From ms at ddnetservice.de Mon Aug 1 10:35:56 2016 From: ms at ddnetservice.de (Michael Seevogel) Date: Mon, 1 Aug 2016 10:35:56 +0200 Subject: Problem mit spam von digitalocean In-Reply-To: <067cadb5-8e88-d462-5936-6cafe1916827@debianfan.de> References: <067cadb5-8e88-d462-5936-6cafe1916827@debianfan.de> Message-ID: Am 31.07.2016 um 12:56 schrieb sebastian at debianfan.de: > Moin zusammen, > > ich habe grade 4 Mails bekommen - von jeweils 2 IP-Adressen - beide > digitalocean: > > 95 punkt 85.32.26 > 95 punkt 85.32.14 > > Einige Spamfilter der Mitlesenden werden darauf reagieren - daher die > Mails bei pastebin: > > http://pastebin.com/7HaNDXE3 > > Ich nutze policyd-weight, postgrey & einige rbl - zusätzlich auf dieser > Maschine noch spamassassin in der "debian 8 -Standardauslieferung". > > Das blockieren von ganzen IP-Ranges ist vermutlich der absolut letzte Weg. > > Vorschläge? > > Hat einer hier header-checks oder body-checks als Beispiel? > Entsprechender Part aus einer meiner Meta-Rules für SpamAssassin, die ziemlich zuverlässig diese Rotzmails filtert: full __DD_SPAM_MASS_SENDER_55 /http:\/\/www\..*\/abm\/.{11,13}\// Score einfach nur nach Gusto anpassen ;) Grüße Micha, From mwibbing at bfs.de Mon Aug 1 14:00:12 2016 From: mwibbing at bfs.de (Martin Wibbing) Date: Mon, 1 Aug 2016 14:00:12 +0200 Subject: Fehlendes Date Field im Header Message-ID: Hallo, nach der Umstellung unseres Mail-Systems von postfix 2.7 und cyrus 2.2 auf Postfix 2.9 und dovecot 2.2. Wird das Date field bei einigen Anwendung nicht mehr im Mailheader gesetzt. Header vor der Umstellung: Subject: =?ISO-8859-1?Q?Zeitaufschreibung_zur_KLR_f=FCr_14._KW?= MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 8bit Message-ID: Date: Thu, 14 Apr 2016 06:15:46 +0200 E-Mail an Header nach der Umstellung Subject: =?ISO-8859-1?Q?Zeitaufschreibung_zur_KLR_f=FCr_28._KW?= MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1; format=flowed Content-Transfer-Encoding: 8bit E-Mail an Gibt es eine Möglichkeit das Datefield wieder in den Header zu bekommen. Die Anwendung von dem die mail versendet wird können wir leider nicht anpassen. Wurde das Date-Field vom Postfix oder von Cyrus ergänzt ? -- Mit freundlichen Grüßen Martin Wibbing Bundesamt für Strahlenschutz AG-IT - Betrieb Nord B-002 Willy-Brandt-Straße 5 38226 Salzgitter Tel.: 030/18333-1573 E-Mail: mwibbing at bfs.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From mwibbing at bfs.de Mon Aug 1 13:59:07 2016 From: mwibbing at bfs.de (Martin Wibbing) Date: Mon, 1 Aug 2016 13:59:07 +0200 Subject: Gleiche Mail Doppel zugestellt Message-ID: Hallo, nach der Umstellung unseres Mail-Systems von postfix 2.7 und cyrus 2.2 auf Postfix 2.9 und dovecot 2.2. Werden manche Mails doppelt zugestellt. Wenn der Benutzer einmal direkt und einmal über eine Mail-Liste die Mail bekommt, wird die Mail doppelt erzeugt. Unter Cyrus wurde Sie nur einmal erzeugt. -- Mit freundlichen Grüßen Martin Wibbing Bundesamt für Strahlenschutz AG-IT - Betrieb Nord B-002 Willy-Brandt-Straße 5 38226 Salzgitter Tel.: 030/18333-1573 E-Mail: mwibbing at bfs.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Mon Aug 1 14:10:17 2016 From: wn at neessen.net (Winfried Neessen) Date: Mon, 01 Aug 2016 14:10:17 +0200 Subject: Fehlendes Date Field im Header In-Reply-To: References: Message-ID: <96cd7dcf4e26bb2d77442f3c13a1fb64@neessen.net> Hi, Am 2016-08-01 14:00, schrieb Martin Wibbing: > Gibt es eine Möglichkeit das Datefield wieder in den Header zu > bekommen. > Die Anwendung von dem die mail versendet wird können wir leider nicht > anpassen. Wurde das Date-Field vom Postfix oder von Cyrus ergänzt ? > Guckst Du hier: http://www.postfix.org/postconf.5.html#always_add_missing_headers Winni From Ralf.Hildebrandt at charite.de Mon Aug 1 14:14:51 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 1 Aug 2016 14:14:51 +0200 Subject: Fehlendes Date Field im Header In-Reply-To: References: Message-ID: <20160801121451.GV23803@charite.de> * Martin Wibbing : > Hallo, > > nach der Umstellung unseres Mail-Systems von postfix 2.7 und cyrus 2.2 auf > Postfix 2.9 und dovecot 2.2. Wird das Date field bei einigen Anwendung nicht > mehr im Mailheader gesetzt. Available in Postfix version 2.6 and later: always_add_missing_headers (no) Always add (Resent-) From:, To:, Date: or Message-ID: headers when not present. Daher: postconf -e "always_add_missing_headers = yes" postfix reload Man könnte jetzt argumentieren, daß die Anwendungen einfach den Date: header erzeugen sollte. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From postfixbuch-users at 0xaffe.de Mon Aug 1 14:16:29 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 1 Aug 2016 14:16:29 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: References: Message-ID: <579F3D9D.1010502@0xaffe.de> Hallo Martin, Am 01.08.16 um 13:59 schrieb Martin Wibbing: > Wenn der Benutzer einmal direkt und einmal über eine Mail-Liste die Mail > bekommt, wird die Mail doppelt erzeugt. Unter Cyrus wurde Sie nur einmal > erzeugt. Siehe hier: https://listi.jpberlin.de/pipermail/postfixbuch-users/2015-February/062796.html Viele Grüße, Mathias. From Ralf.Hildebrandt at charite.de Mon Aug 1 14:20:08 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 1 Aug 2016 14:20:08 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: References: Message-ID: <20160801122008.GW23803@charite.de> * Martin Wibbing : > Hallo, > > nach der Umstellung unseres Mail-Systems von postfix 2.7 und cyrus 2.2 auf > Postfix 2.9 und dovecot 2.2. Werden manche Mails doppelt zugestellt. Logs lesen, gucken warum. > Wenn der Benutzer einmal direkt und einmal über eine Mail-Liste die > Mail bekommt, wird die Mail doppelt erzeugt. Das sind ja auch wirklich zwei verschiedene Mails... (da Mailinglisten oft Header verändern und Footer anhängen). > Unter Cyrus wurde Sie nur einmal erzeugt. Ich denke Cyrus hatte duplicate message suppression an. https://cyrusimap.org/mediawiki/index.php/FAQ "The way that a message is determined to be a duplicate is a lookup is done in the duplicate delivery database for a message-id/mailbox pair." Und ja, die beiden sind bei Mailinglisten gleich, daher wird cyrus das sicher unterdrückt haben. Kann man mit sieve unterdrücken: http://wiki2.dovecot.org/Pigeonhole/Sieve/Extensions/Duplicate -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From jra at byte.cx Mon Aug 1 14:28:36 2016 From: jra at byte.cx (Jens Adam) Date: Mon, 1 Aug 2016 14:28:36 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: References: Message-ID: > Wenn der Benutzer einmal direkt und einmal über eine Mail-Liste die Mail bekommt, wird die Mail doppelt erzeugt. Unter Cyrus wurde Sie nur einmal erzeugt. Ja, das gibt's als Cyrus-Feature, siehe Solche Mechanismen würde ich aber auf Serverseite nie nutzen, sondern eher die Nutzer bitten, ihre Mailinglisten-Optionen zu checken. Kenne das Feature aktuell nur bei Mailman: für eigene Listen siehe ; Abonnenten selbst klicken das auf der jeweiligen Listen-Optionen-Webseite. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From anmeyer at mailbox.org Mon Aug 1 16:13:24 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 1 Aug 2016 16:13:24 +0200 Subject: Fehlendes Date Field im Header In-Reply-To: <20160801121451.GV23803@charite.de> References: <20160801121451.GV23803@charite.de> Message-ID: <20160801161324.4213c434@workstation.bitcorner.intern> Ralf Hildebrandt schrieb am 01.08.16 um 14:14:51 Uhr: > * Martin Wibbing : > > Hallo, > > > > nach der Umstellung unseres Mail-Systems von postfix 2.7 und cyrus 2.2 auf > > Postfix 2.9 und dovecot 2.2. Wird das Date field bei einigen Anwendung nicht > > mehr im Mailheader gesetzt. > > Available in Postfix version 2.6 and later: > > always_add_missing_headers (no) > > Always add (Resent-) From:, To:, Date: or Message-ID: headers when not present. > > Daher: > > postconf -e "always_add_missing_headers = yes" > postfix reload > > Man könnte jetzt argumentieren, daß die Anwendungen einfach den Date: > header erzeugen sollte. Das hat mich eben aber auch gewundert, wieso da eigentlich header fehlen. Grüße Andreas From anmeyer at mailbox.org Mon Aug 1 16:16:06 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 1 Aug 2016 16:16:06 +0200 Subject: TLS library problem Message-ID: <20160801161606.71dd5b48@workstation.bitcorner.intern> Hallo! Weis jemand, was mir die folgenden Zeilen sagen wollen? Aug 1 13:34:44 bitmachine1 postfix/smtpd[32257]: warning: TLS library problem: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:347: Aug 1 15:50:50 bitmachine1 nimmini/smtpd[808]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:650: Grüße Andreas From jra at byte.cx Mon Aug 1 16:21:54 2016 From: jra at byte.cx (Jens Adam) Date: Mon, 1 Aug 2016 16:21:54 +0200 Subject: TLS library problem In-Reply-To: <20160801161606.71dd5b48@workstation.bitcorner.intern> References: <20160801161606.71dd5b48@workstation.bitcorner.intern> Message-ID: <16204422-0348-4408-BCC8-BBDE7F709478@byte.cx> Das sagt dir, dass dein Postfix vernünftiges TLS macht und keine veralteten SSL-Versionen mag. ;-) --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From daniel at ist-immer-online.de Mon Aug 1 17:45:01 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 1 Aug 2016 17:45:01 +0200 Subject: AW: TLS library problem In-Reply-To: <20160801161606.71dd5b48@workstation.bitcorner.intern> References: <20160801161606.71dd5b48@workstation.bitcorner.intern> Message-ID: <000701d1ec0b$aaaaca10$00005e30$@ist-immer-online.de> Hi, kannst Mailserver z.B. auf https://de.ssl-tools.net/mailservers prüfen lassen, dann hast auch entsprechende Meldungen im Log, dass diverse SSL/TLS Versionen getestet werden. Sieht dann gekürzt etwa so aus: postfix/smtpd[10535]: connect from ssl-tools.net[185.55.116.145] postfix/smtpd[10537]: connect from unknown[2a00:c380:c0de:0:5054:ff:fe7e:d742] postfix/smtpd[10535]: Anonymous TLS connection established from ssl-tools.net[185.55.116.145]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[10537]: Anonymous TLS connection established from unknown[2a00:c380:c0de:0:5054:ff:fe7e:d742]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[10537]: Anonymous TLS connection established from ssl-tools.net[185.55.116.145]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[10537]: SSL_accept error from ssl-tools.net[185.55.116.145]: -1 postfix/smtpd[10537]: warning: TLS library problem: error:1408A10B:SSL routines:ssl3_get_client_hello:wrong version number:s3_srvr.c:960: postfix/smtpd[10537]: SSL_accept error from ssl-tools.net[185.55.116.145]: -1 postfix/smtpd[10537]: warning: TLS library problem: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher:s3_srvr.c:1417: postfix/smtpd[10537]: Anonymous TLS connection established from ssl-tools.net[185.55.116.145]: TLSv1.2 with cipher AES256-SHA (256/256 bits) postfix/smtpd[10535]: Anonymous TLS connection established from unknown[2a00:c380:c0de:0:5054:ff:fe7e:d742]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits) Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Meyer Gesendet: Montag, 1. August 2016 16:16 An: postfixbuch-users at listen.jpberlin.de Betreff: TLS library problem Hallo! Weis jemand, was mir die folgenden Zeilen sagen wollen? Aug 1 13:34:44 bitmachine1 postfix/smtpd[32257]: warning: TLS library problem: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:347: Aug 1 15:50:50 bitmachine1 nimmini/smtpd[808]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:650: Grüße Andreas From anmeyer at mailbox.org Mon Aug 1 19:18:35 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 1 Aug 2016 19:18:35 +0200 Subject: TLS library problem In-Reply-To: <16204422-0348-4408-BCC8-BBDE7F709478@byte.cx> References: <20160801161606.71dd5b48@workstation.bitcorner.intern> <16204422-0348-4408-BCC8-BBDE7F709478@byte.cx> Message-ID: <20160801191835.6f32d2f3@workstation.bitcorner.intern> Jens Adam schrieb am 01.08.16 um 16:21:54 Uhr: > Das sagt dir, dass dein Postfix vernünftiges TLS macht und keine veralteten SSL-Versionen mag. ;-) > > > --byte Kennt jemand ein gutes Howto für die Einrichtung von DANE für Postfix, worin auch DNSSEC behandelt wird? Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 230 bytes Beschreibung: nicht verfügbar URL : From daniel at ist-immer-online.de Mon Aug 1 20:20:15 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 1 Aug 2016 20:20:15 +0200 Subject: AW: TLS library problem In-Reply-To: <20160801191835.6f32d2f3@workstation.bitcorner.intern> References: <20160801161606.71dd5b48@workstation.bitcorner.intern> <16204422-0348-4408-BCC8-BBDE7F709478@byte.cx> <20160801191835.6f32d2f3@workstation.bitcorner.intern> Message-ID: <000801d1ec21$5a2560d0$0e702270$@ist-immer-online.de> Hi, DANE verwendest selbst im Postfix nur für den Versand, also smtp_dns_support_level = dnssec smtp_tls_security_level = dane Für den Empfang ist es einfach nur TLS, nur dass eben Zertifikat bzw. Fingerprint im DNS gespeichert ist im TLSA Record, so dass andere eben dieses prüfen bzw. anwenden, sofern diese mit DANE versenden. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Meyer Gesendet: Montag, 1. August 2016 19:19 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: TLS library problem Jens Adam schrieb am 01.08.16 um 16:21:54 Uhr: > Das sagt dir, dass dein Postfix vernünftiges TLS macht und keine veralteten SSL-Versionen mag. ;-) > > > --byte Kennt jemand ein gutes Howto für die Einrichtung von DANE für Postfix, worin auch DNSSEC behandelt wird? Grüße Andreas From anmeyer at mailbox.org Mon Aug 1 20:25:25 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 1 Aug 2016 20:25:25 +0200 Subject: TLS library problem In-Reply-To: <000801d1ec21$5a2560d0$0e702270$@ist-immer-online.de> References: <20160801161606.71dd5b48@workstation.bitcorner.intern> <16204422-0348-4408-BCC8-BBDE7F709478@byte.cx> <20160801191835.6f32d2f3@workstation.bitcorner.intern> <000801d1ec21$5a2560d0$0e702270$@ist-immer-online.de> Message-ID: <20160801202525.38cc607b@workstation.bitcorner.intern> "Daniel" schrieb am 01.08.16 um 20:20:15 Uhr: > Hi, > > DANE verwendest selbst im Postfix nur für den Versand, also > smtp_dns_support_level = dnssec > smtp_tls_security_level = dane > > Für den Empfang ist es einfach nur TLS, nur dass eben Zertifikat bzw. Fingerprint im DNS gespeichert ist im TLSA Record, so dass andere eben dieses prüfen bzw. anwenden, sofern diese mit DANE versenden. Danke, das war schonmal ein guter Hinweis! Ich acker mich da mal durch. Andreas From webmaster at andreas-diem.at Mon Aug 1 22:24:39 2016 From: webmaster at andreas-diem.at (Andreas Diem) Date: Mon, 01 Aug 2016 22:24:39 +0200 Subject: Fehlendes Date Field im Header In-Reply-To: <20160801161324.4213c434@workstation.bitcorner.intern> References: <20160801121451.GV23803@charite.de> <20160801161324.4213c434@workstation.bitcorner.intern> Message-ID: <579FB007.3070009@andreas-diem.at> Hi Die Header kann man auch via local_header_rewrite_clients aktiveren, durch always_add_missing_headers könnte die DKIM signature der Mail zerstört werden. # add missing header local_header_rewrite_clients = permit_inet_interfaces, permit_mynetworks, permit_sasl_authenticated always_add_missing_headers (default: no) Always add (Resent-) From:, To:, Date: or Message-ID: headers when not present. Postfix 2.6 and later add these headers only when clients match the local_header_rewrite_clients parameter setting. Earlier Postfix versions always add these headers; this may break DKIM signatures that cover non-existent headers. Andreas Meyer wrote: > Ralf Hildebrandt schrieb am 01.08.16 um > 14:14:51 Uhr: > >> * Martin Wibbing: >>> Hallo, >>> >>> nach der Umstellung unseres Mail-Systems von postfix 2.7 und cyrus >>> 2.2 auf >>> Postfix 2.9 und dovecot 2.2. Wird das Date field bei einigen >>> Anwendung nicht >>> mehr im Mailheader gesetzt. >> Available in Postfix version 2.6 and later: >> >> always_add_missing_headers (no) >> >> Always add (Resent-) From:, To:, Date: or Message-ID: headers when >> not present. >> >> Daher: >> >> postconf -e "always_add_missing_headers = yes" >> postfix reload >> >> Man könnte jetzt argumentieren, daß die Anwendungen einfach den Date: >> header erzeugen sollte. > > Das hat mich eben aber auch gewundert, wieso da eigentlich header fehlen. > > Grüße > > Andreas > From postfixbu at 2nibbles4u.de Tue Aug 2 09:57:34 2016 From: postfixbu at 2nibbles4u.de (Christian Scholz) Date: Tue, 02 Aug 2016 09:57:34 +0200 Subject: OT: E-Mail Newsletter Best-Practise Message-ID: <7b240f9c6913139815ec449c2b362af9@2nibbles4u.de> Hallo zusammen, ich bin gerade auf der Suche nach einer Art Best-Practise für den Newsletter Versand. Welche offline Tools sind zu empfehlen, was sollte man beachten etc. Aufgrund der Mitglieder dieser Gruppe hoffe ich, dass jemand ein paar gute Hinweise für mich hat. Gruß Christian From harald.witt at dpfa.de Tue Aug 2 15:45:39 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Tue, 2 Aug 2016 15:45:39 +0200 Subject: Probleme mit postfixnach upgrade auf debian Jessie Message-ID: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> Hallo an alle, habe heute auf meinem Produktivsystem ein Update von Wheezy auf Jessie gemacht. Seitdem können nur noch Mails innerhalb der Firma verschicket werden. Sobald ein externer Empfänger auftaucht kommt „Access dienied“. Im Einzelnen läuft das so ab: 1. Mail wird angenommen und dann an amavis [127.0.0.1]:10024 übergeben. 2. Amavis checked die mail, macht quarantine, etc. 3. Bei der Rückgabe an postfix wird die Mail abgelehnt. Logfile-Zeile: Aug 2 13:51:58 amidala postfix/smtpd[5874]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 : Recipient address rejected: Access denied; from= to= proto=ESMTP helo= Aug 2 13:51:58 amidala amavis[6229]: (06229-03) smtp resp to RCPT (pip) (): 554 5.7.1 : Recipient address rejected: Access denied Bevor ich jetzt alle mögliche Configs poste frage ich erstmal so. Kann ja sein, dass jemand genau dieses Update-Problem schon mal hatte. Danke im Voraus Harald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From harald.witt at dpfa.de Tue Aug 2 15:53:48 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Tue, 2 Aug 2016 15:53:48 +0200 Subject: AW: Probleme mit postfixnach upgrade auf debian Jessie In-Reply-To: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> References: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> Message-ID: <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> OOps, habe vergessen zu erwähnen, dass ich jetzt erstmal den content_filter in der main.cf deaktiviert habe. Aber das kann natürlich auf Dauer nicht so bleiben L Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Harald Witt Gesendet: Dienstag, 2. August 2016 15:46 An: postfixbuch-users at listen.jpberlin.de Betreff: Probleme mit postfixnach upgrade auf debian Jessie Hallo an alle, habe heute auf meinem Produktivsystem ein Update von Wheezy auf Jessie gemacht. Seitdem können nur noch Mails innerhalb der Firma verschicket werden. Sobald ein externer Empfänger auftaucht kommt „Access dienied“. Im Einzelnen läuft das so ab: 1. Mail wird angenommen und dann an amavis [127.0.0.1]:10024 übergeben. 2. Amavis checked die mail, macht quarantine, etc. 3. Bei der Rückgabe an postfix wird die Mail abgelehnt. Logfile-Zeile: Aug 2 13:51:58 amidala postfix/smtpd[5874]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 : Recipient address rejected: Access denied; from= to= proto=ESMTP helo= Aug 2 13:51:58 amidala amavis[6229]: (06229-03) smtp resp to RCPT (pip) (): 554 5.7.1 : Recipient address rejected: Access denied Bevor ich jetzt alle mögliche Configs poste frage ich erstmal so. Kann ja sein, dass jemand genau dieses Update-Problem schon mal hatte. Danke im Voraus Harald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From jra at byte.cx Tue Aug 2 16:16:08 2016 From: jra at byte.cx (Jens Adam) Date: Tue, 2 Aug 2016 16:16:08 +0200 Subject: Probleme mit postfixnach upgrade auf debian Jessie In-Reply-To: <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> References: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> Message-ID: <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> > Am 02.08.2016 um 15:53 schrieb Harald Witt : > > habe heute auf meinem Produktivsystem ein Update von Wheezy auf Jessie gemacht. Seitdem können nur noch Mails innerhalb der Firma verschicket werden. > Bevor ich jetzt alle mögliche Configs poste frage ich erstmal so. Kann ja sein, dass jemand genau dieses Update-Problem schon mal hatte. > Naja, ein übliches 'postconf -nf' wäre schon angebracht. Was sagt 'postconf smtpd_relay_restrictions' bei dir? Meistens ist das ein mehr oder weniger bekanntes Debian-spezifisches Problem, und es hilft 'smtpd_relay_restrictions =' (also leer) zu setzen, damit die altbekannten smtpd_recipient_restrictions wieder greifen. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From postfixbuch-users at 0xaffe.de Tue Aug 2 16:33:29 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 2 Aug 2016 16:33:29 +0200 Subject: Probleme mit postfixnach upgrade auf debian Jessie In-Reply-To: <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> References: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> Message-ID: <57A0AF39.6040707@0xaffe.de> Hallo Jens, Am 02.08.16 um 16:16 schrieb Jens Adam: > Naja, ein übliches 'postconf -nf' wäre schon angebracht. Was sagt 'postconf smtpd_relay_restrictions' bei dir? > Meistens ist das ein mehr oder weniger bekanntes Debian-spezifisches Problem, und es hilft 'smtpd_relay_restrictions =' (also leer) zu setzen, damit die altbekannten smtpd_recipient_restrictions wieder greifen. Wieso ist das ein Debian (jessie) spezifisches Problem? Bei "meinem" jessie ist das auf dem gleichen Default-Wert, wie in der Postfix-Manpage: smtpd_relay_restrictions (default: permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination) $ postconf smtpd_relay_restrictions smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination Merkwürdig... Viele Grüße, Mathias. From harald.witt at dpfa.de Tue Aug 2 20:12:10 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Tue, 2 Aug 2016 20:12:10 +0200 Subject: AW: Probleme mit postfixnach upgrade auf debian Jessie In-Reply-To: <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> References: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> Message-ID: <000601d1ece9$63b70950$2b251bf0$@dpfa.de> Bingo!! Hallo Jens, das war genau ins Schwarze getroffen. Für alle in der Liste schreibe ich noch ein paar Sachen dazu, denn ich will ja auch was zurückgeben: 1. Die Option 'smtpd_relay_restrictions' auszukommentieren hat nichts gebracht. Erst das Leeren der Option brachte den Erfolg. @matthias Das ist für mich doch schon ein jessie-spezifisches Problem (siehe die nächsten Punkte, speziell 4.) 2. Ich mache etliche Adressumschreibungen via virtual_alias_maps (alte Adressen -> neue Adressen). Diese funktionierten ebenfalls nicht und gehen jetzt wieder! 3. Ich mache tatsächlich für bestimmte ausgewählte Adressen ein relaying auf einen Exchange-Server via relay_domains. Auch das funktionierte nicht mehr, weil, wie ich jetzt weiß, virtual_alias_maps nicht mehr ging (s. Punkt 2). Aber jetzt geht’s :-) 4. Ich hatte in den 'smtpd_relay_restrictions' auch 'check_policy_service inet:127.0.0.1:10031,...' stehen. Das ist bei mir der Cluebringer (cbpolicyd). Der beschränkt bei mir die Anzahl der Mails, die an externer Domains gehen (wegen der per Trojaner geklauten SMTP-Zugangsdaten und dem damit verbundenen Blacklisting). Das Update der Quota hat immer funktioniert. Allerdings wurde es nach dem Update auf jessie doppelt ausgeführt. Das legt die Annahme nahe, dass die 'smtpd_relay_restrictions' in wheezy überhaupt nicht gewirkt haben. Ein Syntaxfehler kann es nicht sein, sonst wäre das Problem ja in jessie gar nicht aufgetaucht. So und jetzt mal vielen Dank an ALLE, die in dieser Liste mitschreiben. Ihr/Wir seid/sind ein tolles Team!!! Auch wenn eine Mailingliste zunächst etwas prähistorisch erscheint, aber hier sind wir unter uns und müssen nicht den ganzen Schrott bei Google lesen :-) Falls ich morgen doch wieder verzweifle melde ich mich wieder. Und natürlich, wenn ich jemand anderem helfen kann!!! Viele Grüße Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Jens Adam Gesendet: Dienstag, 2. August 2016 16:16 An: Diskussionen und Support rund um Postfix Betreff: Re: Probleme mit postfixnach upgrade auf debian Jessie > Am 02.08.2016 um 15:53 schrieb Harald Witt : > > habe heute auf meinem Produktivsystem ein Update von Wheezy auf Jessie gemacht. Seitdem können nur noch Mails innerhalb der Firma verschicket werden. > Bevor ich jetzt alle mögliche Configs poste frage ich erstmal so. Kann ja sein, dass jemand genau dieses Update-Problem schon mal hatte. > Naja, ein übliches 'postconf -nf' wäre schon angebracht. Was sagt 'postconf smtpd_relay_restrictions' bei dir? Meistens ist das ein mehr oder weniger bekanntes Debian-spezifisches Problem, und es hilft 'smtpd_relay_restrictions =' (also leer) zu setzen, damit die altbekannten smtpd_recipient_restrictions wieder greifen. --byte From michael.mertel at bwc.de Tue Aug 2 20:12:05 2016 From: michael.mertel at bwc.de (Bit World Computing - Michael Mertel) Date: Tue, 2 Aug 2016 20:12:05 +0200 Subject: Submission mit TLS / Ausnahme per User Message-ID: Hallo, mein postfix nimmt normalerweise per port 587 nur verschlüsselt mit Authentifzierung an. Jetzt gibt es aber so tolle Sachen wie SolarLog die können kein STARTTLS+AUTH. Gibt es einen Weg wie ich definieren könnte das bestimmte User auch ohne TLS versenden dürfen? Widerstrebt mir zwar total, scheint aber die einzige Lösung zu sein, da ich auf IP-Basis das nicht steuern kann (dynamische IPs). Auf Port 25 habe ich postscreen laufen, daher hilft mir das smtpd_tls_security_level=may hier leider nicht. Danke vorab für jeden Tip. ?Michael From soeren.berger at tik.uni-stuttgart.de Tue Aug 2 22:18:23 2016 From: soeren.berger at tik.uni-stuttgart.de (=?utf-8?Q?Berger=2C_S=C3=B6ren?=) Date: Tue, 2 Aug 2016 22:18:23 +0200 Subject: =?utf-8?Q?Mehrere_AD/LDAP_Dom=C3=A4nen_f=C3=BCr_Submission_Autent?= =?utf-8?Q?ifizierung?= Message-ID: Hallo zusammen, ich stehe gerade vor der Aufgabe bei uns eine Mailserverumstellung durchzuführen. Aktuell kommen unsere Benutzer aus einem AD. Für die Authentifizierung haben wir einfach ganz normal Submission/saslauthd implementiert. Das funktioniert soweit wunderbar. Durch die Umstellung werden wir während der Migration 2 verschiedene AD Domänen haben. Also auch 2 unterschiedliche AD-Farmen. Ich hab leider selbst nach 2 größeren Googlesessions keine Möglichkeit gefunden, wie ich dem saslauthd mehrere AD Domänen beibringen kann. Ich habe die Befürchtung, dass der das gar nicht kann. Spontan würde mir ein lokaler LDAP Proxy einfallen. Das würde ich aber gern vermeiden. Hat jemand von euch schon sowas mal gemacht oder eine elegante Lösung? Viele Grüße Sören From p at sys4.de Tue Aug 2 22:46:06 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 2 Aug 2016 22:46:06 +0200 Subject: Mehrere AD/LDAP =?utf-8?B?RG9tw6RuZW4g?= =?utf-8?Q?f=C3=BCr?= Submission Autentifizierung In-Reply-To: References: Message-ID: <20160802204606.GA2123@sys4.de> * Berger, Sören : > Hallo zusammen, > ich stehe gerade vor der Aufgabe bei uns eine Mailserverumstellung durchzuführen. Aktuell kommen unsere Benutzer aus einem AD. Für die Authentifizierung haben wir einfach ganz normal Submission/saslauthd implementiert. Das funktioniert soweit wunderbar. > > Durch die Umstellung werden wir während der Migration 2 verschiedene AD Domänen haben. Also auch 2 unterschiedliche AD-Farmen. Ich hab leider selbst nach 2 größeren Googlesessions keine Möglichkeit gefunden, wie ich dem saslauthd mehrere AD Domänen beibringen kann. Ich habe die Befürchtung, dass der das gar nicht kann. Spontan würde mir ein lokaler LDAP Proxy einfallen. Das würde ich aber gern vermeiden. Hat jemand von euch schon sowas mal gemacht oder eine elegante Lösung? Du kannst über die pwcheck_method *mehrere* password verification services hintereinander schalten. Ich würde saslauthd und ldapdb nehmen. Beide können auf LDAP zugreifen. Doku dazu: https://sys4.de/de/blog/2015/01/07/cyrus-sasl-libsasl-man-page/ https://sys4.de/de/blog/2015/01/07/cyrus-sasl-saslauthd-man-page/ https://sys4.de/de/blog/2015/01/07/cyrus-sasl-saslauthdconf-man-page/ https://sys4.de/de/blog/2015/01/07/cyrus-sasl-ldapdb-man-page/ Gemacht habe ich das noch nicht, aber es sollte [tm] funktionieren. ;) p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From postfixbuch-users at 0xaffe.de Tue Aug 2 23:47:36 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 2 Aug 2016 23:47:36 +0200 Subject: Probleme mit postfixnach upgrade auf debian Jessie In-Reply-To: <000601d1ece9$63b70950$2b251bf0$@dpfa.de> References: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> <000601d1ece9$63b70950$2b251bf0$@dpfa.de> Message-ID: Hallo Harald, Am 02.08.16 um 20:12 schrieb Harald Witt: > Das legt die Annahme nahe, dass die 'smtpd_relay_restrictions' > in wheezy überhaupt nicht gewirkt haben. Ein Syntaxfehler kann es nicht > sein, sonst wäre das Problem ja in jessie gar nicht aufgetaucht. Ich schätze eher, dass es daran liegt das es bei dem Postfix 2.9.6 in wheezy den Parameter nicht gab. Jessie benutzt 2.11.3. Der Parameter wurde in 2.10 eingeführt, siehe: http://www.postfix.org/SMTPD_ACCESS_README.html > NOTE: Postfix versions before 2.10 did not have smtpd_relay_restrictions. They combined the mail relay and spam blocking policies, under smtpd_recipient_restrictions. This could lead to unexpected results. For example, a permissive spam blocking policy could unexpectedly result in a permissive mail relay policy. An example of this is documented under "Dangerous use of smtpd_recipient_restrictions". Übrigens: auf RHEL7/CentOS7/... ist postfix 2.10 installiert, mit genau dem gleichen Wert für smtpd_relay_restrictions. Es erschließt sich mir leider immer noch nicht wieso das ein Debian spezifisches Problem sein soll. Just my 2 cents. Mathias. From postfixbuch-users at 0xaffe.de Wed Aug 3 00:06:40 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 3 Aug 2016 00:06:40 +0200 Subject: Submission mit TLS / Ausnahme per User In-Reply-To: References: Message-ID: <4ffac9cd-845c-df71-5e67-ec345421c4bd@0xaffe.de> Hallo Michael, Am 02.08.16 um 20:12 schrieb Bit World Computing - Michael Mertel: > mein postfix nimmt normalerweise per port 587 nur verschlüsselt mit Authentifzierung an. Jetzt gibt es aber so tolle Sachen wie SolarLog die können kein STARTTLS+AUTH. Ich würde eher versuchen SolarLog (was auch immer das ist) per stunnel o.ä. TLS "beizubringen", als die Credentials/Daten im Klartext zu versenden (oder Digest-Auth zu implementieren). Oder halt einen RaspberryPi (mit Postfix) verschalten, der Mails auf Port 25 im LAN entgegennimmt und dann relayt.... Viele Grüße, Mathias. From harald.witt at dpfa.de Wed Aug 3 08:59:39 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Wed, 3 Aug 2016 08:59:39 +0200 Subject: AW: Probleme mit postfixnach upgrade auf debian Jessie In-Reply-To: References: <001901d1ecc4$27a95910$76fc0b30$@dpfa.de> <002101d1ecc5$4b04c010$e10e4030$@dpfa.de> <9F3A840D-2DB1-4F13-9930-8C53DEE64F5F@byte.cx> <000601d1ece9$63b70950$2b251bf0$@dpfa.de> Message-ID: <001f01d1ed54$9a9be9c0$cfd3bd40$@dpfa.de> Hallo Matthias, na dann ist ja alles wieder klar und logisch. Ich hatte ja geschrieben, dass vermutlich der Parameter in wheezy überhaupt nicht wirkte. Und das hast du mir jetzt bestätigt! Danke Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Mathias Jeschke Gesendet: Dienstag, 2. August 2016 23:48 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Probleme mit postfixnach upgrade auf debian Jessie Hallo Harald, Am 02.08.16 um 20:12 schrieb Harald Witt: > Das legt die Annahme nahe, dass die 'smtpd_relay_restrictions' > in wheezy überhaupt nicht gewirkt haben. Ein Syntaxfehler kann es > nicht sein, sonst wäre das Problem ja in jessie gar nicht aufgetaucht. Ich schätze eher, dass es daran liegt das es bei dem Postfix 2.9.6 in wheezy den Parameter nicht gab. Jessie benutzt 2.11.3. Der Parameter wurde in 2.10 eingeführt, siehe: http://www.postfix.org/SMTPD_ACCESS_README.html > NOTE: Postfix versions before 2.10 did not have smtpd_relay_restrictions. They combined the mail relay and spam blocking policies, under smtpd_recipient_restrictions. This could lead to unexpected results. For example, a permissive spam blocking policy could unexpectedly result in a permissive mail relay policy. An example of this is documented under "Dangerous use of smtpd_recipient_restrictions". Übrigens: auf RHEL7/CentOS7/... ist postfix 2.10 installiert, mit genau dem gleichen Wert für smtpd_relay_restrictions. Es erschließt sich mir leider immer noch nicht wieso das ein Debian spezifisches Problem sein soll. Just my 2 cents. Mathias. From jost+lists at dimejo.at Wed Aug 3 09:14:16 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Wed, 3 Aug 2016 09:14:16 +0200 Subject: Submission mit TLS / Ausnahme per User In-Reply-To: References: Message-ID: Am 02.08.2016 um 20:12 schrieb Bit World Computing - Michael Mertel: > Hallo, > > mein postfix nimmt normalerweise per port 587 nur verschlüsselt mit Authentifzierung an. Jetzt gibt es aber so tolle Sachen wie SolarLog die können kein STARTTLS+AUTH. > > Gibt es einen Weg wie ich definieren könnte das bestimmte User auch ohne TLS versenden dürfen? Widerstrebt mir zwar total, scheint aber die einzige Lösung zu sein, da ich auf IP-Basis das nicht steuern kann (dynamische IPs). > > Auf Port 25 habe ich postscreen laufen, daher hilft mir das smtpd_tls_security_level=may hier leider nicht. > > Danke vorab für jeden Tip. Du könntest einen zweiten Submission-Service auf einem anderen Port (oder einer eigenen IP) erstellen. Da kannst Du dann auch TLS komplett deaktivieren, und die Einlieferung auf den IP-Bereich des ISPs beschränken. -- Alex JOST From michael.mertel at bwc.de Wed Aug 3 09:25:56 2016 From: michael.mertel at bwc.de (Bit World Computing - Michael Mertel) Date: Wed, 3 Aug 2016 09:25:56 +0200 Subject: Submission mit TLS / Ausnahme per User In-Reply-To: <4ffac9cd-845c-df71-5e67-ec345421c4bd@0xaffe.de> References: <4ffac9cd-845c-df71-5e67-ec345421c4bd@0xaffe.de> Message-ID: Hallo Mathias, > Am 03.08.2016 um 00:06 schrieb Mathias Jeschke : > > Hallo Michael, > > Am 02.08.16 um 20:12 schrieb Bit World Computing - Michael Mertel: > >> mein postfix nimmt normalerweise per port 587 nur verschlüsselt mit Authentifzierung an. Jetzt gibt es aber so tolle Sachen wie SolarLog die können kein STARTTLS+AUTH. > > Ich würde eher versuchen SolarLog (was auch immer das ist) per stunnel o.ä. TLS "beizubringen", als die Credentials/Daten im Klartext zu versenden (oder Digest-Auth zu implementieren). > > Oder halt einen RaspberryPi (mit Postfix) verschalten, der Mails auf Port 25 im LAN entgegennimmt und dann relayt?. > Vielen Dank für Vorschläge. Leider ist die Bereitschaft technisch aufzurüsten an einem Standort an dem nur eine Solaranlage steht eher gering. SolarLog monitored die Solaranlage und stellt hierzu Daten zur Verfügung. Ich werde wohl die encryption optional machen müssen. CRAM oder Digest ist IMHO nicht machbar, da die Passworte SHA256-CRYPT abgespeichert sind. Authentifzierung vor erzwungener Verschlüsselung kann ja gar nicht funktionierten, what was I thinking :) ?Michael From michael.mertel at bwc.de Wed Aug 3 09:33:16 2016 From: michael.mertel at bwc.de (Bit World Computing - Michael Mertel) Date: Wed, 3 Aug 2016 09:33:16 +0200 Subject: Submission mit TLS / Ausnahme per User In-Reply-To: References: Message-ID: <7CCE5057-BEF1-451D-BF19-AF20F38CA9D0@bwc.de> Hallo Alex, > Am 03.08.2016 um 09:14 schrieb Alex JOST : > > Am 02.08.2016 um 20:12 schrieb Bit World Computing - Michael Mertel: >> Hallo, >> >> mein postfix nimmt normalerweise per port 587 nur verschlüsselt mit Authentifzierung an. Jetzt gibt es aber so tolle Sachen wie SolarLog die können kein STARTTLS+AUTH. >> >> Gibt es einen Weg wie ich definieren könnte das bestimmte User auch ohne TLS versenden dürfen? Widerstrebt mir zwar total, scheint aber die einzige Lösung zu sein, da ich auf IP-Basis das nicht steuern kann (dynamische IPs). >> >> Auf Port 25 habe ich postscreen laufen, daher hilft mir das smtpd_tls_security_level=may hier leider nicht. >> >> Danke vorab für jeden Tip. > > Du könntest einen zweiten Submission-Service auf einem anderen Port (oder einer eigenen IP) erstellen. Da kannst Du dann auch TLS komplett deaktivieren, und die Einlieferung auf den IP-Bereich des ISPs beschränken. > Auch ein guter Vorschlag, leider sind es mehrere SolarLogs an verschiedenen Anschlüssen (Provider). In den Release-Notes zur Firmware gibt es einen spassigen Eintrag: "Email: Es wird nun der Versand u?ber SSL/STARTTLS gesicherte Verbindungen bei GMX, WEB.DE, GMAIL und T-ONLINE unterstu?tzt (*Made in Germany*).? Ich empfehle dem User ein Konto bei einem der besagten Anbieter anzulegen und darüber zu versenden, alles andere ist ja albern. Mal gespannt was da noch für Überraschungen kommen, schöne neue IoT-Welt :) Beste Grüße aus Würzburg. ?Michael From thomas.schwenski at xanismail.de Thu Aug 4 22:58:05 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Thu, 4 Aug 2016 22:58:05 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: References: Message-ID: Hallo Jens, hallo Liste, > Solche Mechanismen würde ich aber auf Serverseite nie nutzen, sondern > eher die Nutzer bitten, ihre Mailinglisten-Optionen zu checken. Ich sehe das ähnlich kritisch. Wenn überhaupt, dann sollte der Nutzer das aktiv selbst für sein Postfach aktivieren und ich würde es dann auch nur so handhaben, dass die Duplikat-Mail nur im Postfach temporär nicht angezeigt wird, aber jederzeit (bei Deaktivierung des Features) wieder abrufbar wäre. Sonst springt Irgendeiner* der rechtsverständigeren User lauthals "Unterdrückung von Sendung"-schreiend aus seiner Ecke und wedelt mit §206 (2) 1 StGB. (* Einer reicht ja schon - ob er letztendlich auch Recht bekommt oder nicht ... den Ärger kann man sich sparen.) Die Argumentation, dass es ja zweimal die gleiche Mail ist und es deshalb reicht eine anzuzeigen, kann, rein technisch betrachtet, bei einem großen Anteil betroffener Mails oft auch nicht gelten, da ja - wie Ralf Hildbrand schon schrieb - durch unterschiedliche Übertragungswege, die Header verändert und damit der Inhalt der Mail unterschiedlich ist. Dann handelt es sich trotz der gleichen Message-ID in beiden Mails dennoch um unterschiedliche Nachrichten (Sendungen). Die andere Seite - die bei Mailinglisten-Mails in der Praxis ein eher unwahrscheinlicher Fall ist - ist aber auch, dass man bei Nichtzustellung der Mail den Absender entsprechend informieren sollte (bzw. sogar muss). Etwas was das Cyrus-Feature sicherlich nicht tut. Hat der Absender die Mail nun absichtlich so gesendet, dass diese in zweifacher Ausfertigung vom Empfänger erhalten werden soll, dieser bekommt aber nur ein Exemplar (und der Absender wird nicht darüber informiert), dann läge wahrscheinlich auch eine Verletzung des genannten Paragraphen vor. Darum: Wenn überhaupt per OptIn durch den Nutzer selbst (und mit qualifizierter Protokollierung des Aktivierungsvorgangs) als Anbieter mit so einem Feature hantieren. Und das ganze am Besten noch irgendwie per Vertragsbedingung mit einer Übertragung der Verantwortung auf den Nutzer (um sich gegen einen streitlustigen Absender außerhalb des Kundenkreises abzusichern). Idealerweise so wie eingangs beschrieben mit einer temporär (und beliebig reversiven) Ausblendung der Nachricht. Aber das dürfte von Dovecot und keinem anderen POP3/IMAP-Daemon bisher umgesetzt sein. Eventuell ließe sich da bei Verwendung von MailDir als Speicherformat etwas mit Dateisystemsrechten basteln. -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de From Ralf.Hildebrandt at charite.de Fri Aug 5 10:27:55 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 5 Aug 2016 10:27:55 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: References: Message-ID: <20160805082751.75l7w3sdnydepuwv@charite.de> * Thomas Schwenski : > Hallo Jens, > hallo Liste, > > > Solche Mechanismen würde ich aber auf Serverseite nie nutzen, sondern > > eher die Nutzer bitten, ihre Mailinglisten-Optionen zu checken. > > Ich sehe das ähnlich kritisch. > Wenn überhaupt, dann sollte der Nutzer das aktiv selbst für sein Postfach > aktivieren und ich würde es dann auch nur so handhaben, dass die > Duplikat-Mail nur im Postfach temporär nicht angezeigt wird, aber jederzeit > (bei Deaktivierung des Features) wieder abrufbar wäre. Ja, wir hatten mal den Fall dass "delivery notification" und Antwort (an nächsten Tag) mit derselben Absenderadresse & Message-id kamen. Effekt: Die "delivery notification" kam an. Die eigentlich Antwort aber nicht, da sie als Duplikat unterdrückt wurde!!! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From thomas.schwenski at xanismail.de Fri Aug 5 13:43:33 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Fri, 5 Aug 2016 13:43:33 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: <20160805082751.75l7w3sdnydepuwv@charite.de> References: <20160805082751.75l7w3sdnydepuwv@charite.de> Message-ID: <25e9be48-c6b0-8b1e-7630-d9a28162cbf1@xanismail.de> Hallo Ralf, Am 05.08.16 um 10:27 schrieb Ralf Hildebrandt: > Ja, wir hatten mal den Fall dass "delivery notification" und Antwort > (an nächsten Tag) mit derselben Absenderadresse & Message-id kamen. > > Effekt: Die "delivery notification" kam an. Die eigentlich Antwort > aber nicht, da sie als Duplikat unterdrückt wurde!!! Schlauerweise sollte so ein Feature zumindest den Body der Mail grundlegend vergleichen (also wenigstens ob der Body die gleiche Größe hat (im Idealfall auch einen Inhaltsvergleich). -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de From Ralf.Hildebrandt at charite.de Fri Aug 5 14:30:16 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 5 Aug 2016 14:30:16 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: <25e9be48-c6b0-8b1e-7630-d9a28162cbf1@xanismail.de> References: <20160805082751.75l7w3sdnydepuwv@charite.de> <25e9be48-c6b0-8b1e-7630-d9a28162cbf1@xanismail.de> Message-ID: <20160805123016.d35xxr3cxackniua@charite.de> * Thomas Schwenski : > Hallo Ralf, > > Am 05.08.16 um 10:27 schrieb Ralf Hildebrandt: > > > Ja, wir hatten mal den Fall dass "delivery notification" und Antwort > > (an nächsten Tag) mit derselben Absenderadresse & Message-id kamen. > > > > Effekt: Die "delivery notification" kam an. Die eigentlich Antwort > > aber nicht, da sie als Duplikat unterdrückt wurde!!! > > Schlauerweise sollte so ein Feature zumindest den Body der Mail grundlegend > vergleichen (also wenigstens ob der Body die gleiche Größe hat (im Idealfall > auch einen Inhaltsvergleich). Schuld war hier das Emailsystem (natürlich Exchange!) daß dieselbe Message-id "wiederverwendet" hat. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From harald.witt at dpfa.de Fri Aug 5 19:14:31 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Fri, 5 Aug 2016 19:14:31 +0200 Subject: Probleme in Polen nach upgrade von wheezy auf jessie in Deutschland Message-ID: <000001d1ef3c$d59eb7c0$80dc2740$@dpfa.de> Liebe Liste, nachdem ich mit eurer Hilfe neulich ein vermeintlich einziges Problem nach dem Upgrade lösen konnte, holt mich jetzt ein anderes ein. Ich betreibe meinen MX nicht nur für deutsche Domains, sondern auch für zwei polnische. Der MX-Record ist i.O und seit Ewigkeiten unverändert. In Deutschland können alle Kollegen mit ihren E-Mail-Clients völlig problemlos E-Mails versenden und empfangen – keinerlei Klagen. Meine Kollegen in Polen hingegen können E-Mails zwar senden, aber nicht empfangen (courier 0.73, vor dem upgrade 0.68). Die verwenden alle SSL-Verschlüsselung mit den Ports 995 bzw. 465. Wenn ich die Verschlüsselung abschalte ist die Sache genau umgekehrt. Alle Mails werden empfangen, es können aber keine mehr gesendet werden. Somit betrifft das auch irgendwie postfix und ich hoffe, dass ihr die Sache nicht OT findet! Leider ist die Verschlüsselung in der dort installierten Outlook-Version (ich glaube 2010) nicht für POP/SMTP getrennt einstellbar. Hat von euch schon mal jemand so einen Effekt gehabt? Ich bin im Moment ratlos L Ein schönes WE wünscht Harald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From martin.sengstschmid at gmail.com Fri Aug 5 20:03:09 2016 From: martin.sengstschmid at gmail.com (Martin Sengstschmid) Date: Fri, 5 Aug 2016 20:03:09 +0200 Subject: virtual mailbox Message-ID: <6EBA76EC-5D7A-4C64-B431-3F4FE363D556@gmail.com> Hallo! Nachdem mein alter Mailserver in die Jahre gekommen ist und tadellos (postfix - ldap - dovecot) funktioniert hat, möchte/muss ich ihn neu aufsetzen und scheitere derzeit an der virtuellen Mailbox, deren Adressen ich vorerst in einem file und noch nicht im LDAP speichern möchte. echo foo | /usr/sbin/sendmail -f user info at example.com wird nicht ausgeliefert und kommt an den lokalen useraccount user zurück. postconf -n alias_maps = hash:/usr/local/etc/postfix/aliases command_directory = /usr/local/sbin compatibility_level = 2 daemon_directory = /usr/local/libexec/postfix data_directory = /var/db/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 html_directory = no inet_protocols = ipv4 mail_owner = postfix mailbox_size_limit = 0 mailq_path = /usr/local/bin/mailq manpage_directory = /usr/local/man meta_directory = /usr/local/libexec/postfix mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain mydomain = example.com myhostname = ns3.example.com mynetworks = xxx.xxx.115.164,xxx.xxx.115.165,xxx.xxx.115.166,xxx.xxx.115.167,xxx.xxx.115.168,xxx.xxx.115.169,xxx.xxx.115.170,xxx.xxx.115.171,xxx.xxx.115.172,xxx.xxx.115.173,xxx.xxx.115.174,127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/local/bin/newaliases queue_directory = /var/spool/postfix readme_directory = no sample_directory = /usr/local/etc/postfix sendmail_path = /usr/local/sbin/sendmail setgid_group = maildrop shlib_directory = /usr/local/lib/postfix smtp_bind_address = xxx.xxx.115.167 smtpd_recipient_restrictions = reject_non_fqdn_recipient reject_non_fqdn_sender reject_unknown_sender_domain reject_unknown_recipient_domain permit_mynetworks permit_sasl_authenticated reject_sender_login_mismatch reject_unauth_destination check_policy_service unix:private/spf-policy check_policy_service inet:127.0.0.1:10023 reject_multi_recipient_bounce reject_non_fqdn_helo_hostname reject_invalid_helo_hostname check_helo_access pcre:/usr/local/etc/postfix/helo_checks reject_rhsbl_sender dsn.rfc-ignorant.org permit unknown_local_recipient_reject_code = 550 virtual_alias_maps = hash:/usr/local/etc/postfix/virtual_alias_maps virtual_gid_maps = static:2000 virtual_mailbox_base = /usr/home/virtual virtual_mailbox_domains = $mydomain virtual_mailbox_maps = hash:/usr/local/etc/postfix/virtual_mailbox_maps virtual_uid_maps = static:2000 master.cf: smtp inet n - n - 20 smtpd -o smtpd_proxy_filter=localhost:10024 -o smtpd_client_connection_count_limit=10 pickup fifo n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp -o smtp_fallback_relay= showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache spf-policy unix - n n - 0 spawn user=nobody argv=/usr/local/libexec/postfix-policyd-spf-perl amavisfeed unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o smtp_tls_note_starttls_offer=no 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o smtpd_restriction_classes= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters -o local_header_rewrite_clients= -o smtpd_milters= -o local_recipient_maps= -o relay_recipient_maps= virtual_alias_maps postmaster at example.com info at example.com virtual_mailbox_maps info at example.com example.com/info/ Herzlichen Dank für eine Hilfe! Martin From postfixbuch at cboltz.de Fri Aug 5 22:57:21 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Fri, 05 Aug 2016 22:57:21 +0200 Subject: Probleme in Polen nach upgrade von wheezy auf jessie in Deutschland In-Reply-To: <000001d1ef3c$d59eb7c0$80dc2740$@dpfa.de> References: <000001d1ef3c$d59eb7c0$80dc2740$@dpfa.de> Message-ID: <2494151.MnFMVCTaZE@tux.boltz.de.vu> Hallo Harald, hallo zusammen, Am Freitag, 5. August 2016, 19:14:31 CEST schrieb Harald Witt: > Meine Kollegen in Polen hingegen können E-Mails zwar senden, aber > nicht empfangen (courier 0.73, vor dem upgrade 0.68). Die verwenden > alle SSL-Verschlüsselung mit den Ports 995 bzw. 465. > > Wenn ich die Verschlüsselung abschalte ist die Sache genau umgekehrt. > Alle Mails werden empfangen, es können aber keine mehr gesendet > werden. Somit betrifft das auch irgendwie postfix und ich hoffe, dass > ihr die Sache nicht OT findet! > > Leider ist die Verschlüsselung in der dort installierten > Outlook-Version (ich glaube 2010) nicht für POP/SMTP getrennt > einstellbar. > > Hat von euch schon mal jemand so einen Effekt gehabt? Ich bin im > Moment ratlos L Ich hatte mal einen ähnlichen Effekt - ein Uralt-Outlook (keine Ahnung, welche Version, war jedenfalls noch auf XP) hat die Verschlüsselung auf einem neuen Dovecot-Server nicht gemocht. Ich vermute einfach mal, dass das alte Outlook die modernen Verschlüsselungsverfahren noch nicht kann, und das aktuelle Dovecot (und auch ein aktueller Courier) die alten, inzwischen geknackten, Verschlüsselungsverfahren nicht mehr anbieten. In meinem Fall war es einfach - der betroffene PC wurde eh ausrangiert, und ich habe dann mit einem älteren Dovecot-Server den Transfer des Mailarchivs zum Nachfolge-PC (mit Thunderbird :-) gemacht. Deine Optionen sind vermutlich: - ältere Verschlüsselungsmethoden in Courier erlauben - Outlook durch irgendwas besseres ersetzen ;-) - zwei Konten einrichten - eins mit Verschlüsselung (zum Versand), eins ohne (zum Mailabruf). Der Teil "ohne Verschlüsselung" ist nicht wirklich schön, aber als schneller _temporärer_ Workaround könnte diese Variante helfen. BTW: Warum eigentlich noch Courier? Historische Gründe? ;-) Gruß Christian Boltz -- File Not Found.....Loading something that looks similar From harald.witt at dpfa.de Sat Aug 6 09:00:26 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Sat, 6 Aug 2016 09:00:26 +0200 Subject: AW: Probleme in Polen nach upgrade von wheezy auf jessie in Deutschland In-Reply-To: <2494151.MnFMVCTaZE@tux.boltz.de.vu> References: <000001d1ef3c$d59eb7c0$80dc2740$@dpfa.de> <2494151.MnFMVCTaZE@tux.boltz.de.vu> Message-ID: <000301d1efb0$366f9560$a34ec020$@dpfa.de> Hallo Christian, ja, das Problem kenne ich auch. Das war glaube ich Outlook 2002 unter XP. Und ja, Courier hat historische Gründe. Aber das wäre auch noch eine Option. Elchen POP3-Server sollte man da nehmen? Gruß Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Boltz Gesendet: Freitag, 5. August 2016 22:57 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Probleme in Polen nach upgrade von wheezy auf jessie in Deutschland Hallo Harald, hallo zusammen, Am Freitag, 5. August 2016, 19:14:31 CEST schrieb Harald Witt: > Meine Kollegen in Polen hingegen können E-Mails zwar senden, aber > nicht empfangen (courier 0.73, vor dem upgrade 0.68). Die verwenden > alle SSL-Verschlüsselung mit den Ports 995 bzw. 465. > > Wenn ich die Verschlüsselung abschalte ist die Sache genau umgekehrt. > Alle Mails werden empfangen, es können aber keine mehr gesendet > werden. Somit betrifft das auch irgendwie postfix und ich hoffe, dass > ihr die Sache nicht OT findet! > > Leider ist die Verschlüsselung in der dort installierten > Outlook-Version (ich glaube 2010) nicht für POP/SMTP getrennt > einstellbar. > > Hat von euch schon mal jemand so einen Effekt gehabt? Ich bin im > Moment ratlos L Ich hatte mal einen ähnlichen Effekt - ein Uralt-Outlook (keine Ahnung, welche Version, war jedenfalls noch auf XP) hat die Verschlüsselung auf einem neuen Dovecot-Server nicht gemocht. Ich vermute einfach mal, dass das alte Outlook die modernen Verschlüsselungsverfahren noch nicht kann, und das aktuelle Dovecot (und auch ein aktueller Courier) die alten, inzwischen geknackten, Verschlüsselungsverfahren nicht mehr anbieten. In meinem Fall war es einfach - der betroffene PC wurde eh ausrangiert, und ich habe dann mit einem älteren Dovecot-Server den Transfer des Mailarchivs zum Nachfolge-PC (mit Thunderbird :-) gemacht. Deine Optionen sind vermutlich: - ältere Verschlüsselungsmethoden in Courier erlauben - Outlook durch irgendwas besseres ersetzen ;-) - zwei Konten einrichten - eins mit Verschlüsselung (zum Versand), eins ohne (zum Mailabruf). Der Teil "ohne Verschlüsselung" ist nicht wirklich schön, aber als schneller _temporärer_ Workaround könnte diese Variante helfen. BTW: Warum eigentlich noch Courier? Historische Gründe? ;-) Gruß Christian Boltz -- File Not Found.....Loading something that looks similar From anmeyer at mailbox.org Sat Aug 6 10:31:50 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 6 Aug 2016 10:31:50 +0200 Subject: Frage zu reject_sender_login_mismatch Message-ID: <20160806103150.67440314@workstation.bitcorner.intern> Hallo! Ich bekomme auf dem sendenden host mit Postfix Aug 6 03:11:40 bitwater1 postfix/smtp[27551]: C19FE216B8: to=, orig_to=, relay=mail.bitcorner.de[37.120.166.21]:25, delay=0.07, delays=0/0.01/0.04/0.02, dsn=5.7.1, status=bounced (host mail.bitcorner.de[37.120.166.21] said: 553 5.7.1 : Sender address rejected: not logged in (in reply to RCPT TO command)) Es handelt sich um eine weitergeleitet email, weil in der aliases andreas: andreas, a.meyer at bitcorner.de gesetzt ist. Der empfangende Server hat reject_sender_login_mismatch gesetzt. Die email wird gebounced. Gibt es einen Weg das zu verhindern und reject_sender_login_mismatch zu bewahren? Grüße Andreas From mailinglisten at pothe.de Sun Aug 7 11:58:20 2016 From: mailinglisten at pothe.de (Andreas Pothe) Date: Sun, 7 Aug 2016 11:58:20 +0200 Subject: Probleme in Polen nach upgrade von wheezy auf jessie in Deutschland In-Reply-To: <000301d1efb0$366f9560$a34ec020$@dpfa.de> References: <000001d1ef3c$d59eb7c0$80dc2740$@dpfa.de> <2494151.MnFMVCTaZE@tux.boltz.de.vu> <000301d1efb0$366f9560$a34ec020$@dpfa.de> Message-ID: Am 06.08.2016 um 09:00 schrieb Harald Witt: > Und ja, Courier hat historische Gründe. Aber das wäre auch noch eine Option. > Elchen POP3-Server sollte man da nehmen? > Ich bin mit Dovecot sehr zufrieden. From thomas.schwenski at xanismail.de Sun Aug 7 22:04:27 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Sun, 7 Aug 2016 22:04:27 +0200 Subject: Gleiche Mail Doppel zugestellt In-Reply-To: <20160805123016.d35xxr3cxackniua@charite.de> References: <20160805082751.75l7w3sdnydepuwv@charite.de> <25e9be48-c6b0-8b1e-7630-d9a28162cbf1@xanismail.de> <20160805123016.d35xxr3cxackniua@charite.de> Message-ID: <5171dbf9-aafb-edeb-86a9-06331fe51253@xanismail.de> Hallo Ralf, Am 05.08.16 um 14:30 schrieb Ralf Hildebrandt: >>> Ja, wir hatten mal den Fall dass "delivery notification" und >>> Antwort (an nächsten Tag) mit derselben Absenderadresse & >>> Message-id kamen. >>> >>> Effekt: Die "delivery notification" kam an. Die eigentlich Antwort >>> aber nicht, da sie als Duplikat unterdrückt wurde!!! > > Schuld war hier das Emailsystem (natürlich Exchange!) daß dieselbe > Message-id "wiederverwendet" hat. Soweit ich mich erinnere, geht Exchange (zumindest damals in Version 2003) noch einen Schritt weiter und speichert Duplikate über sämtliche Mailboxen nur ein einziges Mal und verlinkt die dann nur in die übrigen Mailboxen rein. * Wenn es denn dabei auch wirklich nur gleiche Mails nehmen würde und nicht solche Effekte, wie von Dir beschrieben, hervorrufen würde. * Prinzipiell ist das aber ein sinnvolles Feature für einen Groupware-Server. Man denke nur mal an mehrere Gigabyte-große Postfächer (der mir persönlich bekannte "Record" liegt lag bei etwa 11,2 GiB) mehrerer User. Da macht das schonmal was aus, insbesondere wenn innerhalb der Domänenstruktur auch mal gerne 100+MiB-Mails verteilt werden. Viele Grüße -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de From kai_postfix at fuerstenberg.ws Mon Aug 8 10:11:40 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Mon, 8 Aug 2016 10:11:40 +0200 Subject: Frage zu reject_sender_login_mismatch In-Reply-To: <20160806103150.67440314@workstation.bitcorner.intern> References: <20160806103150.67440314@workstation.bitcorner.intern> Message-ID: <9adc71b8-79c6-3c45-462c-c0c53e5ac5cd@fuerstenberg.ws> Hallo Andreas, Am 06.08.2016 um 10:31 schrieb Andreas Meyer: > Ich bekomme auf dem sendenden host mit Postfix > > Aug 6 03:11:40 bitwater1 postfix/smtp[27551]: C19FE216B8: > to=, orig_to=, > relay=mail.bitcorner.de[37.120.166.21]:25, delay=0.07, > delays=0/0.01/0.04/0.02, dsn=5.7.1, status=bounced (host > mail.bitcorner.de[37.120.166.21] said: 553 5.7.1 > : Sender address rejected: not logged in (in > reply to RCPT TO command)) > > Es handelt sich um eine weitergeleitet email, weil in der aliases > > andreas: andreas, a.meyer at bitcorner.de > > gesetzt ist. Der empfangende Server hat reject_sender_login_mismatch > gesetzt. Die email wird gebounced. Gibt es einen Weg das zu > verhindern und reject_sender_login_mismatch zu bewahren? Wenn der empfangende Server sich zuständig fühlt für die Domain nimmini.de, kannst du das mit reject_authenticated_sender_login_mismatch umgehen. Hier wird die Prüfung nur für eingeloggte User durchgeführt. Ansonsten kann man auch mit client_checks diese Prüfung umgehen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From anmeyer at mailbox.org Mon Aug 8 18:09:57 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 8 Aug 2016 18:09:57 +0200 Subject: Frage zu reject_sender_login_mismatch In-Reply-To: <9adc71b8-79c6-3c45-462c-c0c53e5ac5cd@fuerstenberg.ws> References: <20160806103150.67440314@workstation.bitcorner.intern> <9adc71b8-79c6-3c45-462c-c0c53e5ac5cd@fuerstenberg.ws> Message-ID: <20160808180957.3147849a@workstation.bitcorner.intern> Hallo Kai! Kai Fürstenberg schrieb am 08.08.16 um 10:11:40 Uhr: > > Es handelt sich um eine weitergeleitet email, weil in der aliases > > > > andreas: andreas, a.meyer at bitcorner.de > > > > gesetzt ist. Der empfangende Server hat reject_sender_login_mismatch > > gesetzt. Die email wird gebounced. Gibt es einen Weg das zu > > verhindern und reject_sender_login_mismatch zu bewahren? > > Wenn der empfangende Server sich zuständig fühlt für die Domain > nimmini.de, kannst du das mit > > reject_authenticated_sender_login_mismatch > > umgehen. Hier wird die Prüfung nur für eingeloggte User durchgeführt. Danke sehr! reject_authenticated_sender_login_mismatch tut's. Ich muss mich immer wieder über Dich wundern, wie cool die mit diesen Parametern umgehst :-) > Ansonsten kann man auch mit client_checks diese Prüfung umgehen. Grüße Andreas From news at amaltea.de Mon Aug 8 18:17:09 2016 From: news at amaltea.de (Paul) Date: Mon, 8 Aug 2016 18:17:09 +0200 Subject: Mischen von SPF Record-Results Message-ID: Hallo Liste, angenommen, kundendomain.tld hat den SPF-Record v=spf1 a:spf.totalrstriktiv.tld -all und ich erweitere diesen um include:spf.meinedomain.tld und Letzterer sieht so aus: v=spf1 a:spf.aufgeweicht.tld ?all Ich frage mich nun, welches Result mehr Gewicht hat oder nach welchen Regeln das Prüfungsergebnis ermittelt wird? Spielt die Reihenfolge eine Rolle, also, ob der Record so v=spf1 a:spf.totalrstriktiv.tld include:spf.meinedomain.tld -all oder so aussieht v=spf1 include:spf.meinedomain.tld a:spf.totalrstriktiv.tld -all Gruß, Paul From Helge.Wiethoff at thga.de Tue Aug 9 11:37:44 2016 From: Helge.Wiethoff at thga.de (Wiethoff, Helge) Date: Tue, 9 Aug 2016 09:37:44 +0000 Subject: LMTP Zustellung und virtual_alias_maps Message-ID: <194290040642FB4D952083D79F7F7D1D4118B42F@BOHEMSX2010.rbbk.de> Hallo zusammen, ich habe ein Verständnisproblem mit der Zustellung von einem MX-Relay via LMTP zu einem Dovecot/Postfix-Server. Das Thema wurde bereits mehrfach diskutiert ([1],[2]) und doch habe ich ein Verständnisproblem... Im Postfix-Kapitel von Peers Dovecot-Buch ist der Tenor, Postfix auf dem Dovecot/IMAP-Server möglichst aus dem Spiel zu lassen und Mails von einem MX-Relay direkt über LMTP an Dovecot zu übergeben (relay_domains: lmtp:[mail.stud.thga.de]). Damit die dynamische Adressverifizierung dann noch funktioniert, müssen die Aliase zu den Mailboxen (virtual_alias_maps) dem MX-Relay bekannt sein (wird auch im Buch erwähnt :)). Mein Verständnisproblem: Warum ist das, bis auf Performance-Gründe, wünschenswert? Wenn ich meine Aliase auf dem Dovecot-Server in einer SQL-Datenbank (zB über postfixadmin) pflege, muss ich dem MX-Relay Zugriff auf die Daten geben (direkter SQL-Zugriff, Cronjob, whatever). Mit einer SMTP-Zustellung habe ich zwar einen "Postfix-Durchlauferhitzer" (der dann virtual_alias_maps kennt) aber trenne beide Systeme (sauber?) auf. Oder nicht? Viele Grüße aus Bochum, Helge PS: Auch wenn dieses Thema im Zusammenhang mit Dovecot aufkam, habe ich mich für diese Liste entschieden, weil es mehr nach Postfix klingt :) [1] http://www.dovecot-buch.de/mailingliste/lmtp-und-relay_domains/ [2] https://listen.jpberlin.de/pipermail/dovecot/2016-May/001064.html From news at amaltea.de Tue Aug 9 12:22:23 2016 From: news at amaltea.de (Paul) Date: Tue, 9 Aug 2016 12:22:23 +0200 Subject: Mischen von SPF Record-Results In-Reply-To: References: Message-ID: <70fba0d2-e19b-ccf4-f9d1-fb64d7f4191c@amaltea.de> Am 08.08.2016 um 18:17 schrieb Paul: > angenommen, > kundendomain.tld hat den SPF-Record > v=spf1 a:spf.totalrstriktiv.tld -all > und > ich erweitere diesen um > include:spf.meinedomain.tld > und > Letzterer sieht so aus: > v=spf1 a:spf.aufgeweicht.tld ?all > > Ich frage mich nun, welches Result mehr Gewicht hat oder nach welchen > Regeln das Prüfungsergebnis ermittelt wird? Hab es jetzt selbst mit postfix-policyd-spf-perl 2.009-1 aus Ubuntu 12.04.5 LTS getestet. Das -all aus dem SPF-Record wird befolgt. Die Erweiterung beinhaltet dann lediglich weitere Hosts/IPs die versenden dürfen. > Spielt die Reihenfolge eine Rolle, also, > ob der Record so > v=spf1 a:spf.totalrstriktiv.tld include:spf.meinedomain.tld -all > oder so aussieht > v=spf1 include:spf.meinedomain.tld a:spf.totalrstriktiv.tld -all In meinen Tests war die Reihenfolge für das Ergebnis irrelevant. Gruß, Paul From ml at irmawi.de Tue Aug 9 21:42:04 2016 From: ml at irmawi.de (Markus Winkler) Date: Tue, 9 Aug 2016 21:42:04 +0200 Subject: virtual mailbox In-Reply-To: <6EBA76EC-5D7A-4C64-B431-3F4FE363D556@gmail.com> References: <6EBA76EC-5D7A-4C64-B431-3F4FE363D556@gmail.com> Message-ID: Hallo Martin, On 05.08.2016 20:03, Martin Sengstschmid wrote: > info at example.com > wird nicht ausgeliefert und kommt an den lokalen useraccount user zurück. > > mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain > mydomain = example.com > virtual_mailbox_domains = $mydomain nimm mal bitte '$mydomain' bei 'mydestination' raus, sodass es nur noch bei 'virtual_mailbox_domains' drin steht. Gruß Markus From martin.sengstschmid at gmail.com Wed Aug 10 00:09:24 2016 From: martin.sengstschmid at gmail.com (Martin Sengstschmid) Date: Wed, 10 Aug 2016 00:09:24 +0200 Subject: virtual mailbox In-Reply-To: References: <6EBA76EC-5D7A-4C64-B431-3F4FE363D556@gmail.com> Message-ID: <82FFAB1D-532F-475A-B557-372BB65B14FB@gmail.com> Hallo Markus! Genau das war der Fehler! Ich habe $mydomain bei mydestination entfernt und alles funktioniert, so wie es soll. Danke! LG Martin > Am 09.08.2016 um 21:42 schrieb Markus Winkler : > > Hallo Martin, > > On 05.08.2016 20:03, Martin Sengstschmid wrote: >> info at example.com >> wird nicht ausgeliefert und kommt an den lokalen useraccount user zurück. >> >> mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain >> mydomain = example.com >> virtual_mailbox_domains = $mydomain > > nimm mal bitte '$mydomain' bei 'mydestination' raus, sodass es nur noch bei > 'virtual_mailbox_domains' drin steht. > > Gruß > Markus From zahlenmaler at t-online.de Wed Aug 10 10:40:45 2016 From: zahlenmaler at t-online.de (robert) Date: Wed, 10 Aug 2016 10:40:45 +0200 Subject: rfc3798 Message-ID: <57AAE88D.4050908@t-online.de> Hallo Liste, durch den Einsatz von: smtpd_sender_login_maps & smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, check_sender_access [...] Dadurch bin ich heute auf die RFC 3798 gestoßen. https://tools.ietf.org/html/rfc3798#section-6.4 Message Disposition Notification Punkt 3 [...] The envelope sender address (i.e., SMTP MAIL FROM) of the MDN MUST be null (<>), specifying that no Delivery Status Notification messages or other messages indicating successful or unsuccessful delivery are to be sent in response to an MDN. [...] Ich kann mir die Begründung noch so oft durchlesen, ich will es einfach nicht wahr haben das hier eine "Pflasterlösung" generiert wird für "Out of Office" Notifications. In meinen Augen steht da "wir verschicken zwar informationen die evtl. vielleicht für Irgendjemanden interessant sein könnten oder sogar wichtig. Ob es zugestellt wird ist uns aber egal. *GRRRR* Meine Lösung derzeit. // OK und // "Saslauthname" Womit ich sehr unglücklich bin ein rewrite der zeile wäre mir sowas von lieber. Oder jemand kann mir vernünftig darlegen das dies so richtig und wichtig ist usw.? Danke Gruß Robert From andreas.schulze at datev.de Wed Aug 10 12:48:54 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 10 Aug 2016 12:48:54 +0200 Subject: rfc3798 In-Reply-To: <57AAE88D.4050908@t-online.de> References: <57AAE88D.4050908@t-online.de> Message-ID: <5ea57d0f-5ce5-ed4c-a2a8-5d891c07f9fc@datev.de> Am 10.08.2016 um 10:40 schrieb robert: > In meinen Augen steht da "wir verschicken zwar informationen die evtl. vielleicht für Irgendjemanden interessant sein könnten oder sogar wichtig. Ob es zugestellt wird ist uns aber egal. *GRRRR* genau, dafür nimmt man den leeren envelope sender, so funktioniert E-Mail ... -- A. Schulze DATEV eG From harald.witt at dpfa.de Wed Aug 10 14:56:16 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Wed, 10 Aug 2016 14:56:16 +0200 Subject: ClamAV-Bug Message-ID: <000301d1f306$95185c10$bf491430$@dpfa.de> Hallo Liste, gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? Hintergrund: Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei dranhängt: INFECTED: Win.Exploit.CVE_2016_3316-1 Dieser Exploit ist für Word 2013 bzw. 2016, welches wir gar nicht benutzen. Habe die Sache schon als „false positive“ an ClamAV gemeldet. Aber das kann dauern. Viele Dank Harald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Wed Aug 10 14:58:58 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 10 Aug 2016 14:58:58 +0200 Subject: ClamAV-Bug In-Reply-To: <000301d1f306$95185c10$bf491430$@dpfa.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> Message-ID: <20160810125858.ukt7izyeaao2gb43@charite.de> * Harald Witt : > Hallo Liste, > > > > gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von > ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? Ja > > Hintergrund: > > Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen > sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei > dranhängt: > > > > INFECTED: Win.Exploit.CVE_2016_3316-1 in /var/lib/clamav/local.ign2: Win.Exploit.CVE_2016_3316-1 eintragen dann clamd neu starten -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From zierke at informatik.uni-hamburg.de Wed Aug 10 15:00:03 2016 From: zierke at informatik.uni-hamburg.de (Reinhard Zierke) Date: Wed, 10 Aug 2016 15:00:03 +0200 Subject: ClamAV-Bug In-Reply-To: <000301d1f306$95185c10$bf491430$@dpfa.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> Message-ID: <20160810130003.GJ7043@informatik.uni-hamburg.de> On Wed, Aug 10, 2016 at 02:56:16PM +0200, Harald Witt wrote: > gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von > ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? > > Hintergrund: > > Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen > sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei > dranhängt: > > INFECTED: Win.Exploit.CVE_2016_3316-1 > > Dieser Exploit ist für Word 2013 bzw. 2016, welches wir gar nicht benutzen. > Habe die Sache schon als „false positive“ an ClamAV gemeldet. Aber das kann > dauern. Bei uns in der Chemie soll diese Datei helfen: /var/lib/clamav/local.ign2: Win.Exploit.CVE_2016_3316-1 Xls.Exploit.EmbeddedFlash-1 Gruß, Reinhard -- Reinhard Zierke Universität Hamburg, MIN-Fakultät, zierke at informatik.uni-hamburg.de Fachbereich Informatik postmaster at informatik.uni-hamburg.de Vogt-Kölln-Straße 30, 22527 Hamburg Tel.: (040) 42883-2295/2276 Fax: -2241 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5037 bytes Beschreibung: nicht verfügbar URL : From harald.witt at dpfa.de Wed Aug 10 15:02:29 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Wed, 10 Aug 2016 15:02:29 +0200 Subject: AW: ClamAV-Bug In-Reply-To: <20160810125858.ukt7izyeaao2gb43@charite.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810125858.ukt7izyeaao2gb43@charite.de> Message-ID: <000f01d1f307$7351db00$59f59100$@dpfa.de> Danke, das ging ja rasend schnell :-) Harald -----Ursprüngliche Nachricht----- Von: Ralf Hildebrandt [mailto:Ralf.Hildebrandt at charite.de] Gesendet: Mittwoch, 10. August 2016 14:59 An: Harald Witt Cc: postfixbuch-users at listen.jpberlin.de Betreff: Re: ClamAV-Bug * Harald Witt : > Hallo Liste, > > > > gibt es eigentlich eine Möglichkeit, bestimmte einzelne > Virensignaturen von ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? Ja > > Hintergrund: > > Seit heute werden nach irgendeinem Update der Datenbank der > Virensignaturen sämtliche Mails als virenbehaftet eingestuft, an der > eine .doc Datei > dranhängt: > > > > INFECTED: Win.Exploit.CVE_2016_3316-1 in /var/lib/clamav/local.ign2: Win.Exploit.CVE_2016_3316-1 eintragen dann clamd neu starten -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From harald.witt at dpfa.de Wed Aug 10 15:02:43 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Wed, 10 Aug 2016 15:02:43 +0200 Subject: AW: ClamAV-Bug In-Reply-To: <20160810130003.GJ7043@informatik.uni-hamburg.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810130003.GJ7043@informatik.uni-hamburg.de> Message-ID: <001401d1f307$7ba449a0$72ecdce0$@dpfa.de> Ebenfalls Danke :-) Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Reinhard Zierke Gesendet: Mittwoch, 10. August 2016 15:00 An: Diskussionen und Support rund um Postfix Betreff: Re: ClamAV-Bug On Wed, Aug 10, 2016 at 02:56:16PM +0200, Harald Witt wrote: > gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von > ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? > > Hintergrund: > > Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen > sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei > dranhängt: > > INFECTED: Win.Exploit.CVE_2016_3316-1 > > Dieser Exploit ist für Word 2013 bzw. 2016, welches wir gar nicht benutzen. > Habe die Sache schon als ?false positive? an ClamAV gemeldet. Aber das kann > dauern. Bei uns in der Chemie soll diese Datei helfen: /var/lib/clamav/local.ign2: Win.Exploit.CVE_2016_3316-1 Xls.Exploit.EmbeddedFlash-1 Gruß, Reinhard -- Reinhard Zierke Universität Hamburg, MIN-Fakultät, zierke at informatik.uni-hamburg.de Fachbereich Informatik postmaster at informatik.uni-hamburg.de Vogt-Kölln-Straße 30, 22527 Hamburg Tel.: (040) 42883-2295/2276 Fax: -2241 From heli at tzv.fal.de Wed Aug 10 15:21:07 2016 From: heli at tzv.fal.de (Helmut Lichtenberg) Date: Wed, 10 Aug 2016 15:21:07 +0200 Subject: ClamAV-Bug In-Reply-To: <20160810125858.ukt7izyeaao2gb43@charite.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810125858.ukt7izyeaao2gb43@charite.de> Message-ID: <20160810132107.GC20676@tzv.fal.de> Ralf Hildebrandt schrieb am 10.08.2016 14:58: > * Harald Witt : > > gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von > > ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? > Ja > > Hintergrund: > > > > Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen > > sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei > > dranhängt: > > > > > > > > INFECTED: Win.Exploit.CVE_2016_3316-1 > > in /var/lib/clamav/local.ign2: > > Win.Exploit.CVE_2016_3316-1 > > eintragen dann clamd neu starten Aber woher wißt ihr, daß das wirklich ein False Positive ist? Helmut -- -------------------------------------------------------------------------- Helmut Lichtenberg Tel.: 05034/871-5128 Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany -------------------------------------------------------------------------- From c.wally at cwrm.at Wed Aug 10 15:27:49 2016 From: c.wally at cwrm.at (Christian Wally) Date: Wed, 10 Aug 2016 15:27:49 +0200 Subject: ClamAV-Bug In-Reply-To: <20160810132107.GC20676@tzv.fal.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810125858.ukt7izyeaao2gb43@charite.de> <20160810132107.GC20676@tzv.fal.de> Message-ID: On 10.08.16 15:21, Helmut Lichtenberg wrote: >> in /var/lib/clamav/local.ign2: >> > >> > Win.Exploit.CVE_2016_3316-1 >> > >> > eintragen dann clamd neu starten > Aber woher wißt ihr, daß das wirklich ein False Positive ist? Ich habe ein sample bei Virustotal.com hochgeladen und es hat kein Virenscanner, inkl. clamav etwas angezeigt. Muss auch nichts heißen aber ich sehe an den files nichts verdächtiges. Dieses file habe ich auch bei https://www.clamav.net/reports/fp eingereicht. ciao chris -- Christian Wally ZCE _______________ Christian Wally Risk Management Sturnengasse 9 6700 Bludenz +43-5552-20803 http://www.cwrm.at From mwuttke at beuth-hochschule.de Wed Aug 10 15:29:02 2016 From: mwuttke at beuth-hochschule.de (Michael Wuttke) Date: Wed, 10 Aug 2016 15:29:02 +0200 Subject: ClamAV-Bug In-Reply-To: <20160810132107.GC20676@tzv.fal.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810125858.ukt7izyeaao2gb43@charite.de> <20160810132107.GC20676@tzv.fal.de> Message-ID: Hallo, vieleicht mal die folgende Diskussion zu diesem Thema verfolgen: http://lists.clamav.net/pipermail/clamav-users/2016-August/003227.html Am 10.08.2016 um 15:21 schrieb Helmut Lichtenberg: > Ralf Hildebrandt schrieb am 10.08.2016 14:58: >> * Harald Witt : >>> gibt es eigentlich eine Möglichkeit, bestimmte einzelne Virensignaturen von >>> ClamAV NICHT prüfen zu lassen, sodass die Mails durchgehen? >> Ja >>> Hintergrund: >>> >>> Seit heute werden nach irgendeinem Update der Datenbank der Virensignaturen >>> sämtliche Mails als virenbehaftet eingestuft, an der eine .doc Datei >>> dranhängt: >>> >>> >>> >>> INFECTED: Win.Exploit.CVE_2016_3316-1 >> >> in /var/lib/clamav/local.ign2: >> >> Win.Exploit.CVE_2016_3316-1 >> >> eintragen dann clamd neu starten > > Aber woher wißt ihr, daß das wirklich ein False Positive ist? > > Helmut > -- Vielen Dank & mit freundlichen Grüßen, Michael Wuttke From zahlenmaler at t-online.de Wed Aug 10 16:02:08 2016 From: zahlenmaler at t-online.de (robert) Date: Wed, 10 Aug 2016 16:02:08 +0200 Subject: rfc3798 In-Reply-To: <5ea57d0f-5ce5-ed4c-a2a8-5d891c07f9fc@datev.de> References: <57AAE88D.4050908@t-online.de> <5ea57d0f-5ce5-ed4c-a2a8-5d891c07f9fc@datev.de> Message-ID: <57AB33E0.90203@t-online.de> Am 10.08.2016 um 12:48 schrieb Andreas Schulze: > Am 10.08.2016 um 10:40 schrieb robert: >> In meinen Augen steht da "wir verschicken zwar informationen die evtl. vielleicht für Irgendjemanden interessant sein könnten oder sogar wichtig. Ob es zugestellt wird ist uns aber egal. *GRRRR* > genau, dafür nimmt man den leeren envelope sender, so funktioniert E-Mail ... > > Ist mir jetzt auch bewußt, auch in der 5321 steht ein <> deutlich drin. Gerade um loops zu unterbinden. Mir fehlt der Sinn solcher Nachrichten, wenn die Mail eh scheiss egal ist dann kann ich sie doch auch gleich weglassen? Ich will es ja nicht verteufeln ,allerdings leuchtet mir gerade kein sinnvoller Einsatzzweck. Also das ist mehr die Frage warum wird dies so gemacht. Mir fallen nur Schindluder Szenarien ein wo ich so was mißbrauchen könnte. Danke Robert From Ralf.Hildebrandt at charite.de Wed Aug 10 16:06:52 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 10 Aug 2016 16:06:52 +0200 Subject: ClamAV-Bug In-Reply-To: <20160810132107.GC20676@tzv.fal.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810125858.ukt7izyeaao2gb43@charite.de> <20160810132107.GC20676@tzv.fal.de> Message-ID: <20160810140651.tzj5o5qjkmmlzzdg@charite.de> * Helmut Lichtenberg : > Aber woher wißt ihr, daß das wirklich ein False Positive ist? Weil das auch auf leere DOC files gematcht hat. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From daniel at ist-immer-online.de Wed Aug 10 16:13:09 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 10 Aug 2016 16:13:09 +0200 Subject: AW: ClamAV-Bug In-Reply-To: <20160810140651.tzj5o5qjkmmlzzdg@charite.de> References: <000301d1f306$95185c10$bf491430$@dpfa.de> <20160810125858.ukt7izyeaao2gb43@charite.de> <20160810132107.GC20676@tzv.fal.de> <20160810140651.tzj5o5qjkmmlzzdg@charite.de> Message-ID: <000701d1f311$52981ff0$f7c85fd0$@ist-immer-online.de> Habt ihr schon Datei bei https://www.virustotal.com/ gecheckt? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Ralf Hildebrandt Gesendet: Mittwoch, 10. August 2016 16:07 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: ClamAV-Bug * Helmut Lichtenberg : > Aber woher wißt ihr, daß das wirklich ein False Positive ist? Weil das auch auf leere DOC files gematcht hat. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From gregor at a-mazing.de Wed Aug 10 16:14:18 2016 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 10 Aug 2016 16:14:18 +0200 Subject: rfc3798 In-Reply-To: <57AB33E0.90203@t-online.de> References: <57AAE88D.4050908@t-online.de> <5ea57d0f-5ce5-ed4c-a2a8-5d891c07f9fc@datev.de> <57AB33E0.90203@t-online.de> Message-ID: <201608101614.18433@office.a-mazing.net> Hallo Robert, Am Mittwoch, 10. August 2016 schrieb robert: > Ist mir jetzt auch bewußt, auch in der 5321 steht ein <> deutlich drin. > Gerade um loops zu unterbinden. > > Mir fehlt der Sinn solcher Nachrichten, wenn die Mail eh scheiss egal > ist dann kann ich sie doch auch gleich weglassen? > > Ich will es ja nicht verteufeln ,allerdings leuchtet mir gerade kein > sinnvoller Einsatzzweck. typischer Anwendungsfall ist der Bounce: Der Absender der Originalnachricht soll nach Möglichkeit benachrichtigt werden, aber wenn der Bounce bounced soll das ignoriert werden... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From jost+lists at dimejo.at Thu Aug 11 18:51:44 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Thu, 11 Aug 2016 18:51:44 +0200 Subject: LMTP Zustellung und virtual_alias_maps In-Reply-To: <194290040642FB4D952083D79F7F7D1D4118B42F@BOHEMSX2010.rbbk.de> References: <194290040642FB4D952083D79F7F7D1D4118B42F@BOHEMSX2010.rbbk.de> Message-ID: <8d0011bb-c9b4-e4a1-7140-7aed1ebffbdc@dimejo.at> Am 09.08.2016 um 11:37 schrieb Wiethoff, Helge: > Hallo zusammen, > > ich habe ein Verständnisproblem mit der Zustellung von einem MX-Relay via LMTP zu einem Dovecot/Postfix-Server. > Das Thema wurde bereits mehrfach diskutiert ([1],[2]) und doch habe ich ein Verständnisproblem... > > Im Postfix-Kapitel von Peers Dovecot-Buch ist der Tenor, Postfix auf dem Dovecot/IMAP-Server möglichst aus dem Spiel zu lassen und Mails von einem MX-Relay direkt über LMTP an Dovecot zu übergeben (relay_domains: lmtp:[mail.stud.thga.de]). > Damit die dynamische Adressverifizierung dann noch funktioniert, müssen die Aliase zu den Mailboxen (virtual_alias_maps) dem MX-Relay bekannt sein (wird auch im Buch erwähnt :)). > > Mein Verständnisproblem: Warum ist das, bis auf Performance-Gründe, wünschenswert? Wenn ich meine Aliase auf dem Dovecot-Server in einer SQL-Datenbank (zB über postfixadmin) pflege, muss ich dem MX-Relay Zugriff auf die Daten geben (direkter SQL-Zugriff, Cronjob, whatever). > > Mit einer SMTP-Zustellung habe ich zwar einen "Postfix-Durchlauferhitzer" (der dann virtual_alias_maps kennt) aber trenne beide Systeme (sauber?) auf. Oder nicht? Genau :) Die Frage ist einfach was für Dich die bessere Lösung ist. -- Alex JOST From gregor at aeppelbroe.de Fri Aug 12 10:43:02 2016 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 12 Aug 2016 10:43:02 +0200 Subject: Sinnhaftigkeit der =?utf-8?b?w5xiZXJwcsO8ZnVuZw==?= des "eigenen" MX2 Message-ID: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> Moin, ein Kollege hat eine Emailappliance in Betrieb genommen (sonicwall, ich konnte mich mit einem Kostenlosen postfix Mailserver nicht durchsetzen,...) Jetzt ist folgende Architektur von Ihm vorgesehen: MX1 - sonicwall (steht im internen Netz, Port 25 über NAT im Internet verfügbar! Keine DMZ) MX2 - von einem Diensteister gehosteten postfix, außer unserer Verantwortung Die sonicwall gibt dann die Emails an den Internen Exchange Server weiter. Der MX2 gibt die Emails an die sonicwall weiter, wo sie noch einmal auf Spam überprüft werden sollen. Dies ist aus meiner Sicht nicht richtig, da der MX2 ja für unsere Domains von außen ja als zuständiger Endpunkt erscheint. Für einliefernde Mailserver gilt die Email doch dann als Zugestellt? Meiner Meinung nach muss alles, was über den MX2 kommt, ungeprüft an den Exchangeserver weitergereicht werden, da die Sender ja keinen sauberen reject bekommen. Sehe ich das richtig, bzw. was meint ihr dazu? Gibt es jemanden der die sonicwall kennt und hat eine Meinung zu diesem Produkt? (die Frage gehört sicher nicht auf eine postfix Mailingliste, ich wüßte aber jetzt keine andere Anlaufstelle für mich. Grüße Gregor From zahlenmaler at t-online.de Fri Aug 12 11:27:08 2016 From: zahlenmaler at t-online.de (robert) Date: Fri, 12 Aug 2016 11:27:08 +0200 Subject: =?UTF-8?Q?Re:_Sinnhaftigkeit_der_=c3=9cberpr=c3=bcfung_des_=22eigen?= =?UTF-8?Q?en=22_MX2?= In-Reply-To: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> References: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> Message-ID: <57AD966C.20106@t-online.de> Am 12.08.2016 um 10:43 schrieb Gregor Burck: > Moin, > > ein Kollege hat eine Emailappliance in Betrieb genommen (sonicwall, ich > konnte mich mit einem Kostenlosen postfix Mailserver nicht durchsetzen,...) > > Jetzt ist folgende Architektur von Ihm vorgesehen: > > MX1 - sonicwall (steht im internen Netz, Port 25 über NAT im Internet > verfügbar! Keine DMZ) > MX2 - von einem Diensteister gehosteten postfix, außer unserer > Verantwortung > > Die sonicwall gibt dann die Emails an den Internen Exchange Server weiter. > Der MX2 gibt die Emails an die sonicwall weiter, wo sie noch einmal auf > Spam überprüft werden sollen. > > Dies ist aus meiner Sicht nicht richtig, da der MX2 ja für unsere > Domains von außen ja als zuständiger Endpunkt erscheint. Für > einliefernde Mailserver gilt die Email doch dann als Zugestellt? Ja wenn der MX die angenommen hat, gilt diese als zugestellt. Was eure Sonicwall damit macht ist dem Versender "egal" > Meiner Meinung nach muss alles, was über den MX2 kommt, ungeprüft an den > Exchangeserver weitergereicht werden, da die Sender ja keinen sauberen > reject bekommen. > Sehe ich das richtig, bzw. was meint ihr dazu? Wenn die Sonicwall extern als Proxy eingebunden werden kann dann ginge schon ein sauberer reject(insofern die das kann). Allerdings bringt das nix wenn die Sonic mal nicht erreichbar ist. Was wiederum 2ten MX sinnlos macht. Wenn der MX2 sowieso alles ungefiltert weiterleitet, hast du recht die Sonicwall kann man sich sparen, da eh alles an den Exchange muss/sollte. Ja wird sich jeder spammer freuen das er doch so simpel euren Spamfilter aushebeln kann. (War hoffentlich nicht so Teuer die silberne relaybox :-P ) > Gibt es jemanden der die sonicwall kennt und hat eine Meinung zu diesem > Produkt? (die Frage gehört sicher nicht auf eine postfix Mailingliste, > ich wüßte aber jetzt keine andere Anlaufstelle für mich. > > Grüße > > Gregor > Sorry leider nein Gruß Robert From p.heinlein at heinlein-support.de Fri Aug 12 12:27:32 2016 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 12 Aug 2016 12:27:32 +0200 Subject: =?UTF-8?Q?Re:_Sinnhaftigkeit_der_=c3=9cberpr=c3=bcfung_des_=22eigen?= =?UTF-8?Q?en=22_MX2?= In-Reply-To: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> References: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> Message-ID: <3eb3acae-3b17-cc48-f3bb-94dfbf65e0d2@heinlein-support.de> Am 12.08.2016 um 10:43 schrieb Gregor Burck: > Die sonicwall gibt dann die Emails an den Internen Exchange Server weiter. > Der MX2 gibt die Emails an die sonicwall weiter, wo sie noch einmal auf > Spam überprüft werden sollen. Wenn der MX2 die Mail angenommen hat wir die Sonicwall nicht mehr erfolgreich filter können. > Dies ist aus meiner Sicht nicht richtig, da der MX2 ja für unsere > Domains von außen ja als zuständiger Endpunkt erscheint. Für > einliefernde Mailserver gilt die Email doch dann als Zugestellt? Schau Dir meinen Vortrag "Best Practive für stressfreie Mailserver" an: https://www.heinlein-support.de/vortrag/best-practice-fuer-stressfreie-mailserver Ich kann von diesen Setups unter allen erdenklichen Blickwinkeln nur abraten. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From martin at lichtvoll.de Fri Aug 12 13:44:48 2016 From: martin at lichtvoll.de (Martin Steigerwald) Date: Fri, 12 Aug 2016 13:44:48 +0200 Subject: REJECT oder DISCARD Message-ID: <1734711.sWiIj0XqBg@merkaba> Hallo! Nun hatte ich das mal wieder: > Your membership in the mailing list pkg-kde-extras has been disabled > due to excessive bounces The last bounce received from you was dated > 01-Aug-2016. You will not get any more messages from this list until > you re-enable your membership. You will receive 2 more reminders like > this before your membership in the list is deleted. > > To re-enable your membership, you can simply respond to this message > (leaving the Subject: line intact), or visit the confirmation page at [?] Also fange ich die REJECT oder DISCARD-Diskussion nochmal an, allerdings diesmal mit der entsprechenden Recherche zum Thema. Ich mache REJECT, kein Bounce. Warum Mailman da von Bounces spricht, ist mir nicht schlüssig.¹ ² [1] http://www.dontbouncespam.org/ [2] RFC 5321 says: "silent dropping of messages should be considered only in those cases where there is very high confidence that the messages are seriously fraudulent or otherwise inappropriate." https://en.wikipedia.org/wiki/Backscatter_(email) Daher, denke ich, halte ich mich schon an Best Practice-Standards. Das Digital Ocean-Zeug discarde ich weiterhin, aber die von SpamAssassin oder policyd-weight erkannten Spams möchte ich nicht einfach so wegwerfen. Ich setze das jetzt aber auch auf REJECT um, da Digital Ocean die IP-Adressen ja eventuell irgendwann mal an andere, legitime Kunden vergibt, die besser auf ihre Server aufpassen. Die Meinung der Debian-Listmaster dazu: > I have been unsubscribed from a list, because my Mailsystem refused to > accept Listmail containing Spam > > It is bad behaviour to refuse incoming mail because of the content, because: > > - RfC 2821 discourages in such practices Chapter 3.3: > Server SMTP systems SHOULD NOT reject messages based on perceived > defects in the RFC 822 or MIME [12] message header or message body. > > - If you bounce back such mails, you worsen the spam problem, as most spam > uses mailaddresses of innocents, and bounces are then returned to those. > > - You double-opted-in to our lists, so you should accept (or discard if you > please) all mails that comes through it. > > If you want to help us against spam, see the next chapter. [3] https://wiki.debian.org/Teams/ListMaster/ FAQ#I_have_been_unsubscribed_from_a_list. 2C_because_my_Mailsystem_refused_to_accept_Listmail_containing_Spam Sowie: > But the mail you got a bounce for was Spam! > > Mail should never be bounced because of its content. Our mails are tagged > with a 'Precedence: list' so if you decide to not receive mails for which > you subscribed drop them silently. [4] https://wiki.debian.org/Teams/ListMaster/ FAQ#But_the_mail_you_got_a_bounce_for_was_Spam.21 Meine Idee ist nun: Falls die Spam-Mail von einer Mailingliste kommt, also eine "List-Id:"- oder eben diese "Precendence: list"-Kopfzeile hat, dann DISCARD, ansonsten REJECT. Weil technisch verschickt natürlich der entsprechende Debian-Mailserver die Spam. Allerdings leitet er diese auch nur weiter. Daher müsste ich den REJECT entweder an den Sender davor laufen lassen, was aber nicht geht, da dieser mit meinem Server keine SMTP-Verbindung hat, *oder* wie von den Listen-Meistern empfohlen die Mail einfach still wegwerfen. Was meint ihr? Macht das Sinn? Für SpamAssassin könnte ich das hier anpassen: mondschein:/etc/postfix> cat header_checks /^X-Spam-Flag:.YES/ REJECT Your mail is likely spam. Das habe ich via smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_destination check_client_access hash:/etc/postfix/client_checks check_sender_access pcre:/etc/postfix/sender_checks check_policy_service inet:127.0.0.1:12525 in den Postfix eingehängt. Ich könnte mir nun vorstellen, dass sich eine solche Abfrage auf die List-Id-Kopfzeile mit einer Perl Regular Expression umsetzen lässt, auch wenn ich dazu erstmal etwas recherchieren müsste, wie so ein Ausdruck dann aussieht. Hmm, und ich frage mich gerade inwiefern check_client_access und check_sender_access nicht entsprechend unterhalb von smptd_client_restrictions und smtpd_senser_restrictions hingehören. Es scheint zwar so zu funktionieren, kommt mir aber? ich hoffe es gibt bald eine Neu-Auflage vom Postfix-Buch, da ich das bis heute nicht 100% verstanden habe, wie das im Postfix verdrahtet ist und wo ein bestimmter Check hingehört. smtpd_recipient_- versus smtp_relay_restrictions ist da ja auch eine spannende Frage. Ciao, -- Martin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: This is a digitally signed message part. URL : From andreas at grabmueller.com Fri Aug 12 13:48:58 2016 From: andreas at grabmueller.com (=?UTF-8?Q?Andreas_Grabm=C3=BCller?=) Date: Fri, 12 Aug 2016 13:48:58 +0200 Subject: =?UTF-8?Q?AW:_Sinnhaftigkeit_der_=C3=9Cberpr=C3=BCfu?= =?UTF-8?Q?ng_des_=22eigenen=22_MX2?= In-Reply-To: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> References: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> Message-ID: <001601d1f48f$8402ed20$8c08c760$@grabmueller.com> Hallo Gregor, mit dem Setup wirst Du nicht viel Freude haben. Das geht schon damit los, dass die meisten solchen Setups, die ich gesehen habe, nicht mal die Möglichkeit haben dem MX2 eine Liste der User zu hinterlegen, die er annehmen soll. Sobald der MX2 die Mail angenommen hat, bist Du dafür verantwortlich. Das heißt, der müsste die Spam-Prüfungen machen und dann für Weiterleitungen an MX1 in der Whitelist stehen. Am Ende hast Du bei diesem Setup immer zwei unterschiedlich konfigurierte und reagierende MX-Server, und das macht niemandem Spaß. Ein Alternativ-Vorschlag: Wenn Ihr mit der Verfügbarkeit des MX1 nicht zufrieden seid, also der Meinung seit einen MX2 zu brauchen, dann nehmt zwei gleich konfigurierte SonicWALLs oder eine SonicWALL in HA-Konfiguration und hängt die an zwei verschiedene Internetleitungen. Ich hatte mal ein paar SonicWALLs (TZ-Serie wenn ich mich recht erinnere) bei Kunden im Einsatz, die waren noch vom früheren Betreuer. Eigentlich gute Geräte, wenn sie mal richtig konfiguriert sind, die Priorität war aber auf den VPN-Funktionen. Den E-Mail-AntiVirus haben wir eingesetzt weil er halt eh dabei war, und ich muss sagen er hat immer problemlos und einwandfrei funktioniert. AntiSpam habe wir nie eingesetzt, das hat damals noch extra gekostet. Die Konfiguration war einfach und intuitiv, das einzige System was mir da besser gefällt ist die Sophos UTM (Astaro), schade dass Sophos die begraben will. Wir haben die SonicWALLs dann nach und nach ausgetauscht, weil der Support gelinde gesagt eine Katastrophe war. Das war allerdings noch bevor sie von Dell übernommen wurden, seitdem höre ich von manchen es ist noch schlechter geworden, andere finden es jetzt besser. Musst halt Glück haben nehme ich an. Gruß, Andreas -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Gregor Burck Gesendet: Freitag, 12. August 2016 10:43 An: (postfixbuch-users - listen.jpberlin.de) Betreff: Sinnhaftigkeit der Überprüfung des "eigenen" MX2 Moin, ein Kollege hat eine Emailappliance in Betrieb genommen (sonicwall, ich konnte mich mit einem Kostenlosen postfix Mailserver nicht durchsetzen,...) Jetzt ist folgende Architektur von Ihm vorgesehen: MX1 - sonicwall (steht im internen Netz, Port 25 über NAT im Internet verfügbar! Keine DMZ) MX2 - von einem Diensteister gehosteten postfix, außer unserer Verantwortung Die sonicwall gibt dann die Emails an den Internen Exchange Server weiter. Der MX2 gibt die Emails an die sonicwall weiter, wo sie noch einmal auf Spam überprüft werden sollen. Dies ist aus meiner Sicht nicht richtig, da der MX2 ja für unsere Domains von außen ja als zuständiger Endpunkt erscheint. Für einliefernde Mailserver gilt die Email doch dann als Zugestellt? Meiner Meinung nach muss alles, was über den MX2 kommt, ungeprüft an den Exchangeserver weitergereicht werden, da die Sender ja keinen sauberen reject bekommen. Sehe ich das richtig, bzw. was meint ihr dazu? Gibt es jemanden der die sonicwall kennt und hat eine Meinung zu diesem Produkt? (die Frage gehört sicher nicht auf eine postfix Mailingliste, ich wüßte aber jetzt keine andere Anlaufstelle für mich. Grüße Gregor From Ralf.Hildebrandt at charite.de Fri Aug 12 14:31:06 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 12 Aug 2016 14:31:06 +0200 Subject: REJECT oder DISCARD In-Reply-To: <1734711.sWiIj0XqBg@merkaba> References: <1734711.sWiIj0XqBg@merkaba> Message-ID: <20160812123106.nv6no2uc22ef3vya@charite.de> * Martin Steigerwald : > Hallo! > > Nun hatte ich das mal wieder: > > > Your membership in the mailing list pkg-kde-extras has been disabled > > due to excessive bounces The last bounce received from you was dated > > 01-Aug-2016. You will not get any more messages from this list until > > you re-enable your membership. You will receive 2 more reminders like > > this before your membership in the list is deleted. > > > > To re-enable your membership, you can simply respond to this message > > (leaving the Subject: line intact), or visit the confirmation page at > [?] > > Also fange ich die REJECT oder DISCARD-Diskussion nochmal an, allerdings > diesmal mit der entsprechenden Recherche zum Thema. > > > Ich mache REJECT, kein Bounce. Warum Mailman da von Bounces spricht, ist mir > nicht schlüssig.¹ ² Wenn ein Server die Mail nicht an Deinen Server loswird, wird ein Bounce generiert. Nach einer gewissen Anzahl von Bounces wirst Du unsubscribed. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From martin at lichtvoll.de Fri Aug 12 14:35:37 2016 From: martin at lichtvoll.de (Martin Steigerwald) Date: Fri, 12 Aug 2016 14:35:37 +0200 Subject: REJECT oder DISCARD In-Reply-To: <20160812123106.nv6no2uc22ef3vya@charite.de> References: <1734711.sWiIj0XqBg@merkaba> <20160812123106.nv6no2uc22ef3vya@charite.de> Message-ID: <2539726.uqu72gF6VU@merkaba> Am Freitag, 12. August 2016, 14:31:06 CEST schrieb Ralf Hildebrandt: > * Martin Steigerwald : > > Hallo! > > > > Nun hatte ich das mal wieder: > > > Your membership in the mailing list pkg-kde-extras has been disabled > > > due to excessive bounces The last bounce received from you was dated > > > 01-Aug-2016. You will not get any more messages from this list until > > > you re-enable your membership. You will receive 2 more reminders like > > > this before your membership in the list is deleted. > > > > > > To re-enable your membership, you can simply respond to this message > > > (leaving the Subject: line intact), or visit the confirmation page at > > > > [?] > > > > Also fange ich die REJECT oder DISCARD-Diskussion nochmal an, allerdings > > diesmal mit der entsprechenden Recherche zum Thema. > > > > > > Ich mache REJECT, kein Bounce. Warum Mailman da von Bounces spricht, ist > > mir nicht schlüssig.¹ ² > > Wenn ein Server die Mail nicht an Deinen Server loswird, wird ein > Bounce generiert. Nach einer gewissen Anzahl von Bounces wirst Du > unsubscribed. Hmmm, okay, der Bounce entsteht also erst auf dem Mailman-Server vom Alioth- Server bei Debian. -- Martin From Ralf.Hildebrandt at charite.de Fri Aug 12 14:51:49 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 12 Aug 2016 14:51:49 +0200 Subject: REJECT oder DISCARD In-Reply-To: <2539726.uqu72gF6VU@merkaba> References: <1734711.sWiIj0XqBg@merkaba> <20160812123106.nv6no2uc22ef3vya@charite.de> <2539726.uqu72gF6VU@merkaba> Message-ID: <20160812125149.mllyumexx2ftio52@charite.de> * Martin Steigerwald : > > Wenn ein Server die Mail nicht an Deinen Server loswird, wird ein > > Bounce generiert. Nach einer gewissen Anzahl von Bounces wirst Du > > unsubscribed. > > Hmmm, okay, der Bounce entsteht also erst auf dem Mailman-Server vom Alioth- > Server bei Debian. Genau. Der sieht nur "Mist, unzustellbar" (und unterscheidet nicht zwischen "ist Spam", "User unknown", etc) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From anmeyer at mailbox.org Fri Aug 12 18:31:36 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 12 Aug 2016 18:31:36 +0200 Subject: Frage zur CA von letsencrypt Message-ID: <20160812183136.0c18fdb0@workstation.bitcorner.intern> Hallo! Ich habe ein Zerifikat von letsencrypt auf bitwater.de eingebaut. Auf dem sendenden Postfix bekomme ich ein Aug 12 18:20:22 bitmachine1 postfix-smtp-nimi/smtp[10980]: Trusted TLS connection established to mail.bitwater.de[188.68.49.191]:25 und auf dem empfangenden mit dem Zertifikat von letsencrypt ein Aug 12 18:20:21 bitwater1 postfix/smtpd[15977]: Untrusted TLS connection established from unknown[46.38.231.143]: Warum ist das so? Welcher MTA fragt nach der CA von letsencrypt? Die ist in smtpd_tls_CApath = /var/lib/ca-certificates/pem nicht zu finden. Have mercy Andreas From jost+lists at dimejo.at Fri Aug 12 19:24:59 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Fri, 12 Aug 2016 19:24:59 +0200 Subject: REJECT oder DISCARD In-Reply-To: <1734711.sWiIj0XqBg@merkaba> References: <1734711.sWiIj0XqBg@merkaba> Message-ID: Am 12.08.2016 um 13:44 schrieb Martin Steigerwald: > Meine Idee ist nun: Falls die Spam-Mail von einer Mailingliste kommt, also > eine "List-Id:"- oder eben diese "Precendence: list"-Kopfzeile hat, dann > DISCARD, ansonsten REJECT. Weil technisch verschickt natürlich der > entsprechende Debian-Mailserver die Spam. Allerdings leitet er diese auch nur > weiter. Daher müsste ich den REJECT entweder an den Sender davor laufen > lassen, was aber nicht geht, da dieser mit meinem Server keine SMTP-Verbindung > hat, *oder* wie von den Listen-Meistern empfohlen die Mail einfach still > wegwerfen. > > Was meint ihr? Macht das Sinn? > > > Für SpamAssassin könnte ich das hier anpassen: > > mondschein:/etc/postfix> cat header_checks > /^X-Spam-Flag:.YES/ REJECT Your mail is likely spam. > > Das habe ich via > > smtpd_recipient_restrictions = > permit_mynetworks > permit_sasl_authenticated > reject_non_fqdn_recipient > reject_unknown_recipient_domain > reject_unauth_destination > check_client_access hash:/etc/postfix/client_checks > check_sender_access pcre:/etc/postfix/sender_checks > check_policy_service inet:127.0.0.1:12525 > > in den Postfix eingehängt. Ich könnte mir nun vorstellen, dass sich eine > solche Abfrage auf die List-Id-Kopfzeile mit einer Perl Regular Expression > umsetzen lässt, auch wenn ich dazu erstmal etwas recherchieren müsste, wie so > ein Ausdruck dann aussieht. > > > Hmm, und ich frage mich gerade inwiefern check_client_access und > check_sender_access nicht entsprechend unterhalb von smptd_client_restrictions > und smtpd_senser_restrictions hingehören. Es scheint zwar so zu funktionieren, > kommt mir aber? ich hoffe es gibt bald eine Neu-Auflage vom Postfix-Buch, da > ich das bis heute nicht 100% verstanden habe, wie das im Postfix verdrahtet > ist und wo ein bestimmter Check hingehört. smtpd_recipient_- versus > smtp_relay_restrictions ist da ja auch eine spannende Frage. Bei Deinen Mailinglisten ist Dir doch die IP des Absenders bekannt. Du kannst in amavisd mit client_ipaddr_policy eine eigene Policy für bestimmte IPs definieren bei denen Du bei Spam ein DISCARD anstatt eines REJECT setzt. Postfix brauchst Du dafür nicht. -- Alex JOST From p.heinlein at heinlein-support.de Fri Aug 12 20:34:30 2016 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 12 Aug 2016 20:34:30 +0200 Subject: =?UTF-8?Q?Re:_Sinnhaftigkeit_der_=c3=9cberpr=c3=bcfung_des_=22eigen?= =?UTF-8?Q?en=22_MX2?= In-Reply-To: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> References: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> Message-ID: <709bd538-4490-dde0-09be-ae665590c3e9@heinlein-support.de> Am 12.08.2016 um 10:43 schrieb Gregor Burck: > Die sonicwall gibt dann die Emails an den Internen Exchange Server weiter. > Der MX2 gibt die Emails an die sonicwall weiter, wo sie noch einmal auf > Spam überprüft werden sollen. Wenn der MX2 die Mail angenommen hat, wird die Sonicwall nicht mehr erfolgreich filtern können. > Dies ist aus meiner Sicht nicht richtig, da der MX2 ja für unsere > Domains von außen ja als zuständiger Endpunkt erscheint. Für > einliefernde Mailserver gilt die Email doch dann als Zugestellt? Schau Dir meinen Vortrag "Best Practive für stressfreie Mailserver" an: https://www.heinlein-support.de/vortrag/best-practice-fuer-stressfreie-mailserver Ich kann von diesen Setups unter allen erdenklichen Blickwinkeln nur abraten. Leider sterben die nicht aus. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From gregor at aeppelbroe.de Fri Aug 12 21:08:31 2016 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 12 Aug 2016 21:08:31 +0200 Subject: Sinnhaftigkeit der =?UTF-8?B?w5xiZXJwcsO8ZnVuZw==?= des "eigenen" MX2 In-Reply-To: <3eb3acae-3b17-cc48-f3bb-94dfbf65e0d2@heinlein-support.de> References: <20160812104302.EGroupware.hH3FKh60uypSz1rfwr-1ZC0@heim.aeppelbroe.de> <3eb3acae-3b17-cc48-f3bb-94dfbf65e0d2@heinlein-support.de> Message-ID: <1514724.6hp2iJIZHF@tschaika> Am Freitag, 12. August 2016, 12:27:32 schrieb Peer Heinlein: > Wenn der MX2 die Mail angenommen hat wir die Sonicwall nicht mehr > erfolgreich filter können. Wie die Sonicwall filter halte ich eh für krank, bzw wie OSI Layer 8 das konfiguriert hat. Erst mal alles ins schlechte Töpfchen (ja ab in den Junkordner damit) danach die gewünschten Sender freigebn etc. Die Einführung passierte leider wärend meines Urlaubs, aber die Kollegenschaft ist dermaßen Beratungsresitent. siehe unten Thema SPF,... > Schau Dir meinen Vortrag "Best Practive für stressfreie Mailserver" an: Hatte ich vor einiger Zeit schon mal gelesen, sehr hilfreich für's Nachdenken. > Ich kann von diesen Setups unter allen erdenklichen Blickwinkeln nur > abraten. Danke, dass Du mir da recht gibst, ich muss jetzt nur noch den Kollegen überzeugen. Wird schwierig, er hält SPF für eine gute Sache,... Grüße Gregor From w.flamme at web.de Fri Aug 12 22:18:07 2016 From: w.flamme at web.de (Werner Flamme) Date: Fri, 12 Aug 2016 22:18:07 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: <20160812183136.0c18fdb0@workstation.bitcorner.intern> References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> Message-ID: Am 12.08.2016 um 18:31 schrieb Andreas Meyer: > Hallo! > > Ich habe ein Zerifikat von letsencrypt auf bitwater.de eingebaut. > > Auf dem sendenden Postfix bekomme ich ein > Aug 12 18:20:22 bitmachine1 postfix-smtp-nimi/smtp[10980]: Trusted TLS connection established to mail.bitwater.de[188.68.49.191]:25 Das bedeutet, dass dem postfix auf "bitmachine1" vom Host "mail.bitwater.de[188.68.49.191]" ein TLS-Zertifikat vorgelegt wird, dessen CA er kennt und das deshalb als vertrauenswürdig eingestuft wird. > und auf dem empfangenden mit dem Zertifikat von letsencrypt ein > Aug 12 18:20:21 bitwater1 postfix/smtpd[15977]: Untrusted TLS connection established from unknown[46.38.231.143]: > > Warum ist das so? Die Maschine "bitwater1" hat eine eingehende TLS-Verbindung von Host "46.38.231.143" (das ist übrigens mail.nimmini.de). Dabei wird ein Zertifikat vorgelegt, dessen CA postfix nicht bekannt ist. Dem kann man mit den Parametern smtpd_tls_CAfile bzw. smtpd_tls_CApath auf Host bitwater1 abhelfen, wenn es sich nicht z. B. um ein selbstsigniertes Zertifikat handelt. > Welcher MTA fragt nach der CA von letsencrypt? Keine Ahnung. > Die ist in smtpd_tls_CApath = /var/lib/ca-certificates/pem nicht zu finden. Dann suche sie mal und setze den Pfad entsprechend - oder verlinke sie in das Verzeichnis und führe dort c_rehash aus. HDH, Werner -- From anmeyer at mailbox.org Fri Aug 12 23:03:58 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 12 Aug 2016 23:03:58 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> Message-ID: <20160812230358.70005319@workstation.bitcorner.intern> Hallo Werner! Werner Flamme schrieb am 12.08.16 um 22:18:07 Uhr: > > und auf dem empfangenden mit dem Zertifikat von letsencrypt ein > > Aug 12 18:20:21 bitwater1 postfix/smtpd[15977]: Untrusted TLS connection established from unknown[46.38.231.143]: > > > > Warum ist das so? > > Die Maschine "bitwater1" hat eine eingehende TLS-Verbindung von Host > "46.38.231.143" (das ist übrigens mail.nimmini.de). Dabei wird ein > Zertifikat vorgelegt, dessen CA postfix nicht bekannt ist. Dem kann man > mit den Parametern smtpd_tls_CAfile bzw. smtpd_tls_CApath auf Host > bitwater1 abhelfen, wenn es sich nicht z. B. um ein selbstsigniertes > Zertifikat handelt. Danke für diese schöne Erklärung, das erleichtert mir einiges. > > Die ist in smtpd_tls_CApath = /var/lib/ca-certificates/pem nicht zu finden. > > Dann suche sie mal und setze den Pfad entsprechend - oder verlinke sie > in das Verzeichnis und führe dort c_rehash aus. Ich habe das lets-encrypt-x3-cross-signed.pem.txt auf den Server kopiert und in /var/lib/ca-certificates/pem als lets-encrypt-x3-cross-signed.pem gespeichert und ein c_rehash . ausgeführt. Hat geklappt. Bei Postfix ist smtpd_tls_CApath = /var/lib/ca-certificates/pem eingetragen. Aber ich erhalte Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143] Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143] Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern> Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=, size=2062, nrcpt=1 (queue active) Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143] Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox) so sieht der Part in der main.cf aus: smtpd_use_tls = yes smtpd_tls_loglevel = 1 smtpd_tls_security_level = may smtpd_tls_auth_only = no smtpd_tls_CAfile = /etc/letsencrypt/archive/bitwater.de/fullchain1.pem smtpd_tls_CApath = /var/lib/ca-certificates/pem smtpd_tls_cert_file = /etc/letsencrypt/archive/bitwater.de/fullchain1.pem smtpd_tls_key_file = /etc/letsencrypt/archive/bitwater.de/privkey1.pem smtpd_tls_ask_ccert = yes smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_session_cache smtpd_tls_session_cache_timeout = 3600s Ich bin etwas ratlos. Grüße Andreas From anmeyer at mailbox.org Fri Aug 12 23:13:43 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 12 Aug 2016 23:13:43 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: <20160812230358.70005319@workstation.bitcorner.intern> References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> <20160812230358.70005319@workstation.bitcorner.intern> Message-ID: <20160812231343.1eff4f9f@workstation.bitcorner.intern> Andreas Meyer schrieb am 12.08.16 um 23:03:58 Uhr: > Ich habe das lets-encrypt-x3-cross-signed.pem.txt auf den Server kopiert > und in /var/lib/ca-certificates/pem als lets-encrypt-x3-cross-signed.pem > gespeichert und ein c_rehash . ausgeführt. Hat geklappt. Quatsch, was ich da gemacht habe. Das Zertifikat, das Post als Sender für nimmini.de vorlegt ist von StartCom zertifiziert und StartCom ist eingetragen in /var/lib/ca-certificates/pem. > Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143] > Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143] > Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern> > Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=, size=2062, nrcpt=1 (queue active) > Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143] > Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox) Die Verbindung bleibt halt untrusted. Ein openssl s_client -starttls smtp -connect 46.38.231.143:25 liefert ein positives Ergebnis. Andreas From w.flamme at web.de Sat Aug 13 08:19:23 2016 From: w.flamme at web.de (Werner Flamme) Date: Sat, 13 Aug 2016 08:19:23 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: <20160812231343.1eff4f9f@workstation.bitcorner.intern> References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> <20160812230358.70005319@workstation.bitcorner.intern> <20160812231343.1eff4f9f@workstation.bitcorner.intern> Message-ID: <68397426-c398-a1ea-4077-9e9728d86a1c@web.de> Am 12.08.2016 um 23:13 schrieb Andreas Meyer: > Andreas Meyer schrieb am 12.08.16 um 23:03:58 Uhr: > >> Ich habe das lets-encrypt-x3-cross-signed.pem.txt auf den Server kopiert >> und in /var/lib/ca-certificates/pem als lets-encrypt-x3-cross-signed.pem >> gespeichert und ein c_rehash . ausgeführt. Hat geklappt. > > Quatsch, was ich da gemacht habe. Das Zertifikat, das Post als Sender > für nimmini.de vorlegt ist von StartCom zertifiziert und StartCom ist > eingetragen in /var/lib/ca-certificates/pem. Aha, schon mal eine Erkenntnis :) >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143] >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143] >> Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern> >> Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=, size=2062, nrcpt=1 (queue active) >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143] >> Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox) > > Die Verbindung bleibt halt untrusted. Ein > openssl s_client -starttls smtp -connect 46.38.231.143:25 > liefert ein positives Ergebnis. Das hat doch nichts zu sagen. Mit dem openssl s_client testest Du smtpd. smtpd zeigt Dir brav das installierte Zertifikat, und wenn die komplette Chain kommt, ist es schön. Der Teil von Postfix, der mit bitwater1 Kontakt aufnimmt, ist aber smtp, ohne d hinten dran ;). Hast Du denn die entsprechenden smtp_-Parameter auf mail.nimmini.de gesetzt? Siehe z. B. . Gruß Werner -- From anmeyer at mailbox.org Sat Aug 13 09:50:01 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 13 Aug 2016 09:50:01 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: <68397426-c398-a1ea-4077-9e9728d86a1c@web.de> References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> <20160812230358.70005319@workstation.bitcorner.intern> <20160812231343.1eff4f9f@workstation.bitcorner.intern> <68397426-c398-a1ea-4077-9e9728d86a1c@web.de> Message-ID: <20160813095001.6dfd1e12@workstation.bitcorner.intern> Werner Flamme schrieb am 13.08.16 um 08:19:23 Uhr: > >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143] > >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143] > >> Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern> > >> Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=, size=2062, nrcpt=1 (queue active) > >> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143] > >> Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox) > > > > Die Verbindung bleibt halt untrusted. Ein > > openssl s_client -starttls smtp -connect 46.38.231.143:25 > > liefert ein positives Ergebnis. > > Das hat doch nichts zu sagen. Mit dem openssl s_client testest Du smtpd. > smtpd zeigt Dir brav das installierte Zertifikat, und wenn die komplette > Chain kommt, ist es schön. Ja, das dachte ich mir. > Der Teil von Postfix, der mit bitwater1 Kontakt aufnimmt, ist aber smtp, > ohne d hinten dran ;). Hast Du denn die entsprechenden smtp_-Parameter > auf mail.nimmini.de gesetzt? Siehe z. B. > . Dieser Teil sieht so aus: smtp-nimi unix - - n - - smtp -o smtp_bind_address=46.38.231.143 -o smtp_helo_name=mail.nimmini.de -o syslog_name=postfix-smtp-nimi -o smtp_use_tls=yes -o smtp_dns_support_level=dnssec -o smtp_tls_security_level=dane -o smtp_tls_note_starttls_offer=yes -o smtp_tls_key_file=/etc/postfix/certs/startsslkeys/nimmini/nimminikey.pem -o smtp_tls_cert_file=/etc/postfix/certs/startsslkeys/nimmini/nimminichain.pem -o smtp_tls_CAfile=/etc/postfix/certs/startsslkeys/nimmini/ca.pem -o smtp_tls_CApath=/var/lib/ca-certificates/pem Viele Varianten durchprobiert, die Verbindung bleibt aus Empfängersicht untrusted, was ja der Sendersicht widerspricht. Grüße Andreas From anmeyer at mailbox.org Sat Aug 13 10:27:32 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 13 Aug 2016 10:27:32 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: <20160813095001.6dfd1e12@workstation.bitcorner.intern> References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> <20160812230358.70005319@workstation.bitcorner.intern> <20160812231343.1eff4f9f@workstation.bitcorner.intern> <68397426-c398-a1ea-4077-9e9728d86a1c@web.de> <20160813095001.6dfd1e12@workstation.bitcorner.intern> Message-ID: <20160813102732.73e3d09f@workstation.bitcorner.intern> Andreas Meyer schrieb am 13.08.16 um 09:50:01 Uhr: > > Der Teil von Postfix, der mit bitwater1 Kontakt aufnimmt, ist aber smtp, > > ohne d hinten dran ;). Hast Du denn die entsprechenden smtp_-Parameter > > auf mail.nimmini.de gesetzt? Siehe z. B. > > . > > Dieser Teil sieht so aus: > > smtp-nimi unix - - n - - smtp > -o smtp_bind_address=46.38.231.143 > -o smtp_helo_name=mail.nimmini.de > -o syslog_name=postfix-smtp-nimi > -o smtp_use_tls=yes > -o smtp_dns_support_level=dnssec > -o smtp_tls_security_level=dane > -o smtp_tls_note_starttls_offer=yes > -o smtp_tls_key_file=/etc/postfix/certs/startsslkeys/nimmini/nimminikey.pem > -o smtp_tls_cert_file=/etc/postfix/certs/startsslkeys/nimmini/nimminichain.pem > -o smtp_tls_CAfile=/etc/postfix/certs/startsslkeys/nimmini/ca.pem > -o smtp_tls_CApath=/var/lib/ca-certificates/pem > > Viele Varianten durchprobiert, die Verbindung bleibt aus Empfängersicht > untrusted, was ja der Sendersicht widerspricht. Ich habe das Zertifikat von StartCom, das ich so zusammengesetzt hatte cat nimminicrt.pem sub.class1.server.ca.pem ca.pem > nimminichain.pem ersetzt durch ein Zertifikat von letsencrypt und die Verbindung ist jetzt trusted. Aug 13 10:22:54 bitwater1 postfix/smtpd[21522]: Trusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Es lag also entweder am Zertifikat von StartCom oder an der von mir erzeugten Kette. Grüße Andreas From martin at lichtvoll.de Sat Aug 13 16:54:44 2016 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sat, 13 Aug 2016 16:54:44 +0200 Subject: REJECT oder DISCARD In-Reply-To: References: <1734711.sWiIj0XqBg@merkaba> Message-ID: <1806250.Hbexq836My@merkaba> Am Freitag, 12. August 2016, 19:24:59 CEST schrieb Alex JOST: > Am 12.08.2016 um 13:44 schrieb Martin Steigerwald: > > Meine Idee ist nun: Falls die Spam-Mail von einer Mailingliste kommt, also > > eine "List-Id:"- oder eben diese "Precendence: list"-Kopfzeile hat, dann > > DISCARD, ansonsten REJECT. Weil technisch verschickt natürlich der > > entsprechende Debian-Mailserver die Spam. Allerdings leitet er diese auch > > nur weiter. Daher müsste ich den REJECT entweder an den Sender davor > > laufen lassen, was aber nicht geht, da dieser mit meinem Server keine > > SMTP-Verbindung hat, *oder* wie von den Listen-Meistern empfohlen die > > Mail einfach still wegwerfen. > > > > Was meint ihr? Macht das Sinn? > > > > > > Für SpamAssassin könnte ich das hier anpassen: > > > > mondschein:/etc/postfix> cat header_checks > > /^X-Spam-Flag:.YES/ REJECT Your mail is likely spam. > > > > Das habe ich via > > > > smtpd_recipient_restrictions = > > > > permit_mynetworks > > permit_sasl_authenticated > > reject_non_fqdn_recipient > > reject_unknown_recipient_domain > > reject_unauth_destination > > check_client_access hash:/etc/postfix/client_checks > > check_sender_access pcre:/etc/postfix/sender_checks > > check_policy_service inet:127.0.0.1:12525 > > > > in den Postfix eingehängt. Ich könnte mir nun vorstellen, dass sich eine > > solche Abfrage auf die List-Id-Kopfzeile mit einer Perl Regular Expression > > umsetzen lässt, auch wenn ich dazu erstmal etwas recherchieren müsste, wie > > so ein Ausdruck dann aussieht. > > > > > > Hmm, und ich frage mich gerade inwiefern check_client_access und > > check_sender_access nicht entsprechend unterhalb von > > smptd_client_restrictions und smtpd_senser_restrictions hingehören. Es > > scheint zwar so zu funktionieren, kommt mir aber? ich hoffe es gibt bald > > eine Neu-Auflage vom Postfix-Buch, da ich das bis heute nicht 100% > > verstanden habe, wie das im Postfix verdrahtet ist und wo ein bestimmter > > Check hingehört. smtpd_recipient_- versus smtp_relay_restrictions ist da > > ja auch eine spannende Frage. > > Bei Deinen Mailinglisten ist Dir doch die IP des Absenders bekannt. Du > kannst in amavisd mit client_ipaddr_policy eine eigene Policy für > bestimmte IPs definieren bei denen Du bei Spam ein DISCARD anstatt eines > REJECT setzt. Postfix brauchst Du dafür nicht. Ding dabei ist: Ich verwende kein Amavis. Sondern direkt den spamd/spamc (irgendwann vielleicht mal spampd). Danke, -- Martin From w.flamme at web.de Sat Aug 13 19:05:28 2016 From: w.flamme at web.de (Werner Flamme) Date: Sat, 13 Aug 2016 19:05:28 +0200 Subject: Frage zur CA von letsencrypt In-Reply-To: <20160813102732.73e3d09f@workstation.bitcorner.intern> References: <20160812183136.0c18fdb0@workstation.bitcorner.intern> <20160812230358.70005319@workstation.bitcorner.intern> <20160812231343.1eff4f9f@workstation.bitcorner.intern> <68397426-c398-a1ea-4077-9e9728d86a1c@web.de> <20160813095001.6dfd1e12@workstation.bitcorner.intern> <20160813102732.73e3d09f@workstation.bitcorner.intern> Message-ID: <36ecba4a-691f-f3a0-4cfe-88cae95ee7ac@web.de> Am 13.08.2016 um 10:27 schrieb Andreas Meyer: > > Ich habe das Zertifikat von StartCom, das ich so zusammengesetzt hatte > cat nimminicrt.pem sub.class1.server.ca.pem ca.pem > nimminichain.pem > > ersetzt durch ein Zertifikat von letsencrypt und die Verbindung ist > jetzt trusted. > > Aug 13 10:22:54 bitwater1 postfix/smtpd[21522]: Trusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > > Es lag also entweder am Zertifikat von StartCom oder an der von mir > erzeugten Kette. Oder daran, dass CAfile den CApath übersteuert. Ich meine das mal gelesen zu haben, auch wenn es aktuell als Ergänzung zu verstehen ist. Ach so, und wenn Du smtpd im chroot betreibst, muss CApath innerhalb des chroot liegen, wenn ich die Doku richtig verstehe. CAfile wird vor dem Abtauchen ins chroot gelesen. Plus: alle Dateien in CApath müssen vom User postfix gelesen werden dürfen. Ich hatte mal mitten im Pfad ein Verzeichnis, das dazu unpassende Berechtigungen hatte... Gruß Werner -- From bjoern.meier at gmail.com Mon Aug 15 13:00:42 2016 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Mon, 15 Aug 2016 11:00:42 +0000 Subject: Hardening Paper? Message-ID: Hi, Danke erstmal an Peer für den Link für die Quasi "Dos and don'ts". Gibt es noch Dinge die man zum Hardening erwähnen sollte oder gilt wie immer der common sense "Je weniger desto besser"? Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From thomasitcom at gmail.com Fri Aug 19 13:08:54 2016 From: thomasitcom at gmail.com (Thomas) Date: Fri, 19 Aug 2016 13:08:54 +0200 Subject: PEAR Email OHNE html Teil erzeugen was ist standard =?UTF-8?B?ZsO8cg==?= nur txt Emails Message-ID: <2826660.X9XqWyxFh0@tmprod1> Hallo, ich nutze PHP PEAR Email zum erzeugen und senden von Emails. Das funktioniert eigentlich schon seit Jahre prima und ich versende nur "einfaches" Tabellen HTML. Im text Teil steht "Anzeige nur im HTML Modus" Email Server habe ich eigenen Postfix Server im Betrieb. Nun möchte ich aber Emails ganz OHNE HTML, sonder nur mit txt versenden. Mit PEAR habe ich da Probleme wenn ich KEINE HTML Daten (data) mitsende. Dann wird gar KEINE Email versandt. # function setHTMLBody($data, $isfile = false) Ich muss mindestens ein Leerzeichen versenden. Was wäre default für eine Email die txt hat, eigentlich auch nur txt sein soll und einen html Teil wo quasi "nichts" drin steht. Ich habe mehr und mehr Probleme mit Emails die wegen HTML zu mehr negativen Scoring führt. Deswegen würde ich den HTML Kram gerne rausschmeißen oder optional machen. Dazu noch einige andere Sachen für negatives Scoring wie der finale Versender hat zwar statische IP, Name -> IP,MX und IP -> Name, aber eine andere Domain als die Versenderemail. Gruss From usenet at schani.com Fri Aug 19 15:22:20 2016 From: usenet at schani.com (Christian Leicht) Date: Fri, 19 Aug 2016 15:22:20 +0200 Subject: Nicht vorhandene Locale User versenden Spam Message-ID: Hallo, ich habe gerade das Problem das nicht vorhandene lokale User spam versenden. Es sind zwar nur ein paar, aber komisch ist das mein Postfix überhaupt zulässt das User die es nicht gibt Mails versenden. Es kommt sicher von veralteten Joomla oder Worpress Installationen. Bis ich die gefixt bzw gefunden habe, möchte ich so was generell unterbinden. Wie heißt die Option die Postfix dazu bringt ausgehende Emails zu prüfen ob die in der Lokalen Datenbank eingetragen sind. Open Relay ist der Server aber nicht. Könnt Ihr mir einen Tipp geben Besten Dank für Hilfe Christian From anmeyer at mailbox.org Fri Aug 19 21:59:33 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 19 Aug 2016 21:59:33 +0200 Subject: Nicht vorhandene Locale User versenden Spam In-Reply-To: References: Message-ID: <20160819215933.72225087@workstation.bitcorner.intern> Christian Leicht schrieb am 19.08.16 um 15:22:20 Uhr: > Hallo, > ich habe gerade das Problem das nicht vorhandene lokale User spam > versenden. Es sind zwar nur ein paar, aber komisch ist das mein Postfix > überhaupt zulässt das User die es nicht gibt Mails versenden. Es kommt > sicher von veralteten Joomla oder Worpress Installationen. Bis ich die > gefixt bzw gefunden habe, möchte ich so was generell unterbinden. > > Wie heißt die Option die Postfix dazu bringt ausgehende Emails zu prüfen > ob die in der Lokalen Datenbank eingetragen sind. > > Open Relay ist der Server aber nicht. > > Könnt Ihr mir einen Tipp geben User, die es nicht gibt, können keine mail versenden. logs? Andreas From jra at byte.cx Sat Aug 20 00:47:13 2016 From: jra at byte.cx (Jens Adam) Date: Sat, 20 Aug 2016 00:47:13 +0200 Subject: Nicht vorhandene Locale User versenden Spam In-Reply-To: References: Message-ID: <02C36B1E-5C37-4973-94FA-A4FF9BDF2FAE@byte.cx> > Am 19.08.2016 um 15:22 schrieb Christian Leicht : > > Wie heißt die Option die Postfix dazu bringt ausgehende Emails zu prüfen ob die in der Lokalen Datenbank eingetragen sind. Du willst 'reject_unlisted_sender' in smtpd_recipient_restrictions oder smtpd_relay_restrictions benutzen. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From ad+lists at uni-x.org Sat Aug 20 15:09:32 2016 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Sat, 20 Aug 2016 15:09:32 +0200 Subject: Nicht vorhandene Locale User versenden Spam In-Reply-To: <02C36B1E-5C37-4973-94FA-A4FF9BDF2FAE@byte.cx> References: <02C36B1E-5C37-4973-94FA-A4FF9BDF2FAE@byte.cx> Message-ID: Am 20.08.2016 um 00:47 schrieb Jens Adam: > >> Am 19.08.2016 um 15:22 schrieb Christian Leicht : >> >> Wie heißt die Option die Postfix dazu bringt ausgehende Emails zu prüfen ob die in der Lokalen Datenbank eingetragen sind. > > Du willst 'reject_unlisted_sender' in smtpd_recipient_restrictions oder smtpd_relay_restrictions benutzen. > > --byte Das bringt alles nichts, wenn der Webkram per sendmail submitted, was leider zu befürchten ist. Aber wie von Andreas bereits angeregt sollte Christian seine Postfix Konfiguration und repräsentative Loginformationen liefern. Alexander From w.flamme at web.de Mon Aug 22 10:11:11 2016 From: w.flamme at web.de (Werner Flamme) Date: Mon, 22 Aug 2016 10:11:11 +0200 Subject: =?UTF-8?Q?Re:_PEAR_Email_OHNE_html_Teil_erzeugen_was_ist_standard_f?= =?UTF-8?Q?=c3=bcr_nur_txt_Emails?= In-Reply-To: <2826660.X9XqWyxFh0@tmprod1> References: <2826660.X9XqWyxFh0@tmprod1> Message-ID: <512e7dbc-d636-e94c-151f-ae41f1009f84@web.de> Thomas [19.08.2016 13:08]: > Hallo, > > ich nutze PHP PEAR Email zum erzeugen und senden von Emails. Das > funktioniert eigentlich schon seit Jahre prima und ich versende nur > "einfaches" Tabellen HTML. Im text Teil steht "Anzeige nur im HTML > Modus" Email Server habe ich eigenen Postfix Server im Betrieb. > > Nun möchte ich aber Emails ganz OHNE HTML, sonder nur mit txt > versenden. > > Mit PEAR habe ich da Probleme wenn ich KEINE HTML Daten (data) > mitsende. Dann wird gar KEINE Email versandt. # function > setHTMLBody($data, $isfile = false) > > Ich muss mindestens ein Leerzeichen versenden. > > Was wäre default für eine Email die txt hat, eigentlich auch nur txt > sein soll und einen html Teil wo quasi "nichts" drin steht. Das dürfte eher ein Thema für PHP sein, also ein Forum oder eine Newsgroup. Ich würde den Textteil mit setTxtBody() schreiben (also setHTMLBody gar nicht anfassen), und vielleicht (ich kenne den Kram nicht weiter) in Mail_mimePart() (dem Konstruktor) versuchen, "text/plain" mitzugeben statt "multipart/mixed". Gruß Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Mon Aug 22 11:48:46 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 22 Aug 2016 11:48:46 +0200 Subject: =?iso-8859-1?Q?AW:_PEAR_Email_OHNE_html_Teil_erzeugen_was_ist_standard_?= =?iso-8859-1?Q?f=FCr_nur_txt_Emails?= In-Reply-To: <512e7dbc-d636-e94c-151f-ae41f1009f84@web.de> References: <2826660.X9XqWyxFh0@tmprod1> <512e7dbc-d636-e94c-151f-ae41f1009f84@web.de> Message-ID: <001901d1fc5a$60ebfe30$22c3fa90$@ist-immer-online.de> Es gibt auch Vorlagen die man über Google einfach findet wie z.B. 'Somebody ', 'Subject' => 'Some Subject.'); ); $mime = new Mail_mime($crlf); $mime->setTXTBody($message); $body = $mime->get(); $hdrs = $mime->headers($hdrs); $mail =& Mail::factory('mail'); $mail->send('foobar at example.com', $hdrs, $body); ?> Quelle: https://pear.php.net/manual/en/package.mail.mail-mime.example.php Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme Gesendet: Montag, 22. August 2016 10:11 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: PEAR Email OHNE html Teil erzeugen was ist standard für nur txt Emails Thomas [19.08.2016 13:08]: > Hallo, > > ich nutze PHP PEAR Email zum erzeugen und senden von Emails. Das > funktioniert eigentlich schon seit Jahre prima und ich versende nur > "einfaches" Tabellen HTML. Im text Teil steht "Anzeige nur im HTML > Modus" Email Server habe ich eigenen Postfix Server im Betrieb. > > Nun möchte ich aber Emails ganz OHNE HTML, sonder nur mit txt > versenden. > > Mit PEAR habe ich da Probleme wenn ich KEINE HTML Daten (data) > mitsende. Dann wird gar KEINE Email versandt. # function > setHTMLBody($data, $isfile = false) > > Ich muss mindestens ein Leerzeichen versenden. > > Was wäre default für eine Email die txt hat, eigentlich auch nur txt > sein soll und einen html Teil wo quasi "nichts" drin steht. Das dürfte eher ein Thema für PHP sein, also ein Forum oder eine Newsgroup. Ich würde den Textteil mit setTxtBody() schreiben (also setHTMLBody gar nicht anfassen), und vielleicht (ich kenne den Kram nicht weiter) in Mail_mimePart() (dem Konstruktor) versuchen, "text/plain" mitzugeben statt "multipart/mixed". Gruß Werner -- From chris at schoeppi.net Mon Aug 22 13:27:22 2016 From: chris at schoeppi.net (Christian Schoepplein) Date: Mon, 22 Aug 2016 13:27:22 +0200 Subject: Command time limit exceeded: "/usr/bin/procmail" Message-ID: <20160822112722.GC3153@v.cs-x.de> Hi zusammen, auf einem System, auf dem via procmail einkommende Nachrichteng in ein OTRS gepiped werden und auf dem die Mailzustellung grundsätzlich funktioniert, bekommen wir ab und an mal folgenden Fehler: Command time limit exceeded: "/usr/bin/procmail" In main.cf steht command_time_limit auf 2000s, was ja eh schon Wahnsinn ist, aber an welcher Schraube könnten wir ggf. denn noch drehen, um den obigen Fehler zu beseitigen? Hier mal die .procmailrc des lokalen Users, über den die Zustellung läuft: ----- SYS_HOME=$HOME SHELL=/bin/sh PATH=/bin:/usr/bin:/usr/local/bin DAYFOLDER=`date +%F` LOGFILE=$SYS_HOME/var/log/procmail-$DAYFOLDER.log VERBOSE=on # Pipe all email into the PostMaster process. :0 : | $SYS_HOME/bin/otrs.Console.pl Maint::PostMaster::Read # spool all the rest (which the otrs.PostMaster.pl can't process!) # If the database is down or the otrs.PostMaster.pl exit was not '0'! :0 : $SYS_HOME/var/spool/. ----- Ciao und danke für jeden Hinweis, Schöpp -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 173 bytes Beschreibung: Digital signature URL : From chris at schoeppi.net Mon Aug 22 13:26:05 2016 From: chris at schoeppi.net (Christian Schoepplein) Date: Mon, 22 Aug 2016 13:26:05 +0200 Subject: Command time limit exceeded: "/usr/bin/procmail" Message-ID: <20160822112605.GB3153@v.cs-x.de> Hi zusammen, auf einem System, auf dem via procmail einkommende Nachrichteng in ein OTRS gepiped werden und auf dem die Mailzustellung grundsätzlich funktioniert, bekommen wir ab und an mal folgenden Fehler: Command time limit exceeded: "/usr/bin/procmail" In main.cf steht command_time_limit auf 2000s, was ja eh schon Wahnsinn ist, aber an welcher Schraube könnten wir ggf. denn noch drehen, um den obigen Fehler zu beseitigen? Hier mal die .procmailrc des lokalen Users, über den die Zustellung läuft: ----- SYS_HOME=$HOME SHELL=/bin/sh PATH=/bin:/usr/bin:/usr/local/bin DAYFOLDER=`date +%F` LOGFILE=$SYS_HOME/var/log/procmail-$DAYFOLDER.log VERBOSE=on # Pipe all email into the PostMaster process. :0 : | $SYS_HOME/bin/otrs.Console.pl Maint::PostMaster::Read # spool all the rest (which the otrs.PostMaster.pl can't process!) # If the database is down or the otrs.PostMaster.pl exit was not '0'! :0 : $SYS_HOME/var/spool/. ----- Ciao und danke für jeden Hinweis, Schöpp -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 173 bytes Beschreibung: Digital signature URL : From thomasitcom at gmail.com Tue Aug 23 16:38:38 2016 From: thomasitcom at gmail.com (Thomas) Date: Tue, 23 Aug 2016 16:38:38 +0200 Subject: AW: PEAR Email OHNE html Teil erzeugen was ist standard =?UTF-8?B?ZsO8cg==?= nur txt Emails In-Reply-To: <001901d1fc5a$60ebfe30$22c3fa90$@ist-immer-online.de> References: <2826660.X9XqWyxFh0@tmprod1> <512e7dbc-d636-e94c-151f-ae41f1009f84@web.de> <001901d1fc5a$60ebfe30$22c3fa90$@ist-immer-online.de> Message-ID: <9437741.RtcGAc75Wk@tmprod1> Hallo, danke, ja das funktioniert! Ich hatte nur zu viel davor gebaut das ich dachte ich hätte ein falsches "Format" erzeugt was der Mailserver nicht mehr nimmt und es würde daran liegen. so was und anderes z.B. $html = iconv('UTF-8', 'iso-8859-15', $html); Da muss ich jetzt suchen. da wird wohl bei $mime->setHTMLBody irgendwas reingeschrieben. In der einfachsten Form, nur txt, klappt der Versand. $mime->setTXTBody($text); From: Somebody Message-Id: <20160823142016.279CAD61F77 at domain.tld> Date: Tue, 23 Aug 2016 16:20:16 +0200 (CEST) Test Email nur txt Danke! Gruss Thomas Am Montag, 22. August 2016, 11:48:46 schrieb Daniel: > Es gibt auch Vorlagen die man über Google einfach findet wie z.B. > > $message = 'Hello'; > $message .= "\n\n".'World!'; > > require_once('Mail.php'); > require_once('Mail/mime.php'); > > $crlf = "\n"; //note the DOUBLE quotes. > $hdrs = array ( > 'From' => 'Somebody ', > 'Subject' => 'Some Subject.'); > ); > > $mime = new Mail_mime($crlf); > $mime->setTXTBody($message); > > $body = $mime->get(); > $hdrs = $mime->headers($hdrs); > > $mail =& Mail::factory('mail'); > $mail->send('foobar at example.com', $hdrs, $body); > ?> > > Quelle: https://pear.php.net/manual/en/package.mail.mail-mime.example.php > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] > Im Auftrag von Werner Flamme Gesendet: Montag, 22. August 2016 10:11 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: PEAR Email OHNE html Teil erzeugen was ist standard für nur txt > Emails > Thomas [19.08.2016 13:08]: > > Hallo, > > > > ich nutze PHP PEAR Email zum erzeugen und senden von Emails. Das > > funktioniert eigentlich schon seit Jahre prima und ich versende nur > > "einfaches" Tabellen HTML. Im text Teil steht "Anzeige nur im HTML > > Modus" Email Server habe ich eigenen Postfix Server im Betrieb. > > > > Nun möchte ich aber Emails ganz OHNE HTML, sonder nur mit txt > > versenden. > > > > Mit PEAR habe ich da Probleme wenn ich KEINE HTML Daten (data) > > mitsende. Dann wird gar KEINE Email versandt. # function > > setHTMLBody($data, $isfile = false) > > > > Ich muss mindestens ein Leerzeichen versenden. > > > > Was wäre default für eine Email die txt hat, eigentlich auch nur txt > > sein soll und einen html Teil wo quasi "nichts" drin steht. > > Das dürfte eher ein Thema für PHP sein, also ein Forum oder eine > Newsgroup. > > Ich würde den Textteil mit setTxtBody() schreiben (also setHTMLBody gar > nicht anfassen), und vielleicht (ich kenne den Kram nicht weiter) in > Mail_mimePart() (dem Konstruktor) versuchen, "text/plain" mitzugeben > statt "multipart/mixed". > > Gruß > Werner From m.grundmann at wittich-foehren.de Tue Aug 23 19:02:52 2016 From: m.grundmann at wittich-foehren.de (Michael Grundmann) Date: Tue, 23 Aug 2016 19:02:52 +0200 Subject: =?UTF-8?Q?Re:_PEAR_Email_OHNE_html_Teil_erzeugen_was_ist_standard_f?= =?UTF-8?Q?=c3=bcr_nur_txt_Emails?= In-Reply-To: <9437741.RtcGAc75Wk@tmprod1> References: <2826660.X9XqWyxFh0@tmprod1> <512e7dbc-d636-e94c-151f-ae41f1009f84@web.de> <001901d1fc5a$60ebfe30$22c3fa90$@ist-immer-online.de> <9437741.RtcGAc75Wk@tmprod1> Message-ID: <7e1847e3-632b-6cc9-e39d-d949f354fa57@wittich-foehren.de> Hallo, das macht doch die Heinlein-Listen so toll - keiner meckert bei OT. Klasse, ich fühle mich hier wohl :) Am 23.08.16 um 16:38 schrieb Thomas: > Hallo, > > danke, ja das funktioniert! > Ich hatte nur zu viel davor gebaut das ich dachte ich hätte ein falsches > "Format" erzeugt was der Mailserver nicht mehr nimmt und es würde daran > liegen. > > so was und anderes z.B. > $html = iconv('UTF-8', 'iso-8859-15', $html); > > Da muss ich jetzt suchen. da wird wohl bei $mime->setHTMLBody irgendwas > reingeschrieben. > > > > In der einfachsten Form, nur txt, klappt der Versand. > $mime->setTXTBody($text); > > From: Somebody > Message-Id: <20160823142016.279CAD61F77 at domain.tld> > Date: Tue, 23 Aug 2016 16:20:16 +0200 (CEST) > > Test > > Email nur txt > > > Danke! Gruss Thomas > > > Am Montag, 22. August 2016, 11:48:46 schrieb Daniel: >> Es gibt auch Vorlagen die man über Google einfach findet wie z.B. >> >> > $message = 'Hello'; >> $message .= "\n\n".'World!'; >> >> require_once('Mail.php'); >> require_once('Mail/mime.php'); >> >> $crlf = "\n"; //note the DOUBLE quotes. >> $hdrs = array ( >> 'From' => 'Somebody ', >> 'Subject' => 'Some Subject.'); >> ); >> >> $mime = new Mail_mime($crlf); >> $mime->setTXTBody($message); >> >> $body = $mime->get(); >> $hdrs = $mime->headers($hdrs); >> >> $mail =& Mail::factory('mail'); >> $mail->send('foobar at example.com', $hdrs, $body); >> ?> >> >> Quelle: https://pear.php.net/manual/en/package.mail.mail-mime.example.php >> >> Gruß Daniel >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] >> Im Auftrag von Werner Flamme Gesendet: Montag, 22. August 2016 10:11 >> An: postfixbuch-users at listen.jpberlin.de >> Betreff: Re: PEAR Email OHNE html Teil erzeugen was ist standard für nur txt >> Emails >> Thomas [19.08.2016 13:08]: >>> Hallo, >>> >>> ich nutze PHP PEAR Email zum erzeugen und senden von Emails. Das >>> funktioniert eigentlich schon seit Jahre prima und ich versende nur >>> "einfaches" Tabellen HTML. Im text Teil steht "Anzeige nur im HTML >>> Modus" Email Server habe ich eigenen Postfix Server im Betrieb. >>> >>> Nun möchte ich aber Emails ganz OHNE HTML, sonder nur mit txt >>> versenden. >>> >>> Mit PEAR habe ich da Probleme wenn ich KEINE HTML Daten (data) >>> mitsende. Dann wird gar KEINE Email versandt. # function >>> setHTMLBody($data, $isfile = false) >>> >>> Ich muss mindestens ein Leerzeichen versenden. >>> >>> Was wäre default für eine Email die txt hat, eigentlich auch nur txt >>> sein soll und einen html Teil wo quasi "nichts" drin steht. >> >> Das dürfte eher ein Thema für PHP sein, also ein Forum oder eine >> Newsgroup. >> >> Ich würde den Textteil mit setTxtBody() schreiben (also setHTMLBody gar >> nicht anfassen), und vielleicht (ich kenne den Kram nicht weiter) in >> Mail_mimePart() (dem Konstruktor) versuchen, "text/plain" mitzugeben >> statt "multipart/mixed". >> >> Gruß >> Werner > -- *Mit freundlichen Grüßen i. A. Michael Grundmann Verlag + Druck LINUS WITTICH KG* m.grundmann at wittich-foehren.de | Mobil: +49 (0)170/6329150 | Tel.: +49 (0)6502/9147-210 Europa-Allee 2 | D-54343 Föhren | www.wittich.de | www.facebook.de/wittich.foehren Sitz der Ges. Föhren | GF Dietmar Kaupp | AG Wittlich HRA 4199 | USt -ID: DE149324406 From andre.peters at debinux.de Wed Aug 24 22:01:45 2016 From: andre.peters at debinux.de (=?utf-8?q?Andr=c3=a9=20Peters?=) Date: Wed, 24 Aug 2016 20:01:45 +0000 Subject: WG: [Posteo-Blog] SPD, Congstar & Co: Was tun bei unsicheren Servern? In-Reply-To: <20160725090307.GA15245@charite.de> References: <5792137d8607e_5b91437ea8e969630@posteo.mail> <000601d1e41d$8b86d930$a2948b90$@ist-immer-online.de> <20160722135403.GS11844@charite.de> <001b01d1e452$c40db960$4c292c20$@ist-immer-online.de> <20160723121843.GA19240@charite.de> <000001d1e4dd$f40022d0$dc006870$@ist-immer-online.de> <20160725090307.GA15245@charite.de> Message-ID: Ist der "Rant" noch offen? Dann habe ich einen neuen Kandidaten für die Liste der Schande: : TLS is required, but was not offered by host mxa.expurgate.net[195.190.135.25] mailcow gibt es übrigens auch gaaaaanz, ganz bald mit optional erzwungenem TLS ein- und ausgehend. ------ Originalnachricht ------ Von: "Ralf Hildebrandt" An: postfixbuch-users at listen.jpberlin.de Gesendet: 25.07.2016 11:03:11 Betreff: Re: WG: [Posteo-Blog] SPD, Congstar & Co: Was tun bei unsicheren Servern? >* Daniel : >> Letsencrypt finde noch teils zu aufwendig mit ständiger Erneuerung. > >Kann man ja automatisieren, aber ja. > >-- >Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | http://www.charite.de > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5217 bytes Beschreibung: nicht verfügbar URL : From Hajo.Locke at gmx.de Mon Aug 29 12:22:43 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 29 Aug 2016 12:22:43 +0200 Subject: OT zy0.de immer wieder down Message-ID: Hallo, ich nutze gern zy0.de um Blacklists zu prüfen als erste Info-Seite. Leider ist die Seite immer wieder down oder es erscheinen wie heute elasticsearch Fehlermeldungen. In letzter Zeit sogar recht häufig. Liest hier jemand mit, der da zuständig ist? Wäre gut, wenn da mal bitte jemand nachsehen könnte. Danke, Hajo From daniel at ist-immer-online.de Mon Aug 29 15:48:27 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 29 Aug 2016 15:48:27 +0200 Subject: AW: OT zy0.de immer wieder down In-Reply-To: References: Message-ID: <002a01d201fc$05479790$0fd6c6b0$@ist-immer-online.de> Gibt auch noch andere Seiten, sogar mit Email monitoring http://mxtoolbox.com/blacklists.aspx Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Hajo Locke Gesendet: Montag, 29. August 2016 12:23 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: OT zy0.de immer wieder down Hallo, ich nutze gern zy0.de um Blacklists zu prüfen als erste Info-Seite. Leider ist die Seite immer wieder down oder es erscheinen wie heute elasticsearch Fehlermeldungen. In letzter Zeit sogar recht häufig. Liest hier jemand mit, der da zuständig ist? Wäre gut, wenn da mal bitte jemand nachsehen könnte. Danke, Hajo From Hajo.Locke at gmx.de Mon Aug 29 16:45:24 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 29 Aug 2016 16:45:24 +0200 Subject: OT zy0.de immer wieder down In-Reply-To: <002a01d201fc$05479790$0fd6c6b0$@ist-immer-online.de> References: <002a01d201fc$05479790$0fd6c6b0$@ist-immer-online.de> Message-ID: Ja, gibt noch paar andere. Bei zy0.de find ich aber gut, dass die Startseite nicht so überladen ist. multi-rbls kann man bei Bedarf separat abrufen. zy0.de müsste ja in direktem Zusammenhang zum Nix-Projekt stehen, da man dort auch sofort die Header von Spammails einsehen kann, was natürlich eine große Hilfe für Nachvollziehbarkeit ist. Daher wundert es mich umso mehr, dass das Projekt scheinbar wiederholt mit technischen Problemen zu kämpfen hat. Hajo Am 29.08.2016 um 15:48 schrieb Daniel: > Gibt auch noch andere Seiten, sogar mit Email monitoring > > http://mxtoolbox.com/blacklists.aspx > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Hajo Locke > Gesendet: Montag, 29. August 2016 12:23 > An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Betreff: OT zy0.de immer wieder down > > Hallo, > > ich nutze gern zy0.de um Blacklists zu prüfen als erste Info-Seite. > Leider ist die Seite immer wieder down oder es erscheinen wie heute > elasticsearch Fehlermeldungen. In letzter Zeit sogar recht häufig. Liest > hier jemand mit, der da zuständig ist? Wäre gut, wenn da mal bitte > jemand nachsehen könnte. > > Danke, > Hajo > > From news at amaltea.de Mon Aug 29 17:02:24 2016 From: news at amaltea.de (Paul) Date: Mon, 29 Aug 2016 17:02:24 +0200 Subject: OT zy0.de immer wieder down In-Reply-To: References: Message-ID: <8b7c04ab-ac81-cda5-2549-15928929dfa8@amaltea.de> Am 29.08.2016 um 12:22 schrieb Hajo Locke: > Hallo, > > ich nutze gern zy0.de um Blacklists zu prüfen als erste Info-Seite. > Leider ist die Seite immer wieder down oder es erscheinen wie heute > elasticsearch Fehlermeldungen. In letzter Zeit sogar recht häufig. Liest > hier jemand mit, der da zuständig ist? Wäre gut, wenn da mal bitte > jemand nachsehen könnte. Hast du den Betreiber der Seite schon direkt angeschrieben? http://zy0.de/en/imprint.html Und falls das Projekt tot ist, hier zwei weitere Vorschläge: http://multirbl.valli.org/dnsbl-lookup/ http://www.anti-abuse.org/ Gruß, Paul From Hajo.Locke at gmx.de Tue Aug 30 08:48:03 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Tue, 30 Aug 2016 08:48:03 +0200 Subject: OT zy0.de immer wieder down In-Reply-To: <8b7c04ab-ac81-cda5-2549-15928929dfa8@amaltea.de> References: <8b7c04ab-ac81-cda5-2549-15928929dfa8@amaltea.de> Message-ID: <9f2ec5ca-987c-b2c9-1428-d064348f8b3e@gmx.de> Danke, das probier ich dann mal. Ich hatte diese Seite noch nicht entdeckt und die Daten im whois waren zu allgemein. Danke, Hajo Am 29.08.2016 um 17:02 schrieb Paul: > Am 29.08.2016 um 12:22 schrieb Hajo Locke: >> Hallo, >> >> ich nutze gern zy0.de um Blacklists zu prüfen als erste Info-Seite. >> Leider ist die Seite immer wieder down oder es erscheinen wie heute >> elasticsearch Fehlermeldungen. In letzter Zeit sogar recht häufig. Liest >> hier jemand mit, der da zuständig ist? Wäre gut, wenn da mal bitte >> jemand nachsehen könnte. > Hast du den Betreiber der Seite schon direkt angeschrieben? > http://zy0.de/en/imprint.html > > Und falls das Projekt tot ist, hier zwei weitere Vorschläge: > http://multirbl.valli.org/dnsbl-lookup/ > http://www.anti-abuse.org/ > > Gruß, > Paul > From Hajo.Locke at gmx.de Tue Aug 30 09:17:35 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Tue, 30 Aug 2016 09:17:35 +0200 Subject: Command time limit exceeded: "/usr/bin/procmail" In-Reply-To: <20160822112722.GC3153@v.cs-x.de> References: <20160822112722.GC3153@v.cs-x.de> Message-ID: Hallo, wir kennen ähnliches, verursacht durch POP-User. Vergleich mal die login/logout Zeiten bei den betroffenen Usern, wenn diese per pop zugreifen. Wenn da viele Minuten dazwischen liegen, sendet der User vermutlich kein korrektes logout, meist ausgelöst durch Firewall oder Virenwächter. Solange dovecot das Postfach für aktiv hält, gibt er es nicht frei (pop=exclusiv) und procmail kann wegen des lock nicht zustellen. Womöglich war euer command_time_limit vorher kürzer als das dovecot Inaktivitätslimit (30 min?). In der Richtung könnte man mal forschen. Hajo Am 22.08.2016 um 13:27 schrieb Christian Schoepplein: > Hi zusammen, > > auf einem System, auf dem via procmail einkommende Nachrichteng in ein > OTRS gepiped werden und auf dem die Mailzustellung grundsätzlich > funktioniert, bekommen wir ab und an mal folgenden Fehler: > > Command time limit exceeded: "/usr/bin/procmail" > > In main.cf steht command_time_limit auf 2000s, was ja eh schon Wahnsinn > ist, aber an welcher Schraube könnten wir ggf. denn noch drehen, um den > obigen Fehler zu beseitigen? > > Hier mal die .procmailrc des lokalen Users, über den die Zustellung > läuft: > > ----- > SYS_HOME=$HOME > SHELL=/bin/sh > PATH=/bin:/usr/bin:/usr/local/bin > DAYFOLDER=`date +%F` > LOGFILE=$SYS_HOME/var/log/procmail-$DAYFOLDER.log > VERBOSE=on > > # Pipe all email into the PostMaster process. > > :0 : > | $SYS_HOME/bin/otrs.Console.pl Maint::PostMaster::Read > > > # spool all the rest (which the otrs.PostMaster.pl can't process!) > # If the database is down or the otrs.PostMaster.pl exit was not '0'! > > :0 : > $SYS_HOME/var/spool/. > ----- > > Ciao und danke für jeden Hinweis, > > Schöpp > > > From thomas.schwenski at xanismail.de Tue Aug 30 13:56:03 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Tue, 30 Aug 2016 13:56:03 +0200 Subject: Postfix und Dovecot ohne DBMS (MySQL) Message-ID: <57C57453.7080507@xanismail.de> Hallo, Hat jemand von euch ein Setup mit Postfix und Dovecot _ohne_angebundenes DBMS (insbesondere Schwergewichte wie MySQL, PostgreSQL oder MariaDB). Ich habe hier ein System mit einer überschaubaren Anzahl an Mailkonten (<10) und sehr limitierten Ressourcen bei dem es aufgrund des Durchsatzes immer wieder speichermäßig eng wird und MariaDB in's straucheln kommt. Ich weiß das Dovecot einige andere userdbs nutzen kann. Hat da jemand ggf. ein gutes HowTo. Thomas From klaus at tachtler.net Tue Aug 30 14:03:17 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 30 Aug 2016 14:03:17 +0200 Subject: Postfix und Dovecot ohne DBMS (MySQL) In-Reply-To: <57C57453.7080507@xanismail.de> Message-ID: <20160830140317.Horde.EDSkLVjFsddxTNzeflXDQ_h@buero.tachtler.net> Hallo Thomas, > Hallo, > > Hat jemand von euch ein Setup mit Postfix und Dovecot > _ohne_angebundenes DBMS (insbesondere Schwergewichte wie MySQL, > PostgreSQL oder MariaDB). > > > Ich habe hier ein System mit einer überschaubaren Anzahl an > Mailkonten (<10) und sehr limitierten Ressourcen bei dem es aufgrund > des Durchsatzes immer wieder speichermäßig eng wird und MariaDB in's > straucheln kommt. > > Ich weiß das Dovecot einige andere userdbs nutzen kann. > Hat da jemand ggf. ein gutes HowTo. > > Thomas Nachfolgendes HowTo habe ich mal für mich gemacht: http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:dovecot_centos_7#konfiguration_-_authentifizierungpasswd-file bzw. http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:dovecot_centos_7 Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From software at richard-rafalski.de Wed Aug 31 00:34:17 2016 From: software at richard-rafalski.de (Richard Rafalski) Date: Wed, 31 Aug 2016 00:34:17 +0200 Subject: Verifikation des einliefernden Servers pro Absender-Domain Message-ID: <8da5e063-92d7-74d4-2211-1668e2f9a3d0@richard-rafalski.de> Hallo, ich möchte für eine vorgegebene Domain (mydomain.tld) einen Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen Server (A) hab. 1. Server A soll bei herausgehenden Mails für die Empfänger-Domain mydomain.tld die Mail an Server B verschlüsselt übermitteln und dessen Zertifikat überprüfen. 2. Server A soll bei reinkommenden Mails für die Absender-Domain mydomain.tld nur verschlüsselte Verbindungen von Server B akzeptieren. Server B wird wieder anhand seines Zertifikats identifiziert. 1. ist bereits mit einer transport-table und einer tls_policy eingerichtet: main.cf enthält smtp_tls_policy_maps = hash:/etc/postfix/tls_policy transport_maps = hash:/etc/postfix/transport und /etc/postfix/tls_policy [serverb.mydomain.tld] secure match=serverb.mydomain.tld und /etc/postfix/transport mydomain.tld smtp:[serverb.mydomain.tld] Wie geht man am besten bei 2. vor? Bin für Hinweise und Anregungen dankbar Richard From jost+lists at dimejo.at Wed Aug 31 10:00:55 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Wed, 31 Aug 2016 10:00:55 +0200 Subject: Verifikation des einliefernden Servers pro Absender-Domain In-Reply-To: <8da5e063-92d7-74d4-2211-1668e2f9a3d0@richard-rafalski.de> References: <8da5e063-92d7-74d4-2211-1668e2f9a3d0@richard-rafalski.de> Message-ID: <29628fa2-f31e-e5c0-c92a-c570d434481a@dimejo.at> Am 31.08.2016 um 00:34 schrieb Richard Rafalski: > Hallo, > > ich möchte für eine vorgegebene Domain (mydomain.tld) einen > Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch > zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen Server > (A) hab. > > 1. Server A soll bei herausgehenden Mails für die Empfänger-Domain > mydomain.tld die Mail an Server B verschlüsselt übermitteln und dessen > Zertifikat überprüfen. > > 2. Server A soll bei reinkommenden Mails für die Absender-Domain > mydomain.tld nur verschlüsselte Verbindungen von Server B akzeptieren. > Server B wird wieder anhand seines Zertifikats identifiziert. > > 1. ist bereits mit einer transport-table und einer tls_policy eingerichtet: > > main.cf enthält > > smtp_tls_policy_maps = hash:/etc/postfix/tls_policy > > transport_maps = hash:/etc/postfix/transport > > und /etc/postfix/tls_policy > > [serverb.mydomain.tld] secure match=serverb.mydomain.tld > > und /etc/postfix/transport > > mydomain.tld smtp:[serverb.mydomain.tld] > > Wie geht man am besten bei 2. vor? > > Bin für Hinweise und Anregungen dankbar > > Richard Du kannst den Absender z.B. mit check_client_access oder check_sender_access in den smtpd_*_restrictions überprüfen, und dort eine Klartext-Verbindung verhindern. /etc/postfix/main.cf: smtpd_recipient_restrictions = [...] check_client_access cidr:/etc/postfix/kein_klartext.cidr, [...] /etc/postfix/kein_klartext.cidr: 1.2.3.4 reject_plaintext_session Mir ist leider abgesehen von DANE keine Möglichkeit bekannt das Zertifikat von eingehenden Verbindungen genauer zu überprüfen. -- Alex JOST From klaus at tachtler.net Wed Aug 31 10:08:26 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 31 Aug 2016 10:08:26 +0200 Subject: Verifikation des einliefernden Servers pro Absender-Domain In-Reply-To: <8da5e063-92d7-74d4-2211-1668e2f9a3d0@richard-rafalski.de> Message-ID: <20160831100826.Horde.hv9ubnf1WV6vW8-oa_-AXLH@buero.tachtler.net> Hallo Richard, schau mal hier, das habe ich für mich mal in meinem DokuWiki dazu dokumentiert: http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#tls-policies-konfiguration Hier wird via TLS-Policy-Maps, für eine Domain der Fingerprint eines Zertifikats hinterlegt, und nur wenn dieser mit der aktuellen Verbindung übereinstimmt, mit dem Server auf der anderen Seite kommuniziert, je nach Einstellung. Grüße Klaus. > Hallo, > > ich möchte für eine vorgegebene Domain (mydomain.tld) einen > Verschlüsselten und über SSL-Zertifikate verifizierten Mailaustausch > zwischen 2 Servern sicherstellen. Wobei ich nur Zugriff auf einen > Server (A) hab. > > 1. Server A soll bei herausgehenden Mails für die Empfänger-Domain > mydomain.tld die Mail an Server B verschlüsselt übermitteln und > dessen Zertifikat überprüfen. > > 2. Server A soll bei reinkommenden Mails für die Absender-Domain > mydomain.tld nur verschlüsselte Verbindungen von Server B > akzeptieren. Server B wird wieder anhand seines Zertifikats > identifiziert. > > 1. ist bereits mit einer transport-table und einer tls_policy eingerichtet: > > main.cf enthält > > smtp_tls_policy_maps = hash:/etc/postfix/tls_policy > > transport_maps = hash:/etc/postfix/transport > > und /etc/postfix/tls_policy > > [serverb.mydomain.tld] secure match=serverb.mydomain.tld > > und /etc/postfix/transport > > mydomain.tld smtp:[serverb.mydomain.tld] > > Wie geht man am besten bei 2. vor? > > Bin für Hinweise und Anregungen dankbar > > Richard ----- Ende der Nachricht von Richard Rafalski ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL :