen berechtigt sind. Dann einfach nochmal den Antrag stellen, ggf. mit dem englischem Formular. Ich habe mir ein Testkonto bei "live.com" angelegt und konnte das auch in den Received-Zeilen ersehen, dass dort die SPF-Prüfung explizit gemacht wird. Insgesamt hat mich das Ganze auch extrem genervt, besonders da mein Server auf keiner normalen Blacklist stand und auch kein ungewähnlicher Traffic davon ausging. Beste Grüße, Carsten From infoomatic at gmx.at Wed Oct 14 13:18:47 2015 From: infoomatic at gmx.at (Infoo Matic) Date: Wed, 14 Oct 2015 13:18:47 +0200 Subject: =?utf-8?q?Re=3A_outlook=2Ecom=2C_oder_Microsofts_Anti-Spam_Strategie?= In-Reply-To: <561E0D65.5010202@fsp-net.loc> Message-ID: <4c43-561e3a00-5-797fd600@251867402> Hi, On Wednesday, October 14, 2015 10:08 CEST, Stefan Schäfer wrote: > Ich befürchte auch, dass sich das Problem dank Microsofts > Cloud-Strategie verschärfen wird. Pass ja in Microsofts typisches > Schema, das eigene Produkt aggressiv vermarkten und andere, auf welchem > Weg auch immer schlecht aussehen zu lassen. Das kann ich leider nur bestätigen. Microsoft Smart Filtering ist ein Dreck sondergleichen, in dieses "intelligente" verteilte System kann zumindest laut Hotline nicht mal der support eingreifen und Konfigurationen vornehmen, das ist self-learning. Dass bei einigen Kunden eine Flut an Spam reinkommt die an Anfang 2000 erinnert ist egal: die SPF-Einträge passen nicht aber nachdem der versendende Mailserver ja ein Microsoft server ist wird bei den Mailservern meiner Kunden die Spamflut pauschal einfach mal akzeptiert. Soweit ich mitbekommen habe setzt Microsoft prinzipiell mal alle sender auf eine blacklist, und erst wenn genug traffic zustandegekommen ist bzw. user die mails ge-whitelisted haben wird ein versender dann akzeptiert (wenn alles passt). Ob das so wirklich stimmt oder nicht kann ich leider nicht sagen, das ist nur das was ich schon des öfteren aufgeschnappt habe. just my 2 cents, Robert From driessen at fblan.de Wed Oct 14 13:38:58 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 14 Oct 2015 13:38:58 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <4c43-561e3a00-5-797fd600@251867402> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> Message-ID: <003b01d10674$eaa3c770$bfeb5650$@fblan.de> Im Auftrag von Infoo Matic > > Das kann ich leider nur bestätigen. Microsoft Smart Filtering ist ein Dreck > sondergleichen, in dieses "intelligente" verteilte System kann zumindest laut > Hotline nicht mal der support eingreifen und Konfigurationen vornehmen, > das ist self-learning. Dass bei einigen Kunden eine Flut an Spam reinkommt > die an Anfang 2000 erinnert ist egal: die SPF-Einträge passen nicht aber > nachdem der versendende Mailserver ja ein Microsoft server ist wird bei den > Mailservern meiner Kunden die Spamflut pauschal einfach mal akzeptiert. Ich möchte ja keinem zu nahetreten : Was erwartet ihr denn ? Das MS lernt was Mail ist?? Das MS sich an RFC's hält??? (das fängt beim kruden HTML in den Outlook-Mails an) Das MS Interesse daran hat mit anderen (kleinen) zu kooperieren? Das MS zuerst mal sein Haus sauber macht bevor sie sich über andere mokieren? Das MS DNS kapiert ? (es gibt nun mal kein .local) Die Liste ist sicherlich noch um weitere 100 Punkte erweiterbar Man schaue sich nur WIN10 an (never on a system that i support, vorher gehe ich in Rente ;-)) ) > > Soweit ich mitbekommen habe setzt Microsoft prinzipiell mal alle sender auf > eine blacklist, und erst wenn genug traffic zustandegekommen ist bzw. user > die mails ge-whitelisted haben wird ein versender dann akzeptiert (wenn alles > passt). Ob das so wirklich stimmt oder nicht kann ich leider nicht sagen, das > ist nur das was ich schon des öfteren aufgeschnappt habe. Sowas nennt sich Marktführer und demnächst musst du ein MS-Mail-konto haben um mit MS-Kunden zu kommunizieren. Du wolltest es doch so haben *lol > > just my 2 cents, > Robert Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From ml at fsproductions.de Wed Oct 14 13:58:22 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 13:58:22 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <003b01d10674$eaa3c770$bfeb5650$@fblan.de> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> Message-ID: <561E435E.6070901@fsp-net.loc> Am 14.10.2015 um 13:38 schrieb Uwe Drießen: > Im Auftrag von Infoo Matic >> Das kann ich leider nur bestätigen. Microsoft Smart Filtering ist ein Dreck >> sondergleichen, in dieses "intelligente" verteilte System kann zumindest laut >> Hotline nicht mal der support eingreifen und Konfigurationen vornehmen, >> das ist self-learning. Dass bei einigen Kunden eine Flut an Spam reinkommt >> die an Anfang 2000 erinnert ist egal: die SPF-Einträge passen nicht aber >> nachdem der versendende Mailserver ja ein Microsoft server ist wird bei den >> Mailservern meiner Kunden die Spamflut pauschal einfach mal akzeptiert. > Ich möchte ja keinem zu nahetreten : > Was erwartet ihr denn ? > Das MS lernt was Mail ist?? > Das MS sich an RFC's hält??? (das fängt beim kruden HTML in den Outlook-Mails an) > Das MS Interesse daran hat mit anderen (kleinen) zu kooperieren? > Das MS zuerst mal sein Haus sauber macht bevor sie sich über andere mokieren? > Das MS DNS kapiert ? (es gibt nun mal kein .local) > > Die Liste ist sicherlich noch um weitere 100 Punkte erweiterbar > Man schaue sich nur WIN10 an (never on a system that i support, vorher gehe ich in Rente ;-)) ) > >> Soweit ich mitbekommen habe setzt Microsoft prinzipiell mal alle sender auf >> eine blacklist, und erst wenn genug traffic zustandegekommen ist bzw. user >> die mails ge-whitelisted haben wird ein versender dann akzeptiert (wenn alles >> passt). Ob das so wirklich stimmt oder nicht kann ich leider nicht sagen, das >> ist nur das was ich schon des öfteren aufgeschnappt habe. > Sowas nennt sich Marktführer und demnächst musst du ein MS-Mail-konto haben um mit MS-Kunden zu kommunizieren. > Du wolltest es doch so haben *lol Genau darauf läuft es raus. Microsoft begreift sehr wohl, was sie da machen. Auf diese Weise lassen sich aber MS-Mail-Kunden von den Mail-Kunden anderer vor allem kleiner Anbieter separieren. Wenn ich als kleiner Anbieter hergehe und versuche einem MS-Kunden zu erklären wo das Problem liegt wird er mir sicherlich nicht glauben, dass der Fehler tatsächlich bei MS liegt, sonder meine Worte in Zweifel ziehen. Das heißt, dass sich MS mit eigenen Spielregeln oder "bewussten" Fehlern die eigene Kundschaft sichert und Konkurrenz in Erklärungsnot bringt. Die Strategie ist vermutlich so alt wie MS selbst. Stefan >> just my 2 cents, >> Robert > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From driessen at fblan.de Wed Oct 14 14:24:04 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 14 Oct 2015 14:24:04 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E435E.6070901@fsp-net.loc> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> <561E435E.6070901@fsp-net.loc> Message-ID: <003e01d1067b$377df240$a679d6c0$@fblan.de> Im Auftrag von Stefan Schäfer > Genau darauf läuft es raus. Microsoft begreift sehr wohl, was sie da > machen. Auf diese Weise lassen sich aber MS-Mail-Kunden von den > Mail-Kunden anderer vor allem kleiner Anbieter separieren. > > Wenn ich als kleiner Anbieter hergehe und versuche einem MS-Kunden zu > erklären wo das Problem liegt wird er mir sicherlich nicht glauben, dass > der Fehler tatsächlich bei MS liegt, sonder meine Worte in Zweifel > ziehen. Das heißt, dass sich MS mit eigenen Spielregeln oder > "bewussten" Fehlern die eigene Kundschaft sichert und Konkurrenz in > Erklärungsnot bringt. Moment mal du erklärst einem MS Kunden wie MS funktioniert?? Ich verweise in den Fällen grundsätzlich an MS. Die haben eine Nummer in München. Soll der MS Kunde schauen das er SEINE LEISTUNG für die ER MS BEZAHLT auch von MS bekommt !! Das ist nicht meine Baustelle, ich kann ihm gerne gegen Kostenerstattung ein Mailkonto das FUNKTIONIERT (Außer mit MS, meine Funktionieren z.Z. zwar auch mit MS aber das ist nicht garantiert :-)) ) einrichten. Ich bin immer noch für den Flashmop das wir alle mal für 12 Stunden an einem bestimmten Tag keine Mails von Google, MS und noch ein paar anderen die uns dauernd meinen Ärgern zu müssen und Mails an Postmaster erst gar nicht lesen oder auf Ihre mehr als komplizierten Mailseiten verweisen , annehmen. Einfach mal alles 12 Stunden lang mit 453 ab *gg > > Die Strategie ist vermutlich so alt wie MS selbst. > > Stefan Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From django at nausch.org Wed Oct 14 14:49:40 2015 From: django at nausch.org (Django) Date: Wed, 14 Oct 2015 14:49:40 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <003e01d1067b$377df240$a679d6c0$@fblan.de> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> <561E435E.6070901@fsp-net.loc> <003e01d1067b$377df240$a679d6c0$@fblan.de> Message-ID: <561E4F64.2040404@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Hey, ihr verkennt die Lage - die Jungs bei M$ haben es einfach d'rauf: https://pbs.twimg.com/media/CQzOt2gWwAEn2FW.png muhaha. Nicht ärgern lassen, das bringt bei denen überhaupt nichts! Servus Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWHk9jAAoJEAdOz2FQpr/tZwEP/Rp9S9WordTaTLsYWOMKzyYt eNaWhSsEx/lO4gH59H59bZjz4ksgmcWdosQCTIJluIuQGjLJTUPaISYWOR4/07/d ArUjdnobARRJbAxEnMESzaoZbnEsRXxiwOofewr/nGTgMs9M29wy3+rXe6rLgPiY 8X0odspC3mEvFc7j6es2y3JPbfb6IoV2k+NOaZW4tcOOMxRPsr7eEAvTtAn/JBnn tdkyXh1mCj9tPBf+TSDmdf+QJkG8beih1ja0dChOJyUroXh8LrZEYfndmr1vj55Q A6bM/SinF5JlMnsPN/3JIWm/7eld4wwQMRKTpI3Y+XITfVPVmbAkwacuQqo004CW Qx0GwcQ7zT6Cb9KV8Z4Nj3tz2E5wsc4pD25eG/zQwTYowwiHCMd67Z0GHKcEhBI5 zbFYmHo8zFUkaZio28MdiMr9RIbPuEkpUj0IJDyVJMda2GtBtidLUV9cIvNzuSZe Z2nPrwngAzXpnthu+7zl6leFCvF3/vdwF9pf72Ayz9goNgp2LnffQpsnQ6TisRO6 xsyosZbGSLl/mWz3q0WEVyUxYgxt3QVoycUdc4GbI1NQQnzrsoarKxhxtyOA2U7y n4eBWtkimF0I7egBNkEWQiAqAJl4cv0ywpcN6R0ev725RhUQE7+y8P/uqH1f1/Ri 5MW2KjFE/PwclgoZnh1X =oS0Y -----END PGP SIGNATURE----- From ml at fsproductions.de Wed Oct 14 14:53:59 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 14:53:59 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <003e01d1067b$377df240$a679d6c0$@fblan.de> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> <561E435E.6070901@fsp-net.loc> <003e01d1067b$377df240$a679d6c0$@fblan.de> Message-ID: <561E5067.6020306@fsp-net.loc> Am 14.10.2015 um 14:24 schrieb Uwe Drießen: > Moment mal du erklärst einem MS Kunden wie MS funktioniert?? Nein, das tue ich natürlich nicht! Allerdings muss ich meinen Kunden erklären, warum manche Ihrer Mails Ihr Ziel nicht erreichen. ...und hier kommt MS ins Spiel. ;-) Der Flashmob wäre sicher ein Spaß Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Wed Oct 14 15:01:55 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 15:01:55 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E4F64.2040404@nausch.org> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> <561E435E.6070901@fsp-net.loc> <003e01d1067b$377df240$a679d6c0$@fblan.de> <561E4F64.2040404@nausch.org> Message-ID: <561E5243.9090009@fsp-net.loc> Am 14.10.2015 um 14:49 schrieb Django: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Hey, > > ihr verkennt die Lage - die Jungs bei M$ haben es einfach d'rauf: > https://pbs.twimg.com/media/CQzOt2gWwAEn2FW.png > > muhaha. > > > Nicht ärgern lassen, das bringt bei denen überhaupt nichts! > > > > ...einfach perfekt. :) Vor ein paar Tagen habe ich was von einem Projekt des BSI, zur Zertifizierung "sicherer Mailserver" gelesen. Wenn das was da gefordert wird zum zwingenden Standard würde, wären wir MS als Mailprovider sicher schnell los.... Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From ml at fsproductions.de Wed Oct 14 15:08:24 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 15:08:24 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E380C.3070406@gmail.com> References: <561B7B93.2080307@fsp-net.loc> <561E32A4.8030307@fsp-net.loc> <561E380C.3070406@gmail.com> Message-ID: <561E53C8.4030406@fsp-net.loc> Am 14.10.2015 um 13:10 schrieb Carsten: > Vielleicht hilft es ja, wenn Du entsprechende SPF Records > veröffentlichst, denn dann sehen sie zumindest, dass Deine Server für > das Senden Deiner Domänen berechtigt sind. > Dann einfach nochmal den Antrag stellen, ggf. mit dem englischem > Formular. > Ich habe mir ein Testkonto bei "live.com" angelegt und konnte das auch > in den Received-Zeilen ersehen, dass dort die SPF-Prüfung explizit > gemacht wird. Mit SPF habe ich es bisher eher nach Peer H. gehalten: "... den in meinen Augen ist SPF ein grundfalsches Konzept, ohne Daseinsberechtigung" (Ist aus seinem Postfixbuch.) Sollte ich im konkreten Fall aber wohl mal in Betracht ziehen. Gibts hier in der Runde Erfahrungen zu Sinn, Unsinn oder Nutzen von SPF? > > Insgesamt hat mich das Ganze auch extrem genervt, besonders da mein > Server auf keiner normalen Blacklist stand und auch kein > ungewähnlicher Traffic davon ausging. So gehts mir auch. > > Beste Grüße, Carsten Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From driessen at fblan.de Wed Oct 14 15:42:21 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 14 Oct 2015 15:42:21 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E5243.9090009@fsp-net.loc> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> <561E435E.6070901@fsp-net.loc> <003e01d1067b$377df240$a679d6c0$@fblan.de> <561E4F64.2040404@nausch.org> <561E5243.9090009@fsp-net.loc> Message-ID: <004501d10686$27aeb380$770c1a80$@fblan.de> Im Auftrag von Stefan Schäfer > > Vor ein paar Tagen habe ich was von einem Projekt des BSI, zur > Zertifizierung "sicherer Mailserver" gelesen. Wenn das was da gefordert > wird zum zwingenden Standard würde, wären wir MS als Mailprovider sicher > schnell los.... > So jetzt müssen da aber auch mal die Dolmetscher ran die das Behördenchinesisch in Normal Deutsch und von dort wieder in EDV-Sprache übersetzen. Das liest sich wie vom edv-ler in Behördenchinesisch verfasst. Die glauben doch nicht wirklich das ich mich hinsetze und gefühlte 500 Seiten durcharbeite auf denen nur Standards stehen ?? Die sollen sich ein Postfixbuch nehmen dann gibt es gleich eine saubere Anleitung und Beispiele wie man das Teil konfiguriert und nicht nur Theoretisches Grundrauschen (Tinnitus im rechten Ohr) Lest euch mal die Fragen durch. Da braucht es noch eine Begriffsbestimmungstabelle damit man mit den vielen verwendeten Bezeichnern wirklich was anfangen kann. Das ist eine Konzernstruktur mit mehreren hunderttausend Mailkonten. Das haben die entwickelt als der Bundestag bzw. die Regierungsserver und Rechner gehäckt wurden. Beispiel Ist mit dem Produkt eine Integration unterschiedlicher Virenschutzprogramme möglich? Antwort von Sender jeriwan : grundsätzlich ja, aber es zahlt niemand dafür Nee tut mich leid aber das füll ich nicht aus (da sitze ich ja 3 Tage dran) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Wed Oct 14 15:42:42 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 14 Oct 2015 15:42:42 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E5067.6020306@fsp-net.loc> References: <561E0D65.5010202@fsp-net.loc> <4c43-561e3a00-5-797fd600@251867402> <003b01d10674$eaa3c770$bfeb5650$@fblan.de> <561E435E.6070901@fsp-net.loc> <003e01d1067b$377df240$a679d6c0$@fblan.de> <561E5067.6020306@fsp-net.loc> Message-ID: <004601d10686$33fd7d10$9bf87730$@fblan.de> Im Auftrag von Stefan Schäfer > > Am 14.10.2015 um 14:24 schrieb Uwe Drießen: > > Moment mal du erklärst einem MS Kunden wie MS funktioniert?? > Nein, das tue ich natürlich nicht! Allerdings muss ich meinen Kunden > erklären, warum manche Ihrer Mails Ihr Ziel nicht erreichen. ...und hier > kommt MS ins Spiel. ;-) Das steht doch in der Fehlermeldung "MS mag seine Mails nicht" Soll den Empfänger anrufen und der soll sich bei MS beschweren Es mach wesentlich mehr Sinn und manchmal passiert dann sogar etwas Ein firma.Outlook.com (oder so ähnlich) User hat uns mail geschickt welche wir nie erhalten haben weil MS das Zertifikat nicht mochte. Der Absender wurde darüber aber auch nie unterrichtet(keine Fehlermail, Bounce zurück) Mein Kunde hat definitiv die Mail NICHT bekommen Ich hab dem Absender dann erklärt das er den Verbleib der mail mit SEINEM Provider zu klären hat und er soll mir das 250 Ok und wann beibringen. MS hat dann mal ein paar Tage gesucht. Die wollten doch tatsächlich eine Ausnahme vom Greylisting (können die scheinbar nicht mit umgehen). Nachdem ich 10 mal auf Englisch erklärt habe das es davon KEINE Ausnahme für MS gibt habe ich auf die Sprache auf Deutsch umgestellt und siehe da die Amis können wohl kein Deutsch :-)) ich hab nie wieder was gehört (lt. Meinem Kunden eh nur unwichtige Werbemails eines Lieferanten von Ihm die er nicht haben wollte :-)) ) > > Der Flashmob wäre sicher ein Spaß > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Wed Oct 14 15:45:57 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 14 Oct 2015 15:45:57 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E53C8.4030406@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> <561E32A4.8030307@fsp-net.loc> <561E380C.3070406@gmail.com> <561E53C8.4030406@fsp-net.loc> Message-ID: <004701d10686$a834ec40$f89ec4c0$@fblan.de> Im Auftrag von Stefan Schäfer > > Ich habe mir ein Testkonto bei "live.com" angelegt und konnte das auch > > in den Received-Zeilen ersehen, dass dort die SPF-Prüfung explizit > > gemacht wird. Öhm ja aber Spam kommt dennoch von denen halt SPF zertifizierter Spam :-)) > Mit SPF habe ich es bisher eher nach Peer H. gehalten: "... den in > meinen Augen ist SPF ein grundfalsches Konzept, ohne > Daseinsberechtigung" (Ist aus seinem Postfixbuch.) Das deckt sich mit der praktischen Erfahrung . > > Sollte ich im konkreten Fall aber wohl mal in Betracht ziehen. > > Gibts hier in der Runde Erfahrungen zu Sinn, Unsinn oder Nutzen von SPF? > > Never again more problems than before and later Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From listen at kielgas.org Wed Oct 14 16:37:13 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 14 Oct 2015 16:37:13 +0200 (CEST) Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <957851397.62.1444807311694.open-xchange@kielgas.org> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> Message-ID: <493682190.78.1444833434082.open-xchange@kielgas.org> Hallo Liste, Hallo Stefan, nachdem ich das deutschsprachige Formular ausgefüllt habe und nichts passierte, habe ich das selbe nochmals mit dem Original gemacht und siehe da, eine halbwegs qualifizierte Antwort, gefolgt dann von dem Hinweis auf die zwei unsinnigen MS-Dienste (habe ich jetzt nicht zitierert). Das ist eigentlich eine Frechheit, die wollen meine Einschränkung anbmildern, bis ich mir eine gute Reputation für meinen Mailserver erarbeitet habe, bis dahin lassen sie nur eine eingeschränkte Menge meiner Mails durch!?! Gut, dass ich so gut wie nie an diesen Sch...-Dienst mailen muss. Mein Mailserver HAT eine gute Reputation, da ist noch NIE eine Spam- oder Schadmail rausgegangen! Höhepunkt ist ja, dass die mir dann immer noch nicht garantieren können, dass meine Mails in eine Nutzer-Inbox gelangt. Hallo, gehts noch, das ist doch die vornehmste Aufgabe eines jeden Maildienstes, zu garantieren, dass eine Mail (die kein SPAM oder Schadmail ist) die Inbox des jeweiligen Empfängers erreicht. Die sollten das aufgeben und dabei bleiben, was sie wirklich können!?! Mann, ey! Hier die Supportmail: Dear Uwe Kielgas We have completed reviewing the IP(s) you submitted. The following table contains the results of our investigation. Conditionally mitigated 5.9.151.130 Our investigation has determined that the above IP(s) qualify for conditional mitigation. These IP(s) have been unblocked, but may be subject to low daily email limits until they have established a good reputation. Please note that mitigating this issue does not guarantee that your email will be delivered to a user?s inbox. Ongoing complaints from users will result in removal of the mitigation. Mitigation may take 24 - 48 hours to replicate completely throughout our system. If you feel your issue is not yet resolved, please reply to this email and one of our support team members will contact you for further investigation. -- Uwe Kielgas Friedrich-Steinwachs-Weg 23 14513 Teltow Nicht das Erreichte zählt Das Erzählte reicht -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Wed Oct 14 17:30:23 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 14 Oct 2015 17:30:23 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <493682190.78.1444833434082.open-xchange@kielgas.org> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> Message-ID: <004f01d10695$3ffe9e00$bffbda00$@fblan.de> Im Auftrag von Uwe Kielgas > > Die sollten das aufgeben und dabei bleiben, was sie wirklich können!?! > Mann, ey! > Du glaubst das da noch was übrig bleibt was die "können" ?? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From ml at fsproductions.de Wed Oct 14 18:11:15 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Wed, 14 Oct 2015 18:11:15 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <493682190.78.1444833434082.open-xchange@kielgas.org> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> Message-ID: <561E7EA3.3060904@fsp-net.loc> Am 14.10.2015 um 16:37 schrieb Uwe Kielgas: > > Hallo Liste, Hallo Stefan, > > nachdem ich das deutschsprachige Formular ausgefüllt habe und nichts > passierte, habe ich das selbe nochmals mit dem Original gemacht und > siehe da, eine halbwegs qualifizierte Antwort, gefolgt dann von dem > Hinweis auf die zwei unsinnigen MS-Dienste (habe ich jetzt nicht > zitierert). > > > Das ist eigentlich eine Frechheit, die wollen meine Einschränkung > anbmildern, bis ich mir eine gute Reputation für meinen Mailserver > erarbeitet habe, bis dahin lassen sie nur eine eingeschränkte Menge > meiner Mails durch!?! Gut, dass ich so gut wie nie an diesen > Sch...-Dienst mailen muss. Mein Mailserver HAT eine gute Reputation, > da ist noch NIE eine Spam- oder Schadmail rausgegangen! > > Höhepunkt ist ja, dass die mir dann immer noch nicht garantieren > können, dass meine Mails in eine Nutzer-Inbox gelangt. Hallo, gehts > noch, das ist doch die vornehmste Aufgabe eines jeden Maildienstes, zu > garantieren, dass eine Mail (die kein SPAM oder Schadmail ist) die > Inbox des jeweiligen Empfängers erreicht. > > Die sollten das aufgeben und dabei bleiben, was sie wirklich können!?! > Mann, ey! > > Hier die Supportmail: > > Dear Uwe Kielgas > > Ich habe das Formular jetzt noch einmal ausgefüllt, jetzt für mein ganzes Subnetz. Die Antwort, schlägt dem Fass den Boden aus. Sie haben alle IPs meines Subnetzes "bedingt entsperrt". und jetzt kommts: mit Ausnahme meines Mailservers! Der ist weiterhin nicht für eine Entsperrung qualifiziert. Die haben nicht mehr alle Latten am Zaun.... Wenn außer IT-lern jemand darüber lachen könnte, wäre das schon genug Stoff für einen guten Kabarett-Abend. Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From listen at kielgas.org Wed Oct 14 18:21:21 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 14 Oct 2015 18:21:21 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E7EA3.3060904@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <561E7EA3.3060904@fsp-net.loc> Message-ID: <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> immer wieder anschreiben, nerven ohne Ende. Die müssen gequält werden ;-) -- Mit freundlichen Grüßen Uwe Kielgas Nicht das Erreichte zählt, das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From listen at kielgas.org Wed Oct 14 18:28:03 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 14 Oct 2015 18:28:03 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <004f01d10695$3ffe9e00$bffbda00$@fblan.de> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <004f01d10695$3ffe9e00$bffbda00$@fblan.de> Message-ID: <114CD310-0FE2-49BB-A7BE-519D5FAE0D29@kielgas.org> Am 14. Oktober 2015 17:30:23 MESZ, schrieb "Uwe Drießen" : > >Du glaubst das da noch was übrig bleibt was die "können" ?? > > Naja, Server und Desktop OS läuft ja jede Menge von denen und es gibt ein paar Menschen, die glauben, dass die ganz gut sind. Die neuen Surface (pro4 und Book) sollen ja wirklich gut sein. Nur von Serverdiensten verstehen die halt nichts. -- Mit freundlichen Grüßen Uwe Kielgas Nicht das Erreichte zählt, das Erzählte reicht. From listen at kielgas.org Wed Oct 14 20:52:17 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Wed, 14 Oct 2015 20:52:17 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <561E7EA3.3060904@fsp-net.loc> <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> Message-ID: Das schier unglaubliche ist geschehen. Ich bin herunter von der MS Blacklist Ich darf wieder Emails an die glückliche Microsoft Gemeinde schicken! Wenn ich mich bewähre! yiihaaa! Gruß Uwe -- Mit freundlichen Grüßen Uwe Kielgas Nicht das Erreichte zählt, das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml at fsproductions.de Thu Oct 15 07:53:33 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Thu, 15 Oct 2015 07:53:33 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <561E7EA3.3060904@fsp-net.loc> <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> Message-ID: <561F3F5D.5090005@fsp-net.loc> Ich habe auf erneute Rückfrage jetzt das erhalten: "Recent activity coming from your IP Range (*4x.x.x.x4/29*) has been flagged by our system as suspicious, causing your IPs to become blocked. I have conducted an investigation into the emails originating from your IP space and have implemented mitigation for your deliverability problem. *This process may take 24 - 48 hours to replicate completely throughout our system." * Klingt als würde daran gearbeitet, hab jedoch meine Zweifel.* *Das ist vor allem deswegen interessant, weil ich mal in meinen Logs nach Email-Verkehr zwischen meinem Server und outlook.com**bzw. hotmail.com geschaut habe. 99% des Traffics ist eingehend und Spam! Stefan Am 14.10.2015 um 20:52 schrieb Uwe Kielgas: > Das schier unglaubliche ist geschehen. Ich bin herunter von der MS > Blacklist > Ich darf wieder Emails an die glückliche > Microsoft Gemeinde schicken! Wenn ich mich bewähre! yiihaaa! > > Gruß Uwe > -- > Mit freundlichen Grüßen > > Uwe Kielgas > > Nicht das Erreichte zählt, > das Erzählte reicht. -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From listen at kielgas.org Thu Oct 15 09:18:55 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Thu, 15 Oct 2015 09:18:55 +0200 (CEST) Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561F3F5D.5090005@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <561E7EA3.3060904@fsp-net.loc> <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> <561F3F5D.5090005@fsp-net.loc> Message-ID: <378849634.86.1444893536082.open-xchange@kielgas.org> > "Stefan Schäfer" hat am 15. Oktober 2015 um 07:53 > geschrieben: > > Ich habe auf erneute Rückfrage jetzt das erhalten: > > "Recent activity coming from your IP Range (*4x.x.x.x4/29*) has been > flagged by our system as suspicious, causing your IPs to become blocked. Du Spammer Du! > I have conducted an investigation into the emails originating from your > IP space and have implemented mitigation for your deliverability > problem. *This process may take 24 - 48 hours to replicate completely > throughout our system." Was'n jetzt, Spammer oder nicht Spammer? > Klingt als würde daran gearbeitet, hab jedoch meine Zweifel.* Doch, keep cool, war bei mir die gleiche Formulierung "mitigation" und nach ein paar Stunden war alles gut. Falls Du keinen Account hast, mit dem Du testen kannst, dann kannst Du Testmails an uwe.kielgas at outlook.com senden. > > *Das ist vor allem deswegen interessant, weil ich mal in meinen Logs > nach Email-Verkehr zwischen meinem Server und outlook.com**bzw. > hotmail.com geschaut habe. 99% des Traffics ist eingehend und Spam! Wat denn? SPAM ist SPAM! Gruß Uwe -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From ml at fsproductions.de Thu Oct 15 09:25:42 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Thu, 15 Oct 2015 09:25:42 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <378849634.86.1444893536082.open-xchange@kielgas.org> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <561E7EA3.3060904@fsp-net.loc> <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> <561F3F5D.5090005@fsp-net.loc> <378849634.86.1444893536082.open-xchange@kielgas.org> Message-ID: <561F54F6.3060200@fsp-net.loc> Am 15.10.2015 um 09:18 schrieb Uwe Kielgas: > Doch, keep cool, war bei mir die gleiche Formulierung "mitigation" und > nach ein paar Stunden war alles gut. > Falls Du keinen Account hast, mit dem Du testen kannst, dann kannst Du > Testmails an uwe.kielgas at outlook.com senden. Da werde ich drauf zurück kommen. Danke. > > > > > *Das ist vor allem deswegen interessant, weil ich mal in meinen Logs > > nach Email-Verkehr zwischen meinem Server und outlook.com**bzw. > > hotmail.com geschaut habe. 99% des Traffics ist eingehend und Spam! > Wat denn? SPAM ist SPAM! Natürlich ist SPAM SPAM, Ich hab ja nicht gesagt, dass ich ihn rein lasse. ;-) Stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From driessen at fblan.de Thu Oct 15 13:11:55 2015 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 15 Oct 2015 13:11:55 +0200 Subject: AW: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561F54F6.3060200@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> <957851397.62.1444807311694.open-xchange@kielgas.org> <493682190.78.1444833434082.open-xchange@kielgas.org> <561E7EA3.3060904@fsp-net.loc> <3518AFF6-C3E0-4BDB-94B2-1307AFFEA928@kielgas.org> <561F3F5D.5090005@fsp-net.loc> <378849634.86.1444893536082.open-xchange@kielgas.org> <561F54F6.3060200@fsp-net.loc> Message-ID: <008401d1073a$503d7e80$f0b87b80$@fblan.de> Im Auftrag von Stefan Schäfer > > > *Das ist vor allem deswegen interessant, weil ich mal in meinen Logs > > > nach Email-Verkehr zwischen meinem Server und outlook.com**bzw. > > > hotmail.com geschaut habe. 99% des Traffics ist eingehend und Spam! > > Wat denn? SPAM ist SPAM! > Natürlich ist SPAM SPAM, Ich hab ja nicht gesagt, dass ich ihn rein > lasse. ;-) > > Stefan > Haben da die das Problem die den Spam von MS nicht annehmen ?? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From postfixer99 at gmail.com Thu Oct 15 19:36:15 2015 From: postfixer99 at gmail.com (Carsten) Date: Thu, 15 Oct 2015 19:36:15 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561E53C8.4030406@fsp-net.loc> References: <561B7B93.2080307@fsp-net.loc> <561E32A4.8030307@fsp-net.loc> <561E380C.3070406@gmail.com> <561E53C8.4030406@fsp-net.loc> Message-ID: <561FE40F.8030803@gmail.com> Am 14.10.2015 um 15:08 schrieb Stefan Schäfer: > Mit SPF habe ich es bisher eher nach Peer H. gehalten: "... den in > meinen Augen ist SPF ein grundfalsches Konzept, ohne > Daseinsberechtigung" (Ist aus seinem Postfixbuch.) > Auch ein Peer H. aus B. setzt SPF ein, allerdings mit der "?all" Methode, die auch so bevorzuge. > > Gibts hier in der Runde Erfahrungen zu Sinn, Unsinn oder Nutzen von SPF? > Insbesondere der Ansatz mit "?all" schützt zwar niemanden effektiv vor Spam oder Absenderfälschung, kann aber durchaus legitim versandte Mails qualifizieren. Wenn Du also angibst, dass Dein Server der durch den SPF-Eintrag explizit genannt ist, legitim Mails für diese Domains versenden darf, erhöht es die Chance, dass Deine eigenen Mails nicht im Spamordner beim Empfänger landen. Und genau das erkennst Du dann auch in den Received-Zeilen bei MS, ein Pluspunkt mehr, damit Deine Mails angenommen werden. Beste Grüße, Carsten From daniel at ist-immer-online.de Thu Oct 15 19:44:42 2015 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 15 Oct 2015 19:44:42 +0200 Subject: =?utf-8?Q?Domain/DDNS_Hoster_f=C3=BCr_DNSSEC/DA?= =?utf-8?Q?NE?= Message-ID: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> Huhu, ich wollte mich nun auch mal endlich mit DNSSEC bzw. DANE auseinander setzen. So spontan finde ich irgendwie kein DDNS Dienst oder Domain Hoster der auch TLSA Record anbietet. Bei Schlundtech geht z.B. DNSSEC aber finde dort kein TLSA Record zum eintragen. Selbst bei godaddy, 1und1 und noch paar anderen habe ich nichts gefunden dazu. Am liebsten wäre mit ein DDNS Dienst wo man externe Domains verwenden kann, so kann man teile fest angeben, und für ne Subdomain noch andere Geräte über DDNS die IP wechseln lassen, für Geräte die nicht am Anschluss mit fester IP sind. Notfalls halt nen Webhoster bzw. Domain Hoster wo ich ganze DNS Einträge verwalten kann, Webspace, Mailserver ect. interessiert mich bei den Hostern nicht. Kann einer von euch mir da etwas empfehlen? Aktuell sind etwa 5 .de/.eu Domains in Bestand. Gruß Daniel From buettnerp at web.de Thu Oct 15 19:50:57 2015 From: buettnerp at web.de (Peter Buettner) Date: Thu, 15 Oct 2015 19:50:57 +0200 Subject: Domain/DDNS Hoster =?UTF-8?B?ZsO8ciBETlNTRUMvREFORQ==?= In-Reply-To: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> Message-ID: <561FE781.20003@web.de> Hallo Daniel, core-networks ist ein sehr guter Anbieter. Dort ist man auch sehr hilfsbereit, wenn die Installation nicht auf Anhieb klappt: https://www.core-networks.de/nameserver.html Gruß Peter Am 15.10.2015 um 19:44 schrieb Daniel: > Huhu, > > ich wollte mich nun auch mal endlich mit DNSSEC bzw. DANE auseinander setzen. > > So spontan finde ich irgendwie kein DDNS Dienst oder Domain Hoster der auch TLSA Record anbietet. > > Bei Schlundtech geht z.B. DNSSEC aber finde dort kein TLSA Record zum eintragen. Selbst bei godaddy, 1und1 und noch paar anderen habe ich nichts gefunden dazu. > > Am liebsten wäre mit ein DDNS Dienst wo man externe Domains verwenden kann, so kann man teile fest angeben, und für ne Subdomain noch andere Geräte über DDNS die IP wechseln lassen, für Geräte die nicht am Anschluss mit fester IP sind. > > Notfalls halt nen Webhoster bzw. Domain Hoster wo ich ganze DNS Einträge verwalten kann, Webspace, Mailserver ect. interessiert mich bei den Hostern nicht. > > Kann einer von euch mir da etwas empfehlen? Aktuell sind etwa 5 .de/.eu Domains in Bestand. > > Gruß Daniel > From django at piratenpartei-bayern.de Thu Oct 15 19:51:16 2015 From: django at piratenpartei-bayern.de (Django) Date: Thu, 15 Oct 2015 19:51:16 +0200 Subject: =?UTF-8?Q?Re:_Domain/DDNS_Hoster_f=c3=bcr_DNSSEC/DANE?= In-Reply-To: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> Message-ID: <561FE794.6010000@piratenpartei-bayern.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI! Am 15.10.2015 um 19:44 schrieb Daniel: > So spontan finde ich irgendwie kein DDNS Dienst oder Domain Hoster > der auch TLSA Record anbietet. Kuck Dir mal https://www.core-networks.de/ Die nutze ich als Registrar und für DNSSEC. Servus Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWH+eUAAoJEAdOz2FQpr/tCREP/0aphQSatNc4wOEwFfc6tBW1 M4VSgrpZoPSGRbYY35278NsI/m4Vl1DwDS6CM6Ry4pmVNOWClPHktkEfrTq2gJOU Pwff9OTFo4Ju6mdMSpEoUOATTj7KSpTdU4yKJIJjEV9Wr+m4KpFDuUXMdNR25IGI CasJdVKwBYi0Com3aBk4DiIuMYz6614BcYGab+IiSDNTTR275p6uoYOslgRLgtDt 8kGRnbH0RylvUmL+8qw9+ZqESQssaHJmD5z/aMJ25o8t32CgAS7B+Fya2vmu6qN7 Wp+MN5fRPQQnkmIBhU+oN3A+Wwjxs6pCfnt0ziqfoNdX9wxgoHSbm+/avBiFqGmF Koo0Th8JzjUpscvfKDiBi/jaGyYXvzH4GHZYaJdMBu17rUF2PicwXZI1lCYUyQ2H 7ztmCeJBHhy4xIhaCnQmBAYSUsDDTO1HhZo2qAnmVcZzcg+PXJPKQQCaVImk39fq E+m8XW3u9Aav4io7aMqc7aMbB18GDt1aoRWRApqrTDoJAjsgWAUAhgFF7K/U+c2l ddQ/mNO83yILkRTlMahD8HnxLgF4s44rLK1WV42hO3mpZFy/cRzI4jSGmLq86uJE 0MYCZsJRNiBTLv3MjAhImCbcmKKA+ufPDkdzgFd7QlEuUAHmLXXeBAW9yXtlo95K DQdR4akjqYsWEkpUX/++ =6QeR -----END PGP SIGNATURE----- From p at sys4.de Thu Oct 15 20:01:13 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 15 Oct 2015 20:01:13 +0200 Subject: Domain/DDNS Hoster =?utf-8?B?ZsO8?= =?utf-8?Q?r?= DNSSEC/DANE In-Reply-To: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> Message-ID: <20151015180113.GD12131@sys4.de> * Daniel : > Huhu, > > ich wollte mich nun auch mal endlich mit DNSSEC bzw. DANE auseinander setzen. > > So spontan finde ich irgendwie kein DDNS Dienst oder Domain Hoster der auch TLSA Record anbietet. > > Bei Schlundtech geht z.B. DNSSEC aber finde dort kein TLSA Record zum eintragen. Selbst bei godaddy, 1und1 und noch paar anderen habe ich nichts gefunden dazu. > > Am liebsten wäre mit ein DDNS Dienst wo man externe Domains verwenden kann, so kann man teile fest angeben, und für ne Subdomain noch andere Geräte über DDNS die IP wechseln lassen, für Geräte die nicht am Anschluss mit fester IP sind. > > Notfalls halt nen Webhoster bzw. Domain Hoster wo ich ganze DNS Einträge verwalten kann, Webspace, Mailserver ect. interessiert mich bei den Hostern nicht. > > Kann einer von euch mir da etwas empfehlen? Aktuell sind etwa 5 .de/.eu Domains in Bestand. Wir hatten im Rahmen des DNSSEC-Days eine Liste zusammengestellt: http://www.heise.de/netze/artikel/Hoster-und-Registrare-mit-DNSSEC-Diensten-2643530.html p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From ck+postfixbuch at bl4ckb0x.de Thu Oct 15 19:54:04 2015 From: ck+postfixbuch at bl4ckb0x.de (Conrad Kostecki) Date: Thu, 15 Oct 2015 19:54:04 +0200 Subject: =?UTF-8?Q?Re=3A_Domain/DDNS_Hoster_f=C3=BCr_DNSSEC/DANE?= In-Reply-To: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> Message-ID: <35f4e7141f68c5f060ceb0eb3c54bbac@bl4ckb0x.de> Am 2015-10-15 19:44, schrieb Daniel: > Kann einer von euch mir da etwas empfehlen? Aktuell sind etwa 5 > .de/.eu Domains in Bestand. Ich kann hier Core-Networks https://www.core-networks.de/ empfehlen, bin dort selber Kunde.. Bieten alle deine gewünschten Punkte. From pw at wk-serv.de Thu Oct 15 20:12:04 2015 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 15 Oct 2015 20:12:04 +0200 Subject: =?UTF-8?Q?Re:_Domain/DDNS_Hoster_f=c3=bcr_DNSSEC/DANE?= In-Reply-To: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> Message-ID: <561FEC74.5000606@wk-serv.de> Hallo, Daniel schrieb: > ich wollte mich nun auch mal endlich mit DNSSEC bzw. DANE auseinander setzen. > > So spontan finde ich irgendwie kein DDNS Dienst oder Domain Hoster der auch TLSA Record anbietet. > > Kann einer von euch mir da etwas empfehlen? Aktuell sind etwa 5 .de/.eu Domains in Bestand. ich bin so frech und empfehle mich einfach mal selbst: www.wk-serv.de Gruß Patrick -- Westenberg + Kueppers GbR Spanische Schanzen 37 ---- Buero Koeln ---- 47495 Rheinberg pwestenberg at wk-serv.de Tel.: +49 (0)2843 90369-06 http://www.wk-serv.de Fax : +49 (0)2843 90369-07 Gesellschafter: Sebastian Kueppers & Patrick Westenberg From django at nausch.org Thu Oct 15 20:21:49 2015 From: django at nausch.org (Django) Date: Thu, 15 Oct 2015 20:21:49 +0200 Subject: =?UTF-8?Q?Re:_Domain/DDNS_Hoster_f=c3=bcr_DNSSEC/DANE?= In-Reply-To: <20151015180113.GD12131@sys4.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> <20151015180113.GD12131@sys4.de> Message-ID: <561FEEBD.9030104@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI! Am 15.10.2015 um 20:01 schrieb Patrick Ben Koetter: > Wir hatten im Rahmen des DNSSEC-Days eine Liste zusammengestellt: > http://www.heise.de/netze/artikel/Hoster-und-Registrare-mit-DNSSEC-Die nsten-2643530.html Wobei > die nicht sonderlich aktuell zu sein scheint. Hab bei core.networks.de mehrere Domains: .de .info .org .guru In Deiner Auflistung steht was von "nur .de". Servus Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWH+69AAoJEAdOz2FQpr/tU/AQAIf7SABzpw76n++Y0kQjNLxZ 25IF4SqMkAeByNbStYetH564rMsbZa5Q42RoFbTHe+bVIogFVCtJkm2b0BsLvSeR pBjd8PKiYco+ZfhTpdhvSxgID3QLdNZhRowyqADbwW+G26nzchZLX8cIFR3HWpvE reobXHMpb3hvpBxjMa1n8aQbK+8XXTbp0Fce+gR4LyjrLLoXgCnt/V5/giHeE6ce C1jOOCoXuLaiOCYA166d0CkcsAUbj1QzwnvXFKdLcCo+hCe2Yq/bXEyuW2yRSJM+ t8S9ofMlekqgfn7akfiaHxA0JgJu9X+d5sXo2aF00tEsuvI7gxHiK1LEbXLHfQmA wwoz2s1JA7BiWJzimqxgqtaBGVlE6bLkGBIZdGiuJMMesqZ/w5sLvG3lw80O8APq Y1KLtuW3DTGRmmXu8Os8VtAPilC5cgAinGCF/0x5gT3Mn6cvbBrylsh7bO7cKhpI aBGrl3lXaBNPHj4ophiJbS6cBJhU8Ch1OXlQg0kLkkIVE3PvVfU/THc6cNZXp18w CmuZkQ3vQxi7T/4EzZbiQJgAxmTcK60k1zHhYZc2TF5J3XdsaCkGNf8xT4Rg9oFL g4yl9MjUY4Zine8YbMnWvFXYxhoGErIyLS5YpJ4V5xgav9Zu4VVeteAq2D7c7RkE YUwiQ4hpdZIq1vaQCnT4 =lV9S -----END PGP SIGNATURE----- From p at sys4.de Thu Oct 15 20:46:39 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 15 Oct 2015 20:46:39 +0200 Subject: Domain/DDNS Hoster =?utf-8?B?ZsO8?= =?utf-8?Q?r?= DNSSEC/DANE In-Reply-To: <561FEEBD.9030104@nausch.org> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> <20151015180113.GD12131@sys4.de> <561FEEBD.9030104@nausch.org> Message-ID: <20151015184637.GE12131@sys4.de> * Django : > HI! > > Am 15.10.2015 um 20:01 schrieb Patrick Ben Koetter: > > > Wir hatten im Rahmen des DNSSEC-Days eine Liste zusammengestellt: > > http://www.heise.de/netze/artikel/Hoster-und-Registrare-mit-DNSSEC-Die > nsten-2643530.html > > Wobei > > > die nicht sonderlich aktuell zu sein scheint. Hab bei > core.networks.de mehrere Domains: > .de > .info > .org > .guru > > In Deiner Auflistung steht was von "nur .de". Toll, dass sie inzwischen mehr anbieten... ;) p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From django at nausch.org Thu Oct 15 20:52:48 2015 From: django at nausch.org (Django) Date: Thu, 15 Oct 2015 20:52:48 +0200 Subject: =?UTF-8?Q?Re:_Domain/DDNS_Hoster_f=c3=bcr_DNSSEC/DANE?= In-Reply-To: <20151015184637.GE12131@sys4.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> <20151015180113.GD12131@sys4.de> <561FEEBD.9030104@nausch.org> <20151015184637.GE12131@sys4.de> Message-ID: <561FF600.3030808@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI! Am 15.10.2015 um 20:46 schrieb Patrick Ben Koetter: > Toll, dass sie inzwischen mehr anbieten... ;) Inzwischen? Öhh, bin seit 21.12.2014 dort. ;) ttyl Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWH/YAAAoJEAdOz2FQpr/tK4cP/jf9Ggl/2lgf3eUYTVXq1lXD J92NAebvmXC06IQvkC3cvzfvIqL7sizNNaagZ5ucQh0od4Gwz3azDwlTfJUu3Jxg 39RRZDyRmbF/37Tv6gAIJVZ/QGR+6SEP9z1Q4cjRbxo5UrBSXf9DaqEFee7178Rd eLAznE1TZ+L/4vFQNw7F0OCS8axPHKZf7RMo/9vRxCag0+riDH7DDaDvk5CIhJNd 9j/Q2e4tFNsDfH1cJwxkb9bSyV0FMs90bFPEf//z1QVnG8fBtfd9WVhwUJJe9Ki2 gskWVd2BSgI9N+43wK7/ls2cNtZxL7LblqzKK6M8/Kr0qK8k8V5SJbNCI1n4CKB7 UXWcHlWwVg+XHTlIJVKoHVZVq/OC/VginnYJr8nqmRNCN/D6yb1bIMsgnkrCjfB5 Y2cJ0km0ShiY1n3N5kQG9Yr1w2SLcx2Th5mZBKFrkFVQGuBUaMFRUu5G+YyGMmZx Ss46ngWj/yZqLwMQPwKe6mKQaJkiUf/2uhYE9GFza7hzWwLFPArZbSEox/y6ggqO 1xE62sGQHvQu8ykePR635nXkZ1EH9rO3bPbTQz3vfhw8f2gYe3gz5+qtTcRpEMtd xvR1fE99SmPfFQNGAV4jg6mSToK9iECJyDeUjV1NGY7q8M3ulOubXj40g/5sACxe 5V1QnccilJVoBWCdKk+D =npK8 -----END PGP SIGNATURE----- From daniel at ist-immer-online.de Thu Oct 15 21:03:19 2015 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 15 Oct 2015 21:03:19 +0200 Subject: =?utf-8?Q?AW:_Domain/DDNS_Hoster_f=C3=BCr_DNSSE?= =?utf-8?Q?C/DANE?= In-Reply-To: <20151015184637.GE12131@sys4.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> <20151015180113.GD12131@sys4.de> <561FEEBD.9030104@nausch.org> <20151015184637.GE12131@sys4.de> Message-ID: <001e01d1077c$27fc7290$77f557b0$@ist-immer-online.de> Huhu, danke erstmal für die Antworten, mehrfach wurde core-networks genannt. Was verstehen die unter 5 Zonen? Kann ich da max. 5 Domains mit je z.B. 10 Records (MX, CNAME, ...) ausstatten und Subdomains, oder wird jeder Record oder Subdomain und Domain jeweils 1 Zone gewertet? Gruß Daniel From buettnerp at web.de Thu Oct 15 21:15:13 2015 From: buettnerp at web.de (Peter Buettner) Date: Thu, 15 Oct 2015 21:15:13 +0200 Subject: Domain/DDNS Hoster =?UTF-8?B?ZsO8ciBETlNTRUMvREFORQ==?= In-Reply-To: <001e01d1077c$27fc7290$77f557b0$@ist-immer-online.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> <20151015180113.GD12131@sys4.de> <561FEEBD.9030104@nausch.org> <20151015184637.GE12131@sys4.de> <001e01d1077c$27fc7290$77f557b0$@ist-immer-online.de> Message-ID: <561FFB41.1020504@web.de> ...... Ein Zone-File gilt für eine Domain und alle zugehörigen Subdomains. Am 15.10.2015 um 21:03 schrieb Daniel: > Huhu, > > danke erstmal für die Antworten, mehrfach wurde core-networks genannt. > > Was verstehen die unter 5 Zonen? Kann ich da max. 5 Domains mit je z.B. 10 Records (MX, CNAME, ...) ausstatten und Subdomains, oder wird jeder Record oder Subdomain und Domain jeweils 1 Zone gewertet? > > Gruß Daniel > > From ml at fsproductions.de Fri Oct 16 10:26:56 2015 From: ml at fsproductions.de (=?UTF-8?Q?Stefan_Sch=c3=a4fer?=) Date: Fri, 16 Oct 2015 10:26:56 +0200 Subject: outlook.com, oder Microsofts Anti-Spam Strategie In-Reply-To: <561FE40F.8030803@gmail.com> References: <561B7B93.2080307@fsp-net.loc> <561E32A4.8030307@fsp-net.loc> <561E380C.3070406@gmail.com> <561E53C8.4030406@fsp-net.loc> <561FE40F.8030803@gmail.com> Message-ID: <5620B4D0.3060208@fsp-net.loc> Am 15.10.2015 um 19:36 schrieb Carsten: > Am 14.10.2015 um 15:08 schrieb Stefan Schäfer: >> Mit SPF habe ich es bisher eher nach Peer H. gehalten: "... den in >> meinen Augen ist SPF ein grundfalsches Konzept, ohne >> Daseinsberechtigung" (Ist aus seinem Postfixbuch.) >> > Auch ein Peer H. aus B. setzt SPF ein, allerdings mit der "?all" > Methode, die auch so bevorzuge. > >> >> Gibts hier in der Runde Erfahrungen zu Sinn, Unsinn oder Nutzen von SPF? >> > Insbesondere der Ansatz mit "?all" schützt zwar niemanden effektiv vor > Spam oder Absenderfälschung, kann aber durchaus legitim versandte > Mails qualifizieren. > Wenn Du also angibst, dass Dein Server der durch den SPF-Eintrag > explizit genannt ist, legitim Mails für diese Domains versenden darf, > erhöht es die Chance, dass Deine eigenen Mails nicht im Spamordner > beim Empfänger landen. > Und genau das erkennst Du dann auch in den Received-Zeilen bei MS, ein > Pluspunkt mehr, damit Deine Mails angenommen werden. > > Beste Grüße, Carsten > > Genau damit habe ich inzwischen angefangen. ;-) Gruß stefan -- www.invis-server.org Stefan Schäfer Ludwigstr. 1-3 63679 Schotten From daniel at ist-immer-online.de Fri Oct 16 11:00:05 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 16 Oct 2015 11:00:05 +0200 Subject: =?UTF-8?Q?AW:_Domain/DDNS_Hoster_f=C3=BCr_DNSSE?= =?UTF-8?Q?C/DANE?= In-Reply-To: <20151015184637.GE12131@sys4.de> References: <001701d10771$2c384880$84a8d980$@ist-immer-online.de> <20151015180113.GD12131@sys4.de> <561FEEBD.9030104@nausch.org> <20151015184637.GE12131@sys4.de> Message-ID: <001701d107f1$0d135aa0$273a0fe0$@ist-immer-online.de> Huhu, wie bekomme ich nun bei core-networks.de DNSKEY und RRSIGs hinzugefügt? Sehe nur DS von den 3 Records die wohl benötigt werden. Am Postfix kann ich ganze auf may stehen lassen? Möchte vorerst auch Option offen lassen, wenn nen Server kein DANE oder Verschlüsselung nutzt auch zustellen kann. Gruß Daniel From lists at xunil.at Fri Oct 16 11:04:33 2015 From: lists at xunil.at (Stefan G. Weichinger) Date: Fri, 16 Oct 2015 11:04:33 +0200 Subject: OWA als relayhost? Message-ID: <5620BDA1.3020703@xunil.at> sorry, daß ich nicht viel Archivsuche betrieben habe, der Kunde drängt ... -> kann man irgendwie aus Postfix in OWA Mails einkippen? Der Betreiber des Mailservers der Kundendomain rückt keinen normalen SMTP-Account raus ... und meine Versuche, über ein gmail-Konto als gewünschter Absender zu versenden, scheitert (gmail sendet immer hart das Feld "Sender:" mit, und lässt es mich nicht verändern, trotz anderslautender Beschreibung in der Hilfe). Einen OWA-Account hab ich nun ... gibt es da einen Weg? Für schnelle Tips bin ich wie immer höchst dankbar! :-) Stefan From daniel at ist-immer-online.de Fri Oct 16 13:07:10 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 16 Oct 2015 13:07:10 +0200 Subject: =?UTF-8?Q?AW:_Domain/DDNS_Hoster_f=C3=BCr_DNSSE?= =?UTF-8?Q?C/DANE?= Message-ID: <002801d10802$cdfd4760$69f7d620$@ist-immer-online.de> Huhu, hat sich erledigt, musste in der Verwaltung auf das Zahnrad, dort steht dann DNSKEY-Record und DS-Records, diese musste ich beim Domainhoster angeben. Danke noch mal für die Empfehlung von euch, läuft soweit vom ersten Eindruck sonst ganz gut mit DDNS ect. Gruß Daniel -----Ursprüngliche Nachricht----- Gesendet: Freitag, 16. Oktober 2015 11:00 Huhu, wie bekomme ich nun bei core-networks.de DNSKEY und RRSIGs hinzugefügt? Sehe nur DS von den 3 Records die wohl benötigt werden. Am Postfix kann ich ganze auf may stehen lassen? Möchte vorerst auch Option offen lassen, wenn nen Server kein DANE oder Verschlüsselung nutzt auch zustellen kann. Gruß Daniel From lists at xunil.at Fri Oct 16 14:16:07 2015 From: lists at xunil.at (Stefan G. Weichinger) Date: Fri, 16 Oct 2015 14:16:07 +0200 Subject: OWA als relayhost? In-Reply-To: <5620BDA1.3020703@xunil.at> References: <5620BDA1.3020703@xunil.at> Message-ID: <5620EA87.4080802@xunil.at> Am 2015-10-16 um 11:04 schrieb Stefan G. Weichinger: > > sorry, daß ich nicht viel Archivsuche betrieben habe, der Kunde drängt ... > > -> kann man irgendwie aus Postfix in OWA Mails einkippen? > > Der Betreiber des Mailservers der Kundendomain rückt keinen normalen > SMTP-Account raus ... und meine Versuche, über ein gmail-Konto als > gewünschter Absender zu versenden, scheitert (gmail sendet immer hart > das Feld "Sender:" mit, und lässt es mich nicht verändern, trotz > anderslautender Beschreibung in der Hilfe). Ich ergänze mal noch um Details zur Problemstellung, vielleicht geht es ja viel einfacher, als ich denke. MTA für die Kundendomain kunde.tld wird von einem Provider betrieben, der dem Kunden keinen SMTP-Account gibt (das postulieren die einfach so, eigentlich sehr diskutabel), nur Versand aus deren LAN über so eine Branchensoftware (no names here ...) oder eben per OWA. Wird mit Sicherheit begründet. Kunde soll ein Umfragetool verwenden, auf Webserver außerhalb deren geschütztem Netz. Und natürlich will der Kunde diese Emails mit seiner eigenen Absenderdomain versenden. Als Ansatz wurde ein gmail-Konto angelegt, und dort ein Alias ala umfrage at kunde.tld ... als Standard-Sendeadresse, plus das Setting "Senden als ..." Meine Tests zeigen aber, daß davon nur das From: Feld im Header beeinflusst wird, nicht aber das Sender: Und in zB Outlook als MUA wird als Absender das Sender: gezeigt, Thunderbird zeigt mir das From: ich hab zum Testen einen mini-Postfix konfiguriert, mit gmail als relayhost, der sendet auch ... und mit sender_canonical etc "gespielt". Mein Eindruck ist, daß gmail den Sender immer hart setzt/überschreibt ... Oder bin ich uninformiert und mache es falsch? Danke für etwaige Tips, Stefan From klaus at tachtler.net Fri Oct 16 15:12:32 2015 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 16 Oct 2015 15:12:32 +0200 Subject: Problem mit AMaViSd-new amavisd-milter und alterMIME... Message-ID: <20151016151232.Horde.JSWxvEooJ29Kb6lv0_zMkzz@buero.tachtler.net> Hallo Liste, ich habe nachfolgendes Problem: Fall 1: Wenn ich eine e-Mail via amavisd-milter vom Postfix an AMaViSd-new weitergebe, wird keine "Disclaimer" via alterMIME durch AMaViSd-new angehängt, OBWOHL dies in der Header-Zeilen drin steht Fall 2. Wenn ich eine e-Mail via smtp_proxy_filter oder content_filter vom Postfix an AMaViSd-new weitergebe, wird eine "Disclaimer" korrekt angehängt. Irgendeinen Hinweis, wo ich suchen kann bzw. warum das so ist? Vielen Dank schon mal in Voraus! Grüße Klaus. Auszug Header-Zeilen: --- Fall 1 ------------------------------------------------------------------------ Return-Path: Delivered-To: klaus at tachtler.net Received: from mx1.tachtler.net ([10.7.0.60]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) by imap.tachtler.net (Dovecot) with LMTP id nywhI9zyIFYuXwAAhm5hYQ for ; Fri, 16 Oct 2015 14:51:40 +0200 X-Amavis-Modified: Mail body modified (using disclaimer) - vml70070.idmz.tachtler.net X-Virus-Scanned: amavisd-new at tachtler.net X-Spam-Flag: NO X-Spam-Score: -1.01 X-Spam-Level: X-Spam-Status: No, score=-1.01 tagged_above=-1000.0 required=6.31 tests=[ALL_TRUSTED=-1, T_RP_MATCHES_RCVD=-0.01] autolearn=ham autolearn_force=no Received: from vml70080.idmz.tachtler.net (vml70080.idmz.tachtler.net [10.7.0.80]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client CN "*.tachtler.net", Issuer "CAcert Class 3 Root" (verified OK)) by mx1.tachtler.net (Postfix) with ESMTPS id 1BED81800089 for ; Fri, 16 Oct 2015 14:51:34 +0200 (CEST) Received: by vml70080.idmz.tachtler.net (Postfix, from userid 0) id C849D8F2BB7; Fri, 16 Oct 2015 14:51:33 +0200 (CEST) Date: Fri, 16 Oct 2015 14:51:33 (CEST) From: root at vml70080.idmz.tachtler.net To: root at tachtler.net Subject: Test e-Mail for vml70080.idmz.tachtler.net Message-Id: <20151016125133.C849D8F2BB7 at vml70080.idmz.tachtler.net> ==== This is a test e-Mail for vml70080.idmz.tachtler.net === EOM --- Fall 1 ------------------------------------------------------------------------ --- Fall 2 ------------------------------------------------------------------------ Return-Path: Delivered-To: klaus at tachtler.net Received: from mx1.tachtler.net ([10.7.0.60]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) by imap.tachtler.net (Dovecot) with LMTP id 5z64GPP2IFaIXwAAhm5hYQ for ; Fri, 16 Oct 2015 15:09:07 +0200 Received: from viruswall.idmz.tachtler.net (vml70070.idmz.tachtler.net [10.7.0.70]) by mx1.tachtler.net (Postfix) with ESMTP id 4643C1800090 for ; Fri, 16 Oct 2015 15:09:07 +0200 (CEST) X-Amavis-Modified: Mail body modified (using disclaimer) - vml70070.idmz.tachtler.net X-Virus-Scanned: amavisd-new at tachtler.net X-Spam-Flag: NO X-Spam-Score: -0.001 X-Spam-Level: X-Spam-Status: No, score=-0.001 tagged_above=-1000.0 required=6.31 tests=[NO_RELAYS=-0.001] autolearn=ham autolearn_force=no Received: from mx1.tachtler.net ([10.7.0.60]) by viruswall.idmz.tachtler.net (vml70070.idmz.tachtler.net [10.7.0.70]) (amavisd-new, port 10024) with LMTP id MfDd0WY_DKIn for ; Fri, 16 Oct 2015 15:09:01 +0200 (CEST) Received: by mx1.tachtler.net (Postfix, from userid 0) id 9CF501800089; Fri, 16 Oct 2015 15:09:01 +0200 (CEST) Date: Fri, 16 Oct 2015 15:09:01 (CEST) From: root at vml70060.idmz.tachtler.net To: root at tachtler.net Subject: Test e-Mail for vml70060.idmz.tachtler.net Message-Id: <20151016130901.9CF501800089 at mx1.tachtler.net> ==== This is a test e-Mail for vml70060.idmz.tachtler.net === EOM -- ---------------------------------------- Homepage: http://www.tachtler.net ---------------------------------------- --- Fall 2 ------------------------------------------------------------------------ -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From max.grobecker at ml.grobecker.info Sat Oct 17 02:15:02 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 17 Oct 2015 02:15:02 +0200 Subject: OWA als relayhost? In-Reply-To: <5620EA87.4080802@xunil.at> References: <5620BDA1.3020703@xunil.at> <5620EA87.4080802@xunil.at> Message-ID: <56219306.6080204@ml.grobecker.info> Hallo, sind in der DNS-Zone des Kunden irgendwelche SPF-Einträge oder Domainkeys/DMARC-Records vorhanden? Es ist gut Möglich, dass GMail den Sender hart setzen muss, um mit einem Google-Domainkey die E-Mail gültig signieren zu können. Falls von alledem nichts vorhanden ist: Dann sende einfach selbst ohne GMail dazwischen ;-) Sonst bleibt dir IMHO nur, eine Subdomain wie "umfrage.kunde.tld" mit gültigen MX- und A-Records anzulegen und dann mittels der Subdomain selbst zu versenden; Vorausgesetzt natürlich, man hat irgendwie Einfluss auf die DNS-Records. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From oliver at strucken.de Sat Oct 17 10:21:17 2015 From: oliver at strucken.de (Oliver Strucken) Date: Sat, 17 Oct 2015 10:21:17 +0200 Subject: OWA als relayhost? In-Reply-To: <5620BDA1.3020703@xunil.at> References: <5620BDA1.3020703@xunil.at> Message-ID: <562204FD.4080003@strucken.de> Hallo Stefan, guck dir mal DavMail an: http://sourceforge.net/projects/davmail/ Das ist ein Gateway, das SMTP/IMAP Funktionalität über den Exchange Webaccess (OWA) zur Verfuegung stellt. Evtl. kannst du das ja entsprechend einbinden. Viele Gruesse, Oliver Am 16.10.2015 um 11:04 schrieb Stefan G. Weichinger: > sorry, daß ich nicht viel Archivsuche betrieben habe, der Kunde drängt ... > > -> kann man irgendwie aus Postfix in OWA Mails einkippen? > > Der Betreiber des Mailservers der Kundendomain rückt keinen normalen > SMTP-Account raus ... und meine Versuche, über ein gmail-Konto als > gewünschter Absender zu versenden, scheitert (gmail sendet immer hart > das Feld "Sender:" mit, und lässt es mich nicht verändern, trotz > anderslautender Beschreibung in der Hilfe). > > Einen OWA-Account hab ich nun ... gibt es da einen Weg? > > Für schnelle Tips bin ich wie immer höchst dankbar! :-) > Stefan From daniel at ist-immer-online.de Sat Oct 17 12:33:18 2015 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 17 Oct 2015 12:33:18 +0200 Subject: OWA als relayhost? In-Reply-To: <562204FD.4080003@strucken.de> References: <5620BDA1.3020703@xunil.at> <562204FD.4080003@strucken.de> Message-ID: <95DD62D2-C4E4-44E6-8AB6-799436502D3D@ist-immer-online.de> Hallo Stefan, Wenn die Absender Domain kein SPF verwendet oder DKIM was oft der Fall ist, könntest auch T-Online verwenden als Relay für maximal 10 Absender, oder gibst nen ? aus im Monat dann kannst auch Posteo verwenden für soviele Absender und Domains du möchtest. Gruß Daniel From lists at xunil.at Sun Oct 18 11:01:40 2015 From: lists at xunil.at (Stefan G. Weichinger) Date: Sun, 18 Oct 2015 11:01:40 +0200 Subject: OWA als relayhost? In-Reply-To: <562204FD.4080003@strucken.de> References: <5620BDA1.3020703@xunil.at> <562204FD.4080003@strucken.de> Message-ID: <56235FF4.7010302@xunil.at> Am 2015-10-17 um 10:21 schrieb Oliver Strucken: > Hallo Stefan, > > guck dir mal DavMail an: > > http://sourceforge.net/projects/davmail/ > > Das ist ein Gateway, das SMTP/IMAP Funktionalität über den Exchange > Webaccess (OWA) zur Verfuegung stellt. Evtl. kannst du das ja > entsprechend einbinden. Das klingt ja spannend, danke für den Tip. Aktuell habe ich dort einen SMTP-Account von einem meiner Server eingetragen, und die so entstehenden Mails haben gleich gar kein "Sender"-Feld. Der Kunde testet, wohl morgen ... Für den produktiven Einsatz möchte ich dann aber nichts von meiner Infrastruktur im Spiel haben, vielleicht dann wirklich mit davmail oä. Danke, Stefan From andreas.schulze at datev.de Mon Oct 19 07:00:29 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 19 Oct 2015 07:00:29 +0200 Subject: Problem mit AMaViSd-new amavisd-milter und alterMIME... In-Reply-To: <20151016151232.Horde.JSWxvEooJ29Kb6lv0_zMkzz@buero.tachtler.net> References: <20151016151232.Horde.JSWxvEooJ29Kb6lv0_zMkzz@buero.tachtler.net> Message-ID: <562478ED.4060209@datev.de> Am 16.10.2015 um 15:12 schrieb Klaus Tachtler: > Fall 1: Wenn ich eine e-Mail via amavisd-milter vom Postfix an > AMaViSd-new weitergebe, wird keine "Disclaimer" via alterMIME durch > AMaViSd-new angehängt, OBWOHL dies in der Header-Zeilen drin steht > > Fall 2. Wenn ich eine e-Mail via smtp_proxy_filter oder content_filter > vom Postfix an AMaViSd-new weitergebe, wird eine "Disclaimer" korrekt > angehängt. fürs Archiv: Wenn amavisd-new über den amavisd-milter an Postfix angebunden wird, kann amavisd-new den Nachrichteninhalt nicht verändern. Diese Funktion wird vom amavisd-milter nicht unterstützt. -- A. Schulze DATEV eG From jwinkelmann at rapidsoft.de Mon Oct 19 15:40:52 2015 From: jwinkelmann at rapidsoft.de (Winkelmann, Jan-Simon) Date: Mon, 19 Oct 2015 13:40:52 +0000 Subject: Transport auf Basis von $mynetworks konfigurierbar? Message-ID: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> Moin, habe da mal eine Frage: Ist es möglich, einen bestimmten Transport auf Basis von $mynetworks zu nutzen? Ziel ist: - Mails die über die externe IP rein kommen an einen eigenen queuehandler-transport zu relayen - Mails die über die interne IP rein kommen direkt an den standard smtp transport zu relayen Habe mir schon die Finger wund gegoogled und bin leider nicht fündig geworden. Gruß Jan From kai_postfix at fuerstenberg.ws Mon Oct 19 16:18:36 2015 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Mon, 19 Oct 2015 16:18:36 +0200 Subject: Transport auf Basis von $mynetworks konfigurierbar? In-Reply-To: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> References: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> Message-ID: <5624FBBC.50205@fuerstenberg.ws> Hi Jan, Am 19.10.2015 um 15:40 schrieb Winkelmann, Jan-Simon: > Moin, > > habe da mal eine Frage: Ist es möglich, einen bestimmten Transport auf Basis von $mynetworks zu nutzen? > > Ziel ist: > - Mails die über die externe IP rein kommen an einen eigenen queuehandler-transport zu relayen > - Mails die über die interne IP rein kommen direkt an den standard smtp transport zu relayen > > Habe mir schon die Finger wund gegoogled und bin leider nicht fündig geworden. über $mynetworks wird das wohl nicht fluppen. Da du aber offenbar nur zwei IPs hast, kannst du über separate master.cf-Einträge unterschiedliche Transporte festlegen, während du die Grundeinstellungen in der main.cf beibehältst. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From jwinkelmann at rapidsoft.de Mon Oct 19 20:46:57 2015 From: jwinkelmann at rapidsoft.de (Jan-Simon Winkelmann) Date: Mon, 19 Oct 2015 20:46:57 +0200 Subject: Transport auf Basis von $mynetworks konfigurierbar? In-Reply-To: <5624FBBC.50205@fuerstenberg.ws> References: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> <5624FBBC.50205@fuerstenberg.ws> Message-ID: <56253AA1.2080409@rapidsoft.de> Hi Kai, Am 19.10.2015 um 16:18 schrieb Kai Fürstenberg: > Hi Jan, > > Am 19.10.2015 um 15:40 schrieb Winkelmann, Jan-Simon: >> Moin, >> >> habe da mal eine Frage: Ist es möglich, einen bestimmten Transport auf Basis von $mynetworks zu nutzen? >> >> Ziel ist: >> - Mails die über die externe IP rein kommen an einen eigenen queuehandler-transport zu relayen >> - Mails die über die interne IP rein kommen direkt an den standard smtp transport zu relayen >> >> Habe mir schon die Finger wund gegoogled und bin leider nicht fündig geworden. > über $mynetworks wird das wohl nicht fluppen. Schade, hatte gehofft dass es da vielleicht eine einfache Lösung gibt. > Da du aber offenbar nur zwei IPs hast, kannst du über separate > master.cf-Einträge unterschiedliche Transporte festlegen, während du die > Grundeinstellungen in der main.cf beibehältst. Aber kann ich da auch den outbound transport setzen? Habs vielleicht in der ursprünglichen Nachricht nicht spezifisch genug erklärt. Ich möchte, dass alle Mails die lokal angenommen werden (Also Loopback oder Maildrop) direkt versendet werden. Alles was von Extern rein kommt, soll in einem eigenen queuehandler-transport landen. Gruß Jan From andreas.schulze at datev.de Tue Oct 20 08:15:06 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 20 Oct 2015 08:15:06 +0200 Subject: Transport auf Basis von $mynetworks konfigurierbar? In-Reply-To: <56253AA1.2080409@rapidsoft.de> References: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> <5624FBBC.50205@fuerstenberg.ws> <56253AA1.2080409@rapidsoft.de> Message-ID: <5625DBEA.6040306@datev.de> Am 19.10.2015 um 20:46 schrieb Jan-Simon Winkelmann: > Ich möchte, dass alle Mails die lokal angenommen werden (Also Loopback oder > Maildrop) direkt versendet werden. Alles was von Extern rein kommt, soll > in einem eigenen queuehandler-transport landen. gön' Dir 2 separate postfix Instanzen. jede Instanz für sich hat dann auch wieder eine relativ einfache Konfiguration. -- A. Schulze DATEV eG From p.heinlein at heinlein-support.de Tue Oct 20 12:59:38 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 20 Oct 2015 12:59:38 +0200 Subject: Transport auf Basis von $mynetworks konfigurierbar? In-Reply-To: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> References: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> Message-ID: <56261E9A.8090508@heinlein-support.de> Am 19.10.2015 um 15:40 schrieb Winkelmann, Jan-Simon: > Moin, > > habe da mal eine Frage: Ist es möglich, einen bestimmten Transport auf Basis von $mynetworks zu nutzen? > > Ziel ist: > - Mails die über die externe IP rein kommen an einen eigenen queuehandler-transport zu relayen > - Mails die über die interne IP rein kommen direkt an den standard smtp transport zu relayen > > Habe mir schon die Finger wund gegoogled und bin leider nicht fündig geworden. check_client_access setzen und dann einen FILTER auf eine andere Methode setzen: 192.168.10.0/24 FILTER transportmethode: Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From django at nausch.org Tue Oct 20 17:18:32 2015 From: django at nausch.org (Django) Date: Tue, 20 Oct 2015 17:18:32 +0200 Subject: transport_maps und merere Zielhosts/IPs Message-ID: <56265B48.8050002@nausch.org> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Griaseich! Bei einem Kunden habe ich folgende Besonderheit: Eine Zieldomäne war ist über 4 MXe ereichbar, die "ganz normal" via MX Einträge im DNS auflösbar sind. z.B.: 10 mailin02-example.de. 10 mailin03-example.de. 10 mailin04-example.de. 10 mailin01-example.de. Nun sollen aber jetzt die eMails nicht (mehr) über diese Einträge zum Zielsystem geschickt werden, sondern abweichend davon an die beiden hosts mx01.example.com und mx02.example.com Soweit so gut, wäre nur ein Zielhost wäre die Sache relativ einfach, Der folgende Eintrag in der tranport_maps würde ja genügen: example.de smtp:[127.0.0.1]:25 bzw. example.de smtp:[mx01.example.com]:25 Nun hab ich aber zwei Hosts beim Empfänger. Ich bin mir nicht sicher ob das hier nun zum Erfolg führen würde, oder ob ich mir damit irgendein verstecktes Problem ins Nest pflanze: example.de smtp:[mx01.example.com]:25 smtp:[mx02.example.com]:25 Any idea? ttyl Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWJltIAAoJEAdOz2FQpr/tkeMP/3+sazCFnQjXFy3vtcElKBBT P2K1r1khA8w3dVO3R0X/jK16X7yb3ilNKD4CBuIXL0ZtiJnfLndGWzibpgh/9G2v k3C6UWvbaDVsAvd+oTPbp9/301gi7srFSFrRXyEZisGafaGy7Pa/PFHhyffg/ea1 qFJwcZ5BR+LIG++SXjbFyH3Gl3pXurSDcx9TjnyJDSV4PhlIIlpqH7jbJbRuQuVK vTOiWdkcu9QBVOOKQWQUqCXwCanxCZv0h/MRJP/6S1FCjOtrqBOaYLUj2ZIqMM/J qY191NDG2ACeSP55fOaWubWs8FeBGm2YkZkmIIgBlM7FN8PsRRIg0zV1MVdyFiw/ mS0oRL6UqRtI/bzEXWM72ygMxC9nrmzX+gqeCn/BZO4Ph42JN9hg0oEYgkoVUv+I 46HTMcCdQrqHPOwScDfvx+CP6kdHH1ukz8RMN3W1mBibonKVNAmSvUKZzg6SYzHG fsA11NMzAgRw5XNoSKBE5wHmPAGjvNXMPpVMP28VA5mehNvTvU4Pd83WEda3yNBW eMfR7jmRwc8xZhG3xsutTO4+VJ/6iUExtBIOFZYAivpbFqtByyVk5gz9BdtfZ0An 7SoqzI1/ffCUvUoeTYGihInxL23RzVHZZQnJg/q3+ak95b5mUrilkvOYxje28jC8 43qSlUCiSFSsI33cD6X1 =MyfT -----END PGP SIGNATURE----- From jwinkelmann at rapidsoft.de Tue Oct 20 17:23:14 2015 From: jwinkelmann at rapidsoft.de (Winkelmann, Jan-Simon) Date: Tue, 20 Oct 2015 15:23:14 +0000 Subject: AW: Transport auf Basis von $mynetworks konfigurierbar? In-Reply-To: <5625DBEA.6040306@datev.de> References: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> <5624FBBC.50205@fuerstenberg.ws> <56253AA1.2080409@rapidsoft.de> <5625DBEA.6040306@datev.de> Message-ID: <67AF32B5B00A5B41BE959C4931CFD6C227032C18@EX10MBOX1G.hosting.inetserver.de> Hey Andreas, > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Andreas Schulze > Gesendet: Dienstag, 20. Oktober 2015 08:15 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Transport auf Basis von $mynetworks konfigurierbar? > > Am 19.10.2015 um 20:46 schrieb Jan-Simon Winkelmann: > > Ich möchte, dass alle Mails die lokal angenommen werden (Also Loopback > oder > > Maildrop) direkt versendet werden. Alles was von Extern rein kommt, soll > > in einem eigenen queuehandler-transport landen. > > > gön' Dir 2 separate postfix Instanzen. > jede Instanz für sich hat dann auch wieder eine relativ einfache > Konfiguration. > Danke für den Tipp, habe ich jetzt mal gemacht. Läuft alles soweit gut, allerdings hab ich im postmulti-setup jetzt Probleme mit sasl: Oct 20 17:12:52 staging postfix-in/smtpd[12512]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory Hatte erst getippt, dass entweder der Pfad zum sasl socket oder die Berechtigungen darauf nicht passen, passt aber alles. Habe sogar cyrus_sasl_config_path = /etc/postfix-in/sasl gesetzt, bringt mich aber auch irgendwie nicht weiter. Hast du (oder jemand anders) da evtl. ne Idee? Gruß Jan From p at sys4.de Tue Oct 20 17:32:43 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 20 Oct 2015 17:32:43 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56265B48.8050002@nausch.org> References: <56265B48.8050002@nausch.org> Message-ID: <20151020153243.GM28443@sys4.de> * Django : > Griaseich! > > Bei einem Kunden habe ich folgende Besonderheit: > > Eine Zieldomäne war ist über 4 MXe ereichbar, die "ganz normal" via MX > Einträge im DNS auflösbar sind. > > z.B.: > 10 mailin02-example.de. > 10 mailin03-example.de. > 10 mailin04-example.de. > 10 mailin01-example.de. > > Nun sollen aber jetzt die eMails nicht (mehr) über diese Einträge zum > Zielsystem geschickt werden, sondern abweichend davon an die beiden > hosts mx01.example.com und mx02.example.com > > Soweit so gut, wäre nur ein Zielhost wäre die Sache relativ einfach, > Der folgende Eintrag in der tranport_maps würde ja genügen: > > example.de smtp:[127.0.0.1]:25 > > bzw. > > example.de smtp:[mx01.example.com]:25 > > Nun hab ich aber zwei Hosts beim Empfänger. > > Ich bin mir nicht sicher ob das hier nun zum Erfolg führen würde, oder > ob ich mir damit irgendein verstecktes Problem ins Nest pflanze: > > example.de smtp:[mx01.example.com]:25 > smtp:[mx02.example.com]:25 Das kann und will Postfix nicht. > Any idea? Ja. Lokales DNS, in dem Du für example.de die beiden MXe mx01.example.com und mx02.example.com einträgst. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From kai_postfix at fuerstenberg.ws Tue Oct 20 17:37:22 2015 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Tue, 20 Oct 2015 17:37:22 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56265B48.8050002@nausch.org> References: <56265B48.8050002@nausch.org> Message-ID: <56265FB2.8080502@fuerstenberg.ws> Am 20.10.2015 um 17:18 schrieb Django: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Griaseich! > > Bei einem Kunden habe ich folgende Besonderheit: > > Eine Zieldomäne war ist über 4 MXe ereichbar, die "ganz normal" via MX > Einträge im DNS auflösbar sind. > > z.B.: > 10 mailin02-example.de. > 10 mailin03-example.de. > 10 mailin04-example.de. > 10 mailin01-example.de. > > Nun sollen aber jetzt die eMails nicht (mehr) über diese Einträge zum > Zielsystem geschickt werden, sondern abweichend davon an die beiden > hosts mx01.example.com und mx02.example.com > > Soweit so gut, wäre nur ein Zielhost wäre die Sache relativ einfach, > Der folgende Eintrag in der tranport_maps würde ja genügen: > > example.de smtp:[127.0.0.1]:25 > > bzw. > > example.de smtp:[mx01.example.com]:25 > > Nun hab ich aber zwei Hosts beim Empfänger. > > Ich bin mir nicht sicher ob das hier nun zum Erfolg führen würde, oder > ob ich mir damit irgendein verstecktes Problem ins Nest pflanze: > > example.de smtp:[mx01.example.com]:25 > smtp:[mx02.example.com]:25 > > > Any idea? du könntest über eine SQL-Abfrage einen der Server per Zufallsfunktion zurückgeben lassen... -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Tue Oct 20 17:53:40 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 20 Oct 2015 17:53:40 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56265B48.8050002@nausch.org> References: <56265B48.8050002@nausch.org> Message-ID: <56266384.4090007@heinlein-support.de> Am 20.10.2015 um 17:18 schrieb Django: > Nun hab ich aber zwei Hosts beim Empfänger. Das geht nicht einfach so per transport_maps. Was geht (wie damals im Kurs besprochen, ist lange her, hehehehe...) eine "Meta-Domain" einzrichten. Wir haben das damals MX-Routing genannt. dummyname.meinedomain-irgendwas.de MX 10 mx01.example.com dummyname.meinedomain-irgendwas.de MX 10 mx02.example.com und dann example.de smtp:dummyname.meinedomain-irgendwas.de (ohne eckige Klammern!) Die "mißbrauchte" Domain kann irgendeine sein. Muß ja nichts mit dem Empfänger zu tun haben. Hauptsache, sie spuckt die zwei MX-Records aus. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From jwinkelmann at rapidsoft.de Tue Oct 20 18:01:55 2015 From: jwinkelmann at rapidsoft.de (Winkelmann, Jan-Simon) Date: Tue, 20 Oct 2015 16:01:55 +0000 Subject: AW: Transport auf Basis von $mynetworks konfigurierbar? In-Reply-To: <67AF32B5B00A5B41BE959C4931CFD6C227032C18@EX10MBOX1G.hosting.inetserver.de> References: <67AF32B5B00A5B41BE959C4931CFD6C227032152@EX10MBOX1G.hosting.inetserver.de> <5624FBBC.50205@fuerstenberg.ws> <56253AA1.2080409@rapidsoft.de> <5625DBEA.6040306@datev.de> <67AF32B5B00A5B41BE959C4931CFD6C227032C18@EX10MBOX1G.hosting.inetserver.de> Message-ID: <67AF32B5B00A5B41BE959C4931CFD6C227032C3D@EX10MBOX1G.hosting.inetserver.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Winkelmann, Jan-Simon > > Danke für den Tipp, habe ich jetzt mal gemacht. Läuft alles soweit gut, > allerdings hab ich im postmulti-setup jetzt Probleme mit sasl: Kommando zurück, habe das Problem endlich gefunden. Natürlich mal wieder das gute alte chroot. Sasl muss natürlich den socket im richtigen chroot directory erstellen. Gruß Jan From django at piratenpartei-bayern.de Tue Oct 20 18:11:00 2015 From: django at piratenpartei-bayern.de (Django) Date: Tue, 20 Oct 2015 18:11:00 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56266384.4090007@heinlein-support.de> References: <56265B48.8050002@nausch.org> <56266384.4090007@heinlein-support.de> Message-ID: <56266794.1000802@piratenpartei-bayern.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 HI Peer, Am 20.10.2015 um 17:53 schrieb Peer Heinlein: > Was geht (wie damals im Kurs besprochen, ist lange her, > hehehehe...) Hey, das ist lange her, ausserdem werd ich alt und nehme Drogen! Dass ich da was vergesse, ist O.K. meinte der Doc letzte Woche. > eine "Meta-Domain" einzrichten. Wir haben das damals MX-Routing > genannt. > > dummyname.meinedomain-irgendwas.de MX 10 mx01.example.com > dummyname.meinedomain-irgendwas.de MX 10 mx02.example.com > > und dann > > example.de smtp:dummyname.meinedomain-irgendwas.de O.K., werd da mal mit den DNS-Dummies ähh Admins reden - mal sehen, ob die das verstehen. > (ohne eckige Klammern!) Achso, besser runde ()! :P > Die "mißbrauchte" Domain kann irgendeine sein. Muß ja nichts mit > dem Empfänger zu tun haben. Hauptsache, sie spuckt die zwei > MX-Records aus. Danke für den Tip. BTW hast Du Marc Martinec erreichen können? Servus Django -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBCAAGBQJWJmeUAAoJEAdOz2FQpr/tPqgP/2Sav2f0/FNQ+da6Vkrc/Pm1 x5k5gngOTLTRRdRbzIdW4y8/8D1UZoKrXvA5wQsABY9lrlU+z08ifFXyp1g+h2wv JtLlbKfLtbnoW1gIJ6RGhSQP5G0a3F2QsR+z1pabVcIHsxyDl//8db3Fw46TMQQR PQz1JNDfldXBcNzIkSPWCT6HmTE10QmjIgzRxesr4VIXhlCH/UswwNplNYozCy4y 5HG4YaVu0d0zm3yn41fo6G2nljSwLcyk3KiE0TBhPyz0G6O3e4JEfRCSYuAFf53F UiaYFMCla523vx9BW0+PLCMklgibf2WgZyU1c41eR1A7Z2xwfpJw/7IqlfhCZLR9 Xa92+DnyTi7ZiiD5pFihDPgmbMfrnUgD6nT4rPDcb7x9xhCMbsgQjQjHNVuJsfN7 YtSP0SijjBdlDj3e8sLT0sQ56b746Pvcf8IrgSxZ57DHBhDpltOdsybT7OZRGRzA IiVe8LG69XlLpS26eL4KGA5qSxyeanllLJL+jvy3Fpduq0BuuDDqVV4gw90GJbGF i8/0FUqttPYfhA55rxViTuOYFOytz4CLXi6q1PCrjKDn3OvzJzcDyFTkGFO6Etp8 6++Qqj+ipIeWrY1CWinP3IKUSupOjMZiXHsqEi35EgWVP6ke10oGZJgTdIczU2/h gk4uxFMpD3TqBtq+06VN =RHNQ -----END PGP SIGNATURE----- From andreas.schulze at datev.de Tue Oct 20 20:50:07 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 20 Oct 2015 20:50:07 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56265B48.8050002@nausch.org> References: <56265B48.8050002@nausch.org> Message-ID: <56268CDF.1040808@datev.de> Am 20.10.2015 um 17:18 schrieb Django: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Griaseich! > > Bei einem Kunden habe ich folgende Besonderheit: > > Eine Zieldomäne war ist über 4 MXe ereichbar, die "ganz normal" via MX > Einträge im DNS auflösbar sind. > > z.B.: > 10 mailin02-example.de. > 10 mailin03-example.de. > 10 mailin04-example.de. > 10 mailin01-example.de. > > Nun sollen aber jetzt die eMails nicht (mehr) über diese Einträge zum > Zielsystem geschickt werden, sondern abweichend davon an die beiden > hosts mx01.example.com und mx02.example.com > > Soweit so gut, wäre nur ein Zielhost wäre die Sache relativ einfach, > Der folgende Eintrag in der tranport_maps würde ja genügen: > > example.de smtp:[127.0.0.1]:25 > > bzw. > > example.de smtp:[mx01.example.com]:25 > > Nun hab ich aber zwei Hosts beim Empfänger. > > Ich bin mir nicht sicher ob das hier nun zum Erfolg führen würde, oder > ob ich mir damit irgendein verstecktes Problem ins Nest pflanze: > > example.de smtp:[mx01.example.com]:25 > smtp:[mx02.example.com]:25 > > > Any idea? > aktuelle Postfix Versionen kennen "randmap" http://www.postfix.org/DATABASE_README.html#types "An in-memory table that performs random selection. Example: "randmap :{/result_1 . ..., result_n /}". Each table query returns a random choice from the specified results. The first and last characters of the "randmap :" table name must be "{" and "}". Within these, individual maps are separated with comma or whitespace." Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From p.heinlein at heinlein-support.de Tue Oct 20 20:53:37 2015 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 20 Oct 2015 20:53:37 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56268CDF.1040808@datev.de> References: <56265B48.8050002@nausch.org> <56268CDF.1040808@datev.de> Message-ID: <56268DB1.7010503@heinlein-support.de> Am 20.10.2015 um 20:50 schrieb Andreas Schulze: > aktuelle Postfix Versionen kennen "randmap" Ja, aber dann gibt's keinen Lookup-Key um das spezifisch für ein Ziel zu triggern. Dann haben /alle/ transport-Map-Abfragen immer einen Wert aus randmap als Ergebnis. Oder habe ich jetzt einen Denkfehler? Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From Jogie at quantentunnel.de Wed Oct 21 09:45:13 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Wed, 21 Oct 2015 09:45:13 +0200 Subject: Aw: Re: AW: openDMARC Konfiguration in einer AMaViS Proxy Filter Konfiguration Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Jogie at quantentunnel.de Wed Oct 21 09:56:36 2015 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Wed, 21 Oct 2015 09:56:36 +0200 Subject: openDMARC Logging Message-ID: Hallo Postfix Freunde, seit einigen Wochen habe ich openDMARC laufen. Die DKIM Prüfung erfolgt via openDKIM und die SPF Prüfung soll openDMARC selbst erledigen(SPFIgnoreResults true UND SPFSelfValidate true). Leider bekomme ich ein dmarc=fail, obwohl SPF korrekt ist. Wie kann ich rausfinden, ob openDMARC die SPF-Prüfung korrekt durchführt? Ein Beispiel vom computeruniverse Newsletter lässt mich vermuten, dass openDMARC SPF Prüfungen nicht korrekt ausführt? Mein Server erhält die E-Mail von smtp2.computeruniverse.net. Laut SPF ist das erlaubt: V:\>nslookup -q=TXT computeruniverse.net Server: localhost Address: 127.0.0.1 Nicht autorisierende Antwort: computeruniverse.net text = "v=spf1 ip4:52.28.53.195 ip4:46.227.132.154 ip4:193.158.225.202 a mx a:mx1.computeruniverse.net a:mx2.computeruniverse.net a:smtp.computeruniverse.net a:smtp2.computeruniverse.net -all" DMARC-Regel ist gesetzt: V:\>nslookup -q=TXT _dmarc.computeruniverse.net Server: localhost Address: 127.0.0.1 Nicht autorisierende Antwort: _dmarc.computeruniverse.net text = "v=DMARC1; p=quarantine; pct=100; aspf=r" Eine DKIM-Signatur existiert nicht. Hatte von euch jemand dasselbe Problem und eine Lösung dafür? Danke & Gruß Jörg From daniel at ist-immer-online.de Wed Oct 21 13:20:47 2015 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 21 Oct 2015 13:20:47 +0200 Subject: AW: openDMARC Logging In-Reply-To: References: Message-ID: <000601d10bf2$892639f0$9b72add0$@ist-immer-online.de> Hallo Jörg, was soll ohne Signatur denn geprüft und verifiziert werden? Postfix auch ab Version 2.11 vorhanden? Gruß Daniel > Eine DKIM-Signatur existiert nicht. From andreas.schulze at datev.de Wed Oct 21 13:28:59 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 21 Oct 2015 13:28:59 +0200 Subject: openDMARC Logging In-Reply-To: References: Message-ID: <562776FB.8030806@datev.de> Am 21.10.2015 um 09:56 schrieb "Jörg Sitek": > die SPF Prüfung soll openDMARC selbst erledigen(SPFIgnoreResults true UND SPFSelfValidate true). Leider bekomme ich ein dmarc=fail, obwohl SPF korrekt ist. meiner Erfahrung nach ist die SPF-Prüfung in OpenDMARC nicht so robust wie andere SPF-Checker. Wenn die Möglichkeit besteht, einen externen SPF-Checker vor OpenDMARC zu klemmen, sollte man das erstmal tun. möglichst einen Milter! z.B. https://andreasschulze.de/spf > Wie kann ich rausfinden, ob openDMARC die SPF-Prüfung korrekt durchführt? OpenDMARC sollte einen Authentication-Results header hinzufügen. Da steht das Ergebnis drin. Dieses Ergebnis muss man dann halt manuell validieren. Dazu darf man natürlich nicht gleich "RejectFailures yes" aktivieren. > Ein Beispiel vom computeruniverse Newsletter lässt mich vermuten, dass openDMARC SPF Prüfungen nicht korrekt ausführt? > Mein Server erhält die E-Mail von smtp2.computeruniverse.net. das ist keine ausreichende Aussage. Bei DMARC braucht man *IMMER* auch die From-Zeile. Genau dagegen prüft ja DMARC. Und ein SPF=pass bedeutet noch lange nicht dmarc=pass. Stichwort Alignment ... > Eine DKIM-Signatur existiert nicht. Aber p=quarantine ansagen... Helden der Arbeit! Ansonsten ist für OpenDMARC die (engliche) Mailingliste ganz hilfreich. * anmelden http://www.trusteddomain.org/mailman/listinfo/opendmarc-users * Archiv http://www.trusteddomain.org/pipermail/opendmarc-users -- A. Schulze DATEV eG From andreas.schulze at datev.de Wed Oct 21 13:35:04 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 21 Oct 2015 13:35:04 +0200 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56268DB1.7010503@heinlein-support.de> References: <56265B48.8050002@nausch.org> <56268CDF.1040808@datev.de> <56268DB1.7010503@heinlein-support.de> Message-ID: <56277868.6020507@datev.de> Am 20.10.2015 um 20:53 schrieb Peer Heinlein: > Am 20.10.2015 um 20:50 schrieb Andreas Schulze: > >> aktuelle Postfix Versionen kennen "randmap" > > Ja, aber dann gibt's keinen Lookup-Key um das spezifisch für ein Ziel zu > triggern. Dann haben /alle/ transport-Map-Abfragen immer einen Wert aus > randmap als Ergebnis. > > Oder habe ich jetzt einen Denkfehler? nee... randmap ist offenbar nicht als value innerhalb einer transport_map einsetzbar. Für das Setup vom Django klappt das also nicht :-/ Andreas From daniel at ist-immer-online.de Fri Oct 23 01:00:47 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 23 Oct 2015 01:00:47 +0200 Subject: =?iso-8859-1?Q?AW:_Account_=F6fters_mal_reaktivieren_/_bad_DKIM_signature?= =?iso-8859-1?Q?_data?= Message-ID: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Huhu, ich habe mal für einige Mails geschaut im Archiv von wem Mails kamen wo es einen reject gab wegen dkim signatur data. Dann habe ich eben mal nen nslookup gemacht mit set q=txt, dabei fehlten für die Domains jeweils der TXT Eintrag für den _domainkey gjn.priv.at sys4.de nausch.org xunil.at Bin nu was verwundert, gerade bei sys4.de die beschäftigen sich doch so intensiv mit dem ganzen. Und glaube nicht, dass google dns nur halbe DNS Einträge kennt. Sonst noch wer ne Idee, um ganze weiter zu prüfen? Macht es ein Unterschied ob Postfix 2.10 oder 2.11 läuft zwecks des Fehlerbildes? Gruß Daniel From wn at neessen.net Fri Oct 23 07:31:04 2015 From: wn at neessen.net (Winfried Neessen) Date: Fri, 23 Oct 2015 07:31:04 +0200 Subject: =?utf-8?Q?Re=3A_Account_=C3=B6fters_mal_reaktivieren_/_bad_DKIM_?= =?utf-8?Q?signature_data?= In-Reply-To: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Message-ID: <995F76E5-005E-4543-A0F5-3E230628D78F@neessen.net> Hi, Am 23.10.2015 um 01:00 schrieb Daniel : > Dann habe ich eben mal nen nslookup gemacht mit set q=txt, dabei fehlten > für die Domains jeweils der TXT Eintrag für den _domainkey > > gjn.priv.at > sys4.de > nausch.org > xunil.at > > Bin nu was verwundert, gerade bei sys4.de die beschäftigen sich doch so intensiv > mit dem ganzen. Also mein DNS gibt mir fuer sys4.de entsprechende DKIM public keys zurück: $ dig +short -t txt mail201310._domainkey.sys4.de "v=DKIM1\; p=" "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3+AXaoYmFS7aV3hnzBU9" "z6rNIh5VO3me3e9DGnG0VYQeVMSvB1aJBOctEOQXut8++q8o4EDJ8LljN0J9zKA0" "uovw1oJToEPEyH9rL5pzxMJ/75huYi8XNVIZNj4aRjxvC5ZG5UZ8k3UtfQq38fzM" "v9SYZi+Gt6fq3gfxcxtsS5Wb0HJzrErWfTz/Vi43fMp+81c6BPxercXJBFOHTG4S" "3maq4dyoZNN8VrXMaji5yHbwOEQQ8+kFam/16Y6+szSDO89l9J/NHY4kTYwfgO9R" "CN8AZCUYqCNT7PO9t9lDzgqFfJU3PR2YHbxfLGcsxi36ff9CiTHITKNpS5PEQt97" ?wwIDAQAB" Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From tech at kdmails.de Fri Oct 23 08:10:45 2015 From: tech at kdmails.de (Daniel Gompf) Date: Fri, 23 Oct 2015 08:10:45 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren_/_bad_DKIM_signa?= =?UTF-8?Q?ture_data?= In-Reply-To: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Message-ID: <5629CF65.7080704@kdmails.de> Hallo, du solltest nicht nur nach _domainkey.domain.tld suchen. Schau nach dem s=xxx im DKIM-Sginature: Header und dann suchst du nach dem TXT-Record für xxx._domainkey.domain.tld Am 23.10.2015 um 01:00 schrieb Daniel: > Huhu, > > ich habe mal für einige Mails geschaut im Archiv von wem Mails kamen wo es einen reject gab wegen dkim signatur data. > > Dann habe ich eben mal nen nslookup gemacht mit set q=txt, dabei fehlten für die Domains jeweils der TXT Eintrag für den _domainkey > > gjn.priv.at > sys4.de > nausch.org > xunil.at > > Bin nu was verwundert, gerade bei sys4.de die beschäftigen sich doch so intensiv mit dem ganzen. > > Und glaube nicht, dass google dns nur halbe DNS Einträge kennt. > > Sonst noch wer ne Idee, um ganze weiter zu prüfen? > > Macht es ein Unterschied ob Postfix 2.10 oder 2.11 läuft zwecks des Fehlerbildes? > > Gruß Daniel > > From klaus at tachtler.net Fri Oct 23 08:57:31 2015 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 23 Oct 2015 08:57:31 +0200 Subject: AW: Account =?utf-8?b?w7ZmdGVycw==?= mal reaktivieren / bad DKIM signature data In-Reply-To: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Message-ID: <20151023085731.Horde.g994BVbeK8XXdg6UDvaptQp@buero.tachtler.net> Hallo, > Huhu, > > ich habe mal für einige Mails geschaut im Archiv von wem Mails kamen > wo es einen reject gab wegen dkim signatur data. > > Dann habe ich eben mal nen nslookup gemacht mit set q=txt, dabei > fehlten für die Domains jeweils der TXT Eintrag für den _domainkey > > gjn.priv.at > sys4.de > nausch.org # dig 140224._domainkey.nausch.org TXT ; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.5 <<>> 140224._domainkey.nausch.org TXT ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48081 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 7 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;140224._domainkey.nausch.org. IN TXT ;; ANSWER SECTION: 140224._domainkey.nausch.org. 3600 IN TXT "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuJ3/CruOs3fCU0ujOStc" "NN85TJh+5HvMa9m99C5XuRBlxOr+fp5BeIEtiPO0szKvvPojwrueCq0oOuEzjR/i" "2ObpRkzKRUXmAa0qVezUZwQIbKeiuKII0PnpQclDrmQrzSXcQWPT57tkPg17Q9Wa" "mFUUaHeN3+pVGtMyjYekRaAoRlV+a1gD111kXMPhiaFTMIncoRBS/gYN8FjfekH+" "ezqbLHLB8DLJQBZEGUILvJjAHX0722XyqYtkn1qfv63nPRGw/qqAW1072Gchq4ZS" "4ZPQ89SrK4KcHt/XptSlztXMWtmRFQriHdvbjr1Fx7ZwXdTQ+ik2AUZLMdhMrQe6" "/1GujQiMD6po81NpYbrjnfd+QF4sUbus4wPQKVNzsctiuzGlWsFexSHP4dAZtKnI" "mJhVDnzZODQy0nSafedlr5g4VR36vgm0YPWjSyRNnC/APHyw0DtHIrzTqfKuDeGv" "80uMPbEdujrw9gLbK3H8ow42iTicmgPgT3J5j70ZOo4o4FMtpZ/AEQw+VnWpSfw7" "bkMjufLc29XHbtp22wfgq2Lmarr3+psaHokFaQrImkMbzdSL9CdabkLptanAilLS" "cvq8UaKVC+G1+vHDgaweq3BhXD5+YcJnJlp4msUqqxGYlnx4RSvv8PipMU2DsVFb" "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ==" ;; AUTHORITY SECTION: nausch.org. 9018 IN NS ns1.core-networks.de. nausch.org. 9018 IN NS ns2.core-networks.eu. nausch.org. 9018 IN NS ns3.core-networks.com. ;; ADDITIONAL SECTION: ns1.core-networks.de. 9018 IN A 194.213.5.254 ns1.core-networks.de. 9018 IN AAAA 2001:1bc0:d::fffe ns2.core-networks.eu. 9018 IN A 78.111.72.98 ns2.core-networks.eu. 9018 IN AAAA 2a02:f98:0:22::ffff ns3.core-networks.com. 95418 IN A 82.96.73.254 ns3.core-networks.com. 95418 IN AAAA 2001:1bc0:d::ffff ;; Query time: 109 msec ;; SERVER: 10.7.0.20#53(10.7.0.20) ;; WHEN: Fri Oct 23 08:55:54 CEST 2015 ;; MSG SIZE rcvd: 1064 Wo ist das Problem? > xunil.at > > Bin nu was verwundert, gerade bei sys4.de die beschäftigen sich doch > so intensiv mit dem ganzen. > > Und glaube nicht, dass google dns nur halbe DNS Einträge kennt. > > Sonst noch wer ne Idee, um ganze weiter zu prüfen? > > Macht es ein Unterschied ob Postfix 2.10 oder 2.11 läuft zwecks des > Fehlerbildes? > > Gruß Daniel Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From klaus at tachtler.net Fri Oct 23 08:59:51 2015 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 23 Oct 2015 08:59:51 +0200 Subject: AW: Account =?utf-8?b?w7ZmdGVycw==?= mal reaktivieren / bad DKIM signature data In-Reply-To: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Message-ID: <20151023085951.Horde.o-Ypqdx0eWtPXY2BkxEkT_-@buero.tachtler.net> Hallo, > Huhu, > > ich habe mal für einige Mails geschaut im Archiv von wem Mails kamen > wo es einen reject gab wegen dkim signatur data. > > Dann habe ich eben mal nen nslookup gemacht mit set q=txt, dabei > fehlten für die Domains jeweils der TXT Eintrag für den _domainkey > > gjn.priv.at > sys4.de # dig p-sys4-de-201501._domainkey.sys4.de TXT ; <<>> DiG 9.9.4-RedHat-9.9.4-18.el7_1.5 <<>> p-sys4-de-201501._domainkey.sys4.de TXT ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28229 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;p-sys4-de-201501._domainkey.sys4.de. IN TXT ;; ANSWER SECTION: p-sys4-de-201501._domainkey.sys4.de. 3600 IN TXT "v=DKIM1\; k=rsa\; s=email\; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtw8fwuV5eKNp8n5PivB3xlCU0M8pmfDLnsK3qKfcR+39v1snGQgwWVp5LcnY/V5dEyCHKRYKZiiQL4iXLa7LB9jiENMPwvU8QiWuZ16LIaspyyn79SxAMXl3learO03eTVp/Hsrd5SQFJd+XLjnpqxAMhff6akUNjd4HuYSZ5Y0CmooqyaRn5nS5IT7IVtB1AiMxg+pPAjh/0u" "eyqFdFx1wNTzdC05JkeEC675xnYtNrC/RmeFsuLwRGIqZmNRVKjQ870NyOusfwifEgnEbBrOQ5/DeKDyz2Azlzh/he0lKm4QBtwoPZ68CnLbgtoark33f9DzdqLHEssuD0vnrEYQIDAQAB" ;; AUTHORITY SECTION: sys4.de. 3600 IN NS ns.schiffbauer.net. sys4.de. 3600 IN NS ns.sys4.de. ;; ADDITIONAL SECTION: ns.sys4.de. 86400 IN A 194.126.158.143 ns.schiffbauer.net. 172800 IN A 188.40.110.137 ns.schiffbauer.net. 86400 IN AAAA 2a01:4f8:100:8443::2 ;; Query time: 208 msec ;; SERVER: 10.7.0.20#53(10.7.0.20) ;; WHEN: Fri Oct 23 08:58:59 CEST 2015 ;; MSG SIZE rcvd: 607 Wo ist das Problem? > nausch.org > xunil.at > > Bin nu was verwundert, gerade bei sys4.de die beschäftigen sich doch > so intensiv mit dem ganzen. > > Und glaube nicht, dass google dns nur halbe DNS Einträge kennt. > > Sonst noch wer ne Idee, um ganze weiter zu prüfen? > > Macht es ein Unterschied ob Postfix 2.10 oder 2.11 läuft zwecks des > Fehlerbildes? > > Gruß Daniel Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From Django Fri Oct 23 09:04:16 2015 From: Django (Django) Date: Fri, 23 Oct 2015 09:04:16 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren_/_bad_DKIM_signa?= =?UTF-8?Q?ture_data?= In-Reply-To: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Message-ID: <5629DBF0.3000700@nausch.org> HI! Am 23.10.2015 um 01:00 schrieb Daniel: > Und glaube nicht, dass google dns nur halbe DNS Einträge kennt. frag doch mal den zuständigen DNS dfür die jeweilige Domain. ttyl Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From Django Fri Oct 23 09:10:56 2015 From: Django (Django) Date: Fri, 23 Oct 2015 09:10:56 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren_/_bad_DKIM_signa?= =?UTF-8?Q?ture_data?= In-Reply-To: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> Message-ID: <5629DD80.5080602@nausch.org> HI! Am 23.10.2015 um 01:00 schrieb Daniel: > Dann habe ich eben mal nen nslookup gemacht mit set q=txt, dabei fehlten für die Domains jeweils der TXT Eintrag für den _domainkey > > nausch.org Also dann kucken wir doch mal: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=nausch.org; h= content-transfer-encoding:content-type:content-type:in-reply-to :mime-version:user-agent:date:date:message-id:from:from :references:subject:subject:received:received; s=140224; t= 1445583857; x=1447398258; bh=Ty95HUr1zXFIM4NpKRlDJ/9J3SMLiPcO94X vL5XrVA4=; b=oKjZsnAsvSDieZvsEPqlZiaywzTCWioE+bWNyfQiIIYbcEsFTEP 2wh8KC8Wc+KfQmiGZeQ8BO2Qg3nPxK0+E6QTMe3C4FBatQYOot7xpv9CwnrXK7ox jkEAQpl1nvB9oAYzDY2tlK8ZMf6DPSKNocN4vbOA1cmjvS75ssSKpCjincBYkBJb Y6cJXU5qb5NpBhsHEDfTsaAfgcqwVx3KNEdCXDu1Nvg8pNwGpwsjOQwAqJ+DlSf6 b0SLtBkGqFPTHNRjnH0TBiwFbmdDOSBvh5I2nuG/V+zHp+CuG0a0xDsU0LtSlP20 pQT8Dc5rFilbJakmA4kIQFn1RfBBu9GlM5qmgiaiTyV1efgGVrWt+qtobizSj/mi pZAqInD27hZik5J5+vGW6KM7DKuMvGvkn418EiCCmeZyjCStD6J9gK7I9vP35B4z F4KL/z2WJ1flCUGlHaP4VgFSQ626FJGt3ZIv6DAnC8Tlk8SZy39wHG9jS/hMM2nr r54YZ0zO2xhWxtyqcVF/Cv7mR7ODa+WowBHVBRajV1/WDdYuuQQbQ98RP/GgIzIO 3WyjoH5CLhfI8ftf50GIV9BZwBqD1wtjOrV5NqQA48oIqgDGIdIw3YLcdWfuN/zZ TrrEVemfJXlP5/KD5YtTiLQbl/4tGxVpf2YrEvRhQW/+95Io0emmIVbc= Der selector ist also s=140224 Nun fragen wir doch einfach mal nach den relavanten DNS-Eintrag. $ dig +short -t txt 140224._domainkey.nausch.org ;; Truncated, retrying in TCP mode. "v=DKIM1\; p=" "MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAuJ3/CruOs3fCU0ujOStc" "NN85TJh+5HvMa9m99C5XuRBlxOr+fp5BeIEtiPO0szKvvPojwrueCq0oOuEzjR/i" "2ObpRkzKRUXmAa0qVezUZwQIbKeiuKII0PnpQclDrmQrzSXcQWPT57tkPg17Q9Wa" "mFUUaHeN3+pVGtMyjYekRaAoRlV+a1gD111kXMPhiaFTMIncoRBS/gYN8FjfekH+" "ezqbLHLB8DLJQBZEGUILvJjAHX0722XyqYtkn1qfv63nPRGw/qqAW1072Gchq4ZS" "4ZPQ89SrK4KcHt/XptSlztXMWtmRFQriHdvbjr1Fx7ZwXdTQ+ik2AUZLMdhMrQe6" "/1GujQiMD6po81NpYbrjnfd+QF4sUbus4wPQKVNzsctiuzGlWsFexSHP4dAZtKnI" "mJhVDnzZODQy0nSafedlr5g4VR36vgm0YPWjSyRNnC/APHyw0DtHIrzTqfKuDeGv" "80uMPbEdujrw9gLbK3H8ow42iTicmgPgT3J5j70ZOo4o4FMtpZ/AEQw+VnWpSfw7" "bkMjufLc29XHbtp22wfgq2Lmarr3+psaHokFaQrImkMbzdSL9CdabkLptanAilLS" "cvq8UaKVC+G1+vHDgaweq3BhXD5+YcJnJlp4msUqqxGYlnx4RSvv8PipMU2DsVFb" "NJSH5NJuS7GuzplNg+f20ysCAwEAAQ==" > Sonst noch wer ne Idee, um ganze weiter zu prüfen? woot? Servus Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From p at sys4.de Fri Oct 23 10:06:20 2015 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 23 Oct 2015 10:06:20 +0200 Subject: Account =?utf-8?B?w7ZmdGVy?= =?utf-8?Q?s?= mal reaktivieren / bad DKIM signature data In-Reply-To: <5629DBF0.3000700@nausch.org> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> <5629DBF0.3000700@nausch.org> Message-ID: <20151023080620.GE16285@sys4.de> * Django [BOfH] : > HI! > > Am 23.10.2015 um 01:00 schrieb Daniel: > > > Und glaube nicht, dass google dns nur halbe DNS Einträge kennt. > > frag doch mal den zuständigen DNS dfür die jeweilige Domain. Hört doch bitte auf Google nach DNS zu fragen. Verwendet lokale Resolver wie z.B. unbound und lasst die die root-Server direkt fragen. Lasttechnisch ist das kein Problem und ihr seid näher an den Infos dran. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From daniel at ist-immer-online.de Fri Oct 23 14:01:13 2015 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 23 Oct 2015 14:01:13 +0200 Subject: =?utf-8?Q?AW:_Account_=C3=B6fters_mal_reaktivie?= =?utf-8?Q?ren_/_bad_DKIM_signature_data?= In-Reply-To: <20151023080620.GE16285@sys4.de> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> <5629DBF0.3000700@nausch.org> <20151023080620.GE16285@sys4.de> Message-ID: <000b01d10d8a$83e3b000$8bab1000$@ist-immer-online.de> Hallo Patrick, Winni und anderer Daniel, ihr habt wohl den selector wohl direkt befragt, ich hatte wohl mal ne fehlerhafte Anleitung gelesen gehabt oder etwas falsch verstanden. Ich hab es so in Erinnerung, dass man den selector in Domain als TXT bekannt gibt zusätzlich. Also z.B. domain.tld IN TXT "xxx._domainkey.domain.tld" Bei euch in Anleitungen steht ja auch nichts von http://dokuwiki.nausch.org/doku.php/centos:mail_c7:mta_3 oder https://sys4.de/de/blog/2013/04/15/dmarc-standard-um-missbrauch-von-mailadressen-den-domaininhaber-zu-melden/ Also muss ich Problem woanders suchen, wieso es hier zum dkim Fehler kommt. Gruß Daniel From andreas.schulze at datev.de Fri Oct 23 14:37:21 2015 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 23 Oct 2015 14:37:21 +0200 Subject: =?UTF-8?Q?Re:_Account_=c3=b6fters_mal_reaktivieren_/_bad_DKIM_signa?= =?UTF-8?Q?ture_data?= In-Reply-To: <000b01d10d8a$83e3b000$8bab1000$@ist-immer-online.de> References: <003701d10d1d$7d7f1c30$787d5490$@ist-immer-online.de> <5629DBF0.3000700@nausch.org> <20151023080620.GE16285@sys4.de> <000b01d10d8a$83e3b000$8bab1000$@ist-immer-online.de> Message-ID: <562A2A01.609@datev.de> Am 23.10.2015 um 14:01 schrieb Daniel: > Ich hab es so in Erinnerung, dass man den selector in Domain als TXT bekannt gibt zusätzlich. > > Also z.B. domain.tld IN TXT "xxx._domainkey.domain.tld" das ist Mumpitz. Vergiss es gleich wieder. Und alle anderen Leser bitte auch! DKIM Keys findet man ausschließlich als TXT Record unter $selector._domainkey.$domain. Mehr braucht/definiert DKIM auch nicht. Es sind z.B. auch keine Daten direkt als TXT-Record für _domainkey.$domain nötig. Es gab mal zu DomainKey-Zeiten (DKIM Vorgänger) Varianten, wo eine Policy unter _domainkey.$domain publiuziert wurde. Das ist aber alles überholt. Außerdem darf man für eine 3 Monate alte E-Mail nicht /erwarten/, dass der damals verwendete DKIM-Key noch im DNS zu finden ist. Es /kann/ sein, dass der betreffende Versender nach 3 Monaten immernoch den gleichen DKIM-Key verwendet. Das ist sogar leider recht häufig (Wer mach DKIM Keyrotation? Alle schell mal an die eigene Nase fassen :-) Aber eine Gewähr dafür gibt es nicht. DKIM-Keys sind für MTA Kommunikation relevant. Und nach maximal einer Woche Queue-Unschärfe muss kein MTA eine DKIM-Signatur erneut validieren. Bestes Beispiel ist dieses "DKIM-Validator Plugin für Thunderbird". DKIM wurde nie dafür gemacht, im MUA augewertet zu werden! Das Plugin funktioniert - wenn überhaupt - per Definition nur bei /aktuellen/ Mails. > Also muss ich Problem woanders suchen, wieso es hier zum dkim Fehler kommt. hat sich Dein Problem damit erledigt? -- A. Schulze DATEV eG From Django Mon Oct 26 09:43:35 2015 From: Django (Django) Date: Mon, 26 Oct 2015 09:43:35 +0100 Subject: transport_maps und merere Zielhosts/IPs In-Reply-To: <56277868.6020507@datev.de> References: <56265B48.8050002@nausch.org> <56268CDF.1040808@datev.de> <56268DB1.7010503@heinlein-support.de> <56277868.6020507@datev.de> Message-ID: <562DE7B7.8030900@nausch.org> HI! Am 21.10.2015 um 13:35 schrieb Andreas Schulze: > randmap ist offenbar nicht als value innerhalb einer transport_map > einsetzbar. Für das Setup vom Django klappt das also nicht :-/ Danke für die vielen Anregungen; ich hab das nun über den Weg "DNS" gelöst. Läuft sauber und stabil; O.K. sonst hätte Peer das nicht vorgeschlagen. ;) Servus Django -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django From listen at kielgas.org Tue Oct 27 12:30:53 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Tue, 27 Oct 2015 12:30:53 +0100 (CET) Subject: MX Record Probleme bei Outlook/Exchange Message-ID: <1282761250.126.1445945453442.open-xchange@kielgas.org> Hallo Liste, ich habe mal wieder ein Problem mit einem externen Server, auf dem meines Wissens ein Exchange läuft. Mails auf dem externen Server (von United Internet) an Vorname.Name at abc-bundesland.de werden umgeleitet auf meinen Server mit Vorname.Name at mail.abc-stadt.de Dies hat über die Jahre gut funktioniert. Nun werden die Mails von dem externen Server abgewiesen mit dem Grund: domain has no mail exchanger Der MX Record von abc-stadt.de lautet: abc-stadt.de. 21599 IN MX 10 mail.abc-stadt.de. Der mail exchanger ist also vorhanden. Nur wird wohl der Domain-Teil der Mailadresse komplett als Domain angenommen und er MX Record müsste dann mail.mail.abc-stadt.de lauten. Das ist doch Schwachsinn oder bin ich gerade auf ein RFC getreten? Ich ändere jetzt die Weiterleitungsadressen auf Vorname.Name at abc-stadt.de, das funktioniert soweit. Mich interessiert, ob ich die Jahre das Ganze falsch konfiguriert habe oder ob der 1&1-Admin/Exchange-Server wieder die RFCs verbiegt? Lieben Gruß -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From gregor at a-mazing.de Tue Oct 27 12:45:35 2015 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 27 Oct 2015 12:45:35 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: <1282761250.126.1445945453442.open-xchange@kielgas.org> References: <1282761250.126.1445945453442.open-xchange@kielgas.org> Message-ID: <201510271245.36229@office.a-mazing.net> Hallo Uwe, Am Dienstag, 27. Oktober 2015 schrieb Uwe Kielgas: > Mails auf dem externen Server (von United Internet) an > Vorname.Name at abc-bundesland.de werden umgeleitet auf meinen Server mit > Vorname.Name at mail.abc-stadt.de > Dies hat über die Jahre gut funktioniert. > Nun werden die Mails von dem externen Server abgewiesen mit dem Grund: > domain has no mail exchanger > > Der MX Record von abc-stadt.de lautet: abc-stadt.de. 21599 IN > MX 10 mail.abc-stadt.de. damit dieser MX-Record zur Empfängeradresse passt müsste er lauten: mail.abc-stadt.de. 21599 IN MX 10 mail.abc-stadt.de. Das hat bisher funktioniert, weil in Abwesenheit eines MX-Records der A-Record für die Mailzustellung verwendet wird. Das scheint der externe Server jetzt nicht mehr zu berücksichtigen, daher die Fehlermeldung. Für eine detailierte Aussage wären die echten Domains hilfreich. hth Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From r.sander at heinlein-support.de Tue Oct 27 12:48:26 2015 From: r.sander at heinlein-support.de (Robert Sander) Date: Tue, 27 Oct 2015 12:48:26 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: <1282761250.126.1445945453442.open-xchange@kielgas.org> References: <1282761250.126.1445945453442.open-xchange@kielgas.org> Message-ID: <562F648A.2080401@heinlein-support.de> On 27.10.2015 12:30, Uwe Kielgas wrote: > Nun werden die Mails von dem externen Server abgewiesen mit dem Grund: > domain has no mail exchanger Da hält sich wohl einer nicht an der RFC2821, der besagt, daß sowohl MX wie auch A record zum Bestimmen des Zielservers herangezogen werden. DER RFC2821 ist allerdings erst aus dem Jahre 2001, gab es dort evtl ein Downgrade auf eine ältere Mailserversoftware? Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: OpenPGP digital signature URL : From listen at kielgas.org Tue Oct 27 13:36:32 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Tue, 27 Oct 2015 13:36:32 +0100 (CET) Subject: MX Record Probleme bei Outlook/Exchange Message-ID: <1899953644.138.1445949392257.open-xchange@kielgas.org> Hallo Gregor, > Gregor Hermens hat am 27. Oktober 2015 um 12:45 > geschrieben: . > > Für eine detailierte Aussage wären die echten Domains hilfreich. hier sind die echten Domains: die Mails werden gesendet an: vlf-brandenburg.de bisher weitergeleitet an: mail.vlf-potsdam.de (werden abgewiesen, wegen fehlendem mx Record) jetzt geändert in vlf-potsdam.de (funktioniert) der mx Record lautet: vlf-potsdam.de. 21599 IN MX 10 mail.vlf-potsdam.de. Der A Record lautet: mail.vlf-potsdam.de. 172800 IN A 217.6.137.234 Liebe Grüße -- Uwe Kielgas Nicht das Erreichte zählt das Erzählte reicht -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45899 bytes Beschreibung: nicht verfügbar URL : From wn at neessen.net Tue Oct 27 13:51:11 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 27 Oct 2015 13:51:11 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: <1899953644.138.1445949392257.open-xchange@kielgas.org> References: <1899953644.138.1445949392257.open-xchange@kielgas.org> Message-ID: Hi, Am 2015-10-27 13:36, schrieb Uwe Kielgas: > die Mails werden gesendet an: vlf-brandenburg.de > bisher weitergeleitet an: mail.vlf-potsdam.de (werden abgewiesen, wegen > fehlendem mx Record) > jetzt geändert in vlf-potsdam.de (funktioniert) > > der mx Record lautet: > > vlf-potsdam.de. 21599 IN MX 10 mail.vlf-potsdam.de. > Fuer mail.vlf-potsdam.de gibt es aber keinen MX Record: $ dig +short -t mx mail.vlf-potsdam.de Einige Anti-SPAM Systeme wollen aber zwingend einen MX Record haben. Daher wirds wohl geblockt. Leg' einfach einen MX an und dann ist gut. Winni From tech at kdmails.de Tue Oct 27 14:00:33 2015 From: tech at kdmails.de (Daniel Gompf) Date: Tue, 27 Oct 2015 14:00:33 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: References: <1899953644.138.1445949392257.open-xchange@kielgas.org> Message-ID: <562F7571.1030801@kdmails.de> Hallo Am 27.10.2015 um 13:51 schrieb Winfried Neessen: > Hi, > > Am 2015-10-27 13:36, schrieb Uwe Kielgas: > >> die Mails werden gesendet an: vlf-brandenburg.de >> bisher weitergeleitet an: mail.vlf-potsdam.de (werden abgewiesen, >> wegen fehlendem mx Record) >> jetzt geändert in vlf-potsdam.de (funktioniert) >> >> der mx Record lautet: >> >> vlf-potsdam.de. 21599 IN MX 10 mail.vlf-potsdam.de. >> > > Fuer mail.vlf-potsdam.de gibt es aber keinen MX Record: > > $ dig +short -t mx mail.vlf-potsdam.de > > > Einige Anti-SPAM Systeme wollen aber zwingend einen MX Record haben. > Daher wirds wohl geblockt. > Leg' einfach einen MX an und dann ist gut. > Da habe ich mal eine Frage: Ein MX lookup auf neessen.net liefert mail.neessen.net. Ein MX lookup auf mail.neessen.net liefert keinen MX-Record. Weshalb sollte der MX-Server unbedingt einen eigenen MX-Eintrag haben? > > Winni From listen at kielgas.org Tue Oct 27 14:08:09 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Tue, 27 Oct 2015 14:08:09 +0100 (CET) Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: References: <1899953644.138.1445949392257.open-xchange@kielgas.org> Message-ID: <747562675.149.1445951289800.open-xchange@kielgas.org> Hallo Winfried, > Winfried Neessen hat am 27. Oktober 2015 um 13:51 > geschrieben: > > Einige Anti-SPAM Systeme wollen aber zwingend einen MX Record haben. > Daher wirds wohl geblockt. > Leg' einfach einen MX an und dann ist gut. ich habe ja geschrieben, dass ich es so gelöst habe, dass die Mails an vlf-potsdam.de gehen, diese Domain hat einen MX. Ich fand es nur verwunderlich, dass es (bis jetzt) jahrelang gut funktioniert hat und es passiert auch nur bei sendenden Outlook/Exchange Systemen. Dass bei fehlendem MX auf den A Record zurückgegriffen werden muss (soll) war mir so auch noch nicht klar, aber es scheint ja so zu sein, dass plötzlich alle Exchange Systeme diese Vorgabe nicht mehr leisten. Die Erklärung mit der Anti-Spam-Software wäre eine Erklärung, aber warum dann alle Outlook/Exchange Mailer? Liebe Grüße -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht From listen at kielgas.org Tue Oct 27 14:10:31 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Tue, 27 Oct 2015 14:10:31 +0100 (CET) Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: <562F7571.1030801@kdmails.de> References: <1899953644.138.1445949392257.open-xchange@kielgas.org> <562F7571.1030801@kdmails.de> Message-ID: <1449951266.152.1445951431829.open-xchange@kielgas.org> Hi, > Daniel Gompf hat am 27. Oktober 2015 um 14:00 geschrieben: > Da habe ich mal eine Frage: > Ein MX lookup auf neessen.net liefert mail.neessen.net. > Ein MX lookup auf mail.neessen.net liefert keinen MX-Record. > > Weshalb sollte der MX-Server unbedingt einen eigenen MX-Eintrag haben? > Gute Frage! Das hätte ich auch gerne mal von den Experten erklärt bekommen ;-) Liebe Grüße -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht From listen at kielgas.org Tue Oct 27 14:10:59 2015 From: listen at kielgas.org (Uwe Kielgas) Date: Tue, 27 Oct 2015 14:10:59 +0100 (CET) Subject: MX Record Probleme bei Outlook/Exchange Message-ID: <167362679.155.1445951460047.open-xchange@kielgas.org> Hi, > Daniel Gompf hat am 27. Oktober 2015 um 14:00 geschrieben: > Da habe ich mal eine Frage: > Ein MX lookup auf neessen.net liefert mail.neessen.net. > Ein MX lookup auf mail.neessen.net liefert keinen MX-Record. > > Weshalb sollte der MX-Server unbedingt einen eigenen MX-Eintrag haben? > Gute Frage! Das hätte ich auch gerne mal von den Experten erklärt bekommen ;-) Liebe Grüße -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : UweKielgas.vcf Dateityp : text/x-vcard Dateigröße : 45880 bytes Beschreibung: nicht verfügbar URL : From wn at neessen.net Tue Oct 27 14:14:15 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 27 Oct 2015 14:14:15 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: <562F7571.1030801@kdmails.de> References: <1899953644.138.1445949392257.open-xchange@kielgas.org> <562F7571.1030801@kdmails.de> Message-ID: Hi, Am 2015-10-27 14:00, schrieb Daniel Gompf: > Da habe ich mal eine Frage: > Ein MX lookup auf neessen.net liefert mail.neessen.net. > Ein MX lookup auf mail.neessen.net liefert keinen MX-Record. > Auf neessen.net empfangen wir Mails, auf mail.neessen.net aber nicht (soll heissen, es gibt keine Mailaccounts a la . > Weshalb sollte der MX-Server unbedingt einen eigenen MX-Eintrag haben? > Sollte er nur, wenn dort Mails empfangen werden sollen. Zitat RFC2821[1]: "[...] The lookup first attempts to locate an MX record associated with the name." Winni [1] = https://www.rfc-editor.org/rfc/rfc2821.txt From wn at neessen.net Tue Oct 27 14:18:44 2015 From: wn at neessen.net (Winfried Neessen) Date: Tue, 27 Oct 2015 14:18:44 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: <1449951266.152.1445951431829.open-xchange@kielgas.org> References: <1899953644.138.1445949392257.open-xchange@kielgas.org> <562F7571.1030801@kdmails.de> <1449951266.152.1445951431829.open-xchange@kielgas.org> Message-ID: <48171a63fd3167ddcbbb221f43f4222f@neessen.net> Hi, Am 2015-10-27 14:10, schrieb Uwe Kielgas: >> Weshalb sollte der MX-Server unbedingt einen eigenen MX-Eintrag haben? >> > Gute Frage! Das hätte ich auch gerne mal von den Experten erklärt > bekommen ;-) > Muss er nicht. Wie gesagt nur der Teil der Domain der Mails versendet. Einige Anti-SPAM Systeme gehen davon aus, dass wenn eine Domain Mails versendet, dass diese dann auch Mails Empfangen soll (und wenn es nur abuse@ oder postmaster@ ist). Dies ist zumindest lt. des obsoleten RFC821 (wenn ich mich nicht ganz irre) nur moeglich, wenn ein MX Record existiert. Existiert kein MX, kann das System keine DSNs versenden und stuft die Domain als SPAM ein. Macht wie gesagt nicht jedes System und wird sicher auch bei Exchange konfigurierbar sein. Winni From tech at kdmails.de Tue Oct 27 14:25:04 2015 From: tech at kdmails.de (Daniel Gompf) Date: Tue, 27 Oct 2015 14:25:04 +0100 Subject: MX Record Probleme bei Outlook/Exchange In-Reply-To: References: <1899953644.138.1445949392257.open-xchange@kielgas.org> <562F7571.1030801@kdmails.de> Message-ID: <562F7B30.3040005@kdmails.de> Hallo Am 27.10.2015 um 14:14 schrieb Winfried Neessen: > Hi, > > Am 2015-10-27 14:00, schrieb Daniel Gompf: > >> Da habe ich mal eine Frage: >> Ein MX lookup auf neessen.net liefert mail.neessen.net. >> Ein MX lookup auf mail.neessen.net liefert keinen MX-Record. >> > > Auf neessen.net empfangen wir Mails, auf mail.neessen.net aber nicht > (soll heissen, > es gibt keine Mailaccounts a la . Ja hier hast du recht wenn die E-Mails an Nutzer at mail.vlf-potsdam.de gehen, sollte da auch ein MX-Eintrag für mail.vlf-potstam.de stehen (wobei ein A reichen sollte wenn A = MX). Die ersten 3 E-Mails dieser Diskussion habe ich leider erst jetzt gesehen, waren ein eigenes Thema. > >> Weshalb sollte der MX-Server unbedingt einen eigenen MX-Eintrag haben? >> > > Sollte er nur, wenn dort Mails empfangen werden sollen. Zitat RFC2821[1]: > "[...] The lookup first attempts to locate an MX record associated with > the name." > > > Winni > > [1] = https://www.rfc-editor.org/rfc/rfc2821.txt From anmeyer at mailbox.org Sat Oct 31 11:47:25 2015 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 31 Oct 2015 11:47:25 +0100 Subject: Message-ID manipulierbar? Message-ID: <20151031114725.6d231620@itxbox.bitcorner.intern> Hallo! Kann man anhand der Message-ID, die ein MUA generiert, auf den sendenden Host schließen oder ist die manipulierbar? Es geht mir um von vermutlich Windows Live Mail verschickten Spam, bei dem offenbar auf das Adressebuch zugegriffen wird und ich würde gerne den tatsächlich sendenden Host ermitteln. Kann man Postfix dazu veranlassen, eine vom MUA generierte Message-ID zu überschreiben? Grüße Andreas From ralf.hansen2000 at yahoo.de Sat Oct 31 12:31:53 2015 From: ralf.hansen2000 at yahoo.de (Ralf Hansen) Date: Sat, 31 Oct 2015 12:31:53 +0100 Subject: =?UTF-8?Q?Alternativrouting_wenn_prim=c3=a4res_Ziel_nicht_erreichba?= =?UTF-8?Q?r=3f?= Message-ID: <5634A6A9.4020403@yahoo.de> Hallo zusammen, ich möchte gerne ein Alternativrouting für Mails einrichten, wenn das primäre Relay nicht erreichbar ist. Idealerweise nur dann, wenn der bevorzuge Weg z.B. nach 1 Std. immernoch nicht zur Verfügung steht und nicht wenn es mal nur eine kurzfristige Störung (1-2 Minuten ist). Ich sollte noch erwähnen, dass es sich um ein internes Routing handelt, also keine öffentlichen MX Records und kein DNS, das hier genutzt werden kann. Ist das irgendwie möglich? From thomas.wiese at ovis-consulting.de Sat Oct 31 13:03:38 2015 From: thomas.wiese at ovis-consulting.de (T. Wiese, OVIS IT Consulting GmbH) Date: Sat, 31 Oct 2015 12:03:38 +0000 Subject: =?utf-8?B?UmU6IEFsdGVybmF0aXZyb3V0aW5nIHdlbm4gcHJpbcOkcmVzIFppZWwgbmlj?= =?utf-8?Q?ht_erreichbar=3F?= In-Reply-To: <5634A6A9.4020403@yahoo.de> References: <5634A6A9.4020403@yahoo.de> Message-ID: <13FCD49A-1B50-4EBA-8F4F-A621AAB1D7F0@ovis-consulting.de> Moin, wir lösen das über interne DNS Domains welche das Routine übernehmen. Auf diesen Domains läuft ein Mx Routing. Über die Transportmaps wird auf die neuen Mx Records verwiesen und durch die Gewichtung können wir steuern wer primäres Ziel ist und wer sekundäres. Mit freundlichen Grüßen Thomas > Mit freundlichen Grüßen Thomas Wiese Geschäftsführender Gesellschafter OVIS IT Consulting GmbH Arnulfstraße 95, 12105 Berlin Tel.: 030 - 2201206 01 Fax: 030 - 2201206 30 https://www.ovis-consulting.de Geschäftsführer: Thomas Wiese Handelsregister: Berlin - Charlottenburg, HRB 155424B UST-IdNr.: DE293333139 Am 31.10.2015 um 12:33 schrieb Ralf Hansen : > > Hallo zusammen, > > ich möchte gerne ein Alternativrouting für Mails einrichten, wenn das primäre Relay nicht erreichbar ist. > > Idealerweise nur dann, wenn der bevorzuge Weg z.B. nach 1 Std. immernoch nicht zur Verfügung steht und nicht wenn es mal nur eine kurzfristige Störung (1-2 Minuten ist). > Ich sollte noch erwähnen, dass es sich um ein internes Routing handelt, also keine öffentlichen MX Records und kein DNS, das hier genutzt werden kann. > > Ist das irgendwie möglich? From gregor at a-mazing.de Sat Oct 31 16:08:47 2015 From: gregor at a-mazing.de (Gregor Hermens) Date: Sat, 31 Oct 2015 16:08:47 +0100 Subject: Message-ID manipulierbar? In-Reply-To: <20151031114725.6d231620@itxbox.bitcorner.intern> References: <20151031114725.6d231620@itxbox.bitcorner.intern> Message-ID: <201510311608.47373@office.a-mazing.net> Hallo Andreas, Am Samstag, 31. Oktober 2015 schrieb Andreas Meyer: > Kann man anhand der Message-ID, die ein MUA generiert, auf den > sendenden Host schließen oder ist die manipulierbar? > > Es geht mir um von vermutlich Windows Live Mail verschickten > Spam, bei dem offenbar auf das Adressebuch zugegriffen wird > und ich würde gerne den tatsächlich sendenden Host ermitteln. die Message-ID lässt sich wie jeder Header problemlos fälschen. Du kannst dich im Prinzip nur auf die Header verlassen, die dein eigener Postfix setzt. Damit ist die erste IP, die mit Sicherheit stimmt, die IP des bei dir einliefernden Clients. > Kann man Postfix dazu veranlassen, eine vom MUA generierte > Message-ID zu überschreiben? Du kannst die bestehende Message-ID mit einem Header-Check IGNORE löschen. Vermutlich wird Postfix anschließend eine neue generieren. Aber was bringt das dann? Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From wn at neessen.net Sat Oct 31 16:10:13 2015 From: wn at neessen.net (Winfried Neessen) Date: Sat, 31 Oct 2015 16:10:13 +0100 Subject: Message-ID manipulierbar? In-Reply-To: <20151031114725.6d231620@itxbox.bitcorner.intern> References: <20151031114725.6d231620@itxbox.bitcorner.intern> Message-ID: <860d0a1add3680372853815041fd0f30@neessen.net> Hi, Am 2015-10-31 11:47, schrieb Andreas Meyer: > Kann man Postfix dazu veranlassen, eine vom MUA generierte > Message-ID zu überschreiben? > Alles was vom MUA gesetzt wird, kann theoretisch vom MTA veraendert werden. Die Message ID koennte man z. B. via header_checks aendern: header_checks = regexp:/etc/postfix/header_checks /Message-Id:\s+<(.*?)@eigentlicheId>/ REPLACE Message-Id: <$1... at meinedomain.tld> Winni From max.grobecker at ml.grobecker.info Sat Oct 31 19:36:59 2015 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 31 Oct 2015 19:36:59 +0100 Subject: Message-ID manipulierbar? In-Reply-To: <201510311608.47373@office.a-mazing.net> References: <20151031114725.6d231620@itxbox.bitcorner.intern> <201510311608.47373@office.a-mazing.net> Message-ID: <56350A4B.40804@ml.grobecker.info> Hallo Andreas, Am 31.10.2015 um 16:08 schrieb Gregor Hermens: >> Kann man Postfix dazu veranlassen, eine vom MUA generierte >> Message-ID zu überschreiben? > > Du kannst die bestehende Message-ID mit einem Header-Check IGNORE löschen. > Vermutlich wird Postfix anschließend eine neue generieren. Aber was bringt das > dann? An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt) sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt. Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man damit dann früher oder später zuverlässig derartige Signaturen zerstört. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at mailbox.org Sat Oct 31 20:14:08 2015 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 31 Oct 2015 20:14:08 +0100 Subject: Message-ID manipulierbar? In-Reply-To: <56350A4B.40804@ml.grobecker.info> References: <20151031114725.6d231620@itxbox.bitcorner.intern> <201510311608.47373@office.a-mazing.net> <56350A4B.40804@ml.grobecker.info> Message-ID: <20151031201408.7bc17da7@workstation.bitcorner.intern> Hallo! Max Grobecker schrieb am 31.10.15 um 19:36:59 Uhr: > An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt) > sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt. > > Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man > damit dann früher oder später zuverlässig derartige Signaturen zerstört. Ich dank' euch allen für die Tips! Konkret geht es um einen sendenden Server, auf den ich keine Einfluss habe. Ich hatte gehofft, das ich aufgrund der Message-ID auf den Host schließen kann. Aber das ist natürlich Unsinn bei genauerer Überlegung, da wie gesagt alle Header manipulierbar sind. Ein befreundeter Architekt hat kürzlich über sein Windows Live Mail in einer Email an mich im CC ca. 25 Empfänger eingetragen (über diese Indiskretion lasse ich ich jetzt hier nicht aus) und seit dieser Zeit kommt immer wieder mal Mist in Form von Pishingmails durch, wobei die Message-ID immer als Absender die Domaine des Architekten beinhaltet und im CC immer wieder ein paar dieser bekannt gegebenen Email-Adressen stehen. Ich weis nicht, wie sowas zustande kommt. Ein Automatismus kann das nur schwerlich sein, oder? Gibt es einen Trojaner, der sowas macht? Grüße Andreas From tech at kdmails.de Sat Oct 31 21:07:32 2015 From: tech at kdmails.de (Daniel Gompf) Date: Sat, 31 Oct 2015 21:07:32 +0100 Subject: Message-ID manipulierbar? In-Reply-To: <20151031201408.7bc17da7@workstation.bitcorner.intern> References: <20151031114725.6d231620@itxbox.bitcorner.intern> <201510311608.47373@office.a-mazing.net> <56350A4B.40804@ml.grobecker.info> <20151031201408.7bc17da7@workstation.bitcorner.intern> Message-ID: <56351F84.30900@kdmails.de> Hallo Andreas Am 31.10.2015 um 20:14 schrieb Andreas Meyer: > Hallo! > > Max Grobecker schrieb am 31.10.15 um 19:36:59 Uhr: > >> An sich willst du nicht die Message-ID auswerten (die wird vom Client gesetzt und ist daher wenig vertrauenswürdigt) >> sondern man will die Queue-ID auswerten resp. verfolgen, die Postfix generiert und die an jedem Received-Header dranklebt. >> >> Außerdem sollte man mit der Message-ID nicht rumspielen, da sie manchmal Teil von DKIM-Signaturen ist und man >> damit dann früher oder später zuverlässig derartige Signaturen zerstört. > > Ich dank' euch allen für die Tips! Konkret geht es um einen sendenden > Server, auf den ich keine Einfluss habe. Ich hatte gehofft, das ich > aufgrund der Message-ID auf den Host schließen kann. Aber das ist > natürlich Unsinn bei genauerer Überlegung, da wie gesagt alle Header > manipulierbar sind. > > Ein befreundeter Architekt hat kürzlich über sein Windows Live Mail in > einer Email an mich im CC ca. 25 Empfänger eingetragen (über diese Indiskretion > lasse ich ich jetzt hier nicht aus) und seit dieser Zeit kommt immer wieder > mal Mist in Form von Pishingmails durch, wobei die Message-ID immer > als Absender die Domaine des Architekten beinhaltet und im CC immer > wieder ein paar dieser bekannt gegebenen Email-Adressen stehen. > > Ich weis nicht, wie sowas zustande kommt. Ein Automatismus kann das nur > schwerlich sein, oder? Gibt es einen Trojaner, der sowas macht? Ich hatte vor einiger Zeit das Glück so etwas mal sehr schön beobachten zu können. Das Adressbuch und wahrscheinlich auch einige Metadaten oder andere Daten zum Kommunikationsverhalten sind von dem Webmail-Konto eines Bekannten gezogen wurden. Seit dem geistern immer wieder E-Mail von ihm herum auch mit je ca. 20 Empfängern, allerdings kommen die von irgendwelchen Bots nicht aus seinem Konto. Interessant war die Auswahl der Empfängerlisten, die sahen nicht zufällig aus, sie passten meistens recht gut zusammen. Hin und wieder änderte sich der Text-Anteil im From-Header wobei die Adresse im From-Header immer gleich blieb. > > Grüße > > Andreas >