From rudi.floren at gmail.com Wed Jun 1 10:29:55 2016 From: rudi.floren at gmail.com (Rudi Floren) Date: Wed, 01 Jun 2016 08:29:55 +0000 Subject: SPF und GMX Message-ID: Hallo beisammen, ich habe ein Problem mit GMX. Ein User sagt, er bekommt ständig folgende non-delivery mails, sein Account ist als Weiterleitung auf seine GMX Adresse eingerichtet. This is the mail system at host postfix.globalgameport.com. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system : host mx01.emig.gmx.net[212.227.17.5] said: 550-Requested action not taken: mailbox unavailable 550-Reject due to SPF policy. 550-The originating IP of the message is not permitted by the domain owner. 550 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in reply to MAIL FROM command) Ja schön und gut, danke gmx für diesen eindeutigen Hinweis, was nun nicht geht. 550-Requested action not taken: mailbox unavailable weißt laut der postmaster Seite von gmx darauf, hin, dass mit dem Empfänger Account etwas nicht stimmt (Bsp. inaktiv) dem User nach sei damit aber alles in Ordnung, und er empfängt alles. Die Beiden SPF 550 kann ich nicht nachvollziehen. Der SPF record für globalgameport.com stimmt eigentlich, SPF tests im Netz, sagen alles korrekt. Komisch ist, dass die non-delivery mail zurück an den User geht aber diese dann an gmx zugestellt wird. Ich weiß nicht ob es an den mail hosts von gmx liegt, aber ein Log lässt zumindest darauf deuten. mx00, weißt die orig mail ab und mx01 akzeptiert die non-delivery mail. May 29 14:41:04 server2 postfix/smtp[6476]: 2AD3ED7207F: to=, relay=mx00.emig.gmx.net[212.227.15.9]:25, delay=0.48, delays=0.28/0/0.19/0.01, dsn=5.0.0, status=bounced (host mx00.emig.gmx.net[212.227.15.9] said: 550-Requested action not taken: mailbox unavailable 550-Reject due to SPF policy. 550-The originating IP of the message is not permitted by the domain owner. 550 For explanation visit http://postmaster. gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in reply to MAIL FROM command)) May 29 14:41:04 server2 postfix/cleanup[6474]: BFB0CD72913: message-id=< 20160529124104.BFB0CD72913 at postfix.globalgameport.com> May 29 14:41:04 server2 postfix/bounce[6543]: 2AD3ED7207F: sender non-delivery notification: BFB0CD72913 May 29 14:41:04 server2 postfix/qmgr[4545]: BFB0CD72913: from=<>, size=4557, nrcpt=1 (queue active) May 29 14:41:04 server2 postfix/qmgr[4545]: 2AD3ED7207F: removed May 29 14:41:05 server2 postfix/smtp[6480]: BFB0CD72913: to=, relay=mx01.emig.gmx.net[212.227.17.5]:25, delay=0.47, delays=0.1/0/0.2/0.18, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0LdcFi-1boGzT0LgY-00imsb) Sonst habe ich noch keine Beschwerden gehört. Hat jemand ähnliche Erfahrungen mit GMX gemacht? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Wed Jun 1 10:32:44 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 01 Jun 2016 10:32:44 +0200 Subject: SPF und GMX In-Reply-To: References: Message-ID: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> Hi Rudi, Am 2016-06-01 10:29, schrieb Rudi Floren: > : host mx01.emig.gmx.net[212.227.17.5] said: > 550-Requested action not taken: mailbox unavailable 550-Reject due to > SPF > policy. 550-The originating IP of the message is not permitted by the > domain owner. 550 For explanation visit > http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in > reply > to MAIL FROM command) > Du benoetigst SRS[1]. Winni [1] = http://www.openspf.org/SRS From andre.peters at debinux.de Wed Jun 1 10:39:07 2016 From: andre.peters at debinux.de (=?utf-8?Q?Andr=C3=A9_Peters?=) Date: Wed, 1 Jun 2016 10:39:07 +0200 Subject: SPF und GMX In-Reply-To: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> Message-ID: <8FDE91F6-3859-43FC-A5BB-9E47CD57881F@debinux.de> Sieht für mich nicht danach aus. Wie kommst du da jetzt genau drauf? Gib deinem TXT Record etwas Zeit zu propagieren. Von meinem iPhone gesendet > Am 01.06.2016 um 10:32 schrieb Winfried Neessen : > > Hi Rudi, > > Am 2016-06-01 10:29, schrieb Rudi Floren: > >> : host mx01.emig.gmx.net[212.227.17.5] said: >> 550-Requested action not taken: mailbox unavailable 550-Reject due to SPF >> policy. 550-The originating IP of the message is not permitted by the >> domain owner. 550 For explanation visit >> http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in reply >> to MAIL FROM command) > > Du benoetigst SRS[1]. > > > Winni > > [1] = http://www.openspf.org/SRS From Hajo.Locke at gmx.de Wed Jun 1 12:11:18 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 1 Jun 2016 12:11:18 +0200 Subject: SPF und GMX In-Reply-To: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> Message-ID: Hallo, ja, GMX wendet die eigenen SPF Regeln seit letzter Woche nun scharf an. Dabei geht es nicht um den SPF der eigenen, angeschriebenen Domain sondern den SPF der Absenderdomain, der vermutlich durch die Weiterleitung ohne SRS gebrochen wird. SPF für globalgameport.com wäre momentan wohl ok, aber ist das der eigentliche Sender? Ich hab bis heute den Sinn von SPF und SRS nicht verstanden. Ich vermute GMX blockt momentan ein bisschen Spam von unbekanntem Ausmaß, dafür aber jede Menge legitime Mails. Spammer können doch aber auch SPF und SRS anwenden. Im Idealfall wendet das komplette Internet, also 100% aller Mailserver SRS an. Meiner Meinung nach ist das Spamaufkommen dann das gleiche, außer das Maillogs schwerer lesbar sind und CPU Zeit für Umschreibungen verschwendet wird. Peer hat das in diesem SPF-DKIM-Greylisting PDF schon korrekt erklärt. Ich denke auch nicht dass SRS bis heute überall gängig ist. Hab ich was übersehen an der Logik? Wozu macht GMX das so streng? MfG Hajo Am 01.06.2016 um 10:32 schrieb Winfried Neessen: > Hi Rudi, > > Am 2016-06-01 10:29, schrieb Rudi Floren: > >> : host mx01.emig.gmx.net[212.227.17.5] said: >> 550-Requested action not taken: mailbox unavailable 550-Reject due to >> SPF >> policy. 550-The originating IP of the message is not permitted by the >> domain owner. 550 For explanation visit >> http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in >> reply >> to MAIL FROM command) >> > > Du benoetigst SRS[1]. > > > Winni > > [1] = http://www.openspf.org/SRS > From postfixbuch-listen at jpberlin.de Wed Jun 1 13:20:30 2016 From: postfixbuch-listen at jpberlin.de (postfixbuch-listen at jpberlin.de) Date: Wed, 1 Jun 2016 13:20:30 +0200 Subject: SPF und GMX In-Reply-To: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> Message-ID: <574EC4FE.9090303@jpberlin.de> On 01.06.2016 10:32, Winfried Neessen wrote: > Hi Rudi, > > Am 2016-06-01 10:29, schrieb Rudi Floren: > >> : host mx01.emig.gmx.net[212.227.17.5] said: >> 550-Requested action not taken: mailbox unavailable 550-Reject due to SPF >> policy. 550-The originating IP of the message is not permitted by the >> domain owner. 550 For explanation visit >> http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in >> reply >> to MAIL FROM command) >> > > Du benoetigst SRS[1]. > [X] SPF und damit auch SRS sind Broken-by-Design und damit Bullshit und benötigen tut das keiner. Kunden von gmx.de und web.de benötigen einen anderen Provider oder leben eben damit, daß sie Mails verlieren. Peer From sd at schnied.net Thu Jun 2 06:25:01 2016 From: sd at schnied.net (Stefan Dorn) Date: Thu, 2 Jun 2016 06:25:01 +0200 Subject: SPF und GMX In-Reply-To: References: Message-ID: Am 01.06.16 um 10:29 schrieb Rudi Floren: > > >: > host mx01.emig.gmx.net [212.227.17.5] said: > 550-Requested action not taken: mailbox unavailable 550-Reject due > to SPF > policy. 550-The originating IP of the message is not permitted by the > domain owner. 550 For explanation visit > http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in > reply > to MAIL FROM command) > > > Ja schön und gut, danke gmx für diesen eindeutigen Hinweis, was nun > nicht geht. Soooo eindeutig ist der Hinweis ja nicht Auf der angegebenen Hilfe Seite steht nämlich nix zur Erklärung der SPF Geschichten. > Hat jemand ähnliche Erfahrungen mit GMX gemacht? Jupp.. und gleiche Fehlermeldungen von 1und1 und web.de mit dem Verweis auf diese Hilfe Seiten: http://postmaster.1and1.com/en/error-messages?ip=x.x.x.x&c=spf http://postmaster.web.de/error-messages?ip=x.x.x.x&c=spf ...welche - oh wunder - natürlich identisch sind und alle keine Erläuterung zu SPF enthalten. Sind auch auf dem gleichen Server gehostet ;-) ~$ dig postmaster.1and1.com +short 87.106.207.25 ~$ dig postmaster.web.de +short 87.106.207.25 ~$ dig postmaster.gmx.com +short 87.106.207.25 Mal sehen, ob die diesen Blödsinn länger durchziehen. Gruß Stefan From lists at riscworks.net Thu Jun 2 13:41:20 2016 From: lists at riscworks.net (Timo Schoeler) Date: Thu, 2 Jun 2016 13:41:20 +0200 Subject: SPF und GMX In-Reply-To: <574EC4FE.9090303@jpberlin.de> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> Message-ID: <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> On 06/01/2016 01:20 PM, postfixbuch-listen at jpberlin.de wrote: > On 01.06.2016 10:32, Winfried Neessen wrote: >> Hi Rudi, >> >> Am 2016-06-01 10:29, schrieb Rudi Floren: >> >>> : host mx01.emig.gmx.net[212.227.17.5] said: >>> 550-Requested action not taken: mailbox unavailable 550-Reject due to SPF >>> policy. 550-The originating IP of the message is not permitted by the >>> domain owner. 550 For explanation visit >>> http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in >>> reply >>> to MAIL FROM command) >>> >> >> Du benoetigst SRS[1]. >> > > [X] SPF und damit auch SRS sind Broken-by-Design und damit Bullshit und > benötigen tut das keiner. > > Kunden von gmx.de und web.de benötigen einen anderen Provider oder leben > eben damit, daß sie Mails verlieren. FYI: http://heise.de/-3225281 > Peer T. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: OpenPGP digital signature URL : From ffiene at veka.com Thu Jun 2 16:35:32 2016 From: ffiene at veka.com (Frank Fiene) Date: Thu, 2 Jun 2016 16:35:32 +0200 Subject: SPF und GMX In-Reply-To: <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> Message-ID: Den Link wollte ich auch gerade teilen. Was mich wundert: mir ist nicht klar, was United da genau auswertet. Interessieren sie sich überhaupt für das +, -, ~ oder ?. Weil das werden ja die meisten korrekt gesetzt haben, laut Peer vor ein paar Jahren einfach ? eintragen und Ruhe ist. Oder ignorieren sie das einfach auch noch? Viele Grüße! Frank > Am 02.06.2016 um 13:41 schrieb Timo Schoeler : > > On 06/01/2016 01:20 PM, postfixbuch-listen at jpberlin.de wrote: >> On 01.06.2016 10:32, Winfried Neessen wrote: >>> Hi Rudi, >>> >>> Am 2016-06-01 10:29, schrieb Rudi Floren: >>> >>>> : host mx01.emig.gmx.net[212.227.17.5] said: >>>> 550-Requested action not taken: mailbox unavailable 550-Reject due to SPF >>>> policy. 550-The originating IP of the message is not permitted by the >>>> domain owner. 550 For explanation visit >>>> http://postmaster.gmx.com/en/error-messages?ip=78.46.62.98&c=spf (in >>>> reply >>>> to MAIL FROM command) >>>> >>> >>> Du benoetigst SRS[1]. >>> >> >> [X] SPF und damit auch SRS sind Broken-by-Design und damit Bullshit und >> benötigen tut das keiner. >> >> Kunden von gmx.de und web.de benötigen einen anderen Provider oder leben >> eben damit, daß sie Mails verlieren. > > FYI: > > http://heise.de/-3225281 > >> Peer > > T. Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From klaus at tachtler.net Thu Jun 2 16:43:29 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 02 Jun 2016 16:43:29 +0200 Subject: SPF und GMX In-Reply-To: References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> Message-ID: <20160602164329.Horde.aGvEyDJG7Z3RB1Dgw5HMSZh@buero.tachtler.net> Hallo Liste, Ist eine ganz nette Seite: http://www.spf-record.de/ Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From ffiene at veka.com Thu Jun 2 17:50:02 2016 From: ffiene at veka.com (Frank Fiene) Date: Thu, 2 Jun 2016 17:50:02 +0200 Subject: SPF und GMX In-Reply-To: <20160602164329.Horde.aGvEyDJG7Z3RB1Dgw5HMSZh@buero.tachtler.net> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <20160602164329.Horde.aGvEyDJG7Z3RB1Dgw5HMSZh@buero.tachtler.net> Message-ID: <757C7607-4253-41A9-A6B6-D1C0DC45220E@veka.com> Hahaha, die können nicht mal ip6! :-) :-D > Am 02.06.2016 um 16:43 schrieb Klaus Tachtler : > > Hallo Liste, > > Ist eine ganz nette Seite: > http://www.spf-record.de/ > > Grüße > Klaus. > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From trim at datenschleuder.org Thu Jun 2 18:53:27 2016 From: trim at datenschleuder.org (=?UTF-8?Q?Christian_St=c3=b6tzer?=) Date: Thu, 2 Jun 2016 18:53:27 +0200 Subject: =?UTF-8?Q?Maximalgr=c3=b6=c3=9fe_Mail-Anhang?= Message-ID: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Hallo Liste, ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche Werte Ihr auf Euren Gateways eingestellt habt. Vielen Dank und viele Grüße Christian From hermann.busch at louisenlund.de Thu Jun 2 18:57:18 2016 From: hermann.busch at louisenlund.de (Busch, Hermann) Date: Thu, 2 Jun 2016 16:57:18 +0000 Subject: =?utf-8?B?QVc6IE1heGltYWxncsO2w59lIE1haWwtQW5oYW5n?= In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <79a8f85679934b96aff89d025f22b9a4@EX.louisenlund.de> Hallo Christian, also wir lassen schon relativ große Mailanhänge durch, bis max. 120 MB. Bin aber gerade dabei, diesen Wert wieder zu reduzieren. Die Verteilung größerer Dateien erfolgt dann mit einer eigenen "owncloud". Gruß Hermann Busch IT-Systemadministration | IT-Administration STIFTUNG LOUISENLUND Internat | Ganztagsgymnasium IB World School T +49(0)4354 999 340 M +49(0)151 53836340 F +49(0)4354 999 171 hermann.busch at louisenlund.de www.louisenlund.de Seit Sommer 2015 verfügt der Bildungscampus Louisenlund zusätzlich über eine Halbtagsgrundschule. Weitere Informationen erhalten Sie unter Seit Sommer 2015 verfügt der Bildungscampus Louisenlund zusätzlich über eine Halbtagsgrundschule. Weitere Informationen erhalten Sie unter www.louisenlund.de. www.louisenlund.de. -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Stötzer Gesendet: Donnerstag, 2. Juni 2016 18:53 An: postfixbuch-users at listen.jpberlin.de Betreff: Maximalgröße Mail-Anhang Hallo Liste, ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche Werte Ihr auf Euren Gateways eingestellt habt. Vielen Dank und viele Grüße Christian From daniel at ist-immer-online.de Thu Jun 2 19:48:45 2016 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 2 Jun 2016 19:48:45 +0200 Subject: =?UTF-8?Q?AW:_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <000001d1bcf7$0311b090$093511b0$@ist-immer-online.de> Hi, also ich würde mich so bei 100 MB einpendeln, bringt aber nur bedingt etwas, da Anbieter mit Microsoft nur 25MB zulassen, selbst dann wenn man da über 1000? lässt im Jahr für Sharepoint und Exchange. Auch andere Anbieter haben teils nur Limits um die 20MB, manche evt. noch 50MB. Viele mehr bieten zumindest die bekannten nicht an wie Telekom, GMX, web.de, gmail, yahoo und co. Für sowas bieten sich dann teils eher Links im Clouds an NAS Systeme zu dem Download. Durch die base64 codierung wird ein Anhang in der Email auch noch mal gut 33% größer. Wenn also 50 MB erlauben möchtest, müsstest 66,5MB als Limit setzen. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Stötzer Gesendet: Donnerstag, 2. Juni 2016 18:53 An: postfixbuch-users at listen.jpberlin.de Betreff: Maximalgröße Mail-Anhang Hallo Liste, ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche Werte Ihr auf Euren Gateways eingestellt habt. Vielen Dank und viele Grüße Christian From wn at neessen.net Thu Jun 2 19:41:49 2016 From: wn at neessen.net (Winfried Neessen) Date: Thu, 2 Jun 2016 19:41:49 +0200 Subject: =?utf-8?Q?Re=3A_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <1A8E6F7A-36F7-49D2-9B60-8E9456ADB82F@neessen.net> Hi Am 02.06.2016 um 18:53 schrieb Christian Stötzer : > ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich > wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. > > Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche > Werte Ihr auf Euren Gateways eingestellt habt. > Z. Zt. sinds 50MB und es gab noch keine Beschwerden. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From christian at bricart.de Thu Jun 2 20:21:20 2016 From: christian at bricart.de (Christian Bricart) Date: Thu, 2 Jun 2016 20:21:20 +0200 Subject: =?UTF-8?Q?Re:_Maximalgr=c3=b6=c3=9fe_Mail-Anhang?= In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <57507920.1020800@bricart.de> Am 02.06.2016 um 18:53 schrieb Christian Stötzer: > Hallo Liste, > > ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich > wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. .. und meine Antwort darauf ist genauso regelmässig: »E-Mail ist "elektronische Brief(!)-Post" - und wenn du stattdessen ein Paket verschicken willst, dann geh' bitte zu UPS oder einem anderen Paketdienst, die sind auf sowas grosses spezializiert..« > > Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche > Werte Ihr auf Euren Gateways eingestellt habt. ..kannst du ja selber checken - sprichst du etwa kein ESMTP..? ;-) Mal so als Beispiele wann wo wieviel grosse Mails hängenbleiben werden: (lustigerweise überrascht mich UnitedInternet .. bin mir ziemlich sicher, die hatten letzten Monat noch 50MB ..) ~ $ telnet gmail-smtp-in.l.google.com. 25 Trying 2a00:1450:400c:c09::1a... Connected to gmail-smtp-in.l.google.com.. Escape character is '^]'. 220 mx.google.com ESMTP bm7si2117436wjc.230 - gsmtp EHLO localhost 250-mx.google.com at your service, [2001:470:746c:f101::44] 250-SIZE 157286400 .. ~ $ telnet mx00.emig.gmx.net. 25 Connected to mx00.emig.gmx.net.. Escape character is '^]'. 220 gmx.net (mxgmx004) Nemesis ESMTP Service ready EHLO localhost 250-gmx.net Hello localhost [188.40.128.51] 250-SIZE 157286400 .. ~ $ telnet mx-ha03.web.de. 25 Trying 212.227.15.17... Connected to mx-ha03.web.de.. Escape character is '^]'. 220 web.de (mxweb009) Nemesis ESMTP Service ready EHLO localhost 250-web.de Hello localhost [188.40.128.51] 250-SIZE 141557760 .. ~ $ telnet mx01.posteo.de. 25 Trying 185.67.36.61... Connected to mx01.posteo.de.. Escape character is '^]'. 220-mx01.posteo.de ESMTP Postfix EHLO mail2.aachalon.net. 250-mx01.posteo.de 250-PIPELINING 250-SIZE 76800000 .. ~ $ telnet mx1.mailbox.org. 25 Trying 80.241.60.212... Connected to mx1.mailbox.org.. Escape character is '^]'. 220 mx1.mailbox.org ESMTP Postfix EHLO mail2.aachalon.net 250-mx1.mailbox.org 250-PIPELINING 250-SIZE 143699726 .. ~ $ telnet mx00.t-online.de. 25 Trying 194.25.134.8... Connected to mx00.t-online.de.. Escape character is '^]'. 220-mailin51.aul.t-online.de T-Online ESMTP receiver fssmtpd2025 ready. 220 T-Online ESMTP receiver ready. EHLO localhost 250-mailin51.aul.t-online.de ready. 250-SIZE 52428800 .. From p at sys4.de Thu Jun 2 21:37:02 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 2 Jun 2016 21:37:02 +0200 Subject: =?utf-8?B?TWF4aW1hbGdyw7bDnw==?= =?utf-8?Q?e?= Mail-Anhang In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <20160602193702.GE4899@sys4.de> * Christian Stötzer : > ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich > wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. > > Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche > Werte Ihr auf Euren Gateways eingestellt habt. Wir sehen uns die Kommunikationsbeziehungen der Nutzer einer Plattform an und stellen dann mindestens das Maximum der Kommunikationspartner ein. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From ffiene at veka.com Thu Jun 2 22:01:51 2016 From: ffiene at veka.com (Frank Fiene) Date: Thu, 2 Jun 2016 22:01:51 +0200 Subject: =?utf-8?Q?Re=3A_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= In-Reply-To: <20160602193702.GE4899@sys4.de> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160602193702.GE4899@sys4.de> Message-ID: Also hast du einfach keinen Maximalwert eingetragen? > Am 02.06.2016 um 21:37 schrieb Patrick Ben Koetter

: > > * Christian Stötzer : >> ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich >> wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. >> >> Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche >> Werte Ihr auf Euren Gateways eingestellt habt. > > Wir sehen uns die Kommunikationsbeziehungen der Nutzer einer Plattform an und > stellen dann mindestens das Maximum der Kommunikationspartner ein. > > p at rick > > -- > [*] sys4 AG > > https://sys4.de, +49 (89) 30 90 46 64 > Schleißheimer Straße 26/MG,80333 München > > Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 > Vorstand: Patrick Ben Koetter, Marc Schiffbauer > Aufsichtsratsvorsitzender: Florian Kirstein > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From lists at riscworks.net Thu Jun 2 23:03:06 2016 From: lists at riscworks.net (=?UTF-8?Q?Timo_Sch=c3=b6ler?=) Date: Thu, 2 Jun 2016 23:03:06 +0200 Subject: =?UTF-8?Q?Re:_Maximalgr=c3=b6=c3=9fe_Mail-Anhang?= In-Reply-To: References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160602193702.GE4899@sys4.de> Message-ID: On 06/02/2016 10:01 PM, Frank Fiene wrote: > Also hast du einfach keinen Maximalwert eingetragen? Das macht wohl wenig Sinn: message_size_limit (default: 10240000) The maximal size in bytes of a message, including envelope information. Note: be careful when making changes. Excessively small values will result in the loss of non-delivery notifications, when a bounce message size exceeds the local or remote MTA's message size limit. (http://www.postfix.org/postconf.5.html) >> Am 02.06.2016 um 21:37 schrieb Patrick Ben Koetter

: > > > > * Christian Stötzer : > >> ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich > >> wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. > >> > >> Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche > >> Werte Ihr auf Euren Gateways eingestellt habt. > > > > Wir sehen uns die Kommunikationsbeziehungen der Nutzer einer Plattform an und > > stellen dann mindestens das Maximum der Kommunikationspartner ein. > > > > p at rick > > > > -- > > [*] sys4 AG > > > > https://sys4.de, +49 (89) 30 90 46 64 > > Schleißheimer Straße 26/MG,80333 München > > > > Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 > > Vorstand: Patrick Ben Koetter, Marc Schiffbauer > > Aufsichtsratsvorsitzender: Florian Kirstein > > > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From p.heinlein at heinlein-support.de Fri Jun 3 08:21:04 2016 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 3 Jun 2016 08:21:04 +0200 Subject: SPF und GMX In-Reply-To: <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> Message-ID: <575121D0.3030603@heinlein-support.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 02.06.2016 13:41, Timo Schoeler wrote: >> [X] SPF und damit auch SRS sind Broken-by-Design und damit >> Bullshit und benötigen tut das keiner. >> >> Kunden von gmx.de und web.de benötigen einen anderen Provider >> oder leben eben damit, daß sie Mails verlieren. > > FYI: > > http://heise.de/-3225281 Schon veraltet. GMX.de und web.de weisen aktuell nur ~all statt -all aus... Peer - -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQEcBAEBAgAGBQJXUSHQAAoJEAOLLpq5E82H4KwH/2S/tYyGdoEIhHr3YrTynwCq Uv38C7AYPC2vqyXpKAFy/9m3+QdYoSiC9WqFkSeHnyTxqC1tQAmXpY3Ue601yRQp z52Gdz6/pG0XwWyYyhJCHPViVCKVPRMgJ2qiPmBHZMf6+c+Q5XpBWGZJyXw4Zkob B3AOh+l5L9rAf+Srf9HcwgO11wpOZthF6nJ8kfgROsqTuFyetLE3tBso+ShOwT6m kvkxjz02pa4wif7TgKbh1Jse/NeR/zhvw70FlYx895tG92Cj5Ued/32scS0B/iGc 4m6mugJKJABFI6/9Ulw3k2QlVJlMZSX1pYnvZISsxlMCPSeLdMh546k3BiRyNlY= =+ix3 -----END PGP SIGNATURE----- From lists at riscworks.net Fri Jun 3 08:28:48 2016 From: lists at riscworks.net (Timo Schoeler) Date: Fri, 3 Jun 2016 08:28:48 +0200 Subject: =?UTF-8?Q?Re:_Maximalgr=c3=b6=c3=9fe_Mail-Anhang?= In-Reply-To: <20160603045922.GC388@sys4.de> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160602193702.GE4899@sys4.de> <20160603045922.GC388@sys4.de> Message-ID: On 06/03/2016 06:59 AM, Patrick Ben Koetter wrote: > * Frank Fiene : >> Also hast du einfach keinen Maximalwert eingetragen? > > Doch, aber eben nach Bewertung welche Hürde man mindestens nehmen muss. > > Im übrigen bin ich persönlich (!) der Auffassung, dass E-Mail der bequemste > Desktop-to-Desktop Kopiermechanismus der Welt ist. Diese Funktionalität ist > einer der Gründe weshalb Anwender E-Mail schätzen. > > Die Zeiten, in denen Bandbreite gering und CPU, RAM, I/O und Storage > Mangelware waren, sind lange her. Selbstverständlich verursacht ein fettes > Attachment immer noch eine Störung im Raum-Zeit-Kontinuum, aber wirklich > betriebsgefährdende Auswirkungen haben diese Brummer nicht mehr. > > Wenn das System es verkraftet stelle ich den Anwendern soviel wie möglich > Message Size zur Verfügung wie es geht. Die Zeiten, in denen ich die Server > schützen musste, sind IMO vorbei. > > Ich schalte auch Graylisting ab, weil es seit postscreen wieder möglich ist. > Beides macht E-Mail in den Augen der Anwender brauchbar und attraktiv. Und > darum geht es IMO bei meiner Aufgabe als Admin. Mein Job ist dafür zu sorgen, > dass sie gut arbeiten können und sich auf ihren Arbeitsinhalt konzentrieren > können. Wer unbeding Recht haben will, möge sich das Grundgesetz kaufen. ;) Slightly OT: Die beste "Demokratie", die man kaufen kann, haben wir ja bereits ? das kann man hier (kostenfrei) bestellen: https://www.btg-bestellservice.de/index.php?navi=1&subnavi=50&anr=10060000 Kostenfrei ? so könnte man denken ?, weil es (heutzutage) absolut nichts mehr wert ist. SCNR und beste Grüße > p at rick > > > > >>> Am 02.06.2016 um 21:37 schrieb Patrick Ben Koetter

: >>> >>> * Christian Stötzer : >>>> ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich >>>> wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. >>>> >>>> Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche >>>> Werte Ihr auf Euren Gateways eingestellt habt. >>> >>> Wir sehen uns die Kommunikationsbeziehungen der Nutzer einer Plattform an und >>> stellen dann mindestens das Maximum der Kommunikationspartner ein. >>> >>> p at rick >>> >>> -- >>> [*] sys4 AG >>> >>> https://sys4.de, +49 (89) 30 90 46 64 >>> Schleißheimer Straße 26/MG,80333 München >>> >>> Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 >>> Vorstand: Patrick Ben Koetter, Marc Schiffbauer >>> Aufsichtsratsvorsitzender: Florian Kirstein >>> >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> > > > From ffiene at veka.com Fri Jun 3 08:39:09 2016 From: ffiene at veka.com (Frank Fiene) Date: Fri, 3 Jun 2016 08:39:09 +0200 Subject: =?utf-8?Q?Re=3A_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= In-Reply-To: <20160603045922.GC388@sys4.de> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160602193702.GE4899@sys4.de> <20160603045922.GC388@sys4.de> Message-ID: <7DDC7300-AEC1-4863-99DC-B5DE6D95E004@veka.com> > Am 03.06.2016 um 06:59 schrieb Patrick Ben Koetter

: > > * Frank Fiene : >> Also hast du einfach keinen Maximalwert eingetragen? > > Doch, aber eben nach Bewertung welche Hürde man mindestens nehmen muss. Das verstehe ich nicht, ich habe z.B. 2 MX und einen Server für ausgehende Mails. Das wäre ja das selbe als wenn ich für den ausgehenden einfach keine Werte konfiguriere. Dann muss sich Postfix doch am Wert orientieren den mir der andere Server nach dem EHLO zurückgibt, oder? > Im übrigen bin ich persönlich (!) der Auffassung, dass E-Mail der bequemste > Desktop-to-Desktop Kopiermechanismus der Welt ist. Diese Funktionalität ist > einer der Gründe weshalb Anwender E-Mail schätzen. Durchaus. Wenn es denn alle Betreiber so machen würden. Für Spammer sind so große Mails eh nicht wirtschaftlich. > Die Zeiten, in denen Bandbreite gering und CPU, RAM, I/O und Storage > Mangelware waren, sind lange her. Selbstverständlich verursacht ein fettes > Attachment immer noch eine Störung im Raum-Zeit-Kontinuum, aber wirklich > betriebsgefährdende Auswirkungen haben diese Brummer nicht mehr. Sehr gut!!! > Wenn das System es verkraftet stelle ich den Anwendern soviel wie möglich > Message Size zur Verfügung wie es geht. Die Zeiten, in denen ich die Server > schützen musste, sind IMO vorbei. > > Ich schalte auch Graylisting ab, weil es seit postscreen wieder möglich ist. > Beides macht E-Mail in den Augen der Anwender brauchbar und attraktiv. Und > darum geht es IMO bei meiner Aufgabe als Admin. Mein Job ist dafür zu sorgen, > dass sie gut arbeiten können und sich auf ihren Arbeitsinhalt konzentrieren > können. Wer unbeding Recht haben will, möge sich das Grundgesetz kaufen. ;) Mir ist aufgefallen, dass, nachdem ich FcrDNS verlange, fast gar kein Greylisting mehr zuschlägt, sondern nur delayed wird. Ich traue mich aber nicht das rauszunehmen. ;-) Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From t.schneider at tms-itdienst.at Fri Jun 3 08:45:02 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 3 Jun 2016 08:45:02 +0200 Subject: SPF und GMX In-Reply-To: <575121D0.3030603@heinlein-support.de> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> Message-ID: <5751276E.3050705@tms-itdienst.at> Hallo, wenn ich aber in meinen Zonen gar kein SPF eingetragen habe, dann kann doch GMX das nicht verifizieren und scheint die Mail dann durchzulassen. Zumindest habe ich eine Testmail an einem GMX.de Konto gesendet, welches durchkam. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From trim at datenschleuder.org Fri Jun 3 09:16:43 2016 From: trim at datenschleuder.org (trim at datenschleuder.org) Date: Fri, 03 Jun 2016 09:16:43 +0200 Subject: =?UTF-8?Q?Maximalgr=C3=B6=C3=9Fe=20Mail-Anhang?= In-Reply-To: <20160603045922.GC388@sys4.de> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160602193702.GE4899@sys4.de> <20160603045922.GC388@sys4.de> Message-ID: Hallo, Am 2016-06-03 06:59, schrieb Patrick Ben Koetter: > Die Zeiten, in denen Bandbreite gering und CPU, RAM, I/O und Storage > Mangelware waren, sind lange her. Selbstverständlich verursacht ein > fettes > Attachment immer noch eine Störung im Raum-Zeit-Kontinuum, aber > wirklich > betriebsgefährdende Auswirkungen haben diese Brummer nicht mehr. > > Wenn das System es verkraftet stelle ich den Anwendern soviel wie > möglich > Message Size zur Verfügung wie es geht. Die Zeiten, in denen ich die > Server > schützen musste, sind IMO vorbei. DANKE für die zahlreichen Antworten und Anmerkungen. Diese zeigen mir, dass wir mit unsere derzeit geplanten Erhöhung von 25 auf 35 MB mehr als konservativ sind :-). Dennoch bin ich der Meinung das es eine Erweiterung von CPU, RAM, I/O und Storage nun mal nicht zum Null-Tarif gibt und unter Berücksichtigung unserer 20.000 Nutzern würde sich meines Erachten ein merklicher Aufwuchs bei den Kosten ergeben. Das E-Mail für den Nutzer die bequemste Methode ist, um Dateien zu verteilen steht außer Frage. Ich fand allerdings auch die Analogie zur Brief-Post und zum Paketdienst als äußerst treffend :-) Viele Grüße Christian From jra at byte.cx Fri Jun 3 09:35:40 2016 From: jra at byte.cx (Jens Adam) Date: Fri, 3 Jun 2016 09:35:40 +0200 Subject: SPF und GMX In-Reply-To: <575121D0.3030603@heinlein-support.de> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> Message-ID: <20160603093540.6ec803fc.jra@byte.cx> > > FYI: > > > > http://heise.de/-3225281 > > Schon veraltet. GMX.de und web.de weisen aktuell nur ~all statt -all > aus... > > Peer Und was hat das mit der Meldung/dem Problem zu tun? SPF-Records werden immer noch ausgewertet und bei '-all' auch abgewiesen. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Hajo.Locke at gmx.de Fri Jun 3 09:44:54 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Fri, 3 Jun 2016 09:44:54 +0200 Subject: SPF und GMX In-Reply-To: <20160603093540.6ec803fc.jra@byte.cx> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> Message-ID: <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> Hallo, Am 03.06.2016 um 09:35 schrieb Jens Adam: >>> FYI: >>> >>> http://heise.de/-3225281 >> Schon veraltet. GMX.de und web.de weisen aktuell nur ~all statt -all >> aus... >> >> Peer > Und was hat das mit der Meldung/dem Problem zu tun? > SPF-Records werden immer noch ausgewertet und bei '-all' auch > abgewiesen. > > --byte das sind zwei verschiedene Sachen. Wenn ein Webmaster das für seine Domain macht ok, dann muss er wissen was er tut, dann ist es auch richtig, dass GMX das so auswertet. GMX setzte aber den eigenen gmx.de SPF auf -all. Ich denke die verhinderte Anzahl an Spam ist verschwindend gering gegenüber der Zahl der abgelehnten legitimen Mails und sowas kann ein kundenfreundliches Unternehmen einfach nicht machen. Und welchen Spammer interessiert schon ein envelope-sender... Hajo From wn at neessen.net Fri Jun 3 09:57:04 2016 From: wn at neessen.net (Winfried Neessen) Date: Fri, 03 Jun 2016 09:57:04 +0200 Subject: =?UTF-8?Q?Re=3A_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= Message-ID: <15eeb02aee28ff23c485768b7cc9d4e8@neessen.net> Hi Patrick, Am 2016-06-03 06:59, schrieb Patrick Ben Koetter: > Die Zeiten, in denen Bandbreite gering und CPU, RAM, I/O und Storage > Mangelware waren, sind lange her. Selbstverständlich verursacht ein > fettes > Attachment immer noch eine Störung im Raum-Zeit-Kontinuum, aber > wirklich > betriebsgefährdende Auswirkungen haben diese Brummer nicht mehr. > Grundsaeztlich bin ich voellig bei Dir. Problematisch wirds nur, wenn die gelangweilten Bueroangestellten, wieder 50 MB Powerpointpraesentationen mit Katzenbildchen ans gesamte Buero mit 500 Mitarbeitern schickt und keine Deduplizierung konfiguriert ist. Dann gehen statt 66 MB naemlich mal schnell 33GB ueber die Leitung und wird auch noch irgendwo gespeichert. Da hoert m. E. das Spass leider auf und sollte zumindest grob geregelt sein. > Ich schalte auch Graylisting ab, weil es seit postscreen wieder möglich > ist. > Schon lange hier gemacht. Greylisting bringt kaum noch erfolge, stoert den User aber gewaltig. > Und darum geht es IMO bei meiner Aufgabe als Admin. Mein Job ist dafür > zu > sorgen, dass sie gut arbeiten können und sich auf ihren Arbeitsinhalt > konzentrieren können. > Genau meine Rede. Winni From jra at byte.cx Fri Jun 3 10:05:46 2016 From: jra at byte.cx (Jens Adam) Date: Fri, 3 Jun 2016 10:05:46 +0200 Subject: SPF und GMX In-Reply-To: <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> Message-ID: <20160603100546.010df50e.jra@byte.cx> Fri, 3 Jun 2016 09:44:54 +0200 Hajo Locke : > Hallo, > > Am 03.06.2016 um 09:35 schrieb Jens Adam: > >>> FYI: > >>> > >>> http://heise.de/-3225281 > >> Schon veraltet. GMX.de und web.de weisen aktuell nur ~all statt > >> -all aus... > >> > >> Peer > > Und was hat das mit der Meldung/dem Problem zu tun? > > SPF-Records werden immer noch ausgewertet und bei '-all' auch > > abgewiesen. > > > > --byte > > das sind zwei verschiedene Sachen. Wenn ein Webmaster das für seine > Domain macht ok, dann muss er wissen was er tut, dann ist es auch > richtig, dass GMX das so auswertet. GMX setzte aber den eigenen > gmx.de SPF auf -all. > Ich denke die verhinderte Anzahl an Spam ist verschwindend gering > gegenüber der Zahl der abgelehnten legitimen Mails und sowas kann > ein kundenfreundliches Unternehmen einfach nicht machen. Und welchen > Spammer interessiert schon ein envelope-sender... > > Hajo Das sind zwei Sachen, genau: 1) GMX/Webde haben seit ~1 Woche den SPF-Bannhammer im Einsatz und lassen zig legitime (bzw. in Unkenntnis) weitergeleitete Mails bouncen, siehe Heise-Artikel. 2) GMX/Webde hatten schon viel länger eigene SPF-Records mit '-all' (siehe Peers Blogpost), die aber anscheinend nun anhand der eigenen Policies doch soviel Ärger bereiten, dass man sich lieber selbst feige aus dem Spiel nimmt. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From klaus at tachtler.net Fri Jun 3 10:22:04 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 03 Jun 2016 10:22:04 +0200 Subject: =?utf-8?b?TWF4aW1hbGdyw7bDn2U=?= Mail-Anhang In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <20160603102204.Horde.kSrHGG6VcbXl55d4_nqXpYG@buero.tachtler.net> Hallo Christian, message_size_limit = 52428800 Läuft seit vielen Jahren so. Für größere Sachen ist ein Up/Download-Portal sinnvoller. Grüße Klaus. ----- Nachricht von Christian Stötzer --------- Datum: Thu, 2 Jun 2016 18:53:27 +0200 Von: Christian Stötzer Antwort an: Diskussionen und Support rund um Postfix Betreff: Maximalgröße Mail-Anhang An: postfixbuch-users at listen.jpberlin.de > Hallo Liste, > > ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich > wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. > > Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche > Werte Ihr auf Euren Gateways eingestellt habt. > > Vielen Dank und viele Grüße > > Christian ----- Ende der Nachricht von Christian Stötzer ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From maegger at ee.ethz.ch Fri Jun 3 10:35:19 2016 From: maegger at ee.ethz.ch (Matthias Egger) Date: Fri, 03 Jun 2016 10:35:19 +0200 Subject: =?UTF-8?B?TWF4aW1hbGdyw7bDn2UgTWFpbC1Bbmhhbmc=?= In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <57514147.1060605@ee.ethz.ch> Hallo Christian On 06/02/2016 06:53 PM, Christian Stötzer wrote: > Hallo Liste, > > ich werde in vorhersehbarer Regelmäßigkeit gefragt, ob es nicht möglich > wäre, die maximale Größe für E-Mail-Anhänge zu erhöhen. > > Mich würde mal interessierten, wie Ihr mit dem Thema umgeht bzw. welche > Werte Ihr auf Euren Gateways eingestellt habt. Musste mich gerade kürzlich ebenfalls damit auseinander setzen. Wir haben schon immer so ca. ungefähr ;-) 100 Megabyte durchgelassen. Eigentlich wollte ich den Wert auch um mindestens die Hälfte reduzieren. Mittlerweile kann ich mich aber Patrick Ben Koetters Meinung anschliessen. Meine Aufgabe ist es den Kunden ein Kommunikationsmedium zu bieten das Ihren Bedürfnissen entspricht und nicht diese ständig zu belehren. Zumindest so lange nicht, wie die Wünsche die Infrastruktur nicht beeinträchtigen. Daher habe ich mich nach einiger Recherche dazu entschieden, dass die 100MB eigentlich ganz vernünftig sind. Hier hat sich mal jemand die Mühe gemacht, das ein wenig zu sammeln. http://www.email-vergleich.com/tag/e-mail-anhang-grosse/ Und Peer Heinlein bietet ebenfalls 100 MByte bei mailbox.org an. https://mailbox.org/sichere-email/ Daher wird auch zukünftig bei uns folgendes konfiguriert sein: message_size_limit = 100000000 mailbox_size_limit = 0 Lieber Gruss Matthias -- Matthias Egger ETH Zurich Department of Information Technology maegger at ee.ethz.ch and Electrical Engineering IT Support Group (ISG.EE), ETF/D/102 Phone +41 (0)44 632 03 90 Sternwartstrasse 7, CH-8092 Zurich Fax +41 (0)44 632 11 95 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4099 bytes Beschreibung: S/MIME Cryptographic Signature URL : From daniel at ist-immer-online.de Fri Jun 3 10:52:32 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 3 Jun 2016 10:52:32 +0200 Subject: =?utf-8?Q?AW:_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= In-Reply-To: <57514147.1060605@ee.ethz.ch> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <57514147.1060605@ee.ethz.ch> Message-ID: <003101d1bd75$449d2e30$cdd78a90$@ist-immer-online.de> Ne, sind nur etwa 95 MB, und dank overhead bzw. base64 abgerundet etwa 63 MB Anhang die möglich sind maximal. Gruß Daniel -----Ursprüngliche Nachricht----- Und Peer Heinlein bietet ebenfalls 100 MByte bei mailbox.org an. https://mailbox.org/sichere-email/ Daher wird auch zukünftig bei uns folgendes konfiguriert sein: message_size_limit = 100000000 mailbox_size_limit = 0 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Fri Jun 3 11:07:12 2016 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 3 Jun 2016 11:07:12 +0200 Subject: =?utf-8?Q?AW:_Maximalgr=C3=B6=C3=9Fe_Mail-Anhang?= In-Reply-To: <20160603045922.GC388@sys4.de> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160602193702.GE4899@sys4.de> <20160603045922.GC388@sys4.de> Message-ID: <017b01d1bd77$510169a0$f3043ce0$@fblan.de> Im Auftrag von Patrick Ben Koetter > > Im übrigen bin ich persönlich (!) der Auffassung, dass E-Mail der bequemste > Desktop-to-Desktop Kopiermechanismus der Welt ist. Diese Funktionalität ist > einer der Gründe weshalb Anwender E-Mail schätzen. > > Die Zeiten, in denen Bandbreite gering und CPU, RAM, I/O und Storage Ich kann dir so einige Industriegebiete zeigen die erschlagen dich und das nicht nur in Ländlicher Gegend nein auch an Großstädten :-)) IN DEUTSCHLAND wohlgemerkt nicht in Afrika. Wer sowas in einer Großstadt hat, den Luxus geniest an einer Glasfaser arbeiten zu können, der mag doch bitte all die unterprivilegierten nicht vergessen denen es sehr wohl was ausmacht wenn da statt 300 MB "NUR" 200 MB übertragen werden müssen weil das einfach nur 2 statt 3 Stunden dauert (nur mal so als Beispiel). > Mangelware waren, sind lange her. Selbstverständlich verursacht ein fettes > Attachment immer noch eine Störung im Raum-Zeit-Kontinuum, aber > wirklich > betriebsgefährdende Auswirkungen haben diese Brummer nicht mehr. > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From maegger at ee.ethz.ch Fri Jun 3 11:23:31 2016 From: maegger at ee.ethz.ch (Matthias Egger) Date: Fri, 03 Jun 2016 11:23:31 +0200 Subject: AW: =?UTF-8?B?TWF4aW1hbGdyw7bDn2UgTWFpbC1Bbmhhbmc=?= In-Reply-To: <003101d1bd75$449d2e30$cdd78a90$@ist-immer-online.de> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <57514147.1060605@ee.ethz.ch> <003101d1bd75$449d2e30$cdd78a90$@ist-immer-online.de> Message-ID: <57514C93.5070201@ee.ethz.ch> On 06/03/2016 10:52 AM, Daniel wrote: > Ne, sind nur etwa 95 MB, und dank overhead bzw. base64 abgerundet etwa 63 MB Anhang die möglich sind maximal. Genau, darum schrieb ich ja: "[...]immer so ca. ungefähr 100 Megabyte[...]" :-D -- Matthias Egger ETH Zurich Department of Information Technology maegger at ee.ethz.ch and Electrical Engineering IT Support Group (ISG.EE), ETF/D/102 Phone +41 (0)44 632 03 90 Sternwartstrasse 7, CH-8092 Zurich Fax +41 (0)44 632 11 95 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4099 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p at sys4.de Fri Jun 3 11:34:28 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 3 Jun 2016 11:34:28 +0200 Subject: AW: =?utf-8?B?TWF4aW1hbGdyw7bDnw==?= =?utf-8?Q?e?= Mail-Anhang In-Reply-To: <57514C93.5070201@ee.ethz.ch> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <57514147.1060605@ee.ethz.ch> <003101d1bd75$449d2e30$cdd78a90$@ist-immer-online.de> <57514C93.5070201@ee.ethz.ch> Message-ID: <20160603093428.GC15523@sys4.de> * Matthias Egger : > On 06/03/2016 10:52 AM, Daniel wrote: > > Ne, sind nur etwa 95 MB, und dank overhead bzw. base64 abgerundet etwa 63 MB Anhang die möglich sind maximal. > > Genau, darum schrieb ich ja: > > "[...]immer so ca. ungefähr 100 Megabyte[...]" Darf ich Euch ein Grundgesetz schicken...? ;) p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From Christian.Hoyer-Reuther at cac-chem.de Fri Jun 3 11:17:15 2016 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Fri, 3 Jun 2016 11:17:15 +0200 Subject: =?utf-8?B?QVc6IE1heGltYWxncsO2w59lIE1haWwtQW5oYW5n?= In-Reply-To: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> Message-ID: <41E487BC91654544B2B8F31096F2D9D4CBAF9CFF6E@ex1> Hallo, wir haben schon seit Jahren message_size_limit = 20919092, also effektiv nutzbar ca. 15 MB. Bisher gab es keinen wirklichen Grund, das hochzusetzen. Ist mir auch ganz recht so, da sonst unter Umständen auf unserem Exchange deutlich mehr Platz belegt werden würde. Für den Austausch größerer Datenmengen verwenden wir dann je nachdem unseren FTP-Server, FTAPI oder ggf. auch ein System des jeweiligen Kunden. Viele Grüße. Christian From Ralf.Hildebrandt at charite.de Fri Jun 3 14:01:28 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 3 Jun 2016 14:01:28 +0200 Subject: =?utf-8?B?TWF4aW1hbGdyw7bDnw==?= =?utf-8?Q?e?= Mail-Anhang In-Reply-To: <41E487BC91654544B2B8F31096F2D9D4CBAF9CFF6E@ex1> References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <41E487BC91654544B2B8F31096F2D9D4CBAF9CFF6E@ex1> Message-ID: <20160603120128.GH11538@charite.de> * Hoyer-Reuther, Christian : > Hallo, > > wir haben schon seit Jahren message_size_limit = 20919092, also effektiv nutzbar ca. 15 MB. > > Bisher gab es keinen wirklichen Grund, das hochzusetzen. Ist mir auch ganz recht so, da sonst unter Umständen auf unserem Exchange deutlich mehr Platz belegt werden würde. Außerdem ist das ja ein beiderseitiges Ding: Nutzt nichts, wenn die Gegenseite das nicht kann. Man kann nur gucken: Was unterstützen die großen 5 (GMX, web.de, google, hotmail, yahoo) und dann ggf. das größte nehmen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From hofmarkus at gmail.com Fri Jun 3 16:37:01 2016 From: hofmarkus at gmail.com (Markus Hofer) Date: Fri, 3 Jun 2016 16:37:01 +0200 Subject: Allgemein Frage zur Vermeidung der Phishingmails mit URL-Whitelisting-Methode In-Reply-To: <47C15E27.5000107@gmail.com> References: <47C15E27.5000107@gmail.com> Message-ID: Allgemein Frage zur Vermeidung der Phishingmails mit URL-Whitelisting-Methode Leider häufen sich in letzter Zeit die Phishingemails, wo dann Endbenutzer auf den Links klicken und dann sich einen Virus einfangen. Ich hätte da eine Idee, welche vielleicht Recht interessant kling, aber womöglich bei deren Umsetzung zu Problemen kommen kann. Idee wäre folgende: Aufbau einer URL-DB, wo ersteinmal die "sauberen" Urls in Mails gesammelt und evtl. dann auch manuell whitegelistet werden. Ab einen gewissen Zeitpunkt könnte man diese DB hernehmen und sagen: Wenn eine Email einen Link enthält, welche nicht in der DB ist, dann wird die Email nicht übermittelt, bzw. der Link aus Sicherheitsgründen gelöscht und/oder Absender/Empfänger informiert. Somit würden die Mails mit den verschiedenen gefährlichen Links verschwinden--> dies wäre der Vorteil Jedoch klar hat man hier auch Nachteile, wie - Aufbau der DB recht schwierig - bei neuen Mailaussendungen kann es dannn zu verzögerten Zustellungen kommen. - Die Link-Db kann recht gross werden. Allgemein aber meine Frage: Gibt es so eine ähnliche Funktion bereits mit Amavis oder Spamaassassin? Bzw. wäre dies relativ einfach umsetzbar? Danke. Grüße, Markus From wn at neessen.net Fri Jun 3 16:42:25 2016 From: wn at neessen.net (Winfried Neessen) Date: Fri, 03 Jun 2016 16:42:25 +0200 Subject: Allgemein Frage zur Vermeidung der Phishingmails mit URL-Whitelisting-Methode In-Reply-To: References: <47C15E27.5000107@gmail.com> Message-ID: <4aa5cae7089889250d1a5703a24d8995@neessen.net> Hi Markus, Am 2016-06-03 16:37, schrieb Markus Hofer: > Aufbau einer URL-DB, wo ersteinmal die "sauberen" Urls in Mails > gesammelt und evtl. > dann auch manuell whitegelistet werden. > Da kannst Du eigentlich nur auf Domainebene arbeiten, da der Rest unvorhersehbar ist. Sowas gibts aber eigentlich schon: http://uribl.com/about.shtml. Integrationen in SA ebenfalls. Winni From daniel at ist-immer-online.de Fri Jun 3 17:21:25 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 3 Jun 2016 17:21:25 +0200 Subject: AW: Allgemein Frage zur Vermeidung der Phishingmails mit URL-Whitelisting-Methode In-Reply-To: References: <47C15E27.5000107@gmail.com> Message-ID: <003001d1bdab$97b14710$c713d530$@ist-immer-online.de> Hi, oder verwendest https://www.mailscanner.info/, diesen habe ich auch laufen. Wenn dann eine URL auf anderes link´t als im Text steht gibt es Roten Hinweistext neben jedem Link. Dann findet man sowas wie: "Bitte finden Sie hier die handelsrechtlichen Pflichtangaben: MailScanner has detected a possible fraud attempt from "info.o2.de" claiming to be www.telefonica.de/pflichtangaben" Zusätzlich hat der auch noch ne White und Bad List. Man könnte diese ebensogut auch als Spam markieren, dann sollte Outlook und co mails im Spam eh unwirksam machen, keine externen Inhalte laden und nur Text Modus. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Markus Hofer Gesendet: Freitag, 3. Juni 2016 16:37 An: postfixbuch-users at listi.jpberlin.de Betreff: Allgemein Frage zur Vermeidung der Phishingmails mit URL-Whitelisting-Methode Allgemein Frage zur Vermeidung der Phishingmails mit URL-Whitelisting-Methode Leider häufen sich in letzter Zeit die Phishingemails, wo dann Endbenutzer auf den Links klicken und dann sich einen Virus einfangen. Ich hätte da eine Idee, welche vielleicht Recht interessant kling, aber womöglich bei deren Umsetzung zu Problemen kommen kann. Idee wäre folgende: Aufbau einer URL-DB, wo ersteinmal die "sauberen" Urls in Mails gesammelt und evtl. dann auch manuell whitegelistet werden. Ab einen gewissen Zeitpunkt könnte man diese DB hernehmen und sagen: Wenn eine Email einen Link enthält, welche nicht in der DB ist, dann wird die Email nicht übermittelt, bzw. der Link aus Sicherheitsgründen gelöscht und/oder Absender/Empfänger informiert. Somit würden die Mails mit den verschiedenen gefährlichen Links verschwinden--> dies wäre der Vorteil Jedoch klar hat man hier auch Nachteile, wie - Aufbau der DB recht schwierig - bei neuen Mailaussendungen kann es dannn zu verzögerten Zustellungen kommen. - Die Link-Db kann recht gross werden. Allgemein aber meine Frage: Gibt es so eine ähnliche Funktion bereits mit Amavis oder Spamaassassin? Bzw. wäre dies relativ einfach umsetzbar? Danke. Grüße, Markus From mlists.postfix.users at pro-ite.com Sat Jun 4 15:34:54 2016 From: mlists.postfix.users at pro-ite.com (D.K.) Date: Sat, 04 Jun 2016 15:34:54 +0200 Subject: Mail an Alias unzustellbar, weil lmtp das Postfach nicht findet? Message-ID: <5752D8FE.6040401@pro-ite.com> Hallo, ich hab hier ein debian8 mit postfix, dovecot, mysql. Mail senden an Userpostfach funktioniert. Senden an Alias wird zurückgewiesen. Meines Erachtens erkennt postfix/smtpd die Zuordnung user2-alias at xxx.de zu user2 at xxx.de völlig korrekt. (siehe unten) Im lmtp wird dann aber der recipient wieder mit der alias-Adresse belegt und dann ist die Zustellung nicht mehr möglich: : host xxx.de[private/dovecot-lmtp] said: 550 5.1.1 User doesn't exist: User2-alias at xxx.de (in reply to RCPT TO command) Nach drei "-v" (smtp/smtpd, lmtp, dovecot/pipe) in der master.cf bin ich auf folgende Ausschnitte gekommen: ... Jun 4 13:06:08 d8x1 postfix/smtpd[16835]: < localhost[127.0.0.1]: RCPT TO: ... Jun 4 13:06:08 d8x1 postfix/smtpd[16835]: maps_find: virtual_alias_maps: mysql:/etc/postfix/mysql_alias.cf(0,lock|fold_fix): user2-alias at xxx.de = user2 at xxx.de Jun 4 13:06:08 d8x1 postfix/smtpd[16835]: mail_addr_find: user2-alias at xxx.de -> user2 at xxx.de ... Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: lmtp socket: wanted attribute: original_recipient Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute name: original_recipient Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute value: user2-alias at xxx.de Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: lmtp socket: wanted attribute: recipient Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute name: recipient Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute value: user2-alias at xxx.de Und damit geht das schief. Jemand ne Idee, wo wir da noch ansetzen können? Wer ist an der Stelle zuständig, den "input attribute name: recipient" mit dem korrekten Wert zu setzen? Ist es sinnvoll, hier die ganze postconf (864 Zeilen) oder die postconf -n (63 Zeilen) zu posten? Danke, Dirk From boltz.willi.list at gmail.com Sun Jun 5 14:07:36 2016 From: boltz.willi.list at gmail.com (Wilhelm Boltz) Date: Sun, 05 Jun 2016 14:07:36 +0200 Subject: =?UTF-8?B?TWF4aW1hbGdyw7bDn2U=?= Mail-Anhang In-Reply-To: References: <9c3c6d6d-fc04-af7d-d70e-5975473b3c66@datenschleuder.org> <20160603045922.GC388@sys4.de> Message-ID: <2003936.hjA1QRrO1y@jupiter> Am Freitag, 3. Juni 2016, 08:28:48 schrieb Timo Schoeler: > On 06/03/2016 06:59 AM, Patrick Ben Koetter wrote: > > * Frank Fiene : > >> [...] > > Wer > > unbeding Recht haben will, möge sich das Grundgesetz kaufen. ;) > Slightly OT: Die beste "Demokratie", die man kaufen kann, haben wir ja > bereits ? das kann man hier (kostenfrei) bestellen: > > https://www.btg-bestellservice.de/index.php?navi=1&subnavi=50&anr=1006 > 0000 > > Kostenfrei ? so könnte man denken ?, weil es (heutzutage) absolut > nichts mehr wert ist. [...] und das hat man dann davon: "Der Artikel ist z. Zt. vergriffen." scanr Willi From daniel at ist-immer-online.de Tue Jun 7 00:43:27 2016 From: daniel at ist-immer-online.de (Daniel) Date: Tue, 7 Jun 2016 00:43:27 +0200 Subject: AW: Probleme mit Mails an hotmail.com Message-ID: <001101d1c044$d7b9c440$872d4cc0$@ist-immer-online.de> Hi, bei mir ist das Problem aktuell eher anders herum, dass Mails bei mir von Hotmail abgelehnt werden. Anscheint blickt MS selbst bei deren ganzen One Hot Mail Drive 365 gedöns selbst nicht mehr durch. Jun 6 07:35:26 postfix/smtpd[7387]: 889A23316001: client=col004-omc4s17.hotmail.com[65.55.34.219] Jun 6 07:35:27 postfix/cleanup[7409]: 889A23316001: hold: header Received: from COL004-OMC4S17.hotmail.com (col004-omc4s17.hotmail.com [65.55.34.219])??(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))??(Client CN "*.outlook.com", Issuer "Microsoft from col004-omc4s17.hotmail.com[65.55.34.219]; from= to= proto=ESMTP helo= Jun 6 07:35:27 postfix/cleanup[7409]: 889A23316001: message-id= Jun 6 07:35:27 postfix/cleanup[7409]: 889A23316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.58 as permitted sender) from col004-omc4s17.hotmail.com[65.55.34.219]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected Jun 6 07:35:27 postfix/smtpd[7387]: disconnect from col004-omc4s17.hotmail.com[65.55.34.219] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7 Den Absender kenne ich bzw. hatte schon mal Kontakt, also eher kein Spam. Es wurden 4 Versuche bisher geblockt, waren immer andere Hotmail/Outlook IP´s. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Ralf Hildebrandt Gesendet: Montag, 22. Juni 2015 14:22 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Probleme mit Mails an hotmail.com * Winfried Neessen : > Hi, > > leicht OT, aber ich les' jetzt solche Aussagen immer öfter auf dieser > Liste. Rein theoretisch mag die Aussage "Sie haben angenommen, ist > jetzt ihr Problem" ja richtig sein. Aber in der Praxis ist das > völliger Quatsch und ich finde auf so einer ML kann man sich solche > Aussagen einfach sparen. > > Wenn ein Kunde (und hier ist es egal ob "Kunde" ein zahlender Kunde > ist, der Domainservices bei mir einkauft oder ob "Kunde" hier fuer > einem Mitarbeiter in meinem Unternehmen steht und ich in der IT tätig > bin) eine Mail an eine @hotmail.com Adresse schickt und sie kommt beim > Empfänger nicht an, wird mein Kunde erstmal mich kontaktieren. Ich kann > dem dann natürlich sagen: "Microsoft ist scheisse und Exchange ist kein > Mailserver sondern 'ne Zumutung - die haben die Mail angenommen und > damit ist das deren Problem. Oder schick halt keine Mails an > @hotmail.com", aber dann wird mein Kunde mir den Vogel zeigen und den > Provider wechseln (weil: "von meinem XYZ Mailkonto gehts ja auch"). > > Ich fände es sinnvoll, wenn man hier etwas lösungsorientierte und > konstruktivere Ansätze postet, als sinnfreien MS Hass. Im Zweifel spart > man sich einfach die Antwort. Fakt ist Fakt. Die nehmen die Mail an, schmeissen sie weg. Wie sollst Du das lösen? Es gibt z.B. das Postmaster Programm bei Microsoft https://postmaster.live.com/ da kann man teilnehmen und sich eintragen, sodaß man wenigstens rudimentär erfährt, was gegen einen vorliegt. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de -- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH Postfixbuch-users at listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users From sebastian at debianfan.de Tue Jun 7 11:40:30 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 7 Jun 2016 11:40:30 +0200 Subject: Postfix & Dovecot einrichten Message-ID: <5756968E.1010007@debianfan.de> Guten Tag allerseits, ich bin mal wieder mit der Erneuerung eines Mailserver beschäftigt. Dovecot & Postfix laufen auf älteren System perfekt - aber das Setup kann ich nicht einfach mal so übernehmen weil sich in den letzten 2 Jahren scheinbar mehr als ich dachte - vor allem bei Dovecot - geändert hat. Kann ich mit dem Postfixbuch (3. Auflage 2008) und dem Dovecot-Buch (1. Auflage 2014) das ganze regeln oder sind diese Bücher auch schon wieder "zu alt"? gruß Sebastian From ingo.ebel at ingoebel.de Tue Jun 7 11:50:47 2016 From: ingo.ebel at ingoebel.de (Ingo Ebel) Date: Tue, 7 Jun 2016 11:50:47 +0200 Subject: Postfix & Dovecot einrichten In-Reply-To: <5756968E.1010007@debianfan.de> References: <5756968E.1010007@debianfan.de> Message-ID: <35828596-4d0a-5816-9063-cb50469c2204@ingoebel.de> Hallo, > > Kann ich mit dem Postfixbuch (3. Auflage 2008) und dem Dovecot-Buch (1. > Auflage 2014) das ganze regeln oder sind diese Bücher auch schon wieder > "zu alt"? da es von keinem der Bücher zur Zeit eine neuere Auflage gibt und es den Verlag open source press leider auch nicht mehr gibt müssen die beiden Bücher reichen. Neue Auflagen mit neuem Verlag sind wohl in der Planung. Ich würde aber auch sagen, dass man gut damit klar kommt und bei Postfix sich vielleicht zusätzlich noch mit postscreen beschäftigen kann. -- Ingo Ebel Human knowledge belongs to the world. RadioTux.de - Internet-Radio rund um Linux und Open Source Binaergewitter.de - IT Podcast JITCreatives.de - WebHosting ## https://google.com/+IngoEbel ## https://twitter.com/ingoebel ## https://alpha.app.net/ingoebel ## Jabber: savar at jabber.jitix.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 181 bytes Beschreibung: OpenPGP digital signature URL : From mailinglists at engelbracht.de Tue Jun 7 23:37:00 2016 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Tue, 7 Jun 2016 23:37:00 +0200 Subject: Problem mit DKIM-Signierung unter amavisd-new Message-ID: <20160607213659.GA4495@engelbracht.de> Hallo zusammen, auf meinem Mailserver (postfix, dovecot, amavisd-new) werden eingehende E-Mails per smtpd_proxy_filter an amavisd-new übergeben. AMaViS lauscht auf Port 9820. Nun möchte ich amavisd-new auch dazu verwenden, dass ausgehende E-Mails mit DKIM signiert werden. Da die User ihre E-Mails auf den submission- Port einliefern müssen, habe ich mir überlegt, amavisd-new auf einem zusätzlichen Port lauschen zu lassen und mit Interface policies und policy_banks dies zu steuern. Meine master.cf habe ich entsprechend angepasst: [ ... ] smtp inet n - n - 1 postscreen smtpd pass - - n - - smtpd -o content_filter= # AMaViS lauscht auf Port 9820 -o smtpd_proxy_filter=11.22.33.44:9820 submission inet n - - - - smtpd -o cleanup_service_name=subcleanup -o smtpd_tls_security_level=encrypt -o smtpd_tls_received_header=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # AMaVis lauscht zusaetzlich auf Port 9880 -o smtpd_proxy_filter=11.22.33.44:9880 -o milter_macro_daemon_name=ORIGINATING subcleanup unix n - - - 0 cleanup -o header_checks=pcre:/etc/postfix-engelbracht.com/header-checks tlsproxy unix - - n - 0 tlsproxy dnsblog unix - - n - 0 dnsblog # AMaViS sendet die E-Mails auf diesen Port zurueck: 9821 inet n - - - - smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=11.22.33.44/32 # Die "submission" user senden die E-Mails auf diesen Port zurueck: 9881 inet n - - - - smtpd -o content_filter= -o smtpd_proxy_filter= #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 [ ... ] Die Konfiguration von amavisd-new: #Auf diesen IP-Adressen/Ports lauscht AMaViS: @listen_sockets = ( '11.22.33.44:9820', '11.22.33.44:9880', ); $interface_policy{'9820'} = 'engelbracht'; $interface_policy{'9880'} = 'engelbracht_SUBMISSION'; $policy_bank{'engelbracht'} = { inet_acl => [qw( 11.22.33.44/32 )], myhostname => 'mail.engelbracht.tld', localhost_name => 'mail.engelbracht.tld', X_HEADER_LINE => 'amavisd-new at mail.engelbracht.tld', local_domains_maps => '.engelbracht.tld', enable_dkim_verification => 1 }; $policy_bank{'engelbracht_SUBMISSION'} = { originating => 1, bypass_spam_checks_maps => [1], bypass_banned_checks_maps => [1], final_bad_header_destiny => D_PASS, terminate_dsn_on_notify_success => 0, warnbadhsender => 1, smtpd_discard_ehlo_keywords => ['8BITMIME'], enable_dkim_signing => 1 }; $signed_header_fields{'received'} = 0; dkim_key('engelbracht.tld', 'dkim', '/etc/amavis/engelbracht.tld.pem'); @dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } ); # Alle E-Mails an den Host zuruecksenden, von dem sie # urspruenglich kam, auf Port +1 $forward_method = 'smtp:*:*'; $notify_method = 'smtp:*:*'; @mynetworks => qw( 11.22.33.44/32 22.33.44.55/32 33.44.55.66/32 ); Wenn ich nun eine Testmail versende, dann taucht in der Logdatei folgende Fehlermeldung auf: Jun 7 22:14:27 mail amavis[2576]: (!)DENIED ACCESS from IP 11.22.33.44, policy bank 'engelbracht_SUBMISSION' Die policy bank 'engelbracht_SUBMISSION' hat ja funktioniert, aber die E-Mail wird trotzdem nicht gesendet. In der E-Mail an den postmaster ist zu lesen: Out: 220 mail.engelbracht.tld ESMTP In: EHLO [192.168.0.41] Out: 250-mail.engelbracht.tld Out: 250-PIPELINING Out: 250-SIZE 51200000 Out: 250-VRFY Out: 250-ETRN Out: 250-STARTTLS Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: STARTTLS Out: 220 2.0.0 Ready to start TLS In: EHLO [192.168.0.41] Out: 250-mail.engelbracht.tld Out: 250-PIPELINING Out: 250-SIZE 51200000 Out: 250-VRFY Out: 250-ETRN Out: 250-AUTH PLAIN Out: 250-AUTH=PLAIN Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: AUTH PLAIN 47110815== Out: 235 2.7.0 Authentication successful In: MAIL FROM: BODY=8BITMIME Out: 250 2.1.0 Ok In: RCPT TO: Out: 451 4.3.0 Error: queue file write error. In: QUIT Out: 221 2.0.0 Bye Mir stellt sich jetzt die Frage: EINGEHENDE E-Mails werden ja problemlos an amavisd-new übergeben, auf Viren geprüft etc. Anschließend werden diese E-Mails ja wieder zurück an postfix übergeben. Muss man bei AUSGEHENDEN E-Mails eine andere Konfiguration verwenden? Vielen Dank im Voraus! Liebe Grüße Thilo From klaus at tachtler.net Wed Jun 8 06:21:01 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 08 Jun 2016 06:21:01 +0200 Subject: Problem mit DKIM-Signierung unter amavisd-new In-Reply-To: <20160607213659.GA4495@engelbracht.de> Message-ID: <20160608062101.Horde.yvJ-Zj9uWZbR25VtpUbsUwp@buero.tachtler.net> Hallo Thilo, fehlt nicht in Deiner $policy_bank{'engelbracht_SUBMISSION'} der Eintrag: inet_acl => [qw( 11.22.33.44/32 )], Grüße Klaus. > Hallo zusammen, > > auf meinem Mailserver (postfix, dovecot, amavisd-new) werden eingehende > E-Mails per smtpd_proxy_filter an amavisd-new übergeben. AMaViS lauscht > auf Port 9820. > > Nun möchte ich amavisd-new auch dazu verwenden, dass ausgehende E-Mails > mit DKIM signiert werden. Da die User ihre E-Mails auf den submission- > Port einliefern müssen, habe ich mir überlegt, amavisd-new auf einem > zusätzlichen Port lauschen zu lassen und mit Interface policies und > policy_banks dies zu steuern. > > Meine master.cf habe ich entsprechend angepasst: > > [ ... ] > > smtp inet n - n - 1 postscreen > > smtpd pass - - n - - smtpd > -o content_filter= > # AMaViS lauscht auf Port 9820 > -o smtpd_proxy_filter=11.22.33.44:9820 > > submission inet n - - - - smtpd > -o cleanup_service_name=subcleanup > -o smtpd_tls_security_level=encrypt > -o smtpd_tls_received_header=yes > -o smtpd_sasl_auth_enable=yes > -o smtpd_client_restrictions=permit_sasl_authenticated,reject > # AMaVis lauscht zusaetzlich auf Port 9880 > -o smtpd_proxy_filter=11.22.33.44:9880 > -o milter_macro_daemon_name=ORIGINATING > > subcleanup unix n - - - 0 cleanup > -o header_checks=pcre:/etc/postfix-engelbracht.com/header-checks > > > tlsproxy unix - - n - 0 tlsproxy > > dnsblog unix - - n - 0 dnsblog > > # AMaViS sendet die E-Mails auf diesen Port zurueck: > 9821 inet n - - - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > -o smtpd_authorized_xforward_hosts=11.22.33.44/32 > > # Die "submission" user senden die E-Mails auf diesen Port zurueck: > 9881 inet n - - - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 > > [ ... ] > > > Die Konfiguration von amavisd-new: > > #Auf diesen IP-Adressen/Ports lauscht AMaViS: > @listen_sockets = ( > '11.22.33.44:9820', > '11.22.33.44:9880', > ); > > > $interface_policy{'9820'} = 'engelbracht'; > $interface_policy{'9880'} = 'engelbracht_SUBMISSION'; > > > $policy_bank{'engelbracht'} = { > inet_acl => [qw( 11.22.33.44/32 )], > myhostname => 'mail.engelbracht.tld', > localhost_name => 'mail.engelbracht.tld', > X_HEADER_LINE => 'amavisd-new at mail.engelbracht.tld', > local_domains_maps => '.engelbracht.tld', > enable_dkim_verification => 1 > }; > $policy_bank{'engelbracht_SUBMISSION'} = { > originating => 1, > bypass_spam_checks_maps => [1], > bypass_banned_checks_maps => [1], > final_bad_header_destiny => D_PASS, > terminate_dsn_on_notify_success => 0, > warnbadhsender => 1, > smtpd_discard_ehlo_keywords => ['8BITMIME'], > enable_dkim_signing => 1 > }; > > $signed_header_fields{'received'} = 0; > > dkim_key('engelbracht.tld', 'dkim', '/etc/amavis/engelbracht.tld.pem'); > @dkim_signature_options_bysender_maps = ( > { '.' => > { > ttl => 21*24*3600, > c => 'relaxed/simple' > } > } > ); > > # Alle E-Mails an den Host zuruecksenden, von dem sie > # urspruenglich kam, auf Port +1 > $forward_method = 'smtp:*:*'; > $notify_method = 'smtp:*:*'; > > @mynetworks => qw( 11.22.33.44/32 22.33.44.55/32 33.44.55.66/32 ); > > > Wenn ich nun eine Testmail versende, dann taucht in der Logdatei > folgende Fehlermeldung auf: > > Jun 7 22:14:27 mail amavis[2576]: (!)DENIED ACCESS from IP > 11.22.33.44, policy bank 'engelbracht_SUBMISSION' > > Die policy bank 'engelbracht_SUBMISSION' hat ja funktioniert, aber die > E-Mail wird trotzdem nicht gesendet. > In der E-Mail an den postmaster ist zu lesen: > > > Out: 220 mail.engelbracht.tld ESMTP > In: EHLO [192.168.0.41] > Out: 250-mail.engelbracht.tld > Out: 250-PIPELINING > Out: 250-SIZE 51200000 > Out: 250-VRFY > Out: 250-ETRN > Out: 250-STARTTLS > Out: 250-ENHANCEDSTATUSCODES > Out: 250-8BITMIME > Out: 250 DSN > In: STARTTLS > Out: 220 2.0.0 Ready to start TLS > In: EHLO [192.168.0.41] > Out: 250-mail.engelbracht.tld > Out: 250-PIPELINING > Out: 250-SIZE 51200000 > Out: 250-VRFY > Out: 250-ETRN > Out: 250-AUTH PLAIN > Out: 250-AUTH=PLAIN > Out: 250-ENHANCEDSTATUSCODES > Out: 250-8BITMIME > Out: 250 DSN > In: AUTH PLAIN 47110815== > Out: 235 2.7.0 Authentication successful > In: MAIL FROM: BODY=8BITMIME > Out: 250 2.1.0 Ok > In: RCPT TO: > Out: 451 4.3.0 Error: queue file write error. > In: QUIT > Out: 221 2.0.0 Bye > > > Mir stellt sich jetzt die Frage: > EINGEHENDE E-Mails werden ja problemlos an amavisd-new übergeben, auf > Viren geprüft etc. Anschließend werden diese E-Mails ja wieder zurück > an postfix übergeben. > Muss man bei AUSGEHENDEN E-Mails eine andere Konfiguration verwenden? > > Vielen Dank im Voraus! > > > Liebe Grüße > > Thilo ----- Ende der Nachricht von Thilo Engelbracht ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From mailinglists at engelbracht.de Wed Jun 8 08:49:32 2016 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Wed, 8 Jun 2016 08:49:32 +0200 Subject: Problem mit DKIM-Signierung unter amavisd-new In-Reply-To: <20160608062101.Horde.yvJ-Zj9uWZbR25VtpUbsUwp@buero.tachtler.net> References: <20160607213659.GA4495@engelbracht.de> <20160608062101.Horde.yvJ-Zj9uWZbR25VtpUbsUwp@buero.tachtler.net> Message-ID: <20160608064932.GA12472@engelbracht.de> Am 08.06.2016 um 06:21 schrieb Klaus Tachtler : > Hallo Thilo, Guten Morgen Klaus, > fehlt nicht in Deiner $policy_bank{'engelbracht_SUBMISSION'} der Eintrag: > > inet_acl => [qw( 11.22.33.44/32 )], Stimmt... Habe ich wohl in der Eile übersehen. Leider funktioniert es noch immer nicht. Im Logfile steht mehrfach "Relay access denied"... :-( Der erste "Relay access denied"-Eintrag wird aber von postfix erzeugt, und nicht von amavisd-new... Ich habe ja in der master.cf beim submission-port definiert, dass die eingelieferten E-Mails per smtpd_proxy_filter an amavisd-new (Port 9880) weitergeleitet werden. Ist es denn grundsätzlich richtig, wie ich den "Rückweg" an postfix definiert habe? 9881 inet n - - - - smtpd -o content_filter= -o smtpd_proxy_filter= #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 Wie übergibst Du denn die E-Mail an amavisd-new und wieder zurück? Hier das Logfiles: Jun 8 08:21:38 mail postfix-engelbracht.com/smtpd[14464]: connect from x4d0a24c1.dyn.telefonica.de[77.10.36.193] Jun 8 08:21:38 mail postfix-engelbracht.com/smtpd[14464]: Anonymous TLS connection established from x4d0a24c1.dyn.telefonica.de[77.10.36.193]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: NOQUEUE: client=x4d0a24c1.dyn.telefonica.de[77.10.36.193], sasl_method=PLAIN,sasl_username=geheim Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14473]: connect from mail.engelbracht.com[46.38.231.196] Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14473]: NOQUEUE: reject: RCPT from mail.engelbracht.com[46.38.231.196]: 554 5.7.1 : Relay access denied; from= to= proto=ESMTP helo= Jun 8 08:21:39 mail amavis[13194]: (13194-01) Negative SMTP resp. to DATA: 554 5.5.1 Error: no valid recipients. Jun 8 08:21:39 mail amavis[13194]: (13194-01) (!)vl0L4U1MLgAu FWD from -> , BODY=7BIT 554 5.7.1 from MTA(smtp:[46.38.231.196]:9881): 554 5.7.1 : Relay access denied. Jun 8 08:21:39 mail amavis[13194]: (13194-01) Blocked MTA-BLOCKED {RejectedOutbound}, engelbracht.com_SUBMISSION LOCAL [77.10.36.193]:36232 [77.10.36.193] -> , Message-ID: <8B9D1D08-E2EF-4CAA-90DE-28A12CD6C44B at engelbracht.com>, mail_id: vl0L4U1MLgAu, Hits: -, size: 952, dkim_new=dkim:engelbracht.com, 270 ms Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: proxy-reject: END-OF-MESSAGE: 554 5.7.1 id=13194-01 - Rejected by next-hop MTA on relaying, from MTA(smtp:[46.38.231.196]:9881): 554 5.7.1 : Relay access denied.; from= to= proto=ESMTP helo=<[192.168.0.41]> Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: disconnect from x4d0a24c1.dyn.telefonica.de[77.10.36.193] > > Grüße > Klaus. Gruß zurück, Thilo > > > >Hallo zusammen, > > > >auf meinem Mailserver (postfix, dovecot, amavisd-new) werden eingehende > >E-Mails per smtpd_proxy_filter an amavisd-new übergeben. AMaViS lauscht > >auf Port 9820. > > > >Nun möchte ich amavisd-new auch dazu verwenden, dass ausgehende E-Mails > >mit DKIM signiert werden. Da die User ihre E-Mails auf den submission- > >Port einliefern müssen, habe ich mir überlegt, amavisd-new auf einem > >zusätzlichen Port lauschen zu lassen und mit Interface policies und > >policy_banks dies zu steuern. > > > >Meine master.cf habe ich entsprechend angepasst: > > > >[ ... ] > > > >smtp inet n - n - 1 postscreen > > > >smtpd pass - - n - - smtpd > > -o content_filter= > > # AMaViS lauscht auf Port 9820 > > -o smtpd_proxy_filter=11.22.33.44:9820 > > > >submission inet n - - - - smtpd > > -o cleanup_service_name=subcleanup > > -o smtpd_tls_security_level=encrypt > > -o smtpd_tls_received_header=yes > > -o smtpd_sasl_auth_enable=yes > > -o smtpd_client_restrictions=permit_sasl_authenticated,reject > > # AMaVis lauscht zusaetzlich auf Port 9880 > > -o smtpd_proxy_filter=11.22.33.44:9880 > > -o milter_macro_daemon_name=ORIGINATING > > > >subcleanup unix n - - - 0 cleanup > > -o header_checks=pcre:/etc/postfix-engelbracht.com/header-checks > > > > > >tlsproxy unix - - n - 0 tlsproxy > > > >dnsblog unix - - n - 0 dnsblog > > > ># AMaViS sendet die E-Mails auf diesen Port zurueck: > >9821 inet n - - - - smtpd > > -o content_filter= > > -o smtpd_proxy_filter= > > -o smtpd_authorized_xforward_hosts=11.22.33.44/32 > > > ># Die "submission" user senden die E-Mails auf diesen Port zurueck: > >9881 inet n - - - - smtpd > > -o content_filter= > > -o smtpd_proxy_filter= > > #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 > > > >[ ... ] > > > > > >Die Konfiguration von amavisd-new: > > > >#Auf diesen IP-Adressen/Ports lauscht AMaViS: > >@listen_sockets = ( > > '11.22.33.44:9820', > > '11.22.33.44:9880', > >); > > > > > >$interface_policy{'9820'} = 'engelbracht'; > >$interface_policy{'9880'} = 'engelbracht_SUBMISSION'; > > > > > >$policy_bank{'engelbracht'} = { > > inet_acl => [qw( 11.22.33.44/32 )], > > myhostname => 'mail.engelbracht.tld', > > localhost_name => 'mail.engelbracht.tld', > > X_HEADER_LINE => 'amavisd-new at mail.engelbracht.tld', > > local_domains_maps => '.engelbracht.tld', > > enable_dkim_verification => 1 > >}; > >$policy_bank{'engelbracht_SUBMISSION'} = { > > originating => 1, > > bypass_spam_checks_maps => [1], > > bypass_banned_checks_maps => [1], > > final_bad_header_destiny => D_PASS, > > terminate_dsn_on_notify_success => 0, > > warnbadhsender => 1, > > smtpd_discard_ehlo_keywords => ['8BITMIME'], > > enable_dkim_signing => 1 > >}; > > > >$signed_header_fields{'received'} = 0; > > > >dkim_key('engelbracht.tld', 'dkim', '/etc/amavis/engelbracht.tld.pem'); > >@dkim_signature_options_bysender_maps = ( > > { '.' => > > { > > ttl => 21*24*3600, > > c => 'relaxed/simple' > > } > > } > >); > > > ># Alle E-Mails an den Host zuruecksenden, von dem sie > ># urspruenglich kam, auf Port +1 > >$forward_method = 'smtp:*:*'; > >$notify_method = 'smtp:*:*'; > > > >@mynetworks => qw( 11.22.33.44/32 22.33.44.55/32 33.44.55.66/32 ); > > > > > >Wenn ich nun eine Testmail versende, dann taucht in der Logdatei > >folgende Fehlermeldung auf: > > > >Jun 7 22:14:27 mail amavis[2576]: (!)DENIED ACCESS from IP 11.22.33.44, > >policy bank 'engelbracht_SUBMISSION' > > > >Die policy bank 'engelbracht_SUBMISSION' hat ja funktioniert, aber die > >E-Mail wird trotzdem nicht gesendet. > >In der E-Mail an den postmaster ist zu lesen: > > > > > > Out: 220 mail.engelbracht.tld ESMTP > > In: EHLO [192.168.0.41] > > Out: 250-mail.engelbracht.tld > > Out: 250-PIPELINING > > Out: 250-SIZE 51200000 > > Out: 250-VRFY > > Out: 250-ETRN > > Out: 250-STARTTLS > > Out: 250-ENHANCEDSTATUSCODES > > Out: 250-8BITMIME > > Out: 250 DSN > > In: STARTTLS > > Out: 220 2.0.0 Ready to start TLS > > In: EHLO [192.168.0.41] > > Out: 250-mail.engelbracht.tld > > Out: 250-PIPELINING > > Out: 250-SIZE 51200000 > > Out: 250-VRFY > > Out: 250-ETRN > > Out: 250-AUTH PLAIN > > Out: 250-AUTH=PLAIN > > Out: 250-ENHANCEDSTATUSCODES > > Out: 250-8BITMIME > > Out: 250 DSN > > In: AUTH PLAIN 47110815== > > Out: 235 2.7.0 Authentication successful > > In: MAIL FROM: BODY=8BITMIME > > Out: 250 2.1.0 Ok > > In: RCPT TO: > > Out: 451 4.3.0 Error: queue file write error. > > In: QUIT > > Out: 221 2.0.0 Bye > > > > > >Mir stellt sich jetzt die Frage: > >EINGEHENDE E-Mails werden ja problemlos an amavisd-new übergeben, auf > >Viren geprüft etc. Anschließend werden diese E-Mails ja wieder zurück > >an postfix übergeben. > >Muss man bei AUSGEHENDEN E-Mails eine andere Konfiguration verwenden? > > > >Vielen Dank im Voraus! > > > > > >Liebe Grüße > > > >Thilo > > > ----- Ende der Nachricht von Thilo Engelbracht > ----- > > > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ > pub 4096R/C67F36D0 2013-09-22 Klaus Tachtler (klaus) > sub 4096R/5E4A2AAD 2013-09-22 Liebe Grüße Thilo From bjo at nord-west.org Wed Jun 8 11:52:20 2016 From: bjo at nord-west.org (Bjoern Franke) Date: Wed, 08 Jun 2016 11:52:20 +0200 Subject: SPF und GMX In-Reply-To: <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> Message-ID: <1465379540.3205.3.camel@nord-west.org> Moin, > > > > --byte > das sind zwei verschiedene Sachen. Wenn ein Webmaster das für seine > Domain macht ok, dann muss er wissen was er tut, dann ist es auch > richtig, dass GMX das so auswertet. GMX setzte aber den eigenen > gmx.de > SPF auf -all. > Wertet GMX das überhaupt richtig aus? Beispiel: 217.11.63.230 aka mx01.micebyte.de fungiert als MX für welcometobremen.org. SPF-Records "v=spf1 a mx -all", will Mails an GMX einliefern und kriegt als Reject-Message "The orginating IP is not permitted by the domain owner." Grüße Björn From alex at bakarasse.de Wed Jun 8 12:09:19 2016 From: alex at bakarasse.de (Alex) Date: Wed, 8 Jun 2016 12:09:19 +0200 Subject: Strato und Greylisting Message-ID: <5757EECF.7040807@bakarasse.de> Hallo zusammen, die Server des Providers Strato nehmen nach dem Greylisting-reject für die erneute Zustellung eine andere IP-Adresse und kommen nicht durch das Greylisting hindurch. Der Absender (ein Strato-Kunde) bekommt Unzustellbarkeitnachrichten "Fehler bei der Nachrichtenzustellung... Greylisted for 300 seconds". May 19 17:14:37 I79 postfix/smtpd[3268]: NOQUEUE: reject: RCPT from mo6-p04-ob.smtp.rzone.de[2a01:238:20a:202:5304::5]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 17:20:18 I79 postfix/smtpd[3268]: NOQUEUE: reject: RCPT from mo6-p04-ob.smtp.rzone.de[2a01:238:20a:202:5304::12]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 17:29:05 I79 postfix/smtpd[3268]: NOQUEUE: reject: RCPT from mo6-p04-ob.smtp.rzone.de[2a01:238:20a:202:5304::11]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 17:43:56 I79 postfix/smtpd[26721]: NOQUEUE: reject: RCPT from mo6-p04-ob.smtp.rzone.de[2a01:238:20a:202:5304::6]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 17:50:18 I79 postfix/smtpd[32116]: NOQUEUE: reject: RCPT from mo6-p00-ob.smtp.rzone.de[2a01:238:20a:202:5300::4]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 17:56:31 I79 postfix/smtpd[32116]: NOQUEUE: reject: RCPT from mo6-p00-ob.smtp.rzone.de[2a01:238:20a:202:5300::2]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 18:03:37 I79 postfix/smtpd[7892]: NOQUEUE: reject: RCPT from mo6-p00-ob.smtp.rzone.de[2a01:238:20a:202:5300::1]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= May 19 18:08:31 I79 postfix/smtpd[10212]: NOQUEUE: reject: RCPT from mo6-p00-ob.smtp.rzone.de[2a01:238:20a:202:5300::12]: 450 4.2.0 : Client host rejected: Greylisted for 300 seconds; from= to= proto=ESMTP helo= Die Server haben laut DNS 12 IPv6 Adressen und 5 bis 10 IPv4 Adressen. Hatte jemand auch schon so ein Problem und wie ist er damit umgegangen? Gruß, Alex From wn at neessen.net Wed Jun 8 12:49:36 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 08 Jun 2016 12:49:36 +0200 Subject: Strato und Greylisting In-Reply-To: <5757EECF.7040807@bakarasse.de> References: <5757EECF.7040807@bakarasse.de> Message-ID: Hi Alex, Am 2016-06-08 12:09, schrieb Alex: > Die Server haben laut DNS 12 IPv6 Adressen und 5 bis 10 IPv4 Adressen. > Hatte jemand auch schon so ein Problem und wie ist er damit umgegangen? > Whiteliste doch einfach das komplette Subnetz. Dann hast Du Ruhe. Oder noch besser, einfach das laestige Greylisting komplett ausschalten. Das spart Dir Kopfschmerzen und dem Kunden nervige Wartezeiten (oder gar bounces). Winni From andreas.schulze at datev.de Wed Jun 8 14:21:04 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 8 Jun 2016 14:21:04 +0200 Subject: SPF und GMX In-Reply-To: <1465379540.3205.3.camel@nord-west.org> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> <1465379540.3205.3.camel@nord-west.org> Message-ID: Am 08.06.2016 um 11:52 schrieb Bjoern Franke: > Wertet GMX das überhaupt richtig aus? > > Beispiel: 217.11.63.230 aka mx01.micebyte.de fungiert als MX für > welcometobremen.org. SPF-Records "v=spf1 a mx -all", will Mails an GMX > einliefern und kriegt als Reject-Message "The orginating IP is not > permitted by the domain owner." um das zu beantworten, braucht man noch den "domain owner" Was war den im betreffenden Beispiel der RFC5231.MailFrom? Andreas From news at amaltea.de Wed Jun 8 14:58:15 2016 From: news at amaltea.de (Paul) Date: Wed, 8 Jun 2016 14:58:15 +0200 Subject: SPF und GMX In-Reply-To: <1465379540.3205.3.camel@nord-west.org> References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> <1465379540.3205.3.camel@nord-west.org> Message-ID: > Wertet GMX das überhaupt richtig aus? > > Beispiel: 217.11.63.230 aka mx01.micebyte.de fungiert als MX für > welcometobremen.org. SPF-Records "v=spf1 a mx -all", will Mails an GMX > einliefern und kriegt als Reject-Message "The orginating IP is not > permitted by the domain owner." Nur eine vage Vermutung, dass IPv6 was damit zu tun haben könnte. Angenommen GMX wertet falsch aus, dann kann es ja nur an der Auswertung des MX liegen. Dein MX hat v4 und v6 gleichzeitig. Angenommen, du (mx01) kommst mit v6 und GMX wertet aber nur den v4 deines MX aus, dann wird "korrekterweise" abgelehnt. Oder umgekehrt. Du kommst mit v4 und GMX sieht nur dein v6... Gruß, Paul From mlists.postfix.users at pro-ite.com Wed Jun 8 15:15:03 2016 From: mlists.postfix.users at pro-ite.com (D.K.) Date: Wed, 8 Jun 2016 15:15:03 +0200 Subject: Mail an Alias unzustellbar, weil lmtp das Postfach nicht findet? In-Reply-To: <5752D8FE.6040401@pro-ite.com> References: <5752D8FE.6040401@pro-ite.com> Message-ID: <57581A57.1020208@pro-ite.com> Hallo, wollte mal vorsichtig fragen, ob meine Beschreibung entweder so läppisch ist, dass es mir peinlich sein sollte, oder echt niemand damit was anfangen kann? Ich hab mittlerweile den loglevel so weit erhöht, dass mir postfix bei einem Mailversuch 3181 Zeilen sendet, aber inhaltlich bleibt alles beim alten. Der postfix/smtpd erkennt korrekt "user2-alias at xxx.de -> user2 at xxx.de" und der Rest (auch postfix/cleanup usw.) ignorieren diese Umsetzung oder erhalten sie nicht. Arbeitet jemand draußen mit aliases? ;-) Ich hab auch im postfix-Buch nichts konkretes gefunden. Am 04.06.2016 um 15:34 schrieb D.K.: > Hallo, > > ich hab hier ein debian8 mit postfix, dovecot, mysql. > > Mail senden an Userpostfach funktioniert. > Senden an Alias wird zurückgewiesen. > > Meines Erachtens erkennt postfix/smtpd die Zuordnung user2-alias at xxx.de > zu user2 at xxx.de völlig korrekt. (siehe unten) > Im lmtp wird dann aber der recipient wieder mit der alias-Adresse belegt > und dann ist die Zustellung nicht mehr möglich: > > : host xxx.de[private/dovecot-lmtp] > said: 550 5.1.1 User doesn't exist: > User2-alias at xxx.de (in reply to RCPT TO command) > > Nach drei "-v" (smtp/smtpd, lmtp, dovecot/pipe) in der master.cf bin ich > auf folgende Ausschnitte gekommen: > ... > Jun 4 13:06:08 d8x1 postfix/smtpd[16835]: < localhost[127.0.0.1]: RCPT > TO: > ... > Jun 4 13:06:08 d8x1 postfix/smtpd[16835]: maps_find: > virtual_alias_maps: mysql:/etc/postfix/mysql_alias.cf(0,lock|fold_fix): > user2-alias at xxx.de = user2 at xxx.de > Jun 4 13:06:08 d8x1 postfix/smtpd[16835]: mail_addr_find: > user2-alias at xxx.de -> user2 at xxx.de > ... > Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: lmtp socket: wanted attribute: > original_recipient > Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute name: > original_recipient > Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute value: > user2-alias at xxx.de > Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: lmtp socket: wanted attribute: > recipient > Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute name: recipient > Jun 4 13:06:08 d8x1 postfix/lmtp[16840]: input attribute value: > user2-alias at xxx.de > > Und damit geht das schief. Jemand ne Idee, wo wir da noch ansetzen können? > Wer ist an der Stelle zuständig, den "input attribute name: recipient" > mit dem korrekten Wert zu setzen? > Ist es sinnvoll, hier die ganze postconf (864 Zeilen) oder die postconf > -n (63 Zeilen) zu posten? > Danke, Dirk From daniel at ist-immer-online.de Wed Jun 8 15:51:00 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 8 Jun 2016 15:51:00 +0200 Subject: AW: SPF und GMX In-Reply-To: References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> <1465379540.3205.3.camel@nord-west.org> Message-ID: <000001d1c18c$caf21520$60d63f60$@ist-immer-online.de> GMX verwendet nur IPv4, daher hat IPv6 da keinerlei Relevanz. Wenn man beides Verwendet und beide entsprechend in DNS Zone stehen passt es auch. Es wird nur eine oder andere verwendet, aber nicht eine, und andere ausgewertet. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Paul Gesendet: Mittwoch, 8. Juni 2016 14:58 An: Diskussionen und Support rund um Postfix Betreff: Re: SPF und GMX > Wertet GMX das überhaupt richtig aus? > > Beispiel: 217.11.63.230 aka mx01.micebyte.de fungiert als MX für > welcometobremen.org. SPF-Records "v=spf1 a mx -all", will Mails an GMX > einliefern und kriegt als Reject-Message "The orginating IP is not > permitted by the domain owner." Nur eine vage Vermutung, dass IPv6 was damit zu tun haben könnte. Angenommen GMX wertet falsch aus, dann kann es ja nur an der Auswertung des MX liegen. Dein MX hat v4 und v6 gleichzeitig. Angenommen, du (mx01) kommst mit v6 und GMX wertet aber nur den v4 deines MX aus, dann wird "korrekterweise" abgelehnt. Oder umgekehrt. Du kommst mit v4 und GMX sieht nur dein v6... Gruß, Paul From postfixbuch at cboltz.de Wed Jun 8 19:13:40 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Wed, 08 Jun 2016 19:13:40 +0200 Subject: Mail an Alias unzustellbar, weil lmtp das Postfach nicht findet? In-Reply-To: <5752D8FE.6040401@pro-ite.com> References: <5752D8FE.6040401@pro-ite.com> Message-ID: <4672527.LT7bN1L7GW@tux.boltz.de.vu> Hallo Dirk, hallo zusammen, Am Samstag, 4. Juni 2016, 15:34:54 CEST schrieb D.K.: > Ist es sinnvoll, hier die ganze postconf (864 Zeilen) oder die > postconf -n (63 Zeilen) zu posten? postconf -n ist immer hilfreich, in diesem Fall bitte auch die master.cf ohne Kommentare ("grep '^[^#]' master.cf"). Schuss ins Blaue: hast Du irgendwelche receive_override_options, die das Umschreiben des Aliases verhindern? Gruß Christian Boltz -- Das ist halt der Unterschied: Unix ist ein Betriebssystem mit Tradition, die anderen sind einfach von sich aus unlogisch. [Anselm Lingnau] From mlists.postfix.users at pro-ite.com Wed Jun 8 19:55:23 2016 From: mlists.postfix.users at pro-ite.com (D.K.) Date: Wed, 08 Jun 2016 19:55:23 +0200 Subject: Mail an Alias unzustellbar, weil lmtp das Postfach nicht findet? In-Reply-To: <4672527.LT7bN1L7GW@tux.boltz.de.vu> References: <5752D8FE.6040401@pro-ite.com> <4672527.LT7bN1L7GW@tux.boltz.de.vu> Message-ID: <57585C0B.3090909@pro-ite.com> Hallo Christian, Volltreffer. Ich glaub es nicht. ;-) Am 08.06.2016 um 19:13 schrieb Christian Boltz: > Hallo Dirk, hallo zusammen, > > Am Samstag, 4. Juni 2016, 15:34:54 CEST schrieb D.K.: >> Ist es sinnvoll, hier die ganze postconf (864 Zeilen) oder die >> postconf -n (63 Zeilen) zu posten? > postconf -n ist immer hilfreich, in diesem Fall bitte auch die > master.cf ohne Kommentare ("grep '^[^#]' master.cf"). > > Schuss ins Blaue: hast Du irgendwelche receive_override_options, die das > Umschreiben des Aliases verhindern? > Der Schuss war super. receive_override_options = no_address_mappings Rausgenommen, restart, Test, funktioniert. :-) Woher der kommt, werd ich noch rausfinden. Der Witz: bei nem Kunden auf debian7 steht das auch so drin, funktioniert aber. Jedenfalls vielen Dank dafür. So einfach kann die Welt sein. Puuh. :-) LG, Dirk From jra at byte.cx Wed Jun 8 20:06:08 2016 From: jra at byte.cx (Jens Adam) Date: Wed, 8 Jun 2016 20:06:08 +0200 Subject: Strato und Greylisting In-Reply-To: <5757EECF.7040807@bakarasse.de> References: <5757EECF.7040807@bakarasse.de> Message-ID: <20160608200608.059cff3a.jra@byte.cx> Wed, 8 Jun 2016 12:09:19 +0200 Alex : > Der Absender (ein Strato-Kunde) bekommt Unzustellbarkeitnachrichten > "Fehler bei der Nachrichtenzustellung... Greylisted for 300 seconds". Warum sollte er die bei temporären 4xx Fehlern bekommen? Haben die bei Strato Langeweile und zuwenig Supporttickets?? Ansonsten: was Winfried sagt. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From klaus at tachtler.net Thu Jun 9 09:06:57 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 09 Jun 2016 09:06:57 +0200 Subject: Problem mit DKIM-Signierung unter amavisd-new In-Reply-To: <20160608064932.GA12472@engelbracht.de> References: <20160607213659.GA4495@engelbracht.de> <20160608062101.Horde.yvJ-Zj9uWZbR25VtpUbsUwp@buero.tachtler.net> <20160608064932.GA12472@engelbracht.de> Message-ID: <20160609090657.Horde.waebVzXKUeJCxqwz59-Xih-@buero.tachtler.net> Hallo Thilo, relay_access denied hat oft etwas mit transport, mydestination, mynetworks oder virtual tables zu tun. Ich habe ein DokuWiki für mich erstellt, evtl. kannst Du beim durchsehen meiner Dokumentation die ein oder andere Parallele oder auch Abweichung finden und so Dein Problem lösen. Leider habe ich gerade nicht viel Zeit, aber schau Dir einfach mal nachfolgenden Link an, wenn Du magst: http://www.dokuwiki.tachtler.net/doku.php#e-mail_mailserver_postfix_amavis_und_postfix_admin Grüße Klaus. > Am 08.06.2016 um 06:21 schrieb Klaus Tachtler : > >> Hallo Thilo, > > Guten Morgen Klaus, > >> fehlt nicht in Deiner $policy_bank{'engelbracht_SUBMISSION'} der Eintrag: >> >> inet_acl => [qw( 11.22.33.44/32 )], > > Stimmt... Habe ich wohl in der Eile übersehen. > > Leider funktioniert es noch immer nicht. > Im Logfile steht mehrfach "Relay access denied"... :-( > Der erste "Relay access denied"-Eintrag wird aber von postfix erzeugt, > und nicht von amavisd-new... > > Ich habe ja in der master.cf beim submission-port definiert, dass die > eingelieferten E-Mails per smtpd_proxy_filter an amavisd-new (Port 9880) > weitergeleitet werden. > Ist es denn grundsätzlich richtig, wie ich den "Rückweg" an postfix > definiert habe? > 9881 inet n - - - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 > > Wie übergibst Du denn die E-Mail an amavisd-new und wieder zurück? > > Hier das Logfiles: > > Jun 8 08:21:38 mail postfix-engelbracht.com/smtpd[14464]: connect > from x4d0a24c1.dyn.telefonica.de[77.10.36.193] > Jun 8 08:21:38 mail postfix-engelbracht.com/smtpd[14464]: Anonymous > TLS connection established from > x4d0a24c1.dyn.telefonica.de[77.10.36.193]: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: NOQUEUE: > client=x4d0a24c1.dyn.telefonica.de[77.10.36.193], > sasl_method=PLAIN,sasl_username=geheim > Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14473]: connect > from mail.engelbracht.com[46.38.231.196] > Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14473]: NOQUEUE: > reject: RCPT from mail.engelbracht.com[46.38.231.196]: 554 5.7.1 > : Relay access denied; from= > to= proto=ESMTP helo= > Jun 8 08:21:39 mail amavis[13194]: (13194-01) Negative SMTP resp. > to DATA: 554 5.5.1 Error: no valid recipients. > Jun 8 08:21:39 mail amavis[13194]: (13194-01) (!)vl0L4U1MLgAu FWD > from -> , BODY=7BIT 554 > 5.7.1 from MTA(smtp:[46.38.231.196]:9881): 554 5.7.1 > : Relay access denied. > Jun 8 08:21:39 mail amavis[13194]: (13194-01) Blocked MTA-BLOCKED > {RejectedOutbound}, engelbracht.com_SUBMISSION LOCAL > [77.10.36.193]:36232 [77.10.36.193] -> > , Message-ID: > <8B9D1D08-E2EF-4CAA-90DE-28A12CD6C44B at engelbracht.com>, mail_id: > vl0L4U1MLgAu, Hits: -, size: 952, dkim_new=dkim:engelbracht.com, 270 > ms > Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: > proxy-reject: END-OF-MESSAGE: 554 5.7.1 id=13194-01 - Rejected by > next-hop MTA on relaying, from MTA(smtp:[46.38.231.196]:9881): 554 > 5.7.1 : Relay access denied.; > from= to= proto=ESMTP > helo=<[192.168.0.41]> > Jun 8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: > disconnect from x4d0a24c1.dyn.telefonica.de[77.10.36.193] > >> >> Grüße >> Klaus. > > Gruß zurück, > > Thilo > > >> >> >> >Hallo zusammen, >> > >> >auf meinem Mailserver (postfix, dovecot, amavisd-new) werden eingehende >> >E-Mails per smtpd_proxy_filter an amavisd-new übergeben. AMaViS lauscht >> >auf Port 9820. >> > >> >Nun möchte ich amavisd-new auch dazu verwenden, dass ausgehende E-Mails >> >mit DKIM signiert werden. Da die User ihre E-Mails auf den submission- >> >Port einliefern müssen, habe ich mir überlegt, amavisd-new auf einem >> >zusätzlichen Port lauschen zu lassen und mit Interface policies und >> >policy_banks dies zu steuern. >> > >> >Meine master.cf habe ich entsprechend angepasst: >> > >> >[ ... ] >> > >> >smtp inet n - n - 1 postscreen >> > >> >smtpd pass - - n - - smtpd >> > -o content_filter= >> > # AMaViS lauscht auf Port 9820 >> > -o smtpd_proxy_filter=11.22.33.44:9820 >> > >> >submission inet n - - - - smtpd >> > -o cleanup_service_name=subcleanup >> > -o smtpd_tls_security_level=encrypt >> > -o smtpd_tls_received_header=yes >> > -o smtpd_sasl_auth_enable=yes >> > -o smtpd_client_restrictions=permit_sasl_authenticated,reject >> > # AMaVis lauscht zusaetzlich auf Port 9880 >> > -o smtpd_proxy_filter=11.22.33.44:9880 >> > -o milter_macro_daemon_name=ORIGINATING >> > >> >subcleanup unix n - - - 0 cleanup >> > -o header_checks=pcre:/etc/postfix-engelbracht.com/header-checks >> > >> > >> >tlsproxy unix - - n - 0 tlsproxy >> > >> >dnsblog unix - - n - 0 dnsblog >> > >> ># AMaViS sendet die E-Mails auf diesen Port zurueck: >> >9821 inet n - - - - smtpd >> > -o content_filter= >> > -o smtpd_proxy_filter= >> > -o smtpd_authorized_xforward_hosts=11.22.33.44/32 >> > >> ># Die "submission" user senden die E-Mails auf diesen Port zurueck: >> >9881 inet n - - - - smtpd >> > -o content_filter= >> > -o smtpd_proxy_filter= >> > #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 >> > >> >[ ... ] >> > >> > >> >Die Konfiguration von amavisd-new: >> > >> >#Auf diesen IP-Adressen/Ports lauscht AMaViS: >> >@listen_sockets = ( >> > '11.22.33.44:9820', >> > '11.22.33.44:9880', >> >); >> > >> > >> >$interface_policy{'9820'} = 'engelbracht'; >> >$interface_policy{'9880'} = 'engelbracht_SUBMISSION'; >> > >> > >> >$policy_bank{'engelbracht'} = { >> > inet_acl => [qw( 11.22.33.44/32 )], >> > myhostname => 'mail.engelbracht.tld', >> > localhost_name => 'mail.engelbracht.tld', >> > X_HEADER_LINE => 'amavisd-new at mail.engelbracht.tld', >> > local_domains_maps => '.engelbracht.tld', >> > enable_dkim_verification => 1 >> >}; >> >$policy_bank{'engelbracht_SUBMISSION'} = { >> > originating => 1, >> > bypass_spam_checks_maps => [1], >> > bypass_banned_checks_maps => [1], >> > final_bad_header_destiny => D_PASS, >> > terminate_dsn_on_notify_success => 0, >> > warnbadhsender => 1, >> > smtpd_discard_ehlo_keywords => ['8BITMIME'], >> > enable_dkim_signing => 1 >> >}; >> > >> >$signed_header_fields{'received'} = 0; >> > >> >dkim_key('engelbracht.tld', 'dkim', '/etc/amavis/engelbracht.tld.pem'); >> >@dkim_signature_options_bysender_maps = ( >> > { '.' => >> > { >> > ttl => 21*24*3600, >> > c => 'relaxed/simple' >> > } >> > } >> >); >> > >> ># Alle E-Mails an den Host zuruecksenden, von dem sie >> ># urspruenglich kam, auf Port +1 >> >$forward_method = 'smtp:*:*'; >> >$notify_method = 'smtp:*:*'; >> > >> >@mynetworks => qw( 11.22.33.44/32 22.33.44.55/32 33.44.55.66/32 ); >> > >> > >> >Wenn ich nun eine Testmail versende, dann taucht in der Logdatei >> >folgende Fehlermeldung auf: >> > >> >Jun 7 22:14:27 mail amavis[2576]: (!)DENIED ACCESS from IP 11.22.33.44, >> >policy bank 'engelbracht_SUBMISSION' >> > >> >Die policy bank 'engelbracht_SUBMISSION' hat ja funktioniert, aber die >> >E-Mail wird trotzdem nicht gesendet. >> >In der E-Mail an den postmaster ist zu lesen: >> > >> > >> > Out: 220 mail.engelbracht.tld ESMTP >> > In: EHLO [192.168.0.41] >> > Out: 250-mail.engelbracht.tld >> > Out: 250-PIPELINING >> > Out: 250-SIZE 51200000 >> > Out: 250-VRFY >> > Out: 250-ETRN >> > Out: 250-STARTTLS >> > Out: 250-ENHANCEDSTATUSCODES >> > Out: 250-8BITMIME >> > Out: 250 DSN >> > In: STARTTLS >> > Out: 220 2.0.0 Ready to start TLS >> > In: EHLO [192.168.0.41] >> > Out: 250-mail.engelbracht.tld >> > Out: 250-PIPELINING >> > Out: 250-SIZE 51200000 >> > Out: 250-VRFY >> > Out: 250-ETRN >> > Out: 250-AUTH PLAIN >> > Out: 250-AUTH=PLAIN >> > Out: 250-ENHANCEDSTATUSCODES >> > Out: 250-8BITMIME >> > Out: 250 DSN >> > In: AUTH PLAIN 47110815== >> > Out: 235 2.7.0 Authentication successful >> > In: MAIL FROM: BODY=8BITMIME >> > Out: 250 2.1.0 Ok >> > In: RCPT TO: >> > Out: 451 4.3.0 Error: queue file write error. >> > In: QUIT >> > Out: 221 2.0.0 Bye >> > >> > >> >Mir stellt sich jetzt die Frage: >> >EINGEHENDE E-Mails werden ja problemlos an amavisd-new übergeben, auf >> >Viren geprüft etc. Anschließend werden diese E-Mails ja wieder zurück >> >an postfix übergeben. >> >Muss man bei AUSGEHENDEN E-Mails eine andere Konfiguration verwenden? >> > >> >Vielen Dank im Voraus! >> > >> > >> >Liebe Grüße >> > >> >Thilo >> >> >> ----- Ende der Nachricht von Thilo Engelbracht >> ----- >> >> >> >> >> -- >> >> ------------------------------------------ >> e-Mail : klaus at tachtler.net >> Homepage: http://www.tachtler.net >> DokuWiki: http://www.dokuwiki.tachtler.net >> ------------------------------------------ > >> pub 4096R/C67F36D0 2013-09-22 Klaus Tachtler (klaus) >> sub 4096R/5E4A2AAD 2013-09-22 > > > > Liebe Grüße > > Thilo ----- Ende der Nachricht von Thilo Engelbracht ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From alois.kratochwill at wdns.at Thu Jun 9 11:42:02 2016 From: alois.kratochwill at wdns.at (Alois Kratochwill | WDNS.at) Date: Thu, 9 Jun 2016 11:42:02 +0200 Subject: Problem mit DKIM-Signierung unter amavisd-new In-Reply-To: <20160608064932.GA12472@engelbracht.de> References: <20160607213659.GA4495@engelbracht.de> <20160608062101.Horde.yvJ-Zj9uWZbR25VtpUbsUwp@buero.tachtler.net> <20160608064932.GA12472@engelbracht.de> Message-ID: Hallo Thilo! Am 08.06.2016 um 08:49 schrieb Thilo Engelbracht: > Ist es denn grundsätzlich richtig, wie ich den "Rückweg" an postfix > definiert habe? > 9881 inet n - - - - smtpd > -o content_filter= > -o smtpd_proxy_filter= > #-o smtpd_authorized_xforward_hosts=11.22.33.44/32 > > Wie übergibst Du denn die E-Mail an amavisd-new und wieder zurück? Ich habe in der Konfiguration jeweils die IP vor dem Port stehen. In Deinem Fall eventuell so: 11.22.33.44:9881 inet n - - - - smtpd [...] -- Mit freundlichen Grüßen Alois -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4345 bytes Beschreibung: S/MIME Cryptographic Signature URL : From max.grobecker at ml.grobecker.info Thu Jun 9 14:16:30 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Thu, 9 Jun 2016 14:16:30 +0200 Subject: Strato und Greylisting In-Reply-To: <20160608200608.059cff3a.jra@byte.cx> References: <5757EECF.7040807@bakarasse.de> <20160608200608.059cff3a.jra@byte.cx> Message-ID: Hallo, Am 08.06.2016 um 20:06 schrieb Jens Adam: > Warum sollte er die bei temporären 4xx Fehlern bekommen? Haben die bei > Strato Langeweile und zuwenig Supporttickets?? Wahrscheinlich, weil die zu lange in der Queue liegen. Und vielleicht war es auch kein Bounce sondern nur eine "Delayed Mail"-Warnung ;-) Viele Grüße aus dem Tal Max From ckubu at so36.net Thu Jun 9 16:27:35 2016 From: ckubu at so36.net (ckubu) Date: Thu, 9 Jun 2016 16:27:35 +0200 Subject: Strato und Greylisting In-Reply-To: References: <5757EECF.7040807@bakarasse.de> Message-ID: <57597CD7.9@so36.net> hi > [..] > Whiteliste doch einfach das komplette Subnetz. Dann hast Du Ruhe. Oder > noch besser, einfach das > laestige Greylisting komplett ausschalten. Das spart Dir Kopfschmerzen > und dem Kunden nervige > Wartezeiten (oder gar bounces). Nur mal so, weil das hier so abgetan wird: Greylisting war und ist es immer noch, nämlich eines der effektivsten Mittel gegen Spamming. lg christoph -- e: ckubu at so36.net From wn at neessen.net Thu Jun 9 16:33:56 2016 From: wn at neessen.net (Winfried Neessen) Date: Thu, 09 Jun 2016 16:33:56 +0200 Subject: Strato und Greylisting In-Reply-To: <57597CD7.9@so36.net> References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> Message-ID: Hi, Am 2016-06-09 16:27, schrieb ckubu: > Nur mal so, weil das hier so abgetan wird: Greylisting war und ist es > immer noch, nämlich eines der effektivsten Mittel gegen Spamming. > So ein Quatsch. Spammer haben Greylisting schon seit Jahren adaptiert und pumpen ihren SPAM auch bei 'nem 4XX nochmal in die Pipeline. Greylisting kostete wohl Admin (Pflege von Whitelisten, weil Hoster sich nicht RFC Konform verhalten) als auch fuer den Kunden (ewiges warten auf Mails, weil sich bei jedem Zustellungsversuch der Server aenderte) nervig und ineffizient. Das mag ganz am Anfang 'ne nette Idee gewesen sein, aber seit Jahren bringt Greylisting nichts als Aerger. Postscreen, policyd-Dienste, etc. sind die state-of-the-art Mittel gegen SPAM. Winni From zahlenmaler at t-online.de Thu Jun 9 16:56:06 2016 From: zahlenmaler at t-online.de (robert) Date: Thu, 9 Jun 2016 16:56:06 +0200 Subject: Strato und Greylisting In-Reply-To: References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> Message-ID: <57598386.4090809@t-online.de> Am 09.06.2016 um 16:33 schrieb Winfried Neessen: > Hi, > > Am 2016-06-09 16:27, schrieb ckubu: > >> Nur mal so, weil das hier so abgetan wird: Greylisting war und ist es >> immer noch, nämlich eines der effektivsten Mittel gegen Spamming. >> > > So ein Quatsch. Spammer haben Greylisting schon seit Jahren adaptiert und > pumpen ihren SPAM auch bei 'nem 4XX nochmal in die Pipeline. Greylisting > kostete wohl Admin (Pflege von Whitelisten, weil Hoster sich nicht RFC > Konform verhalten) als auch fuer den Kunden (ewiges warten auf Mails, > weil sich > bei jedem Zustellungsversuch der Server aenderte) nervig und ineffizient. > Das mag ganz am Anfang 'ne nette Idee gewesen sein, aber seit Jahren bringt > Greylisting nichts als Aerger. > > Postscreen, policyd-Dienste, etc. sind die state-of-the-art Mittel gegen > SPAM. > > > Winni Naja, war es nicht so das postscreen mit postscreen_non_smtp_command_enable=yes auch bei einem erfolgreichem ersten Verbindungsversuch dennoch 450 4.3.2 Service currently unavailable sendet und postscreen_non_smtp_command_ttl =xd die zeit definiert wie lange postscreen sich diese IP merken soll? Im Prinzip ist das ja auch schon eine greylisting "Funktion", auch wenn der Sinn und Zweck ein anderer ist. Technisch gesehen passiert doch nichts anderes als: - Ich kenne dich nicht - Es ist dufte das du während des smtp dialog keinen scheiss redest - Dich merke ich mir, aber komm trotzdem später nochmal wieder. Das macht greylisting doch auch? Also gleicher Effekt passiert gegen diese "Hampel" mit immer wechselnde IP's als Relay benutzen. (Strato, google usw.) Sicherlich sind die Tage, wo Greylisting "wirklich" was genutzt hat gezählt, aber wie oben zu sehen, wenn ich den einliefernden "Patienten" auf Herz und Nieren Prüfen will komme ich beim ersten Anwahlversuch nicht drum herum ihn wieder weg zu schicken. (Das protokoll lässt aus meiner sicht keine andere option zu) Da ist postscreen doch die bessere Wahl als Pures Greylisting. Das greylisting ein effektives mittel ist halte ich auch eher für "oldschool". Gruß Robert From kai_postfix at fuerstenberg.ws Thu Jun 9 17:32:10 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Thu, 9 Jun 2016 17:32:10 +0200 Subject: Strato und Greylisting In-Reply-To: References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> Message-ID: Am 09.06.2016 um 16:33 schrieb Winfried Neessen: > Hi, > > Am 2016-06-09 16:27, schrieb ckubu: > >> Nur mal so, weil das hier so abgetan wird: Greylisting war und ist es >> immer noch, nämlich eines der effektivsten Mittel gegen Spamming. >> > > So ein Quatsch. Spammer haben Greylisting schon seit Jahren adaptiert > und > pumpen ihren SPAM auch bei 'nem 4XX nochmal in die Pipeline. Greylisting > kostete wohl Admin (Pflege von Whitelisten, weil Hoster sich nicht RFC > Konform verhalten) als auch fuer den Kunden (ewiges warten auf Mails, > weil sich > bei jedem Zustellungsversuch der Server aenderte) nervig und > ineffizient. > Das mag ganz am Anfang 'ne nette Idee gewesen sein, aber seit Jahren > bringt > Greylisting nichts als Aerger. > > Postscreen, policyd-Dienste, etc. sind die state-of-the-art Mittel gegen > SPAM. zunächst macht Postscreen nichts anderes als Greylisting auch: Erst mal ablehnen (neben ein paar anderen Sachen, die sonst z.B. policyd-weight macht). Ich selbst halte Greylisting für hervorragend. Es kommen auch heutzutage noch tagtäglich hunderte bis tausende Clients an, die es eben nicht noch mal versuchen. Hier spielt es aber auch keine Rolle, ob der 4xx nun durch Postscreen oder Greylisting-Skripte erzeugt wird. Ein 4er ist ein 4er und erzwingt im Fall von Strato eine neue Verbindung mit einer anderen IP. Was man tunlichst aber eher vermeiden sollte: beides gleichzeitig einsetzen. Wer Postscreen verwendet oder verwenden kann, sollte es (weiter) machen. Wer nicht, benutzt Greylisting. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From p.heinlein at heinlein-support.de Thu Jun 9 18:08:11 2016 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 9 Jun 2016 18:08:11 +0200 Subject: Strato und Greylisting In-Reply-To: References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> Message-ID: <5759946B.4060109@heinlein-support.de> On 09.06.2016 16:33, Winfried Neessen wrote: Hi, > So ein Quatsch. Spammer haben Greylisting schon seit Jahren adaptiert und > pumpen ihren SPAM auch bei 'nem 4XX nochmal in die Pipeline. Greylisting > kostete wohl Admin (Pflege von Whitelisten, weil Hoster sich nicht RFC > Konform verhalten) als auch fuer den Kunden (ewiges warten auf Mails, > weil sich > bei jedem Zustellungsversuch der Server aenderte) nervig und ineffizient. > Das mag ganz am Anfang 'ne nette Idee gewesen sein, aber seit Jahren bringt > Greylisting nichts als Aerger. alles in allem schütze/betreibe/verantworte ich mehrere Millionen Postfächer bei uns und Kunden. Je nachdem wie man rechnet sogar > 10 Mio User. Ich stelle fest: a) Wir blocken einen ganz erheblichen Teil von Spam und auch Viren sehr effektiv durch Greylisting b) In den letzten 12 Monaten gab es bei Kunden 2 oder 3 Changes in einer Whitelist, diese waren aber nur notwendig, weil der Zielprovider sehr klein war (< 10.000 User). Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From technoworx at gmx.de Thu Jun 9 18:43:26 2016 From: technoworx at gmx.de (Alexander Stoll) Date: Thu, 9 Jun 2016 18:43:26 +0200 Subject: Strato und Greylisting In-Reply-To: <57598386.4090809@t-online.de> References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> <57598386.4090809@t-online.de> Message-ID: Ich tue mich immer schwer mit Pauschalisierungen. Es gibt unterschiedlichste Anforderungsgemenge für ein Mailsystem. Was für den Einen eine essentielle Anforderung ist, juckt den Nächsten vielleicht nicht. Der kluge Admin kennt seinen "Werkzeugkasten" und stimmt die Wahl der Mittel auf die Erfordernisse ab und kontrolliert den Erfolg seiner Maßnahmen. Alles andere ist "Kaffesatzleserei" und unangebrachte Pauschalisierung. Es gibt sicher Tendenzen welche Mittel welchen Effekt haben, was mir dabei nicht gefällt und was ich in dieser Form für kontraproduktiv halte, ist die Extrapolation der eigenen Lösung auf alle anderen mit absolutem Anspruch. Wie man sieht, gibt es doch ganz unterschiedliche Stimmen zu der Thematik... Es lohnt sich also selbst zu bewerten, was für einen zum aktuellen Zeitpunkt passt, kann sich über die Zeit auch mal ändern... From max.grobecker at ml.grobecker.info Thu Jun 9 18:45:48 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Thu, 9 Jun 2016 18:45:48 +0200 Subject: Strato und Greylisting In-Reply-To: References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> Message-ID: <21915beb-5749-caf7-c49c-e2c8448a6dc3@grobecker.info> Hallo Kai, Am 09.06.2016 um 17:32 schrieb Kai Fürstenberg: > Hier spielt es aber auch keine Rolle, ob der 4xx nun durch Postscreen > oder Greylisting-Skripte erzeugt wird. Ein 4er ist ein 4er und erzwingt > im Fall von Strato eine neue Verbindung mit einer anderen IP. Zumindest für Postgrey gibt es den Startparameter "--lookup-by-subnet", was immer automatisch ein /24 durchlässt und was in den meisten Fällen das beschriebene Problem ganz gut verhindert. Unter Debian kann man das in /etc/default/postgrey festlegen. Ob das im Falle von IPv6 ein /64-Präfix hereinlässt, ist leider nicht überliefert. Viele Grüße aus dem Tal Max From mail at behrens.io Thu Jun 9 20:00:49 2016 From: mail at behrens.io (Boris Behrens) Date: Thu, 9 Jun 2016 20:00:49 +0200 Subject: Strato und Greylisting In-Reply-To: <21915beb-5749-caf7-c49c-e2c8448a6dc3@grobecker.info> References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> <21915beb-5749-caf7-c49c-e2c8448a6dc3@grobecker.info> Message-ID: Hi, was sind denn brauchbare Werte für das delay bei postgrey? Am Donnerstag, 9. Juni 2016 schrieb Max Grobecker : > Hallo Kai, > > > Am 09.06.2016 um 17:32 schrieb Kai Fürstenberg: > > > Hier spielt es aber auch keine Rolle, ob der 4xx nun durch Postscreen > > oder Greylisting-Skripte erzeugt wird. Ein 4er ist ein 4er und erzwingt > > im Fall von Strato eine neue Verbindung mit einer anderen IP. > > > Zumindest für Postgrey gibt es den Startparameter "--lookup-by-subnet", > was immer automatisch ein /24 durchlässt und > was in den meisten Fällen das beschriebene Problem ganz gut verhindert. > Unter Debian kann man das in /etc/default/postgrey festlegen. > Ob das im Falle von IPv6 ein /64-Präfix hereinlässt, ist leider nicht > überliefert. > > > Viele Grüße aus dem Tal > Max > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From stephan.hendl at landtag.brandenburg.de Fri Jun 10 08:35:42 2016 From: stephan.hendl at landtag.brandenburg.de (=?utf-8?Q?Hendl_Stephan?=) Date: Fri, 10 Jun 2016 08:35:42 +0200 Subject: AW: Strato und Greylisting In-Reply-To: References: <5757EECF.7040807@bakarasse.de> Message-ID: Hallo Boris, wir haben 300 Sekunden eingestellt (was glaube ich auch der default ist) und damit keine Probleme gehabt. Viele Grüße Stephan -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bjo at nord-west.org Fri Jun 10 10:25:52 2016 From: bjo at nord-west.org (Bjoern Franke) Date: Fri, 10 Jun 2016 10:25:52 +0200 Subject: SPF und GMX In-Reply-To: References: <3e4e7acb5a277c8e625c30305c745c6d@neessen.net> <574EC4FE.9090303@jpberlin.de> <05e88c54-33a0-f603-1630-7d3fb6cbc704@riscworks.net> <575121D0.3030603@heinlein-support.de> <20160603093540.6ec803fc.jra@byte.cx> <72773e49-cf16-7b0e-61bd-454d553f5691@gmx.de> <1465379540.3205.3.camel@nord-west.org> Message-ID: <1465547152.3340.1.camel@nord-west.org> Moin, um das zu beantworten, braucht man noch den "domain owner" > Was war den im betreffenden Beispiel der RFC5231.MailFrom? > > Das Problem war wohl, dass PHP-FPM mit einer unpassenden Adresse senden wollte, welche man aber nicht im Bounce sah. grüße Björn From daniel at ist-immer-online.de Sat Jun 11 11:01:58 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 11 Jun 2016 11:01:58 +0200 Subject: =?iso-8859-1?Q?Postfix_Regeln_f=FCr_Blizzard_und_EA?= Message-ID: <000501d1c3bf$e9372450$bba56cf0$@ist-immer-online.de> Huhu, wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA sich nicht für Meldungen zu falschen Hostnamen interessiert etc. Da ich aber paar User habe die gerne Spiele zocken, sollen die Mails halt durchkommen. Mit den 2 Regeln kommen Mails durch: 136.147.183.218 OK noreply at blizzard.com OK Jedoch möchte ich ungern auf Grund der Email Adresse ganze durchlassen, da evt. Fakemails so auch durchkommen würden. Auch eine IP kann sich ändern, oder mir eben einige nicht bekannt sein. Ich habe schon einiges Probiert um den nicht korrekten oder nicht existierenden Hostnamen zu erlauben: e.ea.com OK *. e.ea.com OK / ^.*\.e\.ea\.com/ OK / ^.*\.e\.ea\.com$/ OK / ^\.ea\.com$/ OK Leider wurden die Emails abgewiesen, selbe Spiel auch für customer.teliacarrier.com und wowadmin.net Log: postfix/smtpd[22713]: warning: hostname mta13.e.ea.com does not resolve to address 136.147.183.218: Name or service not known postfix/smtpd[22713]: connect from unknown[136.147.183.218] postfix/smtpd[22713]: Anonymous TLS connection established from unknown[136.147.183.218]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) postfix/smtpd[22713]: NOQUEUE: reject: RCPT from unknown[136.147.183.218]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[22713]: disconnect from unknown[136.147.183.218] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 postfix/smtpd[6236]: connect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] postfix/smtpd[6236]: Anonymous TLS connection established from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[6236]: NOQUEUE: reject: RCPT from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[6236]: disconnect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8 Hoffe einer von euch hat noch einen Tipp für mich, entsprechende Regel einzusetzen. Gruß Daniel From tech at kdmails.de Sat Jun 11 20:58:14 2016 From: tech at kdmails.de (Daniel Gompf) Date: Sat, 11 Jun 2016 20:58:14 +0200 Subject: =?UTF-8?Q?Re:_Postfix_Regeln_f=c3=bcr_Blizzard_und_EA?= In-Reply-To: <000501d1c3bf$e9372450$bba56cf0$@ist-immer-online.de> References: <000501d1c3bf$e9372450$bba56cf0$@ist-immer-online.de> Message-ID: <575C5F46.7010109@kdmails.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Daniel Am 11.06.2016 um 11:01 schrieb Daniel: > Huhu, > > wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA > sich nicht für Meldungen zu falschen Hostnamen interessiert etc. > > Da ich aber paar User habe die gerne Spiele zocken, sollen die > Mails halt durchkommen. > > Mit den 2 Regeln kommen Mails durch: 136.147.183.218 OK > noreply at blizzard.com OK vielleicht solltest du hier nicht gleich mit OK kommen. Du kannst auch andere "actions" definieren, hier der Abschnitt aus man access OTHER ACTIONS restriction... Apply the named UCE restriction(s) (permit,reject, reject_unauth_destination, and so on). mit einer Restriction Class und einem überschaubaren Empfängerkreis, könntest du dir dann solche Ausnahmen sehr gezielt zusammenbauen. Daniel -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXXF9GAAoJENuvw56q5FOiVNgH/A8WwRMS23tCkYL5XeU8GXYA mVtrKXNg49g7ps8umNvF+qvyOLji1pSMjJUWUwQfzLO1KfeDI0Uoea3NyugDlWl9 TiNdltn4Abxaa83R217wGRMX+3WNad4jUdpYt7OeCgu3HqPozDUlADGTvH2c4MV+ 0iWSAhgVGwF738qIzBACf6fl5oKiDGhTJgQWLmX3I/NJzEvACwWYWdAMSpN9k6h9 Gj9BPniwp3M7eAKRurTbzHbgiCCytLbKKqj4ciUpckHcmU2+9KhXFsCKb4CS9OrJ axbGYkgddTeldWOwBtLVjbTEUQyXPKXaQ2dAH0Q8DWuylV2Ab0wd1V6mySHBPiE= =JLLM -----END PGP SIGNATURE----- From bjo at nord-west.org Sat Jun 11 22:52:22 2016 From: bjo at nord-west.org (Bjoern Franke) Date: Sat, 11 Jun 2016 22:52:22 +0200 Subject: Mailman-Transport funktioniert bei manchen Absendern nicht Message-ID: <1465678342.5441.24.camel@nord-west.org> Moin, wir betreiben hier bei einem Projekt ein Postfix 2.11.3 in Verbindung mit Mailman 2.1.18 und postfixadmin. Seit ein paar Tagen tritt ein merkwürdiges Problem auf. Bei Mails beispielweise von Uberspace aus wird aus test at lists.ffnw.de test at srv01. ffnw.de (der Host heißt srv01.ffnw.de) und es gibt ein 550 zurück mit User unknown in local recipient table. Kommen die Mails dagegen z.B. von gmx, laufen diese problemlos durch. Bounce von Uberspace: Hi. This is the qmail-send program at bellatrix.uberspace.de. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out. : 37.120.176.207 does not like recipient. Remote host said: 550 5.1.1 : Recipient address rejected: User unknown in local recipient table Giving up on 37.120.176.207. postconf -n: alias_maps = $alias_database append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin $daemon_directory/$process_name $process_id & sleep 5 default_destination_concurrency_limit = 20 inet_interfaces = all inet_protocols = all local_destination_concurrency_limit = 2 local_transport = local mailbox_size_limit = 0 mailman_destination_recipient_limit = 1 message_size_limit = 52428800 milter_connect_macros = j {daemon_name} v {if_name} _ milter_default_action = accept mydestination = $myhostname, $mydomain, localhost.$myhostname, localhost.$mydomain, localhost mydomain = srv01.ffnw.de myhostname = srv01.ffnw.de mynetworks = 127.0.0.0/8 [::1], [2a01:4f8:101:3444::/64], 217.12.208.132,37.120.160.209 myorigin = /etc/mailname proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps recipient_delimiter = + relay_domains = lists.ffnw.de smtp_tls_note_starttls_offer = yes smtp_tls_security_level = may smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname smtpd_helo_required = yes smtpd_milters = inet:localhost:11444 inet:localhost:11111 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_recipient, check_policy_service inet:localhost:12626 smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_recipient smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_helo_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain smtpd_tls_cert_file = /etc/postfix/ffnw.de.crt smtpd_tls_key_file = /etc/postfix/ffnw.de.key smtpd_tls_received_header = yes smtpd_tls_security_level = may transport_maps = hash:/etc/postfix/transport virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf virtual_gid_maps = static:2000 virtual_mailbox_base = /var/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql- virtual_mailbox_domains.cf virtual_mailbox_limit = 0 virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:2000 /etc/postfix/transport beinhaltet: lists.ffnw.de mailman: Auf localhost:12626 läuft mtpolicyd, ansonsten als Milter rmilter/rspamd und opendkim. Mir erschließt sich nicht wirklich, woher bei manchen einliefernden Mailservern der Rewrite auf srv01.ffnw.de kommt. Grüße Bjoern -- xmpp bjo at schafweide.org From bjo at nord-west.org Sun Jun 12 14:01:22 2016 From: bjo at nord-west.org (Bjoern Franke) Date: Sun, 12 Jun 2016 14:01:22 +0200 Subject: Mailman-Transport funktioniert bei manchen Absendern nicht In-Reply-To: <1465678342.5441.24.camel@nord-west.org> References: <1465678342.5441.24.camel@nord-west.org> Message-ID: <1465732882.22573.3.camel@nord-west.org> Moin, > wir betreiben hier bei einem Projekt ein Postfix 2.11.3 in Verbindung > mit Mailman 2.1.18 und postfixadmin. > > Seit ein paar Tagen tritt ein merkwürdiges Problem auf. Bei Mails > beispielweise von Uberspace aus wird aus test at lists.ffnw.de test at srv0 > 1. > ffnw.de (der Host heißt srv01.ffnw.de) und es gibt ein 550 zurück > mit User unknown in local recipient table. Kommen die Mails dagegen > z.B. von gmx, laufen diese problemlos durch. > Problem gelöst, es lag an kaputten DNS. lists.ffnw.de hatte einen CNAME und zwei MX-Einträge, die MX-Einträge wurden von den NS aber nicht mehr ausgeliefert. Manche einliefernden Mailserver hielten sich an "If a CNAME record is found, the resulting name is processed as if it were the initial name." aus RFC 5321, andere (z.B. Postfix) nicht. Sorry for the noise! Bjoern -- xmpp bjo at schafweide.org From sebastian at debianfan.de Sun Jun 12 16:18:20 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 12 Jun 2016 16:18:20 +0200 Subject: =?UTF-8?Q?verschl=c3=bcsselter_Austausch_Server_<->_Server?= Message-ID: <575D6F2C.8020900@debianfan.de> Guten Tag allerseits, die postfix/dovecot/mysql Kombination läuft soweit dank der beiden Bücher & einiger Hinweise in der Dovecot-Liste :-) Ich kann Mails empfangen & senden - imap & smtp laufen über verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten versehen sind. Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen Mailservern erfolgt nicht verschlüsselt. Ich vermute mal dass hier der Fehler liegt: tls_ssl_options = NO_COMPRESSION tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA smtp_tls_security_level = may smtp_dns_support_level = dnssec smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_ciphers = high smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_security_level = may smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_tls_cert_file = /root/domains/postfix/domain.de.cert smtpd_tls_key_file = /root/domains/postfix/domain.de.key.priv gruß Sebastian From jost+lists at dimejo.at Sun Jun 12 16:41:24 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Sun, 12 Jun 2016 16:41:24 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <575D6F2C.8020900@debianfan.de> References: <575D6F2C.8020900@debianfan.de> Message-ID: <758bf2fb-b6fc-0d61-652c-211e76e8e1e2@dimejo.at> Am 12.06.2016 um 16:18 schrieb sebastian at debianfan.de: > Guten Tag allerseits, > > die postfix/dovecot/mysql Kombination läuft soweit dank der beiden > Bücher & einiger Hinweise in der Dovecot-Liste :-) > > Ich kann Mails empfangen & senden - imap & smtp laufen über > verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten > versehen sind. > > Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen > Mailservern erfolgt nicht verschlüsselt. Wird nie verschlüsselt, oder nur selten? -- Alex JOST From daniel at ist-immer-online.de Sun Jun 12 16:44:15 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 12 Jun 2016 16:44:15 +0200 Subject: =?UTF-8?Q?AW:_verschl=C3=BCsselter_Austausch_Se?= =?UTF-8?Q?rver_=3C-=3E_Server?= In-Reply-To: <575D6F2C.8020900@debianfan.de> References: <575D6F2C.8020900@debianfan.de> Message-ID: <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> Hi, die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen: tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand. smtp_dns_support_level = dnssec smtp_host_lookup = dns smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_fingerprint_digest = SHA256 smtp_tls_mandatory_ciphers= high smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = dane smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /pfad/dh4096.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_fingerprint_digest = SHA256 smtpd_tls_mandatory_ciphers= high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_security_level = may tls_daemon_random_bytes = 64 tls_preempt_cipherlist = yes tls_random_bytes = 64 tls_ssl_options = no_ticket, no_compression Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Sonntag, 12. Juni 2016 16:18 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: verschlüsselter Austausch Server <-> Server Guten Tag allerseits, die postfix/dovecot/mysql Kombination läuft soweit dank der beiden Bücher & einiger Hinweise in der Dovecot-Liste :-) Ich kann Mails empfangen & senden - imap & smtp laufen über verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten versehen sind. Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen Mailservern erfolgt nicht verschlüsselt. Ich vermute mal dass hier der Fehler liegt: tls_ssl_options = NO_COMPRESSION tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA smtp_tls_security_level = may smtp_dns_support_level = dnssec smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_ciphers = high smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_tls_security_level = may smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_tls_cert_file = /root/domains/postfix/domain.de.cert smtpd_tls_key_file = /root/domains/postfix/domain.de.key.priv gruß Sebastian From daniel at ist-immer-online.de Sun Jun 12 16:45:13 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 12 Jun 2016 16:45:13 +0200 Subject: =?iso-8859-1?Q?Postfix_Regeln_f=FCr_Blizzard_und_EA?= Message-ID: <000501d1c4b9$073babc0$15b30340$@ist-immer-online.de> Huhu, wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA sich nicht für Meldungen zu falschen Hostnamen interessiert etc. Da ich aber paar User habe die gerne Spiele zocken, sollen die Mails halt durchkommen. Mit den 2 Regeln kommen Mails durch: 136.147.183.218 OK noreply at blizzard.com OK Jedoch möchte ich ungern auf Grund der Email Adresse ganze durchlassen, da evt. Fakemails so auch durchkommen würden. Auch eine IP kann sich ändern, oder mir eben einige nicht bekannt sein. Ich habe schon einiges Probiert um den nicht korrekten oder nicht existierenden Hostnamen zu erlauben: e.ea.com OK *. e.ea.com OK / ^.*\.e\.ea\.com/ OK / ^.*\.e\.ea\.com$/ OK / ^\.ea\.com$/ OK Leider wurden die Emails abgewiesen, selbe Spiel auch für customer.teliacarrier.com und wowadmin.net Log: postfix/smtpd[22713]: warning: hostname mta13.e.ea.com does not resolve to address 136.147.183.218: Name or service not known postfix/smtpd[22713]: connect from unknown[136.147.183.218] postfix/smtpd[22713]: Anonymous TLS connection established from unknown[136.147.183.218]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) postfix/smtpd[22713]: NOQUEUE: reject: RCPT from unknown[136.147.183.218]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[22713]: disconnect from unknown[136.147.183.218] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 postfix/smtpd[6236]: connect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] postfix/smtpd[6236]: Anonymous TLS connection established from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[6236]: NOQUEUE: reject: RCPT from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[6236]: disconnect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8 Hoffe einer von euch hat noch einen Tipp für mich, entsprechende Regel einzusetzen. Gruß Daniel From sebastian at debianfan.de Sun Jun 12 17:19:44 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 12 Jun 2016 17:19:44 +0200 Subject: =?utf-8?Q?Re:_verschl=C3=BCsselter_Austausch_Server_<->_Server?= In-Reply-To: <758bf2fb-b6fc-0d61-652c-211e76e8e1e2@dimejo.at> References: <575D6F2C.8020900@debianfan.de> <758bf2fb-b6fc-0d61-652c-211e76e8e1e2@dimejo.at> Message-ID: Nie > Am 12.06.2016 um 16:41 schrieb Alex JOST : > >> Am 12.06.2016 um 16:18 schrieb sebastian at debianfan.de: >> Guten Tag allerseits, >> >> die postfix/dovecot/mysql Kombination läuft soweit dank der beiden >> Bücher & einiger Hinweise in der Dovecot-Liste :-) >> >> Ich kann Mails empfangen & senden - imap & smtp laufen über >> verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten >> versehen sind. >> >> Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen >> Mailservern erfolgt nicht verschlüsselt. > > Wird nie verschlüsselt, oder nur selten? > > -- > Alex JOST From sebastian at debianfan.de Sun Jun 12 21:52:19 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 12 Jun 2016 21:52:19 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> References: <575D6F2C.8020900@debianfan.de> <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> Message-ID: <575DBD73.5030500@debianfan.de> Deine Einstellungen habe ich eingebaut - aber er nutzt trotzdem keine verschlüsselten Verbindungen Am 12.06.2016 um 16:44 schrieb Daniel: > Hi, > > die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen: > tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK > > Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem > > Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand. > > smtp_dns_support_level = dnssec > smtp_host_lookup = dns > smtp_tls_ciphers = high > smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtp_tls_fingerprint_digest = SHA256 > smtp_tls_mandatory_ciphers= high > smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtp_tls_note_starttls_offer = yes > smtp_tls_protocols = !SSLv2, !SSLv3 > smtp_tls_security_level = dane > > smtpd_tls_ciphers = high > smtpd_tls_dh1024_param_file = /pfad/dh4096.pem > smtpd_tls_eecdh_grade = strong > smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtpd_tls_fingerprint_digest = SHA256 > smtpd_tls_mandatory_ciphers= high > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtpd_tls_protocols = !SSLv2,!SSLv3 > smtpd_tls_security_level = may > > tls_daemon_random_bytes = 64 > tls_preempt_cipherlist = yes > tls_random_bytes = 64 > tls_ssl_options = no_ticket, no_compression > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de > Gesendet: Sonntag, 12. Juni 2016 16:18 > An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. > Betreff: verschlüsselter Austausch Server <-> Server > > Guten Tag allerseits, > > die postfix/dovecot/mysql Kombination läuft soweit dank der beiden > Bücher & einiger Hinweise in der Dovecot-Liste :-) > > Ich kann Mails empfangen & senden - imap & smtp laufen über > verschlüsselte Verbindungen welche auch mit gültigen Zertifikaten > versehen sind. > > Jetzt gibts nur das Problem: Der Austausch von Mails mit anderen > Mailservern erfolgt nicht verschlüsselt. > > Ich vermute mal dass hier der Fehler liegt: > > tls_ssl_options = NO_COMPRESSION > tls_high_cipherlist = > EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA > > > smtp_tls_security_level = may > smtp_dns_support_level = dnssec > smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtp_tls_protocols = !SSLv2, !SSLv3 > smtp_tls_ciphers = high > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt > > > > smtpd_tls_security_level = may > smtpd_tls_protocols = !SSLv2, !SSLv3 > smtpd_tls_ciphers = high > smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem > smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > > smtpd_tls_cert_file = /root/domains/postfix/domain.de.cert > smtpd_tls_key_file = /root/domains/postfix/domain.de.key.priv > > > > gruß > Sebastian > > From max.grobecker at ml.grobecker.info Mon Jun 13 11:24:30 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Mon, 13 Jun 2016 11:24:30 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <575DBD73.5030500@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> <575DBD73.5030500@debianfan.de> Message-ID: <6238300b-24d9-85d8-6261-2ac7d15429ae@ml.grobecker.info> Hi, hast du mal ein profanes smtp_use_tls=yes hinzugefügt? Viele Grüße aus dem Tal Max Am 12.06.2016 um 21:52 schrieb sebastian at debianfan.de: > Deine Einstellungen habe ich eingebaut - aber er nutzt trotzdem keine verschlüsselten Verbindungen > >> smtp_dns_support_level = dnssec >> smtp_host_lookup = dns >> smtp_tls_ciphers = high >> smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >> smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >> smtp_tls_fingerprint_digest = SHA256 >> smtp_tls_mandatory_ciphers= high >> smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 >> smtp_tls_note_starttls_offer = yes >> smtp_tls_protocols = !SSLv2, !SSLv3 >> smtp_tls_security_level = dane >> >> smtpd_tls_ciphers = high >> smtpd_tls_dh1024_param_file = /pfad/dh4096.pem >> smtpd_tls_eecdh_grade = strong >> smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >> smtpd_tls_fingerprint_digest = SHA256 >> smtpd_tls_mandatory_ciphers= high >> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 >> smtpd_tls_protocols = !SSLv2,!SSLv3 >> smtpd_tls_security_level = may >> >> tls_daemon_random_bytes = 64 >> tls_preempt_cipherlist = yes >> tls_random_bytes = 64 >> tls_ssl_options = no_ticket, no_compression -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From sebastian at debianfan.de Tue Jun 14 06:42:39 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 14 Jun 2016 06:42:39 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <6238300b-24d9-85d8-6261-2ac7d15429ae@ml.grobecker.info> References: <575D6F2C.8020900@debianfan.de> <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> <575DBD73.5030500@debianfan.de> <6238300b-24d9-85d8-6261-2ac7d15429ae@ml.grobecker.info> Message-ID: <575F8B3F.8000902@debianfan.de> Klar ;-) Ich wurde darauf hingewiesen, dass ich das Zertifikat für domain.de bekommen habe, ich aber mail.domain.de haben wollte. Also habe ich für *.domain.de nochmal ein Zertifikat beantragt und eingebaut. Thunderbird mäkelt beim IMAP nur herum, wenn ich domain.de als IMAP-Server angebe - bei imap.domain.de gehts problemlos. Das Wildcard-Zertifikat scheint also in Ordnung zu sein. Aber Postfix verhält sich jetzt anders - jetzt sagt er: Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: cannot get RSA private key from file /root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv: disabling TLS support Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: Ich habe das Zertifikat geprüft: # openssl rsa -in domain.de.key.priv -check -noout RSA key ok In der main.cf steht: smtpd_tls_cert_file = domain.de.pfx smtpd_tls_key_file = domain.de.key.priv smtp_tls_cert_file = domain.de.pfx smtp_tls_key_file = domain.de.key.priv domain.de.key.priv ist mein privater Key (dort steht auch drin "BEGIN RSA PRIVATE KEY) und in die domain.de.pfx ist eine Kombination aus Intermediate Zertifikat und der Datei die von Startssl signiert zurückgekommen ist. gruß Sebastian Am 13.06.2016 um 11:24 schrieb Max Grobecker: > Hi, > > hast du mal ein profanes > > smtp_use_tls=yes > > hinzugefügt? > > > Viele Grüße aus dem Tal > Max > From postfixbuch-users at 0xaffe.de Tue Jun 14 06:51:53 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 14 Jun 2016 06:51:53 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <575F8B3F.8000902@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> <575DBD73.5030500@debianfan.de> <6238300b-24d9-85d8-6261-2ac7d15429ae@ml.grobecker.info> <575F8B3F.8000902@debianfan.de> Message-ID: <575F8D69.2080705@0xaffe.de> Hallo Sebastian, Am 14.06.16 um 06:42 schrieb sebastian at debianfan.de: > Aber Postfix verhält sich jetzt anders - jetzt sagt er: > > Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: cannot get RSA > private key from file > /root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv: disabling > TLS support > Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: TLS library > problem: error:0B080074:x509 certificate > routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: Prüfe mal bitte die Zugriffsrechte auf die Datei /root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv sowie der Verzeichnisse darüber und Deine chroot-Einstellungen für smtpd. BTW: /root/... ist ein ungewöhnlicher Ort für Konfigurationsdateien, normalerweise liegen solche Dateien unter /etc/ssl/private ö.ä. Viele Grüße, Mathias. From jra at byte.cx Tue Jun 14 07:12:41 2016 From: jra at byte.cx (Jens Adam) Date: Tue, 14 Jun 2016 07:12:41 +0200 Subject: =?UTF-8?B?dmVyc2NobMO8c3NlbHRlcg==?= Austausch Server <-> Server In-Reply-To: <575D6F2C.8020900@debianfan.de> References: <575D6F2C.8020900@debianfan.de> Message-ID: <20160614071241.3523cec0.jra@byte.cx> Guten Morgen allerseits. Mal ganz blöd gefragt: Wieso sind wir hier nun bei der neunten Mail im Thread, ohne eine Spur von a) postconf -n b) und relevanten Dateiauszügen, z.B. /etc/postfix/sql/tls-policy.cf c) Logs, und zwar mindestens zu TLS-Connections eingehend, ausgehend, und sonstiges ... Aber die letzte Mail mit "disabling TLS support" war ja schon ziemlich eindeutig, herzlichen Glückwunsch. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Ralf.Eichler at dfkdw.org Tue Jun 14 06:56:33 2016 From: Ralf.Eichler at dfkdw.org (Ralf Eichler) Date: Tue, 14 Jun 2016 04:56:33 +0000 Subject: =?utf-8?B?QVc6IHZlcnNjaGzDvHNzZWx0ZXIgQXVzdGF1c2NoIFNlcnZlciA8LT4gU2Vy?= =?utf-8?Q?ver?= In-Reply-To: <575F8B3F.8000902@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> <575DBD73.5030500@debianfan.de> <6238300b-24d9-85d8-6261-2ac7d15429ae@ml.grobecker.info> <575F8B3F.8000902@debianfan.de> Message-ID: Hallo Sebastian, wäre es möglich, dass es am .pfx hängt? Im TLS_Readme [1] finde ich auf die schnelle keine Empfehlung, intermediate-zertifikate wie von dir beschrieben auszuliefern. Damit dem Zertifikat vertraut wird, scheint smtp[d]_tls_CAPath verwendet zu werden. Schuss ins Blaue: domain.de.pfx so anpassen, dass nur "dein" Zertifikat enthalten ist. Grüße, Ralf [1] http://www.postfix.org/TLS_README.html -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Dienstag, 14. Juni 2016 06:43 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: verschlüsselter Austausch Server <-> Server Klar ;-) Ich wurde darauf hingewiesen, dass ich das Zertifikat für domain.de bekommen habe, ich aber mail.domain.de haben wollte. Also habe ich für *.domain.de nochmal ein Zertifikat beantragt und eingebaut. Thunderbird mäkelt beim IMAP nur herum, wenn ich domain.de als IMAP-Server angebe - bei imap.domain.de gehts problemlos. Das Wildcard-Zertifikat scheint also in Ordnung zu sein. Aber Postfix verhält sich jetzt anders - jetzt sagt er: Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: cannot get RSA private key from file /root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv: disabling TLS support Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: Ich habe das Zertifikat geprüft: # openssl rsa -in domain.de.key.priv -check -noout RSA key ok In der main.cf steht: smtpd_tls_cert_file = domain.de.pfx smtpd_tls_key_file = domain.de.key.priv smtp_tls_cert_file = domain.de.pfx smtp_tls_key_file = domain.de.key.priv domain.de.key.priv ist mein privater Key (dort steht auch drin "BEGIN RSA PRIVATE KEY) und in die domain.de.pfx ist eine Kombination aus Intermediate Zertifikat und der Datei die von Startssl signiert zurückgekommen ist. gruß Sebastian Am 13.06.2016 um 11:24 schrieb Max Grobecker: > Hi, > > hast du mal ein profanes > > smtp_use_tls=yes > > hinzugefügt? > > > Viele Grüße aus dem Tal > Max > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5892 bytes Beschreibung: nicht verfügbar URL : From thomasitcom at gmail.com Tue Jun 14 08:10:51 2016 From: thomasitcom at gmail.com (Thomas) Date: Tue, 14 Jun 2016 08:10:51 +0200 Subject: Email maximale und empfohlene Anzahl oder =?UTF-8?B?TMOkbmdl?= an Zeichen eines Email Subjects UTF-8 codiert Message-ID: <1781123.BaOJNOBdqU@tmprod1> Hallo, noch mal zum Subject. Was sollte/kann die max. Länge eines Subjects sein. Ich habe das dazu gefunden, weiß aber nicht ob das auch für das Subject gilt. https://tools.ietf.org/html/rfc5322#section-2.1.1 "...998 characters, and SHOULD be no more than 78 characters.." Gruss Thomas From zierke at informatik.uni-hamburg.de Tue Jun 14 08:14:42 2016 From: zierke at informatik.uni-hamburg.de (Reinhard Zierke) Date: Tue, 14 Jun 2016 08:14:42 +0200 Subject: Email maximale und =?utf-8?Q?empfohlen?= =?utf-8?Q?e_Anzahl_oder_L=C3=A4ng?= =?utf-8?Q?e?= an Zeichen eines Email Subjects UTF-8 codiert In-Reply-To: <1781123.BaOJNOBdqU@tmprod1> References: <1781123.BaOJNOBdqU@tmprod1> Message-ID: <20160614061442.GA6868@informatik.uni-hamburg.de> On Tue, Jun 14, 2016 at 08:10:51AM +0200, Thomas wrote: > Was sollte/kann die max. Länge eines Subjects sein. Ich habe das dazu > gefunden, weiß aber nicht ob das auch für das Subject gilt. > https://tools.ietf.org/html/rfc5322#section-2.1.1 > "...998 characters, and SHOULD be no more than 78 characters.." Siehe ein bisschen weiter im Abschnitt 2.2.3 Long Header Fields Gruß, Reinhard -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5037 bytes Beschreibung: nicht verfügbar URL : From max at freecards.de Tue Jun 14 08:51:17 2016 From: max at freecards.de (Markus Heinze) Date: Tue, 14 Jun 2016 08:51:17 +0200 Subject: AW: =?UTF-8?Q?verschl=C3=BCsselter=20Austausch=20Server=20=3C?= =?UTF-8?Q?-=3E=20Server?= In-Reply-To: References: <575D6F2C.8020900@debianfan.de> <000301d1c4b8$e47a9380$ad6fba80$@ist-immer-online.de> <575DBD73.5030500@debianfan.de> <6238300b-24d9-85d8-6261-2ac7d15429ae@ml.grobecker.info> <575F8B3F.8000902@debianfan.de> Message-ID: Moin moin, Am 2016-06-14 6:56, schrieb Ralf Eichler: > Hallo Sebastian, > > wäre es möglich, dass es am .pfx hängt? > Im TLS_Readme [1] finde ich auf die schnelle keine Empfehlung, > intermediate-zertifikate wie von dir beschrieben auszuliefern. > Damit dem Zertifikat vertraut wird, scheint smtp[d]_tls_CAPath > verwendet zu werden. > > Schuss ins Blaue: domain.de.pfx so anpassen, dass nur "dein" > Zertifikat enthalten ist. > > Grüße, > Ralf > > [1] http://www.postfix.org/TLS_README.html > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > sebastian at debianfan.de > Gesendet: Dienstag, 14. Juni 2016 06:43 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: verschlüsselter Austausch Server <-> Server > > Klar ;-) > > Ich wurde darauf hingewiesen, dass ich das Zertifikat für domain.de > bekommen habe, ich aber mail.domain.de haben wollte. > > Also habe ich für *.domain.de nochmal ein Zertifikat beantragt und > eingebaut. > > Thunderbird mäkelt beim IMAP nur herum, wenn ich domain.de als > IMAP-Server angebe - bei imap.domain.de gehts problemlos. > > Das Wildcard-Zertifikat scheint also in Ordnung zu sein. > > Aber Postfix verhält sich jetzt anders - jetzt sagt er: > > Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: cannot get RSA > private key from file > /root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv: disabling > TLS support Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: TLS > library > problem: error:0B080074:x509 certificate > routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: > > Ich habe das Zertifikat geprüft: > > # openssl rsa -in domain.de.key.priv -check -noout RSA key ok > > In der main.cf steht: > > smtpd_tls_cert_file = domain.de.pfx > smtpd_tls_key_file = domain.de.key.priv > > smtp_tls_cert_file = domain.de.pfx > smtp_tls_key_file = domain.de.key.priv > > domain.de.key.priv ist mein privater Key (dort steht auch drin "BEGIN > RSA PRIVATE KEY) und in die domain.de.pfx ist eine Kombination aus > Intermediate Zertifikat und der Datei die von Startssl signiert > zurückgekommen ist. > Also mir ist nicht bekannt das *ix Dienste PFX Dateien per default unterstützen, da dies idR ein Klumpen aus Cert, Key und Cert Chain ist. Meine Empfehlung wäre den Key aus der PFX mit openssl zu extrahieren sowie das Cert und dessen Chain Certs, Key als x509 ablegen sowie alle Certs ein einem File x509 Base64 encodiert ablegen, natürlich ohne Passwort sondern mit passenden File Rechten und dann klappts auch mit dem TLS. Btw. wenn ich mich recht entsinne stand in der Konfig noch SSLv3 in der Chipherlist, raus damit bzw. ! davor. > > gruß > Sebastian > > lg max > Am 13.06.2016 um 11:24 schrieb Max Grobecker: >> Hi, >> >> hast du mal ein profanes >> >> smtp_use_tls=yes >> >> hinzugefügt? >> >> >> Viele Grüße aus dem Tal >> Max >> From alex at bakarasse.de Tue Jun 14 12:09:44 2016 From: alex at bakarasse.de (Alex) Date: Tue, 14 Jun 2016 12:09:44 +0200 Subject: Strato und Greylisting In-Reply-To: <21915beb-5749-caf7-c49c-e2c8448a6dc3@grobecker.info> References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> <21915beb-5749-caf7-c49c-e2c8448a6dc3@grobecker.info> Message-ID: <575FD7E8.4090902@bakarasse.de> Am 09.06.2016 um 18:45 schrieb Max Grobecker: > > Zumindest für Postgrey gibt es den Startparameter "--lookup-by-subnet", was immer automatisch ein /24 durchlässt und > was in den meisten Fällen das beschriebene Problem ganz gut verhindert. > Unter Debian kann man das in /etc/default/postgrey festlegen. > Ob das im Falle von IPv6 ein /64-Präfix hereinlässt, ist leider nicht überliefert. > > Hallo, zu diesem Thema ist folgendes mitzuteilen: 1. Greylisting: Ist wirksam. Wir sind ein öffentliches Rechenzentrum für mehr als ein Dutzend Städte. Die Schutzmaßnahmen und die Schutzwerkzeuge (auch Greylisting) sind bewusst eingesetzt. Wir können und wollen diese als "das Lästige" nicht einfach abschalten. 2. Strato: Die queue_lifetime bei Strato-Servern beträgt bei 4xx Rejects 30 Minuten. Danach bekommt der Absender (mein Kollege, der Strato-Kunde ist) einen bounce. Mit etwas mehr Zeit hätte der Server größere Chance eine seiner 12 IP-Adressen zweites mal zu erwischen. Bei Simulation eines Ausfalls unserer Server mit iptables erzeugt der Strato-Server eine "Delayed Mail"-Warnung mit der Info, dass er noch maximal 1 Tag die Zustellungsversuche wiederholen wird. 3. Postgrey: Die option --lookup-by-subnet ist als default aktiv. Funktioniert leider nur mit IPv4. Die gleiche Funktionalität für IPv6 ist ab 1.9.2015 in der Postgrey-Version 1.36 implementiert. Wir haben jetzt ein Debian-Paket mit der Version 1.36 gebaut und auf unseren Servern installiert. Läuft mit den Optionen --lookup-by-subnet --ipv4cidr=24 --ipv6cidr=80. Die Strato-Server mit ihren 12 IPv6-Adressen werden jetzt mit "triplet found" durchgelassen. Also wer Postgrey mit IPv6 einsetzt sollte die Version 1.36 nehmen. Gruß, Alex From sebastian at debianfan.de Tue Jun 14 21:45:58 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 14 Jun 2016 21:45:58 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <20160614071241.3523cec0.jra@byte.cx> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> Message-ID: <57605EF6.1060902@debianfan.de> Moin zusammen, postconf -n: append_dot_mydomain = no biff = no bounce_queue_lifetime = 1h config_directory = /etc/postfix inet_interfaces = all local_recipient_maps = $virtual_mailbox_maps mailbox_size_limit = 0 maximal_backoff_time = 15m maximal_queue_lifetime = 1h message_size_limit = 52428800 minimal_backoff_time = 5m myhostname = mail.xn--deiner-dta.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access postscreen_blacklist_action = drop postscreen_dnsbl_action = drop postscreen_dnsbl_sites = dnsbl.sorbs.net*1, bl.spamcop.net*1, ix.dnsbl.manitu.net*2, zen.spamhaus.org*2 postscreen_dnsbl_threshold = 2 postscreen_greet_action = drop queue_run_delay = 5m recipient_delimiter = + smtp_host_lookup = dns smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_CApath = /etc/ssl/certs/ smtp_tls_cert_file = /etc/ssl/certs/xn--deiner-dta.de.cert smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_fingerprint_digest = SHA256 smtp_tls_key_file = /etc/ssl/private/xn--deiner-dta.de.key.priv smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = may smtp_use_tls = yes smtpd_client_restrictions = permit_mynetworks check_client_access hash:/etc/postfix/without_ptr reject_unknown_client_hostname smtpd_data_restrictions = reject_unauth_pipelining smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname smtpd_recipient_restrictions = check_recipient_access mysql:/etc/postfix/sql/recipient-access.cf smtpd_relay_restrictions = reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks reject_unauth_destination smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/xn--deiner-dta.de.cert smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_fingerprint_digest = SHA256 smtpd_tls_key_file = /etc/ssl/private/xn--deiner-dta.de.key.priv smtpd_tls_loglevel = 2 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_security_level = may smtpd_use_tls = yes tls_daemon_random_bytes = 64 tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK tls_preempt_cipherlist = yes tls_random_bytes = 64 tls_ssl_options = no_ticket, no_compression virtual_alias_maps = mysql:/etc/postfix/sql/aliases.cf virtual_mailbox_domains = mysql:/etc/postfix/sql/domains.cf virtual_mailbox_maps = mysql:/etc/postfix/sql/accounts.cf virtual_transport = lmtp:unix:private/dovecot-lmtp master.cf: smtp inet n - n - 1 postscreen -o smtpd_sasl_auth_enable=no smtpd pass - - n - - smtpd -o smtpd_sasl_auth_enable=no dnsblog unix - - n - 0 dnsblog tlsproxy unix - - n - 0 tlsproxy submission inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth -o smtpd_sasl_security_options=noanonymous -o smtpd_relay_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_sender_login_maps=mysql:/etc/postfix/sql/sender-login-maps.cf -o smtpd_sender_restrictions=permit_mynetworks,reject_non_fqdn_sender,reject_sender_login_mismatch,permit_sasl_authenticated,reject -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_helo_required=no -o smtpd_helo_restrictions= -o milter_macro_daemon_name=ORIGINATING -o cleanup_service_name=submission-header-cleanup pickup unix n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache submission-header-cleanup unix n - n - 0 cleanup -o header_checks=regexp:/etc/postfix/submission_header_cleanup mail.log: Jun 14 21:29:11 debian postfix/postscreen[1352]: CONNECT from [83.149.68.26]:48803 to [91.143.93.143]:25 Jun 14 21:29:11 debian postfix/postscreen[1352]: PASS OLD [83.149.68.26]:48803 Jun 14 21:29:11 debian postfix/smtpd[1353]: initializing the server-side TLS engine Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: disabling TLS support Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library problem: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: Jun 14 21:29:11 debian postfix/smtpd[1353]: connect from mf01.wk-serv.net[83.149.68.26] Jun 14 21:29:11 debian postfix/smtpd[1353]: 5BD8CC0F14: client=mf01.wk-serv.net[83.149.68.26] Jun 14 21:29:11 debian postfix/cleanup[1359]: 5BD8CC0F14: message-id=<57605B09.1060404 at debianfan.de> Jun 14 21:29:11 debian postfix/qmgr[1337]: 5BD8CC0F14: from=, size=965, nrcpt=1 (queue active) Jun 14 21:29:11 debian postfix/smtpd[1353]: disconnect from mf01.wk-serv.net[83.149.68.26] Jun 14 21:29:11 debian postfix/lmtp[1361]: 5BD8CC0F14: to=, relay=mail.xn--deiner-dta.de[private/dovecot-lmtp], delay=0.08, delays=0.06/0.01/0/0.01, dsn=2.0.0, status=sent (250 2.0.0 QSGoAdRaYFevBAAAzzfKSg Saved) Jun 14 21:29:11 debian postfix/qmgr[1337]: 5BD8CC0F14: removed Die Datei xn--deiner-dta.de.key.priv fängt an mit: -----BEGIN RSA PRIVATE KEY----- Die Ausführung des Kommandos: # openssl rsa -in /etc/ssl/private/xn--deiner-dta.de.key.priv -check -noout sagt: RSA key ok Die Rechte der Datei sind auch i.O. Die Datei /etc/ssl/certs/xn--deiner-dta.de.cert besteht aus dem von Startssl signierten Zertifikat und dem Intermediate Class 2 Zertifikat von Startssl. gruß Sebastian Am 14.06.2016 um 07:12 schrieb Jens Adam: > Guten Morgen allerseits. > From wn at neessen.net Tue Jun 14 22:09:12 2016 From: wn at neessen.net (Winfried Neessen) Date: Tue, 14 Jun 2016 22:09:12 +0200 Subject: =?utf-8?Q?Re=3A_verschl=C3=BCsselter_Austausch_Server_=3C-=3E_Se?= =?utf-8?Q?rver?= In-Reply-To: <57605EF6.1060902@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> Message-ID: Hi, Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: > myhostname = mail.xn--deiner-dta.de Trying 91.143.93.143... Connected to mail.xn--deiner-dta.de. Escape character is '^]'. 220-mail.xn--deiner-dta.de ESMTP Postfix EHLO mail.neessen.net 521 5.5.1 Protocol error Connection closed by foreign host. Irgendwas scheint da nicht zu stimmen. Auf 587 kann ich ein HELO oder EHLO senden, aber auf dem Port wird halt kein normaler Mailserver mit Deinem Server reden. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From torben at dannhauer.info Tue Jun 14 22:08:59 2016 From: torben at dannhauer.info (Torben Dannhauer) Date: Tue, 14 Jun 2016 22:08:59 +0200 Subject: AW: Strato und Greylisting In-Reply-To: <575FD7E8.4090902@bakarasse.de> References: <5757EECF.7040807@bakarasse.de> <57597CD7.9@so36.net> <21915beb-5749-caf7-c49c-e2c8448a6dc3@grobecker.info> <575FD7E8.4090902@bakarasse.de> Message-ID: <042101d1c678$a36a1a70$ea3e4f50$@dannhauer.info> Hi Alex, danke für die detaillierten Erläuterungen. Ich habe den Maintainern des Debian Paketes gemailt, mit der Bitte, das Paket auf 1.36 zu aktualisieren. Gruß, Torben -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Alex Gesendet: Dienstag, 14. Juni 2016 12:10 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Strato und Greylisting Am 09.06.2016 um 18:45 schrieb Max Grobecker: > > Zumindest für Postgrey gibt es den Startparameter > "--lookup-by-subnet", was immer automatisch ein /24 durchlässt und was in den meisten Fällen das beschriebene Problem ganz gut verhindert. > Unter Debian kann man das in /etc/default/postgrey festlegen. > Ob das im Falle von IPv6 ein /64-Präfix hereinlässt, ist leider nicht überliefert. > > Hallo, zu diesem Thema ist folgendes mitzuteilen: 1. Greylisting: Ist wirksam. Wir sind ein öffentliches Rechenzentrum für mehr als ein Dutzend Städte. Die Schutzmaßnahmen und die Schutzwerkzeuge (auch Greylisting) sind bewusst eingesetzt. Wir können und wollen diese als "das Lästige" nicht einfach abschalten. 2. Strato: Die queue_lifetime bei Strato-Servern beträgt bei 4xx Rejects 30 Minuten. Danach bekommt der Absender (mein Kollege, der Strato-Kunde ist) einen bounce. Mit etwas mehr Zeit hätte der Server größere Chance eine seiner 12 IP-Adressen zweites mal zu erwischen. Bei Simulation eines Ausfalls unserer Server mit iptables erzeugt der Strato-Server eine "Delayed Mail"-Warnung mit der Info, dass er noch maximal 1 Tag die Zustellungsversuche wiederholen wird. 3. Postgrey: Die option --lookup-by-subnet ist als default aktiv. Funktioniert leider nur mit IPv4. Die gleiche Funktionalität für IPv6 ist ab 1.9.2015 in der Postgrey-Version 1.36 implementiert. Wir haben jetzt ein Debian-Paket mit der Version 1.36 gebaut und auf unseren Servern installiert. Läuft mit den Optionen --lookup-by-subnet --ipv4cidr=24 --ipv6cidr=80. Die Strato-Server mit ihren 12 IPv6-Adressen werden jetzt mit "triplet found" durchgelassen. Also wer Postgrey mit IPv6 einsetzt sollte die Version 1.36 nehmen. Gruß, Alex From mailinglisten at pothe.de Tue Jun 14 22:21:18 2016 From: mailinglisten at pothe.de (Andreas Pothe) Date: Tue, 14 Jun 2016 22:21:18 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <57605EF6.1060902@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> Message-ID: <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> Hallo, Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: > Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA > private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: > disabling TLS support > Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library > problem: error:0B080074:x509 certificate > routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: Das dürfte der Fehler sein! From sebastian at debianfan.de Tue Jun 14 22:29:40 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 14 Jun 2016 22:29:40 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> Message-ID: <57606934.30001@debianfan.de> Dovecot akzeptiert aber für imaps die Zertifikate ohne Probleme. Ist Verschlüsselung bei Dovecot etwas anderes als Verschlüsselung bei Postfix ? Am 14.06.2016 um 22:21 schrieb Andreas Pothe: > Hallo, > > > Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: >> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA >> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: >> disabling TLS support >> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library >> problem: error:0B080074:x509 certificate >> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: > > Das dürfte der Fehler sein! > From mailinglisten at pothe.de Tue Jun 14 22:32:17 2016 From: mailinglisten at pothe.de (Andreas Pothe) Date: Tue, 14 Jun 2016 22:32:17 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <57606934.30001@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606934.30001@debianfan.de> Message-ID: <8c85634c-0e62-12a1-6d65-05654f18f236@pothe.de> Am 14.06.2016 um 22:29 schrieb sebastian at debianfan.de: > Dovecot akzeptiert aber für imaps die Zertifikate ohne Probleme. > > Ist Verschlüsselung bei Dovecot etwas anderes als Verschlüsselung bei > Postfix ? Nicht wirklich. Überprüfe mal, ob Postfix auch auf die richtigen Dateien zugreift/zugreifen kann. chroot als Stichwort. From sebastian at debianfan.de Tue Jun 14 22:37:24 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 14 Jun 2016 22:37:24 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <8c85634c-0e62-12a1-6d65-05654f18f236@pothe.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606934.30001@debianfan.de> <8c85634c-0e62-12a1-6d65-05654f18f236@pothe.de> Message-ID: <57606B04.9020703@debianfan.de> kein chroot - master.cf war in einer vorherigen Mail drin Am 14.06.2016 um 22:32 schrieb Andreas Pothe: > > > Am 14.06.2016 um 22:29 schrieb sebastian at debianfan.de: >> Dovecot akzeptiert aber für imaps die Zertifikate ohne Probleme. >> >> Ist Verschlüsselung bei Dovecot etwas anderes als Verschlüsselung bei >> Postfix ? > > Nicht wirklich. Überprüfe mal, ob Postfix auch auf die richtigen Dateien > zugreift/zugreifen kann. chroot als Stichwort. > From sebastian at debianfan.de Tue Jun 14 22:58:33 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 14 Jun 2016 22:58:33 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> Message-ID: <57606FF9.7050603@debianfan.de> Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum: SSL3 alert read:fatal:bad certificate Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird? Ich bin wie folgt vorgegangen: openssl genrsa -out domainname-private-ssl.key 4096 openssl req -new -key domainname-private-ssl.key -out domainname.csr ---> hier als Domainnamen *.domain.de angegeben --> den CSR bei StartSSL eingereicht die OtherServers.zip entpackt mein Privater Key ist die eine Datei für Postfix die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/ Am 14.06.2016 um 22:21 schrieb Andreas Pothe: > Hallo, > > > Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: >> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA >> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: >> disabling TLS support >> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library >> problem: error:0B080074:x509 certificate >> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: > > Das dürfte der Fehler sein! > From mail at behrens.io Wed Jun 15 08:21:30 2016 From: mail at behrens.io (Boris Behrens) Date: Wed, 15 Jun 2016 08:21:30 +0200 Subject: =?utf-8?Q?Re=3A_verschl=C3=BCsselter_Austausch_Server_=3C-=3E_Se?= =?utf-8?Q?rver?= In-Reply-To: <57606FF9.7050603@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606FF9.7050603@debianfan.de> Message-ID: <07F01E19-B1F1-4466-8B83-5A5442A268E2@behrens.io> Hi, das wird dein Problem sein. AFAIK bekommst bei startssl ein Wildcard nur gegen Cash. Entweder du nimmst mehrere Zertifikate, Let's Encrypt, oder ein Wildcard von einem normalen Anbieter (RapidSSL ist doch recht günstig). Ansonsten ist die Keychain in der Regel 'cat .key .crt .intermediateca .rootca > .pem' Wobei man in den aller wenigsten fällen das root CA mit angeben muss. Und in nahezu keinem Fall kommt der Key mit rein. Gruß Boris > Am 14.06.2016 um 22:58 schrieb sebastian at debianfan.de: > > Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum: > > SSL3 alert read:fatal:bad certificate > > Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird? > > Ich bin wie folgt vorgegangen: > > openssl genrsa -out domainname-private-ssl.key 4096 > > openssl req -new -key domainname-private-ssl.key -out domainname.csr > ---> hier als Domainnamen *.domain.de angegeben > > --> den CSR bei StartSSL eingereicht > > die OtherServers.zip entpackt > > mein Privater Key ist die eine Datei für Postfix > > die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei > > > Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/ > > > Am 14.06.2016 um 22:21 schrieb Andreas Pothe: >> Hallo, >> >> >> Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: >>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA >>> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: >>> disabling TLS support >>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library >>> problem: error:0B080074:x509 certificate >>> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: >> >> Das dürfte der Fehler sein! >> -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3565 bytes Beschreibung: nicht verfügbar URL : From torben at dannhauer.info Wed Jun 15 09:03:46 2016 From: torben at dannhauer.info (Torben Dannhauer) Date: Wed, 15 Jun 2016 09:03:46 +0200 Subject: =?utf-8?Q?AW:_verschl=C3=BCsselter_Austausch_Se?= =?utf-8?Q?rver_=3C-=3E_Server?= In-Reply-To: <57606FF9.7050603@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606FF9.7050603@debianfan.de> Message-ID: <04c401d1c6d4$1ebacca0$5c3065e0$@dannhauer.info> Hi Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert. Man zahl nicht per Zertifikat sondern für den Aufwand der personal identity validation (59USD). Man kann dann beliebig viele Certs kostenlos erstellen für den Preis innerhalb der gültigen Validierungsperiode (300 Tage gültig.) Man muss nur Owner der Domain sein - da reagieren sie sehr empfindlich. Mein Zert mit 3 SANs (in der Summe also 4 Einträge) schaut so aus: Domain1.tld *.Domain1.tld Domain2.tld *.Domain2.tld Wenn man sein StartSSL Zert nun in den Händen hält (pem Format), kann man es so aufbereiten für Dovecot, Postfix und Apache: Kombinieren des CA-root und -intermediate files in ein CA bundle file (wichtig: Class I Zertifikate brauchen Class I intermediate, Class II Zertifikate das zugehörige Class II intermediate Zert!!): cat startssl-intermediate.sha2.pem.crt startssl-root.pem.crt > startssl-CAbundle.pem.crt Kombinieren des Serverzertifikates und des eben erstellten CA bundles für Dovecot: cat your-cert.pem.crt startssl-CAbundle.pem.crt > your-cert.dovecot.pem.crt Ich habs in dovecot die SSL/TLS-Konfiguration dann so gelöst: Schönes Tutorial für Perfect Foward Secrecy: http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ # vim /etc/dovecot/conf.d/10-ssl.conf: ssl = required ssl_cert = Server Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum: SSL3 alert read:fatal:bad certificate Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird? Ich bin wie folgt vorgegangen: openssl genrsa -out domainname-private-ssl.key 4096 openssl req -new -key domainname-private-ssl.key -out domainname.csr ---> hier als Domainnamen *.domain.de angegeben --> den CSR bei StartSSL eingereicht die OtherServers.zip entpackt mein Privater Key ist die eine Datei für Postfix die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/ Am 14.06.2016 um 22:21 schrieb Andreas Pothe: > Hallo, > > > Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: >> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA >> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: >> disabling TLS support >> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library >> problem: error:0B080074:x509 certificate >> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: > > Das dürfte der Fehler sein! > From sebastian at debianfan.de Wed Jun 15 23:45:29 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 15 Jun 2016 23:45:29 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <04c401d1c6d4$1ebacca0$5c3065e0$@dannhauer.info> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606FF9.7050603@debianfan.de> <04c401d1c6d4$1ebacca0$5c3065e0$@dannhauer.info> Message-ID: <5761CC79.6090804@debianfan.de> der Preis des Abends geht an Torben - jetzt läufts :-) Am 15.06.2016 um 09:03 schrieb Torben Dannhauer: > Hi > > Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix > > Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert. > > Man zahl nicht per Zertifikat sondern für den Aufwand der personal identity validation (59USD). Man kann dann beliebig viele Certs kostenlos erstellen für den Preis innerhalb der gültigen Validierungsperiode (300 Tage gültig.) Man muss nur Owner der Domain sein - da reagieren sie sehr empfindlich. > > Mein Zert mit 3 SANs (in der Summe also 4 Einträge) schaut so aus: > Domain1.tld > *.Domain1.tld > Domain2.tld > *.Domain2.tld > > Wenn man sein StartSSL Zert nun in den Händen hält (pem Format), kann man es so aufbereiten für Dovecot, Postfix und Apache: > > Kombinieren des CA-root und -intermediate files in ein CA bundle file (wichtig: Class I Zertifikate brauchen Class I intermediate, Class II Zertifikate das zugehörige Class II intermediate Zert!!): > > cat startssl-intermediate.sha2.pem.crt startssl-root.pem.crt > startssl-CAbundle.pem.crt > > Kombinieren des Serverzertifikates und des eben erstellten CA bundles für Dovecot: > > cat your-cert.pem.crt startssl-CAbundle.pem.crt > your-cert.dovecot.pem.crt > > > > Ich habs in dovecot die SSL/TLS-Konfiguration dann so gelöst: > > > Schönes Tutorial für Perfect Foward Secrecy: http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ > > # vim /etc/dovecot/conf.d/10-ssl.conf: > > ssl = required > ssl_cert = ssl_key = > > Erweitern des Logs um den Parameter %k um den verwendeten Cipher sehen zu können: > > vim /etc/dovecot/conf.d/10-logging.conf > > login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k" > > > Bei CAs mit Intermediate-Zertifikaten (z.B. startSSL.com), müssen die Zertifikate entsprechend der Reihenfolge > der Zertifikatskette in die Zert-Datei eintragen werden, beginnend mit dem eigentlichen Serverzertifikat gefolgt vom nächst höheren Zertifikat bis zum höchsten Zertifikat am Ende. > > Ergänzen der Einstellungen dann ggfs. um die Ciphers und Empfehlungen von bettercrypto.org > > > > ... > soweit ein dirty brain dump von mir > > > LG, > Torben > > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de > Gesendet: Dienstag, 14. Juni 2016 22:59 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: verschlüsselter Austausch Server <-> Server > > Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum: > > SSL3 alert read:fatal:bad certificate > > Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird? > > Ich bin wie folgt vorgegangen: > > openssl genrsa -out domainname-private-ssl.key 4096 > > openssl req -new -key domainname-private-ssl.key -out domainname.csr > ---> hier als Domainnamen *.domain.de angegeben > > --> den CSR bei StartSSL eingereicht > > die OtherServers.zip entpackt > > mein Privater Key ist die eine Datei für Postfix > > die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei > > > Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/ > > > Am 14.06.2016 um 22:21 schrieb Andreas Pothe: >> Hallo, >> >> >> Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: >>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA >>> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: >>> disabling TLS support >>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library >>> problem: error:0B080074:x509 certificate >>> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: >> >> Das dürfte der Fehler sein! >> > From torben at dannhauer.info Sat Jun 18 16:45:42 2016 From: torben at dannhauer.info (Torben Dannhauer) Date: Sat, 18 Jun 2016 16:45:42 +0200 Subject: =?utf-8?Q?Re:_verschl=C3=BCsselter_Austausch_Server_<->_Server?= In-Reply-To: <5761CC79.6090804@debianfan.de> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606FF9.7050603@debianfan.de> <04c401d1c6d4$1ebacca0$5c3065e0$@dannhauer.info> <5761CC79.6090804@debianfan.de> Message-ID: <5CF1F365-6972-41EF-A66C-56E52EA5F864@dannhauer.info> Sehr schön :) Dafür leg ich mir gleich mal nen Steak auf dem Grill;) Grüße! Von unterwegs gesendet Sent from mobile > Am 15.06.2016 um 23:45 schrieb "sebastian at debianfan.de" : > > der Preis des Abends geht an Torben - jetzt läufts :-) > >> Am 15.06.2016 um 09:03 schrieb Torben Dannhauer: >> Hi >> >> Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix >> >> Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert. >> >> Man zahl nicht per Zertifikat sondern für den Aufwand der personal identity validation (59USD). Man kann dann beliebig viele Certs kostenlos erstellen für den Preis innerhalb der gültigen Validierungsperiode (300 Tage gültig.) Man muss nur Owner der Domain sein - da reagieren sie sehr empfindlich. >> >> Mein Zert mit 3 SANs (in der Summe also 4 Einträge) schaut so aus: >> Domain1.tld >> *.Domain1.tld >> Domain2.tld >> *.Domain2.tld >> >> Wenn man sein StartSSL Zert nun in den Händen hält (pem Format), kann man es so aufbereiten für Dovecot, Postfix und Apache: >> >> Kombinieren des CA-root und -intermediate files in ein CA bundle file (wichtig: Class I Zertifikate brauchen Class I intermediate, Class II Zertifikate das zugehörige Class II intermediate Zert!!): >> >> cat startssl-intermediate.sha2.pem.crt startssl-root.pem.crt > startssl-CAbundle.pem.crt >> >> Kombinieren des Serverzertifikates und des eben erstellten CA bundles für Dovecot: >> >> cat your-cert.pem.crt startssl-CAbundle.pem.crt > your-cert.dovecot.pem.crt >> >> >> >> Ich habs in dovecot die SSL/TLS-Konfiguration dann so gelöst: >> >> >> Schönes Tutorial für Perfect Foward Secrecy: http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/ >> >> # vim /etc/dovecot/conf.d/10-ssl.conf: >> >> ssl = required >> ssl_cert = > ssl_key = > >> >> Erweitern des Logs um den Parameter %k um den verwendeten Cipher sehen zu können: >> >> vim /etc/dovecot/conf.d/10-logging.conf >> >> login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k" >> >> >> Bei CAs mit Intermediate-Zertifikaten (z.B. startSSL.com), müssen die Zertifikate entsprechend der Reihenfolge >> der Zertifikatskette in die Zert-Datei eintragen werden, beginnend mit dem eigentlichen Serverzertifikat gefolgt vom nächst höheren Zertifikat bis zum höchsten Zertifikat am Ende. >> >> Ergänzen der Einstellungen dann ggfs. um die Ciphers und Empfehlungen von bettercrypto.org >> >> >> >> ... >> soweit ein dirty brain dump von mir >> >> >> LG, >> Torben >> >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de >> Gesendet: Dienstag, 14. Juni 2016 22:59 >> An: postfixbuch-users at listen.jpberlin.de >> Betreff: Re: verschlüsselter Austausch Server <-> Server >> >> Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum: >> >> SSL3 alert read:fatal:bad certificate >> >> Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird? >> >> Ich bin wie folgt vorgegangen: >> >> openssl genrsa -out domainname-private-ssl.key 4096 >> >> openssl req -new -key domainname-private-ssl.key -out domainname.csr >> ---> hier als Domainnamen *.domain.de angegeben >> >> --> den CSR bei StartSSL eingereicht >> >> die OtherServers.zip entpackt >> >> mein Privater Key ist die eine Datei für Postfix >> >> die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei >> >> >> Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/ >> >> >>> Am 14.06.2016 um 22:21 schrieb Andreas Pothe: >>> Hallo, >>> >>> >>>> Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de: >>>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA >>>> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv: >>>> disabling TLS support >>>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library >>>> problem: error:0B080074:x509 certificate >>>> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341: >>> >>> Das dürfte der Fehler sein! >> -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch-users at 0xaffe.de Sat Jun 18 17:56:24 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Sat, 18 Jun 2016 17:56:24 +0200 Subject: =?UTF-8?Q?Re:_verschl=c3=bcsselter_Austausch_Server_<->_Server?= In-Reply-To: <04c401d1c6d4$1ebacca0$5c3065e0$@dannhauer.info> References: <575D6F2C.8020900@debianfan.de> <20160614071241.3523cec0.jra@byte.cx> <57605EF6.1060902@debianfan.de> <4cf44834-c8c9-bc59-c97d-7b5d1215c057@pothe.de> <57606FF9.7050603@debianfan.de> <04c401d1c6d4$1ebacca0$5c3065e0$@dannhauer.info> Message-ID: Hallo, Am 15.06.16 um 09:03 schrieb Torben Dannhauer: > Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix > > Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert. Neuerdings kann man bei StartSSL auch mit einem kostenlosen Account Zertifikate mit bis zu 5 Hostnamen erstellen lassen, was für viele Zwecke ggf. ausreicht. Viele Grüße, Mathias. From daniel at ist-immer-online.de Sun Jun 19 11:20:08 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 19 Jun 2016 11:20:08 +0200 Subject: =?iso-8859-1?Q?AW:_Postfix_Regeln_f=FCr_Blizzard_und_EA?= Message-ID: <000401d1ca0b$c65eaf00$531c0d00$@ist-immer-online.de> Huhu, leider keine Antworten bekommen. Geht es überhaupt mit Regeln wenn Hostname/IP nicht existieren oder nicht Vor- sowie Rückwärts auflösbar sind? Oder müsste ich eher in DNS Einträge setzen, und dann die Regel? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Daniel [mailto:daniel at ist-immer-online.de] Gesendet: Samstag, 11. Juni 2016 11:02 An: 'Diskussionen und Support rund um Postfix' Betreff: Postfix Regeln für Blizzard und EA Huhu, wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA sich nicht für Meldungen zu falschen Hostnamen interessiert etc. Da ich aber paar User habe die gerne Spiele zocken, sollen die Mails halt durchkommen. Mit den 2 Regeln kommen Mails durch: 136.147.183.218 OK noreply at blizzard.com OK Jedoch möchte ich ungern auf Grund der Email Adresse ganze durchlassen, da evt. Fakemails so auch durchkommen würden. Auch eine IP kann sich ändern, oder mir eben einige nicht bekannt sein. Ich habe schon einiges Probiert um den nicht korrekten oder nicht existierenden Hostnamen zu erlauben: e.ea.com OK *. e.ea.com OK / ^.*\.e\.ea\.com/ OK / ^.*\.e\.ea\.com$/ OK / ^\.ea\.com$/ OK Leider wurden die Emails abgewiesen, selbe Spiel auch für customer.teliacarrier.com und wowadmin.net Log: postfix/smtpd[22713]: warning: hostname mta13.e.ea.com does not resolve to address 136.147.183.218: Name or service not known postfix/smtpd[22713]: connect from unknown[136.147.183.218] postfix/smtpd[22713]: Anonymous TLS connection established from unknown[136.147.183.218]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) postfix/smtpd[22713]: NOQUEUE: reject: RCPT from unknown[136.147.183.218]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[22713]: disconnect from unknown[136.147.183.218] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 postfix/smtpd[6236]: connect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] postfix/smtpd[6236]: Anonymous TLS connection established from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[6236]: NOQUEUE: reject: RCPT from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[6236]: disconnect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8 Hoffe einer von euch hat noch einen Tipp für mich, entsprechende Regel einzusetzen. Gruß Daniel From usenet at schani.com Fri Jun 24 16:17:38 2016 From: usenet at schani.com (usenet at schani.com) Date: Fri, 24 Jun 2016 16:17:38 +0200 Subject: =?UTF-8?Q?Spam_=c3=bcber_Postfix?= Message-ID: Hallo, ich habe zur Zeit das Problem das mir Postfix Spammails von nicht existierenden lokalen Email Adressen an aol.com sendet. Seit Jahren hab ich vor Postfix auch ASSP im Einsatz das gut funktioniert. Die angegebenen Spam Mails kommen also von innen. Das System ist aktualisiert und Sopos, ClamAV und Maldet finden nichts. WP Joomla TYPO3 sind aktuell. PHP mail() Funktion ist es nicht. Da wird nichts gesendet. From: ZKG Medical To: dpondhog at aol.com Message-ID: <865507253.2975317.1466757621203 at meinedomain.de> Was mich stutzig macht ist das Postfix die Email eigentlich ja gar nicht senden darf. OpenRelay ist der Server aber nicht. Laut Config von Postfix sollten nur hinterlegte Email Konten senden dürfen: ################### smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_recipient smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject_unknown_helo_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname # Postfix 2.10 requires this option. Postfix < 2.10 ignores this. # The option is intentionally left empty. smtpd_relay_restrictions = # Maximum size of Message in bytes (50MB) ##message_size_limit = 524288000 ## 120 MB message_size_limit = 125829120 ## SASL Auth Settings smtp_sender_dependent_authentication = yes smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname broken_sasl_auth_clients = yes ## Dovecot Settings for deliver, SASL Auth and virtual transport smtpd_sasl_type = dovecot mailbox_command = /usr/lib/dovecot/deliver virtual_transport = dovecot dovecot_destination_recipient_limit = 1 smtpd_sasl_path = private/auth ###transport_maps = hash:/etc/postfix/transport # Virtual delivery settings virtual_mailbox_base = /home/mail/ virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 ####################### Oder prüft mein Postfix nicht ob die Sender Adresse auch in der Froxlor mail_user Datenbank drinsteht? Könnt Ihr mir einen Tipp geben woran es noch liegen könnte Besten Dank Christian -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Jun 24 16:36:45 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 24 Jun 2016 16:36:45 +0200 Subject: Spam =?utf-8?B?w7xiZXI=?= Postfix In-Reply-To: References: Message-ID: <20160624143645.GO30869@charite.de> * usenet at schani.com : > Hallo, > > ich habe zur Zeit das Problem das mir Postfix Spammails von nicht > existierenden lokalen Email Adressen an aol.com sendet. Logs? > Message-ID: <865507253.2975317.1466757621203 at meinedomain.de> fgrep 865507253.2975317.1466757621203 at meinedomain.de /var/log/mail* > Was mich stutzig macht ist das Postfix die Email eigentlich ja gar nicht > senden darf. OpenRelay ist der Server aber nicht. > > Laut Config von Postfix sollten nur hinterlegte Email Konten senden dürfen: Nö. Via smtp vielleicht. Aber lokal generierte Mails werden keinen Tests unterzogen. Logs! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From usenet at schani.com Fri Jun 24 17:49:41 2016 From: usenet at schani.com (usenet at schani.com) Date: Fri, 24 Jun 2016 17:49:41 +0200 Subject: =?UTF-8?Q?Re:_Spam_=c3=bcber_Postfix?= In-Reply-To: <20160624143645.GO30869@charite.de> References: <20160624143645.GO30869@charite.de> Message-ID: <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> Kann man die sendmail Funktion abschalten, also das keine Mail lokal angenommen wird? hier die Logs: fgrep msg1466779375 at meinedomain.de /var/log/mail.* /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: < localhost.localdomain[127.0.0.1]: MAIL FROM: /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: extract_addr: input: /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: smtpd_check_addr: addr=msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: send attr address = msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: input attribute value: msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: rewrite_clnt: local: msg1466779375 at meinedomain.de -> msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: send attr address = msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: input attribute value: msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: resolve_clnt: `' -> `msg1466779375 at meinedomain.de' -> transp=`dovecot' host=`meinedomain.de' rcpt=`msg1466779375 at meinedomain.de' flags= class=virtual /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: ctable_locate: install entry key msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: extract_addr: in: , result: msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/qmgr[25887]: 1F28316AE6: from=, size=1666, nrcpt=1 (queue active) /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: < localhost.localdomain[127.0.0.1]: MAIL FROM: /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: extract_addr: input: /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: smtpd_check_addr: addr=msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: send attr address = msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: input attribute value: msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: rewrite_clnt: local: msg1466779375 at meinedomain.de -> msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: send attr address = msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: input attribute value: msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: resolve_clnt: `' -> `msg1466779375 at meinedomain.de' -> transp=`dovecot' host=`meinedomain.de' rcpt=`msg1466779375 at meinedomain.de' flags= class=virtual /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: ctable_locate: install entry key msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: extract_addr: in: , result: msg1466779375 at meinedomain.de /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/qmgr[25887]: 5392D16AEF: from=, size=1661, nrcpt=1 (queue active) /var/log/mail.info:Jun 24 16:49:24 wwl7 postfix/qmgr[25887]: 1F28316AE6: from=, size=1666, nrcpt=1 (queue active) /var/log/mail.info:Jun 24 16:59:24 wwl7 postfix/qmgr[25887]: 1F28316AE6: from=, size=1666, nrcpt=1 (queue active) /var/log/mail.info:Jun 24 17:19:24 wwl7 postfix/qmgr[25887]: 1F28316AE6: from=, size=1666, nrcpt=1 (queue active) Christian Am 24.06.2016 um 16:36 schrieb Ralf Hildebrandt: > * usenet at schani.com : >> Hallo, >> >> ich habe zur Zeit das Problem das mir Postfix Spammails von nicht >> existierenden lokalen Email Adressen an aol.com sendet. > Logs? > >> Message-ID: <865507253.2975317.1466757621203 at meinedomain.de> > fgrep 865507253.2975317.1466757621203 at meinedomain.de /var/log/mail* > >> Was mich stutzig macht ist das Postfix die Email eigentlich ja gar nicht >> senden darf. OpenRelay ist der Server aber nicht. >> >> Laut Config von Postfix sollten nur hinterlegte Email Konten senden dürfen: > Nö. Via smtp vielleicht. Aber lokal generierte Mails werden keinen > Tests unterzogen. > > Logs! > From andre.peters at debinux.de Fri Jun 24 18:49:32 2016 From: andre.peters at debinux.de (=?utf-8?Q?Andr=C3=A9_Peters?=) Date: Fri, 24 Jun 2016 18:49:32 +0200 Subject: Spam =?utf-8?Q?=C3=BCber_?=Postfix In-Reply-To: <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> References: <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> Message-ID: Irgendwelche "genullten" WordPress Plugins? Mal zu spät ein Update gemacht? Da ist sicher noch Malware drauf. Abschalten der Mail Funktion in PHP ist möglich, aber nicht die Lösung des Problems. Ist jedenfalls nicht Postfix, das den Übeltäter reingelassen hat. :-) Postqueue ist bis oben voll? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at ist-immer-online.de Sat Jun 25 00:00:10 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jun 2016 00:00:10 +0200 Subject: =?iso-8859-1?Q?AW:_Postfix_Regeln_f=FCr_Blizzard_und_EA?= Message-ID: <001701d1ce63$c728f790$557ae6b0$@ist-immer-online.de> Guten Abend, schade, dass keiner helfen mag ob es nun an Regel liegt, oder Problem im DNS beheben müsste oder eben noch eine andere Stelle im Postfix oder so Abhilfe schaffen würde. EA und Blizzard stellen sich halt tot, absolut keine Rückmeldung oder Interesse an dem Problem. Möchte ungern ganze durchwinken nur wegen Emailabsender, zumal die Absender leider oft weder SPF noch DKIM/DMARC verwenden. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Daniel [mailto:daniel at ist-immer-online.de] Gesendet: Sonntag, 19. Juni 2016 11:20 An: 'Diskussionen und Support rund um Postfix' Betreff: AW: Postfix Regeln für Blizzard und EA Huhu, leider keine Antworten bekommen. Geht es überhaupt mit Regeln wenn Hostname/IP nicht existieren oder nicht Vor- sowie Rückwärts auflösbar sind? Oder müsste ich eher in DNS Einträge setzen, und dann die Regel? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Daniel [mailto:daniel at ist-immer-online.de] Gesendet: Samstag, 11. Juni 2016 11:02 An: 'Diskussionen und Support rund um Postfix' Betreff: Postfix Regeln für Blizzard und EA Huhu, wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA sich nicht für Meldungen zu falschen Hostnamen interessiert etc. Da ich aber paar User habe die gerne Spiele zocken, sollen die Mails halt durchkommen. Mit den 2 Regeln kommen Mails durch: 136.147.183.218 OK noreply at blizzard.com OK Jedoch möchte ich ungern auf Grund der Email Adresse ganze durchlassen, da evt. Fakemails so auch durchkommen würden. Auch eine IP kann sich ändern, oder mir eben einige nicht bekannt sein. Ich habe schon einiges Probiert um den nicht korrekten oder nicht existierenden Hostnamen zu erlauben: e.ea.com OK *. e.ea.com OK / ^.*\.e\.ea\.com/ OK / ^.*\.e\.ea\.com$/ OK / ^\.ea\.com$/ OK Leider wurden die Emails abgewiesen, selbe Spiel auch für customer.teliacarrier.com und wowadmin.net Log: postfix/smtpd[22713]: warning: hostname mta13.e.ea.com does not resolve to address 136.147.183.218: Name or service not known postfix/smtpd[22713]: connect from unknown[136.147.183.218] postfix/smtpd[22713]: Anonymous TLS connection established from unknown[136.147.183.218]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) postfix/smtpd[22713]: NOQUEUE: reject: RCPT from unknown[136.147.183.218]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[22713]: disconnect from unknown[136.147.183.218] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 postfix/smtpd[6236]: connect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] postfix/smtpd[6236]: Anonymous TLS connection established from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) postfix/smtpd[6236]: NOQUEUE: reject: RCPT from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: 450 4.7.1 : Helo command rejected: Host not found; from= to= proto=ESMTP helo= postfix/smtpd[6236]: disconnect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8 Hoffe einer von euch hat noch einen Tipp für mich, entsprechende Regel einzusetzen. Gruß Daniel From daniel at ist-immer-online.de Sat Jun 25 00:24:28 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jun 2016 00:24:28 +0200 Subject: SPF reject von Outlook und Hotmail Message-ID: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> Guten Abend in die Runde, habt ihr auch derzeit teils Probleme, dass Outlook und Hotmail abgewiesen werden? Im Log ist einer klar, dass der Abgelehnt wurde, aber der Rest sind teils bekannte Absender von den einen Mail erwartet wurde. Logauszug: postfix/cleanup[32177]: BE94B3316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.60 as permitted sender) from col004-omc4s16.hotmail.com[65.55.34.218]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[1855]: 9D9573316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.4.51 as permitted sender) from bay004-omc2s21.hotmail.com[65.54.190.96]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[2213]: 429283316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.2.56 as permitted sender) from snt004-omc2s43.hotmail.com[65.54.61.94]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[7409]: 889A23316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.58 as permitted sender) from col004-omc4s17.hotmail.com[65.55.34.219]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[17944]: DC0593316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.53 as permitted sender) from bay004-omc2s25.hotmail.com[65.54.190.100]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[14729]: C45903316001: reject: header Received-SPF: softfail (hotmail.com: Sender is not authorized by default to use 'X at hotmail.com' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism from srv1.ddvvt.tech[37.61.239.79]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[4087]: 137723316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? outlook.com discourages use of 25.152.0.59 as permitted sender) from snt004-omc4s47.hotmail.com[65.54.51.98]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[32177]: BE94B3316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.60 as permitted sender) from col004-omc4s16.hotmail.com[65.55.34.218]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[1855]: 9D9573316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.4.51 as permitted sender) from bay004-omc2s21.hotmail.com[65.54.190.96]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[2213]: 429283316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.2.56 as permitted sender) from snt004-omc2s43.hotmail.com[65.54.61.94]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[7409]: 889A23316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.58 as permitted sender) from col004-omc4s17.hotmail.com[65.55.34.219]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[17944]: DC0593316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.53 as permitted sender) from bay004-omc2s25.hotmail.com[65.54.190.100]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected postfix/cleanup[4087]: 137723316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? outlook.com discourages use of 25.152.0.59 as permitted sender) from snt004-omc4s47.hotmail.com[65.54.51.98]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected Gruß Daniel From Zahlenmaler at t-online.de Sat Jun 25 00:34:45 2016 From: Zahlenmaler at t-online.de (Robert) Date: Sat, 25 Jun 2016 00:34:45 +0200 Subject: =?UTF-8?Q?Re:_Postfix_Regeln_f=c3=bcr_Blizzard_und_EA?= In-Reply-To: <001701d1ce63$c728f790$557ae6b0$@ist-immer-online.de> References: <001701d1ce63$c728f790$557ae6b0$@ist-immer-online.de> Message-ID: <576DB585.7050301@t-online.de> Ohne den ganzen verlauf gelesen zu haben, meine schnell idee. Bau resriction classes. smtpd_restriction_classes = dietrottelvon_EA, dietrottelvon_Blizzard #EA restriction class dietrottelvon_EA = --- ohne (welcher der störende ist) reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, ---ansonsten wie immer permit #Blizzard restriction class dietrottelvon_Blizzard = --- ohne (ebenso) reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, ---ansonsten wie immer permit smtpd_(recipient/sender)_restrictions = # Abzweig zu die trottels von EA und Blizzard check_(recipient/sender)_access texthash:/etc/postfix/dietrottel (das muss die class in die du hüpfen willst zurückgeben) (in diesem falle dietrottelvon_Blizzard oder EA, bloß kein OK!!) [...] ich hab da sicher auch gerade sender und recipients verwurstelt, aber so sollte das funktionieren. Classes kannste ja für beide basteln, wenn bei beiden das gleiche passieren sollte dann reicht auch eine class. Wichtig reihenfolge der classes beachten!!! Hoffe dir hilft das weiter. gruß *gähn* Robert Am 25.06.2016 um 00:00 schrieb Daniel: > Guten Abend, > > schade, dass keiner helfen mag ob es nun an Regel liegt, oder Problem im DNS beheben müsste oder eben noch eine andere Stelle im > Postfix oder so Abhilfe schaffen würde. > > EA und Blizzard stellen sich halt tot, absolut keine Rückmeldung oder Interesse an dem Problem. > > Möchte ungern ganze durchwinken nur wegen Emailabsender, zumal die Absender leider oft weder SPF noch DKIM/DMARC verwenden. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Daniel [mailto:daniel at ist-immer-online.de] > Gesendet: Sonntag, 19. Juni 2016 11:20 > An: 'Diskussionen und Support rund um Postfix' > Betreff: AW: Postfix Regeln für Blizzard und EA > > Huhu, > > leider keine Antworten bekommen. > > Geht es überhaupt mit Regeln wenn Hostname/IP nicht existieren oder nicht Vor- sowie Rückwärts auflösbar sind? > > Oder müsste ich eher in DNS Einträge setzen, und dann die Regel? > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Daniel [mailto:daniel at ist-immer-online.de] > Gesendet: Samstag, 11. Juni 2016 11:02 > An: 'Diskussionen und Support rund um Postfix' > Betreff: Postfix Regeln für Blizzard und EA > > Huhu, > > wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA sich nicht für Meldungen zu falschen Hostnamen interessiert etc. > > Da ich aber paar User habe die gerne Spiele zocken, sollen die Mails halt durchkommen. > > Mit den 2 Regeln kommen Mails durch: > 136.147.183.218 OK > noreply at blizzard.com OK > > Jedoch möchte ich ungern auf Grund der Email Adresse ganze durchlassen, da evt. Fakemails so auch durchkommen würden. Auch eine IP > kann sich ändern, oder mir eben einige nicht bekannt sein. > > Ich habe schon einiges Probiert um den nicht korrekten oder nicht existierenden Hostnamen zu erlauben: > e.ea.com OK > *. e.ea.com OK > / ^.*\.e\.ea\.com/ OK > / ^.*\.e\.ea\.com$/ OK > / ^\.ea\.com$/ OK > > Leider wurden die Emails abgewiesen, selbe Spiel auch für customer.teliacarrier.com und wowadmin.net > > Log: > postfix/smtpd[22713]: warning: hostname mta13.e.ea.com does not resolve to address 136.147.183.218: Name or service not known > postfix/smtpd[22713]: connect from unknown[136.147.183.218] > postfix/smtpd[22713]: Anonymous TLS connection established from unknown[136.147.183.218]: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > postfix/smtpd[22713]: NOQUEUE: reject: RCPT from unknown[136.147.183.218]: 450 4.7.1 : Helo command rejected: Host > not found; from= to= proto=ESMTP helo= > postfix/smtpd[22713]: disconnect from unknown[136.147.183.218] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 > > postfix/smtpd[6236]: connect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] > postfix/smtpd[6236]: Anonymous TLS connection established from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: TLSv1 with > cipher DHE-RSA-AES256-SHA (256/256 bits) > postfix/smtpd[6236]: NOQUEUE: reject: RCPT from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: 450 4.7.1 > : Helo command rejected: Host not found; from= to= proto=ESMTP > helo= > postfix/smtpd[6236]: disconnect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] ehlo=2 starttls=1 mail=1 rcpt=0/1 > data=0/1 rset=1 quit=1 commands=6/8 > > Hoffe einer von euch hat noch einen Tipp für mich, entsprechende Regel einzusetzen. > > Gruß Daniel > From daniel at ist-immer-online.de Sat Jun 25 01:41:36 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jun 2016 01:41:36 +0200 Subject: =?iso-8859-1?Q?AW:_Postfix_Regeln_f=FCr_Blizzard_und_EA?= In-Reply-To: <576DB585.7050301@t-online.de> References: <001701d1ce63$c728f790$557ae6b0$@ist-immer-online.de> <576DB585.7050301@t-online.de> Message-ID: <001b01d1ce71$f261b150$d72513f0$@ist-immer-online.de> Hallo Robert, danke für die Antwort, sind schon Platzhalter eingebaut die etwa so aussehen: smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/access/client_access, check_sender_access hash:/etc/postfix/access/sender_access, check_recipient_access hash:/etc/postfix/access/recipient_access , ... Dort stehen dann aktuell die Regeln (z.B. noreply at blizzard.com OK ) für reject bzw. ok für Emailadressen, IP, ect. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Robert Gesendet: Samstag, 25. Juni 2016 00:35 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Postfix Regeln für Blizzard und EA Ohne den ganzen verlauf gelesen zu haben, meine schnell idee. Bau resriction classes. smtpd_restriction_classes = dietrottelvon_EA, dietrottelvon_Blizzard #EA restriction class dietrottelvon_EA = --- ohne (welcher der störende ist) reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, ---ansonsten wie immer permit #Blizzard restriction class dietrottelvon_Blizzard = --- ohne (ebenso) reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, ---ansonsten wie immer permit smtpd_(recipient/sender)_restrictions = # Abzweig zu die trottels von EA und Blizzard check_(recipient/sender)_access texthash:/etc/postfix/dietrottel (das muss die class in die du hüpfen willst zurückgeben) (in diesem falle dietrottelvon_Blizzard oder EA, bloß kein OK!!) [...] ich hab da sicher auch gerade sender und recipients verwurstelt, aber so sollte das funktionieren. Classes kannste ja für beide basteln, wenn bei beiden das gleiche passieren sollte dann reicht auch eine class. Wichtig reihenfolge der classes beachten!!! Hoffe dir hilft das weiter. gruß *gähn* Robert Am 25.06.2016 um 00:00 schrieb Daniel: > Guten Abend, > > schade, dass keiner helfen mag ob es nun an Regel liegt, oder Problem im DNS beheben müsste oder eben noch eine andere Stelle im > Postfix oder so Abhilfe schaffen würde. > > EA und Blizzard stellen sich halt tot, absolut keine Rückmeldung oder Interesse an dem Problem. > > Möchte ungern ganze durchwinken nur wegen Emailabsender, zumal die Absender leider oft weder SPF noch DKIM/DMARC verwenden. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Daniel [mailto:daniel at ist-immer-online.de] > Gesendet: Sonntag, 19. Juni 2016 11:20 > An: 'Diskussionen und Support rund um Postfix' > Betreff: AW: Postfix Regeln für Blizzard und EA > > Huhu, > > leider keine Antworten bekommen. > > Geht es überhaupt mit Regeln wenn Hostname/IP nicht existieren oder nicht Vor- sowie Rückwärts auflösbar sind? > > Oder müsste ich eher in DNS Einträge setzen, und dann die Regel? > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Daniel [mailto:daniel at ist-immer-online.de] > Gesendet: Samstag, 11. Juni 2016 11:02 > An: 'Diskussionen und Support rund um Postfix' > Betreff: Postfix Regeln für Blizzard und EA > > Huhu, > > wir hatten hier ja schon mal Thema dass Firmen wie Blizzard oder EA sich nicht für Meldungen zu falschen Hostnamen interessiert etc. > > Da ich aber paar User habe die gerne Spiele zocken, sollen die Mails halt durchkommen. > > Mit den 2 Regeln kommen Mails durch: > 136.147.183.218 OK > noreply at blizzard.com OK > > Jedoch möchte ich ungern auf Grund der Email Adresse ganze durchlassen, da evt. Fakemails so auch durchkommen würden. Auch eine IP > kann sich ändern, oder mir eben einige nicht bekannt sein. > > Ich habe schon einiges Probiert um den nicht korrekten oder nicht existierenden Hostnamen zu erlauben: > e.ea.com OK > *. e.ea.com OK > / ^.*\.e\.ea\.com/ OK > / ^.*\.e\.ea\.com$/ OK > / ^\.ea\.com$/ OK > > Leider wurden die Emails abgewiesen, selbe Spiel auch für customer.teliacarrier.com und wowadmin.net > > Log: > postfix/smtpd[22713]: warning: hostname mta13.e.ea.com does not resolve to address 136.147.183.218: Name or service not known > postfix/smtpd[22713]: connect from unknown[136.147.183.218] > postfix/smtpd[22713]: Anonymous TLS connection established from unknown[136.147.183.218]: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > postfix/smtpd[22713]: NOQUEUE: reject: RCPT from unknown[136.147.183.218]: 450 4.7.1 : Helo command rejected: Host > not found; from= to= proto=ESMTP helo= > postfix/smtpd[22713]: disconnect from unknown[136.147.183.218] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 > > postfix/smtpd[6236]: connect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] > postfix/smtpd[6236]: Anonymous TLS connection established from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: TLSv1 with > cipher DHE-RSA-AES256-SHA (256/256 bits) > postfix/smtpd[6236]: NOQUEUE: reject: RCPT from 213-155-150-40.customer.teliacarrier.com[213.155.150.40]: 450 4.7.1 > : Helo command rejected: Host not found; from= to= proto=ESMTP > helo= > postfix/smtpd[6236]: disconnect from 213-155-150-40.customer.teliacarrier.com[213.155.150.40] ehlo=2 starttls=1 mail=1 rcpt=0/1 > data=0/1 rset=1 quit=1 commands=6/8 > > Hoffe einer von euch hat noch einen Tipp für mich, entsprechende Regel einzusetzen. > > Gruß Daniel > From tech at kdmails.de Sat Jun 25 09:58:00 2016 From: tech at kdmails.de (Daniel Gompf) Date: Sat, 25 Jun 2016 09:58:00 +0200 Subject: =?UTF-8?Q?Re:_Postfix_Regeln_f=c3=bcr_Blizzard_und_EA?= In-Reply-To: <001b01d1ce71$f261b150$d72513f0$@ist-immer-online.de> References: <001701d1ce63$c728f790$557ae6b0$@ist-immer-online.de> <576DB585.7050301@t-online.de> <001b01d1ce71$f261b150$d72513f0$@ist-immer-online.de> Message-ID: <576E3988.1050404@kdmails.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Daniel Am 25.06.2016 um 01:41 schrieb Daniel: > Hallo Robert, > > danke für die Antwort, sind schon Platzhalter eingebaut die etwa so > aussehen: > > smtpd_recipient_restrictions = check_client_access > hash:/etc/postfix/access/client_access, check_sender_access > hash:/etc/postfix/access/sender_access, check_recipient_access > hash:/etc/postfix/access/recipient_access , ... > > Dort stehen dann aktuell die Regeln (z.B. noreply at blizzard.com OK ) > für reject bzw. ok für Emailadressen, IP, ect. Robert und auch ich (am 11.06.) haben restriction_classes gemeint, das ist etwas anderes als nur "schau mal wer der Absender ist" check_sender_access etc. Schau einfach mal hier http://www.postfix.org/RESTRICTION_CLASS_README.html ich denke auch, dass dies deine Probleme behebt. > Gruß Daniel > > > -----Ursprüngliche Nachricht----- Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag > von Robert Gesendet: Samstag, 25. Juni 2016 00:35 An: > postfixbuch-users at listen.jpberlin.de Betreff: Re: Postfix Regeln > für Blizzard und EA > > Ohne den ganzen verlauf gelesen zu haben, meine schnell idee. > > Bau resriction classes. > > > smtpd_restriction_classes = dietrottelvon_EA, > dietrottelvon_Blizzard > > #EA restriction class dietrottelvon_EA = --- ohne (welcher der > störende ist) reject_non_fqdn_helo_hostname, > reject_invalid_helo_hostname, reject_unknown_helo_hostname, > ---ansonsten wie immer permit > > #Blizzard restriction class dietrottelvon_Blizzard = --- ohne > (ebenso) reject_non_fqdn_helo_hostname, > reject_invalid_helo_hostname, reject_unknown_helo_hostname, > ---ansonsten wie immer permit > > > smtpd_(recipient/sender)_restrictions = # Abzweig zu die trottels > von EA und Blizzard check_(recipient/sender)_access > texthash:/etc/postfix/dietrottel (das muss die class in die du > hüpfen willst zurückgeben) (in diesem falle dietrottelvon_Blizzard > oder EA, bloß kein OK!!) [...] > > ich hab da sicher auch gerade sender und recipients verwurstelt, > aber so sollte das funktionieren. Classes kannste ja für beide > basteln, wenn bei beiden das gleiche passieren sollte dann reicht > auch eine class. > > Wichtig reihenfolge der classes beachten!!! > > Hoffe dir hilft das weiter. > > > gruß *gähn* Robert > > > -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXbjmIAAoJENuvw56q5FOijb8IALnQZFPsnYkkap+R8zSgKLBu J0IWphJwJpum5b1RRMyuBMAICBsyV9CFK4/uhfT/JAyDKE31FV7cA2YVFwXj2hZY UvCUGy2y5lXAiKvR/gf06CU8r+dpJA8g2Oh7retjfxMvJ2Alwl7JYLvcsvVx6OLX BLz4569RwwvGO6beudZn1+k6UkmL4bt6LwfHfoMnXLXsKeCCREkvb8ZXu0pc2V64 GFnsGEwJlLWeYR9Uo1tF0qZ3/pN/Y63UJxPoDYr5EZBtRG2hNsyT22OkgCnG/PT/ H4kYELUuExQonVOKbrjfiUO56aYA0A7lVD07zyX8yR7td474PwrXcbDdkaznWJA= =qnsr -----END PGP SIGNATURE----- From max.grobecker at ml.grobecker.info Sat Jun 25 14:06:51 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 25 Jun 2016 14:06:51 +0200 Subject: SPF reject von Outlook und Hotmail In-Reply-To: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> Message-ID: <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> Moin Daniel, kann ich nicht bestätigen - aber wenn man sich das Log ansieht läuft bei dir noch etwas anderes falsch: > hotmail.de discourages use of 25.152.2.56 as permitted sender) from snt004-omc2s43.hotmail.com[65.54.61.94]; from= Wie kommt dein Postfix auf 25.152.2.56? Die *KANN* nicht bei dir am Server anklopfen. Die gehört zum britischen Verteidigungsministerium und für den gesamten Bereich 25.0.0.0/8 existieren im Internet keine BGP-Routen: route-server>show ip bgp 25.152.2.56 % Network not in table Es *kann* einfach nicht aus dem Internet kommen ;-) Aber: Hast du Hamchi auf dem Server installiert? Die benutzen ohne Sinn und Verstand irgendwelche öffentlichen IP-Ranges die ihnen nicht gehören... Vielleicht ist da irgendein krudes Phänomen dass ein Dienst auf dem Server dem anderen Dienst über dieses Hamachi-Interface nun seine Daten gibt statt über das Loopback-Interface. 127.0.0.0/8 wird ja gerne überall hardcoded von Prüfungen ausgenommen, das 25.0.0.0/8 aber natürlich nicht. Aber selbst dann läuft was falsch - denn eine zuverlässige SPF-Prüfung ohne dich auf Header verlassen zu müssen kannst du natürlich nur an der Haustür, sprich ganz vorne direkt beim Empfang der Mail machen. Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From sebastian at debianfan.de Sat Jun 25 14:52:02 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 25 Jun 2016 14:52:02 +0200 Subject: relay access denied beim versenden Message-ID: <73cb2e12-4c77-7827-0a1c-8a45ba79116b@debianfan.de> Guten Tag allerseits, Mailserver Postfix/Dovecot/MySql + Spamassassin. Ich habe das "alte neu aufgebaute System" gelöscht und von vorn angefangen. Eingehende Mails werden jetzt über Postfix gefiltert (Spamasassin als content-filter) und in die Dovecot-Postfächer abgelegt. Abgerufen werden die über ein Mailprogramm - der Dovecot Imap liefert die Mails entsprechend aus - der Weg "hinein" ist hier kein Problem. Wenn ich lokal aus der Konsole eine Mail an einen anderen Server versende, kommt diese problemlos an - nur policyd-weight regt sich beim empfangenden Server auf, dass keine Betreffzeile vorhanden ist. Wenn ich auf eine Testmail von einem anderen Server antworten will, kommt "relay access denied". Für hilfreiche Vorschläge zur Problembehebung... ;-) Danke & Gruß Sebastian postconf -n: append_dot_mydomain = no biff = no body_checks = regexp:/etc/postfix/body_checks bounce_queue_lifetime = 1h config_directory = /etc/postfix header_checks = regexp:/etc/postfix/header_checks inet_interfaces = all local_recipient_maps = $virtual_mailbox_maps mailbox_size_limit = 0 maximal_backoff_time = 15m maximal_queue_lifetime = 1h message_size_limit = 52428800 mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp minimal_backoff_time = 5m myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 queue_run_delay = 5m recipient_delimiter = + smtp_host_lookup = dns smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_CApath = /etc/ssl/certs/ smtp_tls_cert_file = /etc/ssl/certs/domain.de.dovecot.pem.crt smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_fingerprint_digest = SHA256 smtp_tls_key_file = /etc/ssl/private/domain.private-ssl.key smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = may smtp_use_tls = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unlisted_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_non_fqdn_recipient, reject_unknown_client_hostname, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:10023, reject_rbl_client zen.spamhaus.org smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/ssl/certs/domain.de.dovecot.pem.crt smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /etc/postfix/dh_1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_fingerprint_digest = SHA256 smtpd_tls_key_file = /etc/ssl/private/domain.private-ssl.key smtpd_tls_loglevel = 2 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_security_level = may smtpd_use_tls = yes tls_daemon_random_bytes = 64 tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK tls_preempt_cipherlist = yes tls_random_bytes = 64 tls_ssl_options = no_ticket, no_compression virtual_alias_maps = mysql:/etc/postfix/sql/aliases.cf virtual_mailbox_domains = mysql:/etc/postfix/sql/domains.cf virtual_mailbox_maps = mysql:/etc/postfix/sql/accounts.cf virtual_transport = lmtp:unix:private/dovecot-lmtp master.cf: smtp inet n - - - - smtpd -o content_filter=spamfilter -v smtpd pass - - n - - smtpd -o content_filter=spamassassin dnsblog unix - - n - 0 dnsblog tlsproxy unix - - n - 0 tlsproxy pickup unix n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache spamassassin unix - n n - - pipe flags=Rq user=nobody argv=/etc/filter.sh -oi -f ${sender} ${recipient} spamfilter unix - n n - - pipe flags=Rq user=nobody argv=/etc/filter.sh -oi -f ${sender} ${recipient} Postfix-Log: Jun 25 14:34:44 debian postfix/master[1834]: terminating on signal 15 Jun 25 14:34:47 debian postfix/master[2920]: daemon started -- version 2.11.3, configuration /etc/postfix Jun 25 14:36:40 debian postfix/smtpd[2948]: name_mask: all Jun 25 14:36:40 debian postfix/smtpd[2948]: inet_addr_local: configured 2 IPv4 addresses Jun 25 14:36:40 debian postfix/smtpd[2948]: inet_addr_local: configured 2 IPv6 addresses Jun 25 14:36:40 debian postfix/smtpd[2948]: process generation: 3 (3) Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: mynetworks ~? debug_peer_list Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: mynetworks ~? fast_flush_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: mynetworks ~? mynetworks Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: relay_domains ~? debug_peer_list Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: relay_domains ~? fast_flush_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: relay_domains ~? mynetworks Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: relay_domains ~? permit_mx_backup_networks Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: relay_domains ~? qmqpd_authorized_clients Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: relay_domains ~? relay_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: permit_mx_backup_networks ~? debug_peer_list Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: permit_mx_backup_networks ~? fast_flush_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: permit_mx_backup_networks ~? mynetworks Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: permit_mx_backup_networks ~? permit_mx_backup_networks Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: user = vmail Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: password = mail$2016 Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: dbname = vmail Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: result_format = %s Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: option_file = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: option_group = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: tls_key_file = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: tls_cert_file = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: tls_CAfile = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: tls_CApath = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: tls_ciphers = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_bool: /etc/postfix/sql/accounts.cf: tls_verify_cert = on Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_int: /etc/postfix/sql/accounts.cf: expansion_limit = 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: query = select 1 as found from accounts where username = '%u' and domain = '%d' and enabled = true LIMIT 1; Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: domain = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/accounts.cf: hosts = 127.0.0.1 Jun 25 14:36:40 debian postfix/smtpd[2948]: dict_open: mysql:/etc/postfix/sql/accounts.cf Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: user = vmail Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: password = mail$2016 Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: dbname = vmail Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: result_format = %s Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: option_file = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: option_group = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: tls_key_file = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: tls_cert_file = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: tls_CAfile = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: tls_CApath = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: tls_ciphers = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_bool: /etc/postfix/sql/aliases.cf: tls_verify_cert = on Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_int: /etc/postfix/sql/aliases.cf: expansion_limit = 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: query = select concat(destination_username, '@', destination_domain) as destinations from aliases where source_username = '%u' and source_domain = '%d' and enabled = true; Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: domain = Jun 25 14:36:40 debian postfix/smtpd[2948]: cfg_get_str: /etc/postfix/sql/aliases.cf: hosts = 127.0.0.1 Jun 25 14:36:40 debian postfix/smtpd[2948]: dict_open: mysql:/etc/postfix/sql/aliases.cf Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? debug_peer_list Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? fast_flush_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? mynetworks Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? permit_mx_backup_networks Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? qmqpd_authorized_clients Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? relay_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: smtpd_access_maps ~? smtpd_access_maps Jun 25 14:36:40 debian postfix/smtpd[2948]: auto_clnt_create: transport=inet endpoint=127.0.0.1:12525 Jun 25 14:36:40 debian postfix/smtpd[2948]: auto_clnt_create: transport=inet endpoint=127.0.0.1:10023 Jun 25 14:36:40 debian postfix/smtpd[2948]: unknown_helo_hostname_tempfail_action = defer_if_permit Jun 25 14:36:40 debian postfix/smtpd[2948]: unknown_address_tempfail_action = defer_if_permit Jun 25 14:36:40 debian postfix/smtpd[2948]: unverified_recipient_tempfail_action = defer_if_permit Jun 25 14:36:40 debian postfix/smtpd[2948]: unverified_sender_tempfail_action = defer_if_permit Jun 25 14:36:40 debian postfix/smtpd[2948]: name_mask: 2 Jun 25 14:36:40 debian postfix/smtpd[2948]: initializing the server-side TLS engine Jun 25 14:36:40 debian postfix/smtpd[2948]: auto_clnt_create: transport=local endpoint=private/tlsmgr Jun 25 14:36:40 debian postfix/smtpd[2948]: auto_clnt_open: connected to private/tlsmgr Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = seed Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr size = 64 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: seed Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: seed Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: XSe9M1NTQ4vF1nicHrz2pMEIKS58vjcezyM+reVUdT9+1e2MeowHBScJX2GJH+nOlDSfo2OeeLn9i6UBamEVBA== Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = policy Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr cache_type = smtpd Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: cachable Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: cachable Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: timeout Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: timeout Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 3600 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: name_mask: no_ticket Jun 25 14:36:40 debian postfix/smtpd[2948]: name_mask: no_compression Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: fast_flush_domains ~? debug_peer_list Jun 25 14:36:40 debian postfix/smtpd[2948]: match_string: fast_flush_domains ~? fast_flush_domains Jun 25 14:36:40 debian postfix/smtpd[2948]: auto_clnt_create: transport=local endpoint=private/anvil Jun 25 14:36:40 debian postfix/smtpd[2948]: connection established Jun 25 14:36:40 debian postfix/smtpd[2948]: master_notify: status 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: name_mask: resource Jun 25 14:36:40 debian postfix/smtpd[2948]: name_mask: software Jun 25 14:36:40 debian postfix/smtpd[2948]: connect from ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78] Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: smtp_stream_setup: maxtime=300 enable_deadline=0 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? 127.0.0.0/8 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? 127.0.0.0/8 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? [::ffff:127.0.0.0]/104 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? [::ffff:127.0.0.0]/104 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? [::1]/128 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? [::1]/128 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: auto_clnt_open: connected to private/anvil Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = connect Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr ident = smtp:31.19.212.78 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/anvil: wanted attribute: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/anvil: wanted attribute: count Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: count Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 1 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/anvil: wanted attribute: rate Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: rate Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 1 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/anvil: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 220 mail.domain.de ESMTP Postfix Jun 25 14:36:40 debian postfix/smtpd[2948]: < ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: EHLO hppc Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-mail.domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-PIPELINING Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-SIZE 52428800 Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-VRFY Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-ETRN Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-STARTTLS Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-ENHANCEDSTATUSCODES Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-8BITMIME Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250 DSN Jun 25 14:36:40 debian postfix/smtpd[2948]: < ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: STARTTLS Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 220 2.0.0 Ready to start TLS Jun 25 14:36:40 debian postfix/smtpd[2948]: setting up TLS connection from ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78] Jun 25 14:36:40 debian postfix/smtpd[2948]: ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: TLS cipher list "EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CDB3-SHA:!KRB5-DES:!CBC3-SHA" Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = seed Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr size = 64 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: seed Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: seed Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: fJIFmIf39IBBlrLgWFRLFuZ6Jw/YiuUe9dWaOOfdB07dMavb6DNHqc59uw7cW3pnbDf02YON/TGO4l3tP9Z5pQ== Jun 25 14:36:40 debian postfix/smtpd[2948]: private/tlsmgr: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:before/accept initialization Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: SSL_accept:unknown state Jun 25 14:36:40 debian postfix/smtpd[2948]: Anonymous TLS connection established from ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Jun 25 14:36:40 debian postfix/smtpd[2948]: < ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: EHLO hppc Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-mail.domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-PIPELINING Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-SIZE 52428800 Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-VRFY Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-ETRN Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-ENHANCEDSTATUSCODES Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250-8BITMIME Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250 DSN Jun 25 14:36:40 debian postfix/smtpd[2948]: < ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: MAIL FROM: Jun 25 14:36:40 debian postfix/smtpd[2948]: extract_addr: input: Jun 25 14:36:40 debian postfix/smtpd[2948]: smtpd_check_addr: addr=sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: connect to subsystem private/rewrite Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = rewrite Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr rule = local Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr address = sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: address Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: address Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: rewrite_clnt: local: sebastian at domain.de -> sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = resolve Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr sender = Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr address = sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: transport Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: transport Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: lmtp Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: nexthop Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: nexthop Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: unix:private/dovecot-lmtp Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: recipient Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: recipient Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 1024 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: resolve_clnt: `' -> `sebastian at domain.de' -> transp=`lmtp' host=`unix:private/dovecot-lmtp' rcpt=`sebastian at domain.de' flags= class=virtual Jun 25 14:36:40 debian postfix/smtpd[2948]: ctable_locate: install entry key sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: extract_addr: in: , result: sebastian at domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = rewrite Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr rule = local Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr address = double-bounce Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: address Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: address Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: double-bounce at mail.domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: rewrite_clnt: local: double-bounce -> double-bounce at mail.domain.de Jun 25 14:36:40 debian postfix/smtpd[2948]: smtpd_check_rewrite: trying: permit_inet_interfaces Jun 25 14:36:40 debian postfix/smtpd[2948]: permit_inet_interfaces: ip1f13d44e.dynamic.kabel-deutschland.de 31.19.212.78 Jun 25 14:36:40 debian postfix/smtpd[2948]: fsspace: .: block size 4096, blocks free 6585026 Jun 25 14:36:40 debian postfix/smtpd[2948]: smtpd_check_queue: blocks 4096 avail 6585026 min_free 0 msg_size_limit 52428800 Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 250 2.1.0 Ok Jun 25 14:36:40 debian postfix/smtpd[2948]: < ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: RCPT TO: Jun 25 14:36:40 debian postfix/smtpd[2948]: extract_addr: input: Jun 25 14:36:40 debian postfix/smtpd[2948]: smtpd_check_addr: addr=sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = rewrite Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr rule = local Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr address = sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: address Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: address Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: rewrite_clnt: local: sebastian at debianfan.de -> sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = resolve Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr sender = Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr address = sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: transport Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: transport Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: smtp Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: nexthop Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: nexthop Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: recipient Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: recipient Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: flags Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 4096 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/rewrite socket: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:40 debian postfix/smtpd[2948]: resolve_clnt: `' -> `sebastian at debianfan.de' -> transp=`smtp' host=`debianfan.de' rcpt=`sebastian at debianfan.de' flags= class=default Jun 25 14:36:40 debian postfix/smtpd[2948]: ctable_locate: install entry key sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: extract_addr: in: , result: sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: >>> START Recipient address RESTRICTIONS <<< Jun 25 14:36:40 debian postfix/smtpd[2948]: generic_checks: name=permit_mynetworks Jun 25 14:36:40 debian postfix/smtpd[2948]: permit_mynetworks: ip1f13d44e.dynamic.kabel-deutschland.de 31.19.212.78 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? 127.0.0.0/8 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? 127.0.0.0/8 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? [::ffff:127.0.0.0]/104 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? [::ffff:127.0.0.0]/104 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? [::1]/128 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? [::1]/128 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: generic_checks: name=permit_mynetworks status=0 Jun 25 14:36:40 debian postfix/smtpd[2948]: generic_checks: name=permit_sasl_authenticated Jun 25 14:36:40 debian postfix/smtpd[2948]: generic_checks: name=permit_sasl_authenticated status=0 Jun 25 14:36:40 debian postfix/smtpd[2948]: generic_checks: name=defer_unauth_destination Jun 25 14:36:40 debian postfix/smtpd[2948]: reject_unauth_destination: sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: permit_auth_destination: sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: ctable_locate: leave existing entry key sebastian at debianfan.de Jun 25 14:36:40 debian postfix/smtpd[2948]: NOQUEUE: reject: RCPT from ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 454 4.7.1 : Relay access denied; from= to= proto=ESMTP helo= Jun 25 14:36:40 debian postfix/smtpd[2948]: generic_checks: name=defer_unauth_destination status=2 Jun 25 14:36:40 debian postfix/smtpd[2948]: >>> END Recipient address RESTRICTIONS <<< Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 454 4.7.1 : Relay access denied Jun 25 14:36:40 debian postfix/smtpd[2948]: < ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: QUIT Jun 25 14:36:40 debian postfix/smtpd[2948]: > ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78]: 221 2.0.0 Bye Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? 127.0.0.0/8 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? 127.0.0.0/8 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? [::ffff:127.0.0.0]/104 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? [::ffff:127.0.0.0]/104 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostname: ip1f13d44e.dynamic.kabel-deutschland.de ~? [::1]/128 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_hostaddr: 31.19.212.78 ~? [::1]/128 Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: ip1f13d44e.dynamic.kabel-deutschland.de: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: match_list_match: 31.19.212.78: no match Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr request = disconnect Jun 25 14:36:40 debian postfix/smtpd[2948]: send attr ident = smtp:31.19.212.78 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/anvil: wanted attribute: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: status Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute value: 0 Jun 25 14:36:40 debian postfix/smtpd[2948]: private/anvil: wanted attribute: (list terminator) Jun 25 14:36:40 debian postfix/smtpd[2948]: input attribute name: (end) Jun 25 14:36:41 debian postfix/smtpd[2948]: disconnect from ip1f13d44e.dynamic.kabel-deutschland.de[31.19.212.78] Jun 25 14:36:41 debian postfix/smtpd[2948]: master_notify: status 1 Jun 25 14:36:41 debian postfix/smtpd[2948]: connection closed Jun 25 14:36:45 debian postfix/smtpd[2948]: auto_clnt_close: disconnect private/tlsmgr stream Jun 25 14:36:45 debian postfix/smtpd[2948]: rewrite stream disconnect From daniel at ist-immer-online.de Sat Jun 25 15:26:16 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jun 2016 15:26:16 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> Message-ID: <001601d1cee5$2750bb90$75f232b0$@ist-immer-online.de> Hi Max, danke für Antwort, habe kine Hamachi drauf. Und an Docker wird es wohl auch nicht liegen, das wäre einziger Dienst den ich wüsste der noch extra Netzwerk Interfaces nutzt und so. smtp_dns_support_level = dnssec smtp_host_lookup = dns nslookup zeigt auch die IP an die dort in [ ] steht. Oder stellt der GCHQ nun auch schon direkt Emails nach dem Scannen zu? Und außerhalb der EU von der NSA? ;-) xD Und die Milter wie MailScanner greifen ja wohl auch erst später als direkt am Anfang bei der SPF Prüfung. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker Gesendet: Samstag, 25. Juni 2016 14:07 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: SPF reject von Outlook und Hotmail Moin Daniel, kann ich nicht bestätigen - aber wenn man sich das Log ansieht läuft bei dir noch etwas anderes falsch: > hotmail.de discourages use of 25.152.2.56 as permitted sender) from snt004-omc2s43.hotmail.com[65.54.61.94]; from= Wie kommt dein Postfix auf 25.152.2.56? Die *KANN* nicht bei dir am Server anklopfen. Die gehört zum britischen Verteidigungsministerium und für den gesamten Bereich 25.0.0.0/8 existieren im Internet keine BGP-Routen: route-server>show ip bgp 25.152.2.56 % Network not in table Es *kann* einfach nicht aus dem Internet kommen ;-) Aber: Hast du Hamchi auf dem Server installiert? Die benutzen ohne Sinn und Verstand irgendwelche öffentlichen IP-Ranges die ihnen nicht gehören... Vielleicht ist da irgendein krudes Phänomen dass ein Dienst auf dem Server dem anderen Dienst über dieses Hamachi-Interface nun seine Daten gibt statt über das Loopback-Interface. 127.0.0.0/8 wird ja gerne überall hardcoded von Prüfungen ausgenommen, das 25.0.0.0/8 aber natürlich nicht. Aber selbst dann läuft was falsch - denn eine zuverlässige SPF-Prüfung ohne dich auf Header verlassen zu müssen kannst du natürlich nur an der Haustür, sprich ganz vorne direkt beim Empfang der Mail machen. Viele Grüße aus dem Tal Max From ad+lists at uni-x.org Sat Jun 25 19:11:37 2016 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Sat, 25 Jun 2016 19:11:37 +0200 Subject: relay access denied beim versenden In-Reply-To: <73cb2e12-4c77-7827-0a1c-8a45ba79116b@debianfan.de> References: <73cb2e12-4c77-7827-0a1c-8a45ba79116b@debianfan.de> Message-ID: Am 25.06.2016 um 14:52 schrieb sebastian at debianfan.de: > Wenn ich auf eine Testmail von einem anderen Server antworten will, > kommt "relay access denied". > > Für hilfreiche Vorschläge zur Problembehebung... ;-) Der Client macht kein SMTP AUTH. Richte submission ein, kein SMTP AUTH über Port 25, der ist nur für MTA<->MTA Kommunikation. Du setzt ja auch Postscreen ein. Alexander From sebastian at debianfan.de Sat Jun 25 19:54:06 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 25 Jun 2016 19:54:06 +0200 Subject: relay access denied beim versenden In-Reply-To: References: <73cb2e12-4c77-7827-0a1c-8a45ba79116b@debianfan.de> Message-ID: <7f8fa84f-c3ab-1cfa-569e-e8be8c0cc7f9@debianfan.de> Am 25.06.2016 um 19:11 schrieb Alexander Dalloz: > Am 25.06.2016 um 14:52 schrieb sebastian at debianfan.de: >> Wenn ich auf eine Testmail von einem anderen Server antworten will, >> kommt "relay access denied". >> >> Für hilfreiche Vorschläge zur Problembehebung... ;-) > > Der Client macht kein SMTP AUTH. > > Richte submission ein, kein SMTP AUTH über Port 25, der ist nur für > MTA<->MTA Kommunikation. Du setzt ja auch Postscreen ein. > > Alexander > ok - geht - danke :-) vor langer zeit habe ich auch mal ein Postfix mit smth-auth ohne submission betrieben - habe aber keine Kopie der main.cf & master.cf mehr - oder erinnere ich mich da falsch ? From tech at kdmails.de Sat Jun 25 21:00:28 2016 From: tech at kdmails.de (Daniel Gompf) Date: Sat, 25 Jun 2016 21:00:28 +0200 Subject: SPF reject von Outlook und Hotmail In-Reply-To: <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> Message-ID: <576ED4CC.2070109@kdmails.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Daniel Am 25.06.2016 um 14:06 schrieb Max Grobecker: > Moin Daniel, > > kann ich nicht bestätigen - aber wenn man sich das Log ansieht > läuft bei dir noch etwas anderes falsch: > >> hotmail.de discourages use of 25.152.2.56 as permitted sender) >> from snt004-omc2s43.hotmail.com[65.54.61.94]; >> from= > > Wie kommt dein Postfix auf 25.152.2.56? Die *KANN* nicht bei dir am > Server anklopfen. Die gehört zum britischen > Verteidigungsministerium und für den gesamten Bereich 25.0.0.0/8 > existieren im Internet keine BGP-Routen: > > route-server>show ip bgp 25.152.2.56 % Network not in table > > Es *kann* einfach nicht aus dem Internet kommen ;-) > Ich hatte da noch was im Hinterkopf, du hast am 7.6. schon mal so eine Frage gestellt, da dachte ich noch an einen falschen SPF-Record, aber auch dort hattest du schon diese Log-Zeile Jun 6 07:35:27 postfix/cleanup[7409]: 889A23316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.58 as permitted sender) from col004-omc4s17.hotmail.com[65.55.34.219]; auch hier ist eine dieser IP-Adressen, zusätzlich irritiert mich das "?", dort steht doch normalerweise die Absenderdomäne oder der Absender. Kontrolliere als erstes das mit der IP nochmal. Daniel -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXbtTMAAoJENuvw56q5FOi85MIAKG3h2S1lOJV2nWpiy/BEm7T 3IIo5pr197+Ppu9hLF++sW2O3BQrKz7+6NT9bpbp/QSiiAzw9bRAsJoG6OHgqnf/ lHG2ZJe+i6qmahoLTJxwKwtOvXIsf9B5yFvNwjjvAehXx5y9GZFLkj2Z7DwmpoUV vNO99v3V4QpQcNOiPckQj/bbtZhxb6cW+PwtwzmkwEbk3E/F/ui4gFvhEOS2PEyK 7WC0YMbt4heqElZ0Qv4i0E5oCAbCFHlrzV+yj3vl2bvxxEzJbCTOcFlnzoT4wRCl XbGxlpRgpAOYN/4FuZUdAwgmWb/kePtpV4InLRl6+CvaM+P+qQbd32AEKDJ1zOM= =lNk4 -----END PGP SIGNATURE----- From max.grobecker at ml.grobecker.info Sat Jun 25 21:07:20 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 25 Jun 2016 21:07:20 +0200 Subject: SPF reject von Outlook und Hotmail In-Reply-To: <576ED4CC.2070109@kdmails.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> Message-ID: Hi, Am 25.06.2016 um 21:00 schrieb Daniel Gompf: > auch hier ist eine dieser IP-Adressen, zusätzlich irritiert mich das > "?", dort steht doch normalerweise die Absenderdomäne oder der Absender. > > Kontrolliere als erstes das mit der IP nochmal. > > Daniel kannst du mal von dem Mailserver aus Traceroutes zu den ominösen 25er-IP-Adressen machen? Sie dürften nirgendwo ankommen und müssten recht früh versanden, da es wie gesagt im Internet keine BGP-Routen dazu gibt. Es scheint auch keine derartigen Routen in den letzten Tagen - auch nicht kurzzeitig - gegeben zu haben. Kannst du entsprechende E-Mails testweise einmal annehmen und in Mailheader schauen? Nicht, dass da irgendein Dienst auf Basis der Received-Header SPF auswertet und da irgendeinen Schwachsinn herausparsed... Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Sat Jun 25 22:03:49 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jun 2016 22:03:49 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: <576ED4CC.2070109@kdmails.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> Message-ID: <001201d1cf1c$b07b2770$11717650$@ist-immer-online.de> Hi, nen trace ergibt ab 3. Hop nur *, erste ist der Router, und zweite der von Telekom. Also verläuft sich wie erwartet im Sande. Mich wundert ganze auch, von Exchange Konten kommen keine. Also Testweise nen hotmail.com OK geht durch, damit ist ganze SPF Prüfung ja mit weg. Habe zwar nen Konto bei MS aber eben nicht mit einer outlook.com oder hotmail adresse, sondern ne extra eigene Adresse. Ich habe Testweise mal Softfail reject rausgenommen, sollte also wer ne Testmail senden, kann ich header posten. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Daniel Gompf Gesendet: Samstag, 25. Juni 2016 21:00 An: Diskussionen und Support rund um Postfix Betreff: Re: SPF reject von Outlook und Hotmail -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Daniel Am 25.06.2016 um 14:06 schrieb Max Grobecker: > Moin Daniel, > > kann ich nicht bestätigen - aber wenn man sich das Log ansieht > läuft bei dir noch etwas anderes falsch: > >> hotmail.de discourages use of 25.152.2.56 as permitted sender) >> from snt004-omc2s43.hotmail.com[65.54.61.94]; >> from= > > Wie kommt dein Postfix auf 25.152.2.56? Die *KANN* nicht bei dir am > Server anklopfen. Die gehört zum britischen > Verteidigungsministerium und für den gesamten Bereich 25.0.0.0/8 > existieren im Internet keine BGP-Routen: > > route-server>show ip bgp 25.152.2.56 % Network not in table > > Es *kann* einfach nicht aus dem Internet kommen ;-) > Ich hatte da noch was im Hinterkopf, du hast am 7.6. schon mal so eine Frage gestellt, da dachte ich noch an einen falschen SPF-Record, aber auch dort hattest du schon diese Log-Zeile Jun 6 07:35:27 postfix/cleanup[7409]: 889A23316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.58 as permitted sender) from col004-omc4s17.hotmail.com[65.55.34.219]; auch hier ist eine dieser IP-Adressen, zusätzlich irritiert mich das "?", dort steht doch normalerweise die Absenderdomäne oder der Absender. Kontrolliere als erstes das mit der IP nochmal. Daniel -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXbtTMAAoJENuvw56q5FOi85MIAKG3h2S1lOJV2nWpiy/BEm7T 3IIo5pr197+Ppu9hLF++sW2O3BQrKz7+6NT9bpbp/QSiiAzw9bRAsJoG6OHgqnf/ lHG2ZJe+i6qmahoLTJxwKwtOvXIsf9B5yFvNwjjvAehXx5y9GZFLkj2Z7DwmpoUV vNO99v3V4QpQcNOiPckQj/bbtZhxb6cW+PwtwzmkwEbk3E/F/ui4gFvhEOS2PEyK 7WC0YMbt4heqElZ0Qv4i0E5oCAbCFHlrzV+yj3vl2bvxxEzJbCTOcFlnzoT4wRCl XbGxlpRgpAOYN/4FuZUdAwgmWb/kePtpV4InLRl6+CvaM+P+qQbd32AEKDJ1zOM= =lNk4 -----END PGP SIGNATURE----- From daniel at ist-immer-online.de Sat Jun 25 23:02:28 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 25 Jun 2016 23:02:28 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: <576ED4CC.2070109@kdmails.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> Message-ID: <001e01d1cf24$e2398dd0$a6aca970$@ist-immer-online.de> Hi, langsam wird ganze kurios, bei einer Testmail grad kam direkt nen pass, also ok. Blinke langsam auch nicht durch wieso einige pass sind, und andere SoftFail. Wie schon erwähnt, Exchange User mit eigener Domain kommen auch an. Header: Return-Path: X-Original-To: X at ist-immer-online.de Delivered-To: X at ist-immer-online.de Received-SPF: pass (outlook.de: Sender is authorized to use 'X at outlook.de' in 'mfrom' identity (mechanism 'include:spf-a.hotmail.com' matched)) receiver=Server; identity=mailfrom; envelope-from="X at outlook.de"; helo=DUB004-OMC2S28.hotmail.com; client-ip=157.55.1.167 Authentication-Results: server.ist-immer-online.de; dmarc=none header.from=outlook.de Received: from DUB004-OMC2S28.hotmail.com (dub004-omc2s28.hotmail.com [157.55.1.167]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)) (Client CN "*.outlook.com", Issuer "Microsoft IT SSL SHA2" (verified OK)) by server.ist-immer-online.de (Postfix) with ESMTPS id A6BB43316001 for ; Sat, 25 Jun 2016 22:48:39 +0200 (CEST) Received: from DUB127-W42 ([157.55.1.138]) by DUB004-OMC2S28.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23008); Sat, 25 Jun 2016 13:48:38 -0700 X-TMN: [0/EK/HLgn/YEtYyhHxAw+QJDpOhjHZhE] X-Originating-Email: [X at outlook.de] Message-ID: Return-Path: X at outlook.de Log: Jun 25 22:48:38 postfix/smtpd[15986]: connect from dub004-omc2s28.hotmail.com[157.55.1.167] Jun 25 22:48:39 postfix/smtpd[15986]: Trusted TLS connection established from dub004-omc2s28.hotmail.com[157.55.1.167]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits) Jun 25 22:48:39 postfix/policy-spf[15994]: Policy action=PREPEND Received-SPF: pass (outlook.de: Sender is authorized to use 'X at outlook.de' in 'mfrom' identity (mechanism 'include:spf-a.hotmail.com' matched)) receiver=Server; identity=mailfrom; envelope-from="X at outlook.de"; helo=DUB004-OMC2S28.hotmail.com; client-ip=157.55.1.167 Jun 25 22:48:40 postfix/policy-spf[15994]: Policy action=DUNNO Jun 25 22:48:40 postfix/smtpd[15986]: A6BB43316001: client=dub004-omc2s28.hotmail.com[157.55.1.167] Jun 25 22:48:40 postfix/cleanup[15999]: A6BB43316001: hold: header Received: from DUB004-OMC2S28.hotmail.com (dub004-omc2s28.hotmail.com [157.55.1.167])??(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))??(Client CN "*.outlook.com", Issuer "Microsoft from dub004-omc2s28.hotmail.com[157.55.1.167]; from= to= proto=ESMTP helo= Jun 25 22:48:40 postfix/cleanup[15999]: A6BB43316001: message-id= Jun 25 22:48:40 opendmarc[20880]: implicit authentication service: server.ist-immer-online.de Jun 25 22:48:40 opendmarc[20880]: A6BB43316001: outlook.de none Jun 25 22:48:41 postfix/smtpd[15986]: disconnect from dub004-omc2s28.hotmail.com[157.55.1.167] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Jun 25 22:48:42 MailScanner[6649]: New Batch: Scanning 1 messages, 3007 bytes Jun 25 22:48:42 MailScanner[6649]: Virus and Content Scanning: Starting Jun 25 22:48:45 MailScanner[6649]: Requeue: A6BB43316001.A45C7 to A25573316003 Jun 25 22:48:45 postfix/qmgr[6600]: A25573316003: from=, size=2017, nrcpt=1 (queue active) Jun 25 22:48:45 MailScanner[6649]: Uninfected: Delivered 1 messages Jun 25 22:48:45 MailScanner[6649]: Deleted 1 messages from processing-database Jun 25 22:48:45 dovecot: lda(X): sieve: msgid=: stored mail into mailbox 'INBOX' Jun 25 22:48:45 postfix/local[16040]: A25573316003: to=, relay=local, delay=6.1, delays=5.8/0.02/0/0.25, dsn=2.0.0, status=sent (delivered to command: /var/libexec/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT") Jun 25 22:48:45 postfix/qmgr[6600]: A25573316003: removed Anderer Header: Return-Path: X-Original-To: X at ist-immer-online.de Delivered-To: X at ist-immer-online.de Received-SPF: pass (account.microsoft.com: Sender is authorized to use 'account-security-noreply at account.microsoft.com' in 'mfrom' identity (mechanism 'include:spf-a.hotmail.com' matched)) receiver=Server; identity=mailfrom; envelope-from="account-security-noreply at account.microsoft.com"; helo=BAY004-OMC3S11.hotmail.com; client-ip=65.54.190.149 Authentication-Results: server.ist-immer-online.de; dmarc=pass header.from=account.microsoft.com Received: from BAY004-OMC3S11.hotmail.com (bay004-omc3s11.hotmail.com [65.54.190.149]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)) (Client CN "*.outlook.com", Issuer "Microsoft IT SSL SHA2" (verified OK)) Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Daniel Gompf Gesendet: Samstag, 25. Juni 2016 21:00 An: Diskussionen und Support rund um Postfix Betreff: Re: SPF reject von Outlook und Hotmail -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Daniel Am 25.06.2016 um 14:06 schrieb Max Grobecker: > Moin Daniel, > > kann ich nicht bestätigen - aber wenn man sich das Log ansieht > läuft bei dir noch etwas anderes falsch: > >> hotmail.de discourages use of 25.152.2.56 as permitted sender) >> from snt004-omc2s43.hotmail.com[65.54.61.94]; >> from= > > Wie kommt dein Postfix auf 25.152.2.56? Die *KANN* nicht bei dir am > Server anklopfen. Die gehört zum britischen > Verteidigungsministerium und für den gesamten Bereich 25.0.0.0/8 > existieren im Internet keine BGP-Routen: > > route-server>show ip bgp 25.152.2.56 % Network not in table > > Es *kann* einfach nicht aus dem Internet kommen ;-) > Ich hatte da noch was im Hinterkopf, du hast am 7.6. schon mal so eine Frage gestellt, da dachte ich noch an einen falschen SPF-Record, aber auch dort hattest du schon diese Log-Zeile Jun 6 07:35:27 postfix/cleanup[7409]: 889A23316001: reject: header received-spf: SoftFail (protection.outlook.com: domain of transitioning? hotmail.de discourages use of 25.152.0.58 as permitted sender) from col004-omc4s17.hotmail.com[65.55.34.219]; auch hier ist eine dieser IP-Adressen, zusätzlich irritiert mich das "?", dort steht doch normalerweise die Absenderdomäne oder der Absender. Kontrolliere als erstes das mit der IP nochmal. Daniel -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXbtTMAAoJENuvw56q5FOi85MIAKG3h2S1lOJV2nWpiy/BEm7T 3IIo5pr197+Ppu9hLF++sW2O3BQrKz7+6NT9bpbp/QSiiAzw9bRAsJoG6OHgqnf/ lHG2ZJe+i6qmahoLTJxwKwtOvXIsf9B5yFvNwjjvAehXx5y9GZFLkj2Z7DwmpoUV vNO99v3V4QpQcNOiPckQj/bbtZhxb6cW+PwtwzmkwEbk3E/F/ui4gFvhEOS2PEyK 7WC0YMbt4heqElZ0Qv4i0E5oCAbCFHlrzV+yj3vl2bvxxEzJbCTOcFlnzoT4wRCl XbGxlpRgpAOYN/4FuZUdAwgmWb/kePtpV4InLRl6+CvaM+P+qQbd32AEKDJ1zOM= =lNk4 -----END PGP SIGNATURE----- From usenet at schani.com Sun Jun 26 12:06:37 2016 From: usenet at schani.com (usenet at schani.com) Date: Sun, 26 Jun 2016 12:06:37 +0200 Subject: =?UTF-8?Q?Re:_Spam_=c3=bcber_Postfix?= In-Reply-To: References: <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> Message-ID: <480a51ad-581f-6ef6-364b-df426f90875b@schani.com> Gibt es eine Möglichkeit herauszubekommen woher intern die Emails kommen? Gibts dazu einen Debug Log Modus? Christian Am 24.06.2016 um 18:49 schrieb André Peters: > Irgendwelche "genullten" WordPress Plugins? > > Mal zu spät ein Update gemacht? Da ist sicher noch Malware drauf. > > Abschalten der Mail Funktion in PHP ist möglich, aber nicht die Lösung > des Problems. > > Ist jedenfalls nicht Postfix, das den Übeltäter reingelassen hat. :-) > Postqueue ist bis oben voll? From Ralf.Hildebrandt at charite.de Sun Jun 26 12:18:12 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 26 Jun 2016 12:18:12 +0200 Subject: Spam =?utf-8?B?w7xiZXI=?= Postfix In-Reply-To: <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> References: <20160624143645.GO30869@charite.de> <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> Message-ID: <20160626101808.GA17489@charite.de> * usenet at schani.com : > Kann man die sendmail Funktion abschalten, also das keine Mail lokal > angenommen wird? > > hier die Logs: > > > fgrep msg1466779375 at meinedomain.de /var/log/mail.* Stell den Verbose modus ab, den braucht kein Mensch > /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: < localhost.localdomain[127.0.0.1]: MAIL FROM: Mail kommt von localhost rein. > /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: < localhost.localdomain[127.0.0.1]: MAIL FROM: -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From usenet at schani.com Sun Jun 26 13:05:35 2016 From: usenet at schani.com (usenet at schani.com) Date: Sun, 26 Jun 2016 13:05:35 +0200 Subject: =?UTF-8?Q?Re:_Spam_=c3=bcber_Postfix?= In-Reply-To: <20160626101808.GA17489@charite.de> References: <20160624143645.GO30869@charite.de> <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> <20160626101808.GA17489@charite.de> Message-ID: Lokal ist klar, aber woher, also wer das sendet bekomme ich nicht raus? Christian Am 26.06.2016 um 12:18 schrieb Ralf Hildebrandt: > * usenet at schani.com : >> Kann man die sendmail Funktion abschalten, also das keine Mail lokal >> angenommen wird? >> >> hier die Logs: >> >> >> fgrep msg1466779375 at meinedomain.de /var/log/mail.* > Stell den Verbose modus ab, den braucht kein Mensch > >> /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[8090]: < localhost.localdomain[127.0.0.1]: MAIL FROM: > Mail kommt von localhost rein. > >> /var/log/mail.info:Jun 24 16:42:56 wwl7 postfix/smtpd[7274]: < localhost.localdomain[127.0.0.1]: MAIL FROM: From daniel at ist-immer-online.de Sun Jun 26 14:25:51 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 26 Jun 2016 14:25:51 +0200 Subject: =?UTF-8?Q?AW:_Spam_=C3=BCber_Postfix?= In-Reply-To: References: <20160624143645.GO30869@charite.de> <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> <20160626101808.GA17489@charite.de> Message-ID: <000901d1cfa5$e0eff230$a2cfd690$@ist-immer-online.de> Ich wüsste nicht woher, müsstest ja alles was Mails erzeugen kann an Dienste überwachen. Bestimmt irgendwelche CMS (phpbb, jomla,...) wo man keine Updates einspielt und auch keine captcha einsetzt. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von usenet at schani.com Gesendet: Sonntag, 26. Juni 2016 13:06 An: Diskussionen und Support rund um Postfix Betreff: Re: Spam über Postfix Lokal ist klar, aber woher, also wer das sendet bekomme ich nicht raus? Christian From ad+lists at uni-x.org Sun Jun 26 15:30:15 2016 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Sun, 26 Jun 2016 15:30:15 +0200 Subject: =?UTF-8?Q?Re:_Spam_=c3=bcber_Postfix?= In-Reply-To: References: <20160624143645.GO30869@charite.de> <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> <20160626101808.GA17489@charite.de> Message-ID: <2b9fecc5-eb1a-669b-770b-4ce28507ccbc@uni-x.org> Am 26.06.2016 um 13:05 schrieb usenet at schani.com: > Lokal ist klar, aber woher, also wer das sendet bekomme ich nicht raus? > > Christian Schon mal in eine solche Mail reingeschaut per "postcat -q "? Vielleicht findet sich da ja was Hilfreiches im Header. Ansonsten hast Du ja Zeitstempel, wann Postfix die Mail annimmt. Dann schau in das Log des Webservers, was dort zu dem Zeitpunkt aktiv ist. Oder nimm permit_mynetworks aus den smtpd__restrictions und schau, was dann im Webserverlog auffällig wird. Alexander From daniel at ist-immer-online.de Sun Jun 26 21:26:36 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 26 Jun 2016 21:26:36 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> Message-ID: <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> Huhu, da bisher sonst keine Testmail kam, hab ich mir fix nen Fake Konto erstellt. Der Anfang sieht ok aus im recht langen header mit pass, aber zum Ende hin nicht, und wieder die 25er IP. Gruß Daniel Return-Path: X-Original-To: daniel at ist-immer-online.de Delivered-To: daniel at ist-immer-online.de Received-SPF: pass (outlook.de: Sender is authorized to use 'hallo123test456 at outlook.de' in 'mfrom' identity (mechanism 'include:spf-a.hotmail.com' matched)) receiver=Server; identity=mailfrom; envelope-from="hallo123test456 at outlook.de"; helo=BAY004-OMC1S22.hotmail.com; client-ip=65.54.190.33 Authentication-Results: server.ist-immer-online.de; dmarc=none header.from=outlook.de Received: from BAY004-OMC1S22.hotmail.com (bay004-omc1s22.hotmail.com [65.54.190.33]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)) (Client CN "*.outlook.com", Issuer "Microsoft IT SSL SHA2" (verified OK)) by server.ist-immer-online.de (Postfix) with ESMTPS id 952FA3316001 for ; Sun, 26 Jun 2016 21:14:40 +0200 (CEST) Received: from EUR01-HE1-obe.outbound.protection.outlook.com ([65.54.190.59]) by BAY004-OMC1S22.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23008); Sun, 26 Jun 2016 12:14:37 -0700 Received: from HE1EUR01FT022.eop-EUR01.prod.protection.outlook.com (10.152.0.60) by HE1EUR01HT092.eop-EUR01.prod.protection.outlook.com (10.152.0.224) with Microsoft SMTP Server (TLS) id 15.1.517.7; Sun, 26 Jun 2016 19:14:34 +0000 Received: from AM4PR07MB1586.eurprd07.prod.outlook.com (10.152.0.54) by HE1EUR01FT022.mail.protection.outlook.com (10.152.0.165) with Microsoft SMTP Server (TLS) id 15.1.523.9 via Frontend Transport; Sun, 26 Jun 2016 19:14:34 +0000 Received: from AM4PR07MB1586.eurprd07.prod.outlook.com ([10.165.249.18]) by AM4PR07MB1586.eurprd07.prod.outlook.com ([10.165.249.18]) with mapi id 15.01.0523.019; Sun, 26 Jun 2016 19:14:33 +0000 From: Fake Fake To: "daniel at ist-immer-online.de" Subject: testmail Thread-Topic: testmail Thread-Index: AQHRz9742IMJJVfq1EeVVa1HG+UziQ== Date: Sun, 26 Jun 2016 19:14:33 +0000 Message-ID: Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: yes X-MS-TNEF-Correlator: authentication-results: spf=softfail (sender IP is 25.152.0.54) smtp.mailfrom=outlook.de; ist-immer-online.de; dkim=none (message not signed) header.d=none;ist-immer-online.de; dmarc=none action=none header.from=outlook.de; received-spf: SoftFail (protection.outlook.com: domain of transitioning outlook.de discourages use of 25.152.0.54 as permitted sender) x-tmn: [INyttcAZUANGxxnv7RdWknG4H6h6b/4p] x-eopattributedmessage: 0 x-forefront-antispam-report: CIP:25.152.0.54;IPV:NLI;CTRY:GB;EFV:NLI;SFV:NSPM;SFS:(10019020)(98900003);DIR:OUT;SFP:1102;SCL:1;SRVR:HE1EUR01HT092;H:AM4PR07MB1586. eurprd07.prod.outlook.com;FPR:;SPF:None;CAT:NONE;LANG:de;CAT:NONE; x-ms-office365-filtering-correlation-id: 42a82777-d271-44eb-7c89-08d39df61b81 x-microsoft-antispam: UriScan:;BCL:0;PCL:0;RULEID:(1601124038)(5061506196)(5061507196)(1603103041)(1601125047);SRVR:HE1EUR01HT092; x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID:(432015012)(102415321)(82015046);SRVR:HE1EUR01HT092;BCL:0;PCL:0;RULEID:;SRVR:HE1EUR01HT092; x-forefront-prvs: 0985DA2459 Content-Type: multipart/related; boundary="_004_AM4PR07MB15861D88EFEC394E85EE4C65CB200AM4PR07MB1586eurp_"; type="multipart/alternative" MIME-Version: 1.0 X-OriginatorOrg: outlook.com X-MS-Exchange-CrossTenant-originalarrivaltime: 26 Jun 2016 19:14:33.6206 (UTC) X-MS-Exchange-CrossTenant-fromentityheader: Internet X-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa X-MS-Exchange-Transport-CrossTenantHeadersStamped: HE1EUR01HT092 Return-Path: hallo123test456 at outlook.de X-OriginalArrivalTime: 26 Jun 2016 19:14:37.0656 (UTC) FILETIME=[FB516580:01D1CFDE] X-MailScanner-ID: 952FA3316001.AC4A0 X-MailScanner: Found to be clean X-MailScanner-SpamScore: s X-MailScanner-From: hallo123test456 at outlook.de X-Spam-Status: No root:~# nslookup -q=txt protection.outlook.com Non-authoritative answer: protection.outlook.com text = "v=spf1 include:spf.protection.outlook.com -all" Authoritative answers can be found from: root:~# nslookup -q=txt protection.outlook.de Non-authoritative answer: *** Can't find protection.outlook.de: No answer Authoritative answers can be found from: protection.outlook.de origin = hostmaster.protection.outlook.com mail addr = hostmaster.protection.outlook.com serial = 2016020894 refresh = 10800 retry = 3600 expire = 604800 minimum = 300 From ae at ae-online.de Mon Jun 27 07:04:29 2016 From: ae at ae-online.de (Andreas Ernst) Date: Mon, 27 Jun 2016 07:04:29 +0200 Subject: =?UTF-8?Q?Re:_Spam_=c3=bcber_Postfix?= In-Reply-To: <480a51ad-581f-6ef6-364b-df426f90875b@schani.com> References: <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> <480a51ad-581f-6ef6-364b-df426f90875b@schani.com> Message-ID: Am 26.06.16 um 12:06 schrieb usenet at schani.com: > Gibt es eine Möglichkeit herauszubekommen woher intern die Emails kommen? > Gibts dazu einen Debug Log Modus? Falls Du den Apache einsetzt: php_admin_value sendmail_from info at domain.de php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f info at domain.de" -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de | www.ae-online.de www.tachyon-online.de From andreas.schulze at datev.de Mon Jun 27 08:32:10 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 27 Jun 2016 08:32:10 +0200 Subject: SPF reject von Outlook und Hotmail In-Reply-To: <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> Message-ID: <054c1ad1-6fc9-1296-6221-90ec134bb8ab@datev.de> Am 26.06.2016 um 21:26 schrieb Daniel: > Huhu, > > da bisher sonst keine Testmail kam, hab ich mir fix nen Fake Konto erstellt. > > Der Anfang sieht ok aus im recht langen header mit pass, aber zum Ende hin nicht, und wieder die 25er IP. irgendwie liest sich das, als wäre Dein SPF-Checker kaputt. Daher möchte ich an dieser Stelle explizit auf OpenDMARC verweisen. Allerdings bitte keine Distributionspakete verwenden. OpenDMARC *muss* ( Stand Q2/2016) aus dem Quellcode compiliert werden! Man nehme - die aktuelle Version 1.3.1 von https://sf.net/p/opendmarc - libspf2 - eine ganze Menge an Patches (https://andreasschulze.de/dmarc/opendmarc) und schon hat man einen SPF- und DMARC Checker in /einem/ Milter. Noch mit etwas OpenDKIM würzen (https://andreasschulze.de/dkim) und dann kann man erwägen, mit 2 Miltern Mails zu rejecten :-) Andreas From Ralf.Hildebrandt at charite.de Mon Jun 27 09:26:38 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 27 Jun 2016 09:26:38 +0200 Subject: Spam =?utf-8?B?w7xiZXI=?= Postfix In-Reply-To: <2b9fecc5-eb1a-669b-770b-4ce28507ccbc@uni-x.org> References: <20160624143645.GO30869@charite.de> <3099b450-df7c-4508-16b2-ef55cfec749b@schani.com> <20160626101808.GA17489@charite.de> <2b9fecc5-eb1a-669b-770b-4ce28507ccbc@uni-x.org> Message-ID: <20160627072638.GB13470@charite.de> * Alexander Dalloz : > Am 26.06.2016 um 13:05 schrieb usenet at schani.com: > >Lokal ist klar, aber woher, also wer das sendet bekomme ich nicht raus? > > > >Christian > > Schon mal in eine solche Mail reingeschaut per "postcat -q "? > Vielleicht findet sich da ja was Hilfreiches im Header. postconf -e "defer_transports = smtp" postfix reload dann obiges "postcat -q " in Ruhe machen > Ansonsten hast Du ja Zeitstempel, wann Postfix die Mail annimmt. Dann schau > in das Log des Webservers, was dort zu dem Zeitpunkt aktiv ist. Genau > Oder nimm permit_mynetworks aus den smtpd__restrictions und schau, > was dann im Webserverlog auffällig wird. > > Alexander > -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From wn at neessen.net Mon Jun 27 10:11:11 2016 From: wn at neessen.net (Winfried Neessen) Date: Mon, 27 Jun 2016 10:11:11 +0200 Subject: SPF reject von Outlook und Hotmail In-Reply-To: <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> Message-ID: <7BF9C4BC-6C29-4D43-BF3A-DB800DB4A5AE@neessen.net> Hi, Am 26.06.2016 um 21:26 schrieb Daniel : > authentication-results: spf=softfail (sender IP is 25.152.0.54) > smtp.mailfrom=outlook.de; ist-immer-online.de; dkim=none (message not signed) > header.d=none;ist-immer-online.de; dmarc=none action=none > header.from=outlook.de; > received-spf: SoftFail (protection.outlook.com: domain of transitioning > outlook.de discourages use of 25.152.0.54 as permitted sender) Du pruefst zum testen die ganze Zeit nur den DNS. Postfix wird aber normalerweise die Reihenfolge der nsswitch.conf durchgehen. Das heisst i. d. R. erst die lokale hosts Datei und dann erst den DNS. Vielleicht ist da was bei Dir krumm. Check mal: % grep hosts /etc/nsswitch.conf; grep -E '(25.152.0|outlook|hotmail)' /etc/hosts und (falls Postfix im chroot laeuft): % grep hosts /var/spool/postfix/etc/nsswitch.conf; grep -E '(25.152.0|outlook|hotmail)' /var/spool/postfix/etc/hosts Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From daniel at ist-immer-online.de Mon Jun 27 11:14:12 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 27 Jun 2016 11:14:12 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: <7BF9C4BC-6C29-4D43-BF3A-DB800DB4A5AE@neessen.net> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> <7BF9C4BC-6C29-4D43-BF3A-DB800DB4A5AE@neessen.net> Message-ID: <003101d1d054$45682b20$d0388160$@ist-immer-online.de> Hi, ~# grep hosts /etc/nsswitch.conf; grep -E '(25.152.0|outlook|hotmail)' /etc/hosts hosts: files dns Postfix soll ja auch nur DNS verwenden smtp_dns_support_level = dnssec smtp_host_lookup = dns in der hosts Datei steht ja eh nur localhost, und sonst wird ja lokal nichts vorgegeben. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Montag, 27. Juni 2016 10:11 An: Diskussionen und Support rund um Postfix Betreff: Re: SPF reject von Outlook und Hotmail Hi, Am 26.06.2016 um 21:26 schrieb Daniel : > authentication-results: spf=softfail (sender IP is 25.152.0.54) > smtp.mailfrom=outlook.de; ist-immer-online.de; dkim=none (message not signed) > header.d=none;ist-immer-online.de; dmarc=none action=none > header.from=outlook.de; > received-spf: SoftFail (protection.outlook.com: domain of transitioning > outlook.de discourages use of 25.152.0.54 as permitted sender) Du pruefst zum testen die ganze Zeit nur den DNS. Postfix wird aber normalerweise die Reihenfolge der nsswitch.conf durchgehen. Das heisst i. d. R. erst die lokale hosts Datei und dann erst den DNS. Vielleicht ist da was bei Dir krumm. Check mal: % grep hosts /etc/nsswitch.conf; grep -E '(25.152.0|outlook|hotmail)' /etc/hosts und (falls Postfix im chroot laeuft): % grep hosts /var/spool/postfix/etc/nsswitch.conf; grep -E '(25.152.0|outlook|hotmail)' /var/spool/postfix/etc/hosts Winni From max.grobecker at ml.grobecker.info Mon Jun 27 19:51:51 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Mon, 27 Jun 2016 19:51:51 +0200 Subject: SPF reject von Outlook und Hotmail In-Reply-To: <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> Message-ID: <2d5961a3-9edc-a27f-ba23-cc0c9ec2523b@ml.grobecker.info> Hi Daniel, auf mich wirkt das so, als wenn Microsoft diese IP-Adressen schwachsinnigerweise intern für irgendwas verwendet und DEREN SPF-Prüfung klingelt. Deine Prüfung scheint "pass" zu werfen, weil sie auch die 65.54.190.33 des bei dir einliefernden Servers überprüft. Die 25.152.0.54 taucht in einem Header auf, in der der Server "AM4PR07MB1586" namentliche Erwähnung findet, welcher wiederum weiter oben als Received-Header im Hotmail-internen Netz nochmal auftaucht. Erschwerend kommt hinzu, dass deine SPF-Prüfung vollkommen andere Header schreibt als die, die weiter unten (und damit früher erzeugt) in den Headern zu finden ist. Alles ziemlich obskur. Ich denke, Microsoft hat damit ein weiteres Mal der ganzen Welt bewiesen, dass sie von Netzwerk und Mailservern nur geringfügig Ahnung haben ;-) Warum das allerdings bei dir zu einer Ablehnung führt ist weiterhin merkwürdig - denn optimalerweise sollte sich dein System nicht an fremden Mailheadern orientieren um SPF-Prüfungen zu machen. Ich habe jetzt aber auch keine direkte Idee, wo man da was verstellt haben könnte damit derartiges passiert... Viele Grüße aus dem Tal Max Am 26.06.2016 um 21:26 schrieb Daniel: > Received-SPF: pass (outlook.de: Sender is authorized to use 'hallo123test456 at outlook.de' in 'mfrom' identity (mechanism > 'include:spf-a.hotmail.com' matched)) receiver=Server; identity=mailfrom; envelope-from="hallo123test456 at outlook.de"; > helo=BAY004-OMC1S22.hotmail.com; client-ip=65.54.190.33 > Received: from BAY004-OMC1S22.hotmail.com (bay004-omc1s22.hotmail.com [65.54.190.33]) > (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)) > (Client CN "*.outlook.com", Issuer "Microsoft IT SSL SHA2" (verified OK)) > by server.ist-immer-online.de (Postfix) with ESMTPS id 952FA3316001 > for ; Sun, 26 Jun 2016 21:14:40 +0200 (CEST) > Received: from AM4PR07MB1586.eurprd07.prod.outlook.com ([10.165.249.18]) by > AM4PR07MB1586.eurprd07.prod.outlook.com ([10.165.249.18]) with mapi id > 15.01.0523.019; Sun, 26 Jun 2016 19:14:33 +0000 > authentication-results: spf=softfail (sender IP is 25.152.0.54) > smtp.mailfrom=outlook.de; ist-immer-online.de; dkim=none (message not signed) > header.d=none;ist-immer-online.de; dmarc=none action=none > header.from=outlook.de; > received-spf: SoftFail (protection.outlook.com: domain of transitioning > outlook.de discourages use of 25.152.0.54 as permitted sender) > x-tmn: [INyttcAZUANGxxnv7RdWknG4H6h6b/4p] > x-eopattributedmessage: 0 > x-forefront-antispam-report: > CIP:25.152.0.54;IPV:NLI;CTRY:GB;EFV:NLI;SFV:NSPM;SFS:(10019020)(98900003);DIR:OUT;SFP:1102;SCL:1;SRVR:HE1EUR01HT092;H:AM4PR07MB1586. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Mon Jun 27 20:44:32 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 27 Jun 2016 20:44:32 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: <2d5961a3-9edc-a27f-ba23-cc0c9ec2523b@ml.grobecker.info> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> <2d5961a3-9edc-a27f-ba23-cc0c9ec2523b@ml.grobecker.info> Message-ID: <001a01d1d0a3$f2147a50$d63d6ef0$@ist-immer-online.de> Hi Max, danke für die Antwort, auch der Monster Header den ich bei outlook.com also OWA gesehen hatte hat diese IP drinnen. Zudem wird nicht mal transparent der Grund mitgeteilt, weil mein Mailserver mitgeteilt hat, zumindest nicht im body, nur im header. Nur ne schlichte "nicht zugestellt" Info. Und dann zum Versenden im OWA nen Captcha abfragen wegen Spam, und nach 4-5 versuchen Konto vorrübergehend sperren wegen ungewöhnlicher Aktivitäten. Gebe doch keine Handynummer zur Verifizierung an. Allein deren SPF ist auch schon ne Zumutung mit gut 100 IP Bereichen mit mehrfach verschachtelten SPF Einträgen. http://spf.myisp.ch/?host=outlook.com Wundert mich, wieso dann eher wenige betroffen sind, und hier nicht entsprechend bekannt ist oder auch auftaucht. Im Internet hatte ich andere Foren auch schon mal was gefunden gehabt mit der 25er IP im header. Gruß Daniel ==================================================== Received: from DB5PR07MB1590.eurprd07.prod.outlook.com (10.165.212.144) by VI1PR07MB1597.eurprd07.prod.outlook.com (10.165.239.19) with Microsoft SMTP Server (TLS) id 15.1.528.16 via Mailbox Transport; Sun, 26 Jun 2016 19:59:35 +0000 Received: from HE1PR0701CA0036.eurprd07.prod.outlook.com (10.165.214.174) by DB5PR07MB1590.eurprd07.prod.outlook.com (10.165.212.144) with Microsoft SMTP Server (TLS) id 15.1.523.12; Sun, 26 Jun 2016 19:59:34 +0000 Received: from HE1EUR01FT063.eop-EUR01.prod.protection.outlook.com (2a01:111:f400:7e1f::205) by HE1PR0701CA0036.outlook.office365.com (2603:10a6:3:5::46) with Microsoft SMTP Server (TLS) id 15.1.528.16 via Frontend Transport; Sun, 26 Jun 2016 19:59:34 +0000 Received: from COL004-MC3F42.hotmail.com (10.152.0.59) by HE1EUR01FT063.mail.protection.outlook.com (10.152.1.51) with Microsoft SMTP Server (TLS) id 15.1.523.9 via Frontend Transport; Sun, 26 Jun 2016 19:59:33 +0000 Received: from COL004-OMC4S1.hotmail.com ([65.55.34.203]) by COL004-MC3F42.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23143); Sun, 26 Jun 2016 12:59:31 -0700 From: To: Date: Sun, 26 Jun 2016 12:59:31 -0700 Content-Type: multipart/report; report-type=delivery-status; boundary="9B095B5ADSN=_01D1C89A9265C0F600128091COL004?OMC4S1.ho" X-DSNContext: 7ce717b1 - 1196 - 00000002 - 00000000 Message-ID: <1fVjhhsyl0001dfac at COL004-OMC4S1.hotmail.com> Subject: Delivery Status Notification (Failure) Return-Path: <> X-OriginalArrivalTime: 26 Jun 2016 19:59:31.0452 (UTC) FILETIME=[40F20BC0:01D1CFE5] X-MS-Exchange-Organization-Network-Message-Id: 3ecda614-5c36-4289-973e-08d39dfc652e X-EOPAttributedMessage: 0 X-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0 X-MS-Exchange-Organization-MessageDirectionality: Incoming CMM-sending-ip: 65.55.34.203 CMM-Authentication-Results: hotmail.com; spf=none (sender IP is 65.55.34.203; identity alignment result is pass and alignment mode is relaxed) smtp.helo=COL004-OMC4S1.hotmail.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=mail.hotmail.com; x-hmca=none header.id=postmaster at mail.hotmail.com CMM-X-SID-PRA: postmaster at mail.hotmail.com CMM-X-AUTH-Result: NONE CMM-X-SID-Result: NONE CMM-X-Message-Delivery: Vj0xLjE7RD0wO0dEPTA7U0NMPTk7bD0xO3VzPTE= CMM-X-Message-Info: AuEzbeVr9u5fkDpn2vR5iCu5wb6HBeY4iruBjnutBzpStnUabbM/X7ntk7toWE5FqjK9EHZ55vKri4oakMA6gQ3/ySO79PTUvGuzLpTPbwbZ8VO5hbWfENehxWPXvqJcI07W kxUhlA0wdjBUcdR8i9GcnzIy6UqaIgTlnLlCBYHDxPqZZxgzog== X-Forefront-Antispam-Report: EFV:NLI;SFV:NSPM;SFS:(88900001);DIR:INB;SFP:;SCL:1;SRVR:DB5PR07MB1590;H:COL004-MC3F42.hotmail.com;FPR:;SPF:None;LANG:; X-MS-Office365-Filtering-Correlation-Id: 3ecda614-5c36-4289-973e-08d39dfc652e X-Microsoft-Exchange-Diagnostics: 1;DB5PR07MB1590;2:KhTbtrQH8HGw+CoJXtBn591k2/FQXyW1MZjxpvq+DYxTfNv9cYdzkoyYc9SX2BxdyUs/O5Vmm+eEVgIe3HxRGyFhKuWe5Ejpsm+V7UzKn3Rh/MoZ4j oH5KhUHzj5p0cfGfqxOftAnaAcn0rPUsG75K8+ccmYo/zd/eWCB4AaOMIOr0ZQcyXju0mjvpHaftb+/OJnmL1wfmABGz9NWO9/3A==;3:mRgw1kp9DsK1oTKUmCZqXEGCmUX sD8R+8CxUMJg6TY6zC0T5elOqiuvm+A2P0J3fmCA33nkUP9QWnb73uGy21KaQQmYML5BaAYeQKlMFvvQVKPY4ymSrMcMNqwQJqaRiBHjsZH5Kx/A7/AXgsCrKISFd2bNus0t FQZZKFiLrGs8=;25:3iTxk0W3RdSAUgEj+G/qH4SYKggKSn73uA2C/QR44Gp7OsmTh51tiqSNe9v2HknnGmTQyTjuwdiYsIAUIImYsY+uOLnpb3gWEMkPZSMSY+Iug50ogK5 zeLcpyLDqnQzawRsqZ1r9qlBLhQTX6duRmZRRxghA/XageI13dXAVOJnAgrK9xC4jKawLsyw/6PcrWBWyzN49qNYJPOgRcEX8LapQhfoxERdkiAOY7FrV/UnO36DyIZbtF2g frxcpIO7mTaVVlYSxhC0W9LNysQlKHbwVKrcjSv1Nl+28XsNclOCibxGgSXODAB0RB25N1cc9RkrB4i77BRLE6ob0ptZmsqEyJE+57s7vWZTEiFxVmSvZb88i1ZnWdHCdrYu xb43gfwNkH1jpfNmvjjryDdN4kOg8UWJIfdB8Pm0FZniGtWfj0RPBwxdaV7+DfIF03DZoeOEh99ksmWr1+sdUmJ4fkJBoBhdJbVY/gTCOa5l3uwc= X-Microsoft-Antispam: BCL:0;PCL:0;RULEID:(8291501002);SRVR:DB5PR07MB1590; X-Exchange-Antispam-Report-CFA-Test: BCL:0;PCL:0;RULEID:(102415321)(82015046);SRVR:DB5PR07MB1590;BCL:0;PCL:0;RULEID:;SRVR:DB5PR07MB1590; X-Microsoft-Exchange-Diagnostics: 1;DB5PR07MB1590;4:M/Hg8DM4USSQH9YAE6khUCG0DkWk3vr4ZDROWaGMiykL8j9d5Ctql2YzhFjnIx4o0CTe/rIb3l/SbnWDCS8yn1sqWz72vCWRuY8luqtpmZ6kkiiqQT SPdNLhuqVkblwEabjtRRuLVnVvJYWBgK5Rg44Tb1yP3b0nBlrZi7+MCzYFpB/hMaZAYeQ0F+DaMPimHzMA17KyynBrHeNvvY8OmPgNeOpclUumpWYA6har0OJ5R5vT0CsBcv 7fOf1vAYBalV6LmW4gYDqcitRwedmwDq+uywP17R0Fj3M/xgLwZhM=;23:TDGg5vzvACIlzh1bpenFAvGIoLhl3CpvPmCRN2fk07rfLywiZcn/0KZVW7Pea8u70lgx2jLpfI iIilUfDTKwI87f8A0aY0mPXPFFH4YKMT6sFtepWkQAuVdKmd6pAI+Mtfs0AAPm+juYbSa72+JyZYqXWiSXWMktbISEm6Jsj8oWpmlokmfuUm0F2RB5hYn4;6:CB2kRAtPAYn aBY0LB3LdHLFgL09srdAA87PseQge1eLW4Ro//25x7a93acm2zC5rMjVg0In5PgHzbIy2r6pFIRfTBuKgZ+oylHAKW+uUAESXfu9dj5Nagw+jnWbnF+i4mAiVik5KqBAtZgu ybVpY+HtV9KSllZFu7VG7llmiuwhw+Hd8RLkx11Ok3nagtFwNJnz7aRLRrbpPYUFD9lr4Khr4nW1DXroGpIrObiKHgnyfg8RxYtKf7Exp2OHmbmwJ3iXQwBz+zGPhpNk/EU5 VmtB2mEMexka+LqTiHdnffbrhjLLds5s31A8oGxuAMrD6tydLgizvyEQNgckaZqKJuEsrLJQ4fzyKMYQy/JEYdi4LUOivS8r06NTwz9Sgk1ok X-MS-Exchange-Organization-SCL: 1 X-Microsoft-Exchange-Diagnostics: 1;DB5PR07MB1590;5:uZNQ72J2cmkQ6mztlqT0mBRORsXe98npzB1Z4kb1n/tlM+fKO6dkmySx0JC496nvSDCuC5bRhji9/+SFp6U7YykI0jfsYUs8CVO4OF44TciBy+stf5 OiGEDzJ6nBtgas;24:FTHlP1KWse1gPpaaowuNsNot56rmPt3l1lb1sjE4pJ+KN5WNMpJlyl3c3Kkf7vO438CNOanv2w2Oo1ZTwid9D6S2RnUjXTMWZ3ImZegEqf0=;7:VEw ghCL/ZJoYjjeNMNX6x/bhSYzxzpzla8iLEO9YgMxFcshr774hQECawxS8NXvLxszvvGFweR7gQXm9gVOo28rUMz3lqMJY/04S8xDmvD8DHvJknWltUL9eZaPT2dsBl4ZbEpi rzZj2LpEvIpyxPEIP0XbxsIO+0JvxUkFp/x2LKDDOY7+EZJpiYg+44+zAFGUluOLpLOA6JggQCszKmWkruMlHUxXHnWnzbow25FTMyJgoCj3dTheAP+z1n38PFzUmeyzyupG 6TE6EmgO5KpK5D4P2/K2rybqrA+16yH8= SpamDiagnosticOutput: 1:99 SpamDiagnosticMetadata: NSPM X-MS-Exchange-CrossTenant-OriginalArrivalTime: 26 Jun 2016 19:59:33.3461 (UTC) X-MS-Exchange-CrossTenant-Id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa X-MS-Exchange-CrossTenant-FromEntityHeader: Internet X-MS-Exchange-Transport-CrossTenantHeadersStamped: DB5PR07MB1590 X-MS-Exchange-Organization-AuthSource: HE1EUR01FT063.eop-EUR01.prod.protection.outlook.com X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Exchange-Transport-EndToEndLatency: 00:00:01.9550989 X-Microsoft-Exchange-Diagnostics: 1;VI1PR07MB1597;9:Tu28AOes/wJCO7KUyvW9pm9f8J86yZ+k5jb5N4xvxdL4At9LSTJrmCUWGJ22jyJkqO3xgkAwRcnCwu7C1tYtweB6T9VAnJOHFN2Pe5PNoFVTEDzV6T jCA82hTa/Oeq3+VNhnNN7x30xxhUGhceO4f19wUVqLj3jksfLTolhB9MOtNtGcgNQ34R49ySh+H34blrj4YaYyhEif3EKfaf1aPuJm3erzCJ2ZPFwQpKtGyPZDALhezqXzj7 +WD/o6ywszl4Yh/wBI48U1nLWYVfMDkdpnCZGLVjx9sG/APxUkCbuHB0Dlyt2TAYu0wnClxQgd0ObmffSMVfOqPXBBfMuInmn856LO4BFhIb0PlXRes/vr7oi3R3jucxb9KZ aL7XrNfs+pr6LvoPeWMeP5am6+NiuQItBkgwoicNka0XwDVqw8CgO0SdjYBhOGQ9s0EntbIzu7IybUrzKkBx9O5+xGGDcYm/5tlAxZ/CxQ0zPf4U0l4FvTua2ntgwfqeEg0G 9GDYjd12Cb638HLdxuCIffYBeeFhBJrrfm2O5XVpcA+P9+B0rrfE9VTHDBhpvNCkQqpKnK9x7lRv7bUkNEHm1GQTqyq3SDHKhmzl8QmgWYHkPSTRhr/faNMbmPkVkidvRooM qdCm6pIUXlRLfyG7LywDgEDdNiX459G6qRcRq4duVi5cxoofvnxnfLkTZhqoi1Qs9ylwT6tR+ughCxAxwunFEeSzcOUrz8MPP+rDYB5qZNoqmuNBPFPWTuxve7//+fYM/Y7O fNUCfCwfy9ObAy2FIVydkQZlZdYvhE4hP7SoBiVD2YSETdlJ6Nft6i4bfaeHy4CV0HtDV7BDosLKr1rfZQzEDtKFXkkl/LVRW+cm3yqeca3FoCCigrxBmTKBcm X-Microsoft-Antispam-Mailbox-Delivery: kl:0;dkl:0;rwl:0;ex:0;auth:0;dest:I;WIMS-SPF:col004%2domc4s1%2ehotmail;WIMS-DKIM:mail%2ehotmail%2;WIMS-822:postmaster%40mail%2ehotma il%2ecom;WIMS-PRA:postmaster%40mail%2ehotmail%2ecom;WIMS-AUTH:NONE;ENG:(102400050)(102415016);OFR:SpamFilterPass; MIME-Version: 1.0 --9B095B5ADSN=_01D1C89A9265C0F600128091COL004?OMC4S1.ho Content-Type: text/plain; charset="unicode-1-1-utf-7" X-Microsoft-Exchange-Diagnostics: 1;VI1PR07MB1597;9:Tu28AOes/wJCO7KUyvW9pm9f8J86yZ+k5jb5N4xvxdL4At9LSTJrmCUWGJ22jyJkqO3xgkAwRcnCwu7C1tYtweB6T9VAnJOHFN2Pe5PNoFVTEDzV6T jCA82hTa/Oeq3+VNhnNN7x30xxhUGhceO4f19wUVqLj3jksfLTolhB9MOtNtGcgNQ34R49ySh+H34blrj4YaYyhEif3EKfaf1aPuJm3erzCJ2ZPFwQpKtGyPZDALhezqXzj7 +WD/o6ywszl4Yh/wBI48U1nLWYVfMDkdpnCZGLVjx9sG/APxUkCbuHB0Dlyt2TAYu0wnClxQgd0ObmffSMVfOqPXBBfMuInmn856LO4BFhIb0PlXRes/vr7oi3R3jucxb9KZ aL7XrNfs+pr6LvoPeWMeP5am6+NiuQItBkgwoicNka0XwDVqw8CgO0SdjYBhOGQ9s0EntbIzu7IybUrzKkBx9O5+xGGDcYm/5tlAxZ/CxQ0zPf4U0l4FvTua2ntgwfqeEg0G 9GDYjd12Cb638HLdxuCIffYBeeFhBJrrfm2O5XVpcA+P9+B0rrfE9VTHDBhpvNCkQqpKnK9x7lRv7bUkNEHm1GQTqyq3SDHKhmzl8QmgWYHkPSTRhr/faNMbmPkVkidvRooM qdCm6pIUXlRLfyG7LywDgEDdNiX459G6qRcRq4duVi5cxoofvnxnfLkTZhqoi1Qs9ylwT6tR+ughCxAxwunFEeSzcOUrz8MPP+rDYB5qZNoqmuNBPFPWTuxve7//+fYM/Y7O fNUCfCwfy9ObAy2FIVydkQZlZdYvhE4hP7SoBiVD2YSETdlJ6Nft6i4bfaeHy4CV0HtDV7BDosLKr1rfZQzEDtKFXkkl/LVRW+cm3yqeca3FoCCigrxBmTKBcm X-Microsoft-Antispam-Mailbox-Delivery: kl:0;dkl:0;rwl:0;ex:0;auth:0;dest:I;WIMS-SPF:col004%2domc4s1%2ehotmail;WIMS-DKIM:mail%2ehotmail%2;WIMS-822:postmaster%40mail%2ehotma il%2ecom;WIMS-PRA:postmaster%40mail%2ehotmail%2ecom;WIMS-AUTH:NONE;ENG:(102400050)(102415016);OFR:SpamFilterPass; This is an automatically generated Delivery Status Notification. Delivery to the following recipients failed. daniel+AEA-ist-immer-online.de --9B095B5ADSN=_01D1C89A9265C0F600128091COL004?OMC4S1.ho Content-Type: message/delivery-status X-Microsoft-Exchange-Diagnostics: 1;VI1PR07MB1597;9:Tu28AOes/wJCO7KUyvW9pm9f8J86yZ+k5jb5N4xvxdL4At9LSTJrmCUWGJ22jyJkqO3xgkAwRcnCwu7C1tYtweB6T9VAnJOHFN2Pe5PNoFVTEDzV6T jCA82hTa/Oeq3+VNhnNN7x30xxhUGhceO4f19wUVqLj3jksfLTolhB9MOtNtGcgNQ34R49ySh+H34blrj4YaYyhEif3EKfaf1aPuJm3erzCJ2ZPFwQpKtGyPZDALhezqXzj7 +WD/o6ywszl4Yh/wBI48U1nLWYVfMDkdpnCZGLVjx9sG/APxUkCbuHB0Dlyt2TAYu0wnClxQgd0ObmffSMVfOqPXBBfMuInmn856LO4BFhIb0PlXRes/vr7oi3R3jucxb9KZ aL7XrNfs+pr6LvoPeWMeP5am6+NiuQItBkgwoicNka0XwDVqw8CgO0SdjYBhOGQ9s0EntbIzu7IybUrzKkBx9O5+xGGDcYm/5tlAxZ/CxQ0zPf4U0l4FvTua2ntgwfqeEg0G 9GDYjd12Cb638HLdxuCIffYBeeFhBJrrfm2O5XVpcA+P9+B0rrfE9VTHDBhpvNCkQqpKnK9x7lRv7bUkNEHm1GQTqyq3SDHKhmzl8QmgWYHkPSTRhr/faNMbmPkVkidvRooM qdCm6pIUXlRLfyG7LywDgEDdNiX459G6qRcRq4duVi5cxoofvnxnfLkTZhqoi1Qs9ylwT6tR+ughCxAxwunFEeSzcOUrz8MPP+rDYB5qZNoqmuNBPFPWTuxve7//+fYM/Y7O fNUCfCwfy9ObAy2FIVydkQZlZdYvhE4hP7SoBiVD2YSETdlJ6Nft6i4bfaeHy4CV0HtDV7BDosLKr1rfZQzEDtKFXkkl/LVRW+cm3yqeca3FoCCigrxBmTKBcm X-Microsoft-Antispam-Mailbox-Delivery: kl:0;dkl:0;rwl:0;ex:0;auth:0;dest:I;WIMS-SPF:col004%2domc4s1%2ehotmail;WIMS-DKIM:mail%2ehotmail%2;WIMS-822:postmaster%40mail%2ehotma il%2ecom;WIMS-PRA:postmaster%40mail%2ehotmail%2ecom;WIMS-AUTH:NONE;ENG:(102400050)(102415016);OFR:SpamFilterPass; Reporting-MTA: dns;COL004-OMC4S1.hotmail.com Received-From-MTA: dns;EUR01-HE1-obe.outbound.protection.outlook.com Arrival-Date: Sun, 26 Jun 2016 12:59:27 -0700 Final-Recipient: rfc822;daniel at ist-immer-online.de Action: failed Status: 5.7.1 Diagnostic-Code: smtp;550 5.7.1 message content rejected --9B095B5ADSN=_01D1C89A9265C0F600128091COL004?OMC4S1.ho Content-Type: message/rfc822 X-Microsoft-Exchange-Diagnostics: 1;VI1PR07MB1597;9:Tu28AOes/wJCO7KUyvW9pm9f8J86yZ+k5jb5N4xvxdL4At9LSTJrmCUWGJ22jyJkqO3xgkAwRcnCwu7C1tYtweB6T9VAnJOHFN2Pe5PNoFVTEDzV6T jCA82hTa/Oeq3+VNhnNN7x30xxhUGhceO4f19wUVqLj3jksfLTolhB9MOtNtGcgNQ34R49ySh+H34blrj4YaYyhEif3EKfaf1aPuJm3erzCJ2ZPFwQpKtGyPZDALhezqXzj7 +WD/o6ywszl4Yh/wBI48U1nLWYVfMDkdpnCZGLVjx9sG/APxUkCbuHB0Dlyt2TAYu0wnClxQgd0ObmffSMVfOqPXBBfMuInmn856LO4BFhIb0PlXRes/vr7oi3R3jucxb9KZ aL7XrNfs+pr6LvoPeWMeP5am6+NiuQItBkgwoicNka0XwDVqw8CgO0SdjYBhOGQ9s0EntbIzu7IybUrzKkBx9O5+xGGDcYm/5tlAxZ/CxQ0zPf4U0l4FvTua2ntgwfqeEg0G 9GDYjd12Cb638HLdxuCIffYBeeFhBJrrfm2O5XVpcA+P9+B0rrfE9VTHDBhpvNCkQqpKnK9x7lRv7bUkNEHm1GQTqyq3SDHKhmzl8QmgWYHkPSTRhr/faNMbmPkVkidvRooM qdCm6pIUXlRLfyG7LywDgEDdNiX459G6qRcRq4duVi5cxoofvnxnfLkTZhqoi1Qs9ylwT6tR+ughCxAxwunFEeSzcOUrz8MPP+rDYB5qZNoqmuNBPFPWTuxve7//+fYM/Y7O fNUCfCwfy9ObAy2FIVydkQZlZdYvhE4hP7SoBiVD2YSETdlJ6Nft6i4bfaeHy4CV0HtDV7BDosLKr1rfZQzEDtKFXkkl/LVRW+cm3yqeca3FoCCigrxBmTKBcm X-Microsoft-Antispam-Mailbox-Delivery: kl:0;dkl:0;rwl:0;ex:0;auth:0;dest:I;WIMS-SPF:col004%2domc4s1%2ehotmail;WIMS-DKIM:mail%2ehotmail%2;WIMS-822:postmaster%40mail%2ehotma il%2ecom;WIMS-PRA:postmaster%40mail%2ehotmail%2ecom;WIMS-AUTH:NONE;ENG:(102400050)(102415016);OFR:SpamFilterPass; Received: from EUR01-HE1-obe.outbound.protection.outlook.com ([65.55.34.200]) by COL004-OMC4S1.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.23008); Sun, 26 Jun 2016 12:59:27 -0700 Received: from HE1EUR01FT015.eop-EUR01.prod.protection.outlook.com (10.152.0.51) by HE1EUR01HT217.eop-EUR01.prod.protection.outlook.com (10.152.0.149) with Microsoft SMTP Server (TLS) id 15.1.517.7; Sun, 26 Jun 2016 19:59:24 +0000 Received: from VI1PR07MB1597.eurprd07.prod.outlook.com (10.152.0.52) by HE1EUR01FT015.mail.protection.outlook.com (10.152.0.154) with Microsoft SMTP Server (TLS) id 15.1.523.9 via Frontend Transport; Sun, 26 Jun 2016 19:59:24 +0000 Received: from VI1PR07MB1597.eurprd07.prod.outlook.com ([10.165.239.19]) by VI1PR07MB1597.eurprd07.prod.outlook.com ([10.165.239.19]) with mapi id 15.01.0528.014; Sun, 26 Jun 2016 19:59:24 +0000 From: Fake Fake To: "daniel at ist-immer-online.de" Subject: test2 Thread-Topic: test2 Thread-Index: AQHRz+U8hMqVAagIiUyHzflZixdWrQ== Date: Sun, 26 Jun 2016 19:59:24 +0000 Message-ID: Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: yes X-MS-TNEF-Correlator: authentication-results: spf=softfail (sender IP is 25.152.0.52) smtp.mailfrom=outlook.de; ist-immer-online.de; dkim=none (message not signed) header.d=none;ist-immer-online.de; dmarc=none action=none header.from=outlook.de; received-spf: SoftFail (protection.outlook.com: domain of transitioning outlook.de discourages use of 25.152.0.52 as permitted sender) x-tmn: [un3Nswgh4zGFQckiLVDm2SgN1BPxVSgq] x-eopattributedmessage: 0 x-forefront-antispam-report: CIP:25.152.0.52;IPV:NLI;CTRY:GB;EFV:NLI;SFV:NSPM;SFS:(10019020)(98900003);DIR:OUT;SFP:1102;SCL:1;SRVR:HE1EUR01HT217;H:VI1PR07MB1597. eurprd07.prod.outlook.com;FPR:;SPF:None;CAT:NONE;LANG:de;CAT:NONE; x-ms-office365-filtering-correlation-id: 724e0cec-f026-4879-24dd-08d39dfc5f13 x-microsoft-antispam: UriScan:;BCL:0;PCL:0;RULEID:(1601124038)(5061506196)(5061507196)(1603103041)(1601125047);SRVR:HE1EUR01HT217; x-exchange-antispam-report-cfa-test: BCL:0;PCL:0;RULEID:(432015012)(102415321)(82015046);SRVR:HE1EUR01HT217;BCL:0;PCL:0;RULEID:;SRVR:HE1EUR01HT217; x-forefront-prvs: 0985DA2459 Content-Type: multipart/related; boundary="_004_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_"; type="multipart/alternative" X-OriginatorOrg: outlook.com X-MS-Exchange-CrossTenant-originalarrivaltime: 26 Jun 2016 19:59:24.0970 (UTC) X-MS-Exchange-CrossTenant-fromentityheader: Internet X-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa X-MS-Exchange-Transport-CrossTenantHeadersStamped: HE1EUR01HT217 Return-Path: hallo123test456 at outlook.de X-OriginalArrivalTime: 26 Jun 2016 19:59:27.0337 (UTC) FILETIME=[3E7E2590:01D1CFE5] MIME-Version: 1.0 --_004_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_ Content-Type: multipart/alternative; boundary="_000_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_" --_000_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_ Content-Type: text/plain; charset="utf-8" Content-Transfer-Encoding: base64 W/CfmINdDQo= --_000_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_ Content-Type: text/html; charset="utf-8" Content-Transfer-Encoding: base64 PGh0bWw+PGhlYWQ+DQo8bWV0YSBodHRwLWVxdWl2PSJDb250ZW50LVR5cGUiIGNvbnRlbnQ9InRl eHQvaHRtbDsgY2hhcnNldD11dGYtOCI+DQo8c3R5bGUgdHlwZT0idGV4dC9jc3MiIHN0eWxlPSJk aXNwbGF5Om5vbmU7Ij48IS0tIFAge21hcmdpbi10b3A6MDttYXJnaW4tYm90dG9tOjA7fSAtLT48 L3N0eWxlPg0KPC9oZWFkPg0KPGJvZHkgZGlyPSJsdHIiPg0KPGRpdiBpZD0iZGl2dGFnZGVmYXVs dHdyYXBwZXIiIHN0eWxlPSJmb250LXNpemU6MTJwdDtjb2xvcjojMDAwMDAwO2JhY2tncm91bmQt Y29sb3I6I0ZGRkZGRjtmb250LWZhbWlseTpDYWxpYnJpLEFyaWFsLEhlbHZldGljYSxzYW5zLXNl cmlmOyI+DQo8cD48aW1nIHN0eWxlPSJ2ZXJ0aWNhbC1hbGlnbjogYm90dG9tOyIgc3JjPSJjaWQ6 Njg3OGQ1YWQtMzU1OC00ZDI5LTkwNzQtODA0MjMwMjI3MWFlIiBjbGFzcz0iRW1vamlJbnNlcnQi IGFsdD0i8J+YgyI+PGJyPg0KPC9wPg0KPC9kaXY+DQo8L2JvZHk+DQo8L2h0bWw+DQo= --_000_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_-- --_004_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_ Content-Type: image/png; name="=?utf-8?B?T3V0bG9va0Vtb2ppLfCfmIMucG5n?=" Content-Description: =?utf-8?B?T3V0bG9va0Vtb2ppLfCfmIMucG5n?= Content-Disposition: inline; filename="=?utf-8?B?T3V0bG9va0Vtb2ppLfCfmIMucG5n?="; size=512; creation-date="Sun, 26 Jun 2016 19:59:23 GMT"; modification-date="Sun, 26 Jun 2016 19:59:23 GMT" Content-ID: <6878d5ad-3558-4d29-9074-8042302271ae> Content-Transfer-Encoding: base64 iVBORw0KGgoAAAANSUhEUgAAABMAAAATCAYAAAByUDbMAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJ bWFnZVJlYWR5ccllPAAAAaJJREFUeNpi/P//PwO1ACM2wf9njBWAVD0QOwCxApLUAyA+AMSNjCZn H6DoATqKEYtB/UCqgAiHTAAaWIjTMKBB84FUAgk+WwA0MBFmGBOaixJIDKYEqD4wYEIKI7DXHjz/ xTBh+SuGD5//YtUNkm+c9Zzhwq1vMKECqH6IN5G9J+h4AWxQgIMAw/oeZQzDFP0uMzx49otBgJeZ 4f1+A7h3GYzPJLJAOQEw0fn1CmCFuADIAgVJdmSXMUBjHe4yyhOb8RlGJqBBDlRNtMgu23DgA8PF W98Z9NU4weGGDnDKA10GC7MPQCwAiqnAkrtweVDYGahxwfmgcEKO5fubdYHhxwbTzwAzbAMoNkES IANgGkD0gbOfcXpLgAceURvg6QwIFsITTaQ4UeHTkCaFHOsLMfIkKOxAuCBSDBSGODFIHqYWlgNQ 8iZQEBSa+4HYAJHSnzFcuPkdHFagsDNQ52SI9xFmcDDmhQcjEDsC8+cHbBkdZCCxeXQCtCj6gLMI ghoKSnvx0JyBnD4+QAN7IdCQAwTLMxwFJQg/QC8Q0Q0DCDAA/k/PVSx73TkAAAAASUVORK5CYII= --_004_VI1PR07MB15974C9AF3CA7B05624703C5CB200VI1PR07MB1597eurp_-- --9B095B5ADSN=_01D1C89A9265C0F600128091COL004?OMC4S1.ho- ==================================================== -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker Gesendet: Montag, 27. Juni 2016 19:52 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: SPF reject von Outlook und Hotmail Hi Daniel, auf mich wirkt das so, als wenn Microsoft diese IP-Adressen schwachsinnigerweise intern für irgendwas verwendet und DEREN SPF-Prüfung klingelt. Deine Prüfung scheint "pass" zu werfen, weil sie auch die 65.54.190.33 des bei dir einliefernden Servers überprüft. Die 25.152.0.54 taucht in einem Header auf, in der der Server "AM4PR07MB1586" namentliche Erwähnung findet, welcher wiederum weiter oben als Received-Header im Hotmail-internen Netz nochmal auftaucht. Erschwerend kommt hinzu, dass deine SPF-Prüfung vollkommen andere Header schreibt als die, die weiter unten (und damit früher erzeugt) in den Headern zu finden ist. Alles ziemlich obskur. Ich denke, Microsoft hat damit ein weiteres Mal der ganzen Welt bewiesen, dass sie von Netzwerk und Mailservern nur geringfügig Ahnung haben ;-) Warum das allerdings bei dir zu einer Ablehnung führt ist weiterhin merkwürdig - denn optimalerweise sollte sich dein System nicht an fremden Mailheadern orientieren um SPF-Prüfungen zu machen. Ich habe jetzt aber auch keine direkte Idee, wo man da was verstellt haben könnte damit derartiges passiert... Viele Grüße aus dem Tal Max Am 26.06.2016 um 21:26 schrieb Daniel: > Received-SPF: pass (outlook.de: Sender is authorized to use 'hallo123test456 at outlook.de' in 'mfrom' identity (mechanism > 'include:spf-a.hotmail.com' matched)) receiver=Server; identity=mailfrom; envelope-from="hallo123test456 at outlook.de"; > helo=BAY004-OMC1S22.hotmail.com; client-ip=65.54.190.33 > Received: from BAY004-OMC1S22.hotmail.com (bay004-omc1s22.hotmail.com [65.54.190.33]) > (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)) > (Client CN "*.outlook.com", Issuer "Microsoft IT SSL SHA2" (verified OK)) > by server.ist-immer-online.de (Postfix) with ESMTPS id 952FA3316001 > for ; Sun, 26 Jun 2016 21:14:40 +0200 (CEST) > Received: from AM4PR07MB1586.eurprd07.prod.outlook.com ([10.165.249.18]) by > AM4PR07MB1586.eurprd07.prod.outlook.com ([10.165.249.18]) with mapi id > 15.01.0523.019; Sun, 26 Jun 2016 19:14:33 +0000 > authentication-results: spf=softfail (sender IP is 25.152.0.54) > smtp.mailfrom=outlook.de; ist-immer-online.de; dkim=none (message not signed) > header.d=none;ist-immer-online.de; dmarc=none action=none > header.from=outlook.de; > received-spf: SoftFail (protection.outlook.com: domain of transitioning > outlook.de discourages use of 25.152.0.54 as permitted sender) > x-tmn: [INyttcAZUANGxxnv7RdWknG4H6h6b/4p] > x-eopattributedmessage: 0 > x-forefront-antispam-report: > CIP:25.152.0.54;IPV:NLI;CTRY:GB;EFV:NLI;SFV:NSPM;SFS:(10019020)(98900003);DIR:OUT;SFP:1102;SCL:1;SRVR:HE1EUR01HT092;H:AM4PR07MB1586. From daniel at ist-immer-online.de Tue Jun 28 04:37:16 2016 From: daniel at ist-immer-online.de (Daniel) Date: Tue, 28 Jun 2016 04:37:16 +0200 Subject: AW: SPF reject von Outlook und Hotmail In-Reply-To: <2d5961a3-9edc-a27f-ba23-cc0c9ec2523b@ml.grobecker.info> References: <001901d1ce67$2c481590$84d840b0$@ist-immer-online.de> <8c204eac-788d-660d-92f4-c459941476a5@ml.grobecker.info> <576ED4CC.2070109@kdmails.de> <001701d1cfe0$a7befa70$f73cef50$@ist-immer-online.de> <2d5961a3-9edc-a27f-ba23-cc0c9ec2523b@ml.grobecker.info> Message-ID: <000d01d1d0e5$fd08b6f0$f71a24d0$@ist-immer-online.de> Hi Max, nochmal ein Nachtrag zu gestern, also beim neuen Test ist mir eins aufgefallen. Habe gesehen, dass man sich für outlook.com nen outlook alias erstellen kann, also mal damit Email an mich gesendet, kommt durch. Auch keine Captcha beim Versenden. Sende ich eine von eine vom fake Konto, kommt die nicht durch und vorher musste ich ne Captcha bestätigen. Ich vermute dieser komische Header bzw. die 25er IP kommt durch eine gesonderte Prüfung für "verdächtige" Konten. Wer also Konto wirklich nutzt und hin und wieder Probleme hat, könnte vermutlich damit Problem wohl lösen indem er sein Konto mit Handynummer verifiziert. Die Captcha beim versenden, zeigen einen wohl schon, ob MS einen als "verdächtig" einstuft. Ob die Daten wirklich dann beim Verteidigungsministerium durchlaufen oder nur falscher header ist, weiß ich nicht. Bei den ganzen Abkommen und Antiterror Gesetzen, würde mich nichts wundern, aber anderer seids wäre ganze wohl etwas sehr auffällig. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Max Grobecker Gesendet: Montag, 27. Juni 2016 19:52 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: SPF reject von Outlook und Hotmail Hi Daniel, auf mich wirkt das so, als wenn Microsoft diese IP-Adressen schwachsinnigerweise intern für irgendwas verwendet und DEREN SPF-Prüfung klingelt. Deine Prüfung scheint "pass" zu werfen, weil sie auch die 65.54.190.33 des bei dir einliefernden Servers überprüft. Die 25.152.0.54 taucht in einem Header auf, in der der Server "AM4PR07MB1586" namentliche Erwähnung findet, welcher wiederum weiter oben als Received-Header im Hotmail-internen Netz nochmal auftaucht. Erschwerend kommt hinzu, dass deine SPF-Prüfung vollkommen andere Header schreibt als die, die weiter unten (und damit früher erzeugt) in den Headern zu finden ist. Alles ziemlich obskur. Ich denke, Microsoft hat damit ein weiteres Mal der ganzen Welt bewiesen, dass sie von Netzwerk und Mailservern nur geringfügig Ahnung haben ;-) Warum das allerdings bei dir zu einer Ablehnung führt ist weiterhin merkwürdig - denn optimalerweise sollte sich dein System nicht an fremden Mailheadern orientieren um SPF-Prüfungen zu machen. Ich habe jetzt aber auch keine direkte Idee, wo man da was verstellt haben könnte damit derartiges passiert... Viele Grüße aus dem Tal Max From robberer at freakmail.de Wed Jun 29 09:11:11 2016 From: robberer at freakmail.de (robberer at freakmail.de) Date: Wed, 29 Jun 2016 09:11:11 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren Message-ID: Liebe Liste, koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern muss damit an ihn keine Mails abgesetzt werden koennen die als Absender meine Domain haben und nicht aus meinem Netzwerk stammen ? Momentan habe ich nur "smtpd_recipient_restrictions" gesetzt. Muss ich um oben beschriebenes zu erreichen "smtpd_sender_restrictions" konfigurieren ? Gruesse, Robert From andre.peters at debinux.de Wed Jun 29 09:18:37 2016 From: andre.peters at debinux.de (=?iso-8859-1?Q?Andr=E9_Peters?=) Date: Wed, 29 Jun 2016 09:18:37 +0200 Subject: AW: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: References: Message-ID: <02eb01d1d1d6$7462e5e0$5d28b1a0$@debinux.de> Hi, reject_sender_login_mismatch - allerdings brauchst du dann noch smtpd_sender_login_maps, die zum Beispiel auf die Alias Maps zeigen können. André -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von robberer at freakmail.de Gesendet: Mittwoch, 29. Juni 2016 09:11 An: postfixbuch-users at listen.jpberlin.de Betreff: Eigene Domain aus fremden Netzen am MX sperren Liebe Liste, koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern muss damit an ihn keine Mails abgesetzt werden koennen die als Absender meine Domain haben und nicht aus meinem Netzwerk stammen ? Momentan habe ich nur "smtpd_recipient_restrictions" gesetzt. Muss ich um oben beschriebenes zu erreichen "smtpd_sender_restrictions" konfigurieren ? Gruesse, Robert From daniel at ist-immer-online.de Wed Jun 29 09:24:51 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 29 Jun 2016 09:24:51 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: References: Message-ID: <58BC62FB-3B0D-4BB6-BBD0-4F10DB234787@ist-immer-online.de> Wenn SPF setzt und dein MX das auch prüft sollten die auch etweder geflagt werden bzw. reject. Gruß Daniel > Am 29.06.2016 um 09:11 schrieb robberer at freakmail.de: > > Liebe Liste, > > koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern muss damit an ihn keine Mails abgesetzt werden koennen die als Absender meine Domain haben und nicht aus meinem Netzwerk stammen ? > > Momentan habe ich nur "smtpd_recipient_restrictions" gesetzt. Muss ich um oben beschriebenes zu erreichen "smtpd_sender_restrictions" konfigurieren ? > > Gruesse, > Robert From Hajo.Locke at gmx.de Wed Jun 29 09:50:48 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 29 Jun 2016 09:50:48 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: <58BC62FB-3B0D-4BB6-BBD0-4F10DB234787@ist-immer-online.de> References: <58BC62FB-3B0D-4BB6-BBD0-4F10DB234787@ist-immer-online.de> Message-ID: <9a2a081b-92bc-12ed-4195-08a1db233411@gmx.de> Hallo, Am 29.06.2016 um 09:24 schrieb Daniel: > Wenn SPF setzt und dein MX das auch prüft sollten die auch etweder geflagt werden bzw. reject. Ein harter SPF ist nicht ohne und man sollte das auch wirklich mit allen Konsequenzen wollen, wenn man das durchsetzt. Auf Ralfs alten Seiten ab ich was ähnliches gefunden: https://www.arschkrebs.de/postfix/postfix_valid_sender.shtml Müsste man fast so verwenden können oder man dreht es sich um, damit zu den Domains die gültigen IPs gefunden werden. > > Gruß Daniel > >> Am 29.06.2016 um 09:11 schrieb robberer at freakmail.de: >> >> Liebe Liste, >> >> koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern muss damit an ihn keine Mails abgesetzt werden koennen die als Absender meine Domain haben und nicht aus meinem Netzwerk stammen ? >> >> Momentan habe ich nur "smtpd_recipient_restrictions" gesetzt. Muss ich um oben beschriebenes zu erreichen "smtpd_sender_restrictions" konfigurieren ? >> >> Gruesse, >> Robert > Hajo From bluewind at xinu.at Wed Jun 29 09:46:35 2016 From: bluewind at xinu.at (Florian Pritz) Date: Wed, 29 Jun 2016 09:46:35 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: References: Message-ID: <67033e67-6733-29cd-1ff9-8135b6c2cd0e@xinu.at> On 29.06.2016 09:11, robberer at freakmail.de wrote: > koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern > muss damit an ihn keine Mails abgesetzt werden koennen die als Absender > meine Domain haben und nicht aus meinem Netzwerk stammen ? Welchen Absender meinst du? (From/Envelope) Falls From nimm DKIM + DMARC und prüf dann DMARC Policies auf deinem Server. Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 825 bytes Beschreibung: OpenPGP digital signature URL : From daniel at ist-immer-online.de Wed Jun 29 09:56:06 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 29 Jun 2016 09:56:06 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: <9a2a081b-92bc-12ed-4195-08a1db233411@gmx.de> References: <58BC62FB-3B0D-4BB6-BBD0-4F10DB234787@ist-immer-online.de> <9a2a081b-92bc-12ed-4195-08a1db233411@gmx.de> Message-ID: <8D1BC1EB-FADC-4F7E-99D5-6BD8276CD356@ist-immer-online.de> Hallo Hajo, Es würde ja nen ~ reichen in SPF und am Server halt SoftFail ablehnen. Verwende ich so zumindest, damit nicht direkt nen reject auslöst bei Kontaktformularen wenn Firmen wie Post meinen meine Adresse als Absender zu verwenden. Gruß Daniel > Am 29.06.2016 um 09:50 schrieb Hajo Locke : > > Hallo, > > >> Am 29.06.2016 um 09:24 schrieb Daniel: >> Wenn SPF setzt und dein MX das auch prüft sollten die auch etweder geflagt werden bzw. reject. > Ein harter SPF ist nicht ohne und man sollte das auch wirklich mit allen Konsequenzen wollen, wenn man das durchsetzt. > Auf Ralfs alten Seiten ab ich was ähnliches gefunden: > https://www.arschkrebs.de/postfix/postfix_valid_sender.shtml > > Müsste man fast so verwenden können oder man dreht es sich um, damit zu den Domains die gültigen IPs gefunden werden. > >> >> Gruß Daniel >> >>> Am 29.06.2016 um 09:11 schrieb robberer at freakmail.de: >>> >>> Liebe Liste, >>> >>> koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern muss damit an ihn keine Mails abgesetzt werden koennen die als Absender meine Domain haben und nicht aus meinem Netzwerk stammen ? >>> >>> Momentan habe ich nur "smtpd_recipient_restrictions" gesetzt. Muss ich um oben beschriebenes zu erreichen "smtpd_sender_restrictions" konfigurieren ? >>> >>> Gruesse, >>> Robert > Hajo From tech at kdmails.de Wed Jun 29 10:25:10 2016 From: tech at kdmails.de (Daniel Gompf) Date: Wed, 29 Jun 2016 10:25:10 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: References: Message-ID: <577385E6.6040608@kdmails.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Robert, versuch mal folgendes, sollte so funktionieren: smtpd_restriction_classes = rc_myclients rc_myclients = check_client_access cidr:good_clients,cidr:bad_clients smtpd_recipient_restrictions = ..., check_sender_access hash:my_client_check, ... mit my_client_check: domain.tld rc_myclients good_clients: xxx.xxx.xxx.xxx/mask DUNNO bad_clients: 0.0.0.0/0 REJECT Dadurch sollten deine Clients einfach im Regelwerk weiterlaufen, wenn Sie das DUNNO treffen, alle anderen bekommen das Reject Am 29.06.2016 um 09:11 schrieb robberer at freakmail.de: > Liebe Liste, > > koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX > erweitern muss damit an ihn keine Mails abgesetzt werden koennen > die als Absender meine Domain haben und nicht aus meinem Netzwerk > stammen ? > > Momentan habe ich nur "smtpd_recipient_restrictions" gesetzt. Muss > ich um oben beschriebenes zu erreichen "smtpd_sender_restrictions" > konfigurieren ? > > Gruesse, Robert -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXc4XlAAoJENuvw56q5FOigfQH/1AYEgu80ZIPQCHqliHiyx/3 /ArgENGHDowq25f/+qlEoWU3l3lwQDJbfPMjTh8qnMMLlOTSFSsBQFcbxQpJ2G9e TF7E/T2AwANBl47JWGf8cgSoTFwR/nxNF79d9YDkADsYXSPpksc2KcN6DuC1D+iU lU5P9va0MXXOK22iVGSGsNkmNih2BlWWY8BNhDbIO2eYDPQxOF72g2fWXnYXAzUC Zcot0TGalKi0cT3IkNU/sIs9WHRcnpiqPPso7rNj062OaXpDmL/gFp4oylXNx1ft RrVJyrLV17ZVn3rupqo7qUth99WPdzhsFTEOvgvRQQeiyg7kicASVKoIU/a6UNc= =Vz4O -----END PGP SIGNATURE----- From p.heinlein at heinlein-support.de Wed Jun 29 12:30:40 2016 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 29 Jun 2016 12:30:40 +0200 Subject: Eigene Domain aus fremden Netzen am MX sperren In-Reply-To: References: Message-ID: <5773A350.8080302@heinlein-support.de> On 29.06.2016 09:11, robberer at freakmail.de wrote: > Liebe Liste, > > koenntet Ihr mir auf die Spruenge helfen wie ich meinen MX erweitern > muss damit an ihn keine Mails abgesetzt werden koennen die als Absender > meine Domain haben und nicht aus meinem Netzwerk stammen ? Die Antwort wäre ein check_sender_access irgendwo NACH permit_mynetworks oder permit_sasl_authenticated in den Restrictions. Aber warum möchtest Du weiterleitungen, Forumsbeiträge und Mailinglistenmails, d.h. legale Mails, sperren und Dich Deiner Mails berauben? Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From daniel at ist-immer-online.de Wed Jun 29 12:46:17 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 29 Jun 2016 12:46:17 +0200 Subject: =?utf-8?Q?E-Mail-Verschl=C3=BCsselung_f=C3=BCr_jedermann:_Volksv?= =?utf-8?Q?erschl=C3=BCsselung_steht_bereit?= Message-ID: <7BBC63C2-2BE0-4FED-8328-16F7DC21BFC8@ist-immer-online.de> Ab sofort können Windows-Nutzer die kostenlose Volksverschlüsselungs-Software nutzen, um E-Mails verschlüsselt über gängige Clients zu verschicken. Quelle: http://www.heise.de/newsticker/meldung/E-Mail-Verschluesselung-fuer-jedermann-Volksverschluesselung-steht-bereit-3250728.html -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From heinrich at heinrichboeder.com Wed Jun 29 16:08:43 2016 From: heinrich at heinrichboeder.com (Heinrich Boeder) Date: Wed, 29 Jun 2016 16:08:43 +0200 Subject: =?UTF-8?Q?Verschiedene_Header_Checks_f=c3=bcr_eingehende_und_ausgeh?= =?UTF-8?Q?ende_Mails?= Message-ID: <4841e803-6f28-fc8b-0f1c-6d0d42f598fc@heinrichboeder.com> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Liste, ich beschäftige mich momentan mit header_checks und habe das Problem, dass ich gerne verschiedene Checks für ein- und ausgehende Mails bauen möchte. Wie mache ich das am besten? Momenten gelten die von mir ersten Regeln für ein- und ausgehende Mails. Die header_checks bei eingehenden Mail mittels smtpd_recipient_restrictions durchzuführen funktioniert nicht. Damit habe ich mir bereits die Karten gelegt :-) Danke euch! - - heinrich heinrich at heinrichboeder.com -- www.heinrichboeder.com key: 0xC15DAD56 -- 363D 5BC3 9C45 9D09 3D78 1C28 DB68 F047 C15D AD56 -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBAgAGBQJXc9ZrAAoJENto8EfBXa1WeJkP/AiFm/VSZvKRWjWfLuGelRRY WUJcl8a68BZHvFpzG2mqYYkjnye7/0huA+PcBpbwHSAA7jlwUrebib/QAqcAHDRc M1W5oso4O1ibLTRFfcpM+skO7NErindhZvU9p0W/yh16HimUtd+g2TQa9vmZb0O5 ppRIOd57iUVlO5piCvKVmkc7bO9NT18O77iYWW5hG6I6z3TQ3lvABJLhiQOzvNHF Ql6yxX2tEQ4gTkKhAqPx2bxyzd7I8Vpsu/ex8hZcea6f8f04/DUg/GSg4twLOdVg ZjX6aYyx5AoT/ce+6mH0Guo68mdfUPvHpXRmhkpeNZUQ/0y2MFSU6DyjNSfbZwfH ImVxzks+eMTG58EVN5bnsmrmfHwUYqn25ti2qX5DiqFL6ImifBAFt3BQKwvIiZoU fP3tRAVHyd4NqArgiN4LzGmoEVvUvrr0iIytDpqqNWtR70wN7Oxszs1w7LFeU5lr +ZBbbYKYEvXRjAWMS+t6XOzpReLS2QmLnVZB3rxcXywVNiJbmwzcx1IW7S1KKT7o b/GWEcTeMDNHWvTWclZ5/M8lfQSDv/PpviCsbGPaBBT5C9xsuV2h1A9BMRumlfLd zlsLQGEe4LMG/6nIj7om1gXQP+KVMWDCW30qK1dpSmrCqc4Fs9jn5pD9JYJI0d+p J0aTLh5IQHzuGvTmJ8T8 =+pPn -----END PGP SIGNATURE----- From kai_postfix at fuerstenberg.ws Wed Jun 29 16:20:50 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Wed, 29 Jun 2016 16:20:50 +0200 Subject: =?UTF-8?Q?Re:_Verschiedene_Header_Checks_f=c3=bcr_eingehende_und_au?= =?UTF-8?Q?sgehende_Mails?= In-Reply-To: <4841e803-6f28-fc8b-0f1c-6d0d42f598fc@heinrichboeder.com> References: <4841e803-6f28-fc8b-0f1c-6d0d42f598fc@heinrichboeder.com> Message-ID: <5a0dcc86-efe6-91d5-7e19-3bc9493c7177@fuerstenberg.ws> Moin Heinrich, Am 29.06.2016 um 16:08 schrieb Heinrich Boeder: > ich beschäftige mich momentan mit header_checks und habe das Problem, > dass ich gerne verschiedene Checks für ein- und ausgehende Mails bauen > möchte. > > Wie mache ich das am besten? Momenten gelten die von mir ersten Regeln > für ein- und ausgehende Mails. > > Die header_checks bei eingehenden Mail mittels > smtpd_recipient_restrictions durchzuführen funktioniert nicht. Damit > habe ich mir bereits die Karten gelegt :-) header_checks gelten immer für alle Mails die durch das System gehen. Sie können auch nicht separat in irgendwelche *_restrictions eingebaut werden. Wenn du submission benutzt, kannst du in der master.cf die header_checks separat festlegen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From heinrich at heinrichboeder.com Wed Jun 29 16:57:39 2016 From: heinrich at heinrichboeder.com (Heinrich Boeder) Date: Wed, 29 Jun 2016 16:57:39 +0200 Subject: =?UTF-8?Q?Re:_Verschiedene_Header_Checks_f=c3=bcr_eingehende_und_au?= =?UTF-8?Q?sgehende_Mails?= In-Reply-To: <5a0dcc86-efe6-91d5-7e19-3bc9493c7177@fuerstenberg.ws> References: <4841e803-6f28-fc8b-0f1c-6d0d42f598fc@heinrichboeder.com> <5a0dcc86-efe6-91d5-7e19-3bc9493c7177@fuerstenberg.ws> Message-ID: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Ahoi Kai, Am 29.06.2016 um 16:20 schrieb Kai Fürstenberg: > header_checks gelten immer für alle Mails die durch das System > gehen. Sie können auch nicht separat in irgendwelche *_restrictions > eingebaut werden. Das habe ich mir fast gedacht. Ich habe auch ein wenig gegoogled und auch etwas über Bedingungen innerhalb der header_checkes Datei gelesen. Sowas wie if then else. Hast Du von sowas schon einmal was gehört? > Wenn du submission benutzt, kannst du in der master.cf die > header_checks separat festlegen. Wäre eine Möglichkeit. Dachte nur es gäbe eine einfachere, in Postfix integrierte Lösung! - - heinrich heinrich at heinrichboeder.com -- www.heinrichboeder.com key: 0xC15DAD56 -- 363D 5BC3 9C45 9D09 3D78 1C28 DB68 F047 C15D AD56 -----BEGIN PGP SIGNATURE----- Version: GnuPG v2 iQIcBAEBAgAGBQJXc+HjAAoJENto8EfBXa1WwoEP/2L0xM9gpBsBPUubiqul8Exc adjE7p4Oh2QBY47NRb7u5vFP5wvsg54ziJ5XOntO1V2+n5+X0XzzdWOJV47d/9ih fD6BvRxYruKvvxj479fIe5IfGxCk1/gq3gfAfZgYgBy++Td4m+P1l2F7zyyyhmwF khjOa/6xU9yyFi3yH1JHZuwZwKe7DiDe7mi2i8ZYFcjmj4vXqHNhjiZHGFOUmRDk pUFNAbMYlIbu1mGO5IPMy2pZKMgIwdMFsZN0pqNvv61H4yx+/M2Qz5zLL10RRvK4 sKwsqJmoRcPS/N/Ft1ASUPIIiKuJbkwaiY1YN6inSWvAeTp4FbcwySo44WzW7vM5 /Cm8gKv5vfrtlWyhInSX95tkE7er9H2MJlL05fbSDW+bVuQOzyHTCOC5BG0QlxKu 3HWmuJarFZOszqwBUj4j4ng3rldGx27w9v8M5ZsIWgz/oZwHHGmPEgNhEZ8h+ofp fVLCHETvdQ2rMBARKiKNubYeemWT5ySIkyH6nml0oJe0pxw7SijZVtVZ2e+ur70u m8miwZS76ErvbYMm1P3d6SXgH3OXZChsEV/GGYxLg5NpnP2h5PzjAlvpagKKPmmY 6tmSb3N7yF9jmyFArze8hNKhPx+NAdp+qiOW9GebDOGA7+MdxR9XMYEBw85tI0z2 QiDEwVL+BwTFXvOFbRrE =i7bX -----END PGP SIGNATURE----- From claas.goltz at contact-software.com Wed Jun 29 17:06:58 2016 From: claas.goltz at contact-software.com (Claas Goltz) Date: Wed, 29 Jun 2016 17:06:58 +0200 Subject: amavis filtert zu schlecht In-Reply-To: <5773E38A.2050209@contact-software.com> References: <5773E38A.2050209@contact-software.com> Message-ID: <5773E412.60902@contact-software.com> Hallo zusammen, ich teste seit ein paar Tagen vergeblich eine vernünftige Amavis/ClamAV/SpamAssassine Installation zum Laufen zu kriegen und ich habe das Gefühl, dass Amavis keine Rule Updates bekommt und die Erkennungsrate deshalb schlecht ist. /etc/cron.hourly/spamassassin ist entsprechend um den Heinlein Eintrag erweitert [..] /usr/bin/sa-update --nogpg --channel spamassassin.heinlein-support.de \ --gpghomedir /var/lib/spamassassin/sa-update-keys 2>&1 usw. [..] und ich behaupte es funktioniert auch! Wo legt SpamAssassine eigentlich die Rules ab? Führe ich ein sa update manuell durch, bin ich scheinbar up2date: /usr/bin/sa-update --nogpg --channel spamassassin.heinlein-support.de -v Update finished, no fresh updates were available Warum glaube ich, dass es funktioniert? Weil ich jetzt mehr als 24h die E-Mails so filtere... postfix master.cf smtp inet n - n - - smtpd -o content_filter=spamassassin ... dann ist die Erkennungsrate SEHR gut! Es werden sehr viele Mails mit Spamscore weit über 5.0 erkannt und weggefiltert ist hingegen diese config aktiv: smtp inet n - n - - smtpd -o content_filter=smtp-amavis:[127.0.0.1]:10024 Geht der Großteil vom Spam mit einem Score unter 5.0 durch. Meist so 0.1 bis 3.6 amavis erkennt Spam und Viren wenn ich den EICAR Teststring und die Virentestdatei verwende. Da funktioniert alles wie es soll, aber unter Realbedingungen hat amavis nur sehr sehr selten einen erfolgreichen Treffer. Meine Anpassungen bzgl amavis: 15-content_filter_mode: entsprechend beide Strings auskommentiert 05-domain-id: @local_domains_acl = ( "." ); 20-debian_defaults: $QUARANTINEDIR = "/clients01/virus-mails"; rest default 50-user: $sa_tag_level_deflt = -999; $sa_tag2_level_deflt = 4.0; $sa_kill_level_deflt = 6.9; $sa_spam_subject_tag = '*****SPAM*****'; $log_templ = $log_verbose_templ; $warnvirusrecip = 1; postfix master.cf erweitert um 127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks Ich bin jetzt mit meinem Latein am Ende. Ich habe bestimmt schon 20 tutorials angeschaut die alle das Selbe zeigen und ich mich auch daran gehalten habe. Also ist smtpd -o content_filter=smtp-amavis:[127.0.0.1]:10024 aktiv, dann ist die Erkennung sehr schlecht. smtpd -o content_filter=spamassassine damit ist die Erkennung wunderbar! System: debian 8.5 spamassassin 3.4.0-6 amavisd-new 1:2.10.1-2~deb8u1 clamav 0.99 Wer hat einen Tipp für mich, was ich falsch mache? Danke! -- Claas Goltz IT-Systemadministrator CONTACT Software GmbH Wiener Straße 1?3, 28359 Bremen, Germany T +49 421 20153-27 F +49 421 20153-41 claas.goltz at contact-software.com http://www.contact-software.com Registered office: Bremen, Germany Managing directors: Karl Heinz Zachries, Ralf Holtgrefe Court of register: Amtsgericht Bremen HRB 13215 From kai_postfix at fuerstenberg.ws Wed Jun 29 17:25:31 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Wed, 29 Jun 2016 17:25:31 +0200 Subject: =?UTF-8?Q?Re:_Verschiedene_Header_Checks_f=c3=bcr_eingehende_und_au?= =?UTF-8?Q?sgehende_Mails?= In-Reply-To: References: <4841e803-6f28-fc8b-0f1c-6d0d42f598fc@heinrichboeder.com> <5a0dcc86-efe6-91d5-7e19-3bc9493c7177@fuerstenberg.ws> Message-ID: <09fc4837-2f75-9c07-102a-8cb9977217d0@fuerstenberg.ws> Am 29.06.2016 um 16:57 schrieb Heinrich Boeder: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Ahoi Kai, > > Am 29.06.2016 um 16:20 schrieb Kai Fürstenberg: > >> header_checks gelten immer für alle Mails die durch das System >> gehen. Sie können auch nicht separat in irgendwelche *_restrictions >> eingebaut werden. > > Das habe ich mir fast gedacht. Ich habe auch ein wenig gegoogled und > auch etwas über Bedingungen innerhalb der header_checkes Datei > gelesen. Sowas wie if then else. Hast Du von > sowas schon einmal was gehört? Es gibt zwar diese if-Bedingung, die bezieht sich aber immer auf die betreffende Zeile. Du kannst also nicht sagen: wenn eingeliefert, dann mach den Header-Check. >> Wenn du submission benutzt, kannst du in der master.cf die >> header_checks separat festlegen. > > Wäre eine Möglichkeit. Dachte nur es gäbe eine einfachere, in Postfix > integrierte Lösung! Das ist eine in Postfix integrierte Lösung: master.cf: smtp inet n - n - - smtpd -o header_checks=pcre:/etc/postfix/eingehende_header_checks submission inet n - n - - smtpd -o header_checks=pcre:/etc/postfix/ausgehende_header_checks Zwei Mail-Wege, zwei verschiedene Dateien, fertig. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From tech at kdmails.de Wed Jun 29 19:56:22 2016 From: tech at kdmails.de (Daniel Gompf) Date: Wed, 29 Jun 2016 19:56:22 +0200 Subject: amavis filtert zu schlecht In-Reply-To: <5773E412.60902@contact-software.com> References: <5773E38A.2050209@contact-software.com> <5773E412.60902@contact-software.com> Message-ID: <57740BC6.1050903@kdmails.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Claas Am 29.06.2016 um 17:06 schrieb Claas Goltz: > Hallo zusammen, ich teste seit ein paar Tagen vergeblich eine > vernünftige Amavis/ClamAV/SpamAssassine Installation zum Laufen zu > kriegen und ich habe das Gefühl, dass Amavis keine Rule Updates > bekommt und die Erkennungsrate deshalb schlecht ist. > > /etc/cron.hourly/spamassassin ist entsprechend um den Heinlein > Eintrag erweitert > > [..] > > /usr/bin/sa-update --nogpg --channel > spamassassin.heinlein-support.de \ --gpghomedir > /var/lib/spamassassin/sa-update-keys 2>&1 > > usw. [..] > > und ich behaupte es funktioniert auch! Wo legt SpamAssassine > eigentlich die Rules ab? > Die aktuelle Versionsnummer bekommst du hier dig 0.4.3.updates.spamassassin.org txt +short und dann schaust du unter head -n 1 /var/lib/spamassassin/3.004000/updates_spamassassin_org.cf dort liegen die unter Ubuntu > Führe ich ein sa update manuell durch, bin ich scheinbar up2date: > /usr/bin/sa-update --nogpg --channel > spamassassin.heinlein-support.de -v Update finished, no fresh > updates were available > > Warum glaube ich, dass es funktioniert? Weil ich jetzt mehr als 24h > die E-Mails so filtere... > > postfix master.cf smtp inet n - n - - > smtpd -o content_filter=spamassassin > > > ... dann ist die Erkennungsrate SEHR gut! Es werden sehr viele > Mails mit Spamscore weit über 5.0 erkannt und weggefiltert > > ist hingegen diese config aktiv: smtp inet n - n > - - smtpd -o > content_filter=smtp-amavis:[127.0.0.1]:10024 > > Geht der Großteil vom Spam mit einem Score unter 5.0 durch. Meist > so 0.1 bis 3.6 Was steht den in den X-Spam Headern, evtl. gibt ist da ja jemanden der dir die Punkte wieder abzieht. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) iQEcBAEBAgAGBQJXdAvGAAoJENuvw56q5FOipgMH/2fz2GpoHRvaK7bdy+6p8GRv W6EHcjgbG9kdBRigEkkMyCQFQhSbdAKYO8kbLq8DfKX1/9CfNBIHaX0rW/oNlFE7 qq+XuXBRqcj88wZJXzxZqxs3WSH5IbUNud0Gkopqn2gpns2DxoV+S2LylBJPB1fe 8sMp60gpiVWJHaQCfDgDnn8mju8JNVkEmSEqtJzTVOoLB629cyILtJ/WaEzk6ynF bG4U15Io0hImZ7EY6WUgpIlqbwlVBUsVom6r6xF5NllIxQl5i8bGubKjxRnWtTXz zdyZfAUnh5dSqzhj/K8pwqWMAkYKc4U20ucuHNAzC2xPFKF1SPs4xhCfNiDS2Hk= =ftmx -----END PGP SIGNATURE-----