From anmeyer at mailbox.org  Wed Sep  2 09:53:29 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Wed, 2 Sep 2015 09:53:29 +0200
Subject: Problem mit DKIM-Signatur
In-Reply-To: <20150830125006.3c4f02b9@workstation.bitcorner.intern>
References: <20150830125006.3c4f02b9@workstation.bitcorner.intern>
Message-ID: <20150902095329.6d17f12e@workstation.bitcorner.intern>

Andreas Meyer <anmeyer at mailbox.org> schrieb am 30.08.15 um 12:50:06 Uhr:

> Das Problem ist z.B. folgendes:
> 
> Authentication-Results: gerste.heinlein-support.de (amavisd-new);
>  dkim=fail (1024-bit key) reason="fail (message has been altered)"
>  header.d=nimmini.de
> 
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=nimmini.de; h=
>  content-transfer-encoding:content-type:content-type:mime-version
>  :x-mailer:message-id:subject:subject:from:from:date:date; s=
>  20150830; t=1440925957; x=1442740358; bh=YJWMysPl36audKpPjWIG/TO
>  l/JVGuKuq1l4/HEAjxb8=; b=hW0KgBBaoageOIpfMgEkLNVd//R0YKM7SdY0qDx
>  lffcpWRySC+FN7Qm8p/FD9ofOVTVGgc4OvxqVg0dTSFBR1An7QBK959CpKo1Pocf
>  QLi+8uwCMPMv7H4lKLDuY9ukgBFB8eQJ0cRFM/B1LfD8uSvK9oU/AnRVYkodzWEx
>  Zw+U=

Ich konnte das Problem lösen. Die Header X-Mailer oder user-agent
wurden in die Signatur mit einbezogen, später aber in den header_checks
durch Postfix entfernt. Damit war die Sigantur dann ungültig.

Grüße

  Andreas


From anmeyer at mailbox.org  Fri Sep  4 13:11:03 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Fri, 4 Sep 2015 13:11:03 +0200
Subject: relay access denied permanent machen
Message-ID: <20150904131103.7cbbe45d@workstation.bitcorner.intern>

Hallo!

Ich würde verweigertes relayen gerne mit einem 5xx error permanent
machen, stehe aber im Moment auf dem Schlauch.

Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
Sep  4 12:37:24 bitmachine1 postfix/smtpd[24568]: too many errors after DATA from unknown[14.215.136.46]

smtpd_recipient_restrictions =
    check_sender_access hash:/etc/postfix/access_sender,
    permit_mynetworks,
    #check_recipient_access hash:/etc/postfix/hold,
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
    #permit_mynetworks,
    reject_invalid_helo_hostname,
    reject_unlisted_recipient,
    reject_unknown_sender_domain,
    check_sender_access pcre:/etc/postfix/umlaute.pcre,
    check_recipient_access pcre:/etc/postfix/umlaute.pcre,
    reject_unauth_destination,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client spam.bl.alt-backspace.org,
    reject_rbl_client spamtrap.bl.alt-backspace.org,
    check_client_access cidr:/etc/postfix/client.cidr,
    check_policy_service inet:127.0.0.1:10023

An welcher Schraube müsste ich denn drehen?

Grüße

  Andreas


From news at amaltea.de  Fri Sep  4 13:28:26 2015
From: news at amaltea.de (Paul)
Date: Fri, 4 Sep 2015 13:28:26 +0200
Subject: relay access denied permanent machen
In-Reply-To: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
Message-ID: <55E9805A.7060002@amaltea.de>

Am 04.09.2015 um 13:11 schrieb Andreas Meyer:

> Ich würde verweigertes relayen gerne mit einem 5xx error permanent
> machen, stehe aber im Moment auf dem Schlauch.
> 
> Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
> 
> smtpd_recipient_restrictions =
[...irrelevant...]
> 
> An welcher Schraube müsste ich denn drehen?

Zeig uns bitte mal das Ergebnis von

postconf -n | grep reject_code

Das liefert dir die vom Standard abweichenden Reject-Codes aus.

postconf -d | grep reject_code
liefert dir die Standardwerte von Postfix.

Vergleiche.

Falls du das Postfixbuch nicht zur Hand hast, steht auch hier was darüber.
http://www.postfix.org/postconf.5.html

Gruß,
Paul



From andre.peters at debinux.de  Fri Sep  4 13:45:39 2015
From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=)
Date: Fri, 4 Sep 2015 13:45:39 +0200
Subject: relay access denied permanent machen
In-Reply-To: <55E9805A.7060002@amaltea.de>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de>
Message-ID: <55E98463.10707@debinux.de>

Am 04.09.2015 um 13:28 schrieb Paul:
> Am 04.09.2015 um 13:11 schrieb Andreas Meyer:
>
>> Ich würde verweigertes relayen gerne mit einem 5xx error permanent
>> machen, stehe aber im Moment auf dem Schlauch.
>>
>> Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
>>
>> smtpd_recipient_restrictions =
> [...irrelevant...]

Stünde dort "defer_unauth_destination", wäre es nicht mehr so
irrelevant. :-)

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5642 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150904/dd1c8da6/attachment.p7s>

From anmeyer at mailbox.org  Fri Sep  4 14:26:30 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Fri, 4 Sep 2015 14:26:30 +0200
Subject: relay access denied permanent machen
In-Reply-To: <55E9805A.7060002@amaltea.de>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de>
Message-ID: <20150904142630.09366489@workstation.bitcorner.intern>

Paul <news at amaltea.de> schrieb am 04.09.15 um 13:28:26 Uhr:

> > Ich würde verweigertes relayen gerne mit einem 5xx error permanent
> > machen, stehe aber im Moment auf dem Schlauch.
> > 
> > Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
> > 
> > smtpd_recipient_restrictions =
> [...irrelevant...]
> > 
> > An welcher Schraube müsste ich denn drehen?
> 
> Zeig uns bitte mal das Ergebnis von
> 
> postconf -n | grep reject_code

# postconf -n | grep reject_code
unknown_address_reject_code = 550

> Das liefert dir die vom Standard abweichenden Reject-Codes aus.
> 
> postconf -d | grep reject_code
> liefert dir die Standardwerte von Postfix.

# postconf -d | grep reject_code
access_map_reject_code = 554
invalid_hostname_reject_code = 501
maps_rbl_reject_code = 554
multi_recipient_bounce_reject_code = 550
non_fqdn_reject_code = 504
plaintext_reject_code = 450
reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 450
unknown_client_reject_code = 450
unknown_hostname_reject_code = 450
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_reject_code = 450
unverified_sender_reject_code = 450

> Vergleiche.

Da steht nichts von 454. Ich wüsste jetzt auch nicht, welcher
dieser Parameter dafür zu gebrauchen wäre.

> Falls du das Postfixbuch nicht zur Hand hast, steht auch hier was darüber.
> http://www.postfix.org/postconf.5.html

Grüße

  Andreas


From news at amaltea.de  Fri Sep  4 14:40:00 2015
From: news at amaltea.de (Paul)
Date: Fri, 4 Sep 2015 14:40:00 +0200
Subject: relay access denied permanent machen
In-Reply-To: <55E98463.10707@debinux.de>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de> <55E98463.10707@debinux.de>
Message-ID: <55E99120.9060006@amaltea.de>

Am 04.09.2015 um 13:45 schrieb André Peters:
> Am 04.09.2015 um 13:28 schrieb Paul:
>> Am 04.09.2015 um 13:11 schrieb Andreas Meyer:
>>
>>> Ich würde verweigertes relayen gerne mit einem 5xx error permanent
>>> machen, stehe aber im Moment auf dem Schlauch.
>>>
>>> Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
>>>
>>> smtpd_recipient_restrictions =
>> [...irrelevant...]
> 
> Stünde dort "defer_unauth_destination", wäre es nicht mehr so
> irrelevant. :-)

Du hast natürlich recht, aber ich habe nur die Fakten betrachtet.

Ohnehin wäre es besser gewesen, wenn dort die Ausgabe von "postconf -n",
sowie die Ausgabe von "postconf mail_version" stünde.
;)

Gruß,
Paul


From anmeyer at mailbox.org  Fri Sep  4 14:46:13 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Fri, 4 Sep 2015 14:46:13 +0200
Subject: relay access denied permanent machen
In-Reply-To: <55E99120.9060006@amaltea.de>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de> <55E98463.10707@debinux.de>
 <55E99120.9060006@amaltea.de>
Message-ID: <20150904144613.0db80290@workstation.bitcorner.intern>

Paul <news at amaltea.de> schrieb am 04.09.15 um 14:40:00 Uhr:

> >>> smtpd_recipient_restrictions =
> >> [...irrelevant...]
> > 
> > Stünde dort "defer_unauth_destination", wäre es nicht mehr so
> > irrelevant. :-)
> 
> Du hast natürlich recht, aber ich habe nur die Fakten betrachtet.
> 
> Ohnehin wäre es besser gewesen, wenn dort die Ausgabe von "postconf -n",
> sowie die Ausgabe von "postconf mail_version" stünde.

# postconf mail_version
mail_version = 2.11.3

Ich schrecke immer davor zurück, die gesamte Konfiguration
des mailservers zu die Leitung zu jagen.

Grüße

  Andreas


From news at amaltea.de  Fri Sep  4 15:19:29 2015
From: news at amaltea.de (Paul)
Date: Fri, 4 Sep 2015 15:19:29 +0200
Subject: relay access denied permanent machen
In-Reply-To: <20150904142630.09366489@workstation.bitcorner.intern>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de>
 <20150904142630.09366489@workstation.bitcorner.intern>
Message-ID: <55E99A61.8080702@amaltea.de>

Am 04.09.2015 um 14:26 schrieb Andreas Meyer:
> Paul <news at amaltea.de> schrieb am 04.09.15 um 13:28:26 Uhr:
> 
>>> Ich würde verweigertes relayen gerne mit einem 5xx error permanent
>>> machen, stehe aber im Moment auf dem Schlauch.
>>>
>>> Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
>>>
>>> smtpd_recipient_restrictions =
>> [...irrelevant...]
>>>
>>> An welcher Schraube müsste ich denn drehen?
>>
>> Zeig uns bitte mal das Ergebnis von
>>
>> postconf -n | grep reject_code
> 
> # postconf -n | grep reject_code
> unknown_address_reject_code = 550
> 
>> Das liefert dir die vom Standard abweichenden Reject-Codes aus.
>>
>> postconf -d | grep reject_code
>> liefert dir die Standardwerte von Postfix.
> 
> # postconf -d | grep reject_code
> access_map_reject_code = 554
> invalid_hostname_reject_code = 501
> maps_rbl_reject_code = 554
> multi_recipient_bounce_reject_code = 550
> non_fqdn_reject_code = 504
> plaintext_reject_code = 450
> reject_code = 554
> relay_domains_reject_code = 554
> unknown_address_reject_code = 450
> unknown_client_reject_code = 450
> unknown_hostname_reject_code = 450
> unknown_local_recipient_reject_code = 550
> unknown_relay_recipient_reject_code = 550
> unknown_virtual_alias_reject_code = 550
> unknown_virtual_mailbox_reject_code = 550
> unverified_recipient_reject_code = 450
> unverified_sender_reject_code = 450
> 
>> Vergleiche.
> 
> Da steht nichts von 454. Ich wüsste jetzt auch nicht, welcher
> dieser Parameter dafür zu gebrauchen wäre.

relay_domains_reject_code hätte ich jetzt getippt. Aber welche Bedeutung
diese Parameter haben, kann man nachlesen.

Eventuell ist der Code explizit in einer deiner Access-Maps gesetzt
worden. Einfach mal stumpf nach 454 in /etc/postfix/ greppen.

Bitte prüfe auch mal GENAU nach, ob
postconf -n smtpd_recipient_restrictions
mit deiner hier geposteten restriction übereinstimmt.

Schau auch mal nach, ob und wo defer_unauth_destination in deiner
Konfiguration vorkommt.

Mehr fällt mir langsam nicht mehr ein.

HTH!

Gruß,
Paul


From anmeyer at mailbox.org  Fri Sep  4 16:59:41 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Fri, 4 Sep 2015 16:59:41 +0200
Subject: relay access denied permanent machen
In-Reply-To: <55E99A61.8080702@amaltea.de>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de>
 <20150904142630.09366489@workstation.bitcorner.intern>
 <55E99A61.8080702@amaltea.de>
Message-ID: <20150904165941.7106d1ff@workstation.bitcorner.intern>

Hallo!

Paul <news at amaltea.de> schrieb am 04.09.15 um 15:19:29 Uhr:

> >>> Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE: reject: RCPT from unknown[14.215.136.46]: 454 4.7.1 <xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de> to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>

> >> postconf -n | grep reject_code
> > 
> > # postconf -n | grep reject_code
> > unknown_address_reject_code = 550
> > 
> >> Das liefert dir die vom Standard abweichenden Reject-Codes aus.
> >>
> >> postconf -d | grep reject_code
> >> liefert dir die Standardwerte von Postfix.
> > 
> > # postconf -d | grep reject_code
> > access_map_reject_code = 554
> > invalid_hostname_reject_code = 501
> > maps_rbl_reject_code = 554
> > multi_recipient_bounce_reject_code = 550
> > non_fqdn_reject_code = 504
> > plaintext_reject_code = 450
> > reject_code = 554
> > relay_domains_reject_code = 554
> > unknown_address_reject_code = 450
> > unknown_client_reject_code = 450
> > unknown_hostname_reject_code = 450
> > unknown_local_recipient_reject_code = 550
> > unknown_relay_recipient_reject_code = 550
> > unknown_virtual_alias_reject_code = 550
> > unknown_virtual_mailbox_reject_code = 550
> > unverified_recipient_reject_code = 450
> > unverified_sender_reject_code = 450
> > 
> >> Vergleiche.
> > 
> > Da steht nichts von 454. Ich wüsste jetzt auch nicht, welcher
> > dieser Parameter dafür zu gebrauchen wäre.
> 
> relay_domains_reject_code hätte ich jetzt getippt. Aber welche Bedeutung
> diese Parameter haben, kann man nachlesen.
> 
> Eventuell ist der Code explizit in einer deiner Access-Maps gesetzt
> worden. Einfach mal stumpf nach 454 in /etc/postfix/ greppen.

bitmachine1:/etc/postfix # fgrep -r 454 .
bitmachine1:/etc/postfix # fgrep -r defer_unauth_destination .

Die Ausgabe bleibt also leer.

> Bitte prüfe auch mal GENAU nach, ob
> postconf -n smtpd_recipient_restrictions
> mit deiner hier geposteten restriction übereinstimmt.

stimmt genau überein

> Schau auch mal nach, ob und wo defer_unauth_destination in deiner
> Konfiguration vorkommt.

Ich habe die Konfiguration von einem Postfix 2.8.11 auf eine openSUSE
mit Version 2.11.3 umgezogen. Auch in der alten Version geben die
greps von oben nichts aus.

hm

Grüße

  Andreas


From andre.peters at debinux.de  Fri Sep  4 17:06:41 2015
From: andre.peters at debinux.de (=?ISO-8859-1?Q?Andr=E9_Peters?=)
Date: Fri, 04 Sep 2015 17:06:41 +0200
Subject: relay access denied permanent machen
In-Reply-To: <20150904165941.7106d1ff@workstation.bitcorner.intern>
References: <20150904131103.7cbbe45d@workstation.bitcorner.intern>
 <55E9805A.7060002@amaltea.de>
 <20150904142630.09366489@workstation.bitcorner.intern>
 <55E99A61.8080702@amaltea.de>
 <20150904165941.7106d1ff@workstation.bitcorner.intern>
Message-ID: <D62E27AF-32F0-4DAC-BDCD-F7565A110289@debinux.de>

Hi, 
auch mal Postfix neustarten, evtl. hängt da noch was krumm in der aktuellen Config? Hat mir schon das ein oder andere mal geholfen, wenn der reload nicht reichte. 

Am 4. September 2015 16:59:41 MESZ, schrieb Andreas Meyer <anmeyer at mailbox.org>:
>Hallo!
>
>Paul <news at amaltea.de> schrieb am 04.09.15 um 15:19:29 Uhr:
>
>> >>> Sep  4 12:37:21 bitmachine1 postfix/smtpd[24568]: NOQUEUE:
>reject: RCPT from unknown[14.215.136.46]: 454 4.7.1
><xiaonanzi11162 at 163.com>: Relay access denied; from=<egk at bitcorner.de>
>to=<xiaonanzi11162 at 163.com> proto=ESMTP helo=<XL-20141217AHYY>
>
>> >> postconf -n | grep reject_code
>> > 
>> > # postconf -n | grep reject_code
>> > unknown_address_reject_code = 550
>> > 
>> >> Das liefert dir die vom Standard abweichenden Reject-Codes aus.
>> >>
>> >> postconf -d | grep reject_code
>> >> liefert dir die Standardwerte von Postfix.
>> > 
>> > # postconf -d | grep reject_code
>> > access_map_reject_code = 554
>> > invalid_hostname_reject_code = 501
>> > maps_rbl_reject_code = 554
>> > multi_recipient_bounce_reject_code = 550
>> > non_fqdn_reject_code = 504
>> > plaintext_reject_code = 450
>> > reject_code = 554
>> > relay_domains_reject_code = 554
>> > unknown_address_reject_code = 450
>> > unknown_client_reject_code = 450
>> > unknown_hostname_reject_code = 450
>> > unknown_local_recipient_reject_code = 550
>> > unknown_relay_recipient_reject_code = 550
>> > unknown_virtual_alias_reject_code = 550
>> > unknown_virtual_mailbox_reject_code = 550
>> > unverified_recipient_reject_code = 450
>> > unverified_sender_reject_code = 450
>> > 
>> >> Vergleiche.
>> > 
>> > Da steht nichts von 454. Ich wüsste jetzt auch nicht, welcher
>> > dieser Parameter dafür zu gebrauchen wäre.
>> 
>> relay_domains_reject_code hätte ich jetzt getippt. Aber welche
>Bedeutung
>> diese Parameter haben, kann man nachlesen.
>> 
>> Eventuell ist der Code explizit in einer deiner Access-Maps gesetzt
>> worden. Einfach mal stumpf nach 454 in /etc/postfix/ greppen.
>
>bitmachine1:/etc/postfix # fgrep -r 454 .
>bitmachine1:/etc/postfix # fgrep -r defer_unauth_destination .
>
>Die Ausgabe bleibt also leer.
>
>> Bitte prüfe auch mal GENAU nach, ob
>> postconf -n smtpd_recipient_restrictions
>> mit deiner hier geposteten restriction übereinstimmt.
>
>stimmt genau überein
>
>> Schau auch mal nach, ob und wo defer_unauth_destination in deiner
>> Konfiguration vorkommt.
>
>Ich habe die Konfiguration von einem Postfix 2.8.11 auf eine openSUSE
>mit Version 2.11.3 umgezogen. Auch in der alten Version geben die
>greps von oben nichts aus.
>
>hm
>
>Grüße
>
>  Andreas

-- 
Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150904/ebda6001/attachment.htm>

From postfixer99 at gmail.com  Sat Sep  5 14:15:38 2015
From: postfixer99 at gmail.com (Carsten)
Date: Sat, 5 Sep 2015 14:15:38 +0200
Subject: =?UTF-8?Q?OT:_T-online_l=c3=b6scht_Mails_nach_90_Tagen_automatisch_?=
 =?UTF-8?Q?vom_Server?=
Message-ID: <55EADCEA.7060502@gmail.com>

Hi Leute,

zwar nicht direkt Postfix, aber dennoch interessant für alle, die mit 
Mail zutun haben.
Ich konnte es erst nicht glauben, bis ich es selbst gesehen habe:

Jeder von uns kennt den Unterschied zwischen POP und IMAP und hat sicher 
schon die unterschiedlichsten Einstellungen in den Clients gesehen,
beim Abruf per POP die Nachrichten "auf dem Server zu belassen", "sofort 
vom Server zu löschen" oder "nach xx Tagen zu löschen".

Ich bin bis heute immer davon ausgegangen, dass es bei Nutzung von IMAP 
selbstverständlich ist, dass die e-Mails FÜR ALLE ZEIT auf dem Server 
liegen bleiben.
Wenn das Postfach dann den max. Speicherplatz erreicht, kann ich im 
schlimmsten Fall keine neuen Mails empfangen.

Anders bei t-online:
Hier war bei einem Bekannten die Standardeinstellung "Nachrichten nach 
90 Tagen vom Server löschen" im T-Online Kundenbereich gesetzt.
Hierbei ist gemeint: Serverseitig werden die Mails gelöscht!!!

Folge: Nach einer Migration auf IMAP haben wir erstmal das Archiv der 
letzten 2 Jahre per IMAP auf den Server hochgeladen (damit es auch auf 
iphone, tablet, usw. synchron ist) und prompt wurde alles von der 
Telekom vom Server gelöscht.
Das hat nichts mit POP3 zutun!

Glaubt ihr nicht? Hier der Beweis (siehe auch die Antwort der Telekom) - 
Das Problem gab es wohl schon öfters.
https://telekomhilft.telekom.de/t5/E-Mail-Programme/Emails-werden-aus-dem-Posteingang-gel%C3%B6scht/td-p/708084/page/2

Ich habe sofort im Kundenbereich diese Einstellung gesucht und geändert, 
aber soetwas ist meiner Meinung nach eine riesen Frechheit.

Ich bin gespannt über Eure Erfahrungen.

Viele Grüße, Carsten


From cs.mlists+postfix at mailbox.org  Sat Sep  5 14:46:54 2015
From: cs.mlists+postfix at mailbox.org (Clemens =?utf-8?Q?Sch=C3=BCller?=)
Date: Sat, 05 Sep 2015 14:46:54 +0200
Subject: OT: T-online =?utf-8?Q?l=C3=B6scht?= Mails nach 90 Tagen
 automatisch vom Server
In-Reply-To: <55EADCEA.7060502@gmail.com> (postfixer99@gmail.com's message of
 "Sat, 5 Sep 2015 14:15:38 +0200")
References: <55EADCEA.7060502@gmail.com>
Message-ID: <87mvx158zl.fsf@antares.home.aneadesign.com>

Servus!

Am 05. Sep. 2015 um 14:15 schrieb Carsten:


> Ich habe sofort im Kundenbereich diese Einstellung gesucht und
> geändert, aber soetwas ist meiner Meinung nach eine riesen Frechheit.

Sehe ich auch so, aber GMX ist auch so ein (ähnlicher) Kandidat:


Ich hatte dort mal einen Premium Account mit einem IMAP Zugriff. Eines
Tages ist mir aufgefallen, dass mir Mails im gesendet Ordner abgehen.

Hab dann im Webmailer von GMX die Einstellungen des Ordners für die
Gesendeten Nachrichten überprüft. Siehe da: Das Ganze war so
eingestellt, dass Mails nur 90 Tage im Ordner behalten und danach
gelöscht werden. Behaltefrist auf unendlich gesetzt und gut war.

Aber trotzdem nervig, weil ich als Kunde davon ausgehen muss, dass die
Mails unbegrenzt am Server gehalten werden.



-- 
Beste Grüße, Clemens Schüller


From driessen at fblan.de  Sat Sep  5 16:49:51 2015
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Sat, 5 Sep 2015 16:49:51 +0200
Subject: =?UTF-8?Q?AW:_T-online_l=C3=B6scht_Mails_nach_9?=
 =?UTF-8?Q?0_Tagen_automatisch_vom_Server?=
In-Reply-To: <55EADCEA.7060502@gmail.com>
References: <55EADCEA.7060502@gmail.com>
Message-ID: <034a01d0e7ea$23ebe4d0$6bc3ae70$@fblan.de>

Im Auftrag von Carsten


> Jeder von uns kennt den Unterschied zwischen POP und IMAP und hat sicher
> schon die unterschiedlichsten Einstellungen in den Clients gesehen,
> beim Abruf per POP die Nachrichten "auf dem Server zu belassen", "sofort
> vom Server zu löschen" oder "nach xx Tagen zu löschen".

Jemanden Fremdes die Sicherheit seiner Daten anzuvertrauen ist leichtsinnig.
Ich kann das was telebim macht zwar auch nicht gut heißen aber der Kunde ist immer selbst für seine Datensicherung verantwortlich.

Bei den Millionen von Mailkonten (und den davon verwaisten 50% die keiner mehr nutzt) müsste die telekom alleine ein Atomkraftwerk für den Betrieb der notwendigen Server und Storage betreiben....
Und bei dem Spam den die auch zustellen nochmal eins nur für den Spam 

 > 
> Ich bin bis heute immer davon ausgegangen, dass es bei Nutzung von IMAP
> selbstverständlich ist, dass die e-Mails FÜR ALLE ZEIT auf dem Server
> liegen bleiben.

Ich hab auch keine Ahnung was jemand mit einer 10 Jahre alten Mail noch möchte, 
entweder ist die Mail bearbeitet dann kann sie weg, 
sie muss archiviert werden dann lass ich die nicht auf einem Fremden Server 
oder sie war so schön das ich mir die dann ausdrucke und einrahme ....
ich nutze nur POP3 mit der Option 10 Tage von jedem Punkt der Erde im Notfall auf die Letzten Mails zuzugreifen.

> Wenn das Postfach dann den max. Speicherplatz erreicht, kann ich im
> schlimmsten Fall keine neuen Mails empfangen.

Und dann rufst du an und fragst was los ist weil die wenigsten Kunden den Hinweis auf Speicherplatz überhaupt zur Kenntnis nehmen.
Dann hat die Telebim für 0 Euro Verdienst (weil kostenloses Konto) 50 EURO Aufwand..... 


> 
> Anders bei t-online:
> Hier war bei einem Bekannten die Standardeinstellung "Nachrichten nach
> 90 Tagen vom Server löschen" im T-Online Kundenbereich gesetzt.
> Hierbei ist gemeint: Serverseitig werden die Mails gelöscht!!!

Tja drum prüfe wer sich ewig bindet die Unterlagen unter die man die Unterschrift drunter setzt ...

> 
> Folge: Nach einer Migration auf IMAP haben wir erstmal das Archiv der
> letzten 2 Jahre per IMAP auf den Server hochgeladen (damit es auch auf
> iphone, tablet, usw. synchron ist) und prompt wurde alles von der
> Telekom vom Server gelöscht.
> Das hat nichts mit POP3 zutun!

s.o. was willst du mit den 5 Jahre alten Mails syncron auf 20 Geräten? 
Auf meine "Mobilen" juckt mich nur das aktuelle, das Archiv ist zuhause, und wer mir erzählt das er mir vor 2 Jahren die oder die Mail geschickt hat der kann mir die sicherlich auch noch mal schicken 

Und jetzt mal Hand aufs Herz, wenn du Langeweile hast musst du nicht in Jahren alten Mails lesen, komm her ich hab sinnvollere Arbeit :-))  

> 
> Glaubt ihr nicht? Hier der Beweis (siehe auch die Antwort der Telekom) -
> Das Problem gab es wohl schon öfters.
> https://telekomhilft.telekom.de/t5/E-Mail-Programme/Emails-werden-aus-
> dem-Posteingang-gel%C3%B6scht/td-p/708084/page/2
> 
> Ich habe sofort im Kundenbereich diese Einstellung gesucht und geändert,
> aber soetwas ist meiner Meinung nach eine riesen Frechheit.

Nö das nennt sich gewinn Optimierung und muss jedes Unternehmen ab und an tun.
Wessen Daten sind das ?? hast du dich drum gekümmert? Hast du die AGB's des Anbieters gelesen?
Hast du Vorkehrungen getroffen das deine Daten sicher sind ? (morgen stürzt ein Flieger aufs Rechenzentrum dann sind deine Daten auch futsch) 
911  hatten wir schon das ist also so abwegig gar nicht.
  
Wenn du das willst das es gut und sicher ist dann übernimm deine Mailverarbeitung in Eigenregie. Dann hast du auch keine Probleme mit Speicherplatz.

 

> 
> Ich bin gespannt über Eure Erfahrungen.
> 
> Viele Grüße, Carsten



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From christoph.machon at Verzinkerei-Rentrop.de  Mon Sep  7 14:42:57 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Mon, 7 Sep 2015 14:42:57 +0200
Subject: =?utf-8?B?cG9zdGZpeC9kb3ZlY290OiBTQVNMIEF1dGggaW4gU01UUCBmw7xyIGFsbGUg?=
 =?utf-8?B?RU1haWxzICh0ZWxuZXQp?=
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>

Hallo Liste,

ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
nicht offen).

Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
funktionierenden Ansatz gefunden :(

Mit freundlichen Grüßen 

-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From buettnerp at web.de  Mon Sep  7 14:54:50 2015
From: buettnerp at web.de (=?UTF-8?B?UGV0ZXIgQsO8dHRuZXI=?=)
Date: Mon, 07 Sep 2015 14:54:50 +0200
Subject: postfix/dovecot: SASL Auth in SMTP =?UTF-8?B?ZsO8ciBhbGxlIEVN?=
 =?UTF-8?B?YWlscyAodGVsbmV0KQ==?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
Message-ID: <55ED891A.9050708@web.de>

.... telnet xyz 25 oder telnet xyz 587 ?


Gruß

Peter Büttner
Am 07.09.2015 um 14:42 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> Hallo Liste,
> 
> ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> nicht offen).
> 
> Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> funktionierenden Ansatz gefunden :(
> 
> Mit freundlichen Grüßen 
> 


From kai_postfix at fuerstenberg.ws  Mon Sep  7 15:02:33 2015
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Mon, 7 Sep 2015 15:02:33 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
Message-ID: <55ED8AE9.2080406@fuerstenberg.ws>

Hallo Christoph,

Am 07.09.2015 um 14:42 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> nicht offen).
> 
> Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> funktionierenden Ansatz gefunden :(

ich frage mich gerade wieso du E-mails an dich selbst nur per AUTH
zustellen lassen möchtest. Wenn du Mails an Fremde verschickst, kann ich
das verstehen, aber an dich selbst?

Wenn eine E-Mail an mich kommt, nehme ich sie an. Punkt.

Na gut: .. unter Umständen nehme ich sie auch nicht an, aber das ist
eine andere Sache.

Oder hab ich da was falsch verstanden?


-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From christoph.machon at Verzinkerei-Rentrop.de  Mon Sep  7 15:32:07 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Mon, 7 Sep 2015 15:32:07 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>

@Peter
sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf. 

@Kai
da hast du mich etwas missverstanden. Stell dir folgendes vor:
Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
chef at grosserkonzern.de mit Virus etc. an
mitarbeiter1 at grosserkonzern.de .
Ich finde das sehr uncool.

Auch SPAM lassen sich so innerhalb der Domain versenden.

Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
innerhalb meiner Domain eine Email versende.

Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
Wer mir nicht glauben will, bittet testet es an euren EMail Servern.

Mit freundlichen Grüßen
-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From kai_postfix at fuerstenberg.ws  Mon Sep  7 15:42:14 2015
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Mon, 7 Sep 2015 15:42:14 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
Message-ID: <55ED9436.5050006@fuerstenberg.ws>

Am 07.09.2015 um 15:32 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> @Peter
> sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf. 
> 
> @Kai
> da hast du mich etwas missverstanden. Stell dir folgendes vor:
> Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> chef at grosserkonzern.de mit Virus etc. an
> mitarbeiter1 at grosserkonzern.de .
> Ich finde das sehr uncool.
> 
> Auch SPAM lassen sich so innerhalb der Domain versenden.
> 
> Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> innerhalb meiner Domain eine Email versende.
> 
> Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> Wer mir nicht glauben will, bittet testet es an euren EMail Servern.

du könntest mit reject_sender_login_mismatch oder
reject_unauthenticated_sender_login_mismatch in den
smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From christoph.machon at Verzinkerei-Rentrop.de  Mon Sep  7 16:21:57 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Mon, 7 Sep 2015 16:21:57 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55ED9436.5050006@fuerstenberg.ws>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A89@SERVER-DC.vr.local>

Am Montag, den 07.09.2015, 15:42 +0200 schrieb Kai Fürstenberg:
> Am 07.09.2015 um 15:32 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > @Peter
> > sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf. 
> > 
> > @Kai
> > da hast du mich etwas missverstanden. Stell dir folgendes vor:
> > Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> > chef at grosserkonzern.de mit Virus etc. an
> > mitarbeiter1 at grosserkonzern.de .
> > Ich finde das sehr uncool.
> > 
> > Auch SPAM lassen sich so innerhalb der Domain versenden.
> > 
> > Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> > smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> > innerhalb meiner Domain eine Email versende.
> > 
> > Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> > Wer mir nicht glauben will, bittet testet es an euren EMail Servern.
> 
> du könntest mit reject_sender_login_mismatch oder
> reject_unauthenticated_sender_login_mismatch in den
> smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
> zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.
> 
das klingt interessant. Danke. Ich werde es testen und mich melden, ob
das ganze auf funktioniert hat :)

-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From news at amaltea.de  Mon Sep  7 16:24:40 2015
From: news at amaltea.de (Paul)
Date: Mon, 7 Sep 2015 16:24:40 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
Message-ID: <55ED9E28.9050009@amaltea.de>

Am 07.09.2015 um 15:32 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> @Peter
> sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf. 

Peters Frage zielt darauf ab, dass Postfix am Port 587 idealerweise so
eingerichtet ist, dass dort immer authentifiziert (+ TLS) werden soll.
Kann mann so einrichten, muss man aber nicht. Bei dir ist denn wohl
nicht so.

> @Kai
> da hast du mich etwas missverstanden. Stell dir folgendes vor:
> Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> chef at grosserkonzern.de mit Virus etc. an
> mitarbeiter1 at grosserkonzern.de .
> Ich finde das sehr uncool.
> 
> Auch SPAM lassen sich so innerhalb der Domain versenden.
> 
> Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> innerhalb meiner Domain eine Email versende.

Zwangsauthentifizierung auf Basis der Clientsoftware (telnet/openssl)
ist mir unbekannt. So verstehe ich jedenfalls deine Frage.

Vermutlich drückst Du dich einfach nur mißverständlich aus und
du willst,
dass SMTP-Verbindungen zu deinem Server,
die dabei deine Domain(s) als Absender angeben,
authentifiziert werden sollen.

In dem Fall stimme ich Kais Empfehlung bzgl *_sender_login_mismatch zu.

> Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> Wer mir nicht glauben will, bittet testet es an euren EMail Servern.

Gruß,
Paul


From tobster at brain-force.ch  Mon Sep  7 16:41:02 2015
From: tobster at brain-force.ch (Tobi)
Date: Mon, 7 Sep 2015 16:41:02 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
Message-ID: <55EDA1FE.3050701@brain-force.ch>


Am 07.09.2015 um 14:42 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> Hallo Liste,
> 
> ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> nicht offen).
> 
> Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> funktionierenden Ansatz gefunden :(
> 
> Mit freundlichen Grüßen 
> 

an Port 25 Absenderadressen deiner Domain rundweg verbieten (mittels
smtpd_sender_restrictions) und an Port 587 die Auth erzwingen.
Alternativ könnte man es ev auch so lösen, dass an Port 25 erst
permit_sasl_authenticated und dann ein check_sender_access (die dann
deine Domain(s) als Absender verbietet)

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150907/2a3aa32c/attachment.asc>

From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 10:13:40 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 10:13:40 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55ED9436.5050006@fuerstenberg.ws>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>

Guten Morgen, 

danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?

Versuch auf Port 25:
Connected to mail.meinedomain.org.
Escape character is '^]'.
220 mail.meinedomain.org ESMTP (FreeBSD)
EHLO meinedomain.org
250-meinedomain.org
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: fantasie at google.com (ausgedachte email Adresse)
250 2.1.0 Ok
rcpt to: mail at domaindrei.de
250 2.1.5 Ok


Woran kann das liegen?

Hier meine main.cf:

...
smtpd_sender_login_maps =
hash:/usr/local/etc/postfix/controlled_envelope_senders

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes

smtpd_client_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unknown_hostname,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rbl_client bl.spamcop.net,
                                reject_rbl_client cbl.abuseat.org
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =       permit_mynetworks,
##                              reject_non_fqdn_helo_hostname,
                                reject_invalid_helo_hostname
smtpd_sender_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unknown_address,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain
smtpd_relay_restrictions =      permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination
smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_sender_login_mismatch,

#reject_unauthenticated_sender_login_mismatch,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rhsbl_reverse_client
dbl.spamhaus.org,
                                reject_rhsbl_helo dbl.spamhaus.org,
                                reject_rhsbl_sender dbl.spamhaus.org
...


Die controlled_envelope_senders:
# envelope sender       owners (SASL login names)
@domaineins.org          mail at domaineins.org
@domainzwei.org             develop at domainzwei.org, mail at domainzwei.org
@domaindrei.de              mail at domaindrei.de



Am Montag, den 07.09.2015, 15:42 +0200 schrieb Kai Fürstenberg:
> Am 07.09.2015 um 15:32 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > @Peter
> > sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf. 
> > 
> > @Kai
> > da hast du mich etwas missverstanden. Stell dir folgendes vor:
> > Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> > chef at grosserkonzern.de mit Virus etc. an
> > mitarbeiter1 at grosserkonzern.de .
> > Ich finde das sehr uncool.
> > 
> > Auch SPAM lassen sich so innerhalb der Domain versenden.
> > 
> > Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> > smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> > innerhalb meiner Domain eine Email versende.
> > 
> > Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> > Wer mir nicht glauben will, bittet testet es an euren EMail Servern.
> 
> du könntest mit reject_sender_login_mismatch oder
> reject_unauthenticated_sender_login_mismatch in den
> smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
> zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.
> 

-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 10:15:20 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 10:15:20 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EDA1FE.3050701@brain-force.ch>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
 <55EDA1FE.3050701@brain-force.ch>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A8C@SERVER-DC.vr.local>

Guten Morgen Tobi,

wie sieht der Eintrag in der smtpd_sender_restrictions dafür aus?


Am Montag, den 07.09.2015, 16:41 +0200 schrieb Tobi:
> Am 07.09.2015 um 14:42 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > Hallo Liste,
> > 
> > ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> > Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> > ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> > nicht offen).
> > 
> > Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> > funktionierenden Ansatz gefunden :(
> > 
> > Mit freundlichen Grüßen 
> > 
> 
> an Port 25 Absenderadressen deiner Domain rundweg verbieten (mittels
> smtpd_sender_restrictions) und an Port 587 die Auth erzwingen.
> Alternativ könnte man es ev auch so lösen, dass an Port 25 erst
> permit_sasl_authenticated und dann ein check_sender_access (die dann
> deine Domain(s) als Absender verbietet)
> 

-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 10:18:27 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 10:18:27 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EE2B7A.4010901@lonestar-bbs.de>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
 <55EE2B7A.4010901@lonestar-bbs.de>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A8D@SERVER-DC.vr.local>

Guten Morgen Andreas,

in mynetworks habe ich nur die localhost stehen.
Mit der Reihenfolge permit_mynetworks etc. habe ich schon gespielt.
Leider ohne irgendwelche Auswirkungen auf die Auth. 

Am Dienstag, den 08.09.2015, 03:27 +0300 schrieb Andreas Tauscher:
> On 09/07/2015 03:42 PM, christoph.machon at Verzinkerei-Rentrop.de wrote:
> > Hallo Liste,
> > 
> > ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> > Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> > ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> > nicht offen).
> > 
> > Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> > funktionierenden Ansatz gefunden :( 
> 
> Wie sieht denn mynetworks aus?
> sicherlich etwa so:
> 
> mynetworks = 127.0.0.0/8 internes-netz/maske
> 
> und wenn dann kommt doch in smtpd_recipient_restrictions mit Sicherheit
> permit_mynetworks vor permit_sasl_authenticated?
> 
> Damit sagst Du postfix ganz eindeutig: Alles was aus $mynetworks kommt
> ist auch ohne auth OK.
> 
> Also: Aus mynetworks rausnehmen was da nicht sein muß. Ist dann also auf
> 127.0.0.0/8 reduziert. Falls Du Server o.ä. hast was sich nicht
> authentifizieren kann oder will: Einzeln in mynetworks aufnehmen und
> permit_mynetworks kommt irgendwo gaaaaaaanz weit hinten in
> smtpd_recipient_restrictions. permit_sasl_authenticated kommt schon
> ziemlich am Anfang.
> Port 25 ist für Clients verboten. Die müssen submission benutzen.
> Ansonsten verschenkt man sich viele Möglichkeiten mit amavis policy banks.
> *_sender_login_mismatch ist natürlich zusätzlich keine schlechte Idee.
> Für wichtige/kritische mailadressen dann noch eingene DKIM Signaturen,
> die auch intern strikt geprüft werden.
> Eigentlich alles intern genauso strikt prüfen als wenn es von extern
> wäre. Ausnahme: RBLs abfragen ist im LAN natürlich etwas sinnfrei.
> 
> 
> Andi
> 

-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From olaf at zaplinski.de  Tue Sep  8 10:35:05 2015
From: olaf at zaplinski.de (Olaf Zaplinski)
Date: Tue, 08 Sep 2015 10:35:05 +0200
Subject: postfix/dovecot: SASL Auth in SMTP =?UTF-8?Q?f=C3=BCr=20alle?=
 =?UTF-8?Q?=20EMails=20=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A8D@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A87@SERVER-DC.vr.local>
 <55EE2B7A.4010901@lonestar-bbs.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8D@SERVER-DC.vr.local>
Message-ID: <d41fd81c339049c8635c8002f786dd09@mail.zaplinski.de>

Ich hatte das Problem etwas anders gelöst:

smtpd_recipient_restrictions =
         permit_mynetworks
         permit_sasl_authenticated
         check_client_access cidr:$config_directory/blocked_clients.cidr
         check_client_access 
regexp:$config_directory/blocked_clients.regexp
         check_client_access regexp:$config_directory/greylisted.regexp
         check_sender_access 
regexp:$config_directory/blocked_sender.regexp

... und in blocked_sender.regexp dann z.B.

/@zaplinski\.de/        REJECT you are not zaplinski.de

Olaf


From Christian.Schmidt at chemie.uni-hamburg.de  Tue Sep  8 10:46:26 2015
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Tue, 8 Sep 2015 10:46:26 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
Message-ID: <55EEA062.5050303@chemie.uni-hamburg.de>

On 08.09.2015 10:13, christoph.machon at Verzinkerei-Rentrop.de wrote:
> danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
> 
> Versuch auf Port 25:
> Connected to mail.meinedomain.org.
> Escape character is '^]'.
> 220 mail.meinedomain.org ESMTP (FreeBSD)
> EHLO meinedomain.org
> 250-meinedomain.org
> 250-PIPELINING
> 250-SIZE 50000000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
> mail from: fantasie at google.com (ausgedachte email Adresse)
> 250 2.1.0 Ok
> rcpt to: mail at domaindrei.de
> 250 2.1.5 Ok
> 
> Woran kann das liegen?

Ist Dein Mailserver "final destination" für "domaindrei.de"?
Oder anders formuliert: Ist "domaindrei.de" als lokale Domain definiert,
für die er Mails *ANNEHMEN* (NICHT relayen) soll?

Mit freundlichen Grüßen
Christian Schmidt

-- 
No signature available.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5326 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150908/b0c1e9fd/attachment.p7s>

From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 10:56:43 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 10:56:43 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEA062.5050303@chemie.uni-hamburg.de>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEA062.5050303@chemie.uni-hamburg.de>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>

Ich hoffe ich habe dich richtig verstanden.
Also der Server läuft unter domainzwei.org. domaindrei.de ist eine von
drei domains auf dem paar user liegen.

Am Dienstag, den 08.09.2015, 10:46 +0200 schrieb Christian Schmidt:
> On 08.09.2015 10:13, christoph.machon at Verzinkerei-Rentrop.de wrote:
> > danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> > funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> > alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
> > 
> > Versuch auf Port 25:
> > Connected to mail.meinedomain.org.
> > Escape character is '^]'.
> > 220 mail.meinedomain.org ESMTP (FreeBSD)
> > EHLO meinedomain.org
> > 250-meinedomain.org
> > 250-PIPELINING
> > 250-SIZE 50000000
> > 250-VRFY
> > 250-ETRN
> > 250-STARTTLS
> > 250-ENHANCEDSTATUSCODES
> > 250-8BITMIME
> > 250 DSN
> > mail from: fantasie at google.com (ausgedachte email Adresse)
> > 250 2.1.0 Ok
> > rcpt to: mail at domaindrei.de
> > 250 2.1.5 Ok
> > 
> > Woran kann das liegen?
> 
> Ist Dein Mailserver "final destination" für "domaindrei.de"?
> Oder anders formuliert: Ist "domaindrei.de" als lokale Domain definiert,
> für die er Mails *ANNEHMEN* (NICHT relayen) soll?
> 
> Mit freundlichen Grüßen
> Christian Schmidt
> 

-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From Christian.Schmidt at chemie.uni-hamburg.de  Tue Sep  8 11:23:37 2015
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Tue, 8 Sep 2015 11:23:37 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEA062.5050303@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>
Message-ID: <55EEA919.8050704@chemie.uni-hamburg.de>

On 08.09.2015 10:56, christoph.machon at Verzinkerei-Rentrop.de wrote:
> Ich hoffe ich habe dich richtig verstanden.
> Also der Server läuft unter domainzwei.org. domaindrei.de ist eine von
> drei domains auf dem paar user liegen.

Es wäre nett, wenn Du auf dieser Mailingliste auf TOFU ("Text oben,
Fullquote unten") verzichten könntest.

Mails an ... at domain(eins|zwei|drei).org soll Deine Maschine also
*annehmen* und lokal zustellen. Es wäre etwas kontraproduktiv, dafür von
anderen (Servern) eine Authentifizierung zu verlangen.

Mit freundlichen Grüßen
Christian Schmidt

-- 
No signature available.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5326 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150908/14748ef3/attachment.p7s>

From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 11:37:45 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 11:37:45 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEA919.8050704@chemie.uni-hamburg.de>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEA062.5050303@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>
 <55EEA919.8050704@chemie.uni-hamburg.de>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 11:23 +0200 schrieb Christian Schmidt:
> On 08.09.2015 10:56, christoph.machon at Verzinkerei-Rentrop.de wrote:
> > Ich hoffe ich habe dich richtig verstanden.
> > Also der Server läuft unter domainzwei.org. domaindrei.de ist eine von
> > drei domains auf dem paar user liegen.
> 
> Es wäre nett, wenn Du auf dieser Mailingliste auf TOFU ("Text oben,
> Fullquote unten") verzichten könntest.
> 
> Mails an ... at domain(eins|zwei|drei).org soll Deine Maschine also
> *annehmen* und lokal zustellen. Es wäre etwas kontraproduktiv, dafür von
> anderen (Servern) eine Authentifizierung zu verlangen.
> 
> Mit freundlichen Grüßen
> Christian Schmidt
> 
Hallo Christian,

da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
drei) versendet. Sprich auf von "ausgedachten" EMail Adressen. 

Die Auth. greift wenn ich von @domaineins auf zb. @domaindrei per telnet
versenden will. Wenn ich aber @fantasiedomain.de auf zb @domaineins
sende will, dann greif die Regel nicht mehr. 

Und das ist eben das schlimme.

-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From wn at neessen.net  Tue Sep  8 11:46:28 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 08 Sep 2015 11:46:28 +0200
Subject: =?UTF-8?Q?Re=3A_postfix/dovecot=3A_SASL_Auth_in_SMTP_f=C3=BCr_al?=
 =?UTF-8?Q?le_EMails_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEA062.5050303@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>
 <55EEA919.8050704@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>
Message-ID: <4b42db3398e7a7d0f8ad1b7446c02d81@neessen.net>

Hi,

Am 2015-09-08 11:37, schrieb christoph.machon at Verzinkerei-Rentrop.de:

>> [TOFU removed]
>> 
> da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
> per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
> drei) versendet. Sprich auf von "ausgedachten" EMail Adressen.
> 

Ich verstehe nicht ganz was das mit telnet zu tun hat? Telnet ist 
einfach nur
ein Client, der es Dir einfach macht auf bestimmten TCP Port zuzugreifen 
und
dort Kommandos abzusetzen. Du kannst auch netcat nutzen oder einfach 
einen
TCP Socket oeffnen und dort die Kommandos absetzen (so wie es halt ein
ausliefernder Mailserver auch macht). Das macht alles keinen 
Unterschied.

Und was die ausgedachten Adressen angeht, woher willst Du wissen das sie
ausgedacht ist? Ist ist doch voellig valide, dass es 
fantasieadresse at gmail.com
gibt und das diese zufaelligerweise an Dich eine Mail senden will. Es 
macht
absolut keinen Sinn, dass Gmail sich jetzt erstmal authentifizieren 
muesste
(mal davon abgesehen, dass sie es garnicht koennten, weil sie nicht 
wissen
wie und womit).

Ohne Dir zu Nahe treten zu wollen, aber ich bin mir nicht ganz sicher, 
ob Du
das Konzept Mailserver bzw. SMTP komplett richtig verstanden hast. 
Vielleicht
solltest Du da nochmal etwas nachforschen und nachlesen.


Winni


From kai_postfix at fuerstenberg.ws  Tue Sep  8 11:47:54 2015
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Tue, 8 Sep 2015 11:47:54 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEA062.5050303@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>
 <55EEA919.8050704@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>
Message-ID: <55EEAECA.6060404@fuerstenberg.ws>

Am 08.09.2015 um 11:37 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
> per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
> drei) versendet. Sprich auf von "ausgedachten" EMail Adressen. 

da verstehst du aber was falsch:
Wenn ich per Telnet auf Port 25 connecte habe ich die gleiche Verbindung
wie jeder anderer Server oder irgendein anderer Client auch.
Du kannst also nicht per Telnet auf 25 blocken und die Server, die auch
auf 25 kommen, dürfen durch.

Anders sieht die Sache aus, wenn ich mittels SSH per Telnet auf
localhost connecte. Aber auch das ist Port 25.

> Die Auth. greift wenn ich von @domaineins auf zb. @domaindrei per telnet
> versenden will. Wenn ich aber @fantasiedomain.de auf zb @domaineins
> sende will, dann greif die Regel nicht mehr. 
> 
> Und das ist eben das schlimme.

reject_unauthenticated_sender_login_mismatch, oder alternativ alles, was
nach permit_sasl_authenticated noch kommt und trotzdem vorgibt von dir
zu sein blocken (hast du ja schon gemacht).

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From technoworx at gmx.de  Tue Sep  8 11:49:13 2015
From: technoworx at gmx.de (Alexander Stoll)
Date: Tue, 8 Sep 2015 11:49:13 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEA062.5050303@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A91@SERVER-DC.vr.local>
 <55EEA919.8050704@chemie.uni-hamburg.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A92@SERVER-DC.vr.local>
Message-ID: <55EEAF19.4040801@gmx.de>

Am 08.09.2015 um 11:37 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> Hallo Christian,
>
> da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
> per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
> drei) versendet. Sprich auf von "ausgedachten" EMail Adressen.
>
> Die Auth. greift wenn ich von @domaineins auf zb. @domaindrei per telnet
> versenden will. Wenn ich aber @fantasiedomain.de auf zb @domaineins
> sende will, dann greif die Regel nicht mehr.
>
> Und das ist eben das schlimme.

Ein kleiner Tipp, wie man den Dialog _etwas_ effizienter machen könnte, 
damit nicht 20 mal nachgefragt werden muss und noch immer keiner ein 
vollständiges Bild von Deiner Problemstellung hat:

Nimm Dir doch bitte einmal ein paar Minuten Zeit und hack nicht wirr 
Teilinformationen in die Liste, lass Telnet weg, völlig unrelevant, 
verwende eindeutige Begrifflichkeiten wie Domain und Lokalpart, 
klassifiziere die Domains als Final Destination, Relay, 
fremd/eigen/nicht im DNS.
Dann klappts sicher auch mit dem Verständnis der Problemstellung und 
zielgerichteter Hilfe...

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2596 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150908/0a5c4501/attachment.p7s>

From tobster at brain-force.ch  Tue Sep  8 11:53:09 2015
From: tobster at brain-force.ch (Tobi)
Date: Tue, 8 Sep 2015 11:53:09 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
Message-ID: <55EEB005.7020901@brain-force.ch>

Am 08.09.2015 um 10:13 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> Guten Morgen, 
> 
> danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
> 
> Versuch auf Port 25:
> Connected to mail.meinedomain.org.
> Escape character is '^]'.
> 220 mail.meinedomain.org ESMTP (FreeBSD)
> EHLO meinedomain.org
> 250-meinedomain.org
> 250-PIPELINING
> 250-SIZE 50000000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
> mail from: fantasie at google.com (ausgedachte email Adresse)
> 250 2.1.0 Ok
> rcpt to: mail at domaindrei.de
> 250 2.1.5 Ok
> 
> 
> Woran kann das liegen?
> 

willst du denn auf Port 25 keine Mails von extern annehmen? Wenn du die
"anderen" Domains als Sender verbietest, dann nimmst du keine Mails von
extern mehr entgegen und das ist doch kaum in deinem Sinne, oder? Google
kann sich ja nicht bei dir authentifzieren.



From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 12:10:37 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 12:10:37 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEB005.7020901@brain-force.ch>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 11:53 +0200 schrieb Tobi:
> Am 08.09.2015 um 10:13 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > Guten Morgen, 
> > 
> > danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> > funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> > alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
> > 
> > Versuch auf Port 25:
> > Connected to mail.meinedomain.org.
> > Escape character is '^]'.
> > 220 mail.meinedomain.org ESMTP (FreeBSD)
> > EHLO meinedomain.org
> > 250-meinedomain.org
> > 250-PIPELINING
> > 250-SIZE 50000000
> > 250-VRFY
> > 250-ETRN
> > 250-STARTTLS
> > 250-ENHANCEDSTATUSCODES
> > 250-8BITMIME
> > 250 DSN
> > mail from: fantasie at google.com (ausgedachte email Adresse)
> > 250 2.1.0 Ok
> > rcpt to: mail at domaindrei.de
> > 250 2.1.5 Ok
> > 
> > 
> > Woran kann das liegen?
> > 
> 
> willst du denn auf Port 25 keine Mails von extern annehmen? Wenn du die
> "anderen" Domains als Sender verbietest, dann nimmst du keine Mails von
> extern mehr entgegen und das ist doch kaum in deinem Sinne, oder? Google
> kann sich ja nicht bei dir authentifzieren.
> 

von extern will ich schon Emails annehmen, was auch prima klappt. Was
ich nicht will ist,  das ein Angreifer sich auf meinen EMail Server per
"telnet mail.meinserver.de 25" verbindet und an meine Domains wild SPAM
oder Viren/Trojaner etc. verschickt (was im Augenblick möglich ist).

EHLO meinserver.de
...
mail from: test at test.com
250 ...
rctp to: mail at meineanderedomain.de
250 ...

Allein das ist mein Problem.Alles andere funktioniert.


-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From technoworx at gmx.de  Tue Sep  8 12:15:29 2015
From: technoworx at gmx.de (Alexander Stoll)
Date: Tue, 8 Sep 2015 12:15:29 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
Message-ID: <55EEB541.7000808@gmx.de>

Am 08.09.2015 um 12:10 schrieb christoph.machon at Verzinkerei-Rentrop.de:

> von extern will ich schon Emails annehmen, was auch prima klappt.
> Was ich nicht will ist,  das ein Angreifer sich auf meinen EMail
> Server per "telnet mail.meinserver.de 25" verbindet und an meine
> Domains wild SPAM oder Viren/Trojaner etc. verschickt (was im
> Augenblick möglich ist).
>
> EHLO meinserver.de ... mail from: test at test.com 250 ... rctp to:
> mail at meineanderedomain.de 250 ...
>
> Allein das ist mein Problem.Alles andere funktioniert.
Dann ist es ja ganz einfach, wenn Du grundsätzlich diese Möglichkeit
ausschalten willst, einfach Stecker ziehen - ooops geht jetzt keine Mail 
mehr? Für alles dazwischen drehen wir uns nun schon geraume Zeit im Kreis...

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2596 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150908/94775100/attachment.p7s>

From gregor at a-mazing.de  Tue Sep  8 12:22:37 2015
From: gregor at a-mazing.de (Gregor Hermens)
Date: Tue, 8 Sep 2015 12:22:37 +0200
Subject: postfix/dovecot: SASL Auth in SMTP
 =?utf-8?q?f=C3=BCr_alle_EMails?= (telnet)
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
Message-ID: <201509081222.37859@office.a-mazing.net>

Hallo Christoph,

Am Dienstag, 8. September 2015 schrieb christoph.machon at verzinkerei-
rentrop.de:
> von extern will ich schon Emails annehmen, was auch prima klappt. Was
> ich nicht will ist,  das ein Angreifer sich auf meinen EMail Server per
> "telnet mail.meinserver.de 25" verbindet und an meine Domains wild SPAM
> oder Viren/Trojaner etc. verschickt (was im Augenblick möglich ist).

dein Postfix kann nicht erkennen, ob ein Client auf seiner Seite Postfix, 
Exchange, QMail, Sendmail oder eben Telnet oder sonstwas verwendet, um sich 
mit deinem Mailserver zu verbinden. Das spielt auch keine Rolle.

Wenn du Spam und Viren nicht annehmen willst, musst du auf deiner Seite 
entsprechende Schutzmaßnahmen ergreifen. Stichworte: Postscreen, Amavis, 
SpamAssassin, ClamAV, ...

Schau mal auf http://www.postfix.org/docs.html unter "UCE/Virus" als ersten 
Ausgangspunkt.

hth
Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/


From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 12:26:16 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 12:26:16 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEB541.7000808@gmx.de>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB541.7000808@gmx.de>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A94@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 12:15 +0200 schrieb Alexander Stoll:
> Am 08.09.2015 um 12:10 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> 
> > von extern will ich schon Emails annehmen, was auch prima klappt.
> > Was ich nicht will ist,  das ein Angreifer sich auf meinen EMail
> > Server per "telnet mail.meinserver.de 25" verbindet und an meine
> > Domains wild SPAM oder Viren/Trojaner etc. verschickt (was im
> > Augenblick möglich ist).
> >
> > EHLO meinserver.de ... mail from: test at test.com 250 ... rctp to:
> > mail at meineanderedomain.de 250 ...
> >
> > Allein das ist mein Problem.Alles andere funktioniert.
> Dann ist es ja ganz einfach, wenn Du grundsätzlich diese Möglichkeit
> ausschalten willst, einfach Stecker ziehen - ooops geht jetzt keine Mail 
> mehr? Für alles dazwischen drehen wir uns nun schon geraume Zeit im Kreis...
das merke ich schon ;)

Der Tipp mit *_sender_login_mismatch was schon fast perfekt. Werde mir
den Ansatz von Olaf Zaplinski anschauen. Mal sehen ob ich dann mein
Problem beseitigt bekomme.

Werde dann die Lösung für das Problem hier schreiben. 
-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From kai_postfix at fuerstenberg.ws  Tue Sep  8 12:27:53 2015
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Tue, 8 Sep 2015 12:27:53 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
Message-ID: <55EEB829.7020805@fuerstenberg.ws>

Am 08.09.2015 um 12:10 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> von extern will ich schon Emails annehmen, was auch prima klappt. Was
> ich nicht will ist,  das ein Angreifer sich auf meinen EMail Server per
> "telnet mail.meinserver.de 25" verbindet und an meine Domains wild SPAM
> oder Viren/Trojaner etc. verschickt (was im Augenblick möglich ist).
> 
> EHLO meinserver.de
> ...
> mail from: test at test.com
> 250 ...
> rctp to: mail at meineanderedomain.de
> 250 ...
> 
> Allein das ist mein Problem.Alles andere funktioniert.

Das ist kein Problem, das ist so vorgesehen. Du musst dich von der
Vorstellung verabschieden, dass Telnet was anderes ist als ein
Serverconnect. Die connecten beide (Server und Hacker) auf 25 und
schicken beide die gleichen Kommandos egal ob Hacker über Telnet oder
irgendein anderer Server.

Vergiss Telnet!!!

Was du absichern musst, ist dein SSH. Wenn dort jemand reinkommt, kann
er durch permit_mynetworks senden was er will. Möglicherweise
verwechselst du genau das mit dem, was du "Telnet" nennst. Wenn aber
einer über SSH bei dir reinkommt, dann ist Spamversand das kleinste
Problem, das du dann hast.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 12:34:58 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 12:34:58 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEB829.7020805@fuerstenberg.ws>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 12:27 +0200 schrieb Kai Fürstenberg:
> Am 08.09.2015 um 12:10 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > von extern will ich schon Emails annehmen, was auch prima klappt. Was
> > ich nicht will ist,  das ein Angreifer sich auf meinen EMail Server per
> > "telnet mail.meinserver.de 25" verbindet und an meine Domains wild SPAM
> > oder Viren/Trojaner etc. verschickt (was im Augenblick möglich ist).
> > 
> > EHLO meinserver.de
> > ...
> > mail from: test at test.com
> > 250 ...
> > rctp to: mail at meineanderedomain.de
> > 250 ...
> > 
> > Allein das ist mein Problem.Alles andere funktioniert.
> 
> Das ist kein Problem, das ist so vorgesehen. Du musst dich von der
> Vorstellung verabschieden, dass Telnet was anderes ist als ein
> Serverconnect. Die connecten beide (Server und Hacker) auf 25 und
> schicken beide die gleichen Kommandos egal ob Hacker über Telnet oder
> irgendein anderer Server.
> 
> Vergiss Telnet!!!
> 
> Was du absichern musst, ist dein SSH. Wenn dort jemand reinkommt, kann
> er durch permit_mynetworks senden was er will. Möglicherweise
> verwechselst du genau das mit dem, was du "Telnet" nennst. Wenn aber
> einer über SSH bei dir reinkommt, dann ist Spamversand das kleinste
> Problem, das du dann hast.
> 
*HUST*

nenne mir deinen EMail Server , dann zeige ich dir das was ich meine ;)
-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From kai_postfix at fuerstenberg.ws  Tue Sep  8 12:39:57 2015
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Tue, 8 Sep 2015 12:39:57 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
Message-ID: <55EEBAFD.9080309@fuerstenberg.ws>

Am 08.09.2015 um 12:34 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> *HUST*
> 
> nenne mir deinen EMail Server , dann zeige ich dir das was ich meine ;)

xserv01.mxservices.de
oder alternativ auch mx2.mxservices.de

such dir einen aus.
Soll ich dir noch die Konfiguration posten?

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From tobster at brain-force.ch  Tue Sep  8 12:50:10 2015
From: tobster at brain-force.ch (Tobi)
Date: Tue, 8 Sep 2015 12:50:10 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A94@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB541.7000808@gmx.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A94@SERVER-DC.vr.local>
Message-ID: <55EEBD62.4030209@brain-force.ch>

Am 08.09.2015 um 12:26 schrieb christoph.machon at Verzinkerei-Rentrop.de:

> 
> Der Tipp mit *_sender_login_mismatch was schon fast perfekt. Werde mir
> den Ansatz von Olaf Zaplinski anschauen. Mal sehen ob ich dann mein
> Problem beseitigt bekomme.
> 
> Werde dann die Lösung für das Problem hier schreiben. 
> 
diese Restrictions können aber für beliebige Absender nicht greifen. Du
kannst damit einzig verhindern, dass jemand Spam an deine User mit einem
deiner Absender schickt. Du kannst damit aber nicht verhindern, dass
z.B. eine gmail Adresse deine User mit Spam vollballert. Zumindest dann
nicht wenn du grundsätzlich Mails von extern an deine Domains erlauben
willst.

Das mit den Phantasieadressen (Absender) ist so ein Sache. Der einzige
vernüftige Check wäre es zu prüfen ob die Absenderdomain im DNS gefunden
werden kann. Alles andere z.B. Sender Verification ist nicht sehr
zuverlässig und u.U. auch sehr unbeliebt.

Wenn du möglichst wenig Spam bekommen willst, dann installier dir einen
vernünftigen Spamfilter und trainiere ihn. Gegen Viren können
Virenscanner helfen. Gegen Bots ist imho postscreen ein sehr
wirkungsvollen Mittel (http://www.postfix.org/POSTSCREEN_README.html).
Oder auch greylisting kann etwas Abhilfe schaffen.



From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 13:07:16 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 13:07:16 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEBAFD.9080309@fuerstenberg.ws>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 12:39 +0200 schrieb Kai Fürstenberg:
> Am 08.09.2015 um 12:34 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > *HUST*
> > 
> > nenne mir deinen EMail Server , dann zeige ich dir das was ich meine ;)
> 
> xserv01.mxservices.de
> oder alternativ auch mx2.mxservices.de
> 
> such dir einen aus.
> Soll ich dir noch die Konfiguration posten?
> 

Ich behaupte mal, das es bei dir gut aussieht nach 2min-Test.

telnet xserv01.mxservices.de 25
Trying 85.114.130.161...
Connected to xserv01.mxservices.de.
Escape character is '^]'.
220 xserv01.mxservices.de ESMTP Postfix
EHLO mxservices.de
250-xserv01.mxservices.de
250-PIPELINING
250-SIZE 40000000
250-ETRN
250-STARTTLS
250-AUTH CRAM-MD5 DIGEST-MD5 PLAIN LOGIN
250-AUTH=CRAM-MD5 DIGEST-MD5 PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250 8BITMIME
MAIL FROM:<foo at bar.de>
250 2.1.0 Ok
RCPT TO:<kai at fuerstenberg.ws>
554 5.7.1 <kai at fuerstenberg.ws>: Recipient address rejected: Access
denied

Und das will ich auch so auf meinem Mail Server.




-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.


From wn at neessen.net  Tue Sep  8 13:15:17 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 08 Sep 2015 13:15:17 +0200
Subject: =?UTF-8?Q?Re=3A_postfix/dovecot=3A_SASL_Auth_in_SMTP_f=C3=BCr_al?=
 =?UTF-8?Q?le_EMails_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A94@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB541.7000808@gmx.de>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A94@SERVER-DC.vr.local>
Message-ID: <de49eea4023911dd8c153b65d9c688d6@neessen.net>

Hi,

Am 2015-09-08 12:26, schrieb christoph.machon at Verzinkerei-Rentrop.de:

> Der Tipp mit *_sender_login_mismatch was schon fast perfekt. Werde mir
> den Ansatz von Olaf Zaplinski anschauen. Mal sehen ob ich dann mein
> Problem beseitigt bekomme.
> 

Ich fuerchte, dass das Dein "Problem" nicht loesen wird. Dein Problem 
ist, dass Du denkst
dass telnet etwas anderes macht, als ein normaler Mailserver. Du musst 
davon wegkommen,
dass telnet etwas ermoeglicht, was andere Tools nicht ermoeglichen oder 
dass eine
telnet etwas anderes ist als eine plain TCP Verbidung zu Deinem 
Mailserver, so wie es
jeder andere Mailserver auch tut.

Wenn Du dieses Problem "behoben" hast, sollte alles in Butter sein.


Winni



From wn at neessen.net  Tue Sep  8 13:18:32 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 08 Sep 2015 13:18:32 +0200
Subject: =?UTF-8?Q?Re=3A_postfix/dovecot=3A_SASL_Auth_in_SMTP_f=C3=BCr_al?=
 =?UTF-8?Q?le_EMails_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
Message-ID: <d392283283852ff387968fb0e38c5099@neessen.net>

Hi,

Am 2015-09-08 13:07, schrieb christoph.machon at Verzinkerei-Rentrop.de:

> RCPT TO:<kai at fuerstenberg.ws>
> 554 5.7.1 <kai at fuerstenberg.ws>: Recipient address rejected: Access
> denied
> 
> Und das will ich auch so auf meinem Mail Server.
> 

Das hat aber nichts mit dem zu tun, was Du bisher beschrieben hast. Hier 
wird ganz
normal das relaying verboten. Das ist heutzutage Standard bei Postfix. 
Was Du
beschrieben hast, ist das der Mailserver sich authentifizieren soll, 
wenn
"Fantasieadresse" versucht eine Mail an eine Adresse zu schicken, fuer 
die sich
der Server zustaendig fuehlt. Das ist nicht moeglich und widerspricht 
auch dem
Sinn von Email.


Winni


From kai_postfix at fuerstenberg.ws  Tue Sep  8 13:23:56 2015
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Tue, 8 Sep 2015 13:23:56 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
Message-ID: <55EEC54C.9040402@fuerstenberg.ws>

Am 08.09.2015 um 13:07 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> Am Dienstag, den 08.09.2015, 12:39 +0200 schrieb Kai Fürstenberg:
>> Am 08.09.2015 um 12:34 schrieb christoph.machon at Verzinkerei-Rentrop.de:
>>> *HUST*
>>>
>>> nenne mir deinen EMail Server , dann zeige ich dir das was ich meine ;)
>>
>> xserv01.mxservices.de
>> oder alternativ auch mx2.mxservices.de
>>
>> such dir einen aus.
>> Soll ich dir noch die Konfiguration posten?
>>
> 
> Ich behaupte mal, das es bei dir gut aussieht nach 2min-Test.
> 
> telnet xserv01.mxservices.de 25
> Trying 85.114.130.161...
> Connected to xserv01.mxservices.de.
> Escape character is '^]'.
> 220 xserv01.mxservices.de ESMTP Postfix
> EHLO mxservices.de
> 250-xserv01.mxservices.de
> 250-PIPELINING
> 250-SIZE 40000000

hab ich die Mail-Size echt auf 40MB gesetzt?
das muss ich unbedingt mal ändern... ;-)

> 250-ETRN
> 250-STARTTLS
> 250-AUTH CRAM-MD5 DIGEST-MD5 PLAIN LOGIN
> 250-AUTH=CRAM-MD5 DIGEST-MD5 PLAIN LOGIN
> 250-ENHANCEDSTATUSCODES
> 250 8BITMIME
> MAIL FROM:<foo at bar.de>
> 250 2.1.0 Ok
> RCPT TO:<kai at fuerstenberg.ws>
> 554 5.7.1 <kai at fuerstenberg.ws>: Recipient address rejected: Access
> denied
> 
> Und das will ich auch so auf meinem Mail Server.

hihi, das besondere an diesem Server ist, dass er nur Mails aus dem
eigenen Netzwerk annimmt oder von Usern die authentifiziert sind. Alles
andere wird abgelehnt.

Das ist in meiner Serverstruktur auch genau so vorgesehen. Mails, die
bei mir rein sollen/wollen, müssen über den mx2, der ist als MX für die
Domain eingetragen. Und der MX verteilt die Mails dann abhängig vom
Empfänger an die anderen Server.

Aber egal: wenn du den mx2 benutzt, wirst du feststellen, dass du mir
Mails senden kannst. Klasse! Dafür hättest du auch einfach deinen ganz
normalen Client nehmen können, weil du mit Telnet eben auch nur eine
Client-Verbindung zu meinem Server aufbaust. Wenn du das nicht
verstehst, kann ich dir nicht mehr helfen und bin raus.

Das Log deines Connects sieht jedenfalls nicht anders aus, als bei jedem
anderen Server auch:

Sep 8 13:11:55 xserv01 postfix/smtpd[26944]: connect from
p578b253c.dip0.t-ipconnect.de[87.139.37.60]
Sep 8 13:12:10 xserv01 postfix/smtpd[26944]: lost connection after
UNKNOWN from p578b253c.dip0.t-ipconnect.de[87.139.37.60]
Sep 8 13:12:10 xserv01 postfix/smtpd[26944]: disconnect from
p578b253c.dip0.t-ipconnect.de[87.139.37.60]
Sep 8 13:13:40 xserv01 postfix/smtpd[26944]: connect from
p578b253c.dip0.t-ipconnect.de[87.139.37.60]
Sep 8 13:14:19 xserv01 postfix/smtpd[26944]: NOQUEUE: reject: RCPT from
p578b253c.dip0.t-ipconnect.de[87.139.37.60]: 554 5.7.1
<kai at fuerstenberg.ws>: Recipient address rejected: Access denied;
from=<foo at bar.de> to=<kai at fuerstenberg.ws> proto=ESMTP helo=<mxservices.de>
Sep 8 13:14:26 xserv01 postfix/smtpd[26944]: lost connection after RCPT
from p578b253c.dip0.t-ipconnect.de[87.139.37.60]
Sep 8 13:14:26 xserv01 postfix/smtpd[26944]: disconnect from
p578b253c.dip0.t-ipconnect.de[87.139.37.60]



-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From tobster at brain-force.ch  Tue Sep  8 13:27:26 2015
From: tobster at brain-force.ch (Tobi)
Date: Tue, 8 Sep 2015 13:27:26 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
Message-ID: <55EEC61E.6050807@brain-force.ch>

Am 08.09.2015 um 13:07 schrieb christoph.machon at Verzinkerei-Rentrop.de:

> telnet xserv01.mxservices.de 25
...
> MAIL FROM:<foo at bar.de>
> 250 2.1.0 Ok
> RCPT TO:<kai at fuerstenberg.ws>
> 554 5.7.1 <kai at fuerstenberg.ws>: Recipient address rejected: Access
> denied
> 
> Und das will ich auch so auf meinem Mail Server.
> 
> 
> 
> 
hast du mal im DNS geguckt ob dieser Server überhaupt zuständig ist für
die besagte Domain? Gemäss meinen DNS Servern ist er es nicht, von daher
logisch dass er (hart) ablehnt.
Verbinde dich mit dem zuständigen Server (mx2.mxservices.de) und du
bekommst nur einen 450-er Fehler (wahrscheinlich wegen Greylisting)

telnet mx2.mxservices.de 25
...
450 4.3.2 Service currently unavailable
QUIT



From olaf at zaplinski.de  Tue Sep  8 13:33:21 2015
From: olaf at zaplinski.de (Olaf Zaplinski)
Date: Tue, 08 Sep 2015 13:33:21 +0200
Subject: postfix/dovecot: SASL Auth in SMTP =?UTF-8?Q?f=C3=BCr=20alle?=
 =?UTF-8?Q?=20EMails=20=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
Message-ID: <c3a2fda86e513a9f895b853095afb3ea@mail.zaplinski.de>

Am 2015-09-08 13:07, schrieb christoph.machon at Verzinkerei-Rentrop.de:
> MAIL FROM:<foo at bar.de>

Vorsicht bei Tests mit validen Absendern.

Der MXer dieser Domain ist übrigens lustig:

# telnet mail1.lemarit.de. 25
Trying 81.209.198.1...
Connected to mail1.lemarit.de.
Escape character is '^]'.
220 mail1.lemarit.de ESMTP spamd IP-based SPAM blocker; Tue Sep  8 
13:31:04 2015
ehlo binky.tuxfriends.net
250 Hello, spam sender. Pleased to be wasting your time.
mail from:<olaf at zaplinski.de>
250 You are about to try to deliver spam. Your time will be spent, for 
nothing.
rcpt to:<foo at bar.de>
250 This is hurting you more than it is hurting me.
data
451 Temporary failure, please try again later.
Connection closed by foreign host.


;-)

Olaf


From tobster at brain-force.ch  Tue Sep  8 13:36:05 2015
From: tobster at brain-force.ch (Tobi)
Date: Tue, 8 Sep 2015 13:36:05 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
Message-ID: <55EEC825.6020606@brain-force.ch>

Am 08.09.2015 um 13:07 schrieb christoph.machon at Verzinkerei-Rentrop.de:

> Und das will ich auch so auf meinem Mail Server.
> 

nur der Vollständigkeit halber: wenn du den korrekten Server probierst
und einen korrekten HELO verwendest (scheinbar prüft er den Reverse zur
IP ob der zum HELO passt) dann wird die Mail klaglos akzeptiert

telnet mx2.mxservices.de 25
Trying 85.114.132.89...
Connected to mx2.mxservices.de.
Escape character is '^]'.
220 mx2.mxservices.de ESMTP Postfix
HELO KORREKTES_HELO
250 mx2.mxservices.de
MAIL FROM: <foo at bar.de>
250 2.1.0 Ok
RCPT TO: <kai at XXX>
250 2.1.5 Ok

falls du noch etwas weiter probieren willst hier auch mein Server:
mail1.brain-force.ch :-)




From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 13:43:41 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 13:43:41 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EEC825.6020606@brain-force.ch>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
 <55EEC825.6020606@brain-force.ch>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A98@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 13:36 +0200 schrieb Tobi:
> Am 08.09.2015 um 13:07 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> 
> > Und das will ich auch so auf meinem Mail Server.
> > 
> 
> nur der Vollständigkeit halber: wenn du den korrekten Server probierst
> und einen korrekten HELO verwendest (scheinbar prüft er den Reverse zur
> IP ob der zum HELO passt) dann wird die Mail klaglos akzeptiert
> 
> telnet mx2.mxservices.de 25
> Trying 85.114.132.89...
> Connected to mx2.mxservices.de.
> Escape character is '^]'.
> 220 mx2.mxservices.de ESMTP Postfix
> HELO KORREKTES_HELO
> 250 mx2.mxservices.de
> MAIL FROM: <foo at bar.de>
> 250 2.1.0 Ok
> RCPT TO: <kai at XXX>
> 250 2.1.5 Ok
> 
> falls du noch etwas weiter probieren willst hier auch mein Server:
> mail1.brain-force.ch :-)
> 
> 

:D
Ja genau, da hatte ich in aller eile das falsche EHLO genommen :(
.
Ich kenne zufällig die Option vom Exchange, welcher JEDE anonyme" EMail
Versand vom Server abgelehnt wird.
Was meiner Meinung nach sinnvoll ist.




-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From tobster at brain-force.ch  Tue Sep  8 14:34:24 2015
From: tobster at brain-force.ch (Tobi)
Date: Tue, 8 Sep 2015 14:34:24 +0200
Subject: =?UTF-8?Q?Re:_postfix/dovecot:_SASL_Auth_in_SMTP_f=c3=bcr_alle_EMai?=
 =?UTF-8?Q?ls_=28telnet=29?=
In-Reply-To: <D6124136FE85974D86564DD8ABF9005701C6E9326A98@SERVER-DC.vr.local>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
 <55EEC825.6020606@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A98@SERVER-DC.vr.local>
Message-ID: <55EED5D0.7080704@brain-force.ch>

Am 08.09.2015 um 13:43 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> .
> Ich kenne zufällig die Option vom Exchange, welcher JEDE anonyme" EMail
> Versand vom Server abgelehnt wird.
> Was meiner Meinung nach sinnvoll ist.
> 
> 
ich glaube du verstehst das grundsätzliche Problem immer noch nicht.
Diese Option geht auch nur dann wenn du von aussen __keine__ Mails
empfangen willst. Sobald du Mails von extern annehmen musst zieht auch
diese Option nicht, weil du der externen Seite nicht beibringen kannst
sich bei deinem Server zu authentifizieren.

Gemäss deinen Beiträge hier gehe ich immer noch davon aus, dass dein
System als MX für deine Domains fungieren soll. Sprich es soll Mails von
extern abnehmen. Unter dieser Voraussetzung bringt diese Option des
Exchange rein gar nichts!




From christoph.machon at Verzinkerei-Rentrop.de  Tue Sep  8 15:03:47 2015
From: christoph.machon at Verzinkerei-Rentrop.de (christoph.machon at Verzinkerei-Rentrop.de)
Date: Tue, 8 Sep 2015 15:03:47 +0200
Subject: =?utf-8?B?UmU6IHBvc3RmaXgvZG92ZWNvdDogU0FTTCBBdXRoIGluIFNNVFAgZsO8ciBh?=
 =?utf-8?B?bGxlIEVNYWlscyAodGVsbmV0KQ==?=
In-Reply-To: <55EED5D0.7080704@brain-force.ch>
References: <D6124136FE85974D86564DD8ABF9005701C6E9326A88@SERVER-DC.vr.local>
 <55ED9436.5050006@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A8B@SERVER-DC.vr.local>
 <55EEB005.7020901@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A93@SERVER-DC.vr.local>
 <55EEB829.7020805@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A95@SERVER-DC.vr.local>
 <55EEBAFD.9080309@fuerstenberg.ws>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A96@SERVER-DC.vr.local>
 <55EEC825.6020606@brain-force.ch>
 <D6124136FE85974D86564DD8ABF9005701C6E9326A98@SERVER-DC.vr.local>
 <55EED5D0.7080704@brain-force.ch>
Message-ID: <D6124136FE85974D86564DD8ABF9005701C6E9326A9A@SERVER-DC.vr.local>

Am Dienstag, den 08.09.2015, 14:34 +0200 schrieb Tobi:
> Am 08.09.2015 um 13:43 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > .
> > Ich kenne zufällig die Option vom Exchange, welcher JEDE anonyme" EMail
> > Versand vom Server abgelehnt wird.
> > Was meiner Meinung nach sinnvoll ist.
> > 
> > 
> ich glaube du verstehst das grundsätzliche Problem immer noch nicht.
> Diese Option geht auch nur dann wenn du von aussen __keine__ Mails
> empfangen willst. Sobald du Mails von extern annehmen musst zieht auch
> diese Option nicht, weil du der externen Seite nicht beibringen kannst
> sich bei deinem Server zu authentifizieren.
> 
> Gemäss deinen Beiträge hier gehe ich immer noch davon aus, dass dein
> System als MX für deine Domains fungieren soll. Sprich es soll Mails von
> extern abnehmen. Unter dieser Voraussetzung bringt diese Option des
> Exchange rein gar nichts!
> 
> 

OK, OK. Stimmt du hast Recht. Habe mich an einem falschen Gedanken zu
sehr festgehalten. 
Habe mir was kleines mit scapy geschrieben um für mich den ganzen SMTP
Vorgang nachzuvollziehen. 
Gut, nun bin ich schlauer :)

Danke an alle!

Der Thread kann somit als geschlossen gelten.




-- 
Christoph Machon <machon at verzinkerei-rentrop.de>

From thomasitcom at gmail.com  Tue Sep  8 18:29:27 2015
From: thomasitcom at gmail.com (Thomas)
Date: Tue, 08 Sep 2015 18:29:27 +0200
Subject: von Exchange Server Emails HTML Teil mit kleinen =?UTF-8?B?Ymluw6Ry?=
 identischen jpg files
Message-ID: <3056310.h1TM7jT1X6@tmprod1>

Hallo,

ich bekomme von einen großen Laden Emails, da sind immer kleine jpg files dran 
die binär identisch sind mit ca. 600 Bytes. Nur ist in dem HTML Emailteil 
natürlich creation und mod Datum anders
Welchen Zweck oder Sinn will der Versender dadurch haben/erreichen?

Gruss





From matthias.doering at mldsc.de  Wed Sep  9 19:27:00 2015
From: matthias.doering at mldsc.de (Matthias Doering)
Date: Wed, 9 Sep 2015 19:27:00 +0200
Subject: =?UTF-8?Q?Re:_von_Exchange_Server_Emails_HTML_Teil_mit_kleinen_bin?=
 =?UTF-8?Q?=c3=a4r_identischen_jpg_files?=
In-Reply-To: <3056310.h1TM7jT1X6@tmprod1>
References: <3056310.h1TM7jT1X6@tmprod1>
Message-ID: <55F06BE4.4040404@mldsc.de>

Könnten das Bilder von der Signatur oder ähnlichem sein?


Am 08.09.2015 um 18:29 schrieb Thomas:
> Hallo,
>
> ich bekomme von einen großen Laden Emails, da sind immer kleine jpg files dran
> die binär identisch sind mit ca. 600 Bytes. Nur ist in dem HTML Emailteil
> natürlich creation und mod Datum anders
> Welchen Zweck oder Sinn will der Versender dadurch haben/erreichen?
>
> Gruss
>
>
>

-- 
Mit freundlichen Grüßen

Matthias Döring



From Django  Tue Sep 22 13:09:58 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 13:09:58 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
Message-ID: <56013706.6060302@nausch.org>

HI,

wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
oder verpackt als ZIP-Archiv?

Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
angenommen werden?

traut sich jemand? ;)


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From stickybit at myhm.de  Tue Sep 22 13:13:49 2015
From: stickybit at myhm.de (Andre)
Date: Tue, 22 Sep 2015 13:13:49 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <560137ED.1020004@myhm.de>

Wir machen das.
Schick deine Mail an stickybit at myhm.de.

Gruß
Andre

Am 22.09.2015 um 13:09 schrieb Django [BOfH]:
> HI,
> 
> wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
> oder verpackt als ZIP-Archiv?
> 
> Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
> und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
> angenommen werden?
> 
> traut sich jemand? ;)
> 
> 
> Servus
> Django
> 


From wn at neessen.net  Tue Sep 22 13:35:07 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 22 Sep 2015 13:35:07 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <45928a4c15b6c8832ba35c9aa0d15659@neessen.net>

Hi,

Am 2015-09-22 13:09, schrieb Django [BOfH]:

> wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
> oder verpackt als ZIP-Archiv?
> 

Jau, machen wir.

> Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
> und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
> angenommen werden?
> 
> traut sich jemand? ;)
> 

Nur zu. Schick einfach an winni at pebcak.de


Winni


From dieter.ringen at polizei.niedersachsen.de  Tue Sep 22 13:41:24 2015
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme))
Date: Tue, 22 Sep 2015 13:41:24 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <LV-MX-00012dHEeI46Y0000f36f@LV-MX-00012.LV.ads.niedersachsen.de>
References: <LV-MX-00012dHEeI46Y0000f36f@LV-MX-00012.LV.ads.niedersachsen.de>
Message-ID: <56013E64.60509@polizei.niedersachsen.de>

Am 22.09.2015 13:09, schrieb Django [BOfH]:
> HI,
> 
> wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
> oder verpackt als ZIP-Archiv?

Egal wie es kommt.



> 
> Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
> und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
> angenommen werden?
> 
> traut sich jemand? ;)
> 
> 
> Servus
> Django
>


Versuchs doch: dieter.ringen at polizei.niedersachsen.de

mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
Dezernat 42.5.3 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695-7929
mailto:dieter.ringen at polizei.niedersachsen.de


From Django  Tue Sep 22 14:11:04 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 14:11:04 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <560137ED.1020004@myhm.de>
References: <56013706.6060302@nausch.org> <560137ED.1020004@myhm.de>
Message-ID: <56014558.6070009@nausch.org>

> Schick deine Mail an stickybit at myhm.de.

"peng" ;)

-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From Django  Tue Sep 22 14:11:20 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 14:11:20 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <45928a4c15b6c8832ba35c9aa0d15659@neessen.net>
References: <56013706.6060302@nausch.org>
 <45928a4c15b6c8832ba35c9aa0d15659@neessen.net>
Message-ID: <56014568.6030707@nausch.org>

"peng" ;)

-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From Django  Tue Sep 22 14:16:24 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 14:16:24 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013E64.60509@polizei.niedersachsen.de>
References: <LV-MX-00012dHEeI46Y0000f36f@LV-MX-00012.LV.ads.niedersachsen.de>
 <56013E64.60509@polizei.niedersachsen.de>
Message-ID: <56014698.5030105@nausch.org>

"peng" ;)
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From Django  Tue Sep 22 14:20:41 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 14:20:41 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <56014799.2050502@nausch.org>

Hi Ihr drei Probanden!

Wie war das gleich nochmal? EXE in ZIP werden geblockt? So so, ich hab'
da 3x 'nen 250er. ;)

Macht bitte die exe keinenfalls auf, das ist 'n banking-Trojaner.

Na, dann werde ich mal Mark Martinec mit weiteren Informationen füttern
müssen, denn so ist es ja etwas möööp. :/

Aber nochmals 1.000 Dank für die Testmöglichkeiten, Ihr habt mir sehr
geholfen!

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From wn at neessen.net  Tue Sep 22 14:26:09 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 22 Sep 2015 14:26:09 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56014799.2050502@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
Message-ID: <12a7d5839f581ed1b2c744fc83c48255@neessen.net>

Hi,

Am 2015-09-22 14:20, schrieb Django [BOfH]:

> Wie war das gleich nochmal? EXE in ZIP werden geblockt? So so, ich hab'
> da 3x 'nen 250er. ;)
> 

Hier ist nichts angekommen. Die letzte Mail an winni at pebcak.de ist heute 
um 10:16:45
eingegangen. Von welcher Absenderadresse soll die Mail gekommen sein?


Winni


From philipp at phflesch.de  Tue Sep 22 14:24:39 2015
From: philipp at phflesch.de (Philipp Flesch)
Date: Tue, 22 Sep 2015 14:24:39 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <343209cdddaa837dd5929d28f8887a4f@phflesch.de>

Hallo aus Friedberg,
gerade auf Grund der aktuellen Spam- und Trojaner-Wellen ein wichtiges 
Thema ...

Am 22.09.2015 13:09, schrieb Django [BOfH]:
> wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
> oder verpackt als ZIP-Archiv?
> 
> Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
> und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
> angenommen werden?

Wie habt Ihr das Thema umgesetzt? Entsprechende HowTos dazu würden mich 
interessieren. Wichtig scheint mir ja, nicht ausschließlich auf die 
Dateiendung der Datei in dem Archiv zu gehen ...


Eine andere Fragestellung würde ich an dieser Stelle auch spannend 
finden: wie könnte ich die E-Mail um den Anhang "bereinigen" (und dabei 
eine hinweis.txt ergänzen) und dann trotzdem zustellen. MS Forefront 
kann das; Ansätze mit OpenSource habe ich zwar entdecken können ... 
jedoch irgendwie keine wirklich funktionierende Lösung.

Habt Ihr Ideen?

Ich bin auf Euer Feedback gespannt.


From wn at neessen.net  Tue Sep 22 14:32:53 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 22 Sep 2015 14:32:53 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56014799.2050502@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
Message-ID: <97a9700cb7ce19571d8a33a98647e890@neessen.net>

Hi,

Am 2015-09-22 14:20, schrieb Django [BOfH]:

> Wie war das gleich nochmal? EXE in ZIP werden geblockt? So so, ich hab'
> da 3x 'nen 250er. ;)
> 
> Macht bitte die exe keinenfalls auf, das ist 'n banking-Trojaner.
> 

Nevermind. Hab' Deinen Versuch in den Logs gefunden. Ging an 
wn at neessen.net und hatte 'nen
empty Sender. Ist aber dennoch nicht durchgekommen:

Sep 22 14:08:49 mail1 postfix/smtpd[36009]: connect from 
mx01.nausch.org[217.91.103.190]
Sep 22 14:09:21 mail1 postfix/policyd-weight[73309]: decided 
action=DUNNO NULL (<>) Sender; <client=mx01.nausch.org[217.91.103.190]> 
<helo=mx01.nausch.org> <from=> <to=wn at neessen.net>; delay: 0s
Sep 22 14:09:22 mail1 postfix/smtpd[36009]: 81081DE09780: 
client=mx01.nausch.org[217.91.103.190]
Sep 22 14:09:32 mail1 opendkim[1179]: 81081DE09780: mx01.nausch.org 
[217.91.103.190] not internal
Sep 22 14:09:33 mail1 amavis[31130]: (31130-17) Checking: JVbjxs3hixT4 
[217.91.103.190] <> -> <wn at neessen.net>
Sep 22 14:09:34 mail1 amavis[31130]: (31130-17) Blocked INFECTED 
(W32/Upatre.CU.gen!Eldorado) {DiscardedInbound,Quarantined}, 
[217.91.103.190]:35598 [217.91.103.190] <> -> <wn at neessen.net>, 
quarantine: virus/J/JVbjxs3hixT4, Queue-ID: 81081DE09780, Message-ID: 
<Nk1qZ8XjlJCTs
Sep 22 14:09:36 mail1 postfix/smtpd[36009]: disconnect from 
mx01.nausch.org[217.91.103.190]


Winni


From Django  Tue Sep 22 14:36:40 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 14:36:40 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
Message-ID: <56014B58.6070107@nausch.org>

HI!

Am 22.09.2015 um 14:24 schrieb Philipp Flesch:

> Wie habt Ihr das Thema umgesetzt? Entsprechende HowTos dazu würden mich
> interessieren. Wichtig scheint mir ja, nicht ausschließlich auf die
> Dateiendung der Datei in dem Archiv zu gehen ...

MIME-Type ist da Dein freund. Und wie ich das so gemacht habe?
Na, so:
https://dokuwiki.nausch.org/doku.php/centos:mail_c7:start#spam-_und_virenschutz_mechanismen_unter_centos_7x


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From tobster at brain-force.ch  Tue Sep 22 14:45:02 2015
From: tobster at brain-force.ch (Tobi)
Date: Tue, 22 Sep 2015 14:45:02 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <56014D4E.1000700@brain-force.ch>

Falls noch gebraucht, kannst du dich an tobster at brain-force.ch austoben :-)
Am 22.09.2015 um 13:09 schrieb Django [BOfH]:
> HI,
> 
> wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
> oder verpackt als ZIP-Archiv?
> 
> Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
> und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
> angenommen werden?
> 
> traut sich jemand? ;)
> 
> 
> Servus
> Django
> 



From Django  Tue Sep 22 15:07:11 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 15:07:11 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <12a7d5839f581ed1b2c744fc83c48255@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net>
Message-ID: <5601527F.2040103@nausch.org>

Griasde Winfried,

Am 22.09.2015 um 14:26 schrieb Winfried Neessen:

> Hier ist nichts angekommen. Die letzte Mail an winni at pebcak.de ist heute
> um 10:16:45
> eingegangen. Von welcher Absenderadresse soll die Mail gekommen sein?

Such mal nach der Message ID: 81081DE09780

Achso, kuck mal um den 08.09.15 herum, die Mail hat im Header glaub ich
08.09. stehen!

cu
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From postfixbuch at cboltz.de  Tue Sep 22 15:25:10 2015
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Tue, 22 Sep 2015 15:25:10 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
Message-ID: <1478674.QvjqKXMIuQ@tux.boltz.de.vu>

Hallo Philipp, hallo Leute,

vorweg: falls noch jemand testen will - postfixbuch-viren at cboltz.de ;-)

Am Dienstag, 22. September 2015 schrieb Philipp Flesch:
> Eine andere Fragestellung würde ich an dieser Stelle auch spannend
> finden: wie könnte ich die E-Mail um den Anhang "bereinigen" (und
> dabei eine hinweis.txt ergänzen) und dann trotzdem zustellen. MS
> Forefront kann das; Ansätze mit OpenSource habe ich zwar entdecken
> können ... jedoch irgendwie keine wirklich funktionierende Lösung.
> 
> Habt Ihr Ideen?

Ja. Lass es bleiben.

Oder hast Du jemals eine Mail mit Virus im Anhang bekommen, die einen 
sinnvollen oder erwünschten Inhalt hatte? ;-)

Daher macht es IMHO auch keinen Sinn, den Mailbody zu erhalten - Deine 
User beschweren sich dann höchstens, dass die Telekom statt der 
371,42 ?-Rechnung nur eine Textdatei angehängt hat ;-)


Gruß

Christian Boltz
-- 
Linux wurde nur möglich, weil 20 Jahre Betriessystemforschung
sorgfältig studiert, analysiert, diskutiert und verworfen
wurden.                        [Ingo Molnar auf linux-kernel]



From Django  Tue Sep 22 15:25:48 2015
From: Django (Django)
Date: Tue, 22 Sep 2015 15:25:48 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56014D4E.1000700@brain-force.ch>
References: <56013706.6060302@nausch.org> <56014D4E.1000700@brain-force.ch>
Message-ID: <560156DC.5050908@nausch.org>

HI Tobi,

Am 22.09.2015 um 14:45 schrieb Tobi:

> Falls noch gebraucht, kannst du dich an tobster at brain-force.ch austoben :-)

Postscreen und greylisting, tztztz ;)

Du bist in guter Gesellschaft, kuck nach einer eMail mit Datum 08.09.15
bzw. nach der Message ID: BE80F60BED


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From philipp at phflesch.de  Tue Sep 22 15:32:48 2015
From: philipp at phflesch.de (Philipp Flesch)
Date: Tue, 22 Sep 2015 15:32:48 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
Message-ID: <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>

Hallo Liste, hallo Christian ...

Am 22.09.2015 15:25, schrieb Christian Boltz:
[...]

>> Habt Ihr Ideen?
> 
> Ja. Lass es bleiben.
> 
> Oder hast Du jemals eine Mail mit Virus im Anhang bekommen, die einen
> sinnvollen oder erwünschten Inhalt hatte? ;-)
> 
> Daher macht es IMHO auch keinen Sinn, den Mailbody zu erhalten - Deine
> User beschweren sich dann höchstens, dass die Telekom statt der
> 371,42 ?-Rechnung nur eine Textdatei angehängt hat ;-)

Naja - Problem ist ja, ALLE ausführbaren Dateien zu blocken - nicht nur 
die Viren ...
Und dann sollte der Anwender zumindest wissen, wer geschickt hat und was 
er so im Grunde wollte ;-)


From daniel at ist-immer-online.de  Tue Sep 22 15:38:31 2015
From: daniel at ist-immer-online.de (Daniel)
Date: Tue, 22 Sep 2015 15:38:31 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
Message-ID: <004601d0f53b$f886be00$e9943a00$@ist-immer-online.de>

Dann könnte man auch einfach den Anhang entfernen, Mail annehmen, und Betreff oder Text ergänzen, dass auf Grund einer Sicherheitseinstellung ein exe Anhang entfernt wurde.

Wenn Anhang nicht durchkommt, dann halt als transparente pixel, Link ect.

Daher ganze Aktion fraglich.

Gruß Daniel


>Naja - Problem ist ja, ALLE ausführbaren Dateien zu blocken - nicht nur 
>die Viren ...
>Und dann sollte der Anwender zumindest wissen, wer geschickt hat und was 
>er so im Grunde wollte ;-)




From stickybit at myhm.de  Tue Sep 22 15:39:34 2015
From: stickybit at myhm.de (Andre)
Date: Tue, 22 Sep 2015 15:39:34 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
Message-ID: <56015A16.7020202@myhm.de>


Am 22.09.2015 um 14:24 schrieb Philipp Flesch:
> Wie habt Ihr das Thema umgesetzt? Entsprechende HowTos dazu würden mich
> interessieren. Wichtig scheint mir ja, nicht ausschließlich auf die
> Dateiendung der Datei in dem Archiv zu gehen ...

Wir gucken nur auf die Endung. Bzw. falls .exe vorhanden wird die Mail
NICHT angenommen. Man sollte den User schon mal vor sich selbst
schützen. Bei unserem Aufkommen von 10-20k Mail am Tag werden täglich
mehrere Mails mit .exe Anhängen geblockt. Das sind alles Spam. Die User
brauchen diese Mails nicht, auch ohne Anhang nicht.

Und wenn sich einer mal beschwert, dass eine Mail mit .exe nicht
ankommt, dann verweist man halt auf andere Wege (Cloud, etc.). Passiert
aber äußerst selten.

LG
Andre


From wn at neessen.net  Tue Sep 22 15:39:46 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 22 Sep 2015 15:39:46 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
Message-ID: <5e36ee6507824268ecee19b625827ec1@neessen.net>

Hi Philipp,

Am 2015-09-22 15:32, schrieb Philipp Flesch:

> Naja - Problem ist ja, ALLE ausführbaren Dateien zu blocken - nicht nur
> die Viren ...
> Und dann sollte der Anwender zumindest wissen, wer geschickt hat und 
> was
> er so im Grunde wollte ;-)
> 

Dafuer bietet AMaViSd die Unterscheidung zw. "VIRUS" und "BANNED".


Winni


From philipp at phflesch.de  Tue Sep 22 15:51:26 2015
From: philipp at phflesch.de (Philipp Flesch)
Date: Tue, 22 Sep 2015 15:51:26 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <004601d0f53b$f886be00$e9943a00$@ist-immer-online.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
 <004601d0f53b$f886be00$e9943a00$@ist-immer-online.de>
Message-ID: <8f967694b6e9375d8cc2fc8cca1c0b4c@phflesch.de>

Am 22.09.2015 15:38, schrieb Daniel:
> Dann könnte man auch einfach den Anhang entfernen, Mail annehmen, und
> Betreff oder Text ergänzen, dass auf Grund einer
> Sicherheitseinstellung ein exe Anhang entfernt wurde.

ja genau so meine ich es ... Anhang wegwerfen (wegen EXE in zip) und 
Anwender irgendwie darauf hinweisen ... und Mail zustellen


From philipp at phflesch.de  Tue Sep 22 15:53:32 2015
From: philipp at phflesch.de (Philipp Flesch)
Date: Tue, 22 Sep 2015 15:53:32 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5e36ee6507824268ecee19b625827ec1@neessen.net>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
 <5e36ee6507824268ecee19b625827ec1@neessen.net>
Message-ID: <82870a4f8a90b94ebdaac7be1c50cc9d@phflesch.de>

Am 22.09.2015 15:39, schrieb Winfried Neessen:
> Hi Philipp,
> 
> Am 2015-09-22 15:32, schrieb Philipp Flesch:
> 
>> Naja - Problem ist ja, ALLE ausführbaren Dateien zu blocken - nicht 
>> nur
>> die Viren ...
>> Und dann sollte der Anwender zumindest wissen, wer geschickt hat und 
>> was
>> er so im Grunde wollte ;-)
>> 
> 
> Dafuer bietet AMaViSd die Unterscheidung zw. "VIRUS" und "BANNED".

Naja - aber banned E-Mails werden halt nicht "reduziert" zugestellt :-(


From wn at neessen.net  Tue Sep 22 15:57:44 2015
From: wn at neessen.net (Winfried Neessen)
Date: Tue, 22 Sep 2015 15:57:44 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <82870a4f8a90b94ebdaac7be1c50cc9d@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
 <5e36ee6507824268ecee19b625827ec1@neessen.net>
 <82870a4f8a90b94ebdaac7be1c50cc9d@phflesch.de>
Message-ID: <afaaf414ffcf49a1d96740d0a7cb2a83@neessen.net>

Hi Philipp,

Am 2015-09-22 15:53, schrieb Philipp Flesch:

>> Dafuer bietet AMaViSd die Unterscheidung zw. "VIRUS" und "BANNED".
>> 
> Naja -? aber banned E-?Mails werden halt nicht "reduziert" zugestellt 
> :-?(
> 

Korrekt, aber Du kannst Aktionen basierend auf den Typ ausloesen. Z. B. 
'ne Nachricht
an den Empfaenger im Fall von "BANNED" und einfach ignorieren im Fall 
von "VIRUS".

Mal davon abgesehen, willst Du nichts davon machen. Das ist alles 
quatsch. Mails mit
solchem Inhalt ist zu 99,99% SPAM und das will der Empfaenger nicht. Sei 
es jetzt
ohne Anhang oder mit oder als Nachricht von AMaViSd oder was weiss ich. 
Die ganzen
Falschnachrichten werden soviele sein, dass der User sie im Endeffekt eh 
aussortiert
und somit die eine valide Mail auch nicht mitbekommt.

Winni


From driessen at fblan.de  Tue Sep 22 16:21:59 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Tue, 22 Sep 2015 16:21:59 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5601527F.2040103@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
Message-ID: <00e901d0f542$0b6b1c40$224154c0$@fblan.de>

Na das interessiert mich auch ob die durchgeht 

Schick mal 

driessen at fblan.de

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 


> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users
[mailto:postfixbuch-users-bounces at listen.jpberlin.de]
> Im Auftrag von Django [BOfH]
> Gesendet: Dienstag, 22. September 2015 15:07
> An: Diskussionen und Support rund um Postfix
> Betreff: Re: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
> 
> Griasde Winfried,
> 
> Am 22.09.2015 um 14:26 schrieb Winfried Neessen:
> 
> > Hier ist nichts angekommen. Die letzte Mail an winni at pebcak.de ist heute
> > um 10:16:45
> > eingegangen. Von welcher Absenderadresse soll die Mail gekommen sein?
> 
> Such mal nach der Message ID: 81081DE09780
> 
> Achso, kuck mal um den 08.09.15 herum, die Mail hat im Header glaub ich
> 08.09. stehen!
> 
> cu
> Django
> --
> "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
> http://wetterstation-pliening.info
> http://dokuwiki.nausch.org
> http://wiki.piratenpartei.de/Benutzer:Django



From driessen at fblan.de  Tue Sep 22 16:25:34 2015
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Tue, 22 Sep 2015 16:25:34 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
Message-ID: <00ea01d0f542$8b3bc0a0$a1b341e0$@fblan.de>

 Im Auftrag von Philipp Flesch
> 
> Eine andere Fragestellung würde ich an dieser Stelle auch spannend
> finden: wie könnte ich die E-Mail um den Anhang "bereinigen" (und dabei
> eine hinweis.txt ergänzen) und dann trotzdem zustellen. MS Forefront
> kann das; Ansätze mit OpenSource habe ich zwar entdecken können ...
> jedoch irgendwie keine wirklich funktionierende Lösung.
> 


Hier gibt es keine exe,com,bat,pif ... usw. alles was unter Windows gefährlich ist wird geblockt und basta 

Das braucht niemand will keiner haben, dafür gibt es andere Wege 



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



From philipp at phflesch.de  Tue Sep 22 17:07:18 2015
From: philipp at phflesch.de (Philipp Flesch)
Date: Tue, 22 Sep 2015 17:07:18 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <00ea01d0f542$8b3bc0a0$a1b341e0$@fblan.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <00ea01d0f542$8b3bc0a0$a1b341e0$@fblan.de>
Message-ID: <47e9e59055dbcd5857ba874ed9821983@phflesch.de>

Am 22.09.2015 16:25, schrieb Uwe Drießen:
> Im Auftrag von Philipp Flesch
>> 
>> Eine andere Fragestellung würde ich an dieser Stelle auch spannend
>> finden: wie könnte ich die E-Mail um den Anhang "bereinigen" (und 
>> dabei
>> eine hinweis.txt ergänzen) und dann trotzdem zustellen. MS Forefront
>> kann das; Ansätze mit OpenSource habe ich zwar entdecken können ...
>> jedoch irgendwie keine wirklich funktionierende Lösung.
>> 
> 
> 
> Hier gibt es keine exe,com,bat,pif ... usw. alles was unter Windows
> gefährlich ist wird geblockt und basta

Genau das wäre mein Ziel - aber am liebsten anstelle boeser_anhang.zip 
dann boeser_anhang.zip.txt mit dem Hinweis: "Da war ein boeser Anhang 
... dieser wurde aus Sicherheitsgründen entfernt! Nutze gefälligst 
unseren Dienst XY"


From postfixer99 at gmail.com  Tue Sep 22 22:04:05 2015
From: postfixer99 at gmail.com (Carsten)
Date: Tue, 22 Sep 2015 22:04:05 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <82870a4f8a90b94ebdaac7be1c50cc9d@phflesch.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
 <5e36ee6507824268ecee19b625827ec1@neessen.net>
 <82870a4f8a90b94ebdaac7be1c50cc9d@phflesch.de>
Message-ID: <5601B435.9020405@gmail.com>

Am 22.09.2015 um 15:53 schrieb Philipp Flesch:
>
> Naja - aber banned E-Mails werden halt nicht "reduziert" zugestellt :-(
Das was Du vorhast kannst Du mit Mailscanner machen 
https://www.mailscanner.info
Das hatte ich auch mal im Einsatz für ca. 30k Mails pro Tag. Läuft 
performant und man kann sehr viel konfigurieren.

Das schneidet Dir Anhänge ab, die z.B. Viren oder Banned-Content enthalten.
Du kannst dann die Meldung an den Empfänger individuell anpassen.

Aber auch ich rate Dir davon ab.
Dass es technisch geht ist die eine Sache, aber Tatsache ist, wie hier 
alle anderen schon schreiben,
dass Du 99,9% davon nicht haben willst und die User dann nur verwirrt 
sind und ggf. die Mail der angeblichen Telekom-Rechnung aus der 
Quarantäne haben wollen.
Wenn Du soviel Zeit investieren willst und das jedem User erklären 
willst, kannst Du das machen. Aber sag nicht, wir hätten dich nicht gewarnt.

Allein der rechtliche Aspekt ist schon sehr heikel. Mit dem Abschneiden 
von Attachments veränderst Du den Inhalt der Mail.
Je nach vertraglicher Situation mit Deinen Kunden könntest Du da 
ziemliche Probleme bekommen. Vom Signaturbruch fange ich mal gar nicht an.
Schau mal hier: 
https://www.heinlein-support.de/sites/default/files/rechtsfragen-fuer-postmaster.pdf 
(ca. Seite 28)

Beste Grüße

Carsten


From dieter.ringen at polizei.niedersachsen.de  Wed Sep 23 05:58:21 2015
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme))
Date: Wed, 23 Sep 2015 05:58:21 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <LV-MX-00011fIDy3EmN0027e3d9@LV-MX-00011.LV.ads.niedersachsen.de>
References: <56013706.6060302@nausch.org>
 <LV-MX-00011fIDy3EmN0027e3d9@LV-MX-00011.LV.ads.niedersachsen.de>
Message-ID: <5602235D.7020002@polizei.niedersachsen.de>





Am 22.09.2015 14:20, schrieb Django [BOfH]:
> Hi Ihr drei Probanden!
> 
> Wie war das gleich nochmal? EXE in ZIP werden geblockt? So so, ich hab'
> da 3x 'nen 250er. ;)
> 
> Macht bitte die exe keinenfalls auf, das ist 'n banking-Trojaner.
> 
> Na, dann werde ich mal Mark Martinec mit weiteren Informationen füttern
> müssen, denn so ist es ja etwas möööp. :/
> 
> Aber nochmals 1.000 Dank für die Testmöglichkeiten, Ihr habt mir sehr
> geholfen!
> 
> Servus
> Django
> 
Wenn du einen 250er bekommen hast, dann von niedersachsen.de.
Die nehmen nämlich alles erst mal an.
Meine Kopfstellen haben die Mail geblockt.

The message WAS NOT relayed to:
<dieter.ringen at polizei.niedersachsen.de>:
   554 5.7.0 Reject, id=16328-19 - VIRUS: Gen:Trojan.Ipatre.1 [Aquarius]




mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
Dezernat 42.5.3 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695-7929
mailto:dieter.ringen at polizei.niedersachsen.de


From philipp at phflesch.de  Wed Sep 23 09:10:55 2015
From: philipp at phflesch.de (Philipp Flesch)
Date: Wed, 23 Sep 2015 09:10:55 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5601B435.9020405@gmail.com>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <1478674.QvjqKXMIuQ@tux.boltz.de.vu>
 <e97f89e48d0cdf6307edd38e64f97d8b@phflesch.de>
 <5e36ee6507824268ecee19b625827ec1@neessen.net>
 <82870a4f8a90b94ebdaac7be1c50cc9d@phflesch.de> <5601B435.9020405@gmail.com>
Message-ID: <5602507F.7010106@phflesch.de>

Am 22.09.2015 um 22:04 schrieb Carsten:
> Am 22.09.2015 um 15:53 schrieb Philipp Flesch:
>>
>> Naja - aber banned E-Mails werden halt nicht "reduziert" zugestellt :-(
> Das was Du vorhast kannst Du mit Mailscanner machen 
> https://www.mailscanner.info
> Das hatte ich auch mal im Einsatz für ca. 30k Mails pro Tag. Läuft 
> performant und man kann sehr viel konfigurieren.
>
> Das schneidet Dir Anhänge ab, die z.B. Viren oder Banned-Content 
> enthalten.
> Du kannst dann die Meldung an den Empfänger individuell anpassen.
>
> Aber auch ich rate Dir davon ab.
> Dass es technisch geht ist die eine Sache, aber Tatsache ist, wie hier 
> alle anderen schon schreiben,
Das Problem ist - wir haben ein zentrales Mailgateway (DFN-Service), 
dass die Mails zu diesem Zeitpunkt schon angenommen hat ... (da der 
Virenscanner negativ anschlägt) ...
Ich kann/will sie also nicht mehr bouncen.

Bleibt nur übrig:
* Quarantäne
* Anhang abschneiden


> Allein der rechtliche Aspekt ist schon sehr heikel. Mit dem 
> Abschneiden von Attachments veränderst Du den Inhalt der Mail.
> Je nach vertraglicher Situation mit Deinen Kunden könntest Du da 
> ziemliche Probleme bekommen. Vom Signaturbruch fange ich mal gar nicht 
> an.
> Schau mal hier: 
> https://www.heinlein-support.de/sites/default/files/rechtsfragen-fuer-postmaster.pdf 
> (ca. Seite 28)
Der Hinweis ist sehr gut ... bei mir zum Glück nicht Dienstleister - 
Kunde ... sondern IT im Haus :-)


From Django  Wed Sep 23 09:51:13 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 09:51:13 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5602235D.7020002@polizei.niedersachsen.de>
References: <56013706.6060302@nausch.org>
 <LV-MX-00011fIDy3EmN0027e3d9@LV-MX-00011.LV.ads.niedersachsen.de>
 <5602235D.7020002@polizei.niedersachsen.de>
Message-ID: <560259F1.7010506@nausch.org>

HI!

Am 23.09.2015 um 05:58 schrieb Ringen, Dieter (ZPD Dez. 42.5 - Zentrale
Systeme):

> Wenn du einen 250er bekommen hast, dann von niedersachsen.de.

Ein dig MX polizei.niedersachsen.de bringt inetmail21.niedersachsen.de
und inetmail12.niedersachsen.de

> Die nehmen nämlich alles erst mal an.

Das erklärt den 250 OK, also doch kein Reject von exe.

Danke aber für Deine Hilfe!

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From Django  Wed Sep 23 09:54:44 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 09:54:44 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <00e901d0f542$0b6b1c40$224154c0$@fblan.de>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de>
Message-ID: <56025AC4.8060601@nausch.org>

HI Uwe,

Am 22.09.2015 um 16:21 schrieb Uwe Drießen:

> Na das interessiert mich auch ob die durchgeht 
> 
> Schick mal 
> 
> driessen at fblan.de

O.K., ich muss sagen, RESPEKT! Mein Versuch, die Mail via telnet
einzutüten, hat mich letztendlich bei Dir in eine IP-Block gebracht.

Muss also die Nachricht anders verpacken und mit Hilfe von swaks versuchen.


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From dieter.ringen at polizei.niedersachsen.de  Wed Sep 23 10:44:28 2015
From: dieter.ringen at polizei.niedersachsen.de (Ringen, Dieter (ZPD Dez. 42.5 - Zentrale Systeme))
Date: Wed, 23 Sep 2015 10:44:28 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <LV-MX-00013ofKc9gbZ000132cc@LV-MX-00013.LV.ads.niedersachsen.de>
References: <56013706.6060302@nausch.org>
 <LV-MX-00011fIDy3EmN0027e3d9@LV-MX-00011.LV.ads.niedersachsen.de>
 <5602235D.7020002@polizei.niedersachsen.de>
 <LV-MX-00013ofKc9gbZ000132cc@LV-MX-00013.LV.ads.niedersachsen.de>
Message-ID: <5602666C.3090003@polizei.niedersachsen.de>





Am 23.09.2015 09:51, schrieb Django [BOfH]:
> HI!
> 
> Am 23.09.2015 um 05:58 schrieb Ringen, Dieter (ZPD Dez. 42.5 - Zentrale
> Systeme):
> 
>> Wenn du einen 250er bekommen hast, dann von niedersachsen.de.
> 
> Ein dig MX polizei.niedersachsen.de bringt inetmail21.niedersachsen.de
> und inetmail12.niedersachsen.de
> 
>> Die nehmen nämlich alles erst mal an.
> 
> Das erklärt den 250 OK, also doch kein Reject von exe.

Doch, von meinen Maschinen schon. inetmail12 und 21 sind die Kopfstellen
des IT.N. Die routen dann an mich weiter, ich nehme die Mails aber nicht
an. Eigentlich muss dann das IT.N einen bounce schicken.


> 
> Danke aber für Deine Hilfe!
> 
> Servus
> Django
> 
mit freundlichem Gruß

Dieter Ringen
Zentrale Polizeidirektion Niedersachsen ( ZPD NI )
Dezernat 42.5.3 - IT - Infrastruktur
Tel: 0511 9695 -7653
Fax: 0511 9695-7929
mailto:dieter.ringen at polizei.niedersachsen.de


From Django  Wed Sep 23 11:52:15 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 11:52:15 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5602666C.3090003@polizei.niedersachsen.de>
References: <56013706.6060302@nausch.org>
 <LV-MX-00011fIDy3EmN0027e3d9@LV-MX-00011.LV.ads.niedersachsen.de>
 <5602235D.7020002@polizei.niedersachsen.de>
 <LV-MX-00013ofKc9gbZ000132cc@LV-MX-00013.LV.ads.niedersachsen.de>
 <5602666C.3090003@polizei.niedersachsen.de>
Message-ID: <5602764F.5000508@nausch.org>

Griasde Dieter!

Am 23.09.2015 um 10:44 schrieb Ringen, Dieter (ZPD Dez. 42.5 - Zentrale
Systeme):

> Doch, von meinen Maschinen schon. inetmail12 und 21 sind die Kopfstellen
> des IT.N. Die routen dann an mich weiter, ich nehme die Mails aber nicht
> an. Eigentlich muss dann das IT.N einen bounce schicken.

Tja, dann haste aber ggf. viel Spaß mit backscatter mails, denn die
Borderfilter würden ja dann die Nachrichten an die Adresse des "mail
from" (envelop) senden. Und diese ist in aller Regel bei SPAM/Phishing
eben meist eine fiktive|zufällige|fremde Adresse.

In meinem Testfall habe ich einfach den nullsender verwendet und die
Borderfilter bei IT.N können dann keinen bounce schicken, da der
Absender = "" ist.

Wenn der Borderfilter nun recht häufig backscatter's zurückstreut, kann
es passieren, dass derjenige den die IT.N "unschuldiger Weise"
bombadiert, dafür sorgt, dass IT.N dann auf 'ner blacklist landet. Was
das bedeutet, weisst Du ja. Mein Brötchengeber, fände sowas garnienicht
lustig.

Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From driessen at fblan.de  Wed Sep 23 12:02:56 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Wed, 23 Sep 2015 12:02:56 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <560271C6.6060207@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
Message-ID: <012701d0f5e7$05390da0$0fab28e0$@fblan.de>

Hi 

Der ging durch weil Mail komplett als TEXT kam.
Da ist kein Anhang im eigentlichen Sinne dran 

Somit kann auch keine Exe erkannt werden.
Das da .zip drin steht heißt ja nicht das da ein zip dran hängt  
Von daher geht das "nur" durch die Textfilter 


-----------------------
Reporting-MTA: dns;HK2PR0301MB1010.apcprd03.prod.outlook.com
Received-From-MTA: dns;fblan.de
Arrival-Date: Tue, 8 Sep 2015 10:43:16 +0000

Final-Recipient: rfc822;d.aboul-jabine at ipn.ae
Action: failed
Status: 5.1.10
Diagnostic-Code: smtp;550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient
not found by SMTP address lookup


--==IFJRGLKFGIR5458UHRUHIHD
Content-Type: message/rfc822

Received: from HK2PR03CA0012.apcprd03.prod.outlook.com (10.165.52.22) by
 HK2PR0301MB1010.apcprd03.prod.outlook.com (10.162.242.24) with Microsoft
SMTP
 Server (TLS) id 15.1.262.15; Tue, 8 Sep 2015 10:43:16 +0000
Received: from DB3FFO11FD023.protection.gbl (2a01:111:f400:7e04::174) by
 HK2PR03CA0012.outlook.office365.com (2a01:111:e400:78f7::22) with Microsoft
 SMTP Server (TLS) id 15.1.262.15 via Frontend Transport; Tue, 8 Sep 2015
 10:43:15 +0000
Received: from fblan.de (80.33.115.111) by
 DB3FFO11FD023.mail.protection.outlook.com (10.47.217.54) with Microsoft
SMTP
 Server id 15.1.262.18 via Frontend Transport; Tue, 8 Sep 2015 10:43:12
+0000
Received: by sp6nVdG with SMTP id UCM6kVc
        for <d.aboul-jabine at ipn.ae>; Tue, 08 Sep 2015 12:43:15 +0200 (CEST)
Received: by 89.46.00.990 with HTTP; Tue, 08 Sep 2015 12:43:15 +0200 (CEST)
Authentication-Results: spf=neutral (sender IP is 80.33.115.111)
 smtp.mailfrom=fblan.de; ipn.ae; dkim=none (message not signed)
 header.d=none;ipn.ae; dmarc=none action=none header.from=fblan.de;
Received-SPF: Neutral (protection.outlook.com: 80.33.115.111 is neither
 permitted nor denied by domain of fblan.de)
MIME-Version: 1.0
X-Received: by 89.46.00.990 with SMTP id avFNwbjOFtRVnX3d;
 Tue, 08 Sep 2015 12:43:15 +0200 (CEST)
Subject: Edits of contract #tozbVo of Tue, 08 Sep 2015 12:39:15 +0200
From: "Johnston, Gottlieb and Dicki" <driessen at fblan.de>
To: <d.aboul-jabine at ipn.ae>
Return-Path: driessen at fblan.de
X-EOPAttributedMessage: 0
X-Forefront-Antispam-Report: CIP:80.33.115.111;CTRY:ES;IPV:NLI;EFV:NLI;
X-Microsoft-Exchange-Diagnostics:
1;HK2PR0301MB1010;2:tMj0BDHmIcFHUsA74AD5zxu31ps4hsvYmMKtGRgzsW3WA2rRtmIe4VTa
GolJzKAREJU2PE0sDNwcRt/C8GhPl+DpXA+2OVa5+VnrWbXOJBMZhJgoGba5eIDPa3rdF+YMwJ1r
pC1v2xFPt//waFEhJU52RdgiXpXblYOzGEceBfg=;3:7jkXNGWnQeeUU5zsuiUlPfjOBsHorPNV4
d+L0dKQddg1AVOUpKddGbkbkz2RwZEr4lrGicjww7Z8PT7/vd/79/JczINkRe6dE/ptvhNXsZj8y
WDufZZZ/8T7lanT0k68ztKQ6wjN39Eu5f+sapGlvBTIJ/q3F1YsKY8ZFYI15QAYO/LHiwUzE9FrA
O1aINQjnDlBzrYvguM3ouPkCyXn+xroPiA2OjzPaqnj6ibjFXD/J1JKEPhlnJq/rS+Iso1v;25:J
RVAhWBJ0h0g+oMnb/9c2da4Oc0nVsD+CinQHunYXi9GQWautxvZMT3r/DD7zUu0+gSnvrxTV7Bqj
T8x2BkBZd0YCJfrytlsLBsmUK48IdFMjhIpHmTVsjRUhImK6FXYBo8hhifCBAzNVuO8HTuj2FQ5Q
51zFwQAfEk9PWKA9O6DMD4Y0Z1tRNPtvgItVMZ/9Mymr7f0gd/RZKXgrX3vzDEDiMcBtqYmbhUw8
BvbcFWCmUJ4lc3Oc5n85oZJAH+F8lVcP4CUuI613nUYmvu4qA==
X-Microsoft-Antispam:
UriScan:;BCL:0;PCL:0;RULEID:(71701003);SRVR:HK2PR0301MB1010;
Message-ID: <Nk1qZ8XjlJCTRXCCBUrGJfF2M at fblan.de>
Date: Tue, 8 Sep 2015 12:39:15 +0200
X-MIMETrack: Itemize by SMTP Server on NDSMTPHS/SSKMUCN/DE(Release
8.5.2FP4|November 17, 2011) at
 08.09.2015 13:16:02,
		 Serialize by Notes Client on Thomas
Liebhart/Admin/SSKMUCN/DE(Release 8.0.2
 FP6|July 16, 2010) at 21.09.2015 13:54:44
Content-Type: multipart/mixed;
		 boundary="vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o"

--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="utf-8"; format=flowed

Good day,

Please check out the edits of contract 2416653517. Pay your particular
attention to 
paragraphs 148.76 and 159.17.
Until this contract isn't signed, an amount won't be remitted. If you have
any questions, 
please mail or call me on my additional number 612740.


Miss Julian Beier
phone: 1-941-576-7683
Johnston, Gottlieb and Dicki

--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o
X-Attachment-Id: B7mxfTCt8eXysAWQJlV
Content-Type: application/zip; name="contract Urban Trail#SOjk7K7.zip"
Content-Disposition: attachment; filename="contract Urban Trail#SOjk7K7.zip"
Content-Transfer-Encoding: base64
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............
-------------------------------------------------------

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From Django  Wed Sep 23 13:16:41 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 13:16:41 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <012701d0f5e7$05390da0$0fab28e0$@fblan.de>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de>
Message-ID: <56028A19.2030009@nausch.org>

HI Uwe!

Am 23.09.2015 um 12:02 schrieb Uwe Drießen:

> Der ging durch weil Mail komplett als TEXT kam.

Ahhh, Mist, hab da ein paaar Zeilen zu viel aus der ursprungsmail
entfernt, da fehlt die Zeile "Content-Type: multipart/report"

> Da ist kein Anhang im eigentlichen Sinne dran 

In der Mail an Dich, ja. Ich hab grad nochmal die original-Message gegen
das Kundensystem gefeuert. Die eMail geht durch - hier die betreffenden
AMaViS-Einträge:

Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) Checking:
wlXsNvE0AKTf
[217.91.103.190] <> -> <django at nausch.org>
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p004 1
Content-Type:
multipart/report
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p001 1/1
Content-Type:
text/plain, size: 7331 B, name:
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p002 1/2
Content-Type:
message/delivery-status, size: 323 B, name:
Sep 23 12:43:13 amavis-cluster-01 amavis[13282]: (13282-15) p003 1/3
Content-Type:
message/rfc822, size: 25542 B, name:
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) bounce
rescued by domain
(DSN), <> -> <django at nausch.org>, date: Tue, 8 Sep 2015 12:39:15 +0200,
from:
"Johnston, Gottlieb and Dick
i" <django at nausch.org>, message-id: <Nk1qZ8XjlJCTRXCCBUrGJfF2M at sskm.de>,
return-path: django at nausch.org
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) mangling NO:
0 (was:
disclaimer), discl_allowed=0, <> -> <django at nausch.org>
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) spam-tag, <> ->
<django at nausch.org>, No, score=-2.6 tagged_above=-1000.0 required=6.31
tests=[BAYES_00=-1.9, RCVD_IN_DNSWL_LOW=-0.7
] autolearn=unavailable
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) FWD from <> ->
<django at nausch.org>,BODY=7BIT 250 2.0.0 from
MTA(smtp:[172.25.10.169]:10025): 250
2.0.0 Ok: queued as 340983FC73
Sep 23 12:43:16 amavis-cluster-01 amavis[13282]: (13282-15) Passed CLEAN
{RelayedInbound}, [217.91.103.190]:52482 [104.47.125.50] <> ->
<django at nausch.org>, Message-ID: <Nk1qZ8XjlJCTRXCCBUrGJ
fF2M at sskm.de>, mail_id: wlXsNvE0AKTf, Hits: -2.6, size: 39915, queued_as:
340983FC73, 22714 ms

O.K. der 3te Teil ist der interessanteste Abschnitt:
Content-Type: message/rfc822, size: 25542 B,

In diesem Abschnitt hat der Spam'er den Trojaner geschickt als
Content-Type: multipart/mixed mit 2 Teilen gepackt:

--------%<--------%<--------%<--------%<--------%<--------%<--------%<
Content-Type: multipart/mixed;
		 boundary="vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o"

--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="utf-8"; format=flowed

Good day,

Please check out the edits of contract 2416653517. Pay your particular
attention to
paragraphs 148.76 and 159.17.
Until this contract isn't signed, an amount won't be remitted. If you
have any questions, please mail or call me on my additional number 612740.


Miss Julian Beier
phone: 1-941-576-7683
Johnston, Gottlieb and Dicki

--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o
X-Attachment-Id: B7mxfTCt8eXysAWQJlV
Content-Type: application/zip; name="contract Urban Trail#SOjk7K7.zip"
Content-Disposition: attachment; filename="contract Urban Trail#SOjk7K7.zip"
Content-Transfer-Encoding: base64

UEsDBBQAAAAIAAcRYUAcLpC+tj4AAAB8AAAoAAAAYWdyZWVtZW50IG9mIDA4IFNlcCAyMDE1IENh
c3BlciBXYXlzLmV4Ze29CXgc1ZUoXLIWCwOB/AFbkh0QMmRIBPS+gR3ceq7uqu3jSW3N1V1fu+
N5jYI/zA0fOMZvJmsk9gYJg4eyYJS9gk22A7wSwmrGYxwQGDbXCCJUsg6b5T1a1Wy9jJvHnv//55
3+8r3763bt177jnnnrV6scW3BWvBMKwNuxRDCMM2sBdQNmB/uWyB+pkr0Z7JcXHLjqwRbzgauc
4UiuN51NhbL+RG/Qn0ym8r0BujdbSPZGkr2aAUdvIkXRN1y84uoFGDYthplb2rF115zULowdxi5p
ubBl2TWAEobdWB+8tF5769ix/WUYVkcX8K+Xn9UuftDewt5eXNeYWb9cKGkMu7alRszx68DRP8f

....
--------%<--------%<--------%<--------%<--------%<--------%<--------%<

Tja, dummer Weise erkennt wohl AMaVis nur den ersten Teil (Text) und
nicht den zweiten Teil Content-Type: application/zip (attachment). Die
MUAs beim unbedarften User widerum zeigen *beide Teile*, also den Text
und das Attachment n und somit ist ratzfaz der Trojaner dort wo ihn
"Klaus der Spammer" haben wollte, beim unbedarften User.

Du bekommst gleich nochmal 'ne pers. Post mit weiteren Details.

Deine Hinweise, waren aber schon mal Gold wert! muchos gracias!


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From wn at neessen.net  Wed Sep 23 13:31:27 2015
From: wn at neessen.net (Winfried Neessen)
Date: Wed, 23 Sep 2015 13:31:27 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56028A19.2030009@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
Message-ID: <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net>

Hi Django,

Am 2015-09-23 13:16, schrieb Django [BOfH]:

> In der Mail an Dich, ja. Ich hab grad nochmal die original-Message 
> gegen
> das Kundensystem gefeuert. Die eMail geht durch - hier die betreffenden
> AMaViS-Einträge:
> [...]
> O.K. der 3te Teil ist der interessanteste Abschnitt:
> Content-Type: message/rfc822, size: 25542 B,
> 
> In diesem Abschnitt hat der Spam'er den Trojaner geschickt als
> Content-Type: multipart/mixed mit 2 Teilen gepackt:
> 

Darf ich fragen, warum Du Dir wegen so 'ner laepschen Malware soviel 
Arbeit
machst? Sie wird von jeder halbwegs brauchbaren A/V Software erkannt[1]. 
Dein
Versuch an mich gestern wurde ja - wie gestern schon erwaehnt - auch 
erkannt.
Sowas kommt bei uns taeglich Hauf rein und wird erfolgreich geblockt. 
Wenn ich
dafuer jedesmal soviel Aufwand treiben wuerde, wuerde ich nichts anders
gebacken bekommen. Kein Vorwurf oder aehnl. - reines Interesse warum Dir
das so wichtig ist ;)


Winni

[1] = 
https://www.virustotal.com/en/file/224ef1ac8328f455f72228576c2a402e5ecc2dffa071bf66a995cdec4b4d4945/analysis/1443007575/


From Django  Wed Sep 23 13:57:53 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 13:57:53 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net>
Message-ID: <560293C1.7010607@nausch.org>

HI Winfried!

Am 23.09.2015 um 13:31 schrieb Winfried Neessen:

> Darf ich fragen, warum Du Dir wegen so 'ner laepschen Malware soviel Arbeit
> machst? 

Weil der Kunde wahnsinnig Wert auf Sicherheit legt und er nicht haben
will, dass Schadsoftware bis zum DAU durchschlägt.

> Sie wird von jeder halbwegs brauchbaren A/V Software erkannt[1].

Tja, jetzt schon, aber als die gefakten bounces (08.09) massenhaft
ankamen wurden diese eben nicht von einem Virenscanner erkannt, nicht
von ClamAV, SOPHOS, AVIRA.

exe- stehen auf der banned-mimetype und das hat dann die Sache dann erst
recht interessant gemacht. EXE im Anhang bzw als ZIP gepackt sollten ja
generell garnienicht angenommen werden.

Und wie Uwe schon erklärte, wird der multipart-Teil von AMaViS nur als
Text erkannt und nicht als Text + Attachment. Somit schlägt der
multipart-Teil bis zum DAU durch. Und bei unserem 3-stufigen
Viren-Filter, kann der letzte (3.) Virenfilter den Schadcode erst
erkennen, wenn entsprechende pattern bereit stehen.

> Dein
> Versuch an mich gestern wurde ja - wie gestern schon erwaehnt - auch
> erkannt.

Weil seit 23.09. Viruspattern bereit stehen, gemäß Deinem link.

> Sowas kommt bei uns taeglich Hauf rein und wird erfolgreich geblockt.

Echt? Code in gefakten bounces versteckt, habe ich, wen ich ehrlich sein
darf, in den letzten 8 Jahren noch nicht gesehen. Oder es ist mir nie
aufgefallen.

> Wenn ich
> dafuer jedesmal soviel Aufwand treiben wuerde, wuerde ich nichts anders
> gebacken bekommen. 

Ich verdien mir damit meine Brötchen. :)

> Kein Vorwurf oder aehnl. - reines Interesse warum Dir
> das so wichtig ist ;)

Weil es mich interessiert und mit irgendwas muss ich mich ja
beschäftigen, sonst gehts mir wie der Sockenpuppe. ;)


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From Django  Wed Sep 23 14:15:38 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 14:15:38 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net>
Message-ID: <560297EA.9090409@nausch.org>

Griasde Winfried,

Am 23.09.2015 um 13:31 schrieb Winfried Neessen:

> Darf ich fragen, warum Du Dir wegen so 'ner laepschen Malware soviel Arbeit
> machst? 

Tja, wie gesagt legt der Kunde sehr viel Augenmerk auf Sicherheit und
Vertraulichkeit. Und über den Weg, den "Klaus der Spammer" nimmt, könnte
auch "gute EXE's" durch einen ambitionierten Mitarbeiter unter dem Radar
bis zum Client-PC übertragen werden. Ich weiß, 's ist 'n bisschen
paranoid ... :)

Und nu?


Pfiade
Django
@uwe: nicmm mich doch bitte mal von der Sperrliste aus. Ich kann mich
nicht mal mehr connecten. :/
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From wn at neessen.net  Wed Sep 23 14:40:33 2015
From: wn at neessen.net (Winfried Neessen)
Date: Wed, 23 Sep 2015 14:40:33 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <560293C1.7010607@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
Message-ID: <fe258cd8537e698e9e643a0e1f66d64b@neessen.net>

Hi,

Am 2015-09-23 13:57, schrieb Django [BOfH]:

> Und wie Uwe schon erklärte, wird der multipart-Teil von AMaViS nur als
> Text erkannt und nicht als Text + Attachment. Somit schlägt der
> multipart-Teil bis zum DAU durch. Und bei unserem 3-stufigen
> Viren-Filter, kann der letzte (3.) Virenfilter den Schadcode erst
> erkennen, wenn entsprechende pattern bereit stehen.
> 

Es ist mir gerade etwas zu viel Aufwand das zu reproduzieren, aber 
selbst
wenn dem so sein sollte, wird die Mail auch entsprechend als Teil der 
DSN
in text/plain dargestellt werden. Sprich Base64 encodeded (oder was auch
immer fuer ein Encoding fuers Attachment benutzt wurde). Somit kann 
"DAU"
(wie Du sie nennst) das Attachment nicht oeffnen.


Winni


From Django  Wed Sep 23 14:43:23 2015
From: Django (Django)
Date: Wed, 23 Sep 2015 14:43:23 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <fe258cd8537e698e9e643a0e1f66d64b@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net>
Message-ID: <56029E6B.1020105@nausch.org>

HI!

Am 23.09.2015 um 14:40 schrieb Winfried Neessen:

> Somit kann "DAU"
> (wie Du sie nennst) das Attachment nicht oeffnen.

kurz und knapp, leider eben schon und ich wurde gefragt, wie das sein
kann, das da eine Dame exe verschickt und empfängt ...

ttyl
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From anmeyer at mailbox.org  Wed Sep 23 16:23:25 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Wed, 23 Sep 2015 16:23:25 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56014B58.6070107@nausch.org>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <56014B58.6070107@nausch.org>
Message-ID: <20150923162325.466e950d@workstation.bitcorner.intern>

Django [BOfH] <django at nausch.org> schrieb am 22.09.15 um 14:36:40 Uhr:

> > Wie habt Ihr das Thema umgesetzt? Entsprechende HowTos dazu würden mich
> > interessieren. Wichtig scheint mir ja, nicht ausschließlich auf die
> > Dateiendung der Datei in dem Archiv zu gehen ...
> 
> MIME-Type ist da Dein freund. Und wie ich das so gemacht habe?
> Na, so:
> https://dokuwiki.nausch.org/doku.php/centos:mail_c7:start#spam-_und_virenschutz_mechanismen_unter_centos_7x

Fehler: Verbindung unterbrochen
Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.

hm... Master?


From buettnerp at web.de  Wed Sep 23 18:14:02 2015
From: buettnerp at web.de (=?UTF-8?B?UGV0ZXIgQsO8dHRuZXI=?=)
Date: Wed, 23 Sep 2015 18:14:02 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <5602CFCA.1060503@web.de>

Hallo aus Offenbach,

als Postfix Neuling habe ich mich sehr genau an die Anleitung von Peer
Heinlein gehalten.

Aufgrund der ausführlichen Behandlung des Themas interessiert es mich
nun doch, ob meine Server auch ausgefallenen Angriffen standhalten.

Bitte feuert mal diese "besonderen eMails" an pb at alstercom.de

Ich poste dann die Ausgabe von "virusalert", wenn er den anschlägt.

Gruß
Peter Büttner





Am 22.09.2015 um 13:09 schrieb Django [BOfH]:
> HI,
> 
> wer von Euch blockt EXE-Dateien bei Anhängen egal nun als attachment
> oder verpackt als ZIP-Archiv?
> 
> Ich würde nämlich gerne ein paar "besondere eMails" an einen MX senden
> und testen, ob die Mails mit einem 550er geblocked oder mit 'em 250er
> angenommen werden?
> 
> traut sich jemand? ;)
> 
> 
> Servus
> Django
> 


From max.grobecker at ml.grobecker.info  Thu Sep 24 00:27:55 2015
From: max.grobecker at ml.grobecker.info (Max Grobecker)
Date: Thu, 24 Sep 2015 00:27:55 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56013706.6060302@nausch.org>
References: <56013706.6060302@nausch.org>
Message-ID: <5603276B.9090505@ml.grobecker.info>

Falls du da noch einen Testkandidaten brauchst:
Ich blockiere und habe auch den Eindruck, generell alle Executables zu filtern.

Einfach an max.grobecker at ml.grobecker.info schicken ;-)




Viele Grüße aus dem Tal
 Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150924/803ccfdd/attachment.asc>

From anmeyer at mailbox.org  Thu Sep 24 03:48:06 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Thu, 24 Sep 2015 03:48:06 +0200
Subject: Transportproblem mit der master.cf
Message-ID: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>

Hallo!

Ich komme mit folgendem Problem nicht klar. Ich versuche eine an die
Netzwerkarte zusätzlich gebundene IP für ausgehende Email an AOL zu
verwenden. Dazu habe ich in der master.cf folgendes gesetzt:

tpaol     unix  -       -       -       -       -       smtp
          -o smtp_bind_address=46.38.231.143

und in der transport steht:

aol.com tpaol:


# postconf -n transport_maps
transport_maps = hash:/etc/postfix/transport

Beim Versenden an AOL erhalte ich folgende Fehlermeldung:

Sep 24 03:34:49 bitmachine1 postfix/smtp[16957]: fatal: unknown service: smtp/tcp
Sep 24 03:34:49 bitmachine1 nimmini/smtpd[16953]: disconnect from ip5f583fb1.dynamic.kabel-deutschland.de[95.88.63.177]
Sep 24 03:34:50 bitmachine1 postfix/qmgr[16934]: warning: private/tpaol socket: malformed response
Sep 24 03:34:50 bitmachine1 postfix/qmgr[16934]: warning: transport tpaol failure -- see a previous warning/fatal/panic logfile record for the problem description
Sep 24 03:34:50 bitmachine1 postfix/master[16932]: warning: process /usr/lib/postfix/smtp pid 16957 exit status 1
Sep 24 03:34:50 bitmachine1 postfix/master[16932]: warning: /usr/lib/postfix/smtp: bad command startup -- throttling
Sep 24 03:34:50 bitmachine1 postfix/error[16958]: 0ECC7263E9: to=<recipient at aol.com>, relay=none, delay=1.2, delays=0.02/1.1/0/0.01, dsn=4.3.0, status=deferred (unknown mail transport error)

Was mache ich falsch?

Grüße

  Andreas


From buettnerp at web.de  Thu Sep 24 03:59:54 2015
From: buettnerp at web.de (=?UTF-8?B?UGV0ZXIgQsO8dHRuZXI=?=)
Date: Thu, 24 Sep 2015 03:59:54 +0200
Subject: Transportproblem mit der master.cf
In-Reply-To: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
References: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
Message-ID: <5603591A.9050405@web.de>

..... Sep 24 03:34:49 bitmachine1 postfix/smtp[16957]: fatal: unknown
service: smtp/tcp

Es müsste wohl heißen:

tpaol     unix  -       -       -       -       -       smtpd

Einfach mal probieren.

Gruß
Peter Büttner




Am 24.09.2015 um 03:48 schrieb Andreas Meyer:
> Hallo!
> 
> Ich komme mit folgendem Problem nicht klar. Ich versuche eine an die
> Netzwerkarte zusätzlich gebundene IP für ausgehende Email an AOL zu
> verwenden. Dazu habe ich in der master.cf folgendes gesetzt:
> 
> tpaol     unix  -       -       -       -       -       smtp
>           -o smtp_bind_address=46.38.231.143
> 
> und in der transport steht:
> 
> aol.com tpaol:
> 
> 
> # postconf -n transport_maps
> transport_maps = hash:/etc/postfix/transport
> 
> Beim Versenden an AOL erhalte ich folgende Fehlermeldung:
> 
> Sep 24 03:34:49 bitmachine1 postfix/smtp[16957]: fatal: unknown service: smtp/tcp
> Sep 24 03:34:49 bitmachine1 nimmini/smtpd[16953]: disconnect from ip5f583fb1.dynamic.kabel-deutschland.de[95.88.63.177]
> Sep 24 03:34:50 bitmachine1 postfix/qmgr[16934]: warning: private/tpaol socket: malformed response
> Sep 24 03:34:50 bitmachine1 postfix/qmgr[16934]: warning: transport tpaol failure -- see a previous warning/fatal/panic logfile record for the problem description
> Sep 24 03:34:50 bitmachine1 postfix/master[16932]: warning: process /usr/lib/postfix/smtp pid 16957 exit status 1
> Sep 24 03:34:50 bitmachine1 postfix/master[16932]: warning: /usr/lib/postfix/smtp: bad command startup -- throttling
> Sep 24 03:34:50 bitmachine1 postfix/error[16958]: 0ECC7263E9: to=<recipient at aol.com>, relay=none, delay=1.2, delays=0.02/1.1/0/0.01, dsn=4.3.0, status=deferred (unknown mail transport error)
> 
> Was mache ich falsch?
> 
> Grüße
> 
>   Andreas
> 


From anmeyer at mailbox.org  Thu Sep 24 04:00:19 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Thu, 24 Sep 2015 04:00:19 +0200
Subject: Transportproblem mit der master.cf
In-Reply-To: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
References: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
Message-ID: <20150924040019.6462a58f@workstation.bitcorner.intern>

Andreas Meyer <anmeyer at mailbox.org> schrieb am 24.09.15 um 03:48:06 Uhr:

> Hallo!
> 
> Ich komme mit folgendem Problem nicht klar. Ich versuche eine an die
> Netzwerkarte zusätzlich gebundene IP für ausgehende Email an AOL zu
> verwenden. Dazu habe ich in der master.cf folgendes gesetzt:
> 
> tpaol     unix  -       -       -       -       -       smtp
>           -o smtp_bind_address=46.38.231.143
> 

> Was mache ich falsch?

Kaum war sie draußen, die mail, habe ich gesehen, dass der Service
im chroot läuft. Manchmal sieht man vor lauter Bäumen den Wald nicht
oder war das umgekehrt?

 Andreas


From anmeyer at mailbox.org  Thu Sep 24 04:01:56 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Thu, 24 Sep 2015 04:01:56 +0200
Subject: Transportproblem mit der master.cf
In-Reply-To: <5603591A.9050405@web.de>
References: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
 <5603591A.9050405@web.de>
Message-ID: <20150924040156.0f6d0fb3@workstation.bitcorner.intern>

Peter Büttner <buettnerp at web.de> schrieb am 24.09.15 um 03:59:54 Uhr:

> ..... Sep 24 03:34:49 bitmachine1 postfix/smtp[16957]: fatal: unknown
> service: smtp/tcp
> 
> Es müsste wohl heißen:
> 
> tpaol     unix  -       -       -       -       -       smtpd

Ich bin ja client und will senden. smtp passt schon.

 Andreas


From buettnerp at web.de  Thu Sep 24 05:06:56 2015
From: buettnerp at web.de (=?UTF-8?B?UGV0ZXIgQsO8dHRuZXI=?=)
Date: Thu, 24 Sep 2015 05:06:56 +0200
Subject: Transportproblem mit der master.cf
In-Reply-To: <20150924040156.0f6d0fb3@workstation.bitcorner.intern>
References: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
 <5603591A.9050405@web.de>
 <20150924040156.0f6d0fb3@workstation.bitcorner.intern>
Message-ID: <560368D0.8020204@web.de>

.... so sollte es auch funktionieren:

http://www.kutukupret.com/2010/01/02/postfix-bind-sender-domain-to-dedicated-outgoing-ip-address/

Gruß
Peter Büttner


Am 24.09.2015 um 04:01 schrieb Andreas Meyer:
> Peter Büttner <buettnerp at web.de> schrieb am 24.09.15 um 03:59:54 Uhr:
> 
>> ..... Sep 24 03:34:49 bitmachine1 postfix/smtp[16957]: fatal: unknown
>> service: smtp/tcp
>>
>> Es müsste wohl heißen:
>>
>> tpaol     unix  -       -       -       -       -       smtpd
> 
> Ich bin ja client und will senden. smtp passt schon.
> 
>  Andreas
> 


From Django  Thu Sep 24 09:13:27 2015
From: Django (Django)
Date: Thu, 24 Sep 2015 09:13:27 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <012701d0f5e7$05390da0$0fab28e0$@fblan.de>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de>
Message-ID: <5603A297.4060409@nausch.org>

Griasde Uwe,

Am 23.09.2015 um 12:02 schrieb Uwe Drießen:

> Der ging durch weil Mail komplett als TEXT kam.
> Da ist kein Anhang im eigentlichen Sinne dran 

O.K., ich hab gerade eben eine neue überarbeitete Mail an Dich gesendet
(Message-ID: 15BB6320157)

Was kannst Du nun berichten?


Pfiade
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From driessen at fblan.de  Thu Sep 24 09:24:37 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 09:24:37 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603A297.4060409@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <5603A297.4060409@nausch.org>
Message-ID: <017701d0f69a$1260e1c0$3722a540$@fblan.de>

> Von: Django [BOfH] [mailto:django at nausch.org]
> 
> Griasde Uwe,
> 
> Am 23.09.2015 um 12:02 schrieb Uwe Drießen:
> 
> > Der ging durch weil Mail komplett als TEXT kam.
> > Da ist kein Anhang im eigentlichen Sinne dran
> 
> O.K., ich hab gerade eben eine neue überarbeitete Mail an Dich gesendet
> (Message-ID: 15BB6320157)

Ist angekommen lokaler virenscanner hat den anhang (beim speichern)gelöscht 

> 
> Was kannst Du nun berichten?

Sehr interessant 

MSG(text) in MSG(text) und darin dann ZIP mit EXE wird von Amavis  nicht
erkannt / nicht geblockt ... mmmhhh 

Very interesting 

Es wird erst wieder sichtbar wenn der Mailclient die includierte MSG wieder
"entschlüsselt" und als Mail darstellt ....

> 
> 
> Pfiade
> Django


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From Django  Thu Sep 24 09:33:18 2015
From: Django (Django)
Date: Thu, 24 Sep 2015 09:33:18 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <fe258cd8537e698e9e643a0e1f66d64b@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net>
Message-ID: <5603A73E.9080505@nausch.org>

HI Winni!

Am 23.09.2015 um 14:40 schrieb Winfried Neessen:

> Es ist mir gerade etwas zu viel Aufwand das zu reproduzieren, aber selbst
> wenn dem so sein sollte, wird die Mail auch entsprechend als Teil der DSN
> in text/plain dargestellt werden. 

O.K., habe Dir grad eine "brave EXE" clearproc als eMail gesandt,
(Message-ID: 2FA46DE09782)


cul8r
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From Django  Thu Sep 24 09:40:31 2015
From: Django (Django)
Date: Thu, 24 Sep 2015 09:40:31 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <017701d0f69a$1260e1c0$3722a540$@fblan.de>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <5603A297.4060409@nausch.org>
 <017701d0f69a$1260e1c0$3722a540$@fblan.de>
Message-ID: <5603A8EF.3090100@nausch.org>

Griasde Uwe,

Am 24.09.2015 um 09:24 schrieb Uwe Drießen:

> Ist angekommen lokaler virenscanner hat den anhang (beim speichern)gelöscht 

Ich kann Dir ja auch noch die neueste Variante mit der clearproc.exe
senden, aber ich denke das bisher gezeigte sollte ausreichen.

> Sehr interessant 

gell, sag ich doch! :/

> MSG(text) in MSG(text) und darin dann ZIP mit EXE wird von Amavis  nicht
> erkannt / nicht geblockt ... mmmhhh 

Ich hab' ja Marc Martinec schon 2x angeschrieben, aber noch keinerlei
Feedback erhalten.

> Es wird erst wieder sichtbar wenn der Mailclient die includierte MSG wieder
> "entschlüsselt" und als Mail darstellt ....

Und das ist ja genau das, was wir eigentlich nicht wollen, denn so kann
ich ja alle banned-mimetypes am AMaViS "vorbeimogeln". :(


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From driessen at fblan.de  Thu Sep 24 09:55:09 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 09:55:09 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603A8EF.3090100@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <5603A297.4060409@nausch.org>
 <017701d0f69a$1260e1c0$3722a540$@fblan.de> <5603A8EF.3090100@nausch.org>
Message-ID: <017901d0f69e$56216840$026438c0$@fblan.de>

> Von: Django [BOfH] [mailto:django at nausch.org]
> 
> Am 24.09.2015 um 09:24 schrieb Uwe Drießen:
> 
> 
> > MSG(text) in MSG(text) und darin dann ZIP mit EXE wird von Amavis  nicht
> > erkannt / nicht geblockt ... mmmhhh
> 
> Ich hab' ja Marc Martinec schon 2x angeschrieben, aber noch keinerlei
> Feedback erhalten.

Hast du ihm das so wie oben beschrieben ? 
Manchmal liegt es einfach nur daran das der gegenüber nicht das versteht was
du meintest ihm mitgeteilt zu haben :-)
Diese MSG als Ganzes gepackt und ihm zur Verfügung gestellt (mit Warnung
natürlich) 

> 
> > Es wird erst wieder sichtbar wenn der Mailclient die includierte MSG
wieder
> > "entschlüsselt" und als Mail darstellt ....
> 
> Und das ist ja genau das, was wir eigentlich nicht wollen, denn so kann
> ich ja alle banned-mimetypes am AMaViS "vorbeimogeln". :(



> 
> 

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 




From django at nausch.org  Thu Sep 24 09:57:35 2015
From: django at nausch.org (django at nausch.org)
Date: Thu, 24 Sep 2015 09:57:35 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603276B.9090505@ml.grobecker.info>
References: <56013706.6060302@nausch.org> <5603276B.9090505@ml.grobecker.info>
Message-ID: <20150924095735.Horde.M8kCzZiuDgwNT2rYc4oLdJG@xn--bro-hoa.nausch.org>

HI!

Quoting Max Grobecker <max.grobecker at ml.grobecker.info>:

> Einfach an max.grobecker at ml.grobecker.info schicken ;-)

250 2.0.0 from MTA(smtp:[mxfilter.mx0.301-moved.internal]:10025): 250  
2.0.0 Ok: queued as 3nM7wq5BBwz9vmf

ttyl
Django

-- 
http://dokuwiki.nausch.org
http://wetterstation-pliening.info
http://ebersberger-liedersammlung.de



From django at nausch.org  Thu Sep 24 10:08:28 2015
From: django at nausch.org (django at nausch.org)
Date: Thu, 24 Sep 2015 10:08:28 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5602CFCA.1060503@web.de>
References: <56013706.6060302@nausch.org> <5602CFCA.1060503@web.de>
Message-ID: <20150924100829.Horde.m-6kbLcz1Awg0PqUyrIStI-@xn--bro-hoa.nausch.org>

HI Peter!

Quoting Peter Büttner <buettnerp at web.de>:

> Bitte feuert mal diese "besonderen eMails" an pb at alstercom.de

250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as  
39F5CAC04C3
ist aber "nur eine exe)!


ttyl
Django
-- 
http://dokuwiki.nausch.org
http://wetterstation-pliening.info
http://ebersberger-liedersammlung.de



From driessen at fblan.de  Thu Sep 24 10:09:30 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 10:09:30 +0200
Subject: Gmail und sein rate limited
Message-ID: <017a01d0f6a0$5744eec0$05cecc40$@fblan.de>

Ein immer währendes Ärgernis

Goggle wirft mir bei jeder Mail ein 

" Diagnostic-Code: smtp; 421-4.7.0 [178.63.197.165      15] Our system has
    detected an unusual rate of 421-4.7.0 unsolicited mail originating from
    your IP address. To protect our 421-4.7.0 users from spam, mail sent
from
    your IP address has been temporarily 421-4.7.0 rate limited. Please
visit
    421-4.7.0  https://support.google.com/mail/answer/81126 to review our
Bulk
    Email 421 4.7.0 Senders Guidelines. ml1si10524224pab.71 - gsmtp
Will-Retry-Until: Thu, 24 Sep 2015 01:49:19 +0200 (CEST)"

Wir haben mal gerade Arrival-Date: Wed, 23 Sep 2015 13:49:19 +0200 (CEST)

Also künstliche Verzögerung von 12 Stunden 

Ich würde nun gerne an jede Mail, die Google so verzögert, den Hinweis
dranhängen das der Empfänger sich bitte an Google wenden möchte unter der
Telefonnummer "....." und sich dort beschweren soll warum Mails an Ihn durch
Google so verzögert werden und das die das lassen sollen.

Ich mag nicht mehr für Google Telefonsupport machen.... 

Ich versende KEINEN BULK Keinen Spam noch sind die Mails an Googlekunden
sehr viele (im Schnitt mal 2 am Tag) und das ist alles "normale" User
Kommunikation.

Es gibt, zumindest hab ich das nicht gefunden, kein Mail an die man
schreiben könnte (welche auch gelesen werden würde) . Und die Seiten auf
denen man was schreiben könnte ist immer die Frage ob die auch
funktionieren(meinen Browser mag Google nicht weil der wieder keine Tracker
mag)   

Eigentlich sollte ich das selbe mit Google machen das wäre einfacher.

Macht wer mit damit deren Server mal das Glühen anfangen ?  



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From django at nausch.org  Thu Sep 24 10:10:14 2015
From: django at nausch.org (django at nausch.org)
Date: Thu, 24 Sep 2015 10:10:14 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <20150923162325.466e950d@workstation.bitcorner.intern>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de> <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
Message-ID: <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>

HI Andreas,

Quoting Andreas Meyer <anmeyer at mailbox.org>:

>> https://dokuwiki.nausch.org/doku.php/centos:mail_c7:start#spam-_und_virenschutz_mechanismen_unter_centos_7x
>
> Fehler: Verbindung unterbrochen
> Die Verbindung zum Server wurde zurückgesetzt, während die Seite  
> geladen wurde.

Pprobier's nochmal, der Host steht aktuell unter Dauerbefeuerung, kann  
daher (leider) etwas dauern ...

Servus
Django
-- 
http://dokuwiki.nausch.org
http://wetterstation-pliening.info
http://ebersberger-liedersammlung.de



From driessen at fblan.de  Thu Sep 24 10:22:57 2015
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Thu, 24 Sep 2015 10:22:57 +0200
Subject: AW: Transportproblem mit der master.cf
In-Reply-To: <20150924040156.0f6d0fb3@workstation.bitcorner.intern>
References: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
 <5603591A.9050405@web.de>
 <20150924040156.0f6d0fb3@workstation.bitcorner.intern>
Message-ID: <017b01d0f6a2$380c9d30$a825d790$@fblan.de>

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de]
> Im Auftrag von Andreas Meyer
> Gesendet: Donnerstag, 24. September 2015 04:02
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: Transportproblem mit der master.cf
> 
> Peter Büttner <buettnerp at web.de> schrieb am 24.09.15 um 03:59:54 Uhr:
> 
> > ..... Sep 24 03:34:49 bitmachine1 postfix/smtp[16957]: fatal: unknown
> > service: smtp/tcp
> >
> > Es müsste wohl heißen:
> >
> > tpaol     unix  -       -       -       -       -       smtpd

Ich kenne das in der Schreibweise 

178.63.197.164:submission inet n      -       -       0       -       smtpd

Oder 

10.1.0.6:smtp inet      n       -       -       -       -       smtpd
    -o smtpd_recipient_restrictions=${intern_smtpd_recipient_restrictions}
    -o smtpd_milters=${amavis}



> 
> Ich bin ja client und will senden. smtp passt schon.
> 
>  Andreas



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From zahlenmaler at t-online.de  Thu Sep 24 10:23:07 2015
From: zahlenmaler at t-online.de (robert)
Date: Thu, 24 Sep 2015 10:23:07 +0200
Subject: Gmail und sein rate limited
In-Reply-To: <017a01d0f6a0$5744eec0$05cecc40$@fblan.de>
References: <017a01d0f6a0$5744eec0$05cecc40$@fblan.de>
Message-ID: <5603B2EB.8070902@t-online.de>

Hallo Uwe,

joha und selber wursten Sie mit xxx mailouts rum das Sie auch ordentlich 
in postscreens/greylistings delay haben.
Krampfhafte Angelgenheit, aber naja ist halt sehr ärgerlich.

Öhm ja das deren Server das "Glühen" anfangen stellst du dir 
rechtssicher wie vor?

:-)

Gruß
Robert


Am 24.09.2015 um 10:09 schrieb Uwe Drießen:
> Ein immer währendes Ärgernis
>
> Goggle wirft mir bei jeder Mail ein
>
> " Diagnostic-Code: smtp; 421-4.7.0 [178.63.197.165      15] Our system has
>      detected an unusual rate of 421-4.7.0 unsolicited mail originating from
>      your IP address. To protect our 421-4.7.0 users from spam, mail sent
> from
>      your IP address has been temporarily 421-4.7.0 rate limited. Please
> visit
>      421-4.7.0  https://support.google.com/mail/answer/81126 to review our
> Bulk
>      Email 421 4.7.0 Senders Guidelines. ml1si10524224pab.71 - gsmtp
> Will-Retry-Until: Thu, 24 Sep 2015 01:49:19 +0200 (CEST)"
>
> Wir haben mal gerade Arrival-Date: Wed, 23 Sep 2015 13:49:19 +0200 (CEST)
>
> Also künstliche Verzögerung von 12 Stunden
>
> Ich würde nun gerne an jede Mail, die Google so verzögert, den Hinweis
> dranhängen das der Empfänger sich bitte an Google wenden möchte unter der
> Telefonnummer "....." und sich dort beschweren soll warum Mails an Ihn durch
> Google so verzögert werden und das die das lassen sollen.
>
> Ich mag nicht mehr für Google Telefonsupport machen....
>
> Ich versende KEINEN BULK Keinen Spam noch sind die Mails an Googlekunden
> sehr viele (im Schnitt mal 2 am Tag) und das ist alles "normale" User
> Kommunikation.
>
> Es gibt, zumindest hab ich das nicht gefunden, kein Mail an die man
> schreiben könnte (welche auch gelesen werden würde) . Und die Seiten auf
> denen man was schreiben könnte ist immer die Frage ob die auch
> funktionieren(meinen Browser mag Google nicht weil der wieder keine Tracker
> mag)
>
> Eigentlich sollte ich das selbe mit Google machen das wäre einfacher.
>
> Macht wer mit damit deren Server mal das Glühen anfangen ?
>
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>
>



From Django  Thu Sep 24 10:29:44 2015
From: Django (Django)
Date: Thu, 24 Sep 2015 10:29:44 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <017901d0f69e$56216840$026438c0$@fblan.de>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <5603A297.4060409@nausch.org>
 <017701d0f69a$1260e1c0$3722a540$@fblan.de> <5603A8EF.3090100@nausch.org>
 <017901d0f69e$56216840$026438c0$@fblan.de>
Message-ID: <5603B478.6070401@nausch.org>

Griasde Uwe,

Am 24.09.2015 um 09:55 schrieb Uwe Drießen:

> Manchmal liegt es einfach nur daran das der gegenüber nicht das versteht was
> du meintest ihm mitgeteilt zu haben :-)

Ich vermute mal, dass er kmich unter Umständen nicht verstanden hat,
oder ich bin in seinem killfile, wegen der dummen Fragen. Genau weiss
ich es aber nicht.

> Diese MSG als Ganzes gepackt und ihm zur Verfügung gestellt (mit Warnung
> natürlich) 

Guter Vorschlag, das werde ich dann noch nachholen. Wenn Du magst, da
kannst Du ihn ja auch mal Fragen. ;) Der Postfix-Gott und Joda habe ich
mal auch angetriggert (denn die haben ja die besten Kontakte zu Marc).


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From driessen at fblan.de  Thu Sep 24 10:42:34 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 10:42:34 +0200
Subject: AW: Gmail und sein rate limited
In-Reply-To: <5603B2EB.8070902@t-online.de>
References: <017a01d0f6a0$5744eec0$05cecc40$@fblan.de>
 <5603B2EB.8070902@t-online.de>
Message-ID: <017d01d0f6a4$f5830be0$e08923a0$@fblan.de>

Im Auftrag von robert
> 
> Hallo Uwe,
> 
> joha und selber wursten Sie mit xxx mailouts rum das Sie auch ordentlich
> in postscreens/greylistings delay haben.
> Krampfhafte Angelgenheit, aber naja ist halt sehr ärgerlich.
> 
> Öhm ja das deren Server das "Glühen" anfangen stellst du dir
> rechtssicher wie vor?

Du stellst Ansprüche, auch noch rechtssicher
ich will deren Server nur zum glühen bringen 
12/24 Stunden Greylisting sollten reichen um die in die Knie zu zwingen 

Machen wir mal einen Flashmop am 23.12 ab 12:00 für 24 Stunden alle Mails
von Google mit 421 verzögern  :-)))

Dann haben die Mitarbeiter ein paar Überstunden mit Feiertagszuschlag :-))  



> 
> :-)
> 
> Gruß
> Robert



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 




> 
> 
> Am 24.09.2015 um 10:09 schrieb Uwe Drießen:
> > Ein immer währendes Ärgernis
> >
> > Goggle wirft mir bei jeder Mail ein
> >
> > " Diagnostic-Code: smtp; 421-4.7.0 [178.63.197.165      15] Our system
has
> >      detected an unusual rate of 421-4.7.0 unsolicited mail originating
from
> >      your IP address. To protect our 421-4.7.0 users from spam, mail
sent
> > from
> >      your IP address has been temporarily 421-4.7.0 rate limited. Please
> > visit
> >      421-4.7.0  https://support.google.com/mail/answer/81126 to review
our
> > Bulk
> >      Email 421 4.7.0 Senders Guidelines. ml1si10524224pab.71 - gsmtp
> > Will-Retry-Until: Thu, 24 Sep 2015 01:49:19 +0200 (CEST)"
> >
> > Wir haben mal gerade Arrival-Date: Wed, 23 Sep 2015 13:49:19 +0200
(CEST)
> >
> > Also künstliche Verzögerung von 12 Stunden
> >
> > Ich würde nun gerne an jede Mail, die Google so verzögert, den Hinweis
> > dranhängen das der Empfänger sich bitte an Google wenden möchte unter
> der
> > Telefonnummer "....." und sich dort beschweren soll warum Mails an Ihn
> durch
> > Google so verzögert werden und das die das lassen sollen.
> >
> > Ich mag nicht mehr für Google Telefonsupport machen....
> >
> > Ich versende KEINEN BULK Keinen Spam noch sind die Mails an Googlekunden
> > sehr viele (im Schnitt mal 2 am Tag) und das ist alles "normale" User
> > Kommunikation.
> >
> > Es gibt, zumindest hab ich das nicht gefunden, kein Mail an die man
> > schreiben könnte (welche auch gelesen werden würde) . Und die Seiten auf
> > denen man was schreiben könnte ist immer die Frage ob die auch
> > funktionieren(meinen Browser mag Google nicht weil der wieder keine
> Tracker
> > mag)
> >
> > Eigentlich sollte ich das selbe mit Google machen das wäre einfacher.
> >
> > Macht wer mit damit deren Server mal das Glühen anfangen ?
> >
> >
> >
> > Mit freundlichen Grüßen
> >
> > Uwe Drießen
> > --
> > Software & Computer
> >
> > Netzwerke, Server.
> > Wir vernetzen Sie und Ihre Rechner !
> >
> > Uwe Drießen
> > Lembergstraße 33
> > 67824 Feilbingert
> >
> > Tel.: 06708660045
> >
> >
> >



From driessen at fblan.de  Thu Sep 24 10:45:21 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 10:45:21 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603B478.6070401@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <5603A297.4060409@nausch.org>
 <017701d0f69a$1260e1c0$3722a540$@fblan.de> <5603A8EF.3090100@nausch.org>
 <017901d0f69e$56216840$026438c0$@fblan.de> <5603B478.6070401@nausch.org>
Message-ID: <017e01d0f6a5$594cb360$0be61a20$@fblan.de>

> Im Auftrag von Django [BOfH]
> Griasde Uwe,
> 
> Am 24.09.2015 um 09:55 schrieb Uwe Drießen:
> 
> > Manchmal liegt es einfach nur daran das der gegenüber nicht das versteht
> was
> > du meintest ihm mitgeteilt zu haben :-)
> 
> Ich vermute mal, dass er kmich unter Umständen nicht verstanden hat,
> oder ich bin in seinem killfile, wegen der dummen Fragen. Genau weiss
> ich es aber nicht.
> 
> > Diese MSG als Ganzes gepackt und ihm zur Verfügung gestellt (mit Warnung
> > natürlich)
> 
> Guter Vorschlag, das werde ich dann noch nachholen. Wenn Du magst, da
> kannst Du ihn ja auch mal Fragen. ;) Der Postfix-Gott und Joda habe ich
> mal auch angetriggert (denn die haben ja die besten Kontakte zu Marc).

Öhm so gute connection nach so weit oben hab ich nicht.
Wenn die da oben im Olymp zu Rat sitzen wird das dann wohl reichen... 


> 
> 
> Servus
> Django


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From wn at neessen.net  Thu Sep 24 10:52:48 2015
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 24 Sep 2015 10:52:48 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603A73E.9080505@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
Message-ID: <87fcfffd7385bafc54c81a136e55ed5b@neessen.net>

Hi,

Am 2015-09-24 09:33, schrieb Django [BOfH]:

> O.K., habe Dir grad eine "brave EXE" clearproc als eMail gesandt,
> (Message-ID: 2FA46DE09782)
> 

Ok, die ist durchgekommen. Lt. Debug Logging werden die einzelnen 
Attachments des
DSN durchsucht und der als "message/rfc822" erkannte Teil 4 wird dann 
auch nochmal
in seine Einzelteile aufgebroeselt und dem Virenscanner zu fressen 
gegeben:

"[...] presenting full original message to scanners as 
/var/amavis/tmp/amavis-201[...]"

Sprich, die A/V Software wuerde hier in jedem Fall fassen. Allerdings 
scheint AMaViSd
hier standardmaessig die Pruefung fuer BANNED Dateitypen nicht auf die 
Einzelteile des
"message/rfc822" anzuwenden, sondern lediglich die MIME-Typen des 
eigentlichen DSN
zu pruefen.

Der Grund dafuer ist die amavisd Standardconfig. Im @decoders Array hat 
man die
Moeglichkeit, fuer bestimmte Dateiendungen entsprechende Decoder 
festzulegen. Z. B.
fuer .gz wird gzip benutzt. Hier gibt es auch einen Eintrag fuer .asc 
der aber
per default auskommentiert ist:

[[qw(asc uue hqx ync)], \&do_ascii],  # not safe

Der vermutliche Grund dafuer ist wohl das "not safe". Die Funktion 
do_safe()
versucht dann verschiedene Decoding-Methoden anzuwenden (uudecode, 
BinHex, Base64, etc.)
Dies scheint aber wohl nicht wirklich verlaesslich zu sein. Funktioniert 
aber
ohne groessere Probleme im Fall des DSN.

Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) LMTP:[10.0.0.3]:10024 
/var/amavis/tmp/amavis-20150924T104135-53435-EeSqrW4m: <> -> 
<winni at pebcak.de> SIZE=783070 Received: from mail1.neessen.net 
([10.0.0.1]) by amavis.mail1.neessen.net (amavis.mail1.neessen.net 
[10.0.0.3]) (amavisd-new, port 10024) with LMTP for <winni at pebcak.de>; 
Thu, 24 Sep 2015 10:41:35 +0200 (CEST)
Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) Checking: 6ND8fQX9KMjW 
[89.1.11.8] <> -> <winni at pebcak.de>
Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) (!)Decoding of p005 (Zip 
archive data, at least v2.0 to extract) failed, leaving it unpacked: 
error: inflate error -3
Sep 24 10:41:35 mail1 amavis[53435]: (53435-01) p.path BANNED:1 
winni at pebcak.de: "P=p004,L=1,M=multipart/report | 
P=p003,L=1/3,M=message/rfc822,T=asc | 
P=p005,L=1/3/1,T=zip,N=ClearProg_1.6.1_Beta10.zip | 
P=p006,L=1/3/1/1,T=empty,N=ClearProg.exe", 
matching_key="(?^ix:.\134.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|\n 
        inf|ini|ins|isp|js|jse|lib|lnk|mda|mdb|mde|mdt|mdw|mdz|msc|msi|\n 
        
msp|mst|ocx|ops|pcd|pif|prg|reg|scr|sct|shb|shs|sys|vb|vbe|vbs|vxd|\n    
     wmf|wsc|wsf|wsh)$)"
Sep 24 10:41:36 mail1 amavis[53435]: (53435-01) local delivery: <> -> 
banned-quarantine, mbx=/var/virusmails/banned/6/6ND8fQX9KMjW
Sep 24 10:41:36 mail1 amavis[53435]: (53435-01) Blocked BANNED 
(.empty,ClearProg.exe) {NoBounceInbound,Quarantined}, [89.1.11.8]:58150 
[217.91.103.190] <> -> <winni at pebcak.de>, quarantine: 
banned/6/6ND8fQX9KMjW, Queue-ID: BD9D9DE09780, Message-ID: 
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at winni@pebcak.de>, mail_id: 6ND8fQX9KMjW, 
Hits: -, size: 783034, 888 ms

Wenn man also do_ascii fuer .asc (oder auch andere Typen nutzt), kann 
man sich
gegen solche Attachments in DSN schuetzen.

ine andere Moeglichkeit waere dann noch das "Pen Pal" Feature zu nutzen. 
Das
funktioniert aber nur, wenn man AMaViSd mit einer SQL Datenbank 
verbindet. Durch
das "Pen Pal" feature, hat AMaViSd dann die Moeglichkeit mitzuschreiben, 
welche
Message IDs rausgehen und von welcher Absenderadresse sie kommen. Und 
hier kommt
dann das sog. "Bounce Killer" Feature ins Spiel. Bekommt AMaViSd einen 
Bounce
zu sehen, dessen Message ID nicht in der Datenbank ist, kann man davon 
ausgehen,
dass die initiale Mail nicht von dem eigentlichen Absender verschickt 
wurde.

Ergo wuerde diese DSN auch nicht durchgelassen werden, da der Bounce 
gefaked
ist, die Message ID dementsprechend auch und somit keine Referent in der
Datenbank gefunden werden kann.


Winni


From Django  Thu Sep 24 11:32:00 2015
From: Django (Django)
Date: Thu, 24 Sep 2015 11:32:00 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <87fcfffd7385bafc54c81a136e55ed5b@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net>
Message-ID: <5603C310.6010608@nausch.org>

HI!

Am 24.09.2015 um 10:52 schrieb Winfried Neessen:

> Der Grund dafuer ist die amavisd Standardconfig. Im @decoders Array hat
> man die
> Moeglichkeit, fuer bestimmte Dateiendungen entsprechende Decoder
> festzulegen. Z. B.
> fuer .gz wird gzip benutzt. Hier gibt es auch einen Eintrag fuer .asc
> der aber
> per default auskommentiert ist:
> 
> [[qw(asc uue hqx ync)], \&do_ascii],  # not safe

Also beim Kunden sind folgende decoder-Definitionen jetzt schon am Start:

@decoders = (
  ['mail', \&do_mime_decode],
  ['asc',  \&do_ascii],
  ['uue',  \&do_ascii],
  ['hqx',  \&do_ascii],
  ['ync',  \&do_ascii],
  ['F',    \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ],
  ['Z',    \&do_uncompress, ['uncompress','gzip -d','zcat'] ],
  ['gz',   \&do_uncompress,  'gzip -d'],
  ['gz',   \&do_gunzip],
  ['bz2',  \&do_uncompress,  'bzip2 -d'],
  ['lzo',  \&do_uncompress,  'lzop -d'],
  ['rpm',  \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ],
  ['cpio', \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['tar',  \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['deb',  \&do_ar,          'ar'],
# ['a',    \&do_ar,          'ar'],  # unpacking .a seems an overkill
  ['zip',  \&do_unzip],
  ['7z',   \&do_7zip,       ['7zr','7za','7z'] ],
  ['rar',  \&do_unrar,      ['rar','unrar'] ],
  ['arj',  \&do_unarj,      ['arj','unarj'] ],
  ['arc',  \&do_arc,        ['nomarch','arc'] ],
  ['zoo',  \&do_zoo,        ['zoo','unzoo'] ],
  ['lha',  \&do_lha,         'lha'],
# ['doc',  \&do_ole,         'ripole'],
  ['cab',  \&do_cabextract,  'cabextract'],
  ['tnef', \&do_tnef_ext,    'tnef'],
  ['tnef', \&do_tnef],
# ['sit',  \&do_unstuff,     'unstuff'],  # broken/unsafe decoder
  ['exe',  \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
);

Wir haben bei einem anderen Kunden die Einstellung nach Deinem Vorschlag
angepasst, Mail mit exe kommt immer noch durch.


> Wenn man also do_ascii fuer .asc (oder auch andere Typen nutzt), kann
> man sich
> gegen solche Attachments in DSN schuetzen.

Das können wir leider so nicht bestätigen. :/

> ine andere Moeglichkeit waere dann noch das "Pen Pal" Feature zu nutzen.

Das feature können wir so nicht verwenden, da wir zwei AMaViS-Instanzen
auf zwei unterschiedlichen Netzen betreiben und da können wir leider
keinen SPOF (zentrale MariaDB) betreiben.


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From wn at neessen.net  Thu Sep 24 11:37:35 2015
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 24 Sep 2015 11:37:35 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603C310.6010608@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
Message-ID: <7e51ef8c8295c36cb50a521ce15c8428@neessen.net>

Hi,

Am 2015-09-24 11:32, schrieb Django [BOfH]:

> Also beim Kunden sind folgende decoder-Definitionen jetzt schon am 
> Start:
> 
> @decoders = (
> ['mail', \&do_mime_decode],
> ['asc', \&do_ascii],
> [...]
> Wir haben bei einem anderen Kunden die Einstellung nach Deinem 
> Vorschlag
> angepasst, Mail mit exe kommt immer noch durch.
> 

Dann wuerde ich vorschlagen das AMaViSd debug logging zu aktivieren und 
zu gucken,
ob der "message/rfc822" Teil ueberhaupt als .asc erkannt wird. Du wirst 
im Log sowas
in der Art finden:

doing banned check for wn at neessen.net on multipart/report | 
message/rfc822,.asc

Wenn da was anderes als .asc erkannt wird, koenntest Du die Config 
entsprechend
anpassen. Ansonsten vielleicht einfach mal die komplette Config posten- 
evtl. ist
da noch etwas anderes eingestellt, dass dazu fuehrt, dass der Check 
ausgelassen
wird.


Winni


From anmeyer at mailbox.org  Thu Sep 24 11:41:49 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Thu, 24 Sep 2015 11:41:49 +0200
Subject: Transportproblem mit der master.cf
In-Reply-To: <560368D0.8020204@web.de>
References: <20150924034806.5d7e0cc5@workstation.bitcorner.intern>
 <5603591A.9050405@web.de>
 <20150924040156.0f6d0fb3@workstation.bitcorner.intern>
 <560368D0.8020204@web.de>
Message-ID: <20150924114149.4e726880@workstation.bitcorner.intern>

Peter Büttner <buettnerp at web.de> schrieb am 24.09.15 um 05:06:56 Uhr:

> .... so sollte es auch funktionieren:
> 
> http://www.kutukupret.com/2010/01/02/postfix-bind-sender-domain-to-dedicated-outgoing-ip-address/

Danke für den link, sehr interessant!

> Gruß
> Peter Büttner

  Andreas


From buettnerp at web.de  Thu Sep 24 12:55:37 2015
From: buettnerp at web.de (=?UTF-8?B?UGV0ZXIgQsO8dHRuZXI=?=)
Date: Thu, 24 Sep 2015 12:55:37 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <20150924100829.Horde.m-6kbLcz1Awg0PqUyrIStI-@xn--bro-hoa.nausch.org>
References: <56013706.6060302@nausch.org> <5602CFCA.1060503@web.de>
 <20150924100829.Horde.m-6kbLcz1Awg0PqUyrIStI-@xn--bro-hoa.nausch.org>
Message-ID: <5603D6A9.6080107@web.de>

Hallo Django,

bei mir ist nichts angekommen, obwohl das Log etwas anderes sagt:

Sep 24 10:06:00 nge postfix/smtpd[2549]: connect from
mx01.nausch.org[217.91.103.190]
Sep 24 10:06:00 nge postfix/anvil[2550]: warning: inet_protocols:
disabling IPv6 name/address support: Address family not supported by
protocol
Sep 24 10:06:11 nge dovecot: imap(pb at hosting-vergleich.com):
Disconnected: Logged out in=128 out=591
Sep 24 10:06:11 nge dovecot: imap(pb at alstercom.de): Disconnected: Logged
out in=134 out=601
Sep 24 10:06:22 nge postfix/trivial-rewrite[2556]: warning:
inet_protocols: disabling IPv6 name/address support: Address family not
supported by protocol
Sep 24 10:06:35 nge postfix/spawn[2560]: warning: inet_protocols:
disabling IPv6 name/address support: Address family not supported by
protocol
Sep 24 10:06:36 nge policyd-spf[2561]: None; identity=helo;
client-ip=217.91.103.190; helo=mx01.nausch.org; envelope-from=<>;
receiver=pb at alstercom.de
Sep 24 10:06:38 nge postfix/policyd-weight[882]: decided action=DUNNO
NULL (<>) Sender; <client=mx01.nausch.org[217.91.103.190]>
<helo=mx01.nausch.org> <from=> <to=pb at alstercom.de>; delay: 0s
Sep 24 10:06:38 nge postgrey[737]: action=pass, reason=triplet found,
delay=421, client_name=mx01.nausch.org, client_address=217.91.103.190,
recipient=pb at alstercom.de
Sep 24 10:06:38 nge postfix/verify[2562]: warning: inet_protocols:
disabling IPv6 name/address support: Address family not supported by
protocol
Sep 24 10:06:38 nge postfix/smtpd[2549]: NOQUEUE:
client=mx01.nausch.org[217.91.103.190]
Sep 24 10:06:42 nge amavis[867]: (00867-01) ESMTP::10024
/var/amavis/tmp/amavis-20150924T100638-00867-GS1jSepu: <> ->
<pb at alstercom.de> Received: from nge.alstercom.de ([127.0.0.1]) by
localhost (nge.alstercom.de [127.0.0.1]) (amavisd-new, port 10024) with
ESMTP for <pb at alstercom.de>; Thu, 24 Sep 2015 10:06:38 +0200 (CEST)
Sep 24 10:06:58 nge amavis[867]: (00867-01) Checking: 8eXCZmNNzwhi
[217.91.103.190] <> -> <pb at alstercom.de>
Sep 24 10:07:00 nge dovecot: imap-login: Login: user=<pb at alstercom.de>,
method=PLAIN, rip=85.183.76.35, lip=89.163.155.75, mpid=2571, TLS,
session=<jYUzt3kg8ABVt0wj>
Sep 24 10:07:00 nge dovecot: imap(pb at alstercom.de): Disconnected: Logged
out in=50 out=475
Sep 24 10:07:03 nge postfix/smtpd[2572]: warning: inet_protocols:
disabling IPv6 name/address support: Address family not supported by
protocol
Sep 24 10:07:03 nge postfix/smtpd[2572]: connect from unknown[127.0.0.1]
Sep 24 10:07:03 nge postfix/cleanup[2573]: warning: inet_protocols:
disabling IPv6 name/address support: Address family not supported by
protocol
Sep 24 10:07:03 nge postfix/smtpd[2572]: 39F5CAC04C3:
client=unknown[127.0.0.1], orig_client=mx01.nausch.org[217.91.103.190]
Sep 24 10:07:03 nge postfix/cleanup[2573]: 39F5CAC04C3:
message-id=<Nk1qZ8XjlJCTRXCCBUrGJfF2M at pb@alstercom.de>
Sep 24 10:07:03 nge postfix/qmgr[826]: 39F5CAC04C3: from=<>,
size=783307, nrcpt=1 (queue active)
Sep 24 10:07:03 nge amavis[867]: (00867-01) FWD from <> ->
<pb at alstercom.de>,BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025):
250 2.0.0 Ok: queued as 39F5CAC04C3
Sep 24 10:07:03 nge postfix/virtual[2575]: warning: inet_protocols:
disabling IPv6 name/address support: Address family not supported by
protocol
Sep 24 10:07:03 nge amavis[867]: (00867-01) Passed CLEAN
{RelayedInbound}, [217.91.103.190]:38475 [217.91.103.190] <> ->
<pb at alstercom.de>, Message-ID:
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at pb@alstercom.de>, mail_id: 8eXCZmNNzwhi,
Hits: 2.37, size: 782733, queued_as: 39F5CAC04C3, 24406 ms
Sep 24 10:07:03 nge postfix/smtpd[2549]: proxy-accept: END-OF-MESSAGE:
250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as
39F5CAC04C3; from=<> to=<pb at alstercom.de> proto=SMTP helo=<mx01.nausch.org>
Sep 24 10:07:03 nge amavis[867]: (00867-01) extra modules loaded:
unicore/lib/gc_sc/Digit.pl, unicore/lib/gc_sc/SpacePer.pl
Sep 24 10:07:03 nge postfix/virtual[2575]: 39F5CAC04C3:
to=<pb at alstercom.de>, relay=virtual, delay=0.21,
delays=0.13/0.01/0/0.06, dsn=2.0.0, status=sent (delivered to maildir)
Sep 24 10:07:03 nge postfix/qmgr[826]: 39F5CAC04C3: removed
Sep 24 10:07:05 nge postfix/smtpd[2549]: disconnect from
mx01.nausch.org[217.91.103.190]

Gruß
Peter Büttner


Am 24.09.2015 um 10:08 schrieb django at nausch.org:
> HI Peter!
> 
> Quoting Peter Büttner <buettnerp at web.de>:
> 
>> Bitte feuert mal diese "besonderen eMails" an pb at alstercom.de
> 
> 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as
> 39F5CAC04C3
> ist aber "nur eine exe)!
> 
> 
> ttyl
> Django


From driessen at fblan.de  Thu Sep 24 12:56:07 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 12:56:07 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603C310.6010608@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
Message-ID: <018c01d0f6b7$9ddbf330$d993d990$@fblan.de>

Im Auftrag von Django [BOfH]
> auf zwei unterschiedlichen Netzen betreiben und da können wir leider
> keinen SPOF (zentrale MariaDB) betreiben.

Master master repl


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From Christian.Schmidt at chemie.uni-hamburg.de  Thu Sep 24 13:02:15 2015
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Thu, 24 Sep 2015 13:02:15 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603C310.6010608@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
Message-ID: <5603D837.20709@chemie.uni-hamburg.de>

On 24.09.2015 11:32, Django [BOfH] wrote:
> Das feature können wir so nicht verwenden, da wir zwei AMaViS-Instanzen
> auf zwei unterschiedlichen Netzen betreiben und da können wir leider
> keinen SPOF (zentrale MariaDB) betreiben.

MariaDB lässt sich recht einfach mit Galera clustern, siehe
beispielsweise:
https://mariadb.com/kb/en/mariadb/what-is-mariadb-galera-cluster/

Mit freundlichen Grüßen
Christian Schmidt

-- 
No signature available.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5326 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150924/22f20be5/attachment.p7s>

From wn at neessen.net  Thu Sep 24 13:04:56 2015
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 24 Sep 2015 13:04:56 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603D6A9.6080107@web.de>
References: <56013706.6060302@nausch.org> <5602CFCA.1060503@web.de>
 <20150924100829.Horde.m-6kbLcz1Awg0PqUyrIStI-@xn--bro-hoa.nausch.org>
 <5603D6A9.6080107@web.de>
Message-ID: <15b0d6a6938bd25d59cae0c402c7a4da@neessen.net>

Hi Peter,

Am 2015-09-24 12:55, schrieb Peter Büttner:

> bei mir ist nichts angekommen, obwohl das Log etwas anderes sagt:
> 

Die Mail ist datiert vom 2015-09-08 12:43. Wenn Dein Mail-Client nach 
Datum sortiert,
findest Du sie vermutlich "etwas weiter unten".


Winni


From buettnerp at web.de  Thu Sep 24 13:20:11 2015
From: buettnerp at web.de (=?UTF-8?B?UGV0ZXIgQsO8dHRuZXI=?=)
Date: Thu, 24 Sep 2015 13:20:11 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <15b0d6a6938bd25d59cae0c402c7a4da@neessen.net>
References: <56013706.6060302@nausch.org> <5602CFCA.1060503@web.de>
 <20150924100829.Horde.m-6kbLcz1Awg0PqUyrIStI-@xn--bro-hoa.nausch.org>
 <5603D6A9.6080107@web.de> <15b0d6a6938bd25d59cae0c402c7a4da@neessen.net>
Message-ID: <5603DC6B.5030406@web.de>

Hallo Winni,

hab's gefunden. So etwas hatte ich noch nicht.
Da muß ich nachbessern.

Gruß
Peter Büttner

Am 24.09.2015 um 13:04 schrieb Winfried Neessen:
> Hi Peter,
> 
> Am 2015-09-24 12:55, schrieb Peter Büttner:
> 
>> bei mir ist nichts angekommen, obwohl das Log etwas anderes sagt:
>>
> 
> Die Mail ist datiert vom 2015-09-08 12:43. Wenn Dein Mail-Client nach
> Datum sortiert,
> findest Du sie vermutlich "etwas weiter unten".
> 
> 
> Winni
> 


From Django  Thu Sep 24 14:20:14 2015
From: Django (Django)
Date: Thu, 24 Sep 2015 14:20:14 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <018c01d0f6b7$9ddbf330$d993d990$@fblan.de>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
 <018c01d0f6b7$9ddbf330$d993d990$@fblan.de>
Message-ID: <5603EA7E.1040604@nausch.org>

HI!

Am 24.09.2015 um 12:56 schrieb Uwe Drießen:

> Master master repl

So einfach ist dies aber beim Kunden nicht, da als SQLdb nur oracle
gestattet wird. Und was noch viel schwieriger wiegt ist die Tatsache,
dass aus der Sicherheitszone, in der die Borderfilter stehen keine
SQL-Connectivität zur Zone erlaubt ist, in der die Oracle steht.

Also eine klassische loos-loos Situation. m(


Servus
Django
-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God
http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django


From driessen at fblan.de  Thu Sep 24 14:46:05 2015
From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=)
Date: Thu, 24 Sep 2015 14:46:05 +0200
Subject: AW: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603EA7E.1040604@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
 <018c01d0f6b7$9ddbf330$d993d990$@fblan.de> <5603EA7E.1040604@nausch.org>
Message-ID: <019a01d0f6c6$fa21a1d0$ee64e570$@fblan.de>

Im Auftrag von Django [BOfH]
> So einfach ist dies aber beim Kunden nicht, da als SQLdb nur oracle
> gestattet wird. Und was noch viel schwieriger wiegt ist die Tatsache,
> dass aus der Sicherheitszone, in der die Borderfilter stehen keine
> SQL-Connectivität zur Zone erlaubt ist, in der die Oracle steht.

Man kann und würde auch die Verbindung per SSL/TLS/VPN absichern 

> 
> Also eine klassische loos-loos Situation. m(

Was soll man da noch sagen sicherer wird das Ganze dann aber nur noch wenn
man die Leitungen nach draußen ganz kappt 
Solange auch nur einer Mails reinsenden kann gibt es immer ein Löchlein
.....

Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 





From br at wolffsohn-it.com  Fri Sep 25 15:44:49 2015
From: br at wolffsohn-it.com (Bastian Reichart)
Date: Fri, 25 Sep 2015 15:44:49 +0200
Subject: =?iso-8859-1?q?Postfix=2C_TLS_Require=2C_abh=E4ngig_von?=
 =?iso-8859-1?q?_Absenderdomain?=
Message-ID: <5e302026-0de7-4ff8-b6bc-0b0d635ad4fd@wolffsohn-it.com>

Hallo zusammen!

Kann ich in Postfix TLS abhängig von der Absenderdomain erfordern? Sprich, wenn Mail von @blabla.de,
dann darf diese nur angenommen werden, wenn die Verbindung TLS Verschlüsselt ist?

smtp_tls_policy_maps greifen ja nach meinem Verständnis nach nur bei Empfänger-Domains.

Ich hätte noch diese Möglichkeit gefunden, allerdings frage ich mich, ob das der richtige Weg ist:
http://serverfault.com/questions/389636/can-you-set-postfix-to-enforce-tls-on-incoming-email-only-from-certain-domains-o

Danke &
Ein schönes Wochenende

Bastian



From w.flamme at web.de  Sat Sep 26 12:13:21 2015
From: w.flamme at web.de (Werner Flamme)
Date: Sat, 26 Sep 2015 12:13:21 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de> <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
 <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
Message-ID: <56066FC1.5060706@web.de>

Am 24.09.2015 um 10:10 schrieb django at nausch.org:
> HI Andreas,
> 
> Quoting Andreas Meyer <anmeyer at mailbox.org>:
> 
>>> https://dokuwiki.nausch.org/doku.php/centos:mail_c7:start#spam-_und_virenschutz_mechanismen_unter_centos_7x
>>
>> Fehler: Verbindung unterbrochen
>> Die Verbindung zum Server wurde zurückgesetzt, während die Seite  
>> geladen wurde.
> 
> Pprobier's nochmal, der Host steht aktuell unter Dauerbefeuerung, kann  
> daher (leider) etwas dauern ...

Hm, hatte dokuwiki.org auch, war wohl ein DDOS-Pentest, wenn ich die ML
richtig verstanden habe...

saacht Werner
-- 




From anmeyer at mailbox.org  Sat Sep 26 12:34:37 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Sat, 26 Sep 2015 12:34:37 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56066FC1.5060706@web.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
 <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
 <56066FC1.5060706@web.de>
Message-ID: <20150926123437.28da26a7@workstation.bitcorner.intern>

Werner Flamme <w.flamme at web.de> schrieb am 26.09.15 um 12:13:21 Uhr:

> >>> https://dokuwiki.nausch.org/doku.php/centos:mail_c7:start#spam-_und_virenschutz_mechanismen_unter_centos_7x
> >>
> >> Fehler: Verbindung unterbrochen
> >> Die Verbindung zum Server wurde zurückgesetzt, während die Seite  
> >> geladen wurde.
> > 
> > Pprobier's nochmal, der Host steht aktuell unter Dauerbefeuerung, kann  
> > daher (leider) etwas dauern ...
> 
> Hm, hatte dokuwiki.org auch, war wohl ein DDOS-Pentest, wenn ich die ML
> richtig verstanden habe...

Also ich komme immer noch nicht auf die Seite.

  Andreas


From w.flamme at web.de  Sat Sep 26 12:47:55 2015
From: w.flamme at web.de (Werner Flamme)
Date: Sat, 26 Sep 2015 12:47:55 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <20150926123437.28da26a7@workstation.bitcorner.intern>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de> <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
 <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
 <56066FC1.5060706@web.de>
 <20150926123437.28da26a7@workstation.bitcorner.intern>
Message-ID: <560677DB.9020406@web.de>

Am 26.09.2015 um 12:34 schrieb Andreas Meyer:
> Werner Flamme <w.flamme at web.de> schrieb am 26.09.15 um 12:13:21 Uhr:
> 
>> >>> https://dokuwiki.nausch.org/doku.php/centos:mail_c7:start#spam-_und_virenschutz_mechanismen_unter_centos_7x
>> >>
>> >> Fehler: Verbindung unterbrochen
>> >> Die Verbindung zum Server wurde zurückgesetzt, während die Seite  
>> >> geladen wurde.
>> > 
>> > Pprobier's nochmal, der Host steht aktuell unter Dauerbefeuerung, kann  
>> > daher (leider) etwas dauern ...
>> 
>> Hm, hatte dokuwiki.org auch, war wohl ein DDOS-Pentest, wenn ich die ML
>> richtig verstanden habe...
> 
> Also ich komme immer noch nicht auf die Seite.

Ich schon. Nur der Browser Google Chrome erzählt mir, die Seite sei
unsicher, weil sie mit einer veralteten Codier-Suite verschlüsselt
werde. Allerdings habe ich das Root-Zertifikat von cacert.org manuell
nachgeladen, vorher gab es dazu auch eine Beschwerde.

Gruß
Werner
-- 


From anmeyer at mailbox.org  Sat Sep 26 13:02:04 2015
From: anmeyer at mailbox.org (Andreas Meyer)
Date: Sat, 26 Sep 2015 13:02:04 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <560677DB.9020406@web.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de>
 <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
 <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
 <56066FC1.5060706@web.de>
 <20150926123437.28da26a7@workstation.bitcorner.intern>
 <560677DB.9020406@web.de>
Message-ID: <20150926130204.08277f7a@workstation.bitcorner.intern>

Werner Flamme <w.flamme at web.de> schrieb am 26.09.15 um 12:47:55 Uhr:

> > Also ich komme immer noch nicht auf die Seite.
> 
> Ich schon. Nur der Browser Google Chrome erzählt mir, die Seite sei
> unsicher, weil sie mit einer veralteten Codier-Suite verschlüsselt
> werde. Allerdings habe ich das Root-Zertifikat von cacert.org manuell
> nachgeladen, vorher gab es dazu auch eine Beschwerde.

Seamonkey ist der Meinung:

Verbindung unterbrochen
Das Dokument enthält keine Daten.
Die Netzwerkverbindung wurde während des Verbindungsaufbaus unterbrochen. Bitte versuchen Sie es erneut.

> Gruß
> Werner

  Andreas


From max.grobecker at ml.grobecker.info  Sat Sep 26 15:30:58 2015
From: max.grobecker at ml.grobecker.info (Max Grobecker)
Date: Sat, 26 Sep 2015 15:30:58 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <20150924095735.Horde.M8kCzZiuDgwNT2rYc4oLdJG@xn--bro-hoa.nausch.org>
References: <56013706.6060302@nausch.org> <5603276B.9090505@ml.grobecker.info>
 <20150924095735.Horde.M8kCzZiuDgwNT2rYc4oLdJG@xn--bro-hoa.nausch.org>
Message-ID: <56069E12.1040606@ml.grobecker.info>

Ola!

Am 24.09.2015 um 09:57 schrieb django at nausch.org:

> 250 2.0.0 from MTA(smtp:[mxfilter.mx0.301-moved.internal]:10025): 250 2.0.0 Ok: queued as 3nM7wq5BBwz9vmf

Jetzt bin ich pikiert.


Meine manuell gepflegten @decode-Maps sind offenbar in einer später geladenen Datei überschrieben worden.
Magst du das nochmal verifizieren? Ich bin mir jetzt sicher, dass es knallen müsste :-)



Viele Grüße aus dem Tal
 Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150926/133e8c89/attachment.asc>

From django at piratenpartei-bayern.de  Sat Sep 26 19:57:15 2015
From: django at piratenpartei-bayern.de (Django)
Date: Sat, 26 Sep 2015 19:57:15 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56066FC1.5060706@web.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de> <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
 <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
 <56066FC1.5060706@web.de>
Message-ID: <5606DC7B.5020309@piratenpartei-bayern.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI Wänä!

Am 26.09.2015 um 12:13 schrieb Werner Flamme:

> Hm, hatte dokuwiki.org auch, war wohl ein DDOS-Pentest, wenn ich
> die ML richtig verstanden habe...

Ab und zu "scheissen" mich die Chinesen und Japaner zu, so dass mein
Server etwas ins's Schwitzen kommt. Sorry, aber ich kann das aktuell
nicht bezahlbar erschlagen - ich will ja auch nix verdienen mit
Django's WIKI und das soll auch so (werbefrei) bleiben.


Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=CXNQ
-----END PGP SIGNATURE-----


From django at piratenpartei-bayern.de  Sat Sep 26 22:13:48 2015
From: django at piratenpartei-bayern.de (Django)
Date: Sat, 26 Sep 2015 22:13:48 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <560677DB.9020406@web.de>
References: <56013706.6060302@nausch.org>
 <343209cdddaa837dd5929d28f8887a4f@phflesch.de> <56014B58.6070107@nausch.org>
 <20150923162325.466e950d@workstation.bitcorner.intern>
 <20150924101014.Horde.948_MaxEHEYxjaDcwMk66wH@xn--bro-hoa.nausch.org>
 <56066FC1.5060706@web.de>
 <20150926123437.28da26a7@workstation.bitcorner.intern>
 <560677DB.9020406@web.de>
Message-ID: <5606FC7C.4000101@piratenpartei-bayern.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI Wänä!

Am 26.09.2015 um 12:47 schrieb Werner Flamme:

> Ich schon. Nur der Browser Google Chrome erzählt mir, die Seite
> sei unsicher,

Wer?

Allerdings habe ich das Root-Zertifikat von cacert.org manuell
> nachgeladen, vorher gab es dazu auch eine Beschwerde.

Tja, reicht ja auch - wozu will sich wer denn beschweren? ;)


Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=nDbC
-----END PGP SIGNATURE-----


From django at nausch.org  Mon Sep 28 00:55:25 2015
From: django at nausch.org (Django)
Date: Mon, 28 Sep 2015 00:55:25 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <87fcfffd7385bafc54c81a136e55ed5b@neessen.net>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net>
Message-ID: <560873DD.1000005@nausch.org>

Griasde Winfried,

Am 24.09.2015 um 10:52 schrieb Winfried Neessen:

Also, auch wenn es Sonntag/Montag und schon recht spät ist, habe ich
noch ein paar Sachen ausprobiert und validiert.

> Der Grund dafuer ist die amavisd Standardconfig. Im @decoders Array
> hat man die Moeglichkeit, fuer bestimmte Dateiendungen
> entsprechende Decoder festzulegen. Z. B. fuer .gz wird gzip
> benutzt. Hier gibt es auch einen Eintrag fuer .asc der aber per
> default auskommentiert ist:
> 
> [[qw(asc uue hqx ync)], \&do_ascii],  # not safe

O.K., ich hab auf meinem eigenen Mailserver, die betreffende Zeile
aktiviert und gegen den MXer die präparierte Nachricht gefeuert. Und
sieh da, die Nachricht wird abgelehnt:

$ telnet nausch.org 25
Trying 217.91.103.190...
Connected to nausch.org.
Escape character is '^]'.
220 mx01.nausch.org ESMTP Postfix
...

...
cCAyMDE1IENhc3BlciBXYXlzLmV4ZVBLBQYAAAAAAQABAFYAAAD8PgAAAAA=


--vavfkYi7oDNXSmoOmlo8Izb9C9l4pza480dG4o--

--==IFJRGLKFGIR5458UHRUHIHD--
.
554 5.7.0 Reject, id=02672-10 - BANNED: .exe,.exe-ms,agreement of 08
Sep 2015 Casper Ways.exe. Contact your postmaster/admin for technical
assistance. He can achieve our postmaster via email:
postmaster at nausch.org or via fax: +49 8121 883179. In any case, please
provide the following information in your problem report: This error
message, time (Sep 27 23:40:35), client (88.198.212.215) and server
(mx01.nausch.org).
quit
221 2.0.0 Bye
Connection closed by foreign host.

Der AMaViS schreibt dazu mit Loglevel 3:
Sep 27 23:40:35 vml000067 amavis[2672]: loaded policy bank "AM.PDP-SOCK"
Sep 27 23:40:35 vml000067 amavis[2672]: process_request: fileno
sock=13, STDIN=0, STDOUT=1
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol: request=AM.PDP
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
queue_id=2DD52C0008A
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol: sender=<>
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
recipient=<michael at nausch.org>
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
tempdir=/var/spool/amavisd/tmp/afXXXXjPI01Y
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
tempdir_removed_by=client
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
mail_file=/var/spool/amavisd/tmp/afXXXXjPI01Y/email.txt
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
delivery_care_of=client
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
client_address=88.198.212.215
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
client_name=mx1.piratenpartei-bayern.de
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
helo_name=mx1.piratenpartei-bayern.de
Sep 27 23:40:35 vml000067 amavis[2672]: policy protocol:
policy_bank=mx01.nausch.org
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) Request: AM.PDP
/var/spool/amavisd/tmp/afXXXXjPI01Y: <> -> <michael at nausch.org>
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) smtp connection
cache, dt: 107.6, state: 0
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) body hash:
07ccdddffea63e9fecc725b90ecca67e
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) trace: AM.PDP://x <
88.198.212.215
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) Checking:
OvZ7Onw-G8YN AM.PDP-SOCK [88.198.212.215] <> -> <michael at nausch.org>
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) 2822.From:
<postmaster at bbdouae.onmicrosoft.com>, 2821.Mail_From: <>
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p004 1
Content-Type: multipart/report
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p001 1/1
Content-Type: text/plain, size: 7331 B, name:
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p002 1/2
Content-Type: message/delivery-status, size: 326 B, name:
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p003 1/3
Content-Type: message/rfc822, size: 25549 B, name:
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) inspect_dsn: is a
DSN, struct: "standard DSN", part(3/4), <>
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) do_executable: not
an ARJ sfx, ignoring: do_unarj: not an ARJ archive? exit 9 at (eval
132) line 1300.
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) Checking for banned
types and filenames
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) collect banned
table[0]: michael at nausch.org, tables:
DEFAULT=>Amavis::Lookup::RE=ARRAY(0x35e8fa8)
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p.path
michael at nausch.org: "P=p004,L=1,M=multipart/report |
P=p001,L=1/1,M=text/plain,T=asc"
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p.path
michael at nausch.org: "P=p004,L=1,M=multipart/report |
P=p002,L=1/2,M=message/delivery-status,T=asc"
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) p.path BANNED:1
michael at nausch.org: "P=p004,L=1,M=multipart/report |
P=p003,L=1/3,M=message/rfc822,T=asc | P=p005,L=1/3/1,T=zip,N=contract
Urban Trail#SOjk7K7.zip | P=p006,L=1/3/1/1,T=exe,T=exe-ms,N=agreement
of 08 Sep 2015 Casper Ways.exe", matching_key="(?^:^\\.(exe-ms|dll)$)"
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) presenting full
original message to scanners as
/var/spool/amavisd/tmp/afXXXXjPI01Y/parts/p007
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) run_av Using
(ClamAV-clamd): (code) CONTSCAN
/var/spool/amavisd/tmp/afXXXXjPI01Y/parts\n
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) ClamAV-clamd:
Connecting to socket  /var/run/clamd.amavisd/clamd.sock
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) new socket by
IO::Socket::UNIX to /var/run/clamd.amavisd/clamd.sock, timeout set to 10
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) ClamAV-clamd:
Sending CONTSCAN /var/spool/amavisd/tmp/afXXXXjPI01Y/parts\n to socket
/var/run/clamd.amavisd/clamd.sock
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) rw_loop read: got eof
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) run_av
(ClamAV-clamd): CLEAN
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) run_av
(ClamAV-clamd) result: clean
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) bounce rescued by
domain (DSN), <> -> <michael at nausch.org>, date: Tue, 8 Sep 2015
12:39:15 +0200, from: "Johnston, Gottlieb and Dicki"
<michael at nausch.org>, message-id:
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at nausch.org>, return-path: michael at nausch.org
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) blocking contents
category is (8) for michael at nausch.org, final_destiny -3
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) do_notify_and_quar:
ccat=Banned (8,0) ("8":Banned, "1,1":CleanTag, "1":Clean,
"0":CatchAll) ccat_block=(8), qar_mth=
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) delivery method is
1, recips: michael at nausch.org
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) status counters:
InMsgsStatus{Rejected,RejectedInbound}
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) Blocked BANNED
(.exe,.exe-ms,agreement of 08 Sep 2015 Casper Ways.exe)
{RejectedInbound}, AM.PDP-SOCK [88.198.212.215] [88.198.212.215] <> ->
<michael at nausch.org>, Queue-ID: 2DD52C0008A, Message-ID:
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at nausch.org>, mail_id: OvZ7Onw-G8YN, Hits:
-, size: 38664, 172 ms
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) mail checking
ended: version_server=2\nlog_id=02672-10\nsetreply=554 5.7.0
Reject,%20id=02672-10%20-%20BANNED:%20.exe,.exe-ms,agreement%20of%2008%20Sep%202015%20Casper%20Ways.exe\nreturn_value=reject\nexit_code=69
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) size: 38664, TIMING
[total 178 ms] - got data: 0.0 (0%)0, check_init: 2.1 (1%)1,
digest_hdr: 1.1 (1%)2, digest_body_dkim: 0.5 (0%)2, collect_info: 1.5
(1%)3, mkdir parts: 0.9 (0%)3, mime_decode: 15 (9%)12, inspect_dsn:
0.7 (0%)13, get-file-type3: 36 (20%)32, decompose_part: 0.9 (0%)33,
decompose_part: 0.3 (0%)33, decompose_part: 1.5 (1%)34,
get-file-type1: 10 (5%)39, ren1-unl0-files1: 36 (20%)59,
decompose_part: 0.3 (0%)60, get-file-type1: 10 (6%)65, decompose_part:
29 (16%)81, parts_decode: 0.0 (0%)81, check_header: 0.5 (0%)82,
AV-scan-1: 17 (10%)91, decide_mail_destiny: 2.0 (1%)92, notif-quar:
0.5 (0%)93, prepare-dsn: 0.7 (0%)93, report: 1.3 (1%)94,
main_log_entry: 4.3 (2%)96, update_snmp: 5 (3%)99, rundown: 1.3 (1%)100
Sep 27 23:40:35 vml000067 amavis[2672]: (02672-10) load: 2 %, total
idle 161.008 s, busy 3.148 s

Ohne dem Eintrag "[[qw(asc uue hqx ync)], \&do_ascii]," bei den
Decoders sieht es wie folgt aus:

Sep 27 23:21:59 vml000067 amavis[442]: loaded policy bank "AM.PDP-SOCK"
Sep 27 23:21:59 vml000067 amavis[442]: process_request: fileno
sock=13, STDIN=0, STDOUT=1
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol: request=AM.PDP
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
queue_id=D8F9CC0008E
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol: sender=<>
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
recipient=<michael at nausch.org>
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
tempdir=/var/spool/amavisd/tmp/afXXXXfMOAuw
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
tempdir_removed_by=client
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
mail_file=/var/spool/amavisd/tmp/afXXXXfMOAuw/email.txt
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
delivery_care_of=client
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
client_address=88.198.212.215
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
client_name=mx1.piratenpartei-bayern.de
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
helo_name=mx1.piratenpartei-bayern.de
Sep 27 23:21:59 vml000067 amavis[442]: policy protocol:
policy_bank=mx01.nausch.org
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) Request: AM.PDP
/var/spool/amavisd/tmp/afXXXXfMOAuw: <> -> <michael at nausch.org>
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) body hash:
07ccdddffea63e9fecc725b90ecca67e
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) trace: AM.PDP://x <
88.198.212.215
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) Checking:
F60OZ2yvf3f7 AM.PDP-SOCK [88.198.212.215] <> -> <michael at nausch.org>
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) 2822.From:
<postmaster at bbdouae.onmicrosoft.com>, 2821.Mail_From: <>
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p004 1 Content-Type:
multipart/report
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p001 1/1
Content-Type: text/plain, size: 7331 B, name:
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p002 1/2
Content-Type: message/delivery-status, size: 326 B, name:
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p003 1/3
Content-Type: message/rfc822, size: 25549 B, name:
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) inspect_dsn: is a
DSN, struct: "standard DSN", part(3/4), <>
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) Checking for banned
types and filenames
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) collect banned
table[0]: michael at nausch.org, tables:
DEFAULT=>Amavis::Lookup::RE=ARRAY(0x29dcc98)
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p.path
michael at nausch.org: "P=p004,L=1,M=multipart/report |
P=p001,L=1/1,M=text/plain,T=asc"
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p.path
michael at nausch.org: "P=p004,L=1,M=multipart/report |
P=p002,L=1/2,M=message/delivery-status,T=asc"
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) p.path
michael at nausch.org: "P=p004,L=1,M=multipart/report |
P=p003,L=1/3,M=message/rfc822,T=asc"
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) presenting full
original message to scanners as
/var/spool/amavisd/tmp/afXXXXfMOAuw/parts/p005
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) run_av Using
(ClamAV-clamd): (code) CONTSCAN
/var/spool/amavisd/tmp/afXXXXfMOAuw/parts\n
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) ClamAV-clamd:
Connecting to socket  /var/run/clamd.amavisd/clamd.sock
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) new socket by
IO::Socket::UNIX to /var/run/clamd.amavisd/clamd.sock, timeout set to 10
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) ClamAV-clamd:
Sending CONTSCAN /var/spool/amavisd/tmp/afXXXXfMOAuw/parts\n to socket
/var/run/clamd.amavisd/clamd.sock
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) rw_loop read: got eof
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) run_av
(ClamAV-clamd): CLEAN
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) run_av
(ClamAV-clamd) result: clean
Sep 27 23:21:59 vml000067 amavis[442]: (00442-06) calling SA parse
(0), SA vers 3.4.0, 3.004000, data as STRING_REF, recips_ind [0],
user: "amavis"
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) spam_scan:
score=3.764 autolearn=no autolearn_force=no
tests=[DATE_IN_PAST_96_XX=2.07,DSN_NO_MIMEVERSION=1.999,MIME_HEADER_CTYPE_ONLY=1.996,RCVD_IN_DNSWL_MED=-2.3,SPF_HELO_PASS=-0.001]
recips=0
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) bounce rescued by
domain (DSN), <> -> <michael at nausch.org>, date: Tue, 8 Sep 2015
12:39:15 +0200, from: "Johnston, Gottlieb and Dicki"
<michael at nausch.org>, message-id:
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at nausch.org>, return-path: michael at nausch.org
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) do_notify_and_quar:
ccat=CleanTag (1,1) ("1,1":CleanTag, "1":Clean, "0":CatchAll)
ccat_block=(), qar_mth=
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) delivery method is
1, recips: michael at nausch.org
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) spam-tag, <> ->
<michael at nausch.org>, No, score=3.764 tagged_above=-1000 required=6.31
tests=[DATE_IN_PAST_96_XX=2.07, DSN_NO_MIMEVERSION=1.999,
MIME_HEADER_CTYPE_ONLY=1.996, RCVD_IN_DNSWL_MED=-2.3,
SPF_HELO_PASS=-0.001] autolearn=no autolearn_force=no
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) status counters:
InMsgsStatus{Accepted,AcceptedInbound}
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) Passed CLEAN
{AcceptedInbound}, AM.PDP-SOCK [88.198.212.215] [88.198.212.215] <> ->
<michael at nausch.org>, Queue-ID: D8F9CC0008E, Message-ID:
<Nk1qZ8XjlJCTRXCCBUrGJfF2M at nausch.org>, mail_id: F60OZ2yvf3f7, Hits:
3.764, size: 38664, 2661 ms
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) TIMING-SA total 2574
ms - parse: 2.6 (0.1%), extract_message_metadata: 47 (1.8%),
get_uri_detail_list: 10 (0.4%), tests_pri_-1000: 98 (3.8%),
tests_pri_-950: 1.38 (0.1%), tests_pri_-900: 7 (0.3%), tests_pri_-400:
1.22 (0.0%), tests_pri_0: 1396 (54.2%), check_dkim_adsp: 159 (6.2%),
check_spf: 29 (1.1%), poll_dns_idle: 995 (38.6%), check_razor2: 578
(22.4%), check_pyzor: 0.22 (0.0%), tests_pri_500: 1003 (39.0%),
get_report: 0.69 (0.0%)
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) mail checking ended:
version_server=2\nlog_id=00442-06\nsetreply=250 2.5.0
Ok,%20id=00442-06,%20continue%20delivery\ninsheader=0 X-Spam-Status
No,%20score=3.764%20tagged_above=-1000%20required=6.31%0a%09tests=[DATE_IN_PAST_96_XX=2.07,%20DSN_NO_MIMEVERSION=1.999,%0a%09MIME_HEADER_CTYPE_ONLY=1.996,%20RCVD_IN_DNSWL_MED=-2.3,%0a%09SPF_HELO_PASS=-0.001]%20autolearn=no%20autolearn_force=no\ninsheader=0
X-Spam-Level ***\ninsheader=0 X-Spam-Score 3.764\ninsheader=0
X-Spam-Flag NO\ninsheader=0 X-Virus-Scanned
amavisd-new%20at%20nausch.org\nreturn_value=continue\nexit_code=0
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) size: 38664, TIMING
[total 2668 ms] - got data: 0.0 (0%)0, check_init: 2.0 (0%)0,
digest_hdr: 1.1 (0%)0, digest_body_dkim: 0.5 (0%)0, collect_info: 1.5
(0%)0, mkdir parts: 0.9 (0%)0, mime_decode: 15 (1%)1, inspect_dsn: 0.7
(0%)1, get-file-type3: 35 (1%)2, parts_decode: 0.2 (0%)2,
check_header: 0.5 (0%)2, AV-scan-1: 16 (1%)3, spam-wb-list: 1.4 (0%)3,
SA msg read: 0.6 (0%)3, SA parse: 3.1 (0%)3, SA check: 2569 (96%)99,
decide_mail_destiny: 5 (0%)99, notif-quar: 0.4 (0%)99, prepare-dsn:
2.0 (0%)100, report: 1.3 (0%)100, main_log_entry: 5 (0%)100,
update_snmp: 4.9 (0%)100, rundown: 1.6 (0%)100
Sep 27 23:22:02 vml000067 amavis[442]: (00442-06) load: 3 %, total
idle 153.023 s, busy 4.581 s

> Der vermutliche Grund dafuer ist wohl das "not safe". Die Funktion 
> do_safe() versucht dann verschiedene Decoding-Methoden anzuwenden
> (uudecode, BinHex, Base64, etc.) Dies scheint aber wohl nicht
> wirklich verlaesslich zu sein.

Ich werd' dazu mal Marc befragen, mal sehen, was er uns dazu berichten
kann.

> Funktioniert aber ohne groessere Probleme im Fall des DSN.

Das kann ich mit dem eigenen System bestätigen. Warum aber das
Kundensystem tratz standardmäßiger Aktivierung des ASC-Decoders
trotzdem den gefakten bounce erkennt, ist mir gerade nicht sonderlich
klar.

Der Unterschied der beiden Systeme ist:

CentOS 6.7 mit amavisd-new 2.9.0 eingebunden als pre-queue-filter
(gemäß Peer Heinlein's Postfix-Buch) erkennt die exe nicht!

In der amavisd.conf ist definiert:

$banned_filename_re = new_RE(
  qr'^\.(exe-ms|dll)$',                   # banned file(1) types,
rudimentary
  [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type
archives
  qr'.\.(pif|scr)$'i,                     # banned extensions -
rudimentary
archives
  qr'^application/x-msdownload$'i,        # block these MIME types
  qr'^application/x-msdos-program$'i,
  qr'^application/hta$'i,

qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i,
  qr'.\.(exe|vbs|pif|scr|cpl)$'i,             # banned extension - basic
);


@decoders = (
  ['mail', \&do_mime_decode],
  ['asc',  \&do_ascii],
  ['uue',  \&do_ascii],
  ['hqx',  \&do_ascii],
  ['ync',  \&do_ascii],
  ['F',    \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ],
  ['Z',    \&do_uncompress, ['uncompress','gzip -d','zcat'] ],
  ['gz',   \&do_uncompress,  'gzip -d'],
  ['gz',   \&do_gunzip],
  ['bz2',  \&do_uncompress,  'bzip2 -d'],
  ['lzo',  \&do_uncompress,  'lzop -d'],
  ['rpm',  \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ],
  ['cpio', \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['tar',  \&do_pax_cpio,   ['pax','gcpio','cpio'] ],
  ['deb',  \&do_ar,          'ar'],
# ['a',    \&do_ar,          'ar'],  # unpacking .a seems an overkill
  ['zip',  \&do_unzip],
  ['7z',   \&do_7zip,       ['7zr','7za','7z'] ],
  ['rar',  \&do_unrar,      ['rar','unrar'] ],
  ['arj',  \&do_unarj,      ['arj','unarj'] ],
  ['arc',  \&do_arc,        ['nomarch','arc'] ],
  ['zoo',  \&do_zoo,        ['zoo','unzoo'] ],
  ['lha',  \&do_lha,         'lha'],
# ['doc',  \&do_ole,         'ripole'],
  ['cab',  \&do_cabextract,  'cabextract'],
  ['tnef', \&do_tnef_ext,    'tnef'],
  ['tnef', \&do_tnef],
# ['sit',  \&do_unstuff,     'unstuff'],  # broken/unsafe decoder
  ['exe',  \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
);



CentOS 7.1 mit amavisd-new 2.10.1 eingebunden als pre-queue-filter als
MILTER mit Hilfe von amavisd-milter 1.6.0. Dieses System erkennt die
banned EXE.

Die amavisd.conf enthält folgende Zeilen:

$banned_filename_re = new_RE(
    # banned file(1) types, rudimentary
    qr'^\.(exe-ms|dll)$',
    # allow any in Unix-type archives
    [ qr'^\.(rpm|cpio|tar)$'       => 0 ],
    # banned extensions - rudimentary
    qr'.\.(pif|scr)$'i,
    # block these MIME types
    qr'^application/x-msdownload$'i,
    qr'^application/x-msdos-program$'i,
    qr'^application/hta$'i,
    # block certain double extensions in filenames

qr'^(?!cid:).*\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i,
    # banned extension - basic+cmd
    qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i,
);

@decoders = (
    ['mail', \&do_mime_decode],
    ['F',    \&do_uncompress, ['unfreeze', 'freeze -d', 'melt', 'fcat'] ],
    ['Z',    \&do_uncompress, ['uncompress', 'gzip -d', 'zcat'] ],
    ['gz',   \&do_uncompress, 'gzip -d'],
    ['gz',   \&do_gunzip],
    ['bz2',  \&do_uncompress, 'bzip2 -d'],
    ['xz',   \&do_uncompress, ['xzdec', 'xz -dc', 'unxz -c', 'xzcat'] ],
    ['lzma', \&do_uncompress, ['lzmadec', 'xz -dc --format=lzma',
            'lzma -dc', 'unlzma -c', 'lzcat', 'lzmadec'] ],
    ['lrz',  \&do_uncompress, ['lrzip -q -k -d -o -', 'lrzcat -q -k'] ],
    ['lzo',  \&do_uncompress, 'lzop -d'],
    ['rpm',  \&do_uncompress, ['rpm2cpio.pl', 'rpm2cpio'] ],
    [['cpio','tar'], \&do_pax_cpio, ['pax', 'gcpio', 'cpio'] ],
    ['deb',  \&do_ar, 'ar'],
    ['rar',  \&do_unrar, ['unrar', 'rar'] ],
    ['arj',  \&do_unarj, ['unarj', 'arj'] ],
    ['arc',  \&do_arc,   ['nomarch', 'arc'] ],
    ['zoo',  \&do_zoo,   ['zoo', 'unzoo'] ],
    ['cab',  \&do_cabextract, 'cabextract'],
    ['tnef', \&do_tnef],
    [['zip','kmz'], \&do_7zip,  ['7za', '7z'] ],
    [['zip','kmz'], \&do_unzip],
    ['7z',   \&do_7zip,  ['7zr', '7za', '7z'] ],
    [[qw(7z zip gz bz2 Z tar)], \&do_7zip,  ['7za', '7z'] ],
    [[qw(xz lzma jar cpio arj rar swf lha iso cab deb rpm)],
\&do_7zip,  '7z' ],
    ['exe',  \&do_executable, ['unrar','rar'], 'lha', ['unarj','arj'] ],
    [[qw(asc uue hqx ync)], \&do_ascii],
);

So richtig will es sich mir gerade nicht erschließen, warum das CentOS
6 System hier Mucken macht und warum das CentOS 7 hier klaglos
arbeitet. :/

> Wenn man also do_ascii fuer .asc (oder auch andere Typen nutzt),
> kann man sich gegen solche Attachments in DSN schuetzen.

So ist es. 1.000 Dank erst mal für Deine sehr ausfürlichen und
hilfreichen Tips!


n8!
Django


From django at nausch.org  Mon Sep 28 01:09:20 2015
From: django at nausch.org (Django)
Date: Mon, 28 Sep 2015 01:09:20 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56069E12.1040606@ml.grobecker.info>
References: <56013706.6060302@nausch.org> <5603276B.9090505@ml.grobecker.info>
 <20150924095735.Horde.M8kCzZiuDgwNT2rYc4oLdJG@xn--bro-hoa.nausch.org>
 <56069E12.1040606@ml.grobecker.info>
Message-ID: <56087720.8090906@nausch.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI Max!

Am 26.09.2015 um 15:30 schrieb Max Grobecker:

> Jetzt bin ich pikiert.

Muss Dich nicht schämen, so wie es aussieht, haben da einige Probleme
diesen gefakten bounce zu erkennen.

> Meine manuell gepflegten @decode-Maps sind offenbar in einer später
> geladenen Datei überschrieben worden. Magst du das nochmal
> verifizieren? Ich bin mir jetzt sicher, dass es knallen müsste :-)

Aha, sie an und schon erkennt Dein AMaViS die exe!

554-5.7.0 Reject, id=15775-11 - BANNED: .exe,agreement of 08 Sep 2015
Casper Ways.exe
554 5.7.0 If you think this might be an error you can send an e-mail
to mail at support.301-moved.de.

Hast Du außer dem von Winni vorgeschlagenen Decoder:
    [[qw(asc uue hqx ync)], \&do_ascii],
noch was anderes spezielles konfiguriert?


Servus
Django

> Viele Grüße aus dem Tal Max

Hmmmm, aus welchem Tal denn? Im "Tal der Ahnungslosen" sitze ich die
meiste Zeit von Montag bis Freitag. ;)


n8!
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=PffB
-----END PGP SIGNATURE-----


From max.grobecker at ml.grobecker.info  Mon Sep 28 06:05:29 2015
From: max.grobecker at ml.grobecker.info (Max Grobecker)
Date: Mon, 28 Sep 2015 06:05:29 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <56087720.8090906@nausch.org>
References: <56013706.6060302@nausch.org> <5603276B.9090505@ml.grobecker.info>
 <20150924095735.Horde.M8kCzZiuDgwNT2rYc4oLdJG@xn--bro-hoa.nausch.org>
 <56069E12.1040606@ml.grobecker.info> <56087720.8090906@nausch.org>
Message-ID: <5608BC89.1080102@ml.grobecker.info>

Moin Django,


Am 28.09.2015 um 01:09 schrieb Django:

> Aha, sie an und schon erkennt Dein AMaViS die exe!
> 
> 554-5.7.0 Reject, id=15775-11 - BANNED: .exe,agreement of 08 Sep 2015
> Casper Ways.exe
> 554 5.7.0 If you think this might be an error you can send an e-mail
> to mail at support.301-moved.de.

Yeah!!  :-)


> Hast Du außer dem von Winni vorgeschlagenen Decoder:
>     [[qw(asc uue hqx ync)], \&do_ascii],
> noch was anderes spezielles konfiguriert?

Nein, der vorgeschlagene Decoder funktioniert direkt so auf anhieb :-)


>> Viele Grüße aus dem Tal Max
> 
> Hmmmm, aus welchem Tal denn? Im "Tal der Ahnungslosen" sitze ich die
> meiste Zeit von Montag bis Freitag. ;)

Im Tal der Wupper.
Ist aber direkt neben dem Tal der Ahnungslosen :-P



Viele Grüße aus... ach...
 Max

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150928/9acebceb/attachment.asc>

From hans.moser at ofd-z.niedersachsen.de  Mon Sep 28 10:23:37 2015
From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann)
Date: Mon, 28 Sep 2015 10:23:37 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5603EA7E.1040604@nausch.org>
References: <56013706.6060302@nausch.org> <56014799.2050502@nausch.org>
 <12a7d5839f581ed1b2c744fc83c48255@neessen.net> <5601527F.2040103@nausch.org>
 <00e901d0f542$0b6b1c40$224154c0$@fblan.de> <56025AC4.8060601@nausch.org>
 <010f01d0f5d7$2cf371b0$86da5510$@fblan.de> <560271C6.6060207@nausch.org>
 <012701d0f5e7$05390da0$0fab28e0$@fblan.de> <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
 <018c01d0f6b7$9ddbf330$d993d990$@fblan.de> <5603EA7E.1040604@nausch.org>
Message-ID: <5608F909.90703@ofd-z.niedersachsen.de>

Hallo,

Am 24.09.2015 um 14:20 Uhr schrieb Django [BOfH]:
> Am 24.09.2015 um 12:56 schrieb Uwe Drießen:
>
>> Master master repl
>
> So einfach ist dies aber beim Kunden nicht, da als SQLdb nur oracle
> gestattet wird. Und was noch viel schwieriger wiegt ist die Tatsache,
> dass aus der Sicherheitszone, in der die Borderfilter stehen keine
> SQL-Connectivität zur Zone erlaubt ist, in der die Oracle steht.
AMaVisd kann doch mittlerweile diese Daten auch in Redis speichern.
Macht das schon wer produktiv?

Redis ist ja "NoSQL" und bei no SQL muss man bestimmt auch no Oracle 
benutzen. ;)

Grüße

Marc


From p at sys4.de  Mon Sep 28 13:12:57 2015
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 28 Sep 2015 13:12:57 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <5608F909.90703@ofd-z.niedersachsen.de>
References: <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net>
 <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net>
 <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net>
 <5603C310.6010608@nausch.org>
 <018c01d0f6b7$9ddbf330$d993d990$@fblan.de>
 <5603EA7E.1040604@nausch.org>
 <5608F909.90703@ofd-z.niedersachsen.de>
Message-ID: <20150928111257.GA11057@sys4.de>

* Marc Patermann <postfixbuch-users at listen.jpberlin.de>:
> Hallo,
> 
> Am 24.09.2015 um 14:20 Uhr schrieb Django [BOfH]:
> >Am 24.09.2015 um 12:56 schrieb Uwe Drießen:
> >
> >>Master master repl
> >
> >So einfach ist dies aber beim Kunden nicht, da als SQLdb nur oracle
> >gestattet wird. Und was noch viel schwieriger wiegt ist die Tatsache,
> >dass aus der Sicherheitszone, in der die Borderfilter stehen keine
> >SQL-Connectivität zur Zone erlaubt ist, in der die Oracle steht.
> AMaVisd kann doch mittlerweile diese Daten auch in Redis speichern.
> Macht das schon wer produktiv?

Ja.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


From hans.moser at ofd-z.niedersachsen.de  Mon Sep 28 14:26:53 2015
From: hans.moser at ofd-z.niedersachsen.de (Marc Patermann)
Date: Mon, 28 Sep 2015 14:26:53 +0200
Subject: OT: "Freiwilligen gesucht" blocking .exe in Mails/Archiven
In-Reply-To: <20150928111257.GA11057@sys4.de>
References: <56028A19.2030009@nausch.org>
 <d6654dac3ff5fb598c95cc35a4b68f81@neessen.net> <560293C1.7010607@nausch.org>
 <fe258cd8537e698e9e643a0e1f66d64b@neessen.net> <5603A73E.9080505@nausch.org>
 <87fcfffd7385bafc54c81a136e55ed5b@neessen.net> <5603C310.6010608@nausch.org>
 <018c01d0f6b7$9ddbf330$d993d990$@fblan.de> <5603EA7E.1040604@nausch.org>
 <5608F909.90703@ofd-z.niedersachsen.de> <20150928111257.GA11057@sys4.de>
Message-ID: <5609320D.8000907@ofd-z.niedersachsen.de>

Am 28.09.2015 um 13:12 Uhr schrieb Patrick Ben Koetter:
> * Marc Patermann <postfixbuch-users at listen.jpberlin.de>:
>> Am 24.09.2015 um 14:20 Uhr schrieb Django [BOfH]:
>>> Am 24.09.2015 um 12:56 schrieb Uwe Drießen:
>>>
>>>> Master master repl
>>>
>>> So einfach ist dies aber beim Kunden nicht, da als SQLdb nur oracle
>>> gestattet wird. Und was noch viel schwieriger wiegt ist die Tatsache,
>>> dass aus der Sicherheitszone, in der die Borderfilter stehen keine
>>> SQL-Connectivität zur Zone erlaubt ist, in der die Oracle steht.
>> AMaVisd kann doch mittlerweile diese Daten auch in Redis speichern.
>> Macht das schon wer produktiv?
>
> Ja.
Mit redis-cluster?

Marc


From postfixer99 at gmail.com  Tue Sep 29 11:29:48 2015
From: postfixer99 at gmail.com (Carsten)
Date: Tue, 29 Sep 2015 11:29:48 +0200
Subject: =?UTF-8?Q?Filterregeln_f=c3=bcr_de-mail.de_am_Border-MX?=
Message-ID: <560A5A0C.5000903@gmail.com>

Hallo zusammen,

ich möchte hier nicht über Sinn und Unsinn von de-mail diskutieren.
Fakt ist aber, dass sich einige Mail-Admins mit dem Thema beschäftigen 
müssen,
insbesondere die Kollegen hier, die Dienstleister für Behörden sind, 
aufgrund des de-mail Gesetzes.

Spätestens seit die Telekom auf Ihrer Homepage eine de-mail Adresse 
veröffentlicht hat,
sehe ich in meinen ausgehenden Mailqueues Mails an 
kundenservice-de-mail at telekom.de-mail.de,
welche natürlich nicht über das Internet zugestellt werden 
dürfen/können, da es sich bei de-mail um ein geschlossenes System handelt.

Das ausharren in der Mailqueue liegt daran, dass die Telekom zwar einen 
MX veröffentlicht, dort aber (zu Recht) nicht antwortet.
telekom.de-mail.de.     1982    IN      MX      10 
mailmx.de-mail-t-systems.de-mail.de.
Die Mails liegen die maximal_queue_lifetime in der Queue, bevor sie als 
NDN zurückgehen.
Da frage ich mich doch, warum man überhaupt einen MX veröffentlicht?

Insbesondere für eingehende Mails, die angeblich vom Absender 
"foo@*.de-mail.de" ankommen,
sehe ich hier ein hohes Fälschungs- und Verunsicherungs-Potenzial beim 
Empfänger.
Sehe ich es richtig, dass hier nur gefälschte Mails eingehen können und 
niemals legitime?

Mein Vorhaben wäre
- Ausgehende Mails an @*.de-mail.de ausgehend sofort zu REJECTen (oder 
verstoße ich da gegen irgendwelche RFCs?)
- eingehende Mails vom Absender @*.de-mail.de zu REJECTen (aus 
Sicherheitsgründen)


Ich freue mich über Eure Meinungen.

Beste Grüße

Carsten




From django at nausch.org  Tue Sep 29 11:53:35 2015
From: django at nausch.org (Django)
Date: Tue, 29 Sep 2015 11:53:35 +0200
Subject: =?UTF-8?Q?Re:_Filterregeln_f=c3=bcr_de-mail.de_am_Border-MX?=
In-Reply-To: <560A5A0C.5000903@gmail.com>
References: <560A5A0C.5000903@gmail.com>
Message-ID: <560A5F9F.6050000@nausch.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI!

Am 29.09.2015 um 11:29 schrieb Carsten:

> Mein Vorhaben wäre - Ausgehende Mails an @*.de-mail.de ausgehend
> sofort zu REJECTen (oder verstoße ich da gegen irgendwelche RFCs?)

Ja, so würde ich das auch machen. Sofort die Annahme verweigern, weil
Du ja eh keine Chance hats, die Mails weiterzuleiten.

> - eingehende Mails vom Absender @*.de-mail.de zu REJECTen (aus 
> Sicherheitsgründen)

Öhhh, ich dachte das soll ein "geschlossenes sicheres System" sein. Da
solltest Du eh keine Nachrichten bekommen. Da würde ich immer
annehmen, wenn es einen Empfänger gibt. Wenn dann würde ich eher die
IP des Servers von der Telekom sperren, der widererwarten bei Dir Post
abliefern will.



Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=Ab/A
-----END PGP SIGNATURE-----


From postfixer99 at gmail.com  Tue Sep 29 12:21:33 2015
From: postfixer99 at gmail.com (Carsten)
Date: Tue, 29 Sep 2015 12:21:33 +0200
Subject: =?UTF-8?Q?Re:_Filterregeln_f=c3=bcr_de-mail.de_am_Border-MX?=
In-Reply-To: <560A5F9F.6050000@nausch.org>
References: <560A5A0C.5000903@gmail.com> <560A5F9F.6050000@nausch.org>
Message-ID: <560A662D.10305@gmail.com>

Am 29.09.2015 um 11:53 schrieb Django:
>> - eingehende Mails vom Absender @*.de-mail.de zu REJECTen (aus
>> Sicherheitsgründen)
> Öhhh, ich dachte das soll ein "geschlossenes sicheres System" sein. Da
> solltest Du eh keine Nachrichten bekommen. Da würde ich immer
> annehmen, wenn es einen Empfänger gibt. Wenn dann würde ich eher die
> IP des Servers von der Telekom sperren, der widererwarten bei Dir Post
> abliefern will.
>
Hey Django,

es geht ja beim Empfang nicht um die Telekom, sondern darum, dass ein 
Spammer als Absender eine de-mail Adresse fälscht.
Wenn ich diese Absender (From .*@de-mail.de) akzeptiere, dann würde ggf. 
der Empfänger die Mail als besonders authentisch ansehen,
da er gewohnt ist, dass Mails von @de-mail.de  vertrauenswürdig sind.
In Wirklichkeit kann doch keine legitime Mail mit diesen Absendern aus 
dem Internet kommen oder habe ich da einen Denkfehler?

Hat das schon jemand im Einsatz, bzw. Gedanken über diese Regeln gemacht?

Gruß Carsten






From andreas.schulze at datev.de  Tue Sep 29 12:31:45 2015
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 29 Sep 2015 12:31:45 +0200
Subject: Filterregeln =?iso-8859-1?Q?f=FC?= =?iso-8859-1?Q?r?= de-mail.de
 am Border-MX
In-Reply-To: <560A5A0C.5000903@gmail.com>
References: <560A5A0C.5000903@gmail.com>
Message-ID: <20150929103145.GA10062@spider.services.datevnet.de>

Am 29.09.2015 11:29 schrieb Carsten:
> ich möchte hier nicht über Sinn und Unsinn von de-mail diskutieren.
> Fakt ist aber, dass sich einige Mail-Admins mit dem Thema beschäftigen
> müssen,
> insbesondere die Kollegen hier, die Dienstleister für Behörden sind,
> aufgrund des de-mail Gesetzes.

de-mail ist - wie epost.de - ein geschlossendes System. Es hat, bis auf den optisch
gleichen Aufbau einer Adresse, nichts mit Internt-Email zu tun. Zumindest im Privatkundenbereich.

Schaut man jedoch die Gateway-Lösung für Geschäftskunden an, sieht man schnell, dass die beiden Systeme
auch nur E-Mail Technik nutzen. Die angebotenen Gateways zielen gerade darauf ab,
ein Firmenmailsystem mit den Welten demail und epost zu verbinden. Das klappt leidlich indem die demail/epost Inhalte
einfach als Email betrachtet werden. Und genau da wird's häßlich: Übliche Mailsysteme transportieren keine Nachrichten,
wenn zur Absender/Empfängerdomain kein A/MX Lookup existiert.

Daher der A/MX-Record für telekom.de-mail.de: damit deren Gateways nicht gleich am nächten Hop grandios scheitern.
Allerdings hat die epost das ganze cleverer gelöst, als demail:

$ dig deutschepost.epost.de mx +short
10 mail.epost.de.

$ telnet mail.epost.de 25
...
mail from:<>
250 2.1.0 Ok
rcpt to:<foobar at deutschepost.epost.de>
554 5.7.1 <foobar at deutschepost.epost.de>: Recipient address rejected: Bei der von Ihnen eingegebenen Adresse handelt es sich um keine E-Mail sondern um eine E-Postbrief Adresse, ein Service der Deutschen Post. Deshalb kann eine Uebermittlung der Nachricht als E-Mail nicht erfolgen. Sollten Sie noch keine E-Postbrief Adresse haben, registrieren Sie sich jetzt kostenlos unter http://epost.de, um auch im Internet verbindlich, vertraulich und verlaesslich kommunizieren zu koennen.
quit

Mit diesem Bounce kann - wenn er gelesen wird - man wenigsten was anfangen.
Bei De-mail ist sowas wohl nicht imlementierbar - gesetzliche Regelungen sprechen angeblich dagegen.

So versumpft eine Nachricht an demail in der Queue und wird erst nach mehreren Tagen mit einer falschen Fehlermeldung
zurückgeschickt. Bis dahin hat der Anwender/Versender keine Chance, seinen Fehler zu bemerken. Schlechtes Design ...

Aus diesem Grund empfiehlt es sich, an 2 Seiten zu filtern.
1. am MX
   hier dürfen keine Absenderadressen epost/demail auftauchen
2. am Submission Server
   hier sollten weder Absender noch Empfänger epost/demail lauten, wenn man keine Gateway-Lösungen betreibt.

also z.B.
  smtpd_recipient_restriction =
    ...
    check_sender_access hash:/path/to/reject_epost+demail
    check_recipient_access hash:/path/to/reject_epost+demail
    ...

  /path/to/reject_epost+demail:
    epost.de        REJECT $sprechende Fehlermeldung
    .epost.de       REJECT $sprechende Fehlermeldung
    fp-demail.de    REJECT $sprechende Fehlermeldung
    .fp-demail.de   REJECT $sprechende Fehlermeldung
    de-mail.de      REJECT $sprechende Fehlermeldung
    .de-mail.de     REJECT $sprechende Fehlermeldung
    mc-demail.de    REJECT $sprechende Fehlermeldung
    .mc-demail.de   REJECT $sprechende Fehlermeldung

Bei Epost ist in der Tat nur eine Domain und Subdomain betroffen.
demail ist konzeptionell nicht auf eine Domain beschränkt. Die Liste ist aber nicht sonderlich dynamisch...

Andreas
-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From django at nausch.org  Tue Sep 29 12:39:28 2015
From: django at nausch.org (Django)
Date: Tue, 29 Sep 2015 12:39:28 +0200
Subject: =?UTF-8?Q?Re:_Filterregeln_f=c3=bcr_de-mail.de_am_Border-MX?=
In-Reply-To: <560A662D.10305@gmail.com>
References: <560A5A0C.5000903@gmail.com> <560A5F9F.6050000@nausch.org>
 <560A662D.10305@gmail.com>
Message-ID: <560A6A60.2000706@nausch.org>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI Carsten,

Am 29.09.2015 um 12:21 schrieb Carsten:

> es geht ja beim Empfang nicht um die Telekom, sondern darum, dass
> ein Spammer als Absender eine de-mail Adresse fälscht.

Ja, genau so wie "Klaus der Spammer" paypal, amazon, postbank & Co.

> Wenn ich diese Absender (From .*@de-mail.de) akzeptiere, dann würde
> ggf. der Empfänger die Mail als besonders authentisch ansehen, da
> er gewohnt ist, dass Mails von @de-mail.de  vertrauenswürdig sind.

Was der Empfänger als vertrauenswürdig einstuft, oder nicht, kann ich
nicht beeinflussen. Und BTW, warum sollte er das tun, über Deinen MX
kommen doch eh keine legitimen mails an. Wenn dann wäre es für mich
nur denkbar, dass bullshit-made-in-germany bei DMARC mitarbeitet und
dies weiterentwickelt und weiter vorantreibt. Aber das ist deren
Problem, nicht meins.

> In Wirklichkeit kann doch keine legitime Mail mit diesen Absendern
> aus dem Internet kommen oder habe ich da einen Denkfehler?

Weis nicht, ich bekomme an keinem System Mails von de-mail.

> Hat das schon jemand im Einsatz, bzw. Gedanken über diese Regeln
> gemacht?

Gedanken habe ich mir schon gemacht, aber ich sehe da aktuell
keinerlei Not da etwas zu ändern. Das wäre was anderes, wenn die
Telekom & Co offiziell propagieren würden, dass Nachrichten von
bestimmten Adressen ausschließlich von dedizierten Mailservern
verschickt werden.

Summa summarum: easyliving ;) Was kümmert mich das Leid anderer! ;P


Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQIcBAEBCAAGBQJWCmpgAAoJEAdOz2FQpr/tEkEP/jZtxQxtUbKvzzW20zsHXgzD
Pjyl3O65/8a2jnPk25nbGjHDOdpDJU/y+V2zaAapDJbE2t+NLN7KfgMYNoVZTqur
NMO1UdlM0kgn9mdqTH3/k0T81BFnwcP4oqgWjPAwetNoJozQagwKQvUqmZuNQnK8
hJRHQxfPbpcpngb3DtL1ksePW4lJwDw6TZs430QSGnXVuLAEDespILg+KHCimTrn
5XKnKi0NXHa+oXa743bpFOQypOXKDiDWDmj7Vs+6PeyO5gOsbJM3DPSI/tFzQfq3
ahO1HqJkAw4ig61nAKPrskHP7asZyiUDiQYsKBUA1jl4bVb91bqDOJst3cj5G/1U
BgApiNP1CAzHDXG2Ys+9s9jAqARm10H2IxljZEI3lwyKXBXBPw4QKXc6eyknMmM4
YtMbOQT1zG6KD3jORcEnBc88z0G0Oh/hNmqGqw2N0IUz6U67fk+btPC/ujKvvR84
qWemBYwr0Vrjos5cFXfR0ZV6TQ60k6L0vifCON67ZdFb2g4E8DeLrQEHxYFaO5gF
LdTsIH1kAkuexdsT8l7CvM3gWTcoONd0TLCjqWWoISPR0UkTO6gW2p1LOR3OWIht
Z47GOqMITNohhG8NrrYoWwrS76WKjybKwVTqYsVOOHrpWyWVQDrHMaLuw+Q9w+6r
GWEoB0cBr/tGOJLZgG3m
=mMzR
-----END PGP SIGNATURE-----


From andreas.schulze at datev.de  Tue Sep 29 14:08:13 2015
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Tue, 29 Sep 2015 14:08:13 +0200
Subject: Filterregeln =?iso-8859-1?Q?f=FC?= =?iso-8859-1?Q?r?= de-mail.de
 am Border-MX
In-Reply-To: <560A662D.10305@gmail.com>
References: <560A5A0C.5000903@gmail.com> <560A5F9F.6050000@nausch.org>
 <560A662D.10305@gmail.com>
Message-ID: <20150929120813.GA30179@spider.services.datevnet.de>

Am 29.09.2015 12:21 schrieb Carsten:
> es geht ja beim Empfang nicht um die Telekom, sondern darum, dass ein
> Spammer als Absender eine de-mail Adresse fälscht.

nun, dagegen gibt's ein recht brauchbares Hausmittel: DMARC

$ opendmarc-check epost.de
opendmarc-check: opendmarc_policy_query_dmarc(epost.de): Looked up domain lacked a DMARC record

$ opendmarc-check de-mail.de
opendmarc-check: opendmarc_policy_query_dmarc(de-mail.de): Looked up domain lacked a DMARC record

Tja, war wohl nix :-/

> Wenn ich diese Absender (From .*@de-mail.de) akzeptiere, dann würde ggf. der
> Empfänger die Mail als besonders authentisch ansehen,
> da er gewohnt ist, dass Mails von @de-mail.de  vertrauenswürdig sind.
leider unternehmen die Absenderdomains gar nichts außer Marketing-Geblubber,
um diese Vertrauen zu aufzubauen.

> In Wirklichkeit kann doch keine legitime Mail mit diesen Absendern aus dem
> Internet kommen oder habe ich da einen Denkfehler?
kein Denkfehler, das war mal der gute Plan. Mit dem A/MX Record ist der aber komplett Nutzlos.
Faktisch gibt es einen A/MX für die Domains im Internet und damit sind solche Mailadressen erstmal gültig. Punkt.
Es gibt keine weiteren Ansagen ( SPF/DMARC/NullMX ), die Gegenteiliges vermuten lassen.
Wenn die Domaineigentümer nun immernoch behaupten, Ihre Domains seien was besonderes, ist das technisch gesehen erstmal schlicht falsch. Die falschen Leute - nämlich wir Postmaster - kümmern uns nun drum, dieses einstürzende Kartenhaus
nun doch noch etwas aufzufangen.

> Hat das schon jemand im Einsatz, bzw. Gedanken über diese Regeln gemacht?
ja, wie vorhin beschrieben

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale


From postfixer99 at gmail.com  Tue Sep 29 14:24:19 2015
From: postfixer99 at gmail.com (Carsten)
Date: Tue, 29 Sep 2015 14:24:19 +0200
Subject: =?UTF-8?Q?Re:_Filterregeln_f=c3=bcr_de-mail.de_am_Border-MX?=
In-Reply-To: <20150929103145.GA10062@spider.services.datevnet.de>
References: <560A5A0C.5000903@gmail.com>
 <20150929103145.GA10062@spider.services.datevnet.de>
Message-ID: <560A82F3.6030502@gmail.com>

Hey Andreas,

vielen Dank für die ausführliche Darstellung.


>
> Und genau da wird's häßlich: Übliche Mailsysteme transportieren keine Nachrichten,
> wenn zur Absender/Empfängerdomain kein A/MX Lookup existiert.
Das ist natürlich ein guter Grund. Das fällt bei uns nicht weiter ins 
Gewicht, da nur die Border-MX das prüfen.
Interne Server nutzen nur ihr Default-Relay. Aber das kann ich 
nachvollziehen.

> Allerdings hat die epost das ganze cleverer gelöst, als demail:
>
> 554 5.7.1 <foobar at deutschepost.epost.de>: Recipient address rejected: Bei der von Ihnen eingegebenen Adresse handelt es sich um keine E-Mail sondern um eine E-Postbrief Adresse, ein Service der Deutschen Post. Deshalb kann eine Uebermittlung der Nachricht als E-Mail nicht erfolgen. Sollten Sie noch keine E-Postbrief Adresse haben, registrieren Sie sich jetzt kostenlos unter http://epost.de, um auch im Internet verbindlich, vertraulich und verlaesslich kommunizieren zu koennen.
> quit
Das macht echt mehr Sinn. Sowas hätte ich mir für de-mail auch gewünscht.

> Bei De-mail ist sowas wohl nicht imlementierbar - gesetzliche Regelungen sprechen angeblich dagegen.
>
> So versumpft eine Nachricht an demail in der Queue und wird erst nach mehreren Tagen mit einer falschen Fehlermeldung
> zurückgeschickt. Bis dahin hat der Anwender/Versender keine Chance, seinen Fehler zu bemerken. Schlechtes Design ...
Daher meine Idee, das an meinen Border-MX gar nicht ins Internet zu 
relayen und direkt nach innen zu bouncen.

>
> Aus diesem Grund empfiehlt es sich, an 2 Seiten zu filtern.
> 1. am MX
>     hier dürfen keine Absenderadressen epost/demail auftauchen
> 2. am Submission Server
>     hier sollten weder Absender noch Empfänger epost/demail lauten, wenn man keine Gateway-Lösungen betreibt.
Eine Gateway-Lösung ist geplant, jedoch stimme ich ausdrücklich dafür 
diese zwei Welten zu trennen, sprich schon an der Quelle (Submission) 
nicht in die Standard-SMTP-Mailrouting-Umgebung zu routen (die per 
default ins Internet zeigt), sondern hier schon auf eine dedizierte, 
autake de-mail Infrastruktur zu setzen, d.h. das Geschäftskunden-Gateway 
direkt anspricht.


>
> also z.B.
>    smtpd_recipient_restriction =
>      ...
>      check_sender_access hash:/path/to/reject_epost+demail
>      check_recipient_access hash:/path/to/reject_epost+demail
>      ...
>
>    /path/to/reject_epost+demail:
>      epost.de        REJECT $sprechende Fehlermeldung
>      .epost.de       REJECT $sprechende Fehlermeldung
>      fp-demail.de    REJECT $sprechende Fehlermeldung
>      .fp-demail.de   REJECT $sprechende Fehlermeldung
>      de-mail.de      REJECT $sprechende Fehlermeldung
>      .de-mail.de     REJECT $sprechende Fehlermeldung
>      mc-demail.de    REJECT $sprechende Fehlermeldung
>      .mc-demail.de   REJECT $sprechende Fehlermeldung
Sehr gut. Das hatte ich mir auch so gedacht. Denn in der 
Standard-SMTP-Welt (die ja bei mir entkoppelt wird vom 
Geschätskunden-Gateway) dürfte ja niemals eine echte de-mail 
ankommen/geroutet werden.
> Bei Epost ist in der Tat nur eine Domain und Subdomain betroffen.
> demail ist konzeptionell nicht auf eine Domain beschränkt. Die Liste ist aber nicht sonderlich dynamisch...
>
>
Bei de-mail werden doch Subdomains der Art "foobar.de-mail.de" und 
"beispielkunde.de-mail.de" verwendet, oder nicht?
Woher stammen denn "fp-demail.de" und "mc-demail.de"?
Meist Du hier nicht eher Subdomains, anstatt echte second-level Domains ?


Beste Grüße
Carsten







From br at wolffsohn-it.com  Tue Sep 29 16:19:40 2015
From: br at wolffsohn-it.com (Bastian Reichart)
Date: Tue, 29 Sep 2015 16:19:40 +0200
Subject: smtp_tls_policy_maps und Transport Maps
Message-ID: <589cff2a-ace1-4b87-ac91-79cfc86e6ffb@wolffsohn-it.com>

Hallo zusammen,

ich möchte gerne auf unseren eingehenden Mailservern TLS zu manchen dahinterliegenden Servern enforcen.
Dies habe ich mit smtp_tls_policy_maps gelöst, bin hier aber auf ein seltsames Verhalten gestossen:

Wenn ich auf dem Server eine Transport-Map zur Empfängerdomain eingerichtet habe, sucht
Postfix in der TLS Policy Maps Table nicht mehr nach der Empfänger-Domain, sondern dem Host, der als Ziel
in der Transport-Map steht. Ist das so gewollt? Laut Doku sollte man hier ja die Empfängerdomain eintragen.

Danke für jeden Hinweis :)

Viele Grüße
Bastian





From br at wolffsohn-it.com  Tue Sep 29 16:45:39 2015
From: br at wolffsohn-it.com (Bastian Reichart)
Date: Tue, 29 Sep 2015 16:45:39 +0200
Subject: AW: smtp_tls_policy_maps und Transport Maps
In-Reply-To: <589cff2a-ace1-4b87-ac91-79cfc86e6ffb@wolffsohn-it.com>
References: <589cff2a-ace1-4b87-ac91-79cfc86e6ffb@wolffsohn-it.com>
Message-ID: <20320730-2615-4dc5-b158-2fd56cbdf540@wolffsohn-it.com>

>>>-----Ursprüngliche Nachricht-----
>>>Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Bastian Reichart
>>>Gesendet: Dienstag, 29. September 2015 16:20
>>>An: postfixbuch-users
>>>Betreff: smtp_tls_policy_maps und Transport Maps
>>>
>>>Hallo zusammen,
>>>
>>>ich möchte gerne auf unseren eingehenden Mailservern TLS zu manchen dahinterliegenden Servern enforcen.
>>>Dies habe ich mit smtp_tls_policy_maps gelöst, bin hier aber auf ein seltsames Verhalten gestossen:
>>>
>>>Wenn ich auf dem Server eine Transport-Map zur Empfängerdomain eingerichtet habe, sucht Postfix in der TLS Policy Maps Table nicht mehr nach der Empfänger-Domain, sondern dem Host, der als Ziel in der Transport-Map steht. Ist das so gewollt? Laut Doku sollte man hier ja die Empfängerdomain eintragen.
>>>
>>>Danke für jeden Hinweis :)
>>>
>>>Viele Grüße
>>>Bastian

Kommando zurück:
"The TLS policy table is indexed by the full next-hop destination, which is either the recipient domain, or the verbatim next-hop specified in the transport table, $local_transport, $virtual_transport, $relay_transport or $default_transport. This includes any enclosing square brackets and any non-default destination server port suffix. The LMTP socket type prefix (inet: or unix:) is not included in the lookup key."

Trotzdem vielen Dank!

Grüße
Bastian



From w.flamme at web.de  Wed Sep 30 09:01:21 2015
From: w.flamme at web.de (Werner Flamme)
Date: Wed, 30 Sep 2015 09:01:21 +0200
Subject: =?UTF-8?Q?Re:_Filterregeln_f=c3=bcr_de-mail.de_am_Border-MX?=
In-Reply-To: <560A82F3.6030502@gmail.com>
References: <560A5A0C.5000903@gmail.com>
 <20150929103145.GA10062@spider.services.datevnet.de>
 <560A82F3.6030502@gmail.com>
Message-ID: <560B88C1.5070706@web.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Carsten [29.09.2015 14:24]:
>> 
>> 
> Bei de-mail werden doch Subdomains der Art "foobar.de-mail.de" und
>  "beispielkunde.de-mail.de" verwendet, oder nicht? Woher stammen
> denn "fp-demail.de" und "mc-demail.de"? Meist Du hier nicht eher
> Subdomains, anstatt echte second-level Domains ?

Hallo Carsten,

eine whois-Abfrage zeigt, dass beide Domains zumindest existieren :)
Tech-C ist gleich, Zone-C haben unterschiedliche Namen, aber gleiche
Anschrift.

Gruß
Werner
- -- 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQEcBAEBAgAGBQJWC4jBAAoJEOfJ7bNoiiCNLlgH/04BeCoYgsTMETXBRS1D5UYu
dpDAbLHWB4JdSHNXIYBnGX1eyRZ/3yAua4LOJXyUat5RjqLpkpDKShSezC66IHnK
TIGjfcc5JcSejp80Fi6mb7QrN8n8Jj06bhnRG7AcbAZTJW9JM1yvpbkB9NzD/LTJ
t2uN6/d8m+PmyQkZomNbQN7q5k65CCRcV7+a1PeEULD4uAz6sX6WdPv3MgsunGOi
xamT35Aob0+Y4Cjb/soHhQL4F/F6XDOk9BWSe8k96KbtEFle7DbArxxoGa+LKbi5
x333MDwlCJ/5EH0PyJ4QWxmTVSQTtZItWW92/JXr79fQChrCrIGVniO57yXRN4g=
=Mi6H
-----END PGP SIGNATURE-----


From p at sys4.de  Wed Sep 30 11:46:38 2015
From: p at sys4.de (Patrick Ben Koetter)
Date: Wed, 30 Sep 2015 11:46:38 +0200
Subject: Wer will an einem kostenlosen DNSSEC/DANE-Workshop teilnehmen?
Message-ID: <20150930094638.GD2708@sys4.de>

Hallo postfixbuch-users!

Wir, die sys4, veranstalten kommende Woche auf der it-sa
<https://www.it-sa.de> einen eintägigen Workshop zum Thema DNSSEC/DANE. Für
den Workshop sind noch Plätze frei. Die Teilname ist kostenlos und die Tickets
brennen ein Loch in meinen Tisch? ;)

# Eckdaten
Titel:  DANEn lügen nicht!
Beginn: Dienstag, 06.10.2015 um 09:00
Ende:   Dienstag, 06.10.2015 um 17:00

## Kurzbeschreibung
In unserem zweiteiligen Workshop informieren wir im ersten Teil über
Anwendungsszenarien und die Relevanz für die elektronische Kommunikation von
DNS und DNSSEC im Unternehmensumfeld. Wir erklären, was DNSSEC und DANE sind,
wie sie funktionieren und was sie bewirken. Dieser Teil richtet sich an
CTOs/IT-Leiter, CEOs/Geschäftsführer, Inhaber von KMU, CI(S)Os und
IT-Architekten.

Im zweiten Teil üben wir mit Dir, wie sich eigene DNS-Zonen per DNSSEC
absichern lassen, und wie ein DNS-Server die DNSSEC-Daten anderer Zonen im
Netzwerk überprüfen (validieren) kann. Dieser Teil richtet sich vorrangig an
Administratoren, aber auch an technisch versierte Mitarbeiter der
Unternehmensleitung.

# Wie kommst Du an ein Ticket?
Tickets für die it-sa und den Workshop gibt es bei mir. Sende eine Mail an
p at sys4.de und nenne mir die Anschrift an die wir die Tickets senden sollen.
First come, first serve! Freitag nachmittag gehen wir ein letztes Mal zur
Post?


Ich freu mich!

p at rick

P.S.
Die Teilnahme ist im Rahmen der Re-Zertifizierung zum T.I.S.P./T.E.S.S als
Weiterbildung anrechnungsfähig. ;)



-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein