From volley_ball at gmx.de Sat Jan 2 03:30:44 2016 From: volley_ball at gmx.de (Bastian Pfleging) Date: Sat, 2 Jan 2016 03:30:44 +0100 Subject: Postfix-Konfiguration: Do not list in BOTH mydestination and virtual_alias_domains Message-ID: <56873654.9090704@gmx.de> Hallo zusammen, auf einem meiner (virtuellen) Server läuft ein Ubuntu (12.04) mit Plesk (12.5) und Postfix (2.9.8) und eigentlich läuft soweit alles ganz gut. Der Server ist unter server.example.com (anonymisiert!) zu erreichen und für verschiedene mit Plesk verwaltete Domains zuständig, inklusive example.com. Was mich verwundert, ist, dass ab und zu die folgende Nachricht im Logfile auftaucht: Dec 23 02:32:44 server postfix/trivial-rewrite[14032]: warning: do not list domain server.example.com in BOTH mydestination and virtual_alias_domains Die Meldung taucht scheinbar nur auf, wenn "MAIL FROM: <>" verwendet wird... Was sollte ich tun, um die Warnung zu beseitigen? Was mich stutzig macht, ist die Tatsache, dass postconf eigentlich nur folgende Werte für mydestination ausspuckt: mydestination = localhost.$mydomain, localhost.localdomain, localhost mydomain = example.com Im näheren Umfeld des besagten Fehlers gibt es folgende Einträge ( ist die Adresse des einliefernden Clients, die Mail ging an eine Mailadresse einer weiteren Domain, die lokal verwaltet wird): Dec 23 02:32:43 server postfix/smtpd[14022]: connect from unknown[] Dec 23 02:32:44 server postfix/trivial-rewrite[14032]: warning: do not list domain server.example.com in BOTH mydestination and virtual_alias_domains Dec 23 02:32:45 server postfix/smtpd[14022]: NOQUEUE: reject: RCPT from unknown[]: 450 4.7.1 Client host rejected: cannot find your reverse hostname, []; from=<> to= proto=SMTP helo=<> Dec 23 02:32:45 server postfix/smtpd[14022]: lost connection after RCPT from unknown[] Dec 23 02:32:45 server postfix/smtpd[14022]: disconnect from unknown[] Dec 23 02:32:45 server /usr/lib/plesk-9.0/psa-pc-remote[12794]: Message aborted. Dec 23 02:32:45 server /usr/lib/plesk-9.0/psa-pc-remote[12794]: Message aborted. Hier die Ausgabe von postconf -n (ohne TLS-/SSL-Zeilen): alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix default_process_limit = 10 disable_vrfy_command = yes inet_interfaces = all inet_protocols = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 51200000 mailman_destination_recipient_limit = 1 message_size_limit = 30720000 milter_connect_macros = j {daemon_name} {client_connections} {client_addr} {client_ptr} v milter_default_action = accept milter_protocol = 6 mydestination = localhost.$mydomain, localhost.localdomain, localhost myhostname = server.example.com mynetworks = 127.0.0.0/8, [::1]/128 non_smtpd_milters = $smtpd_milters plesk_virtual_destination_recipient_limit = 1 readme_directory = no recipient_delimiter = + relayhost = sender_dependent_default_transport_maps = hash:/var/spool/postfix/plesk/sdd_transport_maps smtp_send_xforward_command = yes smtp_use_tls = no smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128 smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_reverse_client_hostname smtpd_data_restrictions = reject_unauth_pipelining smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname smtpd_milters = inet:127.0.0.1:8891, inet:127.0.0.1:12768 smtpd_proxy_timeout = 3600s smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated smtpd_timeout = 3600s smtpd_use_tls = yes strict_rfc821_envelopes = yes transport_maps = , hash:/var/spool/postfix/plesk/transport virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual virtual_gid_maps = static:31 virtual_mailbox_base = /var/qmail/mailnames virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains virtual_mailbox_maps = , hash:/var/spool/postfix/plesk/vmailbox virtual_transport = plesk_virtual virtual_uid_maps = static:110 /etc/postfix/master.cf ( bzw. sind Platzhalter für die IP-Adressen des Servers): pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 1 1 qmgr #qmgr fifo n - n 300 1 oqmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=R user=list:list argv=/usr/lib/plesk-9.0/postfix-mailman ${nexthop} ${user} ${recipient} plesk_virtual unix - n n - - pipe flags=DORhu user=popuser:popuser argv=/usr/lib/plesk-9.0/postfix-local -f ${sender} -d ${recipient} -p /var/qmail/mailnames plesk_saslauthd unix y y y - 1 plesk_saslauthd status=5 listen=6 dbpath=/plesk/passwd.db smtp inet n - - - - smtpd smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes submission inet n - - - - smtpd -o smtpd_enforce_tls=yes -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_helo_restrictions= -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination plesk-- unix - n n - - smtp -o smtp_bind_address= -o smtp_bind_address6= -o smtp_address_preference=ipv4 plesk-- unix - n n - - smtp -o smtp_bind_address= -o smtp_bind_address6= -o smtp_address_preference=ipv4 postmap -s /etc/aliases: @ @ YP_LAST_MODIFIED YP_MASTER_NAME server.example.com postmaster root postmap -s /var/spool/postfix/plesk/aliases drweb hostmaster at example.com kluser hostmaster at example.com mailman-loop postmaster postmaster hostmaster at example.com root hostmaster at example.com anonymous hostmaster at example.com drweb-daemon hostmaster at example.com mailer-daemon hostmaster at example.com mailman hostmaster at example.com postmap -s /var/spool/postfix/plesk/sdd_transport_maps @example.com plesk-: @otherdomain.com plesk-: postmap -s /var/spool/postfix/plesk/transport news-admin at example.com mailman:admin news-bounces at example.com mailman:bounces news-leave at example.com mailman:leave news-owner at example.com mailman:owner news-request at example.com mailman:request news-unsubscribe at example.com mailman:unsubscribe news at example.com mailman:post postmap -s /var/spool/postfix/plesk/virtual: drweb at example.com drweb at localhost.localdomain hostmaster at example.com hostmaster at example.com kluser at example.com kluser at localhost.localdomain news-admin at example.com news-admin at example.com news-leave at example.com news-leave at example.com news-owner at example.com news-owner at example.com postmaster at example.com hostmaster at example.com postmaster at otherdomain.com postmaster at localhost.localdomain root at example.com root at localhost.localdomain anonymous at example.com anonymous at localhost.localdomain anonymous at server.example.com anonymous at localhost.localdomain mailer-daemon at example.com mailer-daemon at localhost.localdomain mailer-daemon at server.example.com mailer-daemon at localhost.localdomain news-confirm at example.com news-confirm at example.com news-join at example.com news-join at example.com news-subscribe at example.com news-subscribe at example.com abuse at example.com hostmaster at example.com drweb at server.example.com drweb at localhost.localdomain kluser at server.example.com kluser at localhost.localdomain news-bounces at example.com news-bounces at example.com news-request at example.com news-request at example.com news-unsubscribe at example.com news-unsubscribe at example.com news at example.com news at example.com listmaster at example.com hostmaster at example.com mailman-loop at example.com mailman-loop at localhost.localdomain postmaster at server.example.com postmaster at localhost.localdomain root at server.example.com root at localhost.localdomain server.example.com 1 user at otherdomain.com user at otherdomain.com postmap -s /var/spool/postfix/plesk/virtual_domains example.com example.com/ otherdomain.com otherdomain.com/ postmap -s /var/spool/postfix/plesk/vmailbox hostmaster at example.com example.com/hostmaster/Maildir/ user at otherdomain.com otherdomain.com/user/Maildir/ (zzgl. weitere Mail-Adressen / Postfächer für Domains) Viele Grüße, Bastian From driessen at fblan.de Sat Jan 9 12:07:23 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sat, 9 Jan 2016 12:07:23 +0100 Subject: cleanup und Header_checks Message-ID: <005901d14acd$ebb2cdd0$c3186970$@fblan.de> Hallo Ich habe unterschiedliche cleanup's mit unterschiedlichen Header und Bodychecks am laufen cleanup unix n - - - 0 cleanup -o header_checks=pcre:/etc/postfix/checks/header_smtp,pcre:/etc/postfix/checks/ header_checks -o body_checks=pcre:/etc/postfix/checks/body_checks,pcre:/etc/postfix/checks/bo dy-deny cleanup2 unix n - - - 0 cleanup -o header_checks=pcre:/etc/postfix/checks/header_checks.587,pcre:/etc/postfix/c hecks/header_checks.fblan cleanup3 unix n - - - 0 cleanup -o body_checks= -o header_checks= Bis dato hat das auch scheinbar immer funktioniert? postmap -q - pcre:/etc/postfix/checks/header_checks Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From gregor at a-mazing.de Sun Jan 10 18:31:20 2016 From: gregor at a-mazing.de (Gregor Hermens) Date: Sun, 10 Jan 2016 18:31:20 +0100 Subject: Kein SMPT-Auth von Postfix =?utf-8?q?=C3=BCber_Dovecot?= =?utf-8?q?_m=C3=B6glich?= In-Reply-To: References: Message-ID: <201601101831.21043@office.a-mazing.net> Hallo Florian, Am Sonntag, 10. Januar 2016 schrieb Florian Brucker: > ich habe Probleme mit der SASL-Authentifizierung von Postfix über Dovecot. > Mit Kmail kann ich die Mails über IMAP abrufen, die Authentifizierung an > Dovecot klappt hier. Wenn ich aber Mails versenden will, wird die > Authentifizierung nicht durchgeführt, sondern die Mail durch postscreen > abgelehnt: > > Jan 10 17:46:34 mail postfix/postscreen[3025]: CONNECT from > [93.231.147.114]:46336 to [192.168.1.3]:25 Jan 10 17:46:34 mail > postfix/dnsblog[3032]: addr 93.231.147.114 listed by domain > zen.spamhaus.org as 127.0.0.10 authentifizierte Mails sollten nicht über Postscreen laufen. Das kannst du erreichen, indem du die Mails über verschiedene Ports (25/SMTP für MX, 587/Submission für authentifizierte User) oder IPs laufen lässt. Siehe auch http://www.postfix.org/POSTSCREEN_README.html hth Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From Flo.Brucker at gmx.de Sun Jan 10 18:44:05 2016 From: Flo.Brucker at gmx.de (Florian Brucker) Date: Sun, 10 Jan 2016 18:44:05 +0100 Subject: =?UTF-8?Q?Aw=3A_Re=3A_Kein_SMPT-Auth_von_P?= =?UTF-8?Q?ostfix__=C3=BCber_Dovecot_m=C3=B6glich?= In-Reply-To: <201601101831.21043@office.a-mazing.net> References: , <201601101831.21043@office.a-mazing.net> Message-ID: > authentifizierte Mails sollten nicht über Postscreen laufen. Das kannst du erreichen, indem du die Mails über verschiedene Ports (25/SMTP für MX, 587/Submission für > authentifizierte User) oder IPs laufen lässt. Siehe auch http://www.postfix.org/POSTSCREEN_README.html hth Gruß, Gregor Okay, das ist in dem Mailcow-Workflow allerdings auch so eingerichtet. Ausserdem steht im Dovecot-Buch explizit die Lösung mit service auth { unix_listener auth-userdb { mode = 0666 user = vamil group = vmail } unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } in der 10-master.conf Ich wundere mich, das sowohl der aktuelle Mailcow-Workflow als auch die Buchempfehlung nicht funktionieren. Grüße Flo From Flo.Brucker at gmx.de Sun Jan 10 18:57:10 2016 From: Flo.Brucker at gmx.de (Florian Brucker) Date: Sun, 10 Jan 2016 18:57:10 +0100 Subject: =?UTF-8?Q?Aw=3A_Re=3A_Kein_SMPT-Auth_von_P?= =?UTF-8?Q?ostfix__=C3=BCber_Dovecot_m=C3=B6glich?= In-Reply-To: References: , <201601101831.21043@office.a-mazing.net>, Message-ID: > Okay, das ist in dem Mailcow-Workflow allerdings auch so eingerichtet. > Ausserdem steht im Dovecot-Buch explizit die Lösung mit service auth { > unix_listener auth-userdb { > mode = 0666 > user = vamil > group = vmail > } > > unix_listener /var/spool/postfix/private/auth { > mode = 0666 > user = postfix > group = postfix > } > in der 10-master.conf > > Ich wundere mich, das sowohl der aktuelle Mailcow-Workflow als auch die > Buchempfehlung nicht funktionieren. > Ich wundere mich auch, warum nicht /var/spool/postfix/private/auth angelegt wird, obwohl ich den entsprechenden Eintarg von Mailcow in der dovecot.conf herausgenommen habe. Grüße Flo From postfixbuch-users at 0xaffe.de Sun Jan 10 18:51:24 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sun, 10 Jan 2016 18:51:24 +0100 Subject: =?UTF-8?Q?Re:_Kein_SMPT-Auth_von_Postfix_=c3=bcber_Dovecot_m=c3=b6g?= =?UTF-8?Q?lich?= In-Reply-To: References: <201601101831.21043@office.a-mazing.net> Message-ID: <56929A1C.7080303@0xaffe.de> Hallo Florian, Dein Problem ist (wahrscheinlich) nicht die SMTP-Authentifizierung, sondern liegt schon vorher (nämlich bei Postscreen). Was Gregor meinte ist, dass Deine (Test-)Clients nicht auf der selben IP/Port wie externe Server einliefern sollen. Also entweder eine andere IP benutzen oder den dafür vorgesehenen Submission-Port 587 benutzen. Viele Grüße, Mathias. Am 10.01.16 um 18:44 schrieb Florian Brucker: >> authentifizierte Mails sollten nicht über Postscreen laufen. Das kannst du erreichen, indem du die Mails über verschiedene Ports (25/SMTP für MX, 587/Submission für >> authentifizierte User) oder IPs laufen lässt. Siehe auch http://www.postfix.org/POSTSCREEN_README.html hth Gruß, Gregor > > Okay, das ist in dem Mailcow-Workflow allerdings auch so eingerichtet. Ausserdem steht im Dovecot-Buch explizit die Lösung mit > service auth { > unix_listener auth-userdb { > mode = 0666 > user = vamil > group = vmail > } > > unix_listener /var/spool/postfix/private/auth { > mode = 0666 > user = postfix > group = postfix > } > in der 10-master.conf > > Ich wundere mich, das sowohl der aktuelle Mailcow-Workflow als auch die Buchempfehlung nicht funktionieren. > > Grüße > > Flo > From Ralf.Eichler at dfkdw.org Sun Jan 10 19:01:30 2016 From: Ralf.Eichler at dfkdw.org (Ralf Eichler) Date: Sun, 10 Jan 2016 18:01:30 +0000 Subject: =?iso-8859-1?Q?AW:_Kein_SMPT-Auth_von_Postfix_=FCber_Dovecot_m=F6glich?= In-Reply-To: References: Message-ID: Hallo Florian, kann es sein, dass dein Dovecot die 10-master.conf gar nicht beachtet? http://ubuntuforums.org/showthread.php?t=2226188 Grüße, Ralf -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6816 bytes Beschreibung: nicht verfügbar URL : From gregor at a-mazing.de Sun Jan 10 20:16:04 2016 From: gregor at a-mazing.de (Gregor Hermens) Date: Sun, 10 Jan 2016 20:16:04 +0100 Subject: Kein SMPT-Auth von Postfix =?utf-8?q?=C3=BCber_Dovecot?= =?utf-8?q?_m=C3=B6glich?= In-Reply-To: <56929A1C.7080303@0xaffe.de> References:

<56929A1C.7080303@0xaffe.de> Message-ID: <201601102016.04262@office.a-mazing.net> Hallo nochmal, Am Sonntag, 10. Januar 2016 schrieb Mathias Jeschke: > Dein Problem ist (wahrscheinlich) nicht die SMTP-Authentifizierung, > sondern liegt schon vorher (nämlich bei Postscreen). > > Was Gregor meinte ist, dass Deine (Test-)Clients nicht auf der selben > IP/Port wie externe Server einliefern sollen. > Also entweder eine andere IP benutzen oder den dafür vorgesehenen > Submission-Port 587 benutzen. ... und dann dafür sorgen, daß Postscreen nur für die MX-IP/Port zu Einsatz kommt, indem in der master.cf dafür getrennte Services angelegt werden. Dein Problem ist, daß Postscreen die Mail blockt, bevor die Authentifizierung überhaupt ins Spiel kommt. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From boltz.willi.list at gmail.com Mon Jan 11 02:29:26 2016 From: boltz.willi.list at gmail.com (Wilhelm Boltz) Date: Mon, 11 Jan 2016 02:29:26 +0100 Subject: Aw: Re: Kein SMPT-Auth von Postfix =?UTF-8?B?w7xiZXIgRG92ZWNvdCBtw7ZnbGljaA==?= In-Reply-To: References: <201601101831.21043@office.a-mazing.net> Message-ID: <12106168.ZVmekrFdfm@jupiter> Hallo, Am Sonntag, 10. Januar 2016, 18:44:05 schrieb Florian Brucker: > > [...] > Okay, das ist in dem Mailcow-Workflow allerdings auch so eingerichtet. > Ausserdem steht im Dovecot-Buch explizit die Lösung mit service auth > { > unix_listener auth-userdb { > mode = 0666 > user = vamil Ist das da ^^^^^ ein Druckfehler oder steht es so in Deiner config? > group = vmail > } > [...] Gruß Willi From Flo.Brucker at gmx.de Mon Jan 11 10:46:09 2016 From: Flo.Brucker at gmx.de (Florian Brucker) Date: Mon, 11 Jan 2016 10:46:09 +0100 Subject: =?UTF-8?Q?Aw=3A_AW=3A_Kein_SMPT-Auth_von_?= =?UTF-8?Q?Postfix_=C3=BCber_Dovecot_m=C3=B6glich?= In-Reply-To: References: , Message-ID: > Hallo Florian, > > > > kann es sein, dass dein Dovecot die 10-master.conf gar nicht beachtet? > > http://ubuntuforums.org/showthread.php?t=2226188 > > > > Grüße, > > Ralf Besten Dank, das hat entscheidend weitergeholfen. In der dovecot.conf fehlte !include conf.d/*.conf. Ein service dovecot status liefert ? dovecot.service - Dovecot IMAP/POP3 email server Loaded: loaded (/lib/systemd/system/dovecot.service; enabled) Active: active (running) since Mo 2016-01-11 10:16:20 CET; 28min ago Main PID: 6909 (dovecot) CGroup: /system.slice/dovecot.service ??6909 /usr/sbin/dovecot -F ??6911 dovecot/managesieve-login ??6912 dovecot/anvil [3 connections] ??6913 dovecot/log ??6915 dovecot/managesieve-login ??6916 dovecot/config ??6918 dovecot/auth [0 wait, 0 passdb, 0 userdb] Jan 11 10:16:20 mail dovecot[6909]: Error: systemd listens on port 993, but it's not configured in Dovecot. Closing. Jan 11 10:16:20 mail dovecot[6909]: Error: systemd listens on port 993, but it's not configured in Dovecot. Closing. Wo aktiviere in Dovecot den Port 993? Grüße Flo From Ralf.Eichler at dfkdw.org Mon Jan 11 11:21:19 2016 From: Ralf.Eichler at dfkdw.org (Ralf Eichler) Date: Mon, 11 Jan 2016 10:21:19 +0000 Subject: =?iso-8859-1?Q?AW:_AW:_Kein_SMPT-Auth_von_Postfix_=FCber_Dovecot_m=F6glic?= =?iso-8859-1?Q?h?= In-Reply-To: References: , , Message-ID: Hallo Flo, zu 100% kann ich dir das nicht sagen. Allerdings wird TCP 993 nach meinem Stand für IMAPs verwendet, was bei dir mutmaßlich in der dovecot-config deaktivert ist. Vielleicht hilft das schon in die richtige Richtung. Grüße, Ralf From igor.sverkos at gmail.com Mon Jan 11 12:31:59 2016 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Mon, 11 Jan 2016 12:31:59 +0100 Subject: Per User/Domain Rate Limits in heutigen Setups Message-ID: Hallo, ich wollte einmal nachfragen was heute State-Of-The-Art in Sachen Rate-Limitierung ist. Es geht also darum zu verhindern (bzw. zumindest den Schaden bis zur Entdeckung soweit möglich zu begrenzen), dass bspw. über einen ansonsten gültigen Mailaccount plötzlich unerwünschte Mails in Massen eingekippt werden, abseits vom Filtern ausgehender Mails, weil sich der Nutzer zum Beispiel Malware eingefangen hat. Wenn man hier auf bspw. 60 Mails pro Stunde limitieren würden, so wäre dies schon ein Ansatz (das Erreichen so eines Limits kann man dann ja wieder überwachen und Rückfrage zu halten ist besser als Nachsorge zu betreiben). Ist hier PolicyD v2 aka "cluebringer" (http://wiki.policyd.org/) zu empfehlen? Geht so etwas heute mit Amavis? Nutzt ihr kleine Lösungen wie http://www.simonecaruso.com/limit-sender-rate-in-postfix/ oder kommt ihr mit Postfix-Boardmitteln aus? Was empfehlt ihr hier im Jahre 2016? -- Ich Grüße Igor From daniel at ist-immer-online.de Mon Jan 11 15:34:01 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 11 Jan 2016 15:34:01 +0100 Subject: AW: Per User/Domain Rate Limits in heutigen Setups In-Reply-To: References: Message-ID: <000601d14c7d$1de05880$59a10980$@ist-immer-online.de> Hi, bei mir steht in der main.cf smtpd_sasl_sender_rate_limit = 100 für 100 Mails pro Tag. Evt. hilft es ja weiter. Gruß Daniel -----Ursprüngliche Nachricht----- Hallo, ich wollte einmal nachfragen was heute State-Of-The-Art in Sachen Rate-Limitierung ist. Es geht also darum zu verhindern (bzw. zumindest den Schaden bis zur Entdeckung soweit möglich zu begrenzen), dass bspw. über einen ansonsten gültigen Mailaccount plötzlich unerwünschte Mails in Massen eingekippt werden, abseits vom Filtern ausgehender Mails, weil sich der Nutzer zum Beispiel Malware eingefangen hat. Wenn man hier auf bspw. 60 Mails pro Stunde limitieren würden, so wäre dies schon ein Ansatz (das Erreichen so eines Limits kann man dann ja wieder überwachen und Rückfrage zu halten ist besser als Nachsorge zu betreiben). Ist hier PolicyD v2 aka "cluebringer" (http://wiki.policyd.org/) zu empfehlen? Geht so etwas heute mit Amavis? Nutzt ihr kleine Lösungen wie http://www.simonecaruso.com/limit-sender-rate-in-postfix/ oder kommt ihr mit Postfix-Boardmitteln aus? Was empfehlt ihr hier im Jahre 2016? -- Ich Grüße Igor From driessen at fblan.de Mon Jan 11 15:56:45 2016 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Mon, 11 Jan 2016 15:56:45 +0100 Subject: AW: Per User/Domain Rate Limits in heutigen Setups In-Reply-To: <000601d14c7d$1de05880$59a10980$@ist-immer-online.de> References: <000601d14c7d$1de05880$59a10980$@ist-immer-online.de> Message-ID: <00c001d14c80$4aacf9b0$e006ed10$@fblan.de> Im Auftrag von Daniel > > bei mir steht in der main.cf > > smtpd_sasl_sender_rate_limit = 100 Woher kommt der Parameter ? Ich finde den zumindest nicht auf der postfix.org Ich kenne alle ratelimits nur im Bezug auf anvil zeiteinheiten > > für 100 Mails pro Tag. Evt. hilft es ja weiter. > > Gruß Daniel > Ich benutze dafür smtpd_client_connection_count_limit = 2 smtpd_client_connection_rate_limit = 1 smtpd_client_message_rate_limit = 3 smtpd_client_recipient_rate_limit = 10 anvil_rate_time_unit = 60s übersetzt in 60 sec darf es 2 connects bei 1 gleichzeitigem connect 3 mails mit je 10 recipients geben Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at ist-immer-online.de Mon Jan 11 16:06:52 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 11 Jan 2016 16:06:52 +0100 Subject: AW: Per User/Domain Rate Limits in heutigen Setups In-Reply-To: <00c001d14c80$4aacf9b0$e006ed10$@fblan.de> References: <000601d14c7d$1de05880$59a10980$@ist-immer-online.de> <00c001d14c80$4aacf9b0$e006ed10$@fblan.de> Message-ID: <000b01d14c81$b40f2a80$1c2d7f80$@ist-immer-online.de> Hi, ich weiß nicht, war vom Hersteller im Mailserver Paket so mit bei. Finde bei Google leider auch nichts näheres zu. smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, reject_sasl_sender_rate_exceed So tief bin ich da nicht in der Materie mit SASL und so. Gibt da noch paar Werte aber passen ja nicht zum Anliegen. smtpd_sasl_sender_quota_maps smtpd_sasl_sender_quota_cache Evt. helfen auch die 5 Einträge aus dem Archiv https://listi.jpberlin.de/pipermail/postfixbuch-users/2010-October/054988.html Gruß Daniel -----Ursprüngliche Nachricht----- > > bei mir steht in der main.cf > > smtpd_sasl_sender_rate_limit = 100 Woher kommt der Parameter ? Ich finde den zumindest nicht auf der postfix.org From kai_postfix at fuerstenberg.ws Mon Jan 11 16:19:12 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Mon, 11 Jan 2016 16:19:12 +0100 Subject: Per User/Domain Rate Limits in heutigen Setups In-Reply-To: <000b01d14c81$b40f2a80$1c2d7f80$@ist-immer-online.de> References: <000601d14c7d$1de05880$59a10980$@ist-immer-online.de> <00c001d14c80$4aacf9b0$e006ed10$@fblan.de> <000b01d14c81$b40f2a80$1c2d7f80$@ist-immer-online.de> Message-ID: <5693C7F0.9030602@fuerstenberg.ws> Am 11.01.2016 um 16:06 schrieb Daniel: > ich weiß nicht, war vom Hersteller im Mailserver Paket so mit bei. Finde bei Google leider auch nichts näheres zu. > > smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, reject_sasl_sender_rate_exceed > > So tief bin ich da nicht in der Materie mit SASL und so. Gibt da noch paar Werte aber passen ja nicht zum Anliegen. > smtpd_sasl_sender_quota_maps > smtpd_sasl_sender_quota_cache reject_sasl_sender_* gibt es in der Postfix-Doku nicht. smtpd_sasl_sender_* gibt es auch nicht, weder *_rate_limit, noch *_quota_*, noch sonst irgend was. > Evt. helfen auch die 5 Einträge aus dem Archiv > https://listi.jpberlin.de/pipermail/postfixbuch-users/2010-October/054988.html > > Gruß Daniel > > -----Ursprüngliche Nachricht----- >> >> bei mir steht in der main.cf >> >> smtpd_sasl_sender_rate_limit = 100 > > Woher kommt der Parameter ? > > Ich finde den zumindest nicht auf der postfix.org > -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From mailinglisten at pothe.de Mon Jan 11 17:27:42 2016 From: mailinglisten at pothe.de (Andreas Pothe) Date: Mon, 11 Jan 2016 17:27:42 +0100 Subject: =?UTF-8?Q?EWE_ohne_verschl=c3=bcsselte_=c3=9cbertragung_von_E-Mails?= Message-ID: <5693D7FE.4080503@pothe.de> [OT] Moin, ich rege mich gerade ein wenig auf. Dass es da draußen viele Möchtegern-Admins gibt, die ihren eigenen E-Mail-Server betreiben und die Konfiguration dabei nicht optimal ist, sollte bekannt sein. Dass aber ein, zumindest regional in Norddeutschland agierender, nicht unbekannter Internet-Provider seine(n) Mailserver vernachlässigt, schockt mich doch gerade mal wirklich. Eigentlich war es ein Zufallsfund, weil ich im Maillog etwas gesucht habe, aber in der Tat: Bei denen ist gar nichts von Verschlüsselung zu sehen. Selbst ohne rechtliche Verpflichtung findes ich es zumindest schon einmal ziemlich frech den eigenen Kunden gegenüber. Vor allem aber zeugt es davon, dass dieses Unternehmen scheinbar sehr wenig Wert auf Sicherheit legt. Wäre ich bei dem Verein Kunde, ich würde dort aufgrund dieser Tatsache kündigen, da ich davon ausgehen müsste, dass auch in anderen Bereichen das Thema sehr lax angegangen wird. Meinungen Eurerseits? CU Andreas From driessen at fblan.de Mon Jan 11 18:13:12 2016 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Mon, 11 Jan 2016 18:13:12 +0100 Subject: =?UTF-8?Q?AW:_EWE_ohne_verschl=C3=BCsselte_=C3=9Cber?= =?UTF-8?Q?tragung_von_E-Mails?= In-Reply-To: <5693D7FE.4080503@pothe.de> References: <5693D7FE.4080503@pothe.de> Message-ID: <00da01d14c93$5ba68c00$12f3a400$@fblan.de> Im Auftrag von Andreas Pothe > [OT] > > Moin, > > ich rege mich gerade ein wenig auf. Dass es da draußen viele > Möchtegern-Admins gibt, die ihren eigenen E-Mail-Server betreiben und > die Konfiguration dabei nicht optimal ist, sollte bekannt sein. > > Dass aber ein, zumindest regional in Norddeutschland agierender, nicht > unbekannter Internet-Provider seine(n) Mailserver vernachlässigt, > schockt mich doch gerade mal wirklich. Eigentlich war es ein > Zufallsfund, weil ich im Maillog etwas gesucht habe, aber in der Tat: > Bei denen ist gar nichts von Verschlüsselung zu sehen. Selbst ohne > rechtliche Verpflichtung findes ich es zumindest schon einmal ziemlich > frech den eigenen Kunden gegenüber. Vor allem aber zeugt es davon, dass > dieses Unternehmen scheinbar sehr wenig Wert auf Sicherheit legt. Big Business heißt nicht mehr Qualität oder bessere Admins. Wobei ich eigentlich davon ausgehe das die gerne anders würden wenn sie denn dürften . Wie war das "der Fisch fängt immer am Kopf......" > > Wäre ich bei dem Verein Kunde, ich würde dort aufgrund dieser Tatsache > kündigen, da ich davon ausgehen müsste, dass auch in anderen Bereichen > das Thema sehr lax angegangen wird. Jeder bekommt das wofür er bezahlt. (und manchmal noch nicht mal das) > > Meinungen Eurerseits? > > CU > Andreas Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Zahlenmaler at t-online.de Mon Jan 11 19:33:41 2016 From: Zahlenmaler at t-online.de (=?UTF-8?Q?Robert_M=c3=b6ker?=) Date: Mon, 11 Jan 2016 19:33:41 +0100 Subject: =?UTF-8?Q?Re:_EWE_ohne_verschl=c3=bcsselte_=c3=9cbertragung_von_E-M?= =?UTF-8?Q?ails?= In-Reply-To: <5693D7FE.4080503@pothe.de> References: <5693D7FE.4080503@pothe.de> Message-ID: <5693F585.5000903@t-online.de> Moin, naja ich sage mal so, 90% der Leute die emails verschicken ist es scheißegal. (90% könnte glatt zuwenig sein) Warum, weil es Sie einfach nicht interessiert, egal ob es am Wildcardzertifikat für eine globale Domain liegt die nicht im scheiss Outlook funktionieren will, oder oder oder. Es muss einfach nur funktionieren, und dann geht das mit dem oder dem Smartphone nicht, bei andern geht es aber. Also wird der Neffe von irgendjemandem gefragt, oder jemand, der von jemandem gehört hat, der mal einen gesehen haben soll, wie ein anderer einen Drucker angeschlossen hat. Der kommt dann auch vorbei,t faselt irgendwas und dann geht es, prima. Tenor der Geschicht SSL oder TLS , hä was? Emails kommen plötzlich nicht mehr auf dem Smartphone an nur noch auf dem Rechner. *shocking* So dann kommen die bösen anrufe beim Support nix geht mehr, emails "verschwinden" und dann wird noch mit dem Anwalt gedroht, weil das ein wichtiger Kundenauftrag war der verlust ist horrend mehrere 100 Arbeitnehmer sind dann arbeitslos usw und sofort.... Regress 1Million ? und mehr. Jetzt kommt dann noch einer vom Managment der mit 2atü auf der letzten Weihnachtsfeier noch im Hinterkopf Probleme Email, hm was kostet das überhaupt. Waaas 750? im Monat für 1000 Postfächer zu je 2GB Speicher, das gibts bei "Mittbäumen" für 20? im Monat. Nächstes Gespräch, der Vertireb will den Kunden nicht verlieren wird es entweder günstiger machen oder mehr Platz anbieten und viel besseren Support anbieten. Man schaut kurz das Supportaufkommen dieses Kunden im Ticketsystem nach, hm 4 Stunden im schnitt jeden Monat. Meine Antwort: Sie haben die identischen Leistungen woanders günstiger gesehen? Ja viel günstiger sogar, aha ja dann wechseln. Wir kommen Ihnen aber gerne noch entgegen heute ist der 20igste Dezember wir räumen ihnen eine schnelle Kündigung ein wie wär es mit dem 31.12.2015, ja okay alles klar. (Ich würde wirklich Silvester schnell anstoßen um zu überwachen das auch alle Postfächer wirklich gelöscht sind) So wir haben jetzt also eine unsicher Übertragung zwischen MTA1und MTA2 alles andere ist nicht verschlüsselt. Für mich inakzeptabel für dich offensichtlich auch, aber es jukt doch keinen Ameisenstaat wenn 2 Ameisen unzufrieden und empört sind. (Leider) Sicherheit und Verschlüsselung ist "Presse Aktionismus" und er darf sich nicht bemerkbar machen, nichts kosten und muss wie ein Wunderwerk immer funktionieren, egal was der Endanwender macht. Das funktioniert auch alles so ganz gut, bis es wieder Softwareupdates oder neue Hardware vom ISP gibt, dann bist Du doch eh wieder der "Arsch". Gruß Robert P.S.: Ich würde mich bei der Firma wohl bewerben, offensichtlich suchen die Händeringend nach Personal. ;-P Am 11.01.2016 um 17:27 schrieb Andreas Pothe: > [OT] > > Moin, > > ich rege mich gerade ein wenig auf. Dass es da draußen viele > Möchtegern-Admins gibt, die ihren eigenen E-Mail-Server betreiben und > die Konfiguration dabei nicht optimal ist, sollte bekannt sein. > > Dass aber ein, zumindest regional in Norddeutschland agierender, nicht > unbekannter Internet-Provider seine(n) Mailserver vernachlässigt, > schockt mich doch gerade mal wirklich. Eigentlich war es ein > Zufallsfund, weil ich im Maillog etwas gesucht habe, aber in der Tat: > Bei denen ist gar nichts von Verschlüsselung zu sehen. Selbst ohne > rechtliche Verpflichtung findes ich es zumindest schon einmal ziemlich > frech den eigenen Kunden gegenüber. Vor allem aber zeugt es davon, dass > dieses Unternehmen scheinbar sehr wenig Wert auf Sicherheit legt. > > Wäre ich bei dem Verein Kunde, ich würde dort aufgrund dieser Tatsache > kündigen, da ich davon ausgehen müsste, dass auch in anderen Bereichen > das Thema sehr lax angegangen wird. > > Meinungen Eurerseits? > > CU > Andreas From igor.sverkos at gmail.com Mon Jan 11 23:45:50 2016 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Mon, 11 Jan 2016 23:45:50 +0100 Subject: Per User/Domain Rate Limits in heutigen Setups In-Reply-To: <00c001d14c80$4aacf9b0$e006ed10$@fblan.de> References: <000601d14c7d$1de05880$59a10980$@ist-immer-online.de> <00c001d14c80$4aacf9b0$e006ed10$@fblan.de> Message-ID: Hallo, Danke für eure bisherigen Antworten! Uwe Drießen schrieb: > Ich benutze dafür > > smtpd_client_connection_count_limit = 2 > smtpd_client_connection_rate_limit = 1 > smtpd_client_message_rate_limit = 3 > smtpd_client_recipient_rate_limit = 10 > anvil_rate_time_unit = 60s > > übersetzt in 60 sec darf es 2 connects bei 1 gleichzeitigem > connect 3 mails mit je 10 recipients geben Wie handhabst du Ausnahmen davon? Also wenn ein benannter Account bspw. Mails an bis zu 30 Empfänger senden können soll? -- Ich Grüße Igor From Jogie at quantentunnel.de Fri Jan 15 14:21:11 2016 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 15 Jan 2016 14:21:11 +0100 Subject: FROM Adressen anders weiterleiten Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andre.peters at debinux.de Fri Jan 15 14:30:33 2016 From: andre.peters at debinux.de (=?utf-8?Q?Andr=C3=A9_Peters?=) Date: Fri, 15 Jan 2016 14:30:33 +0100 Subject: FROM Adressen anders weiterleiten In-Reply-To: References: Message-ID: <5153F274-1A0E-4DBC-8897-D1E09C911E90@debinux.de> Hi, sender_dependent_relayhost_maps sollte dir helfen. :-) wenn ich es gerade korrekt im Kopf habe... Grüße André Von meinem iPhone gesendet > Am 15.01.2016 um 14:21 schrieb Jörg Sitek : > > Hallo Postfix Gemeinde, > > ich suche nach einer Lösung E-Mails die VON bestimmten Absendern kommen über ein anderes Relay zu routen. Was wäre der einfachste Weg dafür? die FROM-Adressen stehen fest. > > Danke & viele Grüße > Jörg -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Jogie at quantentunnel.de Fri Jan 15 15:13:16 2016 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Fri, 15 Jan 2016 15:13:16 +0100 Subject: Aw: Re: FROM Adressen anders weiterleiten In-Reply-To: <5153F274-1A0E-4DBC-8897-D1E09C911E90@debinux.de> References: , <5153F274-1A0E-4DBC-8897-D1E09C911E90@debinux.de> Message-ID: Hi Andre, > sender_dependent_relayhost_maps sollte dir helfen. :-) wenn ich es gerade korrekt im Kopf habe... danke! Genau was ich gesuchtg habe. Funktioniert prima. viele Grüße & ein schönes Wochenende Jörg From mailinglists at engelbracht.de Sun Jan 17 14:42:05 2016 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Sun, 17 Jan 2016 14:42:05 +0100 Subject: AMaVis: Konfiguration pro IP-Adresse Message-ID: <20160117134205.GA28283@engelbracht.de> Hallo zusammen, ich habe einen Server mit mehreren IP-Adressen. Postfix ist so konfigurier, dass jeder Kunde seine eigene IP-Adresse hat. Das funktioniert auch problemlos. Nun möchte ich bei AMaViS pro IP-Adresse (bzw: pro Domain) eine unterschiedliche Konfiguration hinterlegen. $inet_socket_bind = [ '11.22.33.44', '22.33.44.55' ]; $inet_socket_port = 8888; $forward_method = 'smtp:*:9999'; Das funktioniert: AMaViS lauscht auf den angegebenen IP-Adressen, jeweils auf Port 8888. Die Rückgabe an postfix erfolgt dann zu der IP-Adresse, die die E-Mail ursprünglich eingeliefert hat, an Port 9999. Dann habe ich versucht, mit mehreren "policy_bank"-Einträgen dies zu steuern: [ ... ] $policy_bank{'domain1.tld'} = { myhostname => 'mail.domain1.tld', localhost_name => 'mail.domain1.tld' }; $policy_bank{'domain2.tld'} = { myhostname => 'mail.domain2.tld', localhost_name => 'mail.domain2.tld' }; [ ... ] Dann bin ich auf den Parameter "@client_ipaddr_policy" gestossen. Hiermit kann man ja pro CLIENT-IP-Adresse die Zuordnung vornehmen: @client_ipaddr_policy = ( [qw( 11.22.33.44/32 )] => 'domain1.tld', [qw( 22.33.44.55/32 )] => 'domain2.tld' ); In meinem Fall benötige ich aber nicht die Client-IP, sondern die Ziel-IP... Gibt es hierfür auch einen Parameter? Oder gibt die Möglichkeit, beim Parameter "$inet_socket_bind" die IP-Adressen inkl. Port zu definieren? Also: 11.22.33.44, Port 8888 22.33.44.55, Port 9014 Das würde mir auch helfen, denn dann könnte ich per "interface_policy" dies steuern: $interface_policy{'8888'} = 'domain1.tls'; $interface_policy{'9014'} = 'domain2.tls'; Vielen Dank im Voraus. Liebe Grüße Thilo From p at sys4.de Sun Jan 17 18:32:31 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 17 Jan 2016 18:32:31 +0100 Subject: AMaVis: Konfiguration pro IP-Adresse In-Reply-To: <20160117134205.GA28283@engelbracht.de> References: <20160117134205.GA28283@engelbracht.de> Message-ID: <20160117173231.GA7056@sys4.de> * Thilo Engelbracht : > Hallo zusammen, > > ich habe einen Server mit mehreren IP-Adressen. Postfix ist so > konfigurier, dass jeder Kunde seine eigene IP-Adresse hat. Das > funktioniert auch problemlos. > > Nun möchte ich bei AMaViS pro IP-Adresse (bzw: pro Domain) eine > unterschiedliche Konfiguration hinterlegen. > > $inet_socket_bind = [ '11.22.33.44', '22.33.44.55' ]; > $inet_socket_port = 8888; > $forward_method = 'smtp:*:9999'; inet_socket_bind ist eine alte und wenig flexible Methode. Probier mal das und passe es Deinen IPs bzw. Ports an: @listen_sockets = ( # Release '[::1]:9998', # Post-Queue, Submission '[::1]:10026', # Pre-Queue, MTA zu MTA "$MYHOME/amavisd.sock" ); Den (IPs):Ports Deiner Kunden kannst Du dann interface_policies zuweisen. p at rick > > Das funktioniert: AMaViS lauscht auf den angegebenen IP-Adressen, > jeweils auf Port 8888. > Die Rückgabe an postfix erfolgt dann zu der IP-Adresse, die die E-Mail > ursprünglich eingeliefert hat, an Port 9999. > > Dann habe ich versucht, mit mehreren "policy_bank"-Einträgen dies zu > steuern: > > [ ... ] > $policy_bank{'domain1.tld'} = { > myhostname => 'mail.domain1.tld', > localhost_name => 'mail.domain1.tld' > }; > $policy_bank{'domain2.tld'} = { > myhostname => 'mail.domain2.tld', > localhost_name => 'mail.domain2.tld' > }; > [ ... ] > > Dann bin ich auf den Parameter "@client_ipaddr_policy" gestossen. > Hiermit kann man ja pro CLIENT-IP-Adresse die Zuordnung vornehmen: > > @client_ipaddr_policy = ( > [qw( 11.22.33.44/32 )] => 'domain1.tld', > [qw( 22.33.44.55/32 )] => 'domain2.tld' > ); > > In meinem Fall benötige ich aber nicht die Client-IP, sondern die > Ziel-IP... Gibt es hierfür auch einen Parameter? > > Oder gibt die Möglichkeit, beim Parameter "$inet_socket_bind" die > IP-Adressen inkl. Port zu definieren? Also: > 11.22.33.44, Port 8888 > 22.33.44.55, Port 9014 > Das würde mir auch helfen, denn dann könnte ich per "interface_policy" > dies steuern: > $interface_policy{'8888'} = 'domain1.tls'; > $interface_policy{'9014'} = 'domain2.tls'; > > > Vielen Dank im Voraus. > > Liebe Grüße > > Thilo -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From mailinglists at engelbracht.de Mon Jan 18 07:51:14 2016 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Mon, 18 Jan 2016 07:51:14 +0100 Subject: AMaVis: Konfiguration pro IP-Adresse In-Reply-To: <20160117173231.GA7056@sys4.de> References: <20160117134205.GA28283@engelbracht.de> <20160117173231.GA7056@sys4.de> Message-ID: <20160118065114.GA1623@engelbracht.de> Patrick Ben Koetter

: > * Thilo Engelbracht : > > Hallo zusammen, > > > > ich habe einen Server mit mehreren IP-Adressen. Postfix ist so > > konfigurier, dass jeder Kunde seine eigene IP-Adresse hat. Das > > funktioniert auch problemlos. > > > > Nun möchte ich bei AMaViS pro IP-Adresse (bzw: pro Domain) eine > > unterschiedliche Konfiguration hinterlegen. > > > > $inet_socket_bind = [ '11.22.33.44', '22.33.44.55' ]; > > $inet_socket_port = 8888; > > $forward_method = 'smtp:*:9999'; > > > inet_socket_bind ist eine alte und wenig flexible Methode. Probier mal das und > passe es Deinen IPs bzw. Ports an: > > @listen_sockets = ( > # Release > '[::1]:9998', > # Post-Queue, Submission > '[::1]:10026', > # Pre-Queue, MTA zu MTA > "$MYHOME/amavisd.sock" > ); > > Den (IPs):Ports Deiner Kunden kannst Du dann interface_policies zuweisen. Klappt einwandfrei. Vielen Dank für Deine Hilfe. > p at rick Liebe Grüße Thilo From postfixer99 at gmail.com Mon Jan 18 20:09:49 2016 From: postfixer99 at gmail.com (Carsten) Date: Mon, 18 Jan 2016 20:09:49 +0100 Subject: Untrusted TLS connection beim Mailversand Message-ID: <569D387D.1060209@gmail.com> Hallo Leute, ich möchte auf einem SLES 11 SP3 erreichen, dass beim Versand das Zertifikat der Gegenstelle geprüft wird und ein "Trusted" bzw. "Untrusted" im Log steht. Die Gegenstelle (Mailserver) ist mit einem Zertifikat meiner eigenen CA ausgestattet und liefert beim connect die ganze Zertifikatskette mit aus. Ein entsprechender Test mit "openssl s_client -starttls smtp -CAfile /etc/ssl/certs/mycert.pem -connect mailserver.foobar.de:25" liefert auch ein "Verify return code: 0 (ok)" zurück. Ich habe mein Root-CA-Zertifikat nach "/etc/ssl/certs" kopiert und mit "c_rehash" neu erstellt. Ich habe folgende Optionen in der main.cf gesetzt: smtp_tls_CApath = /etc/ssl/certs/ Mit der Option "smtp_tls_security_level = verify" oder "encrypt" kommt folgendes: ---------------------------------------------------------------------------------- Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: mailserver.foobar.de[10.9.9.9]:25 Matched CommonName mailserver.foobar.de Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: mailserver.foobar.de[10.9.9.9]:25: subject_CN=mailserver.foobar.de, issuer_CN=Meine-CA, fingerprint AA:BB:CC:DD:AA:BB:CC:DD:AA:BB:CC:DD:AA:BB:CC:DD, pkey_fingerprint=AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: Verified TLS connection established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits) Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: 9A700EEAE: to=>, relay=mailserver.foobar.de[10.9.9.9]:25, delay=0.09, delays=0.02/0.01/0.05/0.02, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 2BA7C489F) Jan 18 19:01:03 sles-test01 postfix/qmgr[31780]: 9A700EEAE: removed Das sieht doch gut aus, das Zertifikat wurde geprüft und vertraut. Mit der Option "smtp_tls_security_level = may erhalte ich stets ein "Untrusted" -------------------------------------------------------------------------------- Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: Untrusted TLS connection established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 with cipher ADH-CAMELLIA256-SHA (256/256 bits) Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: 05F7AEEB0: to=>, relay=mailserver.foobar.de[10.9.9.9]:25, delay=0.07, delays=0.03/0.01/0.02/0.01, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 82C1E489F) Jan 18 19:01:56 sles-test01 postfix/qmgr[31952]: 05F7AEEB0: removed Wie kann das sein? "may" ist doch opportunistisches TLS. Warum erkennt er nicht wie bei "verify", dass dies eine vertrauenswürdige Verbindung ist? Beste Grüße Carsten -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From jost+lists at dimejo.at Mon Jan 18 20:43:29 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Mon, 18 Jan 2016 20:43:29 +0100 Subject: Untrusted TLS connection beim Mailversand In-Reply-To: <569D387D.1060209@gmail.com> References: <569D387D.1060209@gmail.com> Message-ID: <569D4061.7000500@dimejo.at> Am 18.01.2016 um 20:09 schrieb Carsten: > Hallo Leute, > > ich möchte auf einem SLES 11 SP3 erreichen, dass beim Versand das > Zertifikat der Gegenstelle geprüft wird und ein "Trusted" bzw. > "Untrusted" im Log steht. > > Die Gegenstelle (Mailserver) ist mit einem Zertifikat meiner eigenen CA > ausgestattet und liefert beim connect die ganze Zertifikatskette mit aus. > > Ein entsprechender Test mit "openssl s_client -starttls smtp -CAfile > /etc/ssl/certs/mycert.pem -connect mailserver.foobar.de:25" liefert auch > ein "Verify return code: 0 (ok)" zurück. > > Ich habe mein Root-CA-Zertifikat nach "/etc/ssl/certs" kopiert und mit > "c_rehash" neu erstellt. > > Ich habe folgende Optionen in der main.cf gesetzt: > > smtp_tls_CApath = /etc/ssl/certs/ > > Mit der Option "smtp_tls_security_level = verify" oder "encrypt" kommt > folgendes: > > ---------------------------------------------------------------------------------- > > > Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: > mailserver.foobar.de[10.9.9.9]:25 Matched CommonName mailserver.foobar.de > > Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: > mailserver.foobar.de[10.9.9.9]:25: subject_CN=mailserver.foobar.de, > issuer_CN=Meine-CA, fingerprint > AA:BB:CC:DD:AA:BB:CC:DD:AA:BB:CC:DD:AA:BB:CC:DD, > pkey_fingerprint=AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA:AA > > Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: Verified TLS connection > established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 with cipher > DHE-RSA-CAMELLIA256-SHA (256/256 bits) > > Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: 9A700EEAE: > to=>, > relay=mailserver.foobar.de[10.9.9.9]:25, delay=0.09, > delays=0.02/0.01/0.05/0.02, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued > as 2BA7C489F) > > Jan 18 19:01:03 sles-test01 postfix/qmgr[31780]: 9A700EEAE: removed > > Das sieht doch gut aus, das Zertifikat wurde geprüft und vertraut. > > Mit der Option "smtp_tls_security_level = may erhalte ich stets ein > "Untrusted" > > -------------------------------------------------------------------------------- > > > Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: Untrusted TLS > connection established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 with > cipher ADH-CAMELLIA256-SHA (256/256 bits) > > Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: 05F7AEEB0: > to=>, > relay=mailserver.foobar.de[10.9.9.9]:25, delay=0.07, > delays=0.03/0.01/0.02/0.01, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued > as 82C1E489F) > > Jan 18 19:01:56 sles-test01 postfix/qmgr[31952]: 05F7AEEB0: removed > > Wie kann das sein? "may" ist doch opportunistisches TLS. > > Warum erkennt er nicht wie bei "verify", dass dies eine > vertrauenswürdige Verbindung ist? In der Standardeinstellung werden die Zertifikate nicht verifiziert. Es geht nur darum eine verschlüsselte Verbindung zustande zu bringen. Die Meldung "Untrusted" ist da vielleicht etwas irreführend. Wenn ich mich nicht irre wurde die Fehlermeldung in den aktuellen Postfix-Versionen präzisiert. Mit dem Parameter smtp_tls_policy_maps[1] kannst Du festlegen, dass die Verbindung zu bestimmten Empfängern verifiziert wird. In meinen Augen ist es ein wenig sinnfrei zu überprüfen, ob das Zertifikat von irgendeiner vertrauenswürdigen CA ausgestellt wurde, solange Du nicht sicherstellt, dass Du auch mit dem richtigen Server sprichst. Besser wäre es meiner Ansicht nach die Fingerprints der Gegenstelle zu pinnen. Das ist allerdings ein wenig problematisch, da es voraus setzt, dass Du die Fingerprints kennst bevor die Zertifikate getauscht werden. Im Idealfall ist die Domain des Empfängers mit DNSSEC und DANE gesichert. [1]: http://www.postfix.org/TLS_README.html#client_tls_policy -- Alex JOST From jra at byte.cx Mon Jan 18 20:45:20 2016 From: jra at byte.cx (Jens Adam) Date: Mon, 18 Jan 2016 20:45:20 +0100 Subject: Untrusted TLS connection beim Mailversand In-Reply-To: <569D387D.1060209@gmail.com> References: <569D387D.1060209@gmail.com> Message-ID: <20160118204520.0e37ac8d@metis.byte.cx> Mon, 18 Jan 2016 20:09:49 +0100 Carsten : > Mit der Option "smtp_tls_security_level = verify" oder "encrypt" kommt > folgendes: > Jan 18 19:01:03 sles-test01 postfix/smtp[31829]: Verified TLS > connection established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 > with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits) ^^^ > Mit der Option "smtp_tls_security_level = may erhalte ich stets ein > "Untrusted" > Jan 18 19:01:56 sles-test01 postfix/smtp[31973]: Untrusted TLS > connection established to mailserver.foobar.de[10.9.9.9]:25: TLSv1 > with cipher ADH-CAMELLIA256-SHA (256/256 bits) > ^^^ > Warum erkennt er nicht wie bei "verify", dass dies eine > vertrauenswürdige Verbindung ist? Hallo Carsten, dein Postfix benutzt für das schwächere 'security_level' eine andere Cipher-Auswahl ('postconf smtp_tls_protocols smtp_tls_ciphers' vs. 'postconf smtp_tls_mandatory_protocols smtp_tls_mandatory_ciphers'). Die A*-Cipher sind "Anonymous", verifizieren also ausdrücklich nicht ihre Gegenseite, von daher können die niemals "Trusted/Verified" sein. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From mailbox at suenkler.info Wed Jan 20 08:35:31 2016 From: mailbox at suenkler.info (Hendrik =?utf-8?Q?S=C3=BCnkler?=) Date: Wed, 20 Jan 2016 08:35:31 +0100 Subject: Idee: =?utf-8?Q?Transportverschl=C3=BCsselung?= unter Anwender-Kontrolle Message-ID: <87oacg66v0.fsf@suenkler.info> Liebe Postfix-Kollegen, in der letzten Zeit habe ich mir einige Gedanken zum Thema E-Mail-Verschlüsselung gemacht und wie ich die Workflows für ?meine User? einfacher machen kann. Leider werden S/MIME und OpenPGP in den Unternehmen nur sehr selten eingesetzt. Wir haben zwar eine entsprechende Gateway-Lösung und auch viele unserer Kommunikationspartner scheinen technisch darauf vorbereitet, aber eingesetzt wird S/MIME bzw. OpenPGP in der Praxis leider kaum. Auf der anderen Seite unterstützen aber mittlerweile ca. 90% der Mailserver TLS. Aus diesem Grund habe ich mir ein paar Gedanken gemacht, wie wir TLS gewinnbringender für uns einsetzen können. So praktisch die Grundeinstellung des opportunistischen TLS Modus auch ist (smtp_tls_security_level = may), dem Anwender bringt es leider wenig. Denn er muss in dem Moment, da er auf ?senden? klickt wissen, ob seine Mail verschlüsselt wird. Die Lösung lautet also Mandatory TLS (smtp_tls_security_level gleich mindestens encrypt). Aber da ja noch ca. 10% der Mailserver kein TLS unterstützen, werden einige Mails in der Queue hängen bleiben. Es liegt dann am Administrator, den Absender anzusprechen, wie mit seiner Mail verfahren werden soll, denn der Administrator kann schlecht selbst entscheiden, ob die Informationen sensibel sind, so dass sie nicht unverschlüsselt gesendet werden dürfen, oder ob es sich beispielsweise nur um eine Terminbestätigung handelt, bei der es auch in Ordnung wäre, wenn sie unverschlüsselt heraus geschickt wird. Dieser Vorgang bindet viele personelle Ressourcen und ist sowohl für den Administrator als auch den Anwender nervig. Meine Idee ist es nun, dem Absender die Kontrolle über die in diesem Szenario in der Queue hängen gebliebene Mail zu geben. Ich habe ein Python-Programm geschrieben, welches die Postfix Queue jede Minute nach Mails durchsucht, die wegen fehlender TLS-Unterstützung der Gegenseite nicht zugestellt wurden (?TLS is required, but was not offered?). Wenn ein solcher Eintrag gefunden wird, erhält der Absender eine Benachrichtigung per Mail, in der er dann zwei Buttons findet: ?Mail löschen? oder ?Mail unverschlüsselt zustellen?. Auf diese Weise mache ich TLS neben S/MIME und OpenPGP zu einer für den Anwender tatsächlich nutzbaren Verschlüsselungsvariante. Und ich etabliere eine sichere Grundeinstellung: Wenn der Anwender nichts macht außer seine Mail zu versenden, kann der davon ausgehen, dass die Übertragung gesichert ist. Wenn dann im Einzelfall keine sichere Verbindung zum Zielserver aufgebaut werden kann, muss der Absender sich bewusst für die unverschlüsselte Zustellung entscheiden - oder er löscht die Mail und findet einen anderen Weg, mit dem Empfänger zu kommunizieren. Natürlich ist die Welt der E-Mail-Verschlüsselung nicht schwarz-weiß und dies ist nicht die perfekte Lösung. So ist TLS natürlich keine Ende-zu-Ende-Verschlüsselung. Und auch ist es etwas semi-optimal, dass eine Mail bei fehlender Verschlüsselung zunächst zurück gehalten wird und der Absender nochmals tätig werden muss, bevor seine Mail dann versendet wird - sofern er sie unverschlüsselt senden möchte. Aber mir scheint dieser ?Workflow? derzeit die beste Variante zu sein. Quasi aus einem Reflex heraus habe ich eine Domain registriert und unter https://posttls.com eine kleine Webseite erstellt, auf der ich den Ansatz noch etwas weiter erläutere. Es würde mich freuen, eure Meinung zu dieser Idee zu hören. Vielleicht hat ja jemand schon etwas ähnliches implementiert?! Den Code werde ich unter eine Open Source Lizenz stellen und auf GitHub veröffentlichen, falls die Lösung auf Interesse stößt. Viele Grüße! Hendrik Sünkler -- http://suenkler.info From andre.pirot at gmx.de Wed Jan 20 08:59:23 2016 From: andre.pirot at gmx.de (Andre Pirot) Date: Wed, 20 Jan 2016 08:59:23 +0100 Subject: vtigerCRM - 503 5.5.1 Error: authentication not enabled Message-ID: Guten Morgen, ich versuche in vtigerCRM meinen Postfix/Dovecot-Server als SMTP-Server einzurichten. In vtigerCRM habe ich die Möglichkeit, "Server Name", "User Name", "Password", "From Email" und "Requires Authentication" anzugeben, aber keinen Port 25, 465 oder 587. Mein Postfix erwartet die Authentifizierung auf 587. Jetzt habe ich unter mynetworks explizit 192.168.1.0/24 angegeben, weil der crm-Server auf 192.168.1.7 liegt, währende Postfix auf 192.168.1.3. Wenn ich in vtigerCRM die Mailserver-Einstellungen abschicken sehe ich: Jan 20 08:34:01 mail postfix/smtpd[17231]: input attribute name: (end) Jan 20 08:34:01 mail postfix/smtpd[17231]: connection established Jan 20 08:34:01 mail postfix/smtpd[17231]: master_notify: status 0 Jan 20 08:34:01 mail postfix/smtpd[17231]: name_mask: resource Jan 20 08:34:01 mail postfix/smtpd[17231]: name_mask: software Jan 20 08:34:01 mail postfix/smtpd[17231]: connect from unknown[192.168.1.7] Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: unknown: no match Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: 192.168.1.7: no match Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: unknown: no match Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: 192.168.1.7: no match Jan 20 08:34:01 mail postfix/smtpd[17231]: smtp_stream_setup: maxtime=300 enable_deadline=0 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 127.0.0.0/8 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 127.0.0.0/8 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::ffff:127.0.0.0]/104 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::ffff:127.0.0.0]/104 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::1]/128 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::1]/128 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 192.168.1.0/24 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 192.168.1.0/24 Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 220 mail.example.com Jan 20 08:34:01 mail postfix/smtpd[17231]: < unknown[192.168.1.7]: EHLO 192.168.1.7 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: unknown: no match Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: 192.168.1.7: no match Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-mail.example.com Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-PIPELINING Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-SIZE 26214400 Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-ETRN Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-STARTTLS Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-ENHANCEDSTATUSCODES Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-8BITMIME Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250 DSN Jan 20 08:34:01 mail postfix/smtpd[17231]: < unknown[192.168.1.7]: AUTH LOGIN Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 503 5.5.1 Error: authentication not enabled Jan 20 08:34:01 mail postfix/smtpd[17231]: < unknown[192.168.1.7]: quit Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 221 2.0.0 Bye Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 127.0.0.0/8 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 127.0.0.0/8 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::ffff:127.0.0.0]/104 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::ffff:127.0.0.0]/104 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::1]/128 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::1]/128 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 192.168.1.0/24 Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 192.168.1.0/24 Jan 20 08:34:01 mail postfix/smtpd[17231]: disconnect from unknown[192.168.1.7] Jan 20 08:34:01 mail postfix/smtpd[17231]: master_notify: status 1 Jan 20 08:34:01 mail postfix/smtpd[17231]: connection closed alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 1d broken_sasl_auth_clients = yes config_directory = /etc/postfix disable_vrfy_command = yes html_directory = /usr/share/doc/postfix/html inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 maximal_backoff_time = 1800s maximal_queue_lifetime = 1d message_size_limit = 26214400 milter_default_action = accept milter_protocol = 6 minimal_backoff_time = 300s mydestination = mail.example.com, localhost.example.com, localhost myhostname = mail.example.com mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.1.0/24 myorigin = /etc/mailname postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr postscreen_bare_newline_enable = no postscreen_blacklist_action = drop postscreen_cache_cleanup_interval = 24h postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache postscreen_dnsbl_action = enforce postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7 dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5 bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8 dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3 dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2 dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[10;11]*8 zen.spamhaus.org=127.0.0.[4..7]*6 zen.spamhaus.org=127.0.0.3*4 zen.spamhaus.org=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.4*1 hostkarma.junkemailfilter.com=127.0.1.2*1 wl.mailspike.net=127.0.0.[18;19;20]*-2 hostkarma.junkemailfilter.com=127.0.0.1*-2 postscreen_dnsbl_threshold = 8 postscreen_dnsbl_ttl = 5m postscreen_greet_action = enforce postscreen_greet_banner = $smtpd_banner postscreen_greet_ttl = 2d postscreen_greet_wait = 3s postscreen_non_smtp_command_enable = no postscreen_pipelining_enable = no proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps queue_run_delay = 300s readme_directory = /usr/share/doc/postfix recipient_delimiter = + relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf relay_recipient_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf relayhost = smtp_header_checks = pcre:/etc/postfix/mailcow_anonymize_headers.pcre smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_cert_file = /etc/ssl/mail/mail.crt smtp_tls_key_file = /etc/ssl/mail/mail.key smtp_tls_loglevel = 1 smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname smtpd_data_restrictions = reject_unauth_pipelining, permit smtpd_delay_reject = yes smtpd_error_sleep_time = 10s smtpd_hard_error_limit = ${stress?1}${stress:5} smtpd_helo_required = yes smtpd_proxy_timeout = 600s smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_reverse_client_hostname, reject_unauth_destination smtpd_restriction_classes = z1_greylisting smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_path = private/auth_dovecot smtpd_sasl_type = dovecot smtpd_sender_login_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject_unlisted_sender, reject_unknown_sender_domain smtpd_soft_error_limit = 3 smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/ssl/mail/mail.crt smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA smtpd_tls_key_file = /etc/ssl/mail/mail.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA virtual_alias_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_catchall_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /var/vmail/ virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_mailbox_maps.cf virtual_minimum_uid = 104 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:5000 z1_greylisting = permit_dnswl_client list.dnswl.org, check_policy_service inet:127.0.0.1:10023 Liegt die Unfähigkeit des Authentifizierens daran, dass 587 nicht angesprochen wird? Deswegen hatte ich eigentlich mynetworks entsprechend erweitert, damit Port 25 gilt. Oder liegt das an der Verschlüsselung des Passwortes? Ich trage das Passwort in vtigerCRM im Klartext ein und nutze als Benutzernamen die Form user at example.com. Wie sähe die Authenfitierung auf einem Postfix auf 192.168.1.7 aus, wenn dieser nur als SMTP-Relay an mail.example.com (192.168.1.2) senden können soll? Hier würde ich einen spartanische Postfix-Konfiguration einrichten. Grüße Andre From andre.peters at debinux.de Wed Jan 20 09:03:43 2016 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Wed, 20 Jan 2016 09:03:43 +0100 Subject: vtigerCRM - 503 5.5.1 Error: authentication not enabled In-Reply-To: References: Message-ID: <569F3F5F.5040404@debinux.de> Hi, laut Doku: tls://mail.example.org:587 Wenn der Sender in mynetworks ist, brauchst du - je nach Konfiguration - gar kein AUTH mehr. Vielleicht stört es Postfix, dass du es trotzdem versuchst. Angenommen immer, dass permit_mynetworks an entsprechender Stelle steht. Grüße, André P. Am 20.01.2016 um 08:59 schrieb Andre Pirot: > Guten Morgen, > > ich versuche in vtigerCRM meinen Postfix/Dovecot-Server als SMTP-Server einzurichten. In vtigerCRM habe ich die Möglichkeit, "Server Name", "User Name", "Password", "From Email" und "Requires Authentication" anzugeben, aber keinen Port 25, 465 oder 587. Mein Postfix erwartet die Authentifizierung auf 587. Jetzt habe ich unter mynetworks explizit 192.168.1.0/24 angegeben, weil der crm-Server auf 192.168.1.7 liegt, währende Postfix auf 192.168.1.3. > Wenn ich in vtigerCRM die Mailserver-Einstellungen abschicken sehe ich: > > > Jan 20 08:34:01 mail postfix/smtpd[17231]: input attribute name: (end) > Jan 20 08:34:01 mail postfix/smtpd[17231]: connection established > Jan 20 08:34:01 mail postfix/smtpd[17231]: master_notify: status 0 > Jan 20 08:34:01 mail postfix/smtpd[17231]: name_mask: resource > Jan 20 08:34:01 mail postfix/smtpd[17231]: name_mask: software > Jan 20 08:34:01 mail postfix/smtpd[17231]: connect from unknown[192.168.1.7] > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: unknown: no match > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: 192.168.1.7: no match > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: unknown: no match > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: 192.168.1.7: no match > Jan 20 08:34:01 mail postfix/smtpd[17231]: smtp_stream_setup: maxtime=300 enable_deadline=0 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 127.0.0.0/8 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 127.0.0.0/8 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::ffff:127.0.0.0]/104 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::ffff:127.0.0.0]/104 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::1]/128 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::1]/128 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 192.168.1.0/24 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 192.168.1.0/24 > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 220 mail.example.com > Jan 20 08:34:01 mail postfix/smtpd[17231]: < unknown[192.168.1.7]: EHLO 192.168.1.7 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: unknown: no match > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_list_match: 192.168.1.7: no match > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-mail.example.com > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-PIPELINING > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-SIZE 26214400 > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-ETRN > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-STARTTLS > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-ENHANCEDSTATUSCODES > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250-8BITMIME > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 250 DSN > Jan 20 08:34:01 mail postfix/smtpd[17231]: < unknown[192.168.1.7]: AUTH LOGIN > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 503 5.5.1 Error: authentication not enabled > Jan 20 08:34:01 mail postfix/smtpd[17231]: < unknown[192.168.1.7]: quit > Jan 20 08:34:01 mail postfix/smtpd[17231]: > unknown[192.168.1.7]: 221 2.0.0 Bye > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 127.0.0.0/8 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 127.0.0.0/8 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::ffff:127.0.0.0]/104 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::ffff:127.0.0.0]/104 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? [::1]/128 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? [::1]/128 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostname: unknown ~? 192.168.1.0/24 > Jan 20 08:34:01 mail postfix/smtpd[17231]: match_hostaddr: 192.168.1.7 ~? 192.168.1.0/24 > Jan 20 08:34:01 mail postfix/smtpd[17231]: disconnect from unknown[192.168.1.7] > Jan 20 08:34:01 mail postfix/smtpd[17231]: master_notify: status 1 > Jan 20 08:34:01 mail postfix/smtpd[17231]: connection closed > > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > bounce_queue_lifetime = 1d > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > disable_vrfy_command = yes > html_directory = /usr/share/doc/postfix/html > inet_interfaces = all > inet_protocols = all > mailbox_size_limit = 0 > maximal_backoff_time = 1800s > maximal_queue_lifetime = 1d > message_size_limit = 26214400 > milter_default_action = accept > milter_protocol = 6 > minimal_backoff_time = 300s > mydestination = mail.example.com, localhost.example.com, localhost > myhostname = mail.example.com > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.1.0/24 > myorigin = /etc/mailname > postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr > postscreen_bare_newline_enable = no > postscreen_blacklist_action = drop > postscreen_cache_cleanup_interval = 24h > postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache > postscreen_dnsbl_action = enforce > postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7 dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5 bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8 dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3 dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2 dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[10;11]*8 zen.spamhaus.org=127.0.0.[4..7]*6 zen.spamhaus.org=127.0.0.3*4 zen.spamhaus.org=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.4*1 hostkarma.junkemailfilter.com=127.0.1.2*1 wl.mailspike.net=127.0.0.[18;19;20]*-2 hostkarma.junkemailfilter.com=127.0.0.1*-2 > postscreen_dnsbl_threshold = 8 > postscreen_dnsbl_ttl = 5m > postscreen_greet_action = enforce > postscreen_greet_banner = $smtpd_banner > postscreen_greet_ttl = 2d > postscreen_greet_wait = 3s > postscreen_non_smtp_command_enable = no > postscreen_pipelining_enable = no > proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps > queue_run_delay = 300s > readme_directory = /usr/share/doc/postfix > recipient_delimiter = + > relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf > relay_recipient_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf > relayhost = > smtp_header_checks = pcre:/etc/postfix/mailcow_anonymize_headers.pcre > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt > smtp_tls_cert_file = /etc/ssl/mail/mail.crt > smtp_tls_key_file = /etc/ssl/mail/mail.key > smtp_tls_loglevel = 1 > smtp_tls_security_level = may > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname > smtpd_data_restrictions = reject_unauth_pipelining, permit > smtpd_delay_reject = yes > smtpd_error_sleep_time = 10s > smtpd_hard_error_limit = ${stress?1}${stress:5} > smtpd_helo_required = yes > smtpd_proxy_timeout = 600s > smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_reverse_client_hostname, reject_unauth_destination > smtpd_restriction_classes = z1_greylisting > smtpd_sasl_auth_enable = yes > smtpd_sasl_authenticated_header = yes > smtpd_sasl_path = private/auth_dovecot > smtpd_sasl_type = dovecot > smtpd_sender_login_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf > smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject_unlisted_sender, reject_unknown_sender_domain > smtpd_soft_error_limit = 3 > smtpd_tls_auth_only = yes > smtpd_tls_cert_file = /etc/ssl/mail/mail.crt > smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams.pem > smtpd_tls_eecdh_grade = strong > smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA > smtpd_tls_key_file = /etc/ssl/mail/mail.key > smtpd_tls_loglevel = 1 > smtpd_tls_mandatory_ciphers = high > smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA > smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 > smtpd_tls_security_level = may > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA > virtual_alias_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_catchall_maps.cf > virtual_gid_maps = static:5000 > virtual_mailbox_base = /var/vmail/ > virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf > virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_mailbox_maps.cf > virtual_minimum_uid = 104 > virtual_transport = lmtp:unix:private/dovecot-lmtp > virtual_uid_maps = static:5000 > z1_greylisting = permit_dnswl_client list.dnswl.org, check_policy_service inet:127.0.0.1:10023 > > > Liegt die Unfähigkeit des Authentifizierens daran, dass 587 nicht angesprochen wird? Deswegen hatte ich eigentlich mynetworks entsprechend erweitert, damit Port 25 gilt. Oder liegt das an der Verschlüsselung des Passwortes? Ich trage das Passwort in vtigerCRM im Klartext ein und nutze als Benutzernamen die Form user at example.com. > > Wie sähe die Authenfitierung auf einem Postfix auf 192.168.1.7 aus, wenn dieser nur als SMTP-Relay an mail.example.com (192.168.1.2) senden können soll? Hier würde ich einen spartanische Postfix-Konfiguration einrichten. > > Grüße > > Andre -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5642 bytes Beschreibung: S/MIME Cryptographic Signature URL : From andre.pirot at gmx.de Wed Jan 20 09:08:41 2016 From: andre.pirot at gmx.de (Andre Pirot) Date: Wed, 20 Jan 2016 09:08:41 +0100 Subject: Aw: Re: vtigerCRM - 503 5.5.1 Error: authentication not enabled In-Reply-To: <569F3F5F.5040404@debinux.de> References: , <569F3F5F.5040404@debinux.de> Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From buettnerp at web.de Thu Jan 21 00:38:31 2016 From: buettnerp at web.de (Peter Buettner) Date: Thu, 21 Jan 2016 00:38:31 +0100 Subject: =?UTF-8?Q?Re:_Idee:_Transportverschl=c3=bcsselung_unter_Anwender-Ko?= =?UTF-8?Q?ntrolle?= In-Reply-To: <87oacg66v0.fsf@suenkler.info> References: <87oacg66v0.fsf@suenkler.info> Message-ID: <56A01A77.7060908@web.de> Hallo Hendrik, die Idee gefällt mir sehr gut, weil keine Eingriffe in den MUA's nötig sind. Es wäre auch eine sehr schöne Lösung für das Versenden mit dane-only. Dann müsste das Skript nach "non DNSSEC destination" suchen. Da bei dieser Variante eine weitere Verarbeitung nicht erwünscht ist, würde ein Hinweis auf die Nichtzustellbarkeit Ich würde die Lösung gerne in meinem Produktivsystem testen. Viele Grüße Peter Büttner Am 20.01.2016 um 08:35 schrieb Hendrik Sünkler: > Liebe Postfix-Kollegen, > > in der letzten Zeit habe ich mir einige Gedanken zum Thema > E-Mail-Verschlüsselung gemacht und wie ich die Workflows für ?meine > User? einfacher machen kann. Leider werden S/MIME und OpenPGP in den > Unternehmen nur sehr selten eingesetzt. Wir haben zwar eine > entsprechende Gateway-Lösung und auch viele unserer > Kommunikationspartner scheinen technisch darauf vorbereitet, aber > eingesetzt wird S/MIME bzw. OpenPGP in der Praxis leider kaum. Auf der > anderen Seite unterstützen aber mittlerweile ca. 90% der Mailserver TLS. > Aus diesem Grund habe ich mir ein paar Gedanken gemacht, wie wir TLS > gewinnbringender für uns einsetzen können. > > So praktisch die Grundeinstellung des opportunistischen TLS Modus auch > ist (smtp_tls_security_level = may), dem Anwender bringt es leider > wenig. Denn er muss in dem Moment, da er auf ?senden? klickt wissen, ob > seine Mail verschlüsselt wird. Die Lösung lautet also Mandatory TLS > (smtp_tls_security_level gleich mindestens encrypt). Aber da ja noch ca. > 10% der Mailserver kein TLS unterstützen, werden einige Mails in der > Queue hängen bleiben. Es liegt dann am Administrator, den Absender > anzusprechen, wie mit seiner Mail verfahren werden soll, denn der > Administrator kann schlecht selbst entscheiden, ob die Informationen > sensibel sind, so dass sie nicht unverschlüsselt gesendet werden dürfen, > oder ob es sich beispielsweise nur um eine Terminbestätigung handelt, > bei der es auch in Ordnung wäre, wenn sie unverschlüsselt heraus > geschickt wird. Dieser Vorgang bindet viele personelle Ressourcen und > ist sowohl für den Administrator als auch den Anwender nervig. > > Meine Idee ist es nun, dem Absender die Kontrolle über die in diesem > Szenario in der Queue hängen gebliebene Mail zu geben. Ich habe ein > Python-Programm geschrieben, welches die Postfix Queue jede Minute nach > Mails durchsucht, die wegen fehlender TLS-Unterstützung der Gegenseite > nicht zugestellt wurden (?TLS is required, but was not offered?). Wenn > ein solcher Eintrag gefunden wird, erhält der Absender eine > Benachrichtigung per Mail, in der er dann zwei Buttons findet: ?Mail > löschen? oder ?Mail unverschlüsselt zustellen?. > > Auf diese Weise mache ich TLS neben S/MIME und OpenPGP zu einer für den > Anwender tatsächlich nutzbaren Verschlüsselungsvariante. Und ich > etabliere eine sichere Grundeinstellung: Wenn der Anwender nichts macht > außer seine Mail zu versenden, kann der davon ausgehen, dass die > Übertragung gesichert ist. Wenn dann im Einzelfall keine sichere > Verbindung zum Zielserver aufgebaut werden kann, muss der Absender sich > bewusst für die unverschlüsselte Zustellung entscheiden - oder er löscht > die Mail und findet einen anderen Weg, mit dem Empfänger zu > kommunizieren. > > Natürlich ist die Welt der E-Mail-Verschlüsselung nicht schwarz-weiß und > dies ist nicht die perfekte Lösung. So ist TLS natürlich keine > Ende-zu-Ende-Verschlüsselung. Und auch ist es etwas semi-optimal, dass > eine Mail bei fehlender Verschlüsselung zunächst zurück gehalten wird > und der Absender nochmals tätig werden muss, bevor seine Mail dann > versendet wird - sofern er sie unverschlüsselt senden möchte. Aber mir > scheint dieser ?Workflow? derzeit die beste Variante zu sein. > > Quasi aus einem Reflex heraus habe ich eine Domain registriert und unter > https://posttls.com eine kleine Webseite erstellt, auf der ich den > Ansatz noch etwas weiter erläutere. Es würde mich freuen, eure Meinung > zu dieser Idee zu hören. Vielleicht hat ja jemand schon etwas ähnliches > implementiert?! Den Code werde ich unter eine Open Source Lizenz stellen > und auf GitHub veröffentlichen, falls die Lösung auf Interesse stößt. > > > Viele Grüße! > Hendrik Sünkler > From postfixer99 at gmail.com Thu Jan 21 08:32:26 2016 From: postfixer99 at gmail.com (Carsten) Date: Thu, 21 Jan 2016 08:32:26 +0100 Subject: Untrusted TLS connection beim Mailversand In-Reply-To: <569D4061.7000500@dimejo.at> References: <569D387D.1060209@gmail.com> <569D4061.7000500@dimejo.at> Message-ID: <56A0898A.90708@gmail.com> Vielen Dank für Eure Infos. > In der Standardeinstellung werden die Zertifikate nicht verifiziert. > Es geht nur darum eine verschlüsselte Verbindung zustande zu bringen. > Die Meldung "Untrusted" ist da vielleicht etwas irreführend. Wenn ich > mich nicht irre wurde die Fehlermeldung in den aktuellen > Postfix-Versionen präzisiert. > Stimmt. Unter Debian 8 (Postfix 2.11.3-1) lautet die Meldung "Anonymous" statt "Untrusted". Das ist dann natürlich schon aussagekräftiger. > Mit dem Parameter smtp_tls_policy_maps[1] kannst Du festlegen, dass > die Verbindung zu bestimmten Empfängern verifiziert wird. > Das ist ne gute Lösung. Dann lass ich einfach die Standardeinstellung auf "smtp_tls_security_level = may" und arbeite mit der "smtp_tls_policy_maps" für diejenigen Server, bei denen ich die Zertifikatsprüfung sicherstellen möchte. > In meinen Augen ist es ein wenig sinnfrei zu überprüfen, ob das > Zertifikat von irgendeiner vertrauenswürdigen CA ausgestellt wurde, > solange Du nicht sicherstellt, dass Du auch mit dem richtigen Server > sprichst. > Da hast Du Recht, aber ich arbeite hier in unserem internen Servernetz. Da will ich nur bestimmte Ziele prüfen, wo ich Zertifikate unserer eigenen CA einsetze. >> Die A*-Cipher sind "Anonymous", verifizieren also ausdrücklich nicht ihre Gegenseite, von daher können die niemals "Trusted/Verified" sein. Wieder was gelernt! Besten Dank und viele Grüße Carsten From mailbox at suenkler.info Thu Jan 21 09:02:02 2016 From: mailbox at suenkler.info (Hendrik =?utf-8?Q?S=C3=BCnkler?=) Date: Thu, 21 Jan 2016 09:02:02 +0100 Subject: Idee: =?utf-8?Q?Transportverschl=C3=BCsselung?= unter Anwender-Kontrolle In-Reply-To: <56A01A77.7060908@web.de> (Peter Buettner's message of "Thu, 21 Jan 2016 00:38:31 +0100") References: <87oacg66v0.fsf@suenkler.info> <56A01A77.7060908@web.de> Message-ID: <87vb6n9x8l.fsf@suenkler.info> Hallo Peter, vielen Dank für Deine Antwort! Peter Buettner writes: > die Idee gefällt mir sehr gut, weil keine Eingriffe in den MUA's nötig > sind. Es wäre auch eine sehr schöne Lösung für das Versenden mit > dane-only. Dann müsste das Skript nach "non DNSSEC destination" suchen. > Da bei dieser Variante eine weitere Verarbeitung nicht erwünscht ist, > würde ein Hinweis auf die Nichtzustellbarkeit > Ich würde die Lösung gerne in meinem Produktivsystem testen. Auch eine sehr schöne Variante. Ich habe eine Reihe von Domains, bei denen wir Mandatory TLS fest vereinbart haben, so dass hier der Absender nicht einfach selbst entscheiden darf, dass die einzelne Mail unverschlüsselt zugestellt wird, falls TLS einmal nicht funktioniert. In diesen Fällen habe ich es mir auch so gedacht, dass die Mail aus der Queue gelöscht wird und der Absender eine entsprechende Benachrichtigung bekommt. Bei dieser Variante sieht die Lösung in Python noch weitaus einfacher aus. Denn dann muss ja gar kein User Input mehr entgegen genommen werden. Den ganzen ?Web-Teil? der Lösung kann man sich also sparen. Gerade letzteres ist in der Einrichtung etwas Arbeit, da man einen Webserver und eine Datenbank benötigt. Ich verwende derzeit Gunicorn hinter Nginx als Webserver und schlicht Sqlite als Datenbank. Aber wie gesagt, wenn man gar kein User Input entgegen nimmt, sondern nur die Benachrichtigung versenden möchte, dass die Mail nicht zugestellt werden konnte, reicht ja ein einfaches Python Script, das dann beispielsweise jede Minute per cron ausgeführt wird. Ich setzte mich am Wochenende daran und stelle die Lösung auf GitHub. Falls es Dir hilft, stelle ich auch gerne eine Variante online, die nur aus dem kleinen Python Script besteht, welches die E-Mail-Benachrichtigung an den Absender verschickt und die Mail dann aus der Queue löscht. Viele Grüße! Hendrik -- Hendrik Sünkler OpenPGP-Fingerprint = 2357 F464 39FC DD13 F222 http://suenkler.info AA88 4835 15A4 50E9 A7BF From matthias.doering at mldsc.de Thu Jan 21 09:11:28 2016 From: matthias.doering at mldsc.de (=?utf-8?Q?Matthias_D=C3=B6ring?=) Date: Thu, 21 Jan 2016 09:11:28 +0100 Subject: =?utf-8?Q?Re:_Idee:_Transportverschl=C3=BCsselung_unter_Anwender?= =?utf-8?Q?-Kontrolle?= In-Reply-To: <87vb6n9x8l.fsf@suenkler.info> References: <87oacg66v0.fsf@suenkler.info> <56A01A77.7060908@web.de> <87vb6n9x8l.fsf@suenkler.info> Message-ID: <78D026CA-DFD1-42C9-8330-A1F55BC1BD82@mldsc.de> Interessant wäre in dem Kontext wie Ihr mit der Anforderung von umgeht im Bezug auf explizit nur folgende AbsenderDomains an folgende Zieldomains Routen? Von meinem iPhone gesendet > Am 21.01.2016 um 09:02 schrieb Hendrik Sünkler : > > Hallo Peter, > > vielen Dank für Deine Antwort! > > Peter Buettner writes: >> die Idee gefällt mir sehr gut, weil keine Eingriffe in den MUA's nötig >> sind. Es wäre auch eine sehr schöne Lösung für das Versenden mit >> dane-only. Dann müsste das Skript nach "non DNSSEC destination" suchen. >> Da bei dieser Variante eine weitere Verarbeitung nicht erwünscht ist, >> würde ein Hinweis auf die Nichtzustellbarkeit >> Ich würde die Lösung gerne in meinem Produktivsystem testen. > > Auch eine sehr schöne Variante. Ich habe eine Reihe von Domains, bei > denen wir Mandatory TLS fest vereinbart haben, so dass hier der Absender > nicht einfach selbst entscheiden darf, dass die einzelne Mail > unverschlüsselt zugestellt wird, falls TLS einmal nicht funktioniert. In > diesen Fällen habe ich es mir auch so gedacht, dass die Mail aus der > Queue gelöscht wird und der Absender eine entsprechende Benachrichtigung > bekommt. > > Bei dieser Variante sieht die Lösung in Python noch weitaus einfacher > aus. Denn dann muss ja gar kein User Input mehr entgegen genommen > werden. Den ganzen ?Web-Teil? der Lösung kann man sich also sparen. > Gerade letzteres ist in der Einrichtung etwas Arbeit, da man einen > Webserver und eine Datenbank benötigt. Ich verwende derzeit Gunicorn > hinter Nginx als Webserver und schlicht Sqlite als Datenbank. Aber wie > gesagt, wenn man gar kein User Input entgegen nimmt, sondern nur die > Benachrichtigung versenden möchte, dass die Mail nicht zugestellt werden > konnte, reicht ja ein einfaches Python Script, das dann beispielsweise > jede Minute per cron ausgeführt wird. > > Ich setzte mich am Wochenende daran und stelle die Lösung auf GitHub. > Falls es Dir hilft, stelle ich auch gerne eine Variante online, die nur > aus dem kleinen Python Script besteht, welches die > E-Mail-Benachrichtigung an den Absender verschickt und die Mail dann aus > der Queue löscht. > > Viele Grüße! > Hendrik > > -- > Hendrik Sünkler OpenPGP-Fingerprint = 2357 F464 39FC DD13 F222 > http://suenkler.info AA88 4835 15A4 50E9 A7BF From postfix at linuxmaker.com Thu Jan 21 15:59:57 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Thu, 21 Jan 2016 15:59:57 +0100 Subject: smtp_auth an Port 587 Message-ID: <1739735.YEfMY73qdC@stuttgart> Hallo zusammen, ich habe eine Frage zur SMPT-Authentifizierung bei einen Postfix-Server, der einen Relay-Host hat. Meiner hat bisher folgende Konfiguration alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix inet_interfaces = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 mydestination = asterisk.example.com, localhost.example.local, localhost, stuttgart.example.local myhostname = asterisk.example.com mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp.example.org smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth smtp_sasl_security_options = noanonymous smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps und folgende smtp_auth: mail.smtp.example.org asterisk:Supergeheim Das hat bislang auch funktioniert mit Cyrus-Sasl. Jetzt stelle ich auf Postfix/Dovecot um und verwende den Submission-Port 587. Wie muss ich smtp_auth gestalten, dass smtp.example.org die Verbindung nicht ablehnt: Jan 21 15:54:44 mail postfix/postscreen[11647]: CONNECT from [94.213.188.54]:48135 to [192.168.1.2]:25 Jan 21 15:54:44 mail postfix/dnsblog[11656]: addr 94.213.188.54 listed by domain zen.spamhaus.org as 127.0.0.10 Jan 21 15:54:47 mail postfix/postscreen[11647]: DNSBL rank 8 for [94.213.188.54]:48135 Jan 21 15:54:47 mail postfix/postscreen[11647]: NOQUEUE: reject: RCPT from [94.213.188.54]:48135: 550 5.7.1 Service unavailable; client [94.213.188.54] blocked using zen.spamhaus.org; from=, to=, proto=ESMTP, helo= Jan 21 15:54:47 mail postfix/postscreen[11647]: DISCONNECT [94.213.188.54]:48135 Jan 21 15:54:47 mail postfix/postscreen[11647]: CONNECT from [94.213.188.54]:48136 to [192.168.1.2]:25 Jan 21 15:54:47 mail postfix/dnsblog[11659]: addr 94.213.188.54 listed by domain zen.spamhaus.org as 127.0.0.10 Jan 21 15:54:50 mail postfix/postscreen[11647]: DNSBL rank 8 for [94.213.188.54]:48136 Jan 21 15:54:50 mail postfix/postscreen[11647]: NOQUEUE: reject: RCPT from [94.213.188.54]:48136: 550 5.7.1 Service unavailable; client [94.213.188.54] blocked using zen.spamhaus.org; from=<>, to=, proto=ESMTP, helo= Jan 21 15:54:50 mail postfix/postscreen[11647]: DISCONNECT [94.213.188.54]:48136 Ich habe inzwischen auch tls://mail.smtp.example.org:587 asterisk:Supergeheim in der smtp_auth probiert. Ohne Erfolg. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andre.peters at debinux.de Thu Jan 21 16:06:01 2016 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Thu, 21 Jan 2016 16:06:01 +0100 Subject: smtp_auth an Port 587 In-Reply-To: <1739735.YEfMY73qdC@stuttgart> References: <1739735.YEfMY73qdC@stuttgart> Message-ID: <56A0F3D9.4010002@debinux.de> Hi, zum Beispiel so: relayhost = [smtp.example.org]:587 Die Klammern bedeuten, dass er nicht den MX-Record für die Sub-Domain smtp.example.org verwenden soll, WENN es denn einen gibt. Ich setze die Klammern in der Regel lieber, man weiß ja nie, wer da am DNS rumbaut. :-) Grüße André Am 21.01.2016 um 15:59 schrieb Andreas Günther: > Hallo zusammen, > > ich habe eine Frage zur SMPT-Authentifizierung bei einen Postfix-Server, der > einen Relay-Host hat. > > Meiner hat bisher folgende Konfiguration > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > config_directory = /etc/postfix > inet_interfaces = all > mailbox_command = procmail -a "$EXTENSION" > mailbox_size_limit = 0 > mydestination = asterisk.example.com, localhost.example.local, localhost, > stuttgart.example.local > myhostname = asterisk.example.com > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = /etc/mailname > readme_directory = no > recipient_delimiter = + > relayhost = smtp.example.org > smtp_sasl_auth_enable = yes > smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth > smtp_sasl_security_options = noanonymous > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps > > und folgende smtp_auth: > mail.smtp.example.org asterisk:Supergeheim > > Das hat bislang auch funktioniert mit Cyrus-Sasl. Jetzt stelle ich auf > Postfix/Dovecot um und verwende den Submission-Port 587. > Wie muss ich smtp_auth gestalten, dass smtp.example.org die Verbindung nicht > ablehnt: > Jan 21 15:54:44 mail postfix/postscreen[11647]: CONNECT from > [94.213.188.54]:48135 to [192.168.1.2]:25 > Jan 21 15:54:44 mail postfix/dnsblog[11656]: addr 94.213.188.54 listed by > domain zen.spamhaus.org as 127.0.0.10 > Jan 21 15:54:47 mail postfix/postscreen[11647]: DNSBL rank 8 for > [94.213.188.54]:48135 > Jan 21 15:54:47 mail postfix/postscreen[11647]: NOQUEUE: reject: RCPT from > [94.213.188.54]:48135: 550 5.7.1 Service unavailable; client [94.213.188.54] > blocked using zen.spamhaus.org; from=, > to=, proto=ESMTP, helo= > Jan 21 15:54:47 mail postfix/postscreen[11647]: DISCONNECT > [94.213.188.54]:48135 > Jan 21 15:54:47 mail postfix/postscreen[11647]: CONNECT from > [94.213.188.54]:48136 to [192.168.1.2]:25 > Jan 21 15:54:47 mail postfix/dnsblog[11659]: addr 94.213.188.54 listed by > domain zen.spamhaus.org as 127.0.0.10 > Jan 21 15:54:50 mail postfix/postscreen[11647]: DNSBL rank 8 for > [94.213.188.54]:48136 > Jan 21 15:54:50 mail postfix/postscreen[11647]: NOQUEUE: reject: RCPT from > [94.213.188.54]:48136: 550 5.7.1 Service unavailable; client [94.213.188.54] > blocked using zen.spamhaus.org; from=<>, to=, proto=ESMTP, > helo= > Jan 21 15:54:50 mail postfix/postscreen[11647]: DISCONNECT > [94.213.188.54]:48136 > > Ich habe inzwischen auch > > tls://mail.smtp.example.org:587 asterisk:Supergeheim > > in der smtp_auth probiert. Ohne Erfolg. > > Grüße > > Andreas > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5642 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Thu Jan 21 18:19:55 2016 From: ffiene at veka.com (Frank fiene) Date: Thu, 21 Jan 2016 18:19:55 +0100 Subject: Mal wieder das Thema SPAM Message-ID: Hallo allerseits, Ich habe mal wieder einige Fragen zur Zustellung von SPAM: Ist es immer noch allgemeiner Sprachgebrauch, dass Mails die durch die erste Verteidigungslinie (Blacklists, Greylisting, FcrDNS etc.) durchschlüpfen, also komplett auf dem äußersten Mailgateway angekommen sind, zur Mailbox des Empfängers zugestellt werden müssen? Oder reicht es, sie in eine Quarantäne zu packen und dem Empfänger regelmäßig eine Liste mit Absender und Subject zuzuschicken, damit er sich im Zweifesfall die Mail dort freigeben kann? Wir taggen übrigens, das ist unsere Policy. Die amerikanischen Kollegen sagen, auf ihrer Seite darf das auf keinen Fall passieren. Die amerikanische Tochter könne verklagt werden, wenn z.B. Mails mit sexuellem Inhalt in ihrer Inbox erscheinen. Die haben das Quarantänesystem wie oben beschrieben, so sagt man dort. Ich weiß auch nicht ob mit Inbox der Ordner selbst oder ob die Mail-Datenbank gemeint ist. Wir verschieben in Deutschland die getaggten Mails in einen Ordner. Das ist natürlich originär nicht die Inbox! Wer kennt sich aus? Ich würde das gerne weltweit einheitlich machen und die Amerikaner sind die einzigen, denen unser System nicht gefällt. Und ich hänge natürlich an meiner jahrelang gepflegten und optimierten Handaufzucht mit Postfix. ;-) Quarantäne würde heißen, dass wir etwas fertiges kaufen. Bitte keine Diskussion über Sinn und Unsinn des Filterns von SPAM, ob getaggt oder mit Quarantäne, das ist gesetzt. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From postfix at linuxmaker.com Thu Jan 21 19:15:13 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Thu, 21 Jan 2016 19:15:13 +0100 Subject: smtp_auth an Port 587 In-Reply-To: <56A0F3D9.4010002@debinux.de> References: <1739735.YEfMY73qdC@stuttgart> <56A0F3D9.4010002@debinux.de> Message-ID: <2090604.FSFRWRZ5ZS@stuttgart> Besten Dank, er stellt zumindest mal eine Verbindung her. Grüße Andreas Am Donnerstag, 21. Januar 2016, 16:06:01 schrieb André Peters: > Hi, > > zum Beispiel so: > > relayhost = [smtp.example.org]:587 > > Die Klammern bedeuten, dass er nicht den MX-Record für die Sub-Domain > smtp.example.org verwenden soll, WENN es denn einen gibt. Ich setze die > Klammern in der Regel lieber, man weiß ja nie, wer da am DNS rumbaut. :-) > > Grüße > André -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From buettnerp at web.de Thu Jan 21 19:29:16 2016 From: buettnerp at web.de (Peter Buettner) Date: Thu, 21 Jan 2016 19:29:16 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: References: Message-ID: <56A1237C.6080801@web.de> Hallo Frank, im Postfixbuch, Seite 481, ist beschrieben, wie AMaVis über smtpd_proxy_filter eingebunden wird. Die E-Mails werden erst nach der Filterung in die Queue eingeliefert. Taggen oder Quarantäne sind überflüssig. Spam kann hier rechtlich abgesichert gleich in die "Tonne" und muß nicht zugestellt werden, weil ja noch nicht im System. Viele Grüße Peter Büttner Am 21.01.2016 um 18:19 schrieb Frank fiene: > Hallo allerseits, > > > Ich habe mal wieder einige Fragen zur Zustellung von SPAM: > > Ist es immer noch allgemeiner Sprachgebrauch, dass Mails die durch die erste Verteidigungslinie (Blacklists, Greylisting, FcrDNS etc.) durchschlüpfen, also komplett auf dem äußersten Mailgateway angekommen sind, zur Mailbox des Empfängers zugestellt werden müssen? > > Oder reicht es, sie in eine Quarantäne zu packen und dem Empfänger regelmäßig eine Liste mit Absender und Subject zuzuschicken, damit er sich im Zweifesfall die Mail dort freigeben kann? > > Wir taggen übrigens, das ist unsere Policy. > > Die amerikanischen Kollegen sagen, auf ihrer Seite darf das auf keinen Fall passieren. > Die amerikanische Tochter könne verklagt werden, wenn z.B. Mails mit sexuellem Inhalt in ihrer Inbox erscheinen. Die haben das Quarantänesystem wie oben beschrieben, so sagt man dort. > > Ich weiß auch nicht ob mit Inbox der Ordner selbst oder ob die Mail-Datenbank gemeint ist. Wir verschieben in Deutschland die getaggten Mails in einen Ordner. Das ist natürlich originär nicht die Inbox! > > Wer kennt sich aus? Ich würde das gerne weltweit einheitlich machen und die Amerikaner sind die einzigen, denen unser System nicht gefällt. > Und ich hänge natürlich an meiner jahrelang gepflegten und optimierten Handaufzucht mit Postfix. ;-) Quarantäne würde heißen, dass wir etwas fertiges kaufen. > > > Bitte keine Diskussion über Sinn und Unsinn des Filterns von SPAM, ob getaggt oder mit Quarantäne, das ist gesetzt. > > Viele Grüße! Frank > From ffiene at veka.com Thu Jan 21 22:19:49 2016 From: ffiene at veka.com (Frank fiene) Date: Thu, 21 Jan 2016 22:19:49 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: <56A1237C.6080801@web.de> References: <56A1237C.6080801@web.de> Message-ID: <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> Stimmt, das wollte ich mir nochmal anschauen. Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne es dem Client zu sagen, oder? Irgendetwas funktionierte da bei mir nicht. Ich weiß nicht mehr, ob es mit Greylisting, RBLs oder FcrDNS zusammen gehakt hat. Dem before-filter Postfix SMTP server kann ich doch sagen, er soll diese Checks zuerst machen, korrekt? -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 21.01.2016 um 19:29 schrieb Peter Buettner : > > Hallo Frank, > > im Postfixbuch, Seite 481, ist beschrieben, wie AMaVis über > smtpd_proxy_filter eingebunden wird. Die E-Mails werden erst nach der > Filterung in die Queue eingeliefert. Taggen oder Quarantäne sind > überflüssig. Spam kann hier rechtlich abgesichert gleich in die "Tonne" > und muß nicht zugestellt werden, weil ja noch nicht im System. > > > Viele Grüße > > Peter Büttner > > >> Am 21.01.2016 um 18:19 schrieb Frank fiene: >> Hallo allerseits, >> >> >> Ich habe mal wieder einige Fragen zur Zustellung von SPAM: >> >> Ist es immer noch allgemeiner Sprachgebrauch, dass Mails die durch die erste Verteidigungslinie (Blacklists, Greylisting, FcrDNS etc.) durchschlüpfen, also komplett auf dem äußersten Mailgateway angekommen sind, zur Mailbox des Empfängers zugestellt werden müssen? >> >> Oder reicht es, sie in eine Quarantäne zu packen und dem Empfänger regelmäßig eine Liste mit Absender und Subject zuzuschicken, damit er sich im Zweifesfall die Mail dort freigeben kann? >> >> Wir taggen übrigens, das ist unsere Policy. >> >> Die amerikanischen Kollegen sagen, auf ihrer Seite darf das auf keinen Fall passieren. >> Die amerikanische Tochter könne verklagt werden, wenn z.B. Mails mit sexuellem Inhalt in ihrer Inbox erscheinen. Die haben das Quarantänesystem wie oben beschrieben, so sagt man dort. >> >> Ich weiß auch nicht ob mit Inbox der Ordner selbst oder ob die Mail-Datenbank gemeint ist. Wir verschieben in Deutschland die getaggten Mails in einen Ordner. Das ist natürlich originär nicht die Inbox! >> >> Wer kennt sich aus? Ich würde das gerne weltweit einheitlich machen und die Amerikaner sind die einzigen, denen unser System nicht gefällt. >> Und ich hänge natürlich an meiner jahrelang gepflegten und optimierten Handaufzucht mit Postfix. ;-) Quarantäne würde heißen, dass wir etwas fertiges kaufen. >> >> >> Bitte keine Diskussion über Sinn und Unsinn des Filterns von SPAM, ob getaggt oder mit Quarantäne, das ist gesetzt. >> >> Viele Grüße! Frank >> From postfixbuch-users at 0xaffe.de Thu Jan 21 22:39:25 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Thu, 21 Jan 2016 22:39:25 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> Message-ID: <56A1500D.2030808@0xaffe.de> Hallo Frank, Am 21.01.16 um 22:19 schrieb Frank fiene: > Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne es dem Client zu sagen, oder? Ja. Aber im Falle eines Virus (oder False Positives) würde bei einem smtpd_proxy_filter nach dem DATA-Kommando im SMTP-Dialog kein 2xx OK kommen, womit die Mail nicht als "zugestellt" gilt. Viele Grüße, Mathias. From buettnerp at web.de Thu Jan 21 22:41:48 2016 From: buettnerp at web.de (Peter Buettner) Date: Thu, 21 Jan 2016 22:41:48 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> Message-ID: <56A1509C.4010003@web.de> Im Anhang der Auszug. Am 21.01.2016 um 22:19 schrieb Frank fiene: > Stimmt, das wollte ich mir nochmal anschauen. > > Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne es dem Client zu sagen, oder? > > Irgendetwas funktionierte da bei mir nicht. > Ich weiß nicht mehr, ob es mit Greylisting, RBLs oder FcrDNS zusammen gehakt hat. > > Dem before-filter Postfix SMTP server kann ich doch sagen, er soll diese Checks zuerst machen, korrekt? > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : filter.jpg Dateityp : image/jpeg Dateigröße : 120367 bytes Beschreibung: nicht verfügbar URL : From torben at dannhauer.info Fri Jan 22 10:53:18 2016 From: torben at dannhauer.info (Torben Dannhauer) Date: Fri, 22 Jan 2016 10:53:18 +0100 Subject: AW: Mal wieder das Thema SPAM In-Reply-To: <56A1509C.4010003@web.de> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> <56A1509C.4010003@web.de> Message-ID: <000e01d154fa$b8f29d80$2ad7d880$@dannhauer.info> Oha, Vorsicht! Auch in dieser Mailingliste gilt das Urheberrecht. Ich denke nicht das Peer das gut findet. Aber das wird er evtl. selber sagen. Zur Fragestellung: Relevant ist nicht, ob du die Mail im Speicher ist (es könnte ja während des Empfangs dein Server abstürzen), sondern ob die den Empfang mit OK quittierst. Du kannst also empfangen, die Mail scannen und dann anhand des Ergebnisses entscheiden ob du den Empfang quittieren (und die Mail damit annehmen) willst, oder ob nicht. Beste Grüße, Torben -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peter Buettner Gesendet: Donnerstag, 21. Januar 2016 22:42 An: Diskussionen und Support rund um Postfix Betreff: Re: Mal wieder das Thema SPAM Im Anhang der Auszug. Am 21.01.2016 um 22:19 schrieb Frank fiene: > Stimmt, das wollte ich mir nochmal anschauen. > > Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne es dem Client zu sagen, oder? > > Irgendetwas funktionierte da bei mir nicht. > Ich weiß nicht mehr, ob es mit Greylisting, RBLs oder FcrDNS zusammen gehakt hat. > > Dem before-filter Postfix SMTP server kann ich doch sagen, er soll diese Checks zuerst machen, korrekt? > From driessen at fblan.de Fri Jan 22 11:17:59 2016 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 22 Jan 2016 11:17:59 +0100 Subject: AW: Mal wieder das Thema SPAM In-Reply-To: <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> Message-ID: <00e801d154fe$2b90eec0$82b2cc40$@fblan.de> Im Auftrag von Frank fiene > > Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne > es dem Client zu sagen, oder? Der Client bekommt erst das zu sehen was mit 250 OK angenommen wurde Der Trick des Presque ist das die Mail zwar physikalisch für die Verarbeitung da sein muss, der gegenüber den Empfang aber ERST bestätigt bekommt wenn alle nachgelagerten Filter Ihr OK gegeben haben. Solange dein Mailserver kein 250 OK meldet gilt die Mail rechtlich als nicht zugestellt. Jede Mail welche mit "250 OK" angenommen wird muss dem Inhaber der Mailadresse zugestellt werden. Der Gesetzgeber hat es allerdings offengelassen in welcher Form und wohin. bei zweifelhaften Mails wäre auch taggen und "extra" Ordner möglich solange der Inhaber direkten Zugriff drauf hat. Ein löschen nach der Annahme (Ausnahme nachgewiesener Virus) stellt in Deutschland den Straftatbestand der Unterdrückung dar ähnlich dem verschwinden lassen von Briefpost. > > Irgendetwas funktionierte da bei mir nicht. > Ich weiß nicht mehr, ob es mit Greylisting, RBLs oder FcrDNS zusammen > gehakt hat. > > Dem before-filter Postfix SMTP server kann ich doch sagen, er soll diese > Checks zuerst machen, korrekt? Ja. Schau dir mal milter an Master.cf smtpd pass - - n - - smtpd ........... -o smtpd_milters=${opendkim},${smfs},${opendmarc},${amavis} Main.cf amavis = inet:127.0.0.1:10024 #amavis-milter smfs = inet:[::1]:30065 opendkim = inet:[::1]:8891 opendmarc = inet:[::1]:8893 und in Amavis gibt es auch die Quarantäne wenn denn wirklich mal ein Falsepositiv da ist dann kann das aus der Quarantäne wiederhergestellt werden . und bei richtiger Filterung wird es keinen sexuellen Spam geben den der User nicht bestellt hat dieser Spam kommt in der Regel aus Botnetzen, Dialin usw. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From ffiene at veka.com Fri Jan 22 11:44:25 2016 From: ffiene at veka.com (Frank Fiene) Date: Fri, 22 Jan 2016 11:44:25 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: <00e801d154fe$2b90eec0$82b2cc40$@fblan.de> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> <00e801d154fe$2b90eec0$82b2cc40$@fblan.de> Message-ID: <9093E11C-7E04-4058-97B3-5F8793A45D01@veka.com> Danke für die vielen Antworten! Ja, das mit dem 250 ist mir klar. Nur muss ich technisch dafür sorgen z.B. mit -o smtpd_proxy_options=speed_adjust, dass die Mail erst komplett im Speicher ist, bevor ich sie an Amaris weitergebe? Ich habe den Parameter eh gesetzt, weil ?speed? drinsteht. ;-) Nur so aus Neugier. Amavis kann ja nur eine komplette Datei an den Virenscanner übergeben wie z.B. clamav. Oder regelt das Amavis selber? Oder brauche ich einen Virenscanner, der streaming unterstützt? Ich denke ich werde das mal umsetzen, hört sich vernünftig an. Gibt es gute Werte für maxproc für den Prequeue-SMTP, in der Doku steht ja 20 und smtpd_client_connection_count_limit=10. Das witzige ist ja: wir reden auf unseren Mailgateways über 9Mio HAM-, 17.7 geblockte und 178.000 als SPAM markierte Mails für 1.500 User. Also wir würden unsere Block-Rate um 1% erhöhen! :-) Viele Grüße! Frank Am 22.01.2016 um 11:17 schrieb Uwe Drießen : > > Im Auftrag von Frank fiene >> >> Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne >> es dem Client zu sagen, oder? > > Der Client bekommt erst das zu sehen was mit 250 OK angenommen wurde > Der Trick des Presque ist das die Mail zwar physikalisch für die Verarbeitung da sein muss, der gegenüber den Empfang aber ERST bestätigt bekommt wenn alle nachgelagerten Filter Ihr OK gegeben haben. > > Solange dein Mailserver kein 250 OK meldet gilt die Mail rechtlich als nicht zugestellt. > > Jede Mail welche mit "250 OK" angenommen wird muss dem Inhaber der Mailadresse zugestellt werden. > Der Gesetzgeber hat es allerdings offengelassen in welcher Form und wohin. > bei zweifelhaften Mails wäre auch taggen und "extra" Ordner möglich solange der Inhaber direkten Zugriff drauf hat. > > Ein löschen nach der Annahme (Ausnahme nachgewiesener Virus) stellt in Deutschland den Straftatbestand der Unterdrückung dar ähnlich dem verschwinden lassen von Briefpost. > >> >> Irgendetwas funktionierte da bei mir nicht. >> Ich weiß nicht mehr, ob es mit Greylisting, RBLs oder FcrDNS zusammen >> gehakt hat. >> >> Dem before-filter Postfix SMTP server kann ich doch sagen, er soll diese >> Checks zuerst machen, korrekt? > > Ja. > Schau dir mal milter an > > Master.cf > smtpd pass - - n - - smtpd > ........... > -o smtpd_milters=${opendkim},${smfs},${opendmarc},${amavis} > > Main.cf > amavis = inet:127.0.0.1:10024 #amavis-milter > smfs = inet:[::1]:30065 > opendkim = inet:[::1]:8891 > opendmarc = inet:[::1]:8893 > > und in Amavis gibt es auch die Quarantäne wenn denn wirklich mal ein Falsepositiv da ist dann kann das aus der Quarantäne wiederhergestellt werden . > > und bei richtiger Filterung wird es keinen sexuellen Spam geben den der User nicht bestellt hat > > dieser Spam kommt in der Regel aus Botnetzen, Dialin usw. > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From buettnerp at web.de Fri Jan 22 11:46:15 2016 From: buettnerp at web.de (Peter Buettner) Date: Fri, 22 Jan 2016 11:46:15 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: <000e01d154fa$b8f29d80$2ad7d880$@dannhauer.info> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> <56A1509C.4010003@web.de> <000e01d154fa$b8f29d80$2ad7d880$@dannhauer.info> Message-ID: <56A20877.9010506@web.de> Hallo Torben, Du hast recht. Ich hätte es ganz deutlich als Zitat kennzeichnen müssen mit Quellenangabe. Das hole ich hiermit nach. Es soll keine Entschuldigung sein, aber in der Postfixbuch-Gruppe bin ich davon ausgegangen, daß jeder das Buch gekauft hat und ein Hinweis darauf, wo man bestimmte Stellen findet OK ist. Gruß Peter Büttner Am 22.01.2016 um 10:53 schrieb Torben Dannhauer: > Oha, Vorsicht! > > Auch in dieser Mailingliste gilt das Urheberrecht. Ich denke nicht das Peer das gut findet. Aber das wird er evtl. selber sagen. > > Zur Fragestellung: > Relevant ist nicht, ob du die Mail im Speicher ist (es könnte ja während des Empfangs dein Server abstürzen), sondern ob die den Empfang mit OK quittierst. > > Du kannst also empfangen, die Mail scannen und dann anhand des Ergebnisses entscheiden ob du den Empfang quittieren (und die Mail damit annehmen) willst, oder ob nicht. > > Beste Grüße, > Torben > > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peter Buettner > Gesendet: Donnerstag, 21. Januar 2016 22:42 > An: Diskussionen und Support rund um Postfix > Betreff: Re: Mal wieder das Thema SPAM > > Im Anhang der Auszug. > > Am 21.01.2016 um 22:19 schrieb Frank fiene: >> Stimmt, das wollte ich mir nochmal anschauen. >> >> Wenn ich Viren scanne, muss ich die Mail aber erst im Speicher haben, ohne es dem Client zu sagen, oder? >> >> Irgendetwas funktionierte da bei mir nicht. >> Ich weiß nicht mehr, ob es mit Greylisting, RBLs oder FcrDNS zusammen gehakt hat. >> >> Dem before-filter Postfix SMTP server kann ich doch sagen, er soll diese Checks zuerst machen, korrekt? >> > From bluewind at xinu.at Sun Jan 24 14:56:00 2016 From: bluewind at xinu.at (Florian Pritz) Date: Sun, 24 Jan 2016 14:56:00 +0100 Subject: Mal wieder das Thema SPAM In-Reply-To: <9093E11C-7E04-4058-97B3-5F8793A45D01@veka.com> References: <56A1237C.6080801@web.de> <6A8E0B1D-C713-4E58-8AF2-726BFDCE5256@veka.com> <00e801d154fe$2b90eec0$82b2cc40$@fblan.de> <9093E11C-7E04-4058-97B3-5F8793A45D01@veka.com> Message-ID: <56A4D7F0.3010508@xinu.at> On 22.01.2016 11:44, Frank Fiene wrote: > Nur muss ich technisch dafür sorgen z.B. mit -o > smtpd_proxy_options=speed_adjust, dass die Mail erst komplett im > Speicher ist, bevor ich sie an Amaris weitergebe? Ich habe den > Parameter eh gesetzt, weil ?speed? drinsteht. ;-) Wenn du speed_adjust nicht nutzt, aber prequeue Filterung schon und z.b. deine Nutzer einen langsamem Internetanschluss haben, kann es passieren dass der Mail upload so lange dauert dass der proxy filter/der 2te postfix in ein timeout läuft und deshalb die Mail nie durch kommt. Kann man für eigene Nutzer umgehen indem man deren Mails post-queue filtert, es könnte theoretisch aber auch bei anderen Mailservern passieren. Filtert man die Nutzer post-queue spart man sich auch Probleme mit Clients von Telefon/Tablet die bei Fehlern den Versand einfach später nochmal probieren. Da ist oft egal ob man 450, 550 oder sonst was zurückgibt. Die zeigen einfach keine Meldung an und kommen ohne Ende wieder. Das ist auch toll wenn z.b. die Absenderadresse falsch eingestellt ist und der Mailserver dann sagt "550 Die Adresse gehört nicht dir". Abgesehen von diesen Problemen musst du speed_adjust allerdings nicht nutzen. Zu amavis gibts hier auch nier noch was zu amavis-milter: https://sys4.de/de/blog/2015/07/31/amavisd-milter-howto/ Wenn du smtpd_proxy_filter nutzt hast du 2 postfix laufen und die log ist etwas unschön zu lesen. Mit einem milter sollte das besser sein (hab ich selbst noch nicht laufen). PS: Wäre schön wenn du (und ein paar andere hier) nur das zitieren was wirklich notwendig ist und den eigenen Text unter das Zitat packen. Übliche Mailinglisten-Netiquette eben. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: OpenPGP digital signature URL : From mailbox at suenkler.info Sun Jan 24 15:09:05 2016 From: mailbox at suenkler.info (Hendrik =?utf-8?Q?S=C3=BCnkler?=) Date: Sun, 24 Jan 2016 15:09:05 +0100 Subject: Idee: =?utf-8?Q?Transportverschl=C3=BCsselung?= unter Anwender-Kontrolle In-Reply-To: <56A01A77.7060908@web.de> (Peter Buettner's message of "Thu, 21 Jan 2016 00:38:31 +0100") References: <87oacg66v0.fsf@suenkler.info> <56A01A77.7060908@web.de> Message-ID: <87h9i3t6gu.fsf@suenkler.info> Liebe Postfix-Kollegen, ich habe die Quellen meines kleinen Projekts nun online gestellt. Ihr findet das Repository unter: https://github.com/suenkler/PostTLS @Peter: Falls Du wie angedeutet darüber nachdenkst, Mails nur nach bestimmten Kriterien aus der Queue zu löschen und den Absender darüber zu benachrichtigen und daher gar keine Antwort vom Absender entgegen nehmen musst, kannst Du ein einfacheres Script nehmen. Das reduziert den Einrichtungsaufwand auch enorm, da dann nur ein reines Python-Script ausreicht und man sich nicht Webserver, Datenbank etc. rumschlagen muss. Ich habe die Funktionalität extrahiert und in ein eigenes Script gepackt. Schau doch mal rein, wenn Du magst: https://gist.github.com/suenkler/acd1ee26d17224b9005f Bitte beachtet, dass sich das Projekt noch in einer frühen Phase befindet. Es ist in Python/Django geschrieben. Derzeit ist es für den Betrieb erforderlich, dass man sich mit diesem Ökosystem etwas auskennt. Da ich mehrere Python/Django-Projekte betreibe, habe ich selbst keinen Bedarf, die Einrichtung komfortabler zu gestalten. Falls das Projekt aber auf Interesse stößt, werde ich gerne die Dokumentation verbessern und den Installationsprozess soweit möglich automatisieren. Über Feedback würde ich mich freuen. Viele Grüße! Hendrik -- Hendrik Sünkler OpenPGP-Fingerprint = 2357 F464 39FC DD13 F222 http://suenkler.info AA88 4835 15A4 50E9 A7BF From andre.peters at debinux.de Sun Jan 24 15:10:44 2016 From: andre.peters at debinux.de (=?utf-8?Q?Andr=C3=A9_Peters?=) Date: Sun, 24 Jan 2016 15:10:44 +0100 Subject: =?utf-8?Q?Re:_Idee:_Transportverschl=C3=BCsselung_unter_Anwender?= =?utf-8?Q?-Kontrolle?= In-Reply-To: <87h9i3t6gu.fsf@suenkler.info> References: <87oacg66v0.fsf@suenkler.info> <56A01A77.7060908@web.de> <87h9i3t6gu.fsf@suenkler.info> Message-ID: <4AC1CD9E-A4C0-4405-9CDD-F96701109803@debinux.de> Hi, super Sache, wollte es mir mal für mailcow anschauen. Viele Grüße André Von meinem iPhone gesendet > Am 24.01.2016 um 15:09 schrieb Hendrik Sünkler : > > Liebe Postfix-Kollegen, > > ich habe die Quellen meines kleinen Projekts nun online gestellt. Ihr > findet das Repository unter: > > https://github.com/suenkler/PostTLS > > @Peter: Falls Du wie angedeutet darüber nachdenkst, Mails nur nach > bestimmten Kriterien aus der Queue zu löschen und den Absender darüber > zu benachrichtigen und daher gar keine Antwort vom Absender entgegen > nehmen musst, kannst Du ein einfacheres Script nehmen. Das reduziert den > Einrichtungsaufwand auch enorm, da dann nur ein reines Python-Script > ausreicht und man sich nicht Webserver, Datenbank etc. rumschlagen muss. > Ich habe die Funktionalität extrahiert und in ein eigenes Script > gepackt. Schau doch mal rein, wenn Du magst: > > https://gist.github.com/suenkler/acd1ee26d17224b9005f > > Bitte beachtet, dass sich das Projekt noch in einer frühen Phase > befindet. Es ist in Python/Django geschrieben. Derzeit ist es für den > Betrieb erforderlich, dass man sich mit diesem Ökosystem etwas auskennt. > Da ich mehrere Python/Django-Projekte betreibe, habe ich selbst keinen > Bedarf, die Einrichtung komfortabler zu gestalten. Falls das Projekt > aber auf Interesse stößt, werde ich gerne die Dokumentation verbessern > und den Installationsprozess soweit möglich automatisieren. > > Über Feedback würde ich mich freuen. > > Viele Grüße! > Hendrik > > -- > Hendrik Sünkler OpenPGP-Fingerprint = 2357 F464 39FC DD13 F222 > http://suenkler.info AA88 4835 15A4 50E9 A7BF From mailbox at suenkler.info Sun Jan 24 17:15:48 2016 From: mailbox at suenkler.info (Hendrik =?utf-8?Q?S=C3=BCnkler?=) Date: Sun, 24 Jan 2016 17:15:48 +0100 Subject: Idee: =?utf-8?Q?Transportverschl=C3=BCsselung?= unter Anwender-Kontrolle In-Reply-To: <4AC1CD9E-A4C0-4405-9CDD-F96701109803@debinux.de> (=?utf-8?Q?=22Andr=C3=A9?= Peters"'s message of "Sun, 24 Jan 2016 15:10:44 +0100") References: <87oacg66v0.fsf@suenkler.info> <56A01A77.7060908@web.de> <87h9i3t6gu.fsf@suenkler.info> <4AC1CD9E-A4C0-4405-9CDD-F96701109803@debinux.de> Message-ID: <878u3ft0ln.fsf@suenkler.info> Hallo André, André Peters writes: > super Sache, wollte es mir mal für mailcow anschauen. Das freut mich. Wenn Du Anmerkungen und/oder Verbesserungsvorschläge hast, gib mir einfach Bescheid. Das Projekt ist noch frisch, aber ich möchte daraus gerne eine solide Sache machen. Viele Grüße! Hendrik -- Hendrik Sünkler OpenPGP-Fingerprint = 2357 F464 39FC DD13 F222 http://suenkler.info AA88 4835 15A4 50E9 A7BF From postfix at linuxmaker.com Sun Jan 24 17:45:17 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Sun, 24 Jan 2016 17:45:17 +0100 Subject: Perfect Forward Secrecy (PFS) =?UTF-8?B?ZsO8cg==?= die Mehrzahl der Clients Message-ID: <1514166.qu91h7m0gl@stuttgart> Hallo zusammen, ich finde diese Methode sehr begrüßenswert http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ Allerdings wenn ich das so umsetze - und bei Mailcow 0.13 ist das bereits standardmässig mit dabei - und das für "verschiedene Unternehmen und ISPs", dann sehe ich ernsthafte Probleme mit alten Clients, die ECDHE nicht oder noch nicht unterstützen. Ich habe das mit einem Android 4.3 und dem K at Mail-Client erlebt, während Clients wie Kmail brandaktuell sind, wenn man immer wieder Updates macht. Bei Smartphones ist nicht so schnell und leicht durchgeführt (Rooten, neues Image). Mal abgesehen von den ISPs, die ja ihren Kunden nicht vorschreiben können welche Mail-Clients gegebenenfalls Smartphone-Versionen sie zu nutzen haben, damit die Authentifizierung klappt. Welche Lösung gibt es gerade für diese Fälle? Wie lässt sich ein Android 4.3 oder älter anbinden? Es macht doch keinen Sinn, eine Technik zur Verfügung zu stellen, wenn dann nur die allerneusten Clients bedient werden können. Grüße Andreas Günther -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From w.flamme at web.de Sun Jan 24 20:01:12 2016 From: w.flamme at web.de (Werner Flamme) Date: Sun, 24 Jan 2016 20:01:12 +0100 Subject: =?UTF-8?Q?Re:_Perfect_Forward_Secrecy_=28PFS=29_f=c3=bcr_die_Mehrza?= =?UTF-8?Q?hl_der_Clients?= In-Reply-To: <1514166.qu91h7m0gl@stuttgart> References: <1514166.qu91h7m0gl@stuttgart> Message-ID: <56A51F78.4090306@web.de> Andreas Günther schrieb am 24.01.2016 um 17:45: > Hallo zusammen, > > ich finde diese Methode sehr begrüßenswert > > http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ > > Allerdings wenn ich das so umsetze - und bei Mailcow 0.13 ist das bereits > standardmässig mit dabei - und das für "verschiedene Unternehmen und ISPs", > dann sehe ich ernsthafte Probleme mit alten Clients, die ECDHE nicht oder noch > nicht unterstützen. Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers vorgeschrieben werden? Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE kann. Clients, die ECDHE können, werden auch so bedient, andere Clients nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des Beitrags... Ansonsten: selbst eine schwache Verschlüsselung ist besser als gar keine... Gruß Werner -- From daniel at ist-immer-online.de Sun Jan 24 22:42:54 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 24 Jan 2016 22:42:54 +0100 Subject: =?UTF-8?Q?AW:_Perfect_Forward_Secrecy_=28PFS?= =?UTF-8?Q?=29_f=C3=BCr_die_Mehrzahl_der_Clients?= In-Reply-To: <56A51F78.4090306@web.de> References: <1514166.qu91h7m0gl@stuttgart> <56A51F78.4090306@web.de> Message-ID: <001601d156f0$2f4e3790$8deaa6b0$@ist-immer-online.de> Hi, hatte vor Monat schon Config Auszug gepostet ( https://listi.jpberlin.de/pipermail/postfixbuch-users/2015-December/063807.html ), damit besteht soweit keine Probleme bzw. Warnungen von Testseiten ( https://de.ssl-tools.net/mailservers , https://www.liveconfig.com/de/sslcheck , usw.) wo man dieses prüfen kann. zu dovecot findet man sonst auf https://weakdh.org/sysadmin.html auch etwas. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme Gesendet: Sonntag, 24. Januar 2016 20:01 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients Andreas Günther schrieb am 24.01.2016 um 17:45: > Hallo zusammen, > > ich finde diese Methode sehr begrüßenswert > > http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ > > Allerdings wenn ich das so umsetze - und bei Mailcow 0.13 ist das bereits > standardmässig mit dabei - und das für "verschiedene Unternehmen und ISPs", > dann sehe ich ernsthafte Probleme mit alten Clients, die ECDHE nicht oder noch > nicht unterstützen. Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers vorgeschrieben werden? Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE kann. Clients, die ECDHE können, werden auch so bedient, andere Clients nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des Beitrags... Ansonsten: selbst eine schwache Verschlüsselung ist besser als gar keine... Gruß Werner -- From postfix at linuxmaker.com Mon Jan 25 09:31:28 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Mon, 25 Jan 2016 09:31:28 +0100 Subject: Perfect Forward Secrecy (PFS) =?UTF-8?B?ZsO8cg==?= die Mehrzahl der Clients In-Reply-To: <56A51F78.4090306@web.de> References: <1514166.qu91h7m0gl@stuttgart> <56A51F78.4090306@web.de> Message-ID: <2646578.QzhhZr9VtZ@stuttgart> Am Sonntag, 24. Januar 2016, 20:01:12 schrieb Werner Flamme: > Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers > vorgeschrieben werden? > > Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und > es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE > kann. Clients, die ECDHE können, werden auch so bedient, andere Clients > nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des > Beitrags... Mich hat einmal das hier "und alte Softwareversionen greifen dabei nicht immer auf DHE-VErfahren zurück" stutzig gemacht und die Unfähigkeit mein K at Mail Pro unter Android 4.3 mit dem Mail-Server zu verbinden. Ich habe das bis jetzt mehrmals ausprobiert und bei dem Namen und Passwort mache ich sicherlich nicht mehrmals die gleichen Fehler, zumal Loginname und Passwort mit meinem Mailclient Kmail funktionieren. Vielleicht klärt sich das auf und ich mache etwas falsch beim Einstellen auf Android 4.3. Hier stelle ich ein Sicherheitstyp: STARTTLS(immer) Authentifizierungsmethode: PLAIN Port: 587 bzw. Empfang Sicherheitstyp: SSL/TLS(immer) Authentifizierungsmethode: PLAIN Meldung von K at Mail Pro: "Verbindung zumServer nicht möglich. (Negative SMTP reply: 535 5.7.8 Error authentication failed: UGFzc3dvcmQ6)" /var/log/mail.log Jan 25 08:56:29 mail postfix/smtpd[10707]: connect from p5DE789E0.dip0.t- ipconnect.de[92.131.132.114] Jan 25 08:56:30 mail postfix/smtpd[10707]: Anonymous TLS connection established from p5de789e0.dip0.t-ipconnect.de[92.131.132.114]: TLSv1.2 with cipher DHE- RSA-AES256-SHA (256/256 bits) Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t- ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed: Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t- ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 Wobei sich echo "UGFzc3dvcmQ6" | base64 -d zu 'Password:' decodiert. Und analog beim Empfang die Logfiles: /var/log/dovecot/dovecot-debug.log 2016-01-25 09:04:01 imap-login: Debug: SSL: elliptic curve secp384r1 will be used for ECDH and ECDHE key exchanges 2016-01-25 09:04:01 imap-login: Debug: SSL: elliptic curve secp384r1 will be used for ECDH and ECDHE key exchanges 2016-01-25 09:04:01 auth: Debug: auth client connected (pid=10760) 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x10, ret=1: before/accept initialization [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: before/accept initialization [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=-1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=-1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2001, ret=1: unknown state [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation finished successfully [92.131.132.114] 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=1: SSL negotiation finished successfully [92.131.132.114] 2016-01-25 09:04:01 auth: Debug: client in: AUTH 1 PLAIN service=imap secured session=6mkFAyQq4QBd54ng lip=192.168.1.2 rip=92.131.132.114 lport=993 rport=45537 resp= 2016-01-25 09:04:01 auth-worker(10762): Debug: Loading modules from directory: /usr/lib/dovecot/modules/auth 2016-01-25 09:04:01 auth-worker(10762): Debug: Module loaded: /usr/lib/dovecot/modules/auth/libdriver_mysql.so 2016-01-25 09:04:01 auth-worker(10762): Debug: sql(andreas at example.com,92.131.132.114): query: SELECT password FROM mailbox WHERE username = 'andreas at example.com' 2016-01-25 09:04:03 auth: Debug: client passdb out: FAIL 1 user=andreas at example.com 2016-01-25 09:04:03 imap-login: Debug: SSL alert: close notify [92.131.132.114] 2016-01-25 09:04:03 imap-login: Debug: SSL alert: close notify [92.131.132.114] /var/log/dovecot/dovecot-info.log 2016-01-25 09:04:01 auth-worker(10762): Info: sql(andreas at example.com,92.131.132.114): unknown user 2016-01-25 09:04:03 imap-login: Info: Disconnected (auth failed, 1 attempts in 2 secs): user=, method=PLAIN, rip=92.131.132.114, lip=192.168.1.2, TLS, TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Meldung von K at Mail Pro: "Benutzername oder Kennwort fehlerhaft. (Command: *sensitive*;response: #1[NO, [AUTHENTICATIONFAILED], Authentication failed:])" Meine Konfiguration gestaltet sich wie folgt: # 2.2.13: /etc/dovecot/dovecot.conf # OS: Linux 3.16.0-4-amd64 x86_64 Debian 8.3 auth_debug = yes auth_mechanisms = plain login auth_verbose = yes debug_log_path = /var/log/dovecot/dovecot-debug.log dict { sqlquota = mysql:/etc/dovecot/dovecot-dict-sql.conf } info_log_path = /var/log/dovecot/dovecot-info.log listen = *,[::] log_path = /var/log/dovecot/dovecot.log log_timestamp = "%Y-%m-%d %H:%M:%S " login_log_format_elements = user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k mail_debug = yes mail_fsync = always mail_home = /var/vmail/%d/%n mail_location = maildir:~/ mail_nfs_index = yes mail_nfs_storage = yes mail_plugins = quota acl managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date ihave mmap_disable = yes namespace { list = yes location = maildir:%%h/:INDEXPVT=~/Shared/%%u prefix = Shared/%%u/ separator = / subscriptions = yes type = shared } namespace inbox { inbox = yes location = mailbox Archiv { special_use = \Archive } mailbox Archive { auto = subscribe special_use = \Archive } mailbox Archives { special_use = \Archive } mailbox "Deleted Messages" { special_use = \Trash } mailbox Drafts { auto = subscribe special_use = \Drafts } mailbox Entwürfe { special_use = \Drafts } mailbox "Gelöschte Objekte" { special_use = \Trash } mailbox Gesendet { special_use = \Sent } mailbox Junk { auto = subscribe special_use = \Junk } mailbox Papierkorb { special_use = \Trash } mailbox Sent { auto = subscribe special_use = \Sent } mailbox "Sent Messages" { special_use = \Sent } mailbox Trash { auto = subscribe special_use = \Trash } prefix = separator = / } passdb { args = /etc/dovecot/dovecot-mysql.conf driver = sql } plugin { acl = vfile acl_anyone = allow acl_shared_dict = file:/var/vmail/shared-mailboxes.db quota = dict:User quota::proxy::sqlquota quota_rule2 = Trash:storage=+100%% sieve = /var/vmail/sieve/%u.sieve sieve_after = /var/vmail/sieve/global.sieve sieve_max_script_size = 1M sieve_quota_max_scripts = 0 sieve_quota_max_storage = 0 } protocols = imap sieve lmtp pop3 service auth { unix_listener /var/spool/postfix/private/auth_dovecot { group = postfix mode = 0660 user = postfix } unix_listener auth-master { mode = 0600 user = vmail } unix_listener auth-userdb { mode = 0600 user = vmail } user = root } service dict { unix_listener dict { group = vmail mode = 0660 user = vmail } } service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { group = postfix mode = 0600 user = postfix } user = vmail } service managesieve-login { inet_listener sieve { port = 4190 } process_min_avail = 2 service_count = 1 vsz_limit = 128 M } service managesieve { process_limit = 256 } ssl_cert = From andreas.schulze at datev.de Mon Jan 25 13:26:01 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 25 Jan 2016 13:26:01 +0100 Subject: =?UTF-8?Q?Re:_Perfect_Forward_Secrecy_=28PFS=29_f=c3=bcr_die_Mehrza?= =?UTF-8?Q?hl_der_Clients?= In-Reply-To: <2646578.QzhhZr9VtZ@stuttgart> References: <1514166.qu91h7m0gl@stuttgart> <56A51F78.4090306@web.de> <2646578.QzhhZr9VtZ@stuttgart> Message-ID: <56A61459.9070902@datev.de> Andreas Günther: > Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed: > Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 > 2016-01-25 09:04:01 auth-worker(10762): Info: sql(andreas at example.com,92.131.132.114): unknown user was auch immer das Problem ist, SSL Ciphersuiten sind es *definitiv nicht*. -- A. Schulze DATEV eG From postfix at linuxmaker.com Mon Jan 25 13:34:10 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Mon, 25 Jan 2016 13:34:10 +0100 Subject: Perfect Forward Secrecy (PFS) =?UTF-8?B?ZsO8cg==?= die Mehrzahl der Clients In-Reply-To: <56A61459.9070902@datev.de> References: <1514166.qu91h7m0gl@stuttgart> <2646578.QzhhZr9VtZ@stuttgart> <56A61459.9070902@datev.de> Message-ID: <96918184.a1Yp5aaXxF@stuttgart> Am Montag, 25. Januar 2016, 13:26:01 schrieb Andreas Schulze: > > Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: > > p5DE789E0.dip0.t-ipconnect.de[92.131.132.114]: SASL PLAIN authentication > > failed: Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: > > p5DE789E0.dip0.t-ipconnect.de[92.131.132.114]: SASL LOGIN authentication > > failed: UGFzc3dvcmQ6 > > > > > > 2016-01-25 09:04:01 auth-worker(10762): Info: > > sql(andreas at example.com,92.131.132.114): unknown user > was auch immer das Problem ist, SSL Ciphersuiten sind es *definitiv nicht*. Der von mir verwendete Anmeldename existiert in der MySQL-DB, ich kann mich ja mit den anderen Mail-Clients anmelden. Warum der bei Android "SASL LOGIN authentication failed: UGFzc3dvcmQ6" liefert, verstehe ich auch nicht. LOGIN habe ich am Client nicht eingestellt, sondern PLAIN. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From w.flamme at web.de Mon Jan 25 13:53:07 2016 From: w.flamme at web.de (Werner Flamme) Date: Mon, 25 Jan 2016 13:53:07 +0100 Subject: =?UTF-8?Q?Re:_Perfect_Forward_Secrecy_=28PFS=29_f=c3=bcr_die_Mehrza?= =?UTF-8?Q?hl_der_Clients?= In-Reply-To: <2646578.QzhhZr9VtZ@stuttgart> References: <1514166.qu91h7m0gl@stuttgart> <56A51F78.4090306@web.de> <2646578.QzhhZr9VtZ@stuttgart> Message-ID: <56A61AB3.4010402@web.de> Andreas Günther schrieb am 25.01.2016 um 09:31: > Am Sonntag, 24. Januar 2016, 20:01:12 schrieb Werner Flamme: >> Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers >> vorgeschrieben werden? >> >> Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und >> es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE >> kann. Clients, die ECDHE können, werden auch so bedient, andere Clients >> nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des >> Beitrags... > > Mich hat einmal das hier "und alte Softwareversionen greifen dabei nicht immer > auf DHE-VErfahren zurück" stutzig gemacht und die Unfähigkeit mein K at Mail Pro > unter Android 4.3 mit dem Mail-Server zu verbinden. K at Mail Pro kenne ich nicht, ich benutze K-9 Mail. Damit funktioniert es mit den von Dir angegebenen Einstellungen (wobei es hier "Passwort, normal" statt PLAIN oder LOGIN heißt). > Ich habe das bis jetzt mehrmals ausprobiert und bei dem Namen und Passwort > mache ich sicherlich nicht mehrmals die gleichen Fehler, zumal Loginname und > Passwort mit meinem Mailclient Kmail funktionieren. > > Vielleicht klärt sich das auf und ich mache etwas falsch beim Einstellen auf > Android 4.3. > Hier stelle ich ein > Sicherheitstyp: STARTTLS(immer) > Authentifizierungsmethode: PLAIN > Port: 587 > bzw. Empfang > Sicherheitstyp: SSL/TLS(immer) > Authentifizierungsmethode: PLAIN Gibst Du hier auch Port 993 an? Aber eine Verbindung zum Server scheint ja zu Stande zu kommen, der Fehlermeldung nach zu urteilen... > Meldung von K at Mail Pro: > "Verbindung zumServer nicht möglich. (Negative SMTP reply: 535 5.7.8 Error > authentication failed: UGFzc3dvcmQ6)" > > /var/log/mail.log > Jan 25 08:56:29 mail postfix/smtpd[10707]: connect from p5DE789E0.dip0.t- > ipconnect.de[92.131.132.114] > Jan 25 08:56:30 mail postfix/smtpd[10707]: Anonymous TLS connection established > from p5de789e0.dip0.t-ipconnect.de[92.131.132.114]: TLSv1.2 with cipher DHE- > RSA-AES256-SHA (256/256 bits) Da hier eine DHE-Cipher benutzt wird, kann es daran ja nicht liegen. > Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t- > ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed: > Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t- > ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 > > Wobei sich > echo "UGFzc3dvcmQ6" | base64 -d > zu 'Password:' decodiert. > > Und analog beim Empfang die Logfiles: > > /var/log/dovecot/dovecot-debug.log > 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation > finished successfully [92.131.132.114] > 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=1: SSL > negotiation finished successfully [92.131.132.114] Also hat die SSL-verschlüsselte Kontaktaufnahme schon mal geklappt. > 2016-01-25 09:04:01 auth-worker(10762): Debug: > sql(andreas at example.com,92.131.132.114): query: SELECT password FROM mailbox > WHERE username = 'andreas at example.com' > 2016-01-25 09:04:03 auth: Debug: client passdb out: FAIL 1 > user=andreas at example.com Tja, hier scheint ein Problem zu sein... > /var/log/dovecot/dovecot-info.log > 2016-01-25 09:04:01 auth-worker(10762): Info: > sql(andreas at example.com,92.131.132.114): unknown user ...der User wird nicht in der Datenbank gefunden. > 2016-01-25 09:04:03 imap-login: Info: Disconnected (auth failed, 1 attempts in > 2 secs): user=, method=PLAIN, rip=92.131.132.114, > lip=192.168.1.2, TLS, TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Hohe Verschlüsselung mit ECDHE > Meldung von K at Mail Pro: > "Benutzername oder Kennwort fehlerhaft. (Command: *sensitive*;response: #1[NO, > [AUTHENTICATIONFAILED], Authentication failed:])" Passt genau zu den Logauszügen. > Wie gesagt, vielleicht mache auch ich etwas falsch. Jedenfalls bin ich davon > ausgegangen, dass Android 4.3 das Verfahren noch nicht beherrscht. Irnkwie wird Dein User nicht im Datenbestand gefunden. Immerhin erhältst Du die Info, dass die Verschlüsselung mit "TLSv1.2 with cipher ECDHE-RSA-AES256-SHA" stattfindet, das ist doch ganz gut :) Ich würde mir die Datei /etc/dovecot/dovecot-mysql.conf mal ansehen, da scheint ein Problem zu sein. Ggf. bindet die ja noch mehr ein. Gruß Werner From postfix at linuxmaker.com Mon Jan 25 14:27:58 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Mon, 25 Jan 2016 14:27:58 +0100 Subject: Perfect Forward Secrecy (PFS) =?UTF-8?B?ZsO8cg==?= die Mehrzahl der Clients In-Reply-To: <56A61AB3.4010402@web.de> References: <1514166.qu91h7m0gl@stuttgart> <2646578.QzhhZr9VtZ@stuttgart> <56A61AB3.4010402@web.de> Message-ID: <2982119.hXmaiHeEoY@stuttgart> Am Montag, 25. Januar 2016, 13:53:07 schrieb Werner Flamme: > Andreas Günther schrieb am 25.01.2016 um 09:31: > > Am Sonntag, 24. Januar 2016, 20:01:12 schrieb Werner Flamme: > >> Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers > >> vorgeschrieben werden? > >> > >> Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und > >> es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE > >> kann. Clients, die ECDHE können, werden auch so bedient, andere Clients > >> nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des > >> Beitrags... > > > > Mich hat einmal das hier "und alte Softwareversionen greifen dabei nicht > > immer auf DHE-VErfahren zurück" stutzig gemacht und die Unfähigkeit mein > > K at Mail Pro unter Android 4.3 mit dem Mail-Server zu verbinden. > > K at Mail Pro kenne ich nicht, ich benutze K-9 Mail. Damit funktioniert es > mit den von Dir angegebenen Einstellungen (wobei es hier "Passwort, > normal" statt PLAIN oder LOGIN heißt). > > > Ich habe das bis jetzt mehrmals ausprobiert und bei dem Namen und Passwort > > mache ich sicherlich nicht mehrmals die gleichen Fehler, zumal Loginname > > und Passwort mit meinem Mailclient Kmail funktionieren. > > > > Vielleicht klärt sich das auf und ich mache etwas falsch beim Einstellen > > auf Android 4.3. > > Hier stelle ich ein > > Sicherheitstyp: STARTTLS(immer) > > Authentifizierungsmethode: PLAIN > > Port: 587 > > bzw. Empfang > > Sicherheitstyp: SSL/TLS(immer) > > Authentifizierungsmethode: PLAIN > > Gibst Du hier auch Port 993 an? Aber eine Verbindung zum Server scheint > ja zu Stande zu kommen, der Fehlermeldung nach zu urteilen... > > > Meldung von K at Mail Pro: > > "Verbindung zumServer nicht möglich. (Negative SMTP reply: 535 5.7.8 Error > > authentication failed: UGFzc3dvcmQ6)" > > > > /var/log/mail.log > > Jan 25 08:56:29 mail postfix/smtpd[10707]: connect from p5DE789E0.dip0.t- > > ipconnect.de[92.131.132.114] > > Jan 25 08:56:30 mail postfix/smtpd[10707]: Anonymous TLS connection > > established from p5de789e0.dip0.t-ipconnect.de[92.131.132.114]: TLSv1.2 > > with cipher DHE- RSA-AES256-SHA (256/256 bits) > > Da hier eine DHE-Cipher benutzt wird, kann es daran ja nicht liegen. > > > Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t- > > ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed: > > Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t- > > ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed: > > UGFzc3dvcmQ6 > > > > Wobei sich > > echo "UGFzc3dvcmQ6" | base64 -d > > zu 'Password:' decodiert. > > > > Und analog beim Empfang die Logfiles: > > > > /var/log/dovecot/dovecot-debug.log > > 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x20, ret=1: SSL > > negotiation finished successfully [92.131.132.114] > > 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=1: SSL > > negotiation finished successfully [92.131.132.114] > > Also hat die SSL-verschlüsselte Kontaktaufnahme schon mal geklappt. > > > 2016-01-25 09:04:01 auth-worker(10762): Debug: > > sql(andreas at example.com,92.131.132.114): query: SELECT password FROM > > mailbox WHERE username = 'andreas at example.com' > > 2016-01-25 09:04:03 auth: Debug: client passdb out: FAIL 1 > > user=andreas at example.com > > Tja, hier scheint ein Problem zu sein... > > > /var/log/dovecot/dovecot-info.log > > > > 2016-01-25 09:04:01 auth-worker(10762): Info: > > sql(andreas at example.com,92.131.132.114): unknown user > > ...der User wird nicht in der Datenbank gefunden. > > > 2016-01-25 09:04:03 imap-login: Info: Disconnected (auth failed, 1 > > attempts in 2 secs): user=, method=PLAIN, > > rip=92.131.132.114, lip=192.168.1.2, TLS, TLSv1.2 with cipher > > ECDHE-RSA-AES256-SHA (256/256 bits) > Hohe Verschlüsselung mit ECDHE > > > Meldung von K at Mail Pro: > > "Benutzername oder Kennwort fehlerhaft. (Command: *sensitive*;response: > > #1[NO, [AUTHENTICATIONFAILED], Authentication failed:])" > > Passt genau zu den Logauszügen. > > > Wie gesagt, vielleicht mache auch ich etwas falsch. Jedenfalls bin ich > > davon ausgegangen, dass Android 4.3 das Verfahren noch nicht beherrscht. > Irnkwie wird Dein User nicht im Datenbestand gefunden. Immerhin erhältst > Du die Info, dass die Verschlüsselung mit "TLSv1.2 with cipher > ECDHE-RSA-AES256-SHA" stattfindet, das ist doch ganz gut :) > > Ich würde mir die Datei /etc/dovecot/dovecot-mysql.conf mal ansehen, da > scheint ein Problem zu sein. Ggf. bindet die ja noch mehr ein. > > Gruß > Werner Hallo Werner, das was Du mir kommentierst, ist mir durchaus plausibel. Deswegen verstehe ich das ganze Procedere nicht. Und glaube mir, ich wirklich intelligent genug, nur die Anmeldedaten zu verwenden, die ich auch selber in meiner Datenbank eingepflegt habe. Ich habe allerdings die Radikallösung gewählt und auf K at Mail den Account komplett rausgeschmissen. Mit dem Resultat, dass es jetzt mit exakt denselben Daten mit der Anmeldung klappt. Jedenfalls besten Dank für die Unterstützung, Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Wed Jan 27 07:52:19 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 27 Jan 2016 07:52:19 +0100 Subject: the bigplayer from Mail Message-ID: <005d01d158cf$445bb370$cd131a50$@fblan.de> Hallo community Gestern war es Gmail heute ist es Microsoft und wer uns übermorgen in Sippenhaft nimmt wird sich noch rausstellen. seit ca. 14 Tagen können keine Mails mehr an hotmail und Co Anwender zugestellt werden. MS sperrt ganze CIDR /16 und größer wenn einer der IP's oder auch ein paar aus der Reihe tanzen. Und jedem der "großen" Maildienste(oder denen die sich dafür halten) nachzulaufen und sich dann irgendwo nur dafür zu registrieren das deren Kunden Mails welche diese angefordert haben zusenden zu dürfen .... Für alle die sich dem Diktat unterwerfen müssen hier die Seite zum aus deren "Blacklisten" austragen https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wf name=capsub&productkey=edfsmsbl3&ccsid=635688189955348624&wa=wsignin1.0 ich für meinen Teil hab es langsam satt gerade jene welche uns in der Vergangenheit den meisten und den schlimmsten Spam beschert haben überschreiten hier das notwendige bei weitem. da wird kein Postmaster@ benutzt, da wird nicht genau der gesperrt der den Mist gebaut hat nein da werden ganze Landstriche vermint und jede Kommunikation erschwert. Es wird noch nicht mal mitgeteilt warum man auf deren Blacklist gelandet ist und was man verbrochen hat. Sowas nennt sich dann wohl Willkür. (bei 10 Mails pro Woche ist weder erhöhtes Aufkommen noch Spam zu befürchten) Aber das scheint das Problem der Windows Mailserver zu sein die können sowas nicht mit IPSET und zeitlich begrenzt und für genau die IP die Auffällig ist. Eine Benachrichtigung an eigene User " Ihre Mail wird von Microsoft Mailservern nicht weiterverarbeitet. Teilen sie dem Empfängern bitte mit er soll sich bei seinem Provider (www.live.com, hotmail.de usw.) Beschweren das diese die Mails Ohne die Nennung eines plausiblen Grundes ablehnt. Ihrem Empfänger kann nur ein anderer Provider wirklich helfen. Bei Microsoft muss man in der Zwischenzeit sagen "Geschenkt zu teuer" bei all den damit behafteten Problemen. Das es zur Politik von MS gehört so vorzugehen sehen ich mich außerstande ihnen damit behilflich zu sein. Der Zeitaufwand sich bei allen möglichen und Unmöglichen Providern, die solch eine "Sippenhaft" betreiben, zu registrieren oder hinterherzulaufen übersteigt bei weitem jedes vernünftige Maß. Es wird in Zukunft also Microsoft Mailserver(oder den einen oder anderen der Big player) und den Rest der Welt als nicht untereinander kommunizierend geben. Wir gehören zum Rest der Welt welcher wesentlich größer und mehr User Umfasst. " Und ein DSN an jene welche Mails über diese Provider absetzen " Ihre Mail wird an dem Empfänger weitergeleitet. Wir machen darauf aufmerksam das Ihr Provider zur Zeit keine Mails von uns verarbeitet. Bitte teilen sie dem Empfänger eine alternative Mailadresse mit auf welche er antworten kann. Da Ihr Provider uns keine Details, welche zur Sperre geführt hat, mitteilt können wir leider nichts weiter für sie tun als sie auf den Umstand hinzuweisen. Wir bekämpfen aktiv Spam ein und ausgehend und sind uns sicher das weder Menge noch Inhalt noch Art der bisher versendeten Mails Anlass zu dieser Sperre geben haben. Beschweren Sie sich bei Ihrem Mailanbieter und verlangen sie das diese Mails angenommen werden. Noch besser ist es wenn sie sich um einen Mailprovider bemühen der den Deutschen Gesetzen unterliegt. Bei diesen Provider können sie sich relativ sicher sein das NSA nicht mithört und das Ihre Mails, sofern möglich, deutschen Boden (Rechenzentren) nicht verlassen. Der Zeitaufwand sich bei allen möglichen und Unmöglichen Providern, die solch eine "Sippenhaft" betreiben, zu registrieren oder hinterherzulaufen übersteigt bei weitem jedes vernünftige Maß. Es wird in Zukunft also Microsoft Mailserver(oder den einen oder anderen der "Big player") und den Rest der Welt als nicht untereinander kommunizierend geben. Wir gehören zum Rest der Welt welcher wesentlich größer und mehr User Umfasst. " Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From buettnerp at web.de Wed Jan 27 10:37:01 2016 From: buettnerp at web.de (Peter Buettner) Date: Wed, 27 Jan 2016 10:37:01 +0100 Subject: the bigplayer from Mail In-Reply-To: <005d01d158cf$445bb370$cd131a50$@fblan.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> Message-ID: <56A88FBD.5050406@web.de> Hallo Uwe, die Problematik mit dem Microsoft Reputationssystem ist seit langem bekannt. Dieses springt bei Erstkontakt an. Meist hilft eine zweite Mail, um durchgelassen zu werden. Das ist ähnlich wie beim Greylisting. Diese und andere Funktionalitäten lassen sich vom Benutzer des Reputationssystems einstellen, wenn er es denn macht. Wenn das nicht hilft, muß tatsächlich der unten beschriebene Weg begangen werden. Bei den wenigen Kontakten zu hotmail ziehe ich persönlich eine andere Variante vor: Ich rufe die Kontakte an, erkläre das Problem und bitte darum, auf "verkehrstüchtige" E-Mail-Dienst-Anbieter zu wechseln. Jeder neue Kunde zählt, auch wenn ich hart darum kämpfen muß. Einige meiner Zulieferer haben sich ebenfalls dieses Reputationssystem angeschafft. Ein Anruf, mit dem Hinweis darauf, daß ihnen sehr viel Geschäft entgeht, ist nützlich. Die Zulieferer kümmern sich um die Entsperrung und achten dann selbst darauf, sich nicht auszugrenzen. Ansonsten hilft bewusstes Ausgrenzen. Diejenigen Hotmailbenutzer, die mich wirklich erreichen wollen, rufen an und ich kann ihnen das Problem erklären. Vielleicht hilft es ja auch, die Problematik bei heise.de darzustellen. Einige in dieser Gruppe haben ja ein guten Draht hierzu. Heise.de wird von Microsoft sehr genau beobachtet. Viele Grüße Peter Büttner Am 27.01.2016 um 07:52 schrieb Uwe Drießen: > Hallo community > > Gestern war es Gmail heute ist es Microsoft und wer uns übermorgen in > Sippenhaft nimmt wird sich noch rausstellen. > seit ca. 14 Tagen können keine Mails mehr an hotmail und Co Anwender > zugestellt werden. > MS sperrt ganze CIDR /16 und größer wenn einer der IP's oder auch ein paar > aus der Reihe tanzen. > > Und jedem der "großen" Maildienste(oder denen die sich dafür halten) > nachzulaufen und sich dann irgendwo nur dafür zu registrieren das deren > Kunden Mails welche diese angefordert haben zusenden zu dürfen .... > > Für alle die sich dem Diktat unterwerfen müssen hier die Seite zum aus deren > "Blacklisten" austragen > > https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wf > name=capsub&productkey=edfsmsbl3&ccsid=635688189955348624&wa=wsignin1.0 > > ich für meinen Teil hab es langsam satt > gerade jene welche uns in der Vergangenheit den meisten und den schlimmsten > Spam beschert haben überschreiten hier das notwendige bei weitem. > da wird kein Postmaster@ benutzt, da wird nicht genau der gesperrt der den > Mist gebaut hat nein da werden ganze Landstriche vermint und jede > Kommunikation erschwert. > Es wird noch nicht mal mitgeteilt warum man auf deren Blacklist gelandet ist > und was man verbrochen hat. Sowas nennt sich dann wohl Willkür. > (bei 10 Mails pro Woche ist weder erhöhtes Aufkommen noch Spam zu > befürchten) > > Aber das scheint das Problem der Windows Mailserver zu sein die können sowas > nicht mit IPSET und zeitlich begrenzt und für genau die IP die Auffällig > ist. > > > Eine Benachrichtigung an eigene User > > " > Ihre Mail wird von Microsoft Mailservern nicht weiterverarbeitet. > Teilen sie dem Empfängern bitte mit er soll sich bei seinem Provider > (www.live.com, hotmail.de usw.) > Beschweren das diese die Mails Ohne die Nennung eines plausiblen Grundes > ablehnt. > Ihrem Empfänger kann nur ein anderer Provider wirklich helfen. > Bei Microsoft muss man in der Zwischenzeit sagen "Geschenkt zu teuer" bei > all den damit behafteten Problemen. > Das es zur Politik von MS gehört so vorzugehen sehen ich mich außerstande > ihnen damit behilflich zu sein. > Der Zeitaufwand sich bei allen möglichen und Unmöglichen Providern, die > solch eine "Sippenhaft" betreiben, > zu registrieren oder hinterherzulaufen übersteigt bei weitem jedes > vernünftige Maß. > Es wird in Zukunft also Microsoft Mailserver(oder den einen oder anderen der > Big player) und den Rest der Welt als nicht untereinander kommunizierend > geben. > Wir gehören zum Rest der Welt welcher wesentlich größer und mehr User > Umfasst. > " > > Und ein DSN an jene welche Mails über diese Provider absetzen > > " > Ihre Mail wird an dem Empfänger weitergeleitet. > Wir machen darauf aufmerksam das Ihr Provider zur Zeit keine Mails von uns > verarbeitet. > Bitte teilen sie dem Empfänger eine alternative Mailadresse mit auf welche > er antworten kann. > Da Ihr Provider uns keine Details, welche zur Sperre geführt hat, mitteilt > können wir leider > nichts weiter für sie tun als sie auf den Umstand hinzuweisen. > Wir bekämpfen aktiv Spam ein und ausgehend und sind uns sicher das weder > Menge > noch Inhalt noch Art der bisher versendeten Mails Anlass zu dieser Sperre > geben haben. > Beschweren Sie sich bei Ihrem Mailanbieter und verlangen sie das diese Mails > angenommen werden. > Noch besser ist es wenn sie sich um einen Mailprovider bemühen der den > Deutschen Gesetzen unterliegt. > Bei diesen Provider können sie sich relativ sicher sein das NSA nicht > mithört und das Ihre Mails, sofern möglich, > deutschen Boden (Rechenzentren) nicht verlassen. > Der Zeitaufwand sich bei allen möglichen und Unmöglichen Providern, die > solch eine "Sippenhaft" betreiben, > zu registrieren oder hinterherzulaufen übersteigt bei weitem jedes > vernünftige Maß. > Es wird in Zukunft also Microsoft Mailserver(oder den einen oder anderen der > "Big player") und den Rest der Welt als nicht untereinander kommunizierend > geben. > Wir gehören zum Rest der Welt welcher wesentlich größer und mehr User > Umfasst. > " > > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > From jost+lists at dimejo.at Wed Jan 27 11:03:26 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Wed, 27 Jan 2016 11:03:26 +0100 Subject: the bigplayer from Mail In-Reply-To: <005d01d158cf$445bb370$cd131a50$@fblan.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> Message-ID: <56A895EE.6080901@dimejo.at> Am 27.01.2016 um 07:52 schrieb Uwe Drießen: > Hallo community > > Gestern war es Gmail heute ist es Microsoft und wer uns übermorgen in > Sippenhaft nimmt wird sich noch rausstellen. > seit ca. 14 Tagen können keine Mails mehr an hotmail und Co Anwender > zugestellt werden. > MS sperrt ganze CIDR /16 und größer wenn einer der IP's oder auch ein paar > aus der Reihe tanzen. > > Und jedem der "großen" Maildienste(oder denen die sich dafür halten) > nachzulaufen und sich dann irgendwo nur dafür zu registrieren das deren > Kunden Mails welche diese angefordert haben zusenden zu dürfen .... Du schimpfst hier schon zum wiederholten Male auf die großen Anbieter. Glaubst Du wirklich, dass jemand von denen diese Mailingliste liest? > ich für meinen Teil hab es langsam satt > gerade jene welche uns in der Vergangenheit den meisten und den schlimmsten > Spam beschert haben überschreiten hier das notwendige bei weitem. > da wird kein Postmaster@ benutzt, da wird nicht genau der gesperrt der den > Mist gebaut hat nein da werden ganze Landstriche vermint und jede > Kommunikation erschwert. > Es wird noch nicht mal mitgeteilt warum man auf deren Blacklist gelandet ist > und was man verbrochen hat. Sowas nennt sich dann wohl Willkür. > (bei 10 Mails pro Woche ist weder erhöhtes Aufkommen noch Spam zu > befürchten) Du solltest selbst am besten wissen, dass die Bekämpfung von Spam keine exakte Wissenschaft ist. Vor allem ist es unmöglich jede E-Mail von Hand zu prüfen. Ich würde Dir folgendes raten, um bei den großen Anbietern einen besseren Status zu erhalten. * SPF-Eintrag (auch wenn er auf neutral steht) * DKIM für alle sendenden Domains * Eintrag auf dnswl.org > Eine Benachrichtigung an eigene User > > " > Ihre Mail wird von Microsoft Mailservern nicht weiterverarbeitet. > Teilen sie dem Empfängern bitte mit er soll sich bei seinem Provider > (www.live.com, hotmail.de usw.) > Beschweren das diese die Mails Ohne die Nennung eines plausiblen Grundes > ablehnt. > Ihrem Empfänger kann nur ein anderer Provider wirklich helfen. > Bei Microsoft muss man in der Zwischenzeit sagen "Geschenkt zu teuer" bei > all den damit behafteten Problemen. > Das es zur Politik von MS gehört so vorzugehen sehen ich mich außerstande > ihnen damit behilflich zu sein. > Der Zeitaufwand sich bei allen möglichen und Unmöglichen Providern, die > solch eine "Sippenhaft" betreiben, > zu registrieren oder hinterherzulaufen übersteigt bei weitem jedes > vernünftige Maß. > Es wird in Zukunft also Microsoft Mailserver(oder den einen oder anderen der > Big player) und den Rest der Welt als nicht untereinander kommunizierend > geben. > Wir gehören zum Rest der Welt welcher wesentlich größer und mehr User > Umfasst. > " Dieser Text klingt schon sehr nach Verzweiflung. Als Kunde würde ich mir wahrscheinlich überlegen zu einem anderen Anbieter zu wechseln. Ich würde Dir außerdem raten den Text von jemanden redigieren zu lassen. -- Alex JOST From risse at citkomm.de Wed Jan 27 11:27:58 2016 From: risse at citkomm.de (Marc Risse) Date: Wed, 27 Jan 2016 11:27:58 +0100 Subject: etwas offtopic: Key- und Config- Management Message-ID: <56A89BAE.3070907@citkomm.de> Hallo zusammen, ich frage mal bezüglich eines Themas, welches nur am Rande mit Postfix zu tun hat: Wir verwalten rund 250 Kundendomains (DNS, Mailrelaying, ...). Ich plane die Einführung von DNSSEC, DKIM, DANE und SPF. Welche Tools zum Verwalten der Keys und Konfigurationen verwendet Ihr? Wir pflegen die Postfix- und Bindkonfigurationen im Moment von Hand. Allerdings wird es mit der Einführung der oben genannten Techniken etwas komplizierter, und da wir mehrere "Köche" sind, sehe ich die Gefahr, dass die Suppe schnell versalzen sein wird, wenn wir nicht ein schönes Tool vorschalten. Im privaten Bereich setze ich seit einiger Zeit erfolgreich ISPConfig ein, auch um z.B. Mails per Amavis mit DKIM zu signieren. Die Daten dort sind in eine MySQL-DB, per Cronjob werden dann die Konfigurationen und Zonen generiert. Gibt es vielleicht ähnliche Ansätze bzw. freie Projekte in diesem Bereich? Ich würde meinem Chef ungern ein zerpflücktes ISPConfig präsentieren ;-) Bin gespannt... VG Marc -- Marc Risse Systembetrieb *Bitte beachten Sie die neue Anschrift und Telefonnummer!* Telefon: +49 2372 5520-385 Fax: +49 2372 5520-61-385 E-Mail: risse at citkomm.de Internet: http://www.citkomm.de Citkomm services GmbH* KDVZ Citkomm (Kommunaler Zweckverband) Sonnenblumenallee 3, 58675 Hemer Telefon: +49 2372 5520-0 Fax: +49 2372 5520-279 E-Mail: post at citkomm.de * Sitz der Gesellschaft: Iserlohn Handelsregister: AG Iserlohn HRB 26 86 Geschäftsführer: Dr. Michael Neubauer, Hans Jürgen Friebe, Kerstin Pliquett -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3429 bytes Beschreibung: S/MIME Cryptographic Signature URL : From daniel at ist-immer-online.de Wed Jan 27 11:44:44 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 27 Jan 2016 11:44:44 +0100 Subject: AW: etwas offtopic: Key- und Config- Management In-Reply-To: <56A89BAE.3070907@citkomm.de> References: <56A89BAE.3070907@citkomm.de> Message-ID: <002301d158ef$bc7c8440$35758cc0$@ist-immer-online.de> Hi Marc, hat jeder eigenen Server? Wenn nicht reicht doch wenn jede Domain nur euren Server als MX hat. Und beim Versand halt alle mit DKIM signiert. Und dann braucht ihr ja nur 1 Domain für den Mailserver mit DNSSEC versehen. SPF kann man auch mit include auf einen Eintrag vom Mailserver verweisen. Und bei den anderen Domains sollte dann auch CNAME gehen für _darc Host und den Domainkey, ebenfalls auf Mailserver Domain. Gruß Daniel Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Marc Risse Gesendet: Mittwoch, 27. Januar 2016 11:28 An: postfixbuch-users at listen.jpberlin.de Betreff: etwas offtopic: Key- und Config- Management Hallo zusammen, ich frage mal bezüglich eines Themas, welches nur am Rande mit Postfix zu tun hat: Wir verwalten rund 250 Kundendomains (DNS, Mailrelaying, ...). Ich plane die Einführung von DNSSEC, DKIM, DANE und SPF. Welche Tools zum Verwalten der Keys und Konfigurationen verwendet Ihr? Wir pflegen die Postfix- und Bindkonfigurationen im Moment von Hand. Allerdings wird es mit der Einführung der oben genannten Techniken etwas komplizierter, und da wir mehrere "Köche" sind, sehe ich die Gefahr, dass die Suppe schnell versalzen sein wird, wenn wir nicht ein schönes Tool vorschalten. Im privaten Bereich setze ich seit einiger Zeit erfolgreich ISPConfig ein, auch um z.B. Mails per Amavis mit DKIM zu signieren. Die Daten dort sind in eine MySQL-DB, per Cronjob werden dann die Konfigurationen und Zonen generiert. Gibt es vielleicht ähnliche Ansätze bzw. freie Projekte in diesem Bereich? Ich würde meinem Chef ungern ein zerpflücktes ISPConfig präsentieren ;-) Bin gespannt... VG Marc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5033 bytes Beschreibung: nicht verfügbar URL : From risse at citkomm.de Wed Jan 27 11:57:45 2016 From: risse at citkomm.de (Marc Risse) Date: Wed, 27 Jan 2016 11:57:45 +0100 Subject: AW: etwas offtopic: Key- und Config- Management In-Reply-To: <002301d158ef$bc7c8440$35758cc0$@ist-immer-online.de> References: <56A89BAE.3070907@citkomm.de> <002301d158ef$bc7c8440$35758cc0$@ist-immer-online.de> Message-ID: <56A8A2A9.80506@citkomm.de> Hallo Daniel, unsere Kunden betreiben eigene (Exchange-)Server. Wir als kommunales RZ nehmen nur die Mails entgegen, scannen und reichen sie weiter. Ich habe das ganze schon von Hand mit einigen Testdomains durchgespielt, das klappt wunderbar. Allerdings ist nicht jeder unserer Admins so sattelfest, teilweise beschränkt sich deren Arbeit auf einen DNS-Eintrag ergänzen und serial eine Nummer hochdrehen. Oder in Postfix in einer Map den Transport für eine Domain auf eine andere IP zu leiten. Neue Zonen werden leider auch mal durch einfaches kopieren vorhandener Zonen erstellt. Ich sehne mich nach eine Managementsoftware und bin kurz davor ein Bash- oder Pythonscript zu schreiben, wollte allerdings vorher mal hören ob hier jemand was nützliches kennt. Hab mal auf Github und Sourceforge gesucht, aber da war auf den ersten Blick nichts dabei... VG Marc On 27.01.2016 11:44, Daniel wrote: > Hi Marc, > > hat jeder eigenen Server? Wenn nicht reicht doch wenn jede Domain nur euren Server als MX hat. Und beim Versand halt alle mit DKIM signiert. > > Und dann braucht ihr ja nur 1 Domain für den Mailserver mit DNSSEC versehen. SPF kann man auch mit include auf einen Eintrag vom Mailserver verweisen. Und bei den anderen Domains sollte dann auch CNAME gehen für _darc Host und den Domainkey, ebenfalls auf Mailserver Domain. > > Gruß Daniel > > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Marc Risse > Gesendet: Mittwoch, 27. Januar 2016 11:28 > An: postfixbuch-users at listen.jpberlin.de > Betreff: etwas offtopic: Key- und Config- Management > > Hallo zusammen, > > ich frage mal bezüglich eines Themas, welches nur am Rande mit Postfix zu tun hat: > > Wir verwalten rund 250 Kundendomains (DNS, Mailrelaying, ...). Ich plane die Einführung von DNSSEC, DKIM, DANE und SPF. Welche Tools zum Verwalten der Keys und Konfigurationen verwendet Ihr? Wir pflegen die Postfix- und Bindkonfigurationen im Moment von Hand. Allerdings wird es mit der Einführung der oben genannten Techniken etwas komplizierter, und da wir mehrere "Köche" sind, sehe ich die Gefahr, dass die Suppe schnell versalzen sein wird, wenn wir nicht ein schönes Tool vorschalten. > Im privaten Bereich setze ich seit einiger Zeit erfolgreich ISPConfig ein, auch um z.B. Mails per Amavis mit DKIM zu signieren. Die Daten dort sind in eine MySQL-DB, per Cronjob werden dann die Konfigurationen und Zonen generiert. > Gibt es vielleicht ähnliche Ansätze bzw. freie Projekte in diesem Bereich? Ich würde meinem Chef ungern ein zerpflücktes ISPConfig präsentieren ;-) > > Bin gespannt... > > VG > Marc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3429 bytes Beschreibung: S/MIME Cryptographic Signature URL : From wn at neessen.net Wed Jan 27 13:44:45 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 27 Jan 2016 06:44:45 -0600 Subject: the bigplayer from Mail In-Reply-To: <56A895EE.6080901@dimejo.at> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> Message-ID: Hi Am 27.01.2016 um 04:03 schrieb Alex JOST : > Ich würde Dir folgendes raten, um bei den großen Anbietern einen besseren Status zu erhalten. > * SPF-Eintrag (auch wenn er auf neutral steht) > * DKIM für alle sendenden Domains Das hatte ich beim letzten Mal auch schon empfohlen. Ebenfalls ist es hilfreich sich bei dem Mail-Reputation Program von MS anzumelden. Weil man das a) mit bekommt das man geblockt wurde und b) ueber deren System um Whitelistung bitten kann die (zumindest in unserem Fall) auch angenommen wurde und seit dem intakt ist. SPF und DKIM hilft uebrigens auch bei anderen grossen Playern, wie Google, Yahoo und GMX. Hasstiraden und alberne (sorry fuer die Wortwahl) Blocknachrichten widerrum bringen Dir garnichts ausser Aerger mit den Kunden. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From driessen at fblan.de Wed Jan 27 14:29:25 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 27 Jan 2016 14:29:25 +0100 Subject: AW: the bigplayer from Mail In-Reply-To: <56A895EE.6080901@dimejo.at> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> Message-ID: <009501d15906$be059dd0$3a10d970$@fblan.de> Im Auftrag von Alex JOST > > Du schimpfst hier schon zum wiederholten Male auf die großen Anbieter. > Glaubst Du wirklich, dass jemand von denen diese Mailingliste liest? Denen Ihr Problem Meinen Kunden kann ich das erklären. Es ist ja nicht so das ich es nicht versuchen würde und es gibt sowas wie RFC's Ich häng da keine Arbeitszeit mehr rein Deren Kunden möchte gerne die Informationen haben dann müssen die für die Zustellbarkeit sorgen > > Du solltest selbst am besten wissen, dass die Bekämpfung von Spam keine > exakte Wissenschaft ist. Vor allem ist es unmöglich jede E-Mail von Hand > zu prüfen. Darum geht es nicht aber wegen 3 IP aus einem /16 ein /16 in die Blacklist reinnehmen ?? Kein Dialin wohlgemerkt, ein komplette RZ ohne das das RZ auch nur den Hauch einer Chance hat tätig zu werden. > > Ich würde Dir folgendes raten, um bei den großen Anbietern einen > besseren Status zu erhalten. > * SPF-Eintrag (auch wenn er auf neutral steht) Wie war das mit SPF?? Da war doch was das das sich mit so manchem nicht verträgt? > * DKIM für alle sendenden Domains > * Eintrag auf dnswl.org Ich kenne ~20 andere Test wesentlich effektiver. Wer sich dem Diktat unterwerfen muss der hat dann wohl keine andere Wahl. Ich wähle schon immer anders :-)) > > > Dieser Text klingt schon sehr nach Verzweiflung. Als Kunde würde ich mir > wahrscheinlich überlegen zu einem anderen Anbieter zu wechseln. Nein nur Schnauze voll. Kann jeder gerne machen. Ich bin gottseidank nicht auf die paar EURO angewiesen. Aber meine Kunden wissen warum sie bei mir sind. > > Ich würde Dir außerdem raten den Text von jemanden redigieren zu lassen. Da hab ich doch einen in dir gefunden :-) Wobei ich nicht wüsste ob es am Inhalt was ändern würde Und solange halte ich es mit lieber mit Peter Wenn ich heute Nacht Zeit habe stell ich das mal bei Heise rein. > > -- > Alex JOST Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From jost+lists at dimejo.at Wed Jan 27 15:08:29 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Wed, 27 Jan 2016 15:08:29 +0100 Subject: the bigplayer from Mail In-Reply-To: <009501d15906$be059dd0$3a10d970$@fblan.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> Message-ID: <56A8CF5D.4050801@dimejo.at> Am 27.01.2016 um 14:29 schrieb Uwe Drießen: > Im Auftrag von Alex JOST >> >> Du schimpfst hier schon zum wiederholten Male auf die großen Anbieter. >> Glaubst Du wirklich, dass jemand von denen diese Mailingliste liest? > > Denen Ihr Problem > Meinen Kunden kann ich das erklären. > Es ist ja nicht so das ich es nicht versuchen würde und es gibt sowas wie > RFC's Und was genau hat das mit RFCs zu tun? >> Du solltest selbst am besten wissen, dass die Bekämpfung von Spam keine >> exakte Wissenschaft ist. Vor allem ist es unmöglich jede E-Mail von Hand >> zu prüfen. > > Darum geht es nicht aber wegen 3 IP aus einem /16 ein /16 in die Blacklist > reinnehmen ?? > Kein Dialin wohlgemerkt, ein komplette RZ ohne das das RZ auch nur den Hauch > einer Chance hat tätig zu werden. Ich gebe Dir recht, dass es sehr überzogen scheint das komplette Subnetz zu blocken. Allerdings machen wir das ebenfalls wenn wir Spam von mehreren IPs bekommen, die alle dem selben Subnetz (laut Whois) stammen. >> Ich würde Dir folgendes raten, um bei den großen Anbietern einen >> besseren Status zu erhalten. >> * SPF-Eintrag (auch wenn er auf neutral steht) > > Wie war das mit SPF?? Da war doch was das das sich mit so manchem nicht > verträgt? SPF hat seine Probleme, aber nicht wenn der Eintrag auf neutral steht. Dann muss der Empfänger akzeptieren. Zumindest theoretisch. >> * DKIM für alle sendenden Domains >> * Eintrag auf dnswl.org > > Ich kenne ~20 andere Test wesentlich effektiver. Es geht hier nicht um effektive Maßnahmen um Spam abzuwehren. Es geht um Maßnahmen die es unwahrscheinlicher machen, dass Deine Nachrichten geblockt werden. Dass diese Maßnahmen helfen können werden Dir auch andere Stellen bestätigen (siehe Beitrag von Winfried Neessen). Dein Beitrag klang nach einem Hilferuf. Ob Du meinen Rat annimmst oder nicht ist natürlich Dir überlassen. > Wer sich dem Diktat unterwerfen muss der hat dann wohl keine andere Wahl. > Ich wähle schon immer anders :-)) > >> >> >> Dieser Text klingt schon sehr nach Verzweiflung. Als Kunde würde ich mir >> wahrscheinlich überlegen zu einem anderen Anbieter zu wechseln. > > Nein nur Schnauze voll. > Kann jeder gerne machen. > Ich bin gottseidank nicht auf die paar EURO angewiesen. > Aber meine Kunden wissen warum sie bei mir sind. Freut mich, wenn Du so viel Geld hast, dass Du Dein Unternehmen als Hobby betreiben kannst. Trotzdem würde ich mir von einem engagierten ITler wie Dir erwarten, dass es alles tut, um seine Dienstleistung zu verbessern. >> Ich würde Dir außerdem raten den Text von jemanden redigieren zu lassen. > > Da hab ich doch einen in dir gefunden :-) > Wobei ich nicht wüsste ob es am Inhalt was ändern würde Das war nicht böse gemeint. Ich habe auch nie behauptet frei von Rechtschreibfehlern zu sein. Der Text wirkte einfach alles andere als professionell. -- Alex JOST From wn at neessen.net Wed Jan 27 15:43:13 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 27 Jan 2016 08:43:13 -0600 Subject: the bigplayer from Mail In-Reply-To: <009501d15906$be059dd0$3a10d970$@fblan.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> Message-ID: <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> Am 27.01.2016 um 07:29 schrieb Uwe Drießen : > Es ist ja nicht so das ich es nicht versuchen würde und es gibt sowas wie RFC's > RFC sind auch nur ?Richtlinien? und kein Gesetz. Ich wuerde mich da nicht all zu sehr dran klammern. Klar ist es gut sich RFC-konform zu verhalten, aber es wird immer Ausreisser geben, die es nicht tun. > Wie war das mit SPF?? Da war doch was das das sich mit so manchem nicht > verträgt? > > Ich kenne ~20 andere Test wesentlich effektiver. > Darum gehts nicht. Es geht darum, Dir die Arbeit zu erleichtern und Deinen Kunden zu ermoeglichen mit allen Kunden bei allen Providern kommunizieren zu koennen. Wenn Du es allerdings eh besser weisst, versteh ich Deinen all-monatlichen Mails zu dem Thema hier auf der Liste nicht. Dir wurden mehrfach Wege genannt, wie Du das Problem beheben kannst, die moechtest Du aber nicht einschlagen, sondern lieber immer wieder irgendwelche Hassmails an diese Liste schicken. Auch wenn Deine Intention gut gemeint ist, fuerchte ich, dass den meisten Lesern hier, wichtiger ist, dass ihre Kunden zufrieden sind, als das man irgend einen Kampf gegen Windmuehlen kaempfen will. > Aber meine Kunden wissen warum sie bei mir sind. > Unsere Kunden haben auch ihre Gruende warum sie unsere Dienste nutzen- unter anderem weil wir alles Versuchen um ihr Kundendasein so angenehm wie moeglich zu gestalten - und dazu gehoert nunmal auch, dass man sich die Arbeit macht und versucht die Kommunikation mit _allen_ anderen Parteien zu ermoeglichen. Ob man jetzt Bock darauf hat oder sich denkt, dass die Gegenseite alles falsch macht ist egal. Der Kunden will, dass es funktioniert und wir stellen das sicher. Punkt. Ich werde mich hueten meinen Kunden zu erklaeren, dass Microsoft scheisse ist und es mir egal ist, dass deren Server unsere Server ablehnen. Mein Kunden wuerde mir was husten. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From bjoern.meier at gmail.com Wed Jan 27 16:19:42 2016 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Wed, 27 Jan 2016 15:19:42 +0000 Subject: the bigplayer from Mail In-Reply-To: <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> Message-ID: hi Winfried Neessen schrieb am Mi., 27. Jan. 2016 um 16:07 Uhr: > Auch wenn Deine Intention gut gemeint ist, fuerchte ich, dass den meisten > Lesern hier, wichtiger ist, dass ihre Kunden zufrieden sind, als das man > irgend einen Kampf gegen Windmuehlen kaempfen will. > Du siehst schon, dass hier das eighentliche Problem besteht, oder? Wenn man diese Shenanigans nicht mitmacht, sind die Großen gezwungen davon abzulassen. Je mehr man den leichten Weg geht umso größer werden die Probleme mit Mail. Sollte man aus der Geschichte der Mail doch gelernt haben? Wie viele sich damals über AOL aufregten. Ich bin da mit Uwe konform. Du gehst ja auch nicht zum Absender, wenn dein Briefträger deine Post in die Mülltonne kippt, weil ihm die Schrift des Absender nicht passt. Das ist eben der Punkt. Gruß, Björn. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Wed Jan 27 16:25:59 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 27 Jan 2016 09:25:59 -0600 Subject: the bigplayer from Mail In-Reply-To: References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> Message-ID: Hi, Am 27.01.2016 um 09:19 schrieb Bjoern Meier : > Du siehst schon, dass hier das eighentliche Problem besteht, oder? Wenn man diese Shenanigans nicht mitmacht, sind die Großen gezwungen davon abzulassen. Je mehr man den leichten Weg geht umso größer werden die Probleme mit Mail. Sollte man aus der Geschichte der Mail doch gelernt haben? Wie viele sich damals über AOL aufregten. > Hab? nie was gegenteiliges behauptet. Leider ist Email nunmal uralt und den Kampf haettet ihr leider frueher anfangen muessen. Das Kind ist schon in den Brunnen gefallen und daher ist euer Kampf leider hinfaellig (vor allem weil es einfache Mittel und Wege gibt, um problemlos mit den grossen zu kommunizieren). Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From bjoern.meier at gmail.com Wed Jan 27 16:44:04 2016 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Wed, 27 Jan 2016 15:44:04 +0000 Subject: the bigplayer from Mail In-Reply-To: References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> Message-ID: hi, Winfried Neessen schrieb am Mi., 27. Jan. 2016 um 16:26 Uhr: > Hab? nie was gegenteiliges behauptet. Indirekt schon. Ja, sonst hätte ich es nicht formuliert. > Leider ist Email nunmal uralt und den Kampf haettet ihr leider frueher > anfangen muessen. Das Kind ist schon in den Brunnen gefallen und daher ist > euer Kampf leider hinfaellig Dann sollten wir EMail den Gnadenschuß geben und nicht mehr Benutzen. Was ihr das macht ist dann bloß den Patieten quälen. Also: konstruktive Vorschläge für EMail-Ersatz? Ach, geht nicht, weil sonst schon längst was da wäre? Na, dann ist der tägliche Kampf wohl noch nicht vorbei, mh? (vor allem weil es einfache Mittel und Wege gibt, um problemlos mit den > grossen zu kommunizieren). > Ich weiß nicht, wo du das her hast. ich habe da ganz andere Erfahrungen. Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Wed Jan 27 17:13:14 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 27 Jan 2016 17:13:14 +0100 Subject: AW: the bigplayer from Mail In-Reply-To: <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> Message-ID: <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> Im Auftrag von Winfried Neessen > Am 27.01.2016 um 07:29 schrieb Uwe Drießen : > > > Es ist ja nicht so das ich es nicht versuchen würde und es gibt sowas wie > RFC's > > > RFC sind auch nur „Richtlinien“ und kein Gesetz. Ich wuerde mich da nicht all > zu sehr > dran klammern. Klar ist es gut sich RFC-konform zu verhalten, aber es wird > immer > Ausreisser geben, die es nicht tun. Und genau die tun dann solche Dinge die es anderen schier unmöglich machen Ihre Arbeit im vernünftigen Rahmen zu tun. Das sind genau diese die zusätzliche Kosten und Zeitaufwand verursachen. Stellst du das MS in Rechnung ?? nein Deine Kunden müssen das Bezahlen oder Hast du so viel Geld das alles einfach so zu tun und verzichtest darauf den Aufwand bezahlt zu bekommen ?? :-)) (ist wohl auch ein Hobby von dich *fg) > > > Wie war das mit SPF?? Da war doch was das das sich mit so manchem nicht > > verträgt? > > > > Ich kenne ~20 andere Test wesentlich effektiver. > > > > Darum gehts nicht. Es geht darum, Dir die Arbeit zu erleichtern und Deinen > Kunden zu ermoeglichen > mit allen Kunden bei allen Providern kommunizieren zu koennen. Wenn Du > es allerdings eh besser > weisst, versteh ich Deinen all-monatlichen Mails zu dem Thema hier auf der > Liste nicht. Dir wurden > mehrfach Wege genannt, wie Du das Problem beheben kannst, die > moechtest Du aber nicht einschlagen, > sondern lieber immer wieder irgendwelche Hassmails an diese Liste schicken. Sorry es rechtfertig den Zeitaufwand nicht den 2 bisherigen nachzurennen. Des Weiteren sind alle diese Wege KEIN Garant für Erfolg. Bringen andere Probleme mit sich. Außerdem wer behauptet denn hier das meine Kunden nicht kommunizieren können? Selbst ich mit meinem Beschränkten Horizont schaffe es einem Ochsen ins Horn zu petzen.(bin auf dem Land aufgewachsen) Selbst ich kann gerade noch so meine Mailadresse in ein Formular ein kippen. Muß ich das dann auch noch schön finden? > Auch wenn Deine > Intention gut gemeint ist, fuerchte ich, dass den meisten Lesern hier, > wichtiger ist, dass ihre Kunden > zufrieden sind, als das man irgend einen Kampf gegen Windmuehlen > kaempfen will. Für alle die es sich nicht leisten können gab es den Hinweis auf die Seite. Auf der Fehlerseite zumindest habe ich KEINEN Hinweis zu dieser Seite gefunden. (Ich hab das in den Letzten 10 Jahren noch nicht einmal tun müssen) Man muss erstmal einiges an Zeit aufwenden um überhaupt auf die Seite zu kommen. Der MS-Support hat 4 Mails benötigt mir die Seite per Mail mitzuteilen. :-)) > > > Aber meine Kunden wissen warum sie bei mir sind. > > > > Unsere Kunden haben auch ihre Gruende warum sie unsere Dienste nutzen- > unter anderem weil wir > alles Versuchen um ihr Kundendasein so angenehm wie moeglich zu > gestalten - und dazu gehoert > nunmal auch, dass man sich die Arbeit macht und versucht die > Kommunikation mit _allen_ anderen > Parteien zu ermoeglichen. Ob man jetzt Bock darauf hat oder sich denkt, > dass die Gegenseite alles > falsch macht ist egal. Der Kunden will, dass es funktioniert und wir stellen das > sicher. Punkt. Hab ich da was dagegen gesagt? > > Ich werde mich hueten meinen Kunden zu erklaeren, dass Microsoft > scheisse ist und es mir egal > ist, dass deren Server unsere Server ablehnen. Mein Kunden wuerde mir > was husten. Und dennoch stehst du erstmal da wenn MS das tut. Was sagst du dann deinen Kunden ??? "Damit müssen sie sich nicht beschäftigen ich trag die Mail selbst nach Unterschleißheim ?? " :-)) Du bekommst an Bein gepisst und stehst erstmal da und musst schauen das die Kunden bei Laune bleiben, das du Zeitnah den Scheiß während immer noch ein Kunde mehr anruft und fragt was das soll geregelt bekommst. Und NEIN es gibt keine Garantie das MS seinen Fehler einsieht weil die 5 Mails dorthin alle unterschiedlicher Herkunft, Inhalts usw. und alles andere als Spam waren. Und die sagen dir eiskalt das kann 48 Stunden dauern bis das der Server / die IP / das Netz freigeschaltet werden. Setzt du dann auf Hold und riskiert das der Kunde anruft und fragt wo seine Mails abgeblieben sind die er vor 2 Stunden abgeschickt hat? Du hast die Arbeit, du hast die Kunden am Ohr und du machst nix anderes wie zu schauen wie du das wieder hinbekommst. (was ich im Übrigen auch tue) > > > Winni Und manchmal platzt einem, bei so viel Unverstand derer die einen immer mit Spam der übelsten Sorte beglücken wollen, der Kragen. Im Übrigen, wenn sich die Kunden von MS beschweren ist das weitaus effektiver als alles was ich hier anstellen könnte. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From mailinglisten at pothe.de Wed Jan 27 17:14:23 2016 From: mailinglisten at pothe.de (Andreas Pothe) Date: Wed, 27 Jan 2016 17:14:23 +0100 Subject: etwas offtopic: Key- und Config- Management In-Reply-To: <002301d158ef$bc7c8440$35758cc0$@ist-immer-online.de> References: <56A89BAE.3070907@citkomm.de> <002301d158ef$bc7c8440$35758cc0$@ist-immer-online.de> Message-ID: <56A8ECDF.9030506@pothe.de> Am 27.01.2016 um 11:44 schrieb Daniel: > Und dann braucht ihr ja nur 1 Domain für den Mailserver mit DNSSEC versehen. SPF kann man auch mit include auf einen Eintrag vom Mailserver verweisen. Und bei den anderen Domains sollte dann auch CNAME gehen für _darc Host und den Domainkey, ebenfalls auf Mailserver Domain. Damit DANE durchgängig funktioniert, muss sowohl die angeschriebene Domain per DNSSEC erreichbar sein als auch der Mailserver, für letzteren muss außerdem ein TLSA Eintrag vorhanden sein. Außerdem tut DNSSEC nicht wirklich weh. Man kann das auch schön automatisieren; einige machen es mit BIND direkt (IIRC gibt es da irgendwo unter sys4 eine Anleitung zu), ich selbst arbeite mit OpenDNSSEC und bin damit sehr zufrieden. From driessen at fblan.de Wed Jan 27 17:16:33 2016 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 27 Jan 2016 17:16:33 +0100 Subject: AW: the bigplayer from Mail In-Reply-To: References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> Message-ID: <00bc01d1591e$173b0590$45b110b0$@fblan.de> Im Auftrag von Bjoern Meier > hi > > Winfried Neessen schrieb am Mi., 27. Jan. 2016 um > 16:07 Uhr: > > Auch wenn Deine Intention gut gemeint ist, fuerchte ich, dass den > meisten Lesern hier, wichtiger ist, dass ihre Kunden zufrieden sind, als das > man irgend einen Kampf gegen Windmuehlen kaempfen will. > > Du siehst schon, dass hier das eighentliche Problem besteht, oder? Wenn > man diese Shenanigans nicht mitmacht, sind die Großen gezwungen davon > abzulassen. Je mehr man den leichten Weg geht umso größer werden die > Probleme mit Mail. Sollte man aus der Geschichte der Mail doch gelernt > haben? Wie viele sich damals über AOL aufregten. Nicht schlagen lieber gehen wir mal nen Kaffee Trinken und baldowern aus wie wir es denen mal Heimzahlen :-)) > > Gruß, > Björn. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From wn at neessen.net Wed Jan 27 17:25:28 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 27 Jan 2016 10:25:28 -0600 Subject: the bigplayer from Mail In-Reply-To: <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> Message-ID: <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> Hi, Am 27.01.2016 um 10:13 schrieb Uwe Drießen : > Das sind genau diese die zusätzliche Kosten und Zeitaufwand verursachen. > Stellst du das MS in Rechnung?? nein Deine Kunden müssen das Bezahlen oder > Nein. Meine Kunden bezahlen dafuer nicht. Und das ist auch kein Zeitaufwand. SPF und DKIM wird automatisch fuer jede Kundendomain angelegt. Und das einmalige registrieren unserer IPs bei MS hat ca. 2 Std. gekostet - die kann ich gerade noch so verkraften. > Außerdem wer behauptet denn hier das meine Kunden nicht kommunizieren können? Ich. Unsere Kunden haben keinen Ahnung von dem technischen Hintergrund von Mail. Wenn da eine Fehlermeldung kommt, verstehen sie sie nicht. Sie kontaktieren den Support. Sie sollen sie auch nicht verstehen muessen. Es gehoert nun mal zum Service, dass das System funktioniert und der Kunde sich um den technischen Scheiss dahinter keine Sorgen machen muss. Und dafuer bezahlen zumindest unsere Kunden gerne ein paar Euro mehr als bei 1&1 und Co. > Selbst ich mit meinem Beschränkten Horizont schaffe es einem Ochsen ins Horn > zu petzen.(bin auf dem Land aufgewachsen) > Selbst ich kann gerade noch so meine Mailadresse in ein Formular ein kippen. > Muß ich das dann auch noch schön finden? > Tja, und genau das wollen (und muessen) unsere Kunden nunmal nicht. Sie bezahlen fuer die Dienstleistung ?Email? und diese Dienstleistung beinhaltet, dass sie auch an jeden Provider ihre Emails ausliefern koennen ohne dafuer eine Mailaddresse in irgendwelche Formulare kippen zu muessen. Muessen sie aber auch nicht, weil unsere IPs auf der MS Whiteliste stehen und somit unabhaengig von localpart oder domain durchkommen. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From driessen at fblan.de Wed Jan 27 17:54:12 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 27 Jan 2016 17:54:12 +0100 Subject: AW: the bigplayer from Mail In-Reply-To: <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> Message-ID: <00d001d15923$5b9b0af0$12d120d0$@fblan.de> Im Auftrag von Winfried Neessen > Hi, > > Nein. Meine Kunden bezahlen dafuer nicht. Und das ist auch kein > Zeitaufwand. SPF > und DKIM wird automatisch fuer jede Kundendomain angelegt. Und das > einmalige > registrieren unserer IPs bei MS hat ca. 2 Std. gekostet - die kann ich gerade > noch > so verkraften. Soso also doch Sozialist. Hast du dann wohl komplett in deiner Freizeit gemacht ?? Klar zahlen das DEINE Kunden auch wenn es nicht extra auf der Rechnung ausgewiesen wird. Müssten solche Probleme nicht gelöst werden könnte man das Hosting noch einen Ticken günstiger anbieten . :-) > Ich. Unsere Kunden haben keinen Ahnung von dem technischen Hintergrund > von Mail. Ist bei meinen auch nicht anders. > Wenn da eine Fehlermeldung kommt, verstehen sie sie nicht. Sie > kontaktieren den Support. Was glaubst du warum ich so einen Hals auf MS habe ?? > Sie sollen sie auch nicht verstehen muessen. Es gehoert nun mal zum > Service, dass das > System funktioniert und der Kunde sich um den technischen Scheiss dahinter > keine Sorgen > machen muss. Und dafuer bezahlen zumindest unsere Kunden gerne ein > paar Euro mehr > als bei 1&1 und Co. Dito sag ich ja auch nix dagegen. Das ist bei mir ein vielfaches dessen was die nehmen > > > Selbst ich mit meinem Beschränkten Horizont schaffe es einem > Ochsen ins Horn > zu petzen.(bin auf dem Land aufgewachsen) > Selbst ich kann gerade noch so meine Mailadresse in ein Formular ein > kippen. > Muß ich das dann auch noch schön finden? > > Tja, und genau das wollen (und muessen) unsere Kunden nunmal nicht. Sie Was müssen die nicht was meine müssen ?? Darf ich mal deine Brille haben? :-)) Das steht das "ICH es schaffe MEINE" Mailadresse und vieles andere mehr in so ein doofes Formular .... > bezahlen > fuer die Dienstleistung „Email“ und diese Dienstleistung beinhaltet, dass sie > auch an > jeden Provider ihre Emails ausliefern koennen ohne dafuer eine > Mailaddresse in irgendwelche > Formulare kippen zu muessen. Muessen sie aber auch nicht, weil unsere IPs > auf der > MS Whiteliste stehen und somit unabhaengig von localpart oder domain > durchkommen. Ach du musstest das dann wohl auch schon über dich ergehen lassen? Keine Wut bekommen ?? oder machst du dann Entspannungsübungen? :-)) Hattest wohl deswegen auch schon unfreundliche Anrufe deiner Kunden? Guten Tag Leidensgenosse. Wenn sich das nicht anders hier lesen würde käme mir ja fast der Verdacht das du auch Betroffener warst. :-)) > > Winni Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From postfix at linuxmaker.com Thu Jan 28 10:33:42 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Thu, 28 Jan 2016 10:33:42 +0100 Subject: Aktuelle Spamassassin-Konfiguration anzeigen lassen Message-ID: <5643974.yyTKOAxZtI@stuttgart> Hallo, ich verwende Spamassassin und möchte gerne ähnlich wie bei Postfix mit 'postconf -n' mich über die geladenen SA-Rules und SA-Einstellungen informieren. Gibt es da einen Befehl, der mir die aktuelle Konfiguration offenbart? Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Thu Jan 28 10:43:33 2016 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 28 Jan 2016 10:43:33 +0100 Subject: AW: Aktuelle Spamassassin-Konfiguration anzeigen lassen In-Reply-To: <5643974.yyTKOAxZtI@stuttgart> References: <5643974.yyTKOAxZtI@stuttgart> Message-ID: <013c01d159b0$5a77eca0$0f67c5e0$@fblan.de> Im Auftrag von Andreas Günther > > ich verwende Spamassassin und möchte gerne ähnlich wie bei Postfix mit > 'postconf -n' mich über die geladenen SA-Rules und SA-Einstellungen > informieren. Gibt es da einen Befehl, der mir die aktuelle Konfiguration > offenbart? > > > > Grüße > > Andreas spamassassin -D --lint Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From postfix at linuxmaker.com Thu Jan 28 10:45:37 2016 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Thu, 28 Jan 2016 10:45:37 +0100 Subject: AW: Aktuelle Spamassassin-Konfiguration anzeigen lassen In-Reply-To: <013c01d159b0$5a77eca0$0f67c5e0$@fblan.de> References: <5643974.yyTKOAxZtI@stuttgart> <013c01d159b0$5a77eca0$0f67c5e0$@fblan.de> Message-ID: <1951740.72XaNPndAN@stuttgart> Am Donnerstag, 28. Januar 2016, 10:43:33 schrieb Uwe Drießen: > Im Auftrag von Andreas Günther > > > > > > > ich verwende Spamassassin und möchte gerne ähnlich wie bei Postfix mit > > 'postconf -n' mich über die geladenen SA-Rules und SA-Einstellungen > > informieren. Gibt es da einen Befehl, der mir die aktuelle Konfiguration > > offenbart? > > > > > > > > > > > > Grüße > > > > > > > > Andreas > > spamassassin -D --lint > > > Mit freundlichen Grüßen > > Uwe Drießen Besten Dank, exakt, das was ich gesucht habe. Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From w.flamme at web.de Thu Jan 28 13:42:33 2016 From: w.flamme at web.de (Werner Flamme) Date: Thu, 28 Jan 2016 13:42:33 +0100 Subject: the bigplayer from Mail In-Reply-To: <00d001d15923$5b9b0af0$12d120d0$@fblan.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> <00d001d15923$5b9b0af0$12d120d0$@fblan.de> Message-ID: <56AA0CB9.8040403@web.de> Uwe Drießen schrieb am 27.01.2016 um 17:54: [...] Uwe, die Energie, die Du alle paar Wochen in die Postings hier steckst, kannst Du sinnvoller verwenden, indem Du Dich whitelisten lässt und dem bekloppten M$-Programm beitrittst. Der Zeitaufwand ist in einem Vierteljahr wieder drin. Just my 2¢ Werner -- From bernd at kroenchenstadt.de Thu Jan 28 13:45:00 2016 From: bernd at kroenchenstadt.de (Bernd) Date: Thu, 28 Jan 2016 13:45:00 +0100 Subject: the bigplayer from Mail In-Reply-To: <56AA0CB9.8040403@web.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> <00d001d15923$5b9b0af0$12d120d0$@fblan.de> <56AA0CB9.8040403@web.de> Message-ID: Am 2016-01-28 13:42, schrieb Werner Flamme: > Uwe Drießen schrieb am 27.01.2016 um 17:54: > [...] > > Uwe, die Energie, die Du alle paar Wochen in die Postings hier steckst, > kannst Du sinnvoller verwenden, indem Du Dich whitelisten lässt und dem > bekloppten M$-Programm beitrittst. Der Zeitaufwand ist in einem > Vierteljahr wieder drin. > > Just my 2¢ > Werner Ein Anfang wäre es doch vielleicht bereits, den "Feind" nicht auch noch pekuniär zu unterstützen: X-Mailer: Microsoft Outlook 14.0 <= Uwes MUA Cheers, B. From igor.sverkos at gmail.com Thu Jan 28 14:24:44 2016 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Thu, 28 Jan 2016 14:24:44 +0100 Subject: =?UTF-8?Q?OT=3A_Amavis=3A_BadHdr=2DPr=C3=BCfungen_f=C3=BCr_eingehende_Nachri?= =?UTF-8?Q?chten_ja=2Fnein=3F?= Message-ID: Hallo, eine kleine Umfrage: Habt ihr Bad Header (BadHdr) Checks für eingehende Nachrichten aktiviert? Sehr schnell wird man mit deutschen Nutzern ja feststellen, dass Umlaute in Betreffs (meistens in Mails von fehlerhaften Webanwendung) Probleme bereiten, weswegen man dann wohl die 8bit-Prüfung abschaltet. Danach wird man wohl Erfahrung mit doppelten Headern machen (Sicherheitswarnungen die den Microsoft Account/O365 betreffen würden daran bspw. scheitern, um einen prominenten Übeltäter zu benennen). Nun stelle ich aber auch fest, dass gerade DKIM-signierte Mails oft die Whitelist-Regel ("Improper folded header field made up entirely of whitespace (char 09 hex)") triggern (da scheint es wohl auch viel kaputtes Zeugs zu geben). Zu guter Letzt beobachte ich dann noch wie der Missing-Check oftmals Mails von Warenwirtschaftssystemen rauskegelt, weil bspw. das "Date"-Headerfeld fehlt. Lohnt es sich wirklich nur diese Checks für fremde, eingehende Nachrichten selektiv zu deaktivieren, d.h. fischen bei euch die verbleibenden Checks durchaus andere unerwünschte Nachrichten heraus, die anderweitig durchgekommen wären oder verzichtet ihr komplett auf diese Prüfungen an der Stelle? -- Ich Grüße, Igor From driessen at fblan.de Fri Jan 29 11:24:04 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 29 Jan 2016 11:24:04 +0100 Subject: AW: the bigplayer from Mail In-Reply-To: <56AA0CB9.8040403@web.de> References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> <00d001d15923$5b9b0af0$12d120d0$@fblan.de> <56AA0CB9.8040403@web.de> Message-ID: <001801d15a7f$2ee597c0$8cb0c740$@fblan.de> Im Auftrag von Werner Flamme > > Uwe Drießen schrieb am 27.01.2016 um 17:54: > [...] > > Uwe, die Energie, die Du alle paar Wochen in die Postings hier steckst, > kannst Du sinnvoller verwenden, indem Du Dich whitelisten lässt und dem > bekloppten M$-Programm beitrittst. Der Zeitaufwand ist in einem > Vierteljahr wieder drin. Hallo Werner Es geht nicht um den EINEN. Es geht nicht primär um den Zeitaufwand für EINEN. Es geht um eine Fehlentwicklung die ich in den letzten 2 Jahren sehe. Es geht um Diskriminierung, Diktat, Sippenhaft und vieles anderes Mehr um ein nicht beachten der werte insgesamt. Und das gerade die welche so viel im eigenen Hof zu kehren hätten... > > Just my 2¢ > Werner > -- Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From carsten.delellis at delellis.net Fri Jan 29 12:55:55 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Fri, 29 Jan 2016 11:55:55 +0000 Subject: cluebringer installation auf Ubuntu Message-ID: <5efaaae241ed403cb57985dfa9da3bb7@delellis.net> Hallo Hat schon mal jemand cluebringer auf Ubuntu installiert und kann mir bei meinen Fragen vielleicht helfen? Ich habe cluebringer aus dem Ubuntu Repository installiert. Danach die cluebringer.conf angepasst und die mysql Daten eingetragen. Leider startet der Service nicht und das log ist auch nicht gerade aussagekräftig. In MySQL habe ich die Datenbank angelegt, jedoch wurden keine neuen Tabellen angelegt. Die SQL scripte die in der Doku beschrieben sind kann ich jedoch nirgends auf dem System finden. Was mache ich da falsch? Mit freundlichem Gruß Carsten Laun-De Lellis Hauptstrasse 13 D - 67705 Trippstadt Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax: +49 6306 992142 email: carsten.delellis at delellis.net http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixer99 at gmail.com Fri Jan 29 14:09:23 2016 From: postfixer99 at gmail.com (Carsten) Date: Fri, 29 Jan 2016 14:09:23 +0100 Subject: Mail-ID Recycling erfolgt zu schnell Message-ID: <56AB6483.4000405@gmail.com> Hallo zusammen, heute ist mir mal wieder aufgefallen, dass der Postfix die lokal-vergebene Mailqueue-ID teilweise relativ schnell wieder vergibt. So geht z.B. von Server 1 um 9:00 Uhr eine Mail ein, die auch um 9:01 an den next-hop ausgeliefert wird. Von Server 2 geht um 13:00 Uhr eine andere Mail ein, welche die gleiche Mailqueue-ID bekommt, wie die Mail von morgens. Natürlich ist es technisch offenbar OK, da die Verarbeitung der ersten Mail lange abgeschlossen ist und es keine doppelten IDs zur gleichen Zeit in irgendeiner Queue gibt, jedoch ist dies extrem unschön, wenn man Logdaten auswertet. Wenn ich z.B. ermitteln will, welche Mails an Tag X von einer bestimmten Client-IP reinkamen, dann ermittle ich alle Logzeilen zu der Client-IP, schneide die Mail-ID ab, suche alle Logdaten zu dieser Mail-ID und schreibe das ganze in mein Ergebnis-Logfile. Hier ist es natürlich unschön, wenn die Mailqueue-ID 2x am gleichen Tag (im gleichen Logfile) auftritt und somit mein ganzes ERgebnis verfälscht. Meine Frage: Gibt es eine Möglichkeit, die Mailqueue-ID eindeutiger zu machen oder den Algorithmus zur Erstellung zu verändern, oder oder? Beste Grüße, Carsten From jra at byte.cx Fri Jan 29 14:14:17 2016 From: jra at byte.cx (Jens Adam) Date: Fri, 29 Jan 2016 14:14:17 +0100 Subject: Mail-ID Recycling erfolgt zu schnell In-Reply-To: <56AB6483.4000405@gmail.com> References: <56AB6483.4000405@gmail.com> Message-ID: <20160129141417.3c2db77a@metis.byte.cx> Fri, 29 Jan 2016 14:09:23 +0100 Carsten : > Meine Frage: Gibt es eine Möglichkeit, die Mailqueue-ID eindeutiger zu > machen oder den Algorithmus zur Erstellung zu verändern, oder oder? Yep: "enable_long_queue_ids (default: no)" --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From postfixer99 at gmail.com Fri Jan 29 14:16:33 2016 From: postfixer99 at gmail.com (Carsten) Date: Fri, 29 Jan 2016 14:16:33 +0100 Subject: Mail-ID Recycling erfolgt zu schnell In-Reply-To: <20160129141417.3c2db77a@metis.byte.cx> References: <56AB6483.4000405@gmail.com> <20160129141417.3c2db77a@metis.byte.cx> Message-ID: <56AB6631.1090409@gmail.com> Am 29.01.2016 um 14:14 schrieb Jens Adam: > >> Meine Frage: Gibt es eine Möglichkeit, die Mailqueue-ID eindeutiger zu >> machen oder den Algorithmus zur Erstellung zu verändern, oder oder? > Yep: "enable_long_queue_ids (default: no)" > > Perfekt! Vielen Dank und schönes WE! From p at sys4.de Fri Jan 29 14:18:11 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 29 Jan 2016 14:18:11 +0100 Subject: Mail-ID Recycling erfolgt zu schnell In-Reply-To: <56AB6483.4000405@gmail.com> References: <56AB6483.4000405@gmail.com> Message-ID: <20160129131811.GE13479@sys4.de> enable_long_queue_ids =yes * Carsten : > Hallo zusammen, > > heute ist mir mal wieder aufgefallen, dass der Postfix die > lokal-vergebene Mailqueue-ID teilweise relativ schnell wieder > vergibt. > So geht z.B. von Server 1 um 9:00 Uhr eine Mail ein, die auch um > 9:01 an den next-hop ausgeliefert wird. > Von Server 2 geht um 13:00 Uhr eine andere Mail ein, welche die > gleiche Mailqueue-ID bekommt, wie die Mail von morgens. > > Natürlich ist es technisch offenbar OK, da die Verarbeitung der > ersten Mail lange abgeschlossen ist und es keine doppelten IDs zur > gleichen Zeit > in irgendeiner Queue gibt, jedoch ist dies extrem unschön, wenn man > Logdaten auswertet. > > Wenn ich z.B. ermitteln will, welche Mails an Tag X von einer > bestimmten Client-IP reinkamen, dann ermittle ich alle Logzeilen zu > der Client-IP, > schneide die Mail-ID ab, suche alle Logdaten zu dieser Mail-ID und > schreibe das ganze in mein Ergebnis-Logfile. > Hier ist es natürlich unschön, wenn die Mailqueue-ID 2x am gleichen > Tag (im gleichen Logfile) auftritt und somit mein ganzes ERgebnis > verfälscht. > > Meine Frage: Gibt es eine Möglichkeit, die Mailqueue-ID eindeutiger > zu machen oder den Algorithmus zur Erstellung zu verändern, oder > oder? > > Beste Grüße, Carsten -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From driessen at fblan.de Fri Jan 29 21:46:18 2016 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 29 Jan 2016 21:46:18 +0100 Subject: AW: the bigplayer from Mail In-Reply-To: References: <005d01d158cf$445bb370$cd131a50$@fblan.de> <56A895EE.6080901@dimejo.at> <009501d15906$be059dd0$3a10d970$@fblan.de> <03D9768C-A217-4A2E-B172-01F5EED9D303@neessen.net> <00bb01d1591d$a11ef7e0$e35ce7a0$@fblan.de> <4CB620E2-DAF6-4F12-98BF-A0F1CD49961A@neessen.net> <00d001d15923$5b9b0af0$12d120d0$@fblan.de> <56AA0CB9.8040403@web.de> Message-ID: <003001d15ad6$1b8bc120$52a34360$@fblan.de> Im Auftrag von Bernd > Ein Anfang wäre es doch vielleicht bereits, den "Feind" nicht auch noch > pekuniär zu unterstützen: Das ist zu einfach schwarz / weis Das sind doch keine Feinde > > X-Mailer: Microsoft Outlook 14.0 <= Uwes MUA Aber ich weigere mich standhaft upzudaten. > > Cheers, > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045