From matthias.doering at mldsc.de Wed Mar 2 02:16:15 2016 From: matthias.doering at mldsc.de (Matthias Doering) Date: Wed, 2 Mar 2016 02:16:15 +0100 Subject: Postfixadmin verschiedene Admins Message-ID: <56D63EDF.8010903@mldsc.de> Hi, Ich war bisher der Meinung das man in Postfixadmin verschiedene Admins erstellen kann die auch Domains anlegen können. Das kann nach meiner heutigen Erfahrung nur der Super-Admin. Ich habe auch mal in der Config geschaut. Konnte aber nichts passendes finden um das zu ändern. Vllt gibts da ja ein Parameter :-P Gibt es eine möglich bei Postfixadmin auch einem nicht Super-Admin das Rechte einzuräumen Domains zu erstellen? -- Mit freundlichen Grüßen Matthias Döring From Marc.Grooz at regioit.de Wed Mar 2 09:42:23 2016 From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT)) Date: Wed, 2 Mar 2016 08:42:23 +0000 Subject: =?iso-8859-1?Q?Amavis_und_Mailanh=E4nge?= Message-ID: <243016E7989B3045AA79AADDA18308254D985416@srv02029.Admin.local> Hallo Zusammen, wenn man Amavis sagt blockiere alle Dateien mit der Endung .js egal ob in einer Zip Datei oder als Anhang funktioniert das gut. Nehmen wir an ich schreibe eine neue Email und füge nun eine Email als Anhang bei und diese Email enthält ein Zip mit einer js Datei wird diese nicht blockiert. Warum ist das so und kann man das ändern? Vielen Dank. Gruß Marc From wn at neessen.net Wed Mar 2 09:58:17 2016 From: wn at neessen.net (Winfried Neessen) Date: Wed, 02 Mar 2016 09:58:17 +0100 Subject: =?UTF-8?Q?Re=3A_Amavis_und_Mailanh=C3=A4nge?= In-Reply-To: <243016E7989B3045AA79AADDA18308254D985416@srv02029.Admin.local> References: <243016E7989B3045AA79AADDA18308254D985416@srv02029.Admin.local> Message-ID: <8523218b8e28232d419a0c98e90d43bf@neessen.net> Hi Marc, Am 2016-03-02 09:42, schrieb Grooz, Marc (regio iT): > wenn man Amavis sagt blockiere alle Dateien mit der Endung .js egal ob > in einer Zip Datei > oder als Anhang funktioniert das gut. Nehmen wir an ich schreibe eine > neue Email und füge > nun eine Email als Anhang bei und diese Email enthält ein Zip mit einer > js Datei wird > diese nicht blockiert. Warum ist das so und kann man das ändern? > Das haengt wahrscheinlich hiermit[1] zusammen. Winni [1] = http://postfix.1071664.n5.nabble.com/OT-Freiwilligen-gesucht-blocking-exe-in-Mails-Archiven-tp79508p79591.html From frank.duerring at condero.com Wed Mar 2 10:06:00 2016 From: frank.duerring at condero.com (=?utf-8?Q?=22Frank_J=2E_D=C3=BCrring=22?=) Date: Wed, 2 Mar 2016 10:06:00 +0100 Subject: Mailinglisten - mailman, minimalist, etc. Message-ID: <4F357DB3-01A7-4E4B-842D-2928B4821BFF@condero.com> Hallo zusammen, ich bin endlich soweit einen alten Mailserver u.a. mit einer Mailman Installation abzuschalten. Dort laufen aber noch drei Mailinglisten auf Basis von Mailman die ich dazu umziehen muss, alle betreffen einen Kunden der aber nicht sehr anspruchsvoll ist und mir auch die Administration überlässt. Was verwendet ihr als ML-System? Ich möchte es möglichst einfach halten und auch keine PHP-irgendwas Anwendungen dafür einsetzen. Basis ist ein Debian 8 mit Postfix 2.11.3 und dovecot 2.2.13 mit SQL-Backend Danke und Gruß Frank. From Heiko.Siewert at cegat.de Wed Mar 2 10:14:35 2016 From: Heiko.Siewert at cegat.de (Heiko Siewert) Date: Wed, 2 Mar 2016 09:14:35 +0000 Subject: Attachment abtrennen und umleiten Message-ID: <6f5f2663ec474c68becee2f53282b81e@exc13.tue.cegat.de> Hallo, ich habe ein Problem: Die Attachments von eingehende Mails sollen, sofern sie einem bestimmtem Muster entsprechen von der Mail getrennt werden. Der Absender soll mit einer Mail, die mehr enthält als "550 Bad Attachment", benachrichtigt werden, dass er ein anderes Format benutzen soll bzw. wir seine Mail so nicht "durchlassen". Die Mail, ohne Attachment soll an den Benutzer weitergeleitet werden, mit dem Vermerk, dass das Attachment z.B. in Quarantäne ist. Das Attachment selbst könnte oder sollte an eine andere (interne) Mailadresse umgeleitet werden. Im Augenblick stehe ich im Wald und sehe den Ausgang nicht. In welche Richtung kann ich "laufen" ? Habt ihr eine Idee ? Mit freundlichen Grüßen -- Heiko Siewert   IT Infrastructure Fon.   +49 (0)7071 565 44 380 Fax.   +49 (0)7071 565 44 22 ------------------------------------------------------ CeGaT GmbH | Paul-Ehrlich-Str. 23 | 72076 Tuebingen, Germany info at cegat.de | www.cegat.de Court District Stuttgart - HRB 729958 | VAT-No.: DE265504070 Managing Directors: Dr. Dr. Saskia Biskup, Dr. Dirk Biskup From Marc.Grooz at regioit.de Wed Mar 2 10:38:29 2016 From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT)) Date: Wed, 2 Mar 2016 09:38:29 +0000 Subject: =?utf-8?B?QVc6IEFtYXZpcyB1bmQgTWFpbGFuaMOkbmdl?= In-Reply-To: <8523218b8e28232d419a0c98e90d43bf@neessen.net> References: <243016E7989B3045AA79AADDA18308254D985416@srv02029.Admin.local> <8523218b8e28232d419a0c98e90d43bf@neessen.net> Message-ID: <243016E7989B3045AA79AADDA18308254D9854E9@srv02029.Admin.local> Ja genau das müsste es sein. Die Frage was unsafe meint ist aber noch nicht geklärt oder? -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Mittwoch, 2. März 2016 09:58 An: Diskussionen und Support rund um Postfix Betreff: Re: Amavis und Mailanhänge Hi Marc, Am 2016-03-02 09:42, schrieb Grooz, Marc (regio iT): > wenn man Amavis sagt blockiere alle Dateien mit der Endung .js egal ob > in einer Zip Datei oder als Anhang funktioniert das gut. Nehmen wir an > ich schreibe eine neue Email und füge nun eine Email als Anhang bei > und diese Email enthält ein Zip mit einer js Datei wird diese nicht > blockiert. Warum ist das so und kann man das ändern? > Das haengt wahrscheinlich hiermit[1] zusammen. Winni [1] = http://postfix.1071664.n5.nabble.com/OT-Freiwilligen-gesucht-blocking-exe-in-Mails-Archiven-tp79508p79591.html From Marc.Grooz at regioit.de Wed Mar 2 10:53:15 2016 From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT)) Date: Wed, 2 Mar 2016 09:53:15 +0000 Subject: =?utf-8?B?QVc6IEFtYXZpcyB1bmQgTWFpbGFuaMOkbmdl?= In-Reply-To: <243016E7989B3045AA79AADDA18308254D9854E9@srv02029.Admin.local> References: <243016E7989B3045AA79AADDA18308254D985416@srv02029.Admin.local> <8523218b8e28232d419a0c98e90d43bf@neessen.net> <243016E7989B3045AA79AADDA18308254D9854E9@srv02029.Admin.local> Message-ID: <243016E7989B3045AA79AADDA18308254D9855BF@srv02029.Admin.local> Habe es getestet er erkennt aber immer noch nicht den Inhalt in message/rfc822. Fehlt noch etwas? -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Grooz, Marc (regio iT) Gesendet: Mittwoch, 2. März 2016 10:38 An: Diskussionen und Support rund um Postfix Betreff: AW: Amavis und Mailanhänge Ja genau das müsste es sein. Die Frage was unsafe meint ist aber noch nicht geklärt oder? -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Mittwoch, 2. März 2016 09:58 An: Diskussionen und Support rund um Postfix Betreff: Re: Amavis und Mailanhänge Hi Marc, Am 2016-03-02 09:42, schrieb Grooz, Marc (regio iT): > wenn man Amavis sagt blockiere alle Dateien mit der Endung .js egal ob > in einer Zip Datei oder als Anhang funktioniert das gut. Nehmen wir an > ich schreibe eine neue Email und füge nun eine Email als Anhang bei > und diese Email enthält ein Zip mit einer js Datei wird diese nicht > blockiert. Warum ist das so und kann man das ändern? > Das haengt wahrscheinlich hiermit[1] zusammen. Winni [1] = http://postfix.1071664.n5.nabble.com/OT-Freiwilligen-gesucht-blocking-exe-in-Mails-Archiven-tp79508p79591.html From Hullen at t-online.de Wed Mar 2 10:44:00 2016 From: Hullen at t-online.de (Helmut Hullen) Date: Wed, 2 Mar 2016 10:44:00 +0100 Subject: Attachment abtrennen und umleiten In-Reply-To: <6f5f2663ec474c68becee2f53282b81e@exc13.tue.cegat.de> Message-ID: Hallo, Heiko, Du meintest am 02.03.16: > Die Attachments von eingehende Mails sollen, sofern sie einem > bestimmtem Muster entsprechen von der Mail getrennt werden. Der > Absender soll mit einer Mail, die mehr enthält als "550 Bad > Attachment", benachrichtigt werden, dass er ein anderes Format > benutzen soll bzw. wir seine Mail so nicht "durchlassen". Wer ist "der Absender" von "Locky"-Anhängen? Viele Gruesse! Helmut From postfixbuch at cboltz.de Wed Mar 2 13:21:41 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Wed, 02 Mar 2016 13:21:41 +0100 Subject: Postfixadmin verschiedene Admins In-Reply-To: <56D63EDF.8010903@mldsc.de> References: <56D63EDF.8010903@mldsc.de> Message-ID: <5903093.JaSMvpHKyz@tux.boltz.de.vu> Hallo Matthias, hallo zusammen, Am Mittwoch, 2. März 2016, 02:16:15 CET schrieb Matthias Doering: > Ich war bisher der Meinung das man in Postfixadmin verschiedene Admins > erstellen kann die auch Domains anlegen können. > Das kann nach meiner heutigen Erfahrung nur der Super-Admin. Genau, das Anlegen neuer Domains ist auf Superadmins beschränkt. Das ist auch nicht neu, sondern war schon immer so ;-) > Ich habe auch mal in der Config geschaut. Konnte aber nichts passendes > finden um das zu ändern. Vllt gibts da ja ein Parameter :-P > Gibt es eine möglich bei Postfixadmin auch einem nicht Super-Admin das > Rechte einzuräumen Domains zu erstellen? Ja, mach ihn zum Superadmin ;-) Wenn Du das nicht willst, musst Du wohl etwas im Code wühlen. Stelle Dich aber gleich darauf ein, dass Du an mehreren Stellen ändern musst. Stichpunkte sind u. a.: - Admin-Rechte für die Domain - nachträgliche Änderungen an der Domain (Quota etc.) erlauben? Evtl. ist es einfacher, ein zusätzliches kleines Modul zu bauen, das nur die Anlage von Domains erlaubt - wenn Du den DomainHandler aufrufst, ist das nicht wirklich schwer (unter 10 Zeilen Code [1] - natürlich ohne Formularhandling etc.). Andere Frage: Was genau ist Dein Problem? Vielleicht gibt es ja eine sinnvollere Lösung ;-) Gruß Christian Boltz [1] Hier mal ein Beispiel, das durch Ändern einiger Parameter verschiedene Sachen machen kann (siehe $mode) und daher natürlich länger als 10 Zeilen ist ;-) Bei Fragen: a) die Kommentare in PFAHandler.php lesen und ggf. b) bei mir nachfragen ;-) 1, # 'goto' => array( 'foo at example.com', 'asdf at example.com'), # ); # $list_condition = '1=1'; $list_condition = "domain='example.com'"; $mode = 1; # 1 = view, 2 = new, 3 = edit, 4 = list $admin = ""; #$admin = "test at example.com"; $handlerclass = "AliasHandler"; $new = 0; if ($mode == 2 /*new*/) $new = 1; echo "new: $new\nadmin: $admin\n"; $handler = new $handlerclass($new, $admin); if ($mode != 4) { echo "*** init ***\n"; if (!$handler->init($id)) { print "Error1: "; print_r($handler->errormsg); exit; } } echo "*** NACH init ***\n"; if ($mode == 1) { # view if (!$handler->view()) { print "Error2: "; print_r($handler->errormsg); } else { print_r($handler->result()); } } elseif ($mode == 4) { # list $handler->getList($list_condition); print_r($handler->result()); } else { # new/edit if (!$handler->set($values)) { print "Error3: "; print_r($handler->errormsg); exit; } if (!$handler->store()) { print "Error4: "; print_r($handler->errormsg); exit; } } -- > /etc/sysconfig/powersave/cpufreq contains the line: > # the next lover CPU frequency. Increasing this value lowers the ^^^^^ we should keep that one ;) [Michael Gross in https://bugzilla.novell.com/show_bug.cgi?id=183704] From andreas.schulze at datev.de Wed Mar 2 14:39:10 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 2 Mar 2016 14:39:10 +0100 Subject: Mailinglisten - mailman, minimalist, etc. In-Reply-To: <4F357DB3-01A7-4E4B-842D-2928B4821BFF@condero.com> References: <4F357DB3-01A7-4E4B-842D-2928B4821BFF@condero.com> Message-ID: <56D6ECFE.2080001@datev.de> Am 02.03.2016 um 10:06 schrieb "Frank J. Dürring": > Was verwendet ihr als ML-System? für kleine Installationen kann ich http://mlmmj.org empfehlen. Allerdings baue ich das selbst aus den Quellen. - keine GUI - Bedienung komplett über E-Mail oder Kommandozeile - DKIM/DMARC fest (wenn man eine Liste so konfiguriert, dass Betreff und Mailbody unverändert bleiben soll, dann macht das mlmmj auch richtig) -- A. Schulze DATEV eG From postfixbuch at cboltz.de Wed Mar 2 17:50:27 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Wed, 02 Mar 2016 17:50:27 +0100 Subject: Mailinglisten - mailman, minimalist, etc. In-Reply-To: <56D6ECFE.2080001@datev.de> References: <4F357DB3-01A7-4E4B-842D-2928B4821BFF@condero.com> <56D6ECFE.2080001@datev.de> Message-ID: <1899205.baYUIkqVMe@tux.boltz.de.vu> Hallo Andreas, hallo Frank, hallo zusammen, Am Mittwoch, 2. März 2016, 14:39:10 CET schrieb Andreas Schulze: > Am 02.03.2016 um 10:06 schrieb "Frank J. Dürring": > > Was verwendet ihr als ML-System? > > für kleine Installationen kann ich http://mlmmj.org empfehlen. "Kleine Installationen" ist gut - Du meinst sowas wie die openSUSE- Mailinglisten mit ein paar hundert bis ein paar tausend Subscribern pro Mailingliste und reichlich Traffic? ;-) [1] Sprich: auch wenn ich mlmmj nicht aus eigener Admin-Erfahrung kenne, scheint es durchaus für größere Setups geeignet zu sein. Ich selbst habe übrigens Mailman im Einsatz - es gibt da ein paar sogenannte "User", die unbedingt ein Webinterface haben wollen ;-) Gruß Christian Boltz PS: die Sig ist nicht zufällig ;-) (und inzwischen rund 13 Jahre alt) [1] http://lists.opensuse.org/stats/ -- Wenn diese Liste über Mailman betrieben würde, dann würden wir den ganzen Tag nichts anderes machen als eine Menschenkette zum nächsten Computerladen aufrechtzuerhalten um RAM in einem konstanten fluss in lists.suse.com einzubauen ;) [Henne Vogelsang in suse-linux] From postfixbuch at cboltz.de Thu Mar 3 13:02:18 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Thu, 03 Mar 2016 13:02:18 +0100 Subject: pflogsumm.pl - Probleme unter openSUSE Leap In-Reply-To: <56CFFACE.6070409@datev.de> References: <7074662.y1VQLZ550H@tux.boltz.de.vu> <56CFFACE.6070409@datev.de> Message-ID: <18926751.3YLtTsmj8P@tux.boltz.de.vu> Hallo Andreas, hallo zusammen, Am Freitag, 26. Februar 2016, 08:12:14 CET schrieb Andreas Schulze: > Am 25.02.2016 um 22:11 schrieb Christian Boltz: > > Ich habe gerade das Log mit einem openSUSE 13.1 verglichen - unter > > Leap sind die Logeinträge in /var/log/mail im Stil von > > > > Feb 25 21:24:45 server qmgr[29331]: [...] > > Feb 25 21:24:45 server smtp[17026]: [...] > > > > und unter 13.1 > > > > Feb 25 00:18:31 server postfix/qmgr[28225]: [...] > > Feb 25 00:18:31 server postfix/smtp[16514]: [...] > > > > Sprich: Der Prefix "postfix/" fehlt. > > ev. hat jemand am Parameter "syslog_name" in der main.cf rumgespielt. > normalerweise steht syslog_name auf "postfix" bzw > "${multi_instance_name?{$multi_instance_name}:{postfix}" > > somit sollte in den Einträge eigentlich immer "postfix/irgendwas" > auftauchen. siehe http://www.postfix.org/postconf.5.html#syslog_name Gerade nachgesehen - bewusst verstellt habe ich das nicht, was auch postconf -n bestätigt. (Mit Ausnahme von Port 10025, wo ich in master.cf den syslog_name anpasse - aber auch dieser erscheint nicht im Log.) postconf (ohne -n) liefert für syslog_name und den darin benutzten multi_instance_name: multi_instance_name = syslog_name = ${multi_instance_name:postfix}${multi_instance_name? $multi_instance_name} Ich habe gerade mal in main.cf syslog_name=postfix gesetzt. Das wird mir auch von postconf -n so bestätigt, aber im Log sehe ich immer noch "smtpd" statt "postfix/smtpd". Es sieht also so aus, als ob syslog_name weitgehend [1] ignoriert wird :-/ (Bug?) Gruß Christian Boltz [1] Nur postfix/anvil, postfix/postfix-script, postfix/postlog, postfix/postsuper und postfix/scache erscheinen im Log. Alle anderen haben keinen 'postfix/'-Prefix. -- Wenn das Intervall zu klein ist, werden Ausfälle sofort an den User gemeldet, und der ruft dann bei dir an. Wenn da Intervall zu groß ist, erinnert sich der User gar nicht mehr an die Mail, und ruft dann bei dir an. [Ralf Hildebrandt in postfixbuch-users zur delay_warning_time] From michael.luckey at FALKE.com Fri Mar 4 10:41:13 2016 From: michael.luckey at FALKE.com (michael.luckey at FALKE.com) Date: Fri, 4 Mar 2016 09:41:13 +0000 Subject: =?utf-8?B?QW1hdmlzIHdoaXRlbGlzdCBmw7xyIGJhbm5lZCBmaWxlcw==?= Message-ID: <987640E96C972141B12FD7518AA548A47F293E6D@maildb1.falke.central> Hallo zusammen, ich habe folgendes Problem. Ich habe mittels banned_filename_re im Amavis die Zustellung von ZIP Dateien deaktiviert. Als Ausnahme sollen aber Mails von bestimmten Absendern (von extern nach intern anhand der Absenderadresse) zugelassen werden. (@banned_files_lovers_maps fallen somit heraus) Ich habe versucht dies mittels einem Eintrag in der amavisd.conf zu lösen. (Absender im Beispiel geändert) @bypass_banned_checks_maps = qw( Fritz at domain.de ); Dies hat zur Folge, dass Mails mit einer ZIP Datei im Anhang wieder ankommen. Auszug Log sieht bis dahin gut aus. ? amavis[1014]: (01014-01) wbl: whitelisted sender Mein Problem ist aber, dass durch den Eintrag wieder die Sendung von ZIP Dateien von allen externen Mailadressen möglich ist. Diese tauchen allerdings nicht als whitelisted sender im Log auf. Hat jemand evtl. einen Tipp für mich? Vorab schon einmal besten Dank für Eure Hilfe. Gruß Michael FALKE KGaA OSTSTRASSE 5, D-57392 SCHMALLENBERG / GERMANY KOMPLEMENTÄRE: FALKE BETEILIGUNGS-OHG FRANZ-PETER FALKE GMBH · PAUL FALKE GMBH VORSITZENDER DES AUFSICHTSRATS: DR. REINHARD ZINKANN · AG ARNSBERG HRB 7738 www.FALKE.com -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From jk at jkart.de Fri Mar 4 13:35:45 2016 From: jk at jkart.de (Jamie Katharina Knuth) Date: Fri, 4 Mar 2016 13:35:45 +0100 Subject: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> Message-ID: <56D98121.7080108@jkart.de> am 09.06.15 13:23 schrieb Uwe Drießen : > Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat > und da werden auch über die Links in der Mail Viren und Trojaner > untergejubelt > > > Also doch wieder Headerchecks bemüht > > if /^From:.*DHL.*/i > if !/\<.+ at dhl\..+\>$/i > /^/ REJECT Nice try :-) > endif > endif > > geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche, wo das From aber (gefälscht) von paypal.com oder paypal.de kommt. > Uwe Drießen -- Mit freundlichem Gruß, With kind regard, Jamie Katharina Knuth From andreas.schulze at datev.de Fri Mar 4 13:51:35 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 4 Mar 2016 13:51:35 +0100 Subject: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <56D98121.7080108@jkart.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> Message-ID: <56D984D7.9060009@datev.de> Am 04.03.2016 um 13:35 schrieb Jamie Katharina Knuth: > geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche, > wo das From aber (gefälscht) von paypal.com oder paypal.de > kommt. paypal.[com|de] und dhl.[com|de] nutzen DMARC und propagieren eine Reject-Policy. Man kan also mit einm DMARC-Check prüfen, ob die Mails echt sind und ansonsten das tun, was der Domaineigner empfiehlt: reject. -- A. Schulze DATEV eG From daniel at ist-immer-online.de Fri Mar 4 14:03:20 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 4 Mar 2016 14:03:20 +0100 Subject: AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <56D98121.7080108@jkart.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> Message-ID: <009201d17616$39cf4ca0$ad6de5e0$@ist-immer-online.de> Brauchst doch nur anpassen. Bei mir bleibt ganze auch ohne draußen Feb 26 06:53:29 postfix/smtpd[32388]: Anonymous TLS connection established from out7.mx.root.lu[83.243.9.207]: TLSv1 with cipher AES256-SHA (256/256 bits) Feb 26 06:53:30 postfix/policy-spf[32396]: Policy action=PREPEND Received-SPF: softfail (paypal.de: Sender is not authorized by default to use 'service at paypal.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=Server; identity=mailfrom; envelope-from="service at paypal.de"; helo=out7.mx.root.lu; client-ip=83.243.9.207 Feb 26 06:53:32 postfix/policy-spf[32396]: Policy action=DUNNO Feb 26 06:53:32 postfix/smtpd[32388]: 6572016E62006: client=out7.mx.root.lu[83.243.9.207] Feb 26 06:53:32 postfix/cleanup[32401]: 6572016E62006: reject: header Received-SPF: softfail (paypal.de: Sender is not authorized by default to use 'service at paypal.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' mat from out7.mx.root.lu[83.243.9.207]; from= to= proto=ESMTP helo=: 5.7.1 message content rejected Feb 26 06:53:32 postfix/smtpd[32388]: disconnect from out7.mx.root.lu[83.243.9.207] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7 Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Jamie Katharina Knuth Gesendet: Freitag, 4. März 2016 13:36 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: [Postfixbuch-users] Immer noch DHL-Spam / Viren am 09.06.15 13:23 schrieb Uwe Drießen : > Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat > und da werden auch über die Links in der Mail Viren und Trojaner > untergejubelt > > > Also doch wieder Headerchecks bemüht > > if /^From:.*DHL.*/i > if !/\<.+ at dhl\..+\>$/i > /^/ REJECT Nice try :-) > endif > endif > > geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche, wo das From aber (gefälscht) von paypal.com oder paypal.de kommt. > Uwe Drießen -- Mit freundlichem Gruß, With kind regard, Jamie Katharina Knuth -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: nicht verfügbar URL : From news at amaltea.de Fri Mar 4 15:24:33 2016 From: news at amaltea.de (Paul) Date: Fri, 4 Mar 2016 15:24:33 +0100 Subject: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <009201d17616$39cf4ca0$ad6de5e0$@ist-immer-online.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> <009201d17616$39cf4ca0$ad6de5e0$@ist-immer-online.de> Message-ID: <56D99AA1.8090609@amaltea.de> Am 04.03.2016 um 14:03 schrieb Daniel: > Bei mir bleibt ganze auch ohne draußen > Feb 26 06:53:29 postfix/smtpd[32388]: Anonymous TLS connection established from out7.mx.root.lu[83.243.9.207]: TLSv1 with cipher > AES256-SHA (256/256 bits) > Feb 26 06:53:30 postfix/policy-spf[32396]: Policy action=PREPEND Received-SPF: softfail (paypal.de: Sender is not authorized by > default to use 'service at paypal.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism > '~all' matched)) receiver=Server; identity=mailfrom; envelope-from="service at paypal.de"; helo=out7.mx.root.lu; client-ip=83.243.9.207 > Feb 26 06:53:32 postfix/policy-spf[32396]: Policy action=DUNNO > Feb 26 06:53:32 postfix/smtpd[32388]: 6572016E62006: client=out7.mx.root.lu[83.243.9.207] > Feb 26 06:53:32 postfix/cleanup[32401]: 6572016E62006: reject: header Received-SPF: softfail (paypal.de: Sender is not authorized by > default to use 'service at paypal.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism > '~all' mat from out7.mx.root.lu[83.243.9.207]; from= to= proto=ESMTP helo=: 5.7.1 message > content rejected > Feb 26 06:53:32 postfix/smtpd[32388]: disconnect from out7.mx.root.lu[83.243.9.207] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 > commands=6/7 Magst du uns verraten, wie du trotz SPF softfail ein reject erzwingst? Gruß, Paul From driessen at fblan.de Fri Mar 4 18:56:05 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 4 Mar 2016 18:56:05 +0100 Subject: AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <56D98121.7080108@jkart.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> Message-ID: <007001d1763f$20482030$60d86090$@fblan.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Jamie Katharina Knuth > Gesendet: Freitag, 4. März 2016 13:36 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: [Postfixbuch-users] Immer noch DHL-Spam / Viren > > am 09.06.15 13:23 schrieb Uwe Drießen : > > > > Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht > hat > > und da werden auch über die Links in der Mail Viren und Trojaner > > untergejubelt > > > > > > Also doch wieder Headerchecks bemüht > > > > if /^From:.*DHL.*/i > > if !/\<.+ at dhl\..+\>$/i > > /^/ REJECT Nice try :-) > > endif > > endif > > > > > > geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche, > wo das From aber (gefälscht) von paypal.com oder paypal.de > kommt. > > Jap geht auch if /^From:.*paypal.*/ if !/\<.+@(.\.)?paypal\.(de|com)\>$/ /^/ REJECT fuck off, we go on strike and do not provide money, Your Mailaccount was hacked endif endif Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Fri Mar 4 18:59:33 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 4 Mar 2016 18:59:33 +0100 Subject: AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <56D98121.7080108@jkart.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> Message-ID: <007501d1763f$9d9a08f0$d8ce1ad0$@fblan.de> Im Auftrag von Jamie Katharina Knuth > > geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche, > wo das From aber (gefälscht) von paypal.com oder paypal.de > kommt. > > Die komplette liste : if /^From:.*@aol.com/ if /^Subject:$/ /^/ REJECT fuck off, you have no subject are you a subject? endif if /^To:$/ /^/ REJECT i don't know to where you want to send, are you silly? endif endif if /^From:.*DHL.*/ if !/\<.+ at dhl\..+\>$/ /^/ REJECT fuck off, we go on strike and do not provide packages, Your Mailaccount was hacked endif endif if /^From:.*paypal.*/ if !/\<.+@(.\.)?paypal\.(de|com)\>$/ #!/\<.+@(.\.)paypal\.(de|com)\>$/i /^/ REJECT fuck off, we go on strike and do not provide money, Your Mailaccount was hacked endif endif if /^From:.*(visa|master)card..+.*/ /^/ REJECT fuck off, no phishing allow, Your Mailaccount is hacked, call me if you meen it is wrong endif if /^From:.*Sparkasse.*/ if !/\<.+ at sparkasse\..+\>$/ /^/ REJECT fuck off, we go on strike and do not provide packages, Your Mailaccount was hacked endif endif if /^From:.*sparda*/ if !/Received: from.*sparda-bank\.de$/ /^/ REJECT fuck off, we go on strike and do not provide packages, Your Mailaccount was hacked endif endif # 09.07.2015 07:37 if /^From:.*amazon.*/ if !/\<.+@(.+\.)?amazon\.(de|com)\>$/ /^/ REJECT fuck off, we go on strike and do not provide packages, Your Mailaccount is hacked endif endif Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From benjamin.rechsteiner at automatic-server.com Fri Mar 4 18:58:17 2016 From: benjamin.rechsteiner at automatic-server.com (Benjamin Rechsteiner) Date: Fri, 4 Mar 2016 18:58:17 +0100 Subject: Dovecot-Director Allowing any password Message-ID: <20160304185817.4eee119f@darkfire.automatic-server.com> Hi all, Ich versuche gerade ein Setup aufzubauen: (Postfix/Dovecot Director01) -> (Dovecot02) -> (OpenLDAP) Grundsätzlich funktioniert das Setup so, bis auf die smtp_auth. Mein Postfix sollte für die smtp/smtpd-auth den Dovecot-Director fragen und dieser dann den Backend-Dovecot02. Postfix config: smtpd_sasl_type = dovecot smtpd_sasl_path = inet:localhost:12345 smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_tls_security_options = noanonymous Dovecot config: passdb { driver = static args = nopassword=y proxy=y starttls=yes starttls=any-cert } director_mail_servers = Dovecot02 service director { unix_listener login/director { mode = 0666 } fifo_listener login/proxy-notify { mode = 0600 user = $default_login_user } unix_listener director-userdb { mode = 0600 } } IMAP funktioniert über den Dovecot-Director aber das smtp-auth erlaubt alle Passwörter. Dovecot-Director-Logs: dovecot: auth: Debug: client in: CONT dovecot: auth: Debug: static(test at example.com,x.x.x.x): lookup dovecot: auth: Debug: static(test at example.com,x.x.x.x): Allowing any password dovecot: auth: Debug: client passdb out: OK#0116#011user=test at example.com#011proxy#011nopassword=y#011starttls=any-cert Kann mir jemand helfen? -- Benjamin Rechsteiner Administrator Automatic Server AG benjamin.rechsteiner at automatic-server.com -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From jk at jkart.de Sat Mar 5 00:51:45 2016 From: jk at jkart.de (Jamie Katharina Knuth) Date: Sat, 5 Mar 2016 00:51:45 +0100 Subject: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <007501d1763f$9d9a08f0$d8ce1ad0$@fblan.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> <007501d1763f$9d9a08f0$d8ce1ad0$@fblan.de> Message-ID: <56DA1F91.7070502@jkart.de> am 04.03.16 18:59 schrieb Uwe Drießen : > Die komplette liste : > > if /^From:.*@aol.com/ > if /^Subject:$/ > /^/ REJECT fuck off, you have no subject are you a subject? > endif > if /^To:$/ > /^/ REJECT i don't know to where you want to send, are you silly? > endif > endif > > > if /^From:.*DHL.*/ > if !/\<.+ at dhl\..+\>$/ > /^/ REJECT fuck off, we go on strike and do not provide packages, Your > Mailaccount was hacked > endif > endif > > if /^From:.*paypal.*/ > if !/\<.+@(.\.)?paypal\.(de|com)\>$/ > #!/\<.+@(.\.)paypal\.(de|com)\>$/i > /^/ REJECT fuck off, we go on strike and do not provide money, Your > Mailaccount was hacked > endif > endif > > if /^From:.*(visa|master)card..+.*/ > /^/ REJECT fuck off, no phishing allow, Your Mailaccount is hacked, call > me if you meen it is wrong > endif > > if /^From:.*Sparkasse.*/ > if !/\<.+ at sparkasse\..+\>$/ > /^/ REJECT fuck off, we go on strike and do not provide packages, Your > Mailaccount was hacked > endif > endif > > if /^From:.*sparda*/ > if !/Received: from.*sparda-bank\.de$/ > /^/ REJECT fuck off, we go on strike and do not provide packages, Your > Mailaccount was hacked > endif > endif > > > # 09.07.2015 07:37 > if /^From:.*amazon.*/ > if !/\<.+@(.+\.)?amazon\.(de|com)\>$/ > /^/ REJECT fuck off, we go on strike and do not provide packages, Your > Mailaccount is hacked > endif > endif Danke @Uwe + @all -- Mit freundlichem Gruß, With kind regard, Jamie Katharina Knuth From beat at juckers.ch Sun Mar 6 12:09:10 2016 From: beat at juckers.ch (Beat Jucker) Date: Sun, 6 Mar 2016 12:09:10 +0100 Subject: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <007501d1763f$9d9a08f0$d8ce1ad0$@fblan.de> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> <007501d1763f$9d9a08f0$d8ce1ad0$@fblan.de> Message-ID: <56DC0FD6.5030605@juckers.ch> Hallo zusammen Besten Dank für die Beispiele, wobei noch folgende Bemerkung: > if /^From:.*@aol.com/ > if /^Subject:$/ > /^/ REJECT fuck off, you have no subject are you a subject? > endif > if /^To:$/ > /^/ REJECT i don't know to where you want to send, are you silly? > endif > endif obige Regel wird nie aktiv, da mit "From" und im weiteren Vergleich "Subject" / "To" unterschiedliche Header Zeilen betroffen sind, was so meines Wissens nicht direkt in Postfix möglich ist Gruss -- Beat From driessen at fblan.de Mon Mar 7 00:30:16 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Mon, 7 Mar 2016 00:30:16 +0100 Subject: AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren In-Reply-To: <56DC0FD6.5030605@juckers.ch> References: <005601d0a2a6$b1f15b40$15d411c0$@fblan.de> <56D98121.7080108@jkart.de> <007501d1763f$9d9a08f0$d8ce1ad0$@fblan.de> <56DC0FD6.5030605@juckers.ch> Message-ID: <00b501d17800$243f8210$6cbe8630$@fblan.de> Im Auftrag von Beat Jucker > Hallo zusammen > > Besten Dank für die Beispiele, wobei noch folgende Bemerkung: > > > if /^From:.*@aol.com/ > > if /^Subject:$/ > > /^/ REJECT fuck off, you have no subject are you a subject? > > endif > > if /^To:$/ > > /^/ REJECT i don't know to where you want to send, are you silly? > > endif > > endif > > obige Regel wird nie aktiv, da mit "From" und im weiteren Vergleich > "Subject" / "To" unterschiedliche Header Zeilen betroffen sind, was so > meines Wissens nicht direkt in Postfix möglich ist Stimmt das geht NOCH nicht *gg Aber ich wird die noch umschreiben die sollte so eigentlich gar nicht raus. > > Gruss > -- Beat Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at ist-immer-online.de Thu Mar 10 04:25:51 2016 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 10 Mar 2016 04:25:51 +0100 Subject: =?iso-8859-1?Q?Reject_Log_f=FCr_Benutzer?= Message-ID: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> Hi, ich würde gerne die Option haben dem User die abgelehnten Emails vom Server automatisch aus dem Log zukommen zulassen. Idee war einen extra Benutzer dazu anlegen als ne Art Mailbot anzulegen, und dort dann über .dovecot.sieve entsprechende Befehle ausführen zulassen. Der Benutzer soll dazu einfach eine Email schicken mit beliebigem Inhalt, und bekommt dann als Antwort eine HTML Email mit den Zeilenauszügen aus dem Log wo reject und die Absenderemailadresse enthalten ist. Weiß leider nicht so recht wie ich es umsetzen soll. $ mail -s "Der Mailserver hat folgende Mails abgelehnt" user at localhost < /var/mail/maillog | grep reject | grep -i user Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: nicht verfügbar URL : From lists.o at la-familia-grande.de Thu Mar 10 05:25:40 2016 From: lists.o at la-familia-grande.de (Oliver =?UTF-8?B?TWVpw59uZXI=?=) Date: Thu, 10 Mar 2016 05:25:40 +0100 Subject: Reject Log =?UTF-8?B?ZsO8cg==?= Benutzer In-Reply-To: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> References: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> Message-ID: <20160310052540.102f86b0@osiris.olly.local> Hallo Daniel, Am Thu, 10 Mar 2016 04:25:51 +0100 schrieb "Daniel" : > ich würde gerne die Option haben dem User die abgelehnten Emails vom > Server automatisch aus dem Log zukommen zulassen. > Vielleicht ist pflogsum http://jimsun.linxnet.com/postfix_contrib.html was Du suchst...? Beste Grüße Olly Meißner From daniel at ist-immer-online.de Fri Mar 11 02:33:34 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 11 Mar 2016 02:33:34 +0100 Subject: =?UTF-8?Q?AW:_Reject_Log_f=C3=BCr_Benutzer?= In-Reply-To: <20160310052540.102f86b0@osiris.olly.local> References: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> <20160310052540.102f86b0@osiris.olly.local> Message-ID: <000701d17b36$074afb60$15e0f220$@ist-immer-online.de> Hi Olly, nein, ich möchte ja das der Benutzer selbst auf Wunsch sich reject Liste anfordern kann. Daher hatte ich ja gedacht, dass ich entweder per Email oder ggf. alternativ über PHP es anfordern kann und dann z.B. cat /var/mail/maillog | grep reject | grep -i user | sendmail user at localhost ausgeführt wird. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Oliver Meißner Gesendet: Donnerstag, 10. März 2016 05:26 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Reject Log für Benutzer Hallo Daniel, Am Thu, 10 Mar 2016 04:25:51 +0100 schrieb "Daniel" : > ich würde gerne die Option haben dem User die abgelehnten Emails vom > Server automatisch aus dem Log zukommen zulassen. > Vielleicht ist pflogsum http://jimsun.linxnet.com/postfix_contrib.html was Du suchst...? Beste Grüße Olly Meißner -----Ursprüngliche Nachricht----- Von: Daniel [mailto:daniel at ist-immer-online.de] Gesendet: Donnerstag, 10. März 2016 04:26 An: 'Diskussionen und Support rund um Postfix' Betreff: Reject Log für Benutzer Hi, ich würde gerne die Option haben dem User die abgelehnten Emails vom Server automatisch aus dem Log zukommen zulassen. Idee war einen extra Benutzer dazu anlegen als ne Art Mailbot anzulegen, und dort dann über .dovecot.sieve entsprechende Befehle ausführen zulassen. Der Benutzer soll dazu einfach eine Email schicken mit beliebigem Inhalt, und bekommt dann als Antwort eine HTML Email mit den Zeilenauszügen aus dem Log wo reject und die Absenderemailadresse enthalten ist. Weiß leider nicht so recht wie ich es umsetzen soll. $ mail -s "Der Mailserver hat folgende Mails abgelehnt" user at localhost < /var/mail/maillog | grep reject | grep -i user Gruß Daniel From daniel at ist-immer-online.de Fri Mar 11 02:57:51 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 11 Mar 2016 02:57:51 +0100 Subject: Was lehnt ihr ab beim Einliefern von Mails? Message-ID: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> Hi, Was lehnt ihr ab beim Einliefern von Mails direkt ab im Postfix? Ich habe da z.B. check_client_access hash:/etc/access/client_access, check_sender_access hash:/etc/access/sender_access, check_recipient_access hash:/etc/access/recipient_access, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_sender, reject_unknown_sender_domain, check_policy_service unix:private/policy, reject_rbl_client zen.spamhaus.org Wenn reject_non_fqdn_helo_hostname aktiv ist, werden Emails von Firmen wie EA oder Blizzard abgewiesen, weil die meinen im Helo ungültige Hostnamen zu verwenden. Und Meldungen an postmaster/abuse interessiert die ja nicht unbedingt. Was sollte man also am besten verwenden, und was evt. nicht auch wenn es möglich ist. Möglichkeiten gibt es ja noch paar mehr wie unbekannte Clienten und so, bringt ja aber auch nichts wenn irgendwann nichts mehr ans Mails reinkommt weil irgendwie immer irgendwas ist. Gruß Daniel From wn at neessen.net Fri Mar 11 06:15:14 2016 From: wn at neessen.net (Winfried Neessen) Date: Fri, 11 Mar 2016 06:15:14 +0100 Subject: Was lehnt ihr ab beim Einliefern von Mails? In-Reply-To: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> References: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> Message-ID: <18C47770-D2EA-466B-892C-7A10F6FCDB03@neessen.net> Hi Daniel, Am 11.03.2016 um 02:57 schrieb Daniel : > Was lehnt ihr ab beim Einliefern von Mails direkt ab im Postfix? > Bei uns siehts so aus: ## Restrictions strict_rfc821_envelopes = yes smtpd_helo_required = yes smtpd_sender_login_maps = proxy:pgsql:${config_directory}/sql_config/pgsql_virtual_sender_login_maps.cf smtpd_recipient_restrictions = check_recipient_access hash:${config_directory}/access_lists/perdomain_blacklist reject_non_fqdn_recipient reject_non_fqdn_sender reject_unknown_sender_domain reject_unknown_recipient_domain permit_mynetworks reject_sender_login_mismatch permit_sasl_authenticated reject_unauth_destination reject_unauth_pipelining check_client_access hash:${config_directory}/access_lists/policyd_weight/client_whitelist check_sender_access hash:${config_directory}/access_lists/policyd_weight/sender_whitelist check_recipient_access hash:${config_directory}/access_lists/policyd_weight/rcpt_whitelist check_policy_service inet:127.0.0.1:12525 check_recipient_access hash:${config_directory}/access_lists/rfc2142 reject_invalid_hostname check_helo_access hash:${config_directory}/access_lists/helo_access check_client_access hash:${config_directory}/access_lists/client_access check_sender_access hash:${config_directory}/access_lists/sender_access check_recipient_access hash:${config_directory}/access_lists/recipient_access check_client_access hash:${config_directory}/access_lists/rbl_client_exceptions reject_rbl_client bl.spamcop.net reject_rbl_client zen.spamhaus.org reject_rbl_client dnsbl.sorbs.net reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client b.barracudacentral.org reject_spf_invalid_sender permit smtpd_data_restrictions = reject_multi_recipient_bounce Dazu kommen dann noch ein paar header_checks. Wir haben mit der Config eigentlich eine sehr geringe False-Positives Zahl. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From wn at neessen.net Fri Mar 11 06:22:26 2016 From: wn at neessen.net (Winfried Neessen) Date: Fri, 11 Mar 2016 06:22:26 +0100 Subject: =?utf-8?Q?Re=3A_Reject_Log_f=C3=BCr_Benutzer?= In-Reply-To: <000701d17b36$074afb60$15e0f220$@ist-immer-online.de> References: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> <20160310052540.102f86b0@osiris.olly.local> <000701d17b36$074afb60$15e0f220$@ist-immer-online.de> Message-ID: Hi, Am 11.03.2016 um 02:33 schrieb Daniel : > nein, ich möchte ja das der Benutzer selbst auf Wunsch sich reject Liste anfordern kann. > Ich versteh nicht ganz, was der User davon haben soll? Die Mails sind rejected, also koennen sie auch nicht mehr freigegeben werden oder dergl. Wir machen sowas aehnliches mit AMaViS. Mails, die den SPAM Score überschreiten und in die Quarantaene aussortiert werden (nicht die, deren Score so hoch ist, dass sie direkt geloescht werden), werden auf Kundenwunsch in einem stuendlichen oder taeglichen Report an den Kunden uebermittelt. In der Mail ist dann immer eine URL mit der der Kunde die Moeglichkeit hat, die Mail nachtraeglich freizugeben. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From daniel at ist-immer-online.de Fri Mar 11 06:33:21 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 11 Mar 2016 06:33:21 +0100 Subject: =?utf-8?Q?Re:_Reject_Log_f=C3=BCr_Benutzer?= In-Reply-To: References: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> <20160310052540.102f86b0@osiris.olly.local> <000701d17b36$074afb60$15e0f220$@ist-immer-online.de> Message-ID: Hi Winni, mir geht es darum dass der Benutzer sehen kann wenn er will, das Mails blockiert werden und sich ggf. mit Versender in Kontakt treten kann dass da was nicht stimmt. Die Admins kümmern sich ja oft nicht saubere DNS Einträge oder ob die auf BL stehen ect. Wenn Benutzer Mail vermisst kann der wenigsten prüfen ob Mail gekommen und abgelehnt wurde oder Versender nicht gesendet hat und es behauptet. Gruß Daniel > Am 11.03.2016 um 06:22 schrieb Winfried Neessen : > > Hi, > >> Am 11.03.2016 um 02:33 schrieb Daniel : >> >> nein, ich möchte ja das der Benutzer selbst auf Wunsch sich reject Liste anfordern kann. > > Ich versteh nicht ganz, was der User davon haben soll? Die Mails sind rejected, also > koennen sie auch nicht mehr freigegeben werden oder dergl. > > Wir machen sowas aehnliches mit AMaViS. Mails, die den SPAM Score überschreiten > und in die Quarantaene aussortiert werden (nicht die, deren Score so hoch ist, dass sie > direkt geloescht werden), werden auf Kundenwunsch in einem stuendlichen oder taeglichen > Report an den Kunden uebermittelt. In der Mail ist dann immer eine URL mit der der Kunde > die Moeglichkeit hat, die Mail nachtraeglich freizugeben. > > Winni From driessen at fblan.de Fri Mar 11 09:18:31 2016 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 11 Mar 2016 09:18:31 +0100 Subject: AW: Was lehnt ihr ab beim Einliefern von Mails? In-Reply-To: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> References: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> Message-ID: <009d01d17b6e$99446370$cbcd2a50$@fblan.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Daniel > Gesendet: Freitag, 11. März 2016 02:58 > An: 'Diskussionen und Support rund um Postfix' > Betreff: Was lehnt ihr ab beim Einliefern von Mails? > > Hi, > > Was lehnt ihr ab beim Einliefern von Mails direkt ab im Postfix? > > Ich habe da z.B. > check_client_access hash:/etc/access/client_access, > check_sender_access hash:/etc/access/sender_access, > check_recipient_access hash:/etc/access/recipient_access, > permit_mynetworks, > permit_sasl_authenticated, > reject_unauth_destination, > reject_unauth_pipelining, > reject_non_fqdn_sender, > reject_unknown_sender_domain, > check_policy_service unix:private/policy, > reject_rbl_client zen.spamhaus.org > > Wenn reject_non_fqdn_helo_hostname aktiv ist, werden Emails von Firmen > wie EA oder Blizzard abgewiesen, weil die meinen im Helo > ungültige Hostnamen zu verwenden. Und Meldungen an postmaster/abuse > interessiert die ja nicht unbedingt. Tja was interessiert mich dann ob deren Mails durchkommen? Alle verwendeten Namen haben im DNS auflösbar und nachvollziehbar zu sein Als nächsten sollst du dann noch Mails von nicht existierenden Domains annehmen ? > > Was sollte man also am besten verwenden, und was evt. nicht auch wenn es > möglich ist. Alles was mit deiner Policy übereinstimmt. Alles was den "gewünschten" Mailverkehr so wenig als möglich behindert. Alles was die Viren und Trojaner ´vom Kundensystem fernhält Alles was unerwünschte Spammails auf ein Minimum reduziert > > Möglichkeiten gibt es ja noch paar mehr wie unbekannte Clienten und so, > bringt ja aber auch nichts wenn irgendwann nichts mehr ans > Mails reinkommt weil irgendwie immer irgendwas ist. "Echte" Mailserver haben keine Probleme Mails loszuwerden. Wer anständig konfiguriert hat, alle DNS Einträge richtig eingetragen und noch ein paar Dinge mehr der wird weltweit angenommen werden. Wer meint unter falscher Flagge zu segeln hat halt Pech. (da sind die wirklich Großen in der Zwischenzeit sowas von .., Da kommst du sofort in Sippenhaft wenn dein Nachbar auch nur husten hat ...) Wenn das was reinkommt alles erwünscht ist und das was abgelehnt wird alles nicht dann hat du ein super System. 1% Spam ist immer noch akzeptabel aber falsepositive dürfen sich nur im Promillebereich und darunter bewegen (je 10000 Mails eine und der betroffene kann sich melden und ihm wird geholfen) > > Gruß Daniel Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Zahlenmaler at t-online.de Fri Mar 11 10:39:41 2016 From: Zahlenmaler at t-online.de (=?UTF-8?Q?Robert_M=c3=b6ker?=) Date: Fri, 11 Mar 2016 10:39:41 +0100 Subject: Was lehnt ihr ab beim Einliefern von Mails? In-Reply-To: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> References: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> Message-ID: <56E2925D.4010106@t-online.de> Am 11.03.2016 um 02:57 schrieb Daniel: > > Wenn reject_non_fqdn_helo_hostname aktiv ist, werden Emails von Firmen wie EA oder Blizzard abgewiesen, weil die meinen im Helo > ungültige Hostnamen zu verwenden. Und Meldungen an postmaster/abuse interessiert die ja nicht unbedingt. > > > Gruß Daniel > EA, Blizzard, Stadtverwaltung Rotterdam, Enschede, Ministry of Defense(ja kein scheiss das englische Verteidigungsministerium) Die dann auch alle der Meinung sind man müsse irgendwo was Whitelisten....klar Ich setze noch einen Drauf: smtpd_helo_required=yes reject_invalid_helo_hostname reject_unknown_helo_hostname Das erwischt leider auch viele "weiter,weiter,weiter" Exchange Fertig - Admins, viele sind auch Dankbar für den Hinweis was Sie falsch machen, oder besser wie man es richtiger macht. Leider sind auch viele uneunsichtig, z.B. Ministry of Defense. Aber das war mir dann auch egal, dann bleibt eure automatische Antwort eben aus das Ihr die Rechnung erhalten habt, protokolliert habe ich ja das Ihr die Mail bekommen habt. Viel spass in eurer local/lan Welt. Dazu gleich noch punkt 2.3.5 aus der RFC5321 [...] Only resolvable, fully-qualified domain names (FQDNs) are permitted when domain names are used in SMTP [...] From jra at byte.cx Fri Mar 11 11:34:04 2016 From: jra at byte.cx (Jens Adam) Date: Fri, 11 Mar 2016 11:34:04 +0100 Subject: Was lehnt ihr ab beim Einliefern von Mails? In-Reply-To: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> References: <000901d17b39$6bb60ba0$432222e0$@ist-immer-online.de> Message-ID: <20160311113404.41404f5f.jra@byte.cx> Fri, 11 Mar 2016 02:57:51 +0100 "Daniel" : > Was lehnt ihr ab beim Einliefern von Mails direkt ab im Postfix? Im Prinzip alles was geht, inkl. reject_unknown_client_hostname: smtpd_helo_required = yes strict_rfc821_envelopes = yes unknown_client_reject_code = 550 unknown_hostname_reject_code = 550 unknown_address_reject_code = 550 postscreen_access_list = permit_mynetworks cidr:/etc/postfix/chk_client.cidr postscreen_blacklist_action = drop postscreen_greet_action = drop postscreen_dnsbl_action = enforce postscreen_dnsbl_threshold = 3 postscreen_dnsbl_sites = zen.spamhaus.org*2 spam.dnsbl.anonmails.de dnsbl-1.uceprotect.net safe.dnsbl.sorbs.net ix.dnsbl.manitu.net ubl.unsubscore.com psbl.surriel.com bl.spamcop.net dnsbl.inps.de hostkarma.junkemailfilter.com=127.0.0.2 list.dnswl.org=127.0.[0..255].2*-2 list.dnswl.org=127.0.[0..255].3*-5 smtpd_relay_restrictions = reject_unauth_pipelining reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_non_fqdn_sender reject_non_fqdn_recipient reject_unlisted_sender reject_unknown_sender_domain reject_unknown_recipient_domain permit_mynetworks reject_unauth_destination smtpd_recipient_restrictions = reject_unlisted_recipient permit_mynetworks check_client_access texthash:/etc/postfix/chk_client check_helo_access regexp:/etc/postfix/chk_helo check_sender_access regexp:/etc/postfix/chk_sender check_recipient_access regexp:/etc/postfix/chk_recipient reject_unknown_client_hostname reject_unknown_helo_hostname smtpd_data_restrictions = reject_multi_recipient_bounce header_checks = regexp:/etc/postfix/chk_header mime_header_checks = nested_header_checks = body_checks = regexp:/etc/postfix/chk_body -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From daniel at ist-immer-online.de Fri Mar 18 04:48:56 2016 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 18 Mar 2016 04:48:56 +0100 Subject: =?utf-8?Q?AW:_Reject_Log_f=C3=BCr_Benutzer?= In-Reply-To: References: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> <20160310052540.102f86b0@osiris.olly.local> <000701d17b36$074afb60$15e0f220$@ist-immer-online.de> Message-ID: <000c01d180c9$1a0fa5f0$4e2ef1d0$@ist-immer-online.de> Hi, ich habe es bisher immer noch nicht hinbekommen, über forward Datei oder sieve Skript in einem dummy Postfach das Skript ausführen zulassen. Daher habe ich ganze erstmal so gelöst, dass es als Cronjob läuft in der Nacht. cat /var/log/maillog | grep reject | grep -i user at domain | grep "$(date -d yesterday '+%b %_d')" 2>&1 | sed '1!b;s/^/To: user at domain \nSubject: Gestern wurden folgende Mails abgelehnt\nFrom:"Mailserver Auswertung" \n\n/' | sendmail -t Evt. ist es ja auch etwas für den einen oder anderen, um mal drüber zu schauen ob nur Spam bei ist, oder etwas auf was man wartet, wie z.B. Code von EA für Zweiwege Authentifizierung die nicht durch kommt weil EA meint, ungültige Hostnamen zu verwenden. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Freitag, 11. März 2016 06:22 An: Diskussionen und Support rund um Postfix Betreff: Re: Reject Log für Benutzer Hi, Am 11.03.2016 um 02:33 schrieb Daniel : > nein, ich möchte ja das der Benutzer selbst auf Wunsch sich reject Liste anfordern kann. > Ich versteh nicht ganz, was der User davon haben soll? Die Mails sind rejected, also koennen sie auch nicht mehr freigegeben werden oder dergl. Wir machen sowas aehnliches mit AMaViS. Mails, die den SPAM Score überschreiten und in die Quarantaene aussortiert werden (nicht die, deren Score so hoch ist, dass sie direkt geloescht werden), werden auf Kundenwunsch in einem stuendlichen oder taeglichen Report an den Kunden uebermittelt. In der Mail ist dann immer eine URL mit der der Kunde die Moeglichkeit hat, die Mail nachtraeglich freizugeben. Winni -----Ursprüngliche Nachricht----- Von: Daniel [mailto:daniel at ist-immer-online.de] Gesendet: Donnerstag, 10. März 2016 04:26 An: 'Diskussionen und Support rund um Postfix' Betreff: Reject Log für Benutzer Hi, ich würde gerne die Option haben dem User die abgelehnten Emails vom Server automatisch aus dem Log zukommen zulassen. Idee war einen extra Benutzer dazu anlegen als ne Art Mailbot anzulegen, und dort dann über .dovecot.sieve entsprechende Befehle ausführen zulassen. Der Benutzer soll dazu einfach eine Email schicken mit beliebigem Inhalt, und bekommt dann als Antwort eine HTML Email mit den Zeilenauszügen aus dem Log wo reject und die Absenderemailadresse enthalten ist. Weiß leider nicht so recht wie ich es umsetzen soll. $ mail -s "Der Mailserver hat folgende Mails abgelehnt" user at localhost < /var/mail/maillog | grep reject | grep -i user Gruß Daniel From Christian.Schmidt at chemie.uni-hamburg.de Fri Mar 18 11:23:24 2016 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Fri, 18 Mar 2016 11:23:24 +0100 Subject: =?UTF-8?Q?Re:_AW:_Reject_Log_f=c3=bcr_Benutzer?= In-Reply-To: <000c01d180c9$1a0fa5f0$4e2ef1d0$@ist-immer-online.de> References: <003701d17a7c$8c7164b0$a5542e10$@ist-immer-online.de> <20160310052540.102f86b0@osiris.olly.local> <000701d17b36$074afb60$15e0f220$@ist-immer-online.de> <000c01d180c9$1a0fa5f0$4e2ef1d0$@ist-immer-online.de> Message-ID: <56EBD71C.1080606@chemie.uni-hamburg.de> Moin, On 18.03.2016 04:48, Daniel wrote: > cat /var/log/maillog | grep reject | grep -i user at domain | grep "$(date -d yesterday '+%b %_d')" 2>&1 | sed '1!b;s/^/To: user at domain \nSubject: Gestern wurden folgende Mails abgelehnt\nFrom:"Mailserver Auswertung" \n\n/' | sendmail -t Das ist useless use of cat. Ein "grep reject /var/log/maillog" am Anfang täte es auch... Mit freundlichen Grüßen Christian Schmidt -- No signature available. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From stephan.hendl at landtag.brandenburg.de Mon Mar 21 14:50:51 2016 From: stephan.hendl at landtag.brandenburg.de (=?iso-8859-1?Q?Hendl_Stephan?=) Date: Mon, 21 Mar 2016 14:50:51 +0100 Subject: =?iso-8859-1?Q?Spam_von_=28neuen=29_TLDs=2C_hier_=22wnc89=2Ewin=22?= =?iso-8859-1?Q?_und_=22tkdgy=2Etrade=22?= Message-ID: Hallo,   wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight, greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen von neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5 Spampunkte.   Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag, > -> >, No, score=2.5 tagged_above=-9999 required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7, URIBL_BLACK=1.7] autolearn=no   Ich könnte hier eine eigene Regel für ,, at wnc89.win" aufstellen und schon mal gleich 5 Punkte vergeben, das artet bei mehrere Domains dann aber ganz schön aus... Hat jemand eine generische Idee?   Viele Grüße Stephan -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfix_ml at rirasoft.de Mon Mar 21 15:37:16 2016 From: postfix_ml at rirasoft.de (Postfix) Date: Mon, 21 Mar 2016 14:37:16 +0000 Subject: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" In-Reply-To: Message-ID: <20160321143716.Horde.oATd2kK76YwzILoa9OtDiQV@www.rirasoft.de> Hendl Stephan ? Mon., 21. März 2016 15:19 > Hallo, > > >   > wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight, > greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen > von neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5 > Spampunkte. > > >   > Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag, > -> > , No, score=2.5 tagged_above=-9999 > required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7, > URIBL_BLACK=1.7] autolearn=no > > >   > Ich könnte hier eine eigene Regel für ?@wnc89.win? aufstellen und > schon mal gleich 5 Punkte vergeben, das artet bei mehrere Domains > dann aber ganz schön aus? Hat jemand eine generische Idee? > > >   > Viele Grüße > > Stephan > > > Hallo Stephan, ich lehne Mails von solchen Domains grundsätzlich ab. Da kommt derzeit wirklich nichts gescheites. cat /etc/postfix/sender_access.regexp /\.xyz$/ REJECT Mail from .xyz not accepted /\.pw$/ REJECT Mail from .pw not accepted /\.hk$/ REJECT Mail from .hk not accepted /\.club$/ REJECT Mail from .club not accepted /\.space$/ REJECT Mail from .space not accepted /\.click$/ REJECT Mail from .click not accepted /\.faith$/ REJECT Mail from .faith not accepted /\.link$/ REJECT Mail from .link not accepted /\.review$/ REJECT Mail from .review not accepted /\.rocks$/ REJECT Mail from .rocks not accepted /\.site$/ REJECT Mail from .site not accepted /\.top$/ REJECT Mail from .top not accepted /\.work$/ REJECT Mail from .work not accepted /\.black$/ REJECT Mail from .black not accepted /\.blue$/ REJECT Mail from .blue not accepted /\.fyi$/ REJECT Mail from .fyi not accepted /\.love$/ REJECT Mail from .love not accepted /\.pro$/ REJECT Mail from .pro not accepted /\.website$/ REJECT Mail from .website not accepted /\.bid$/ REJECT Mail from .bid not accepted /\.win$/ REJECT Mail from .win not accepted /\.racing$/ REJECT Mail from .racing not accepted /\.accountant$/ REJECT Mail from .accountant not accepted grep sender_access.regexp /etc/postfix/main.cf smtpd_sender_restrictions = regexp:/etc/postfix/sender_access.regexp Gruß Andreas From kai_postfix at fuerstenberg.ws Mon Mar 21 16:11:12 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Mon, 21 Mar 2016 16:11:12 +0100 Subject: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" In-Reply-To: <20160321143716.Horde.oATd2kK76YwzILoa9OtDiQV@www.rirasoft.de> References: <20160321143716.Horde.oATd2kK76YwzILoa9OtDiQV@www.rirasoft.de> Message-ID: <56F00F10.7000102@fuerstenberg.ws> Am 21.03.2016 um 15:37 schrieb Postfix: > /\.hk$/ REJECT Mail from .hk not accepted du akzeptierst keine Mails aus Hong Kong? Dann könntest du auch gleich .br, .ru, .ua, .pa, etc. ebenfalls blocken. Bei den anderen TLDs würde ich aber zustimmen, dass von dort derzeit nur Dreck kommt. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From robert.secon at gmx.de Mon Mar 21 17:00:56 2016 From: robert.secon at gmx.de (Robert Secon) Date: Mon, 21 Mar 2016 17:00:56 +0100 Subject: =?iso-8859-1?Q?Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= Message-ID: <003701d1838a$da8eeb60$8facc220$@gmx.de> Hallo, folgende Konfiguration: Domänen: domain1.de mydomain.de Postfix Server: mail.mydomain.de interner Server (Port 25 gesperrt, aber für Host mail.mydomain.de alles auf der Firewall geöffnet): server1.domain1.de MX Eintrag für domain1.de: mail.mydomain.de mail.mydomain.de soll Mails von domain1 entgegennehmen und an server1 (einem Exchange Serer) an einen bestimmten Port (8080) weiterleiten, da Port 25 vom ISP gesperrt wurde. Postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix home_mailbox = Maildir/ inet_interfaces = all mailbox_size_limit = 0 mydestination = $myhostname, localhost.localdomain, localhost myhostname = mail. mydomain.de mynetworks = server1_ip/32 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relay_domains = hash:/etc/postfix/relay_domains relayhost = smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unverified_recipient smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous, noplaintext smtpd_sasl_tls_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes transport_maps = hash:/etc/postfix/transport unverified_recipient_reject_code = 577 relay_domains: domain1.de lmtp:[127.0.0.1] transport: .domain1.de smtp:[server1_ip]:8080 Master.cf: 8080 inet n - - - - smtpd -o mynetworks=server_ip1 Ich erhalte im Postfix Log folgende Fehlernachricht: Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient address rejected: undeliverable address: mail for domain1.de loops back to myself; from= to= proto=ESMTP helo= Vo rein paar Tagen war es noch möglich, Mails weiterzuleiten an einen Postfix Server, der intern auch per Port 8080 angesprochen wurde. Das ist jetzt nun auch nicht mehr möglich. Kann mir jemand sagen, was das genaue Problem ist und wie ich es beheben kann? Viele Grüße, Rob From jost+lists at dimejo.at Tue Mar 22 08:23:34 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Tue, 22 Mar 2016 08:23:34 +0100 Subject: =?UTF-8?Q?Re:_Postfix_zur_Weiterleitung_f=c3=bcr_Dom=c3=a4ne?= In-Reply-To: <003701d1838a$da8eeb60$8facc220$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> Message-ID: <56F0F2F6.70903@dimejo.at> Am 21.03.2016 um 17:00 schrieb Robert Secon: > Hallo, > > folgende Konfiguration: > > Domänen: > domain1.de > mydomain.de > > Postfix Server: mail.mydomain.de > interner Server (Port 25 gesperrt, aber für Host mail.mydomain.de alles auf > der Firewall geöffnet): server1.domain1.de > > MX Eintrag für domain1.de: mail.mydomain.de > > mail.mydomain.de soll Mails von domain1 entgegennehmen und an server1 (einem > Exchange Serer) an einen bestimmten Port (8080) weiterleiten, da Port 25 vom > ISP gesperrt wurde. > > Postconf -n > > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > home_mailbox = Maildir/ > inet_interfaces = all > mailbox_size_limit = 0 > mydestination = $myhostname, localhost.localdomain, localhost > myhostname = mail. mydomain.de > mynetworks = server1_ip/32 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = /etc/mailname > readme_directory = no > recipient_delimiter = + > relay_domains = hash:/etc/postfix/relay_domains > relayhost = > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) > smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated > reject_unverified_recipient > smtpd_sasl_auth_enable = yes > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous, noplaintext > smtpd_sasl_tls_security_options = noanonymous > smtpd_sasl_type = dovecot > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > transport_maps = hash:/etc/postfix/transport > unverified_recipient_reject_code = 577 > > relay_domains: > domain1.de lmtp:[127.0.0.1] Der rechte Teil wird in diesem Fall zwar von Postfix ignoriert, aber verstehen tue ich den Eintrag nicht. > transport: > .domain1.de smtp:[server1_ip]:8080 Warum nur ein Eintrag für die Subdomain und nicht einer für die second-level domain? > Master.cf: > 8080 inet n - - - - smtpd > -o mynetworks=server_ip1 Den Eintrag verstehe ich auch nicht. Empfängst Du jetzt auch Nachrichten vom Exchange? > Ich erhalte im Postfix Log folgende Fehlernachricht: > > Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from > mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient address > rejected: undeliverable address: mail for domain1.de loops back to myself; > from= to= proto=ESMTP > helo= Die Empfänger-Domain hat 2 MX-Einträge auf den selben Hostnamen. Verstehe ich auch nicht. Dürfte für mich wohl einfach noch zu früh sein ... -- Alex JOST From peter at datentraeger.li Tue Mar 22 11:54:07 2016 From: peter at datentraeger.li (Peter Beck) Date: Tue, 22 Mar 2016 11:54:07 +0100 Subject: OT: Amavis Benachrichtungen Message-ID: <56F1244F.8010601@datentraeger.li> Hallo Leute, Ich setze Debian Jessie mit Amavis ein. Aufgrund der ganzen Verschluesslungstrojaner hab ich mal alle Office-Files geblockt. Soweit so gut. Nun moechte ich aber gerne eine Benachrichtigung versenden, welche das ganze etwas besser erlaeutert als einfach "BANNED". (so im Stil: "Ihre Nachricht wurde aus folgenden Gruenden gesperrt...") Im 30-template_localization hab ich also die en_US kommentiert und folgenden Eintrag erstellt: read_l10n_templates('de_DE', '/etc/amavis'); Die Files liegen alle unter /etc/amavis/de_DE: [root at unxgrp001.balzers.foo.li /etc/amavis]# ls -lah de_DE/ total 17K drwxr-xr-x 2 root root 1.0K Mar 21 11:01 . drwxr-xr-x 5 root root 1.0K Mar 21 11:01 .. -rw-r--r-- 1 root root 174 Mar 21 11:01 charset -rw-r--r-- 1 root root 2.3K Mar 21 11:01 template-dsn.txt -rw-r--r-- 1 root root 1.1K Mar 21 11:01 template-spam-admin.txt -rw-r--r-- 1 root root 1.8K Mar 21 11:01 template-spam-sender.txt -rw-r--r-- 1 root root 1.6K Mar 21 11:01 template-virus-admin.txt -rw-r--r-- 1 root root 1.1K Mar 21 11:01 template-virus-recipient.txt -rw-r--r-- 1 root root 2.9K Mar 21 11:01 template-virus-sender.txt Irgendwie will das ganze einfach nicht und es kommen weiterhin die Standard-Amavis Benachrichtungen. Klappt uebrigens auch nicht, wenn ich spezifisch die Templates angebe, z.B.: $notify_virus_sender_templ= read_text('/etc/amavis/de_DE/template-virus-sender.txt'); Was mach ich hier falsch ? Oder hab ich Tomaten auf den Augen und sehe das offensichtliche Problem nicht ? Danke und Gruss Peter From robert.secon at gmx.de Tue Mar 22 14:00:21 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 14:00:21 +0100 Subject: =?iso-8859-1?Q?AW:_Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= In-Reply-To: <56F0F2F6.70903@dimejo.at> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> Message-ID: <000c01d1843a$cad596a0$6080c3e0$@gmx.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Alex JOST > Gesendet: Dienstag, 22. März 2016 08:24 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postfix zur Weiterleitung für Domäne > > > > relay_domains: > > domain1.de lmtp:[127.0.0.1] > > Der rechte Teil wird in diesem Fall zwar von Postfix ignoriert, aber verstehen > tue ich den Eintrag nicht. Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist relay_domains gedacht, oder nicht? > > > transport: > > .domain1.de smtp:[server1_ip]:8080 > > Warum nur ein Eintrag für die Subdomain und nicht einer für die > second-level domain? Damit soll nicht nur die Domain, sondern auch alle Subdomains der Domain weitergeleitet werden. Hab nun die Domain (und nicht die Subdomain) eingetragen. Scheinbar werden die Mails aber immer noch nicht weitergeleitet, sonst würde ich nicht diesen "loops back to myself" Fehler nicht weiterhin erhalten. > > > Master.cf: > > 8080 inet n - - - - smtpd > > -o mynetworks=server_ip1 > > Den Eintrag verstehe ich auch nicht. Empfängst Du jetzt auch Nachrichten > vom Exchange? Ja, da Port 25 geschlossen ist, muss der Postfix die Mails an die Mailserver weiterleiten. > > > Ich erhalte im Postfix Log folgende Fehlernachricht: > > > > Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from > > mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient > address > > rejected: undeliverable address: mail for domain1.de loops back to myself; > > from= to= proto=ESMTP > > helo= > > Die Empfänger-Domain hat 2 MX-Einträge auf den selben Hostnamen. > Verstehe ich auch nicht. Ich denke nicht, dass 2 MX Einträge auf den gleichen Host ein echtes Problem darstellt, da ich das problemlos für andere Domains ebenso eingestellt habe und es dort keine Probleme gibt. > > Dürfte für mich wohl einfach noch zu früh sein ... Und nun ausgeschlafen??? Bin immer noch für jegliche Hilfe dankbar. > > -- > Alex JOST From postfixbuch-users at 0xaffe.de Tue Mar 22 15:12:57 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Tue, 22 Mar 2016 15:12:57 +0100 Subject: =?UTF-8?Q?Re:_Postfix_zur_Weiterleitung_f=c3=bcr_Dom=c3=a4ne?= In-Reply-To: <000c01d1843a$cad596a0$6080c3e0$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> Message-ID: <56F152E9.8000109@0xaffe.de> Hallo Robert, Am 22.03.16 um 14:00 schrieb Robert Secon: > Damit soll nicht nur die Domain, sondern auch alle Subdomains der Domain > weitergeleitet werden. Hab nun die Domain (und nicht die Subdomain) > eingetragen. Scheinbar werden die Mails aber immer noch nicht > weitergeleitet, sonst würde ich nicht diesen "loops back to myself" Fehler > nicht weiterhin erhalten. Hast du auch "postmap" für die transport_maps-Datei aufgerufen? Viele Grüße, Mathias. From robert.secon at gmx.de Tue Mar 22 15:35:52 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 15:35:52 +0100 Subject: =?utf-8?Q?AW:_Postfix_zur_Weiterleitung_f=C3=BC?= =?utf-8?Q?r_Dom=C3=A4ne?= In-Reply-To: <56F152E9.8000109@0xaffe.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> <56F152E9.8000109@0xaffe.de> Message-ID: <001c01d18448$2352b670$69f82350$@gmx.de> Hallo Mathias, ja, habe ich (command: postmap transport). Das Logfile mail.log hat mir die Änderung auch angezeigt, habe den Server dennoch neu gestartet. Es bleibt das gleiche Verhalten (loops back to myself). Viele Grüße, Robert > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Mathias Jeschke > Gesendet: Dienstag, 22. März 2016 15:13 > An: Diskussionen und Support rund um Postfix users at listen.jpberlin.de> > Betreff: Re: Postfix zur Weiterleitung für Domäne > > Hallo Robert, > > Am 22.03.16 um 14:00 schrieb Robert Secon: > > > Damit soll nicht nur die Domain, sondern auch alle Subdomains der > > Domain weitergeleitet werden. Hab nun die Domain (und nicht die > > Subdomain) eingetragen. Scheinbar werden die Mails aber immer noch > > nicht weitergeleitet, sonst würde ich nicht diesen "loops back to > > myself" Fehler nicht weiterhin erhalten. > > Hast du auch "postmap" für die transport_maps-Datei aufgerufen? > > Viele Grüße, > Mathias. From carsten.delellis at delellis.net Tue Mar 22 15:40:10 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 14:40:10 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM Message-ID: <1a9f3d084f7249be91995c479ed90017@delellis.net> Hallo, alle zusammen Ich habe folgendes Problem: Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: /etc/opendkim.conf Syslog yes SyslogSuccess yes LogWhy yes UMask 002 AutoRestart Yes AutoRestartRate 10/1h Canonicalization relaxed/simple ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts InternalHosts refile:/etc/dkimkeys/TrustedHosts KeyTable refile:/etc/dkimkeys/KeyTable SigningTable refile:/etc/dkimkeys/SigningTable Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256 UserID opendkim:opendkim SOCKET inet:8891 at localhost /etc/dkimkeys/TrustedHosts 127.0.0.1 localhost ip.exchange.server ip.postfix.server *.example1.com *.example2.com /etc/dkimkeys/SigningTable *@example1.com mail._domainkey.example1.com *@example2.com mail._domainkey.example2.com /etc/dkimkeys/KeyTable mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. milter_default_action = accept milter_protocol = 6 smtpd_milters=inet:localhost:8891 non_smtpd_milters=inet:localhost:8891 Ein lsof -i :8891 liefert folgenden output: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. Bsp.: Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] -> , Message-ID: , mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. Was mache ich da falsch? Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. Für Hinweise wäre ich wirklich dankbar. Mit freundlichem Gruß Carsten Laun-De Lellis Hauptstrasse 13 D - 67705 Trippstadt Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax: +49 6306 992142 email: carsten.delellis at delellis.net http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From carsten.delellis at delellis.net Tue Mar 22 16:04:00 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 15:04:00 +0000 Subject: =?iso-8859-1?Q?RE:_Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= In-Reply-To: <000c01d1843a$cad596a0$6080c3e0$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> Message-ID: <11c767f65b0046d4b8c98ab7f34f570f@delellis.net> Hallo Robert Vielleicht ist meine Frage ja blöde, aber in deiner transport map steht nicht die Domäne domain1.de drin, sondern da ist noch ein Punkt davor, also .domain1.de. Entweder ist das nur ein Kopierfehler, oder könnte auch die Ursache dafür sein, dass postfix gar nicht so genau weiß, was es mit der email anstellen soll und macht deshalb den Standardtransport. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Robert Secon Sent: Dienstag, 22. März 2016 14:00 To: 'Diskussionen und Support rund um Postfix' Subject: AW: Postfix zur Weiterleitung für Domäne > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Alex JOST > Gesendet: Dienstag, 22. März 2016 08:24 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postfix zur Weiterleitung für Domäne > > > > relay_domains: > > domain1.de lmtp:[127.0.0.1] > > Der rechte Teil wird in diesem Fall zwar von Postfix ignoriert, aber verstehen > tue ich den Eintrag nicht. Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist relay_domains gedacht, oder nicht? > > > transport: > > .domain1.de smtp:[server1_ip]:8080 > > Warum nur ein Eintrag für die Subdomain und nicht einer für die > second-level domain? Damit soll nicht nur die Domain, sondern auch alle Subdomains der Domain weitergeleitet werden. Hab nun die Domain (und nicht die Subdomain) eingetragen. Scheinbar werden die Mails aber immer noch nicht weitergeleitet, sonst würde ich nicht diesen "loops back to myself" Fehler nicht weiterhin erhalten. > > > Master.cf: > > 8080 inet n - - - - smtpd > > -o mynetworks=server_ip1 > > Den Eintrag verstehe ich auch nicht. Empfängst Du jetzt auch > Nachrichten vom Exchange? Ja, da Port 25 geschlossen ist, muss der Postfix die Mails an die Mailserver weiterleiten. > > > Ich erhalte im Postfix Log folgende Fehlernachricht: > > > > Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT > > from > > mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient > address > > rejected: undeliverable address: mail for domain1.de loops back to myself; > > from= to= proto=ESMTP > > helo= > > Die Empfänger-Domain hat 2 MX-Einträge auf den selben Hostnamen. > Verstehe ich auch nicht. Ich denke nicht, dass 2 MX Einträge auf den gleichen Host ein echtes Problem darstellt, da ich das problemlos für andere Domains ebenso eingestellt habe und es dort keine Probleme gibt. > > Dürfte für mich wohl einfach noch zu früh sein ... Und nun ausgeschlafen??? Bin immer noch für jegliche Hilfe dankbar. > > -- > Alex JOST From jra at byte.cx Tue Mar 22 16:10:14 2016 From: jra at byte.cx (Jens Adam) Date: Tue, 22 Mar 2016 16:10:14 +0100 Subject: Postfix zur Weiterleitung =?UTF-8?B?ZsO8ciBEb23DpG5l?= In-Reply-To: <000c01d1843a$cad596a0$6080c3e0$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> Message-ID: <20160322161014.38342a13.jra@byte.cx> Tue, 22 Mar 2016 14:00:21 +0100 "Robert Secon" : > Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist > relay_domains gedacht, oder nicht? Dazu ist eigentlich 'mydestination' gedacht, denke ich. (hab mir jetzt nur den einen Satz rausgepickt und den Rest-Thread nicht komplett gelesen, sorry) --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From jost+lists at dimejo.at Tue Mar 22 16:17:10 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Tue, 22 Mar 2016 16:17:10 +0100 Subject: =?UTF-8?Q?Re:_Postfix_zur_Weiterleitung_f=c3=bcr_Dom=c3=a4ne?= In-Reply-To: <000c01d1843a$cad596a0$6080c3e0$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> Message-ID: <56F161F6.7070601@dimejo.at> Am 22.03.2016 um 14:00 schrieb Robert Secon: >>> >>> relay_domains: >>> domain1.de lmtp:[127.0.0.1] >> >> Der rechte Teil wird in diesem Fall zwar von Postfix ignoriert, aber > verstehen >> tue ich den Eintrag nicht. > > Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist relay_domains > gedacht, oder nicht? Das schon, aber ich finde es einfach verwirrend. Ich hätte mir hier eher eine Notiz erwartet als einen Eintrag der wie ein transport auf localhost aussieht. >>> transport: >>> .domain1.de smtp:[server1_ip]:8080 >> >> Warum nur ein Eintrag für die Subdomain und nicht einer für die >> second-level domain? > > Damit soll nicht nur die Domain, sondern auch alle Subdomains der Domain > weitergeleitet werden. Hab nun die Domain (und nicht die Subdomain) > eingetragen. Scheinbar werden die Mails aber immer noch nicht > weitergeleitet, sonst würde ich nicht diesen "loops back to myself" Fehler > nicht weiterhin erhalten. Komisch, sah für mich nach dem Problem aus. Bekommst Du die Meldung auch bei einer neuen Nachricht, oder ist das vielleicht ein Zustellversuch aus der queue? Tippfehler hast Du auch zu 100% ausgeschlossen? >>> Master.cf: >>> 8080 inet n - - - - smtpd >>> -o mynetworks=server_ip1 >> >> Den Eintrag verstehe ich auch nicht. Empfängst Du jetzt auch Nachrichten >> vom Exchange? > > Ja, da Port 25 geschlossen ist, muss der Postfix die Mails an die Mailserver > weiterleiten. Nachrichten gehen also in beide Richtungen? Das kam im ursprünglichen Beitrag nicht so rüber. >>> Ich erhalte im Postfix Log folgende Fehlernachricht: >>> >>> Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from >>> mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient >> address >>> rejected: undeliverable address: mail for domain1.de loops back to > myself; >>> from= to= proto=ESMTP >>> helo= >> >> Die Empfänger-Domain hat 2 MX-Einträge auf den selben Hostnamen. >> Verstehe ich auch nicht. > > Ich denke nicht, dass 2 MX Einträge auf den gleichen Host ein echtes Problem > darstellt, da ich das problemlos für andere Domains ebenso eingestellt habe > und es dort keine Probleme gibt. Nein, kein Problem. Aber ich verstehe den Sinn dahinter nicht. >> Dürfte für mich wohl einfach noch zu früh sein ... > > Und nun ausgeschlafen??? Bin immer noch für jegliche Hilfe dankbar. Frag mich morgen nochmal! :) -- Alex JOST From robert.secon at gmx.de Tue Mar 22 16:28:40 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 16:28:40 +0100 Subject: =?iso-8859-1?Q?AW:_Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= In-Reply-To: <11c767f65b0046d4b8c98ab7f34f570f@delellis.net> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> <11c767f65b0046d4b8c98ab7f34f570f@delellis.net> Message-ID: <005801d1844f$83850230$8a8f0690$@gmx.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Carsten Laun-De Lellis > Gesendet: Dienstag, 22. März 2016 16:04 > An: Diskussionen und Support rund um Postfix users at listen.jpberlin.de> > Betreff: RE: Postfix zur Weiterleitung für Domäne > > Hallo Robert > > Vielleicht ist meine Frage ja blöde, aber in deiner transport map steht nicht > die Domäne domain1.de drin, sondern da ist noch ein Punkt davor, also > .domain1.de. Hab den Punkt herausgenommen, war für Subdomains gedacht. Problem ist leider noch vorhanden. Viele Grüße, Robert From robert.secon at gmx.de Tue Mar 22 16:30:53 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 16:30:53 +0100 Subject: =?utf-8?Q?AW:_Postfix_zur_Weiterleitung_f=C3=BC?= =?utf-8?Q?r_Dom=C3=A4ne?= In-Reply-To: <20160322161014.38342a13.jra@byte.cx> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> <20160322161014.38342a13.jra@byte.cx> Message-ID: <005c01d1844f$d26a7510$773f5f30$@gmx.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Jens Adam > Gesendet: Dienstag, 22. März 2016 16:10 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postfix zur Weiterleitung für Domäne > > Tue, 22 Mar 2016 14:00:21 +0100 > "Robert Secon" : > > > Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist > > relay_domains gedacht, oder nicht? > > Dazu ist eigentlich 'mydestination' gedacht, denke ich. > > (hab mir jetzt nur den einen Satz rausgepickt und den Rest-Thread nicht > komplett gelesen, sorry) Verbessert mich, wenn ich falsch liegen sollte, aber wenn Postfix für mehrere Domains verantwortlich sein muss, nimmt man diese Domains nicht alle in "mydestination" auf, sondern in relay_domains. From stephan.hendl at landtag.brandenburg.de Tue Mar 22 16:33:17 2016 From: stephan.hendl at landtag.brandenburg.de (=?iso-8859-1?Q?Hendl_Stephan?=) Date: Tue, 22 Mar 2016 16:33:17 +0100 Subject: =?iso-8859-1?Q?AW=3A_Probleme_mit_dem_signieren_ausgehender_mails?= =?iso-8859-1?Q?_mit_Open-DKIM?= In-Reply-To: <1a9f3d084f7249be91995c479ed90017@delellis.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> Message-ID: Hallo Carsten,   das löst vielleicht dein Postfix-open-dkim-Problem nicht, aber warum lässt Du Amavis nicht die ausgehenden Mails signieren? Da Du Amavis ja eh benutzt wäre das doch einfacher ;-) Hier der Auszug aus unserer /etc/amavis/conf.s/50-user:   $enable_dkim_verification = 1;  # enable DKIM signatures verification $enable_dkim_signing = 1;       # load DKIM signing code, dkim_key('meine.domain.de', 'main', '/var/lib/amavis/dkim/meine.domain.de.dkim.pem');   Ausführlich beschrieben ist das u. a. hier: https://sys4.de/de/blog/2013/09/02/amavisd-new-dkim-howto/   Viele Grüße i. A. Stephan Hendl   -- Dr. Stephan Hendl Landtag Brandenburg Verwaltung Referat V2 Alter Markt 1 14467 Potsdam Tel.: (0331) 966 1292 Fax.: (0331) 966 99 1292 stephan.hendl at landtag.brandenburg.de   Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Carsten Laun-De Lellis Gesendet: Dienstag, 22. März 2016 15:40 An: postfixbuch-users at listen.jpberlin.de Betreff: Probleme mit dem signieren ausgehender mails mit Open-DKIM   Hallo, alle zusammen   Ich habe folgendes Problem:   Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte:   Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert:   /etc/opendkim.conf   Syslog                                      yes SyslogSuccess             yes LogWhy                        yes UMask                         002 AutoRestart             Yes AutoRestartRate         10/1h Canonicalization        relaxed/simple   ExternalIgnoreList      refile:/etc/dkimkeys/TrustedHosts InternalHosts           refile:/etc/dkimkeys/TrustedHosts KeyTable                refile:/etc/dkimkeys/KeyTable SigningTable            refile:/etc/dkimkeys/SigningTable   Mode                    sv PidFile                 /var/run/opendkim/opendkim.pid SignatureAlgorithm      rsa-sha256   UserID                  opendkim:opendkim SOCKET                  inet:8891 at localhost     /etc/dkimkeys/TrustedHosts   127.0.0.1 localhost ip.exchange.server ip.postfix.server   *.example1.com *.example2.com     /etc/dkimkeys/SigningTable   *@example1.com                    mail._domainkey.example1.com *@example2.com                   mail._domainkey.example2.com   /etc/dkimkeys/KeyTable   mail._domainkey.example1.com                     example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private mail._domainkey.example2.com                     example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private   Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen.   In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden.   milter_default_action = accept milter_protocol = 6 smtpd_milters=inet:localhost:8891 non_smtpd_milters=inet:localhost:8891     Ein lsof -i :8891 liefert folgenden output:   COMMAND   PID     USER   FD   TYPE DEVICE SIZE/OFF NODE NAME opendkim 6961 opendkim    4u  IPv4  69527      0t0  TCP localhost:8891 (LISTEN)   Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891.   Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden.   Bsp.: Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] > -> >, Message-ID: >, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms   Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren.   Was mache ich da falsch?   Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4.   Für Hinweise wäre ich wirklich dankbar.   Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis   --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden.   -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From robert.secon at gmx.de Tue Mar 22 16:38:00 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 16:38:00 +0100 Subject: =?iso-8859-1?Q?AW:_Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= In-Reply-To: <56F161F6.7070601@dimejo.at> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> <56F161F6.7070601@dimejo.at> Message-ID: <005d01d18450$d0ab9190$7202b4b0$@gmx.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Alex JOST > Gesendet: Dienstag, 22. März 2016 16:17 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postfix zur Weiterleitung für Domäne > > Am 22.03.2016 um 14:00 schrieb Robert Secon: > >>> > >>> relay_domains: > >>> domain1.de lmtp:[127.0.0.1] > >> > >> Der rechte Teil wird in diesem Fall zwar von Postfix ignoriert, aber > > verstehen > >> tue ich den Eintrag nicht. > > > > Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist > > relay_domains gedacht, oder nicht? > > Das schon, aber ich finde es einfach verwirrend. Ich hätte mir hier eher eine > Notiz erwartet als einen Eintrag der wie ein transport auf localhost aussieht. Ich hab das Buch gerade nicht da (ausgeliehen), kann mich daher nicht genau an die Syntax erinnern. Sollte aber, wenn es so sein sollte, trotzdem egal sein, da der rechte Wert nicht ausgewertet wird. > > >>> transport: > >>> .domain1.de smtp:[server1_ip]:8080 > >> > >> Warum nur ein Eintrag für die Subdomain und nicht einer für die > >> second-level domain? > > > > Damit soll nicht nur die Domain, sondern auch alle Subdomains der > > Domain weitergeleitet werden. Hab nun die Domain (und nicht die > > Subdomain) eingetragen. Scheinbar werden die Mails aber immer noch > > nicht weitergeleitet, sonst würde ich nicht diesen "loops back to > > myself" Fehler nicht weiterhin erhalten. > > Komisch, sah für mich nach dem Problem aus. Bekommst Du die Meldung > auch bei einer neuen Nachricht, oder ist das vielleicht ein Zustellversuch aus > der queue? Leider ja, habe es vorhin erneut ausprobiert und die Mail wurde gebounct und im Logfile erkennbar mit der gleichen Fehlermeldung abgewiesen. > > Tippfehler hast Du auch zu 100% ausgeschlossen? Ja > > >>> Master.cf: > >>> 8080 inet n - - - - smtpd > >>> -o mynetworks=server_ip1 > >> > >> Den Eintrag verstehe ich auch nicht. Empfängst Du jetzt auch > >> Nachrichten vom Exchange? > > > > Ja, da Port 25 geschlossen ist, muss der Postfix die Mails an die > > Mailserver weiterleiten. > > Nachrichten gehen also in beide Richtungen? Das kam im ursprünglichen > Beitrag nicht so rüber. Sorry, hatte es im ursprünglichem Post nicht mit angegeben, aber Postfix nimmt von fremden ISPs Mails an, soll sie an Exchange weiterleiten und Mails vom Exchange sollen an die "Welt" per Postfix weiter geroutet werden, und zwar per Anbindung eines "fremden" Ports. > > >>> Ich erhalte im Postfix Log folgende Fehlernachricht: > >>> > >>> Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT > >>> from > >>> mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient > >> address > >>> rejected: undeliverable address: mail for domain1.de loops back to > > myself; > >>> from= to= > proto=ESMTP > >>> helo= > >> > >> Die Empfänger-Domain hat 2 MX-Einträge auf den selben Hostnamen. > >> Verstehe ich auch nicht. > > > > Ich denke nicht, dass 2 MX Einträge auf den gleichen Host ein echtes > > Problem darstellt, da ich das problemlos für andere Domains ebenso > > eingestellt habe und es dort keine Probleme gibt. > > Nein, kein Problem. Aber ich verstehe den Sinn dahinter nicht. Ich habe nur einen MailXchanger, aber ich muss für die Konfiguration zwei angeben. Daher habe ich den gleichen nochmals eingetragen. > > >> Dürfte für mich wohl einfach noch zu früh sein ... > > > > Und nun ausgeschlafen??? Bin immer noch für jegliche Hilfe dankbar. > > Frag mich morgen nochmal! :) Na dann bis morgen, Alex :) Viele Grüße, Robert From news at amaltea.de Tue Mar 22 16:40:18 2016 From: news at amaltea.de (Paul) Date: Tue, 22 Mar 2016 16:40:18 +0100 Subject: =?UTF-8?Q?Re:_Postfix_zur_Weiterleitung_f=c3=bcr_Dom=c3=a4ne?= In-Reply-To: <003701d1838a$da8eeb60$8facc220$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> Message-ID: <56F16762.6020708@amaltea.de> Am 21.03.2016 um 17:00 schrieb Robert Secon: > myhostname = mail. mydomain.de Das Leerzeichen sieht falsch aus. Ich habe da so eine Vermutung... Gruß, Paul From robert.secon at gmx.de Tue Mar 22 16:44:06 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 16:44:06 +0100 Subject: =?iso-8859-1?Q?AW:_Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= In-Reply-To: <56F16762.6020708@amaltea.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F16762.6020708@amaltea.de> Message-ID: <006401d18451$ab653890$022fa9b0$@gmx.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Paul > Gesendet: Dienstag, 22. März 2016 16:40 > An: Diskussionen und Support rund um Postfix users at listen.jpberlin.de> > Betreff: Re: Postfix zur Weiterleitung für Domäne > > Am 21.03.2016 um 17:00 schrieb Robert Secon: > > > myhostname = mail. mydomain.de > > Das Leerzeichen sieht falsch aus. Ich habe da so eine Vermutung... Hab's gerade geprüft., war ein Fehler beim Kopieren. Viele Grüße, Robert From jost+lists at dimejo.at Tue Mar 22 16:51:44 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Tue, 22 Mar 2016 16:51:44 +0100 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <1a9f3d084f7249be91995c479ed90017@delellis.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> Message-ID: <56F16A10.9070707@dimejo.at> Am 22.03.2016 um 15:40 schrieb Carsten Laun-De Lellis: > Hallo, alle zusammen > > Ich habe folgendes Problem: > > Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: > > Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: > > /etc/opendkim.conf > > Syslog yes > SyslogSuccess yes > LogWhy yes > UMask 002 > AutoRestart Yes > AutoRestartRate 10/1h > Canonicalization relaxed/simple > > ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts > InternalHosts refile:/etc/dkimkeys/TrustedHosts > KeyTable refile:/etc/dkimkeys/KeyTable > SigningTable refile:/etc/dkimkeys/SigningTable > > Mode sv > PidFile /var/run/opendkim/opendkim.pid > SignatureAlgorithm rsa-sha256 > > UserID opendkim:opendkim > SOCKET inet:8891 at localhost > > > /etc/dkimkeys/TrustedHosts > > 127.0.0.1 > localhost > ip.exchange.server > ip.postfix.server > > *.example1.com > *.example2.com > > > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private > mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private > > Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. > > In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. > > milter_default_action = accept > milter_protocol = 6 > smtpd_milters=inet:localhost:8891 > non_smtpd_milters=inet:localhost:8891 > > > Ein lsof -i :8891 liefert folgenden output: > > COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME > opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) > > Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. > > Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. > > Bsp.: > Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] -> , Message-ID: , mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms > > Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. > > Was mache ich da falsch? > > Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. Bin mir nicht sicher, aber unter Debian/Ubuntu musste man glaub ich noch was in /etc/default/opendkim aktivieren. Kann leider gerade nicht nachschauen. Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns bestens. -- Alex JOST From p at sys4.de Tue Mar 22 16:57:16 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 22 Mar 2016 16:57:16 +0100 Subject: Postfix zur Weiterleitung =?utf-8?Q?f?= =?utf-8?B?w7xyIERvbcOkbmU=?= In-Reply-To: <003701d1838a$da8eeb60$8facc220$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> Message-ID: <20160322155716.GI10468@sys4.de> * Robert Secon : > mail.mydomain.de soll Mails von domain1 entgegennehmen und an server1 (einem > Exchange Serer) an einen bestimmten Port (8080) weiterleiten, da Port 25 vom > ISP gesperrt wurde. > > Postconf -n > > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > home_mailbox = Maildir/ > inet_interfaces = all > mailbox_size_limit = 0 > mydestination = $myhostname, localhost.localdomain, localhost > myhostname = mail. mydomain.de > mynetworks = server1_ip/32 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = /etc/mailname > readme_directory = no > recipient_delimiter = + > relay_domains = hash:/etc/postfix/relay_domains > relayhost = > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) > smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated > reject_unverified_recipient > smtpd_sasl_auth_enable = yes > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous, noplaintext > smtpd_sasl_tls_security_options = noanonymous > smtpd_sasl_type = dovecot > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > transport_maps = hash:/etc/postfix/transport > unverified_recipient_reject_code = 577 > > relay_domains: > domain1.de lmtp:[127.0.0.1] > > transport: > .domain1.de smtp:[server1_ip]:8080 > > Master.cf: > 8080 inet n - - - - smtpd > -o mynetworks=server_ip1 Wofür ist der 8080 Eintrag? > Ich erhalte im Postfix Log folgende Fehlernachricht: > > Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from > mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient address > rejected: undeliverable address: mail for domain1.de loops back to myself; > from= to= proto=ESMTP > helo= Dein Server nimmt die Mail an, will sie zustellen und findet im DNS heraus, er selbst ist dafür zuständig ("loops back to myself"). Er findet aber keine Config, die ihm sagt wohin mit der Mail. > Vo rein paar Tagen war es noch möglich, Mails weiterzuleiten an einen > Postfix Server, der intern auch per Port 8080 angesprochen wurde. Das ist > jetzt nun auch nicht mehr möglich. Wie hast Du das getestet? Kannst Du den Exchange von Deinem Debian aus erreichen? $ telnet exchange 8080 Geht das? Wenn nicht, dann musst Du erst mal dieses Problem lösen. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From carsten.delellis at delellis.net Tue Mar 22 16:57:07 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 15:57:07 +0000 Subject: =?iso-8859-1?Q?RE:_Postfix_zur_Weiterleitung_f=FCr_Dom=E4ne?= In-Reply-To: <005d01d18450$d0ab9190$7202b4b0$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <56F0F2F6.70903@dimejo.at> <000c01d1843a$cad596a0$6080c3e0$@gmx.de> <56F161F6.7070601@dimejo.at> <005d01d18450$d0ab9190$7202b4b0$@gmx.de> Message-ID: <041fddb6f38944b586e2225c199e8453@delellis.net> Hallo Robert Zu der rechten Spalte in relay_domains: - Ja der rechte Eintrag wird nicht ausgewertet. Es muss nur in der linken Spalte der Eintrag für die Domain vorhanden sein. Deswegen benutze ich auch für transport und relay nur eine Datei - Mit mydestinations werden alle Domains beschrieben, die auf dem server selbst final zugestellt werden. Mit relay_domains werden, so weit ich verstanden habe die domains bezeichnet für die der Server als authorisierter Mailserver im DNS eingetragen ist (es ist ein MX Eintrag vorhanden), er die finale Zustellung für die weiterzuleitende Domain einem anderen Server überlässt, an den er die emails für diese Domain weiterleitet. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Robert Secon Sent: Dienstag, 22. März 2016 16:38 To: 'Diskussionen und Support rund um Postfix' Subject: AW: Postfix zur Weiterleitung für Domäne > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Alex JOST > Gesendet: Dienstag, 22. März 2016 16:17 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postfix zur Weiterleitung für Domäne > > Am 22.03.2016 um 14:00 schrieb Robert Secon: > >>> > >>> relay_domains: > >>> domain1.de lmtp:[127.0.0.1] > >> > >> Der rechte Teil wird in diesem Fall zwar von Postfix ignoriert, > >> aber > > verstehen > >> tue ich den Eintrag nicht. > > > > Postfix soll für diese Domäne Mails entgegennehmen. Dazu ist > > relay_domains gedacht, oder nicht? > > Das schon, aber ich finde es einfach verwirrend. Ich hätte mir hier > eher eine > Notiz erwartet als einen Eintrag der wie ein transport auf localhost aussieht. Ich hab das Buch gerade nicht da (ausgeliehen), kann mich daher nicht genau an die Syntax erinnern. Sollte aber, wenn es so sein sollte, trotzdem egal sein, da der rechte Wert nicht ausgewertet wird. > > >>> transport: > >>> .domain1.de smtp:[server1_ip]:8080 > >> > >> Warum nur ein Eintrag für die Subdomain und nicht einer für die > >> second-level domain? > > > > Damit soll nicht nur die Domain, sondern auch alle Subdomains der > > Domain weitergeleitet werden. Hab nun die Domain (und nicht die > > Subdomain) eingetragen. Scheinbar werden die Mails aber immer noch > > nicht weitergeleitet, sonst würde ich nicht diesen "loops back to > > myself" Fehler nicht weiterhin erhalten. > > Komisch, sah für mich nach dem Problem aus. Bekommst Du die Meldung > auch bei einer neuen Nachricht, oder ist das vielleicht ein > Zustellversuch aus > der queue? Leider ja, habe es vorhin erneut ausprobiert und die Mail wurde gebounct und im Logfile erkennbar mit der gleichen Fehlermeldung abgewiesen. > > Tippfehler hast Du auch zu 100% ausgeschlossen? Ja > > >>> Master.cf: > >>> 8080 inet n - - - - smtpd > >>> -o mynetworks=server_ip1 > >> > >> Den Eintrag verstehe ich auch nicht. Empfängst Du jetzt auch > >> Nachrichten vom Exchange? > > > > Ja, da Port 25 geschlossen ist, muss der Postfix die Mails an die > > Mailserver weiterleiten. > > Nachrichten gehen also in beide Richtungen? Das kam im ursprünglichen > Beitrag nicht so rüber. Sorry, hatte es im ursprünglichem Post nicht mit angegeben, aber Postfix nimmt von fremden ISPs Mails an, soll sie an Exchange weiterleiten und Mails vom Exchange sollen an die "Welt" per Postfix weiter geroutet werden, und zwar per Anbindung eines "fremden" Ports. > > >>> Ich erhalte im Postfix Log folgende Fehlernachricht: > >>> > >>> Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT > >>> from > >>> mout.gmx.net[212.227.15.15]: 577 5.1.1 : > >>> Recipient > >> address > >>> rejected: undeliverable address: mail for domain1.de loops back to > > myself; > >>> from= to= > proto=ESMTP > >>> helo= > >> > >> Die Empfänger-Domain hat 2 MX-Einträge auf den selben Hostnamen. > >> Verstehe ich auch nicht. > > > > Ich denke nicht, dass 2 MX Einträge auf den gleichen Host ein echtes > > Problem darstellt, da ich das problemlos für andere Domains ebenso > > eingestellt habe und es dort keine Probleme gibt. > > Nein, kein Problem. Aber ich verstehe den Sinn dahinter nicht. Ich habe nur einen MailXchanger, aber ich muss für die Konfiguration zwei angeben. Daher habe ich den gleichen nochmals eingetragen. > > >> Dürfte für mich wohl einfach noch zu früh sein ... > > > > Und nun ausgeschlafen??? Bin immer noch für jegliche Hilfe dankbar. > > Frag mich morgen nochmal! :) Na dann bis morgen, Alex :) Viele Grüße, Robert From carsten.delellis at delellis.net Tue Mar 22 17:00:19 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 16:00:19 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: References: <1a9f3d084f7249be91995c479ed90017@delellis.net> Message-ID: Hallo Stephan Ist eine Idee, über die ich auch schon nachgedacht habe. Haken an der Sache ist aber, dass ich das ganze für mehr als eine Domain machen möchte und die Konfiguration dafür in open-dkim eigentlich recht einfach aussieht. In amavis müsste ich da wohl unterschiedliche policy-banks erstellen und am Ende des Tages wird dann amavis auch die eierlegende Wollmichsau, die dann auch schwer wieder aufzudröseln ist, wenn notwendig. Mit der open-dkim Konfiguration müsste ich nur ein paar Zeilen in postfix auskommentieren. Also, wenn mir hier jemand helfen könnte, würde ich mich freuen. Mit freundlichem Gruß Carsten Laun-De Lellis Hauptstrasse 13 D - 67705 Trippstadt Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax: +49 6306 992142 email: carsten.delellis at delellis.net http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Hendl Stephan Sent: Dienstag, 22. März 2016 16:33 To: Diskussionen und Support rund um Postfix Subject: AW: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hallo Carsten, das löst vielleicht dein Postfix-open-dkim-Problem nicht, aber warum lässt Du Amavis nicht die ausgehenden Mails signieren? Da Du Amavis ja eh benutzt wäre das doch einfacher ;-) Hier der Auszug aus unserer /etc/amavis/conf.s/50-user: $enable_dkim_verification = 1; # enable DKIM signatures verification $enable_dkim_signing = 1; # load DKIM signing code, dkim_key('meine.domain.de', 'main', '/var/lib/amavis/dkim/meine.domain.de.dkim.pem'); Ausführlich beschrieben ist das u. a. hier: https://sys4.de/de/blog/2013/09/02/amavisd-new-dkim-howto/ Viele Grüße i. A. Stephan Hendl -- Dr. Stephan Hendl Landtag Brandenburg Verwaltung Referat V2 Alter Markt 1 14467 Potsdam Tel.: (0331) 966 1292 Fax.: (0331) 966 99 1292 stephan.hendl at landtag.brandenburg.de Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Carsten Laun-De Lellis Gesendet: Dienstag, 22. März 2016 15:40 An: postfixbuch-users at listen.jpberlin.de Betreff: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hallo, alle zusammen Ich habe folgendes Problem: Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: /etc/opendkim.conf Syslog yes SyslogSuccess yes LogWhy yes UMask 002 AutoRestart Yes AutoRestartRate 10/1h Canonicalization relaxed/simple ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts InternalHosts refile:/etc/dkimkeys/TrustedHosts KeyTable refile:/etc/dkimkeys/KeyTable SigningTable refile:/etc/dkimkeys/SigningTable Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256 UserID opendkim:opendkim SOCKET inet:8891 at localhost /etc/dkimkeys/TrustedHosts 127.0.0.1 localhost ip.exchange.server ip.postfix.server *.example1.com *.example2.com /etc/dkimkeys/SigningTable *@example1.com mail._domainkey.example1.com *@example2.com mail._domainkey.example2.com /etc/dkimkeys/KeyTable mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. milter_default_action = accept milter_protocol = 6 smtpd_milters=inet:localhost:8891 non_smtpd_milters=inet:localhost:8891 Ein lsof -i :8891 liefert folgenden output: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. Bsp.: Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] > -> >, Message-ID: >, mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. Was mache ich da falsch? Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. Für Hinweise wäre ich wirklich dankbar. Mit freundlichem Gruß Carsten Laun-De Lellis Hauptstrasse 13 D - 67705 Trippstadt Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax: +49 6306 992142 email: carsten.delellis at delellis.net http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From klaus at tachtler.net Tue Mar 22 17:01:50 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 22 Mar 2016 17:01:50 +0100 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <56F16A10.9070707@dimejo.at> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <56F16A10.9070707@dimejo.at> Message-ID: <20160322170150.Horde.humiV3QCS7q1S9Zb6SGYYsF@buero.tachtler.net> Hallo Zusammen, > Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin > amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns > bestens. Nun wenn man sich mal https://tools.ietf.org/html/rfc6376#section-5.4 ansieht ist beim anbringen einer DKIM-Signatur das Feld From - REQUIRED - dies ignoriert AMaViS dezent, hier ist es auch möglich OHNE From Feld im Header eine DKIM-Signatur zu erreichen. Also "Do best thing right" (Zitat: Kollege Nausch aka Django)! Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From klaus at tachtler.net Tue Mar 22 16:53:37 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 22 Mar 2016 16:53:37 +0100 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <1a9f3d084f7249be91995c479ed90017@delellis.net> Message-ID: <20160322165337.Horde.LG4uSrE64VsBOzO76Kfqbjr@buero.tachtler.net> Hallo Carsten, schau mal hier, heute erst auf einem Server eingerichtet: http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com > mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com > example1.com:mail:/etc/dkimkeys/keys/ example1.com / > example1.com.private > mail._domainkey.example2.com > example2.com:mail:/etc/dkimkeys/keys/ example2.com / > example2.com.private Sollte das nicht so aussehen: mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/example1.com/mail.private mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/example2.com/mail.private Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From robert.secon at gmx.de Tue Mar 22 17:11:31 2016 From: robert.secon at gmx.de (Robert Secon) Date: Tue, 22 Mar 2016 17:11:31 +0100 Subject: =?utf-8?Q?AW:_Postfix_zur_Weiterleitung_f=C3=BC?= =?utf-8?Q?r_Dom=C3=A4ne?= In-Reply-To: <20160322155716.GI10468@sys4.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <20160322155716.GI10468@sys4.de> Message-ID: <007801d18455$7fe4c240$7fae46c0$@gmx.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter > Gesendet: Dienstag, 22. März 2016 16:57 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Postfix zur Weiterleitung für Domäne > > * Robert Secon : > > mail.mydomain.de soll Mails von domain1 entgegennehmen und an > server1 > > (einem Exchange Serer) an einen bestimmten Port (8080) weiterleiten, > > da Port 25 vom ISP gesperrt wurde. > > > > relay_domains: > > domain1.de lmtp:[127.0.0.1] > > > > transport: > > .domain1.de smtp:[server1_ip]:8080 > > > > Master.cf: > > 8080 inet n - - - - smtpd > > -o mynetworks=server_ip1 > > Wofür ist der 8080 Eintrag? Für den Exchange Server, der nicht über Port 25 kommunizieren kann. > > > > Ich erhalte im Postfix Log folgende Fehlernachricht: > > > > Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from > > mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient > > address > > rejected: undeliverable address: mail for domain1.de loops back to > > myself; from= to= > proto=ESMTP > > helo= > > Dein Server nimmt die Mail an, will sie zustellen und findet im DNS heraus, er > selbst ist dafür zuständig ("loops back to myself"). Er findet aber keine > Config, die ihm sagt wohin mit der Mail. > > > > Vo rein paar Tagen war es noch möglich, Mails weiterzuleiten an einen > > Postfix Server, der intern auch per Port 8080 angesprochen wurde. Das > > ist jetzt nun auch nicht mehr möglich. > > Wie hast Du das getestet? Kannst Du den Exchange von Deinem Debian aus > erreichen? > > $ telnet exchange 8080 > > Geht das? Wenn nicht, dann musst Du erst mal dieses Problem lösen. Das geht! > p at rick > > -- > [*] sys4 AG > > https://sys4.de, +49 (89) 30 90 46 64 > Franziskanerstraße 15, 81669 München > > Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 > Vorstand: Patrick Ben Koetter, Marc Schiffbauer > Aufsichtsratsvorsitzender: Florian Kirstein > From p at sys4.de Tue Mar 22 17:16:42 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 22 Mar 2016 17:16:42 +0100 Subject: Postfix zur Weiterleitung =?utf-8?Q?f?= =?utf-8?B?w7xyIERvbcOkbmU=?= In-Reply-To: <007801d18455$7fe4c240$7fae46c0$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> <20160322155716.GI10468@sys4.de> <007801d18455$7fe4c240$7fae46c0$@gmx.de> Message-ID: <20160322161642.GL10468@sys4.de> * Robert Secon : > > -----Ursprüngliche Nachricht----- > > Von: Postfixbuch-users [mailto:postfixbuch-users- > > bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter > > Gesendet: Dienstag, 22. März 2016 16:57 > > An: postfixbuch-users at listen.jpberlin.de > > Betreff: Re: Postfix zur Weiterleitung für Domäne > > > > * Robert Secon : > > > mail.mydomain.de soll Mails von domain1 entgegennehmen und an > > server1 > > > (einem Exchange Serer) an einen bestimmten Port (8080) weiterleiten, > > > da Port 25 vom ISP gesperrt wurde. > > > > > > relay_domains: > > > domain1.de lmtp:[127.0.0.1] > > > > > > transport: > > > .domain1.de smtp:[server1_ip]:8080 > > > > > > Master.cf: > > > 8080 inet n - - - - smtpd > > > -o mynetworks=server_ip1 > > > > Wofür ist der 8080 Eintrag? > > Für den Exchange Server, der nicht über Port 25 kommunizieren kann. Ah! Der Exchange soll/kann dann auf 8080 Mail an den boundary filter (besser als: Gateway) einliefern, ja? Hast Du schon versucht, ob Dein Provider den Port 465 oder 587 gestattet. Die sind typischer für SMTP und zumindest 587 wird in der Regel gestattet. Das wäre dann ein wenig mehr "standardmäßig" als der 8080 (HTTP Highport). > > > Ich erhalte im Postfix Log folgende Fehlernachricht: > > > > > > Mar 21 16:51:28 mail postfix/smtpd[14775]: NOQUEUE: reject: RCPT from > > > mout.gmx.net[212.227.15.15]: 577 5.1.1 : Recipient > > > address > > > rejected: undeliverable address: mail for domain1.de loops back to > > > myself; from= to= > > proto=ESMTP > > > helo= > > > > Dein Server nimmt die Mail an, will sie zustellen und findet im DNS heraus, er > > selbst ist dafür zuständig ("loops back to myself"). Er findet aber keine > > Config, die ihm sagt wohin mit der Mail. > > > > > > > Vo rein paar Tagen war es noch möglich, Mails weiterzuleiten an einen > > > Postfix Server, der intern auch per Port 8080 angesprochen wurde. Das > > > ist jetzt nun auch nicht mehr möglich. > > > > Wie hast Du das getestet? Kannst Du den Exchange von Deinem Debian aus > > erreichen? > > > > $ telnet exchange 8080 > > > > Geht das? Wenn nicht, dann musst Du erst mal dieses Problem lösen. > > Das geht! Gut. Wenn das funktioniert, dann sind die Signalwege gegeben und wir können uns auf das Routing der Nachricht konzentrieren. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From p at sys4.de Tue Mar 22 17:23:23 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 22 Mar 2016 17:23:23 +0100 Subject: Postfix zur Weiterleitung =?utf-8?Q?f?= =?utf-8?B?w7xyIERvbcOkbmU=?= In-Reply-To: <003701d1838a$da8eeb60$8facc220$@gmx.de> References: <003701d1838a$da8eeb60$8facc220$@gmx.de> Message-ID: <20160322162323.GM10468@sys4.de> * Robert Secon : > Domänen: > domain1.de > mydomain.de > > Postfix Server: mail.mydomain.de > interner Server (Port 25 gesperrt, aber für Host mail.mydomain.de alles auf > der Firewall geöffnet): server1.domain1.de > > MX Eintrag für domain1.de: mail.mydomain.de > > mail.mydomain.de soll Mails von domain1 entgegennehmen und an server1 (einem > Exchange Serer) an einen bestimmten Port (8080) weiterleiten, da Port 25 vom > ISP gesperrt wurde. > > Postconf -n > > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > home_mailbox = Maildir/ > inet_interfaces = all > mailbox_size_limit = 0 > mydestination = $myhostname, localhost.localdomain, localhost > myhostname = mail. mydomain.de > mynetworks = server1_ip/32 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = /etc/mailname > readme_directory = no > recipient_delimiter = + > relay_domains = hash:/etc/postfix/relay_domains > relayhost = > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) > smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated > reject_unverified_recipient > smtpd_sasl_auth_enable = yes > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous, noplaintext > smtpd_sasl_tls_security_options = noanonymous > smtpd_sasl_type = dovecot > smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem > smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > transport_maps = hash:/etc/postfix/transport > unverified_recipient_reject_code = 577 > > relay_domains: > domain1.de lmtp:[127.0.0.1] Vereinfache bitte mal wie folgt: /etc/postfix/relay_domains: domain1.de OK Dann "postmap hash:/etc/postfix/relay_domains" und ein "postfix reload" hinterher. > transport: > .domain1.de smtp:[server1_ip]:8080 Verstehe ich das richtig? Du willst domain1.de lokal ablegen (per lmtp), aber aller Subdomains von .domain1.de zum Exchange routen, ja? Was sagt denn das hier: $ postconf -d parent_domain_matches_subdomains p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From carsten.delellis at delellis.net Tue Mar 22 18:16:54 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 17:16:54 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <20160322165337.Horde.LG4uSrE64VsBOzO76Kfqbjr@buero.tachtler.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <20160322165337.Horde.LG4uSrE64VsBOzO76Kfqbjr@buero.tachtler.net> Message-ID: <401052d3dd8345c181d779c3a048cd72@delellis.net> Hallo Klaus Habe Deine Anleitung durchgeschaut und bin der Meinung, dass ich eigentlich alles genauso konfiguriert habe. Vielleicht muss ich da noch etwas ausholen. Der Exchange Server ist für die Domänen example1.com und example2.com zuständig. Der Postfix fungiert "nur" als gateway. Was ich möchte ist, dass die emails, die vom Exchange Server kommen beim raussenden signiert werden. Irgendwo zwischen der Annahme und dem raussenden muss ich während des mailflows postfix sagen: "Schicke die emails an opendkim". Da bin ich mir nicht ganz sicher, wo ich das in meiner Konfig tun muss. Den Eintrag in der main.cf habe ich vorgenommen, ich denke jedoch, dass ich auch die master.cf etwas anpassen muss. Die Emails von Exchange nehme ich ganz normal über port 25 an. Es funktioniert auch alles soweit, bis auf das DKIM Thema. Anbei noch meine master.cf: smtp inet n - - - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 pickup unix n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr unix n - n 300 1 qmgr #qmgr unix n - n 300 1 oqmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # Other external delivery methods. # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} # amavis content filtering smtp-amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o disable_mime_output_conversion=yes 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_delay_reject=no -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_client_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o mynetworks=127.0.0.0/8 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf Für einen guten Tipp wäre ich wirklich dankbar. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Klaus Tachtler Sent: Dienstag, 22. März 2016 16:54 To: Diskussionen und Support rund um Postfix Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hallo Carsten, schau mal hier, heute erst auf einem Server eingerichtet: http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com > mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com > example1.com:mail:/etc/dkimkeys/keys/ example1.com / > example1.com.private > mail._domainkey.example2.com > example2.com:mail:/etc/dkimkeys/keys/ example2.com / > example2.com.private Sollte das nicht so aussehen: mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/example1.com/mail.private mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/example2.com/mail.private Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From jost+lists at dimejo.at Tue Mar 22 18:23:03 2016 From: jost+lists at dimejo.at (Alex JOST) Date: Tue, 22 Mar 2016 18:23:03 +0100 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <20160322170150.Horde.humiV3QCS7q1S9Zb6SGYYsF@buero.tachtler.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <56F16A10.9070707@dimejo.at> <20160322170150.Horde.humiV3QCS7q1S9Zb6SGYYsF@buero.tachtler.net> Message-ID: <56F17F77.2010609@dimejo.at> Am 22.03.2016 um 17:01 schrieb Klaus Tachtler: > Hallo Zusammen, > >> Übrigens bin ich Stephans Meinung. Wenn Du auf dem System ohnehin >> amavisd einsetzt, dann signiere doch damit. Funktioniert bei uns bestens. > > Nun wenn man sich mal https://tools.ietf.org/html/rfc6376#section-5.4 > ansieht ist beim anbringen einer DKIM-Signatur das Feld From - REQUIRED > - dies ignoriert AMaViS dezent, hier ist es auch möglich OHNE From Feld > im Header eine DKIM-Signatur zu erreichen. Also "Do best thing right" > (Zitat: Kollege Nausch aka Django)! Welche Header signiert werden kannst Du in amavisd-new problemlos selbst einstellen. $signed_header_fields{'received'} = 0; # turn off signing of Received $signed_header_fields{'sender'} = 1; # turn on signing of Sender $signed_header_fields{'from'} = 2; # sign From twice -- Alex JOST From infoomatic at gmx.at Tue Mar 22 18:19:15 2016 From: infoomatic at gmx.at (Infoo Matic) Date: Tue, 22 Mar 2016 18:19:15 +0100 Subject: =?utf-8?q?Re=3A_Probleme_mit_dem_signieren_ausgehender_mails_mit_Open-DKIM?= In-Reply-To: <1a9f3d084f7249be91995c479ed90017@delellis.net> Message-ID: <7cf1-56f17e80-3-7e363e00@64147939> Hi, Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"? LG, Robert On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis wrote: > Hallo, alle zusammen > > Ich habe folgendes Problem: > > Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: > > Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: > > /etc/opendkim.conf > > Syslog yes > SyslogSuccess yes > LogWhy yes > UMask 002 > AutoRestart Yes > AutoRestartRate 10/1h > Canonicalization relaxed/simple > > ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts > InternalHosts refile:/etc/dkimkeys/TrustedHosts > KeyTable refile:/etc/dkimkeys/KeyTable > SigningTable refile:/etc/dkimkeys/SigningTable > > Mode sv > PidFile /var/run/opendkim/opendkim.pid > SignatureAlgorithm rsa-sha256 > > UserID opendkim:opendkim > SOCKET inet:8891 at localhost > > > /etc/dkimkeys/TrustedHosts > > 127.0.0.1 > localhost > ip.exchange.server > ip.postfix.server > > *.example1.com > *.example2.com > > > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private > mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private > > Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. > > In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. > > milter_default_action = accept > milter_protocol = 6 > smtpd_milters=inet:localhost:8891 > non_smtpd_milters=inet:localhost:8891 > > > Ein lsof -i :8891 liefert folgenden output: > > COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME > opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) > > Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. > > Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. > > Bsp.: > Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] -> , Message-ID: , mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms > > Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. > > Was mache ich da falsch? > > Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. > > Für Hinweise wäre ich wirklich dankbar. > > Mit freundlichem Gruß > > Carsten Laun-De Lellis > > Hauptstrasse 13 > D - 67705 Trippstadt > > Phone: +49 6306 992140 > Mobile: +49 151 275 30865 > Fax: +49 6306 992142 > email: carsten.delellis at delellis.net > > http://www.linkedin.com/in/carstenlaundelellis > > --------------------------------------------------- > > Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. > > This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. > From carsten.delellis at delellis.net Tue Mar 22 18:36:18 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 17:36:18 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <7cf1-56f17e80-3-7e363e00@64147939> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <7cf1-56f17e80-3-7e363e00@64147939> Message-ID: <07ecab589c564b6293967087fd295853@delellis.net> Hallo Robert Wie Du in der mail von 18:18 sehen kannst habe ich das in dem einen smptd Dienst stehen, der die emails von amavis wieder annimmt. Habe ich aber auch schon gelöscht. Keine Änderung. Deswegen ist es auch wieder drin. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Infoo Matic Sent: Dienstag, 22. März 2016 18:19 To: postfixbuch-users at listen.jpberlin.de Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hi, Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"? LG, Robert On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis wrote: > Hallo, alle zusammen > > Ich habe folgendes Problem: > > Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: > > Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: > > /etc/opendkim.conf > > Syslog yes > SyslogSuccess yes > LogWhy yes > UMask 002 > AutoRestart Yes > AutoRestartRate 10/1h > Canonicalization relaxed/simple > > ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts > InternalHosts refile:/etc/dkimkeys/TrustedHosts > KeyTable refile:/etc/dkimkeys/KeyTable > SigningTable refile:/etc/dkimkeys/SigningTable > > Mode sv > PidFile /var/run/opendkim/opendkim.pid > SignatureAlgorithm rsa-sha256 > > UserID opendkim:opendkim > SOCKET inet:8891 at localhost > > > /etc/dkimkeys/TrustedHosts > > 127.0.0.1 > localhost > ip.exchange.server > ip.postfix.server > > *.example1.com > *.example2.com > > > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private > mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private > > Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. > > In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. > > milter_default_action = accept > milter_protocol = 6 > smtpd_milters=inet:localhost:8891 > non_smtpd_milters=inet:localhost:8891 > > > Ein lsof -i :8891 liefert folgenden output: > > COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME > opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) > > Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. > > Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. > > Bsp.: > Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] -> , Message-ID: , mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms > > Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. > > Was mache ich da falsch? > > Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. > > Für Hinweise wäre ich wirklich dankbar. > > Mit freundlichem Gruß > > Carsten Laun-De Lellis > > Hauptstrasse 13 > D - 67705 Trippstadt > > Phone: +49 6306 992140 > Mobile: +49 151 275 30865 > Fax: +49 6306 992142 > email: carsten.delellis at delellis.net > > http://www.linkedin.com/in/carstenlaundelellis > > --------------------------------------------------- > > Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. > > This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. > From carsten.delellis at delellis.net Tue Mar 22 18:53:58 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 17:53:58 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <7cf1-56f17e80-3-7e363e00@64147939> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <7cf1-56f17e80-3-7e363e00@64147939> Message-ID: <54f89d9a1a35426a8bd9260b909d0a80@delellis.net> Hallo Nochmal vielleicht ein kleiner Fingerzeig. Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert. In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Infoo Matic Sent: Dienstag, 22. März 2016 18:19 To: postfixbuch-users at listen.jpberlin.de Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hi, Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"? LG, Robert On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis wrote: > Hallo, alle zusammen > > Ich habe folgendes Problem: > > Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: > > Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: > > /etc/opendkim.conf > > Syslog yes > SyslogSuccess yes > LogWhy yes > UMask 002 > AutoRestart Yes > AutoRestartRate 10/1h > Canonicalization relaxed/simple > > ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts > InternalHosts refile:/etc/dkimkeys/TrustedHosts > KeyTable refile:/etc/dkimkeys/KeyTable > SigningTable refile:/etc/dkimkeys/SigningTable > > Mode sv > PidFile /var/run/opendkim/opendkim.pid > SignatureAlgorithm rsa-sha256 > > UserID opendkim:opendkim > SOCKET inet:8891 at localhost > > > /etc/dkimkeys/TrustedHosts > > 127.0.0.1 > localhost > ip.exchange.server > ip.postfix.server > > *.example1.com > *.example2.com > > > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private > mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private > > Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. > > In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. > > milter_default_action = accept > milter_protocol = 6 > smtpd_milters=inet:localhost:8891 > non_smtpd_milters=inet:localhost:8891 > > > Ein lsof -i :8891 liefert folgenden output: > > COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME > opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) > > Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. > > Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. > > Bsp.: > Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] -> , Message-ID: , mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms > > Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. > > Was mache ich da falsch? > > Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. > > Für Hinweise wäre ich wirklich dankbar. > > Mit freundlichem Gruß > > Carsten Laun-De Lellis > > Hauptstrasse 13 > D - 67705 Trippstadt > > Phone: +49 6306 992140 > Mobile: +49 151 275 30865 > Fax: +49 6306 992142 > email: carsten.delellis at delellis.net > > http://www.linkedin.com/in/carstenlaundelellis > > --------------------------------------------------- > > Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. > > This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. > From carsten.delellis at delellis.net Tue Mar 22 19:12:09 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 18:12:09 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <54f89d9a1a35426a8bd9260b909d0a80@delellis.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <7cf1-56f17e80-3-7e363e00@64147939> <54f89d9a1a35426a8bd9260b909d0a80@delellis.net> Message-ID: Hier vielleicht auch noch mal ein Auszug aus dem Maillog, was passiert, wenn ich eine email versende. Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: connect from localhost[127.0.0.1] Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: DF814780095: client=localhost[127.0.0.1] Mar 22 19:05:31 RV1008 postfix/cleanup[9206]: DF814780095: message-id=<9fbb71ee7ae54aa1bc026854fb5f37c4 at example2.com> Mar 22 19:05:31 RV1008 postfix/qmgr[8929]: DF814780095: from=, size=62512, nrcpt=1 (queue active) Mar 22 19:05:31 RV1008 amavis[8993]: (08993-01) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [ex.cha.nge.ip]:32784 [ex.cha.nge.ip] -> , Message-ID: <9fbb71ee7ae54aa1bc026854fb5f37c4 at example2.com>, mail_id: RyFLa3eHUMCv, Hits: 0.921, size: 61996, queued_as: DF814780095, 5952 ms Mar 22 19:05:31 RV1008 postfix/smtpd[8994]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as DF814780095; from= to proto=ESMTP helo=< exchange.example1.com> Mar 22 19:05:32 RV1008 postfix/smtpd[8994]: disconnect from exchange.example1.com [ex.cha.nge.ip]ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Mar 22 19:05:32 RV1008 postfix/smtp[9004]: DF814780095: to=, relay=mx00.emig.kundenserver.de[212.227.15.40]:25, delay=0.31, delays=0.05/0/0.1/0.16, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0Ly53t-1ZfFEn0XUj-015cIq) Mar 22 19:05:32 RV1008 postfix/cleanup[9206]: 3A016780097: message-id=<20160322180532.3A016780097 at RV1008> Wobei RV1008 der postfix server ist. Alles sieht soweit gut aus. Bis auf das fehlende signieren der emails. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Carsten Laun-De Lellis Sent: Dienstag, 22. März 2016 18:54 To: Diskussionen und Support rund um Postfix Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hallo Nochmal vielleicht ein kleiner Fingerzeig. Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert. In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Infoo Matic Sent: Dienstag, 22. März 2016 18:19 To: postfixbuch-users at listen.jpberlin.de Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hi, Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"? LG, Robert On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis wrote: > Hallo, alle zusammen > > Ich habe folgendes Problem: > > Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: > > Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: > > /etc/opendkim.conf > > Syslog yes > SyslogSuccess yes > LogWhy yes > UMask 002 > AutoRestart Yes > AutoRestartRate 10/1h > Canonicalization relaxed/simple > > ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts > InternalHosts refile:/etc/dkimkeys/TrustedHosts > KeyTable refile:/etc/dkimkeys/KeyTable > SigningTable refile:/etc/dkimkeys/SigningTable > > Mode sv > PidFile /var/run/opendkim/opendkim.pid > SignatureAlgorithm rsa-sha256 > > UserID opendkim:opendkim > SOCKET inet:8891 at localhost > > > /etc/dkimkeys/TrustedHosts > > 127.0.0.1 > localhost > ip.exchange.server > ip.postfix.server > > *.example1.com > *.example2.com > > > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private > mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private > > Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. > > In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. > > milter_default_action = accept > milter_protocol = 6 > smtpd_milters=inet:localhost:8891 > non_smtpd_milters=inet:localhost:8891 > > > Ein lsof -i :8891 liefert folgenden output: > > COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME > opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) > > Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. > > Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. > > Bsp.: > Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 [2607:f8b0:400d:c04::230] -> , Message-ID: , mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms > > Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. > > Was mache ich da falsch? > > Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. > > Für Hinweise wäre ich wirklich dankbar. > > Mit freundlichem Gruß > > Carsten Laun-De Lellis > > Hauptstrasse 13 > D - 67705 Trippstadt > > Phone: +49 6306 992140 > Mobile: +49 151 275 30865 > Fax: +49 6306 992142 > email: carsten.delellis at delellis.net > > http://www.linkedin.com/in/carstenlaundelellis > > --------------------------------------------------- > > Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. > > This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. > From carsten.delellis at delellis.net Tue Mar 22 20:48:39 2016 From: carsten.delellis at delellis.net (Carsten Laun-De Lellis) Date: Tue, 22 Mar 2016 19:48:39 +0000 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <7cf1-56f17e80-3-7e363e00@64147939> <54f89d9a1a35426a8bd9260b909d0a80@delellis.net> Message-ID: <90c2046fbd594d5f9a3dada63c9f8b07@delellis.net> Hallo Vielleicht kann mir da einer mal auf die Sprünge helfen. In meinem Log habe ich folgenden Eintrag stehen: Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com Was bedeutet eigentlich das NOQUEUE in der 2. Zeile. Die email wird eigentlich sauber durchgeroutet und zugestellt. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Carsten Laun-De Lellis Sent: Dienstag, 22. März 2016 19:12 To: Diskussionen und Support rund um Postfix Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hier vielleicht auch noch mal ein Auszug aus dem Maillog, was passiert, wenn ich eine email versende. Mar 22 19:05:25 RV1008 postfix/smtpd[8994]: connect from exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:26 RV1008 postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com [ex.cha.nge.ip] Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: connect from localhost[127.0.0.1] Mar 22 19:05:31 RV1008 postfix/smtpd[9205]: DF814780095: client=localhost[127.0.0.1] Mar 22 19:05:31 RV1008 postfix/cleanup[9206]: DF814780095: message-id=<9fbb71ee7ae54aa1bc026854fb5f37c4 at example2.com> Mar 22 19:05:31 RV1008 postfix/qmgr[8929]: DF814780095: from=, size=62512, nrcpt=1 (queue active) Mar 22 19:05:31 RV1008 amavis[8993]: (08993-01) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [ex.cha.nge.ip]:32784 [ex.cha.nge.ip] -> , Message-ID: <9fbb71ee7ae54aa1bc026854fb5f37c4 at example2.com>, mail_id: RyFLa3eHUMCv, Hits: 0.921, size: 61996, queued_as: DF814780095, 5952 ms Mar 22 19:05:31 RV1008 postfix/smtpd[8994]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as DF814780095; from= to proto=ESMTP helo=< exchange.example1.com> Mar 22 19:05:32 RV1008 postfix/smtpd[8994]: disconnect from exchange.example1.com [ex.cha.nge.ip]ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Mar 22 19:05:32 RV1008 postfix/smtp[9004]: DF814780095: to=, relay=mx00.emig.kundenserver.de[212.227.15.40]:25, delay=0.31, delays=0.05/0/0.1/0.16, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0Ly53t-1ZfFEn0XUj-015cIq) Mar 22 19:05:32 RV1008 postfix/cleanup[9206]: 3A016780097: message-id=<20160322180532.3A016780097 at RV1008> Wobei RV1008 der postfix server ist. Alles sieht soweit gut aus. Bis auf das fehlende signieren der emails. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Carsten Laun-De Lellis Sent: Dienstag, 22. März 2016 18:54 To: Diskussionen und Support rund um Postfix Subject: RE: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hallo Nochmal vielleicht ein kleiner Fingerzeig. Im Maillog erscheinen keine dkim Nachrichten, obwohl ich auch bei success log Einträge konfiguriert habe. Es sieht so aus, als würde opendkim gar nicht angetriggert. In allen Konfigs, die ich gesehen habe, wird jedoch nur ein Eintrag in der main.cf gemacht. Mit freundlichem Gruß   Carsten Laun-De Lellis   Hauptstrasse 13 D - 67705 Trippstadt   Phone: +49 6306 992140 Mobile: +49 151 275 30865 Fax:     +49 6306 992142 email: carsten.delellis at delellis.net   http://www.linkedin.com/in/carstenlaundelellis --------------------------------------------------- Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. -----Original Message----- From: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] On Behalf Of Infoo Matic Sent: Dienstag, 22. März 2016 18:19 To: postfixbuch-users at listen.jpberlin.de Subject: Re: Probleme mit dem signieren ausgehender mails mit Open-DKIM Hi, Hast du in der master.cf vielleicht beim smtpd ein "-o smtpd_milters=" oder ein "-o receive_override_options=no_milters"? LG, Robert On Tuesday, March 22, 2016 15:40 CET, Carsten Laun-De Lellis wrote: > Hallo, alle zusammen > > Ich habe folgendes Problem: > > Ich nehme emails von einem Exchange Server über port 25 als mailgateway entgegen für die Domänen example1.com und example2.com, welche ich gerne mit dem passenden dkim key signieren möchte: > > Ich habe gemäß der Anleitung https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy opendkim für mehrere Domänen konfiguriert: > > /etc/opendkim.conf > > Syslog yes > SyslogSuccess yes > LogWhy yes > UMask 002 > AutoRestart Yes > AutoRestartRate 10/1h > Canonicalization relaxed/simple > > ExternalIgnoreList refile:/etc/dkimkeys/TrustedHosts > InternalHosts refile:/etc/dkimkeys/TrustedHosts > KeyTable refile:/etc/dkimkeys/KeyTable > SigningTable refile:/etc/dkimkeys/SigningTable > > Mode sv > PidFile /var/run/opendkim/opendkim.pid > SignatureAlgorithm rsa-sha256 > > UserID opendkim:opendkim > SOCKET inet:8891 at localhost > > > /etc/dkimkeys/TrustedHosts > > 127.0.0.1 > localhost > ip.exchange.server > ip.postfix.server > > *.example1.com > *.example2.com > > > /etc/dkimkeys/SigningTable > > *@example1.com mail._domainkey.example1.com > *@example2.com mail._domainkey.example2.com > > /etc/dkimkeys/KeyTable > > mail._domainkey.example1.com example1.com:mail:/etc/dkimkeys/keys/ example1.com / example1.com.private > mail._domainkey.example2.com example2.com:mail:/etc/dkimkeys/keys/ example2.com / example2.com.private > > Die Keys sollten soweit eigentlich o.k. sein, da ich bei einem dkim check mit online tools ein ok bekomme. Dies deutet darauf hin, dass der Eintrag im DNS und der Schlüssel soweit passen. > > In Postfix habe ich den milter über den folgenden Eintrag in die /etc/postfix/main.cf eingebunden. > > milter_default_action = accept > milter_protocol = 6 > smtpd_milters=inet:localhost:8891 > non_smtpd_milters=inet:localhost:8891 > > > Ein lsof -i :8891 liefert folgenden output: > > COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME > opendkim 6961 opendkim 4u IPv4 69527 0t0 TCP localhost:8891 (LISTEN) > > Ich kann also davon ausgehen, dass open-dkim läuft auf dem port 8891. > > Wenn ich nun ein grep -i dkim /var/log/mail.log ausführe dann bekomme ich einen output der mir anzeigt, dass eingehende emails von amavis auf dkim keys überprüft werden. > > Bsp.: > Mar 22 15:18:08 RV1008 amavis[5481]: (05481-09) Passed CLEAN > {RelayedOutbound}, ORIGINATING LOCAL [144.76.82.147]:50211 > [2607:f8b0:400d:c04::230] -> > , Message-ID: > , > mail_id: 8mBNSew2gnNq, Hits: 0.242, size: 11501, queued_as: > 0184C780094, dkim_sd=2954282:lists.samba.org, 6505 ms > > Für ausgehende emails finde ich keinerlei Einträge im maillog die auf irgendwelche Aktivitäten hindeuten, dass open-dkim versucht die emails zu signieren. > > Was mache ich da falsch? > > Ach ja, ich setze Ubuntu 15.10 ein mit postfix 3.0.4. > > Für Hinweise wäre ich wirklich dankbar. > > Mit freundlichem Gruß > > Carsten Laun-De Lellis > > Hauptstrasse 13 > D - 67705 Trippstadt > > Phone: +49 6306 992140 > Mobile: +49 151 275 30865 > Fax: +49 6306 992142 > email: > carsten.delellis at delellis.net > > http://www.linkedin.com/in/carstenlaundelellis > > --------------------------------------------------- > > Diese E-Mail könnte vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. > > This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and destroy this e-mail. Any unauthorised copying, disclosure or distribution of the material in this e-mail is strictly forbidden. > From jra at byte.cx Tue Mar 22 20:55:10 2016 From: jra at byte.cx (Jens Adam) Date: Tue, 22 Mar 2016 20:55:10 +0100 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <90c2046fbd594d5f9a3dada63c9f8b07@delellis.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <7cf1-56f17e80-3-7e363e00@64147939> <54f89d9a1a35426a8bd9260b909d0a80@delellis.net> <90c2046fbd594d5f9a3dada63c9f8b07@delellis.net> Message-ID: <20160322205510.6c7121c0.jra@byte.cx> Tue, 22 Mar 2016 19:48:39 +0000 Carsten Laun-De Lellis : > postfix/smtpd[8994]: NOQUEUE: client= exchange.example1.com > > Was bedeutet eigentlich das NOQUEUE in der 2. Zeile. > Die email wird eigentlich sauber durchgeroutet und zugestellt. http://www.postfix.org/postconf.5.html#smtpd_delay_open_until_valid_rcpt --byte (Können wir das mit dem TOFU mal wieder in den Griff kriegen? Danke.) -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From klaus at tachtler.net Wed Mar 23 06:01:10 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 23 Mar 2016 06:01:10 +0100 Subject: Probleme mit dem signieren ausgehender mails mit Open-DKIM In-Reply-To: <401052d3dd8345c181d779c3a048cd72@delellis.net> References: <1a9f3d084f7249be91995c479ed90017@delellis.net> <20160322165337.Horde.LG4uSrE64VsBOzO76Kfqbjr@buero.tachtler.net> <401052d3dd8345c181d779c3a048cd72@delellis.net> Message-ID: <20160323060110.Horde.tOvU6gVUGELtmsppbhbv3oq@buero.tachtler.net> Hallo Carsten, hast Du nachfolgende Einträge in Deinen Konfigurationen? /etc/postfix/main.cf /etc/postfix/master.cf http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim-milter > Anbei noch meine master.cf: > > # amavis content filtering > smtp-amavis unix - - - - 2 smtp > -o smtp_data_done_timeout=1200 > -o smtp_send_xforward_command=yes > -o disable_dns_lookups=yes > -o disable_mime_output_conversion=yes Falls AMaViS nach der Prüfung der E-Mail auf 127.0.0.1:10025 wieder einliefert, könntest Du nachfolgende Dinge ergänzen bzw. abändern - setzt aber die Konfiguration wie unter: http://www.dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter#konfigurationopendkim-milter: voraus! > 127.0.0.1:10025 inet n - n - - smtpd > -o content_filter= -o smtpd_milters=${opendkim_milter} > -o smtpd_proxy_filter= > -o smtpd_delay_reject=no > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_client_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions=reject_unauth_pipelining > -o mynetworks=127.0.0.0/8 > -o > receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters receive_override_options=no_header_body_checks,no_unknown_recipient_checks > policy-spf unix - n n - - spawn > user=nobody argv=/usr/bin/policyd-spf > > Für einen guten Tipp wäre ich wirklich dankbar. > > Mit freundlichem Gruß >   > Carsten Laun-De Lellis Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ From stephan.hendl at landtag.brandenburg.de Wed Mar 23 10:50:09 2016 From: stephan.hendl at landtag.brandenburg.de (=?utf-8?Q?Hendl_Stephan?=) Date: Wed, 23 Mar 2016 10:50:09 +0100 Subject: AW: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" In-Reply-To: <56F00F10.7000102@fuerstenberg.ws> References: <20160321143716.Horde.oATd2kK76YwzILoa9OtDiQV@www.rirasoft.de> Message-ID: Ich finde den kompletten Reject-Ansatz etwas zu hart. Könnte ja sein, dass da doch mal eine ordentliche Mail kommt. Deshalb vergeben wir einfach 5 Spampunkte zusätzlich. Das führt aktuell zu einem Reject, wenn die Mail sich aber ein paar negative Spampunkte sammelt, kann sie doch noch zugestellt werden. Hier ein Auszug als der local.conf vom spamassassin. # header LTBBG_TLD_7 From:=~/^.* \<.*\@.*\.racing\>/ describe LTBBG_TLD_7 Spam from new TLDs is not permittet score LTBBG_TLD_7 5 # Viele Grüße i. A. Stephan Hendl -- Dr. Stephan Hendl Landtag Brandenburg Verwaltung Referat V2 Alter Markt 1 14467 Potsdam Tel.: (0331) 966 1292 Fax.: (0331) 966 99 1292 stephan.hendl at landtag.brandenburg.de -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai Fürstenberg Gesendet: Montag, 21. März 2016 16:11 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" Am 21.03.2016 um 15:37 schrieb Postfix: > /\.hk$/ REJECT Mail from .hk not accepted du akzeptierst keine Mails aus Hong Kong? Dann könntest du auch gleich .br, .ru, .ua, .pa, etc. ebenfalls blocken. Bei den anderen TLDs würde ich aber zustimmen, dass von dort derzeit nur Dreck kommt. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From news at amaltea.de Wed Mar 23 11:55:59 2016 From: news at amaltea.de (Paul) Date: Wed, 23 Mar 2016 11:55:59 +0100 Subject: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" In-Reply-To: References: Message-ID: <56F2763F.8080205@amaltea.de> Hi, Am 21.03.2016 um 14:50 schrieb Hendl Stephan: > wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight, > greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen von > neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5 Spampunkte. > > > > Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag, > > -> > >, No, score=2.5 > tagged_above=-9999 required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7, > URIBL_BLACK=1.7] autolearn=no > > > > Ich könnte hier eine eigene Regel für ?@wnc89.win? aufstellen und schon > mal gleich 5 Punkte vergeben, das artet bei mehrere Domains dann aber > ganz schön aus? Hat jemand eine generische Idee? Nicht ganz, aber bei mir hat folgendes sehr gut geholfen. 0 False-Positives in 2 Monaten. main.cf: smtpd_recipient_restrictions= ... check_sender_access pcre:/etc/postfix/evil_sender ... evil_sender: /^BOUNCE_PREFIX-(\d){5,15}\./ REJECT Dein Text /^BOUNCE_PREFIX/ reject_rbl_client psbl.surriel.com, ,reject_rhsbl_sender multi.uribl.com, ggfs_andere_harte_regeln Die zweite Regel ist aber bisher nie zum Einsatz gekommen. Gruß, Paul From postfix_ml at rirasoft.de Wed Mar 23 11:59:45 2016 From: postfix_ml at rirasoft.de (postfix_ml at rirasoft.de) Date: Wed, 23 Mar 2016 11:59:45 +0100 Subject: AW: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" In-Reply-To: References: <20160321143716.Horde.oATd2kK76YwzILoa9OtDiQV@www.rirasoft.de> Message-ID: Am 2016-03-23 10:50, schrieb Hendl Stephan: > Ich finde den kompletten Reject-Ansatz etwas zu hart. Könnte ja sein, > dass da doch mal eine ordentliche Mail kommt. Deshalb vergeben wir > einfach 5 Spampunkte zusätzlich. Das führt aktuell zu einem Reject, > wenn die Mail sich aber ein paar negative Spampunkte sammelt, kann sie > doch noch zugestellt werden. Hier ein Auszug als der local.conf vom > spamassassin. > > # > header LTBBG_TLD_7 From:=~/^.* \<.*\@.*\.racing\>/ > describe LTBBG_TLD_7 Spam from new TLDs is not permittet > score LTBBG_TLD_7 5 > # > > Viele Grüße > i. A. Stephan Hendl > > -- > Dr. Stephan Hendl > Landtag Brandenburg > Verwaltung > Referat V2 > Alter Markt 1 > 14467 Potsdam > Tel.: (0331) 966 1292 > Fax.: (0331) 966 99 1292 > stephan.hendl at landtag.brandenburg.de > > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Kai Fürstenberg > Gesendet: Montag, 21. März 2016 16:11 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade" > > Am 21.03.2016 um 15:37 schrieb Postfix: >> /\.hk$/ REJECT Mail from .hk not accepted > > du akzeptierst keine Mails aus Hong Kong? Dann könntest du auch gleich > .br, .ru, .ua, .pa, etc. ebenfalls blocken. > > Bei den anderen TLDs würde ich aber zustimmen, dass von dort derzeit > nur > Dreck kommt. Da dies mein privater Mailserver (SOHO) ist, kann ich mir das erlauben. Mit Hong Kong haben wir kein Mail Kontakt, da kamen in letzter Zeit nur gefakte Mails, in Wahrheit kamen die von 1&1, In den letzten 7 Tage allein 42 Stück. Gruß Andreas From daniel at ist-immer-online.de Sat Mar 26 10:14:27 2016 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 26 Mar 2016 10:14:27 +0100 Subject: =?iso-8859-1?Q?Signatur_teilweise_ung=FCltig?= Message-ID: <000f01d1873f$e5cad620$b1608260$@ist-immer-online.de> Hallo und frohe Ostern, manchmal habe ich das Problem, dass bei anderen das Zertifikat ungültig ist, obwohl es vertrauenswürdig ist. Dieses habe ich sowohl mit den s/mime Zertifikaten von WoSing oder Comodo. Leider gibt es Trusted Center nicht mehr, wurden ja von Symantec übernommen. Wie kann ich prüfen ob Problem beim anderen liegt oder an mir? Es reicht teils wohl schon wenn der Server bzw. nen Filter Zeilenumbrüche entfernt oder hinzufügt oder ne Leerzeile anhängt ect. soweit ich Netz gesehen habe bei möglichen Fehlerquellen. OpenPGP / GnuPG ist für mich keine Option, da es für Outlook ein Plug-In installieren müsste, und auf anderen Geräten wie z.B. iPhone keine Option habe dort mit PGP zuarbeiten. Gibt es sonst noch gute kostenlose s/mime Möglichkeiten? Let's Encrypt bietet keine an. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: nicht verfügbar URL : From postfixbuch-users at buggy-net.de Sat Mar 26 12:00:23 2016 From: postfixbuch-users at buggy-net.de (Buggy Weber) Date: Sat, 26 Mar 2016 12:00:23 +0100 Subject: =?utf-8?Q?Re=3A_=5Bpostfix=5D_Signatur_teilweise_ung=C3=BCltig?= In-Reply-To: <000f01d1873f$e5cad620$b1608260$@ist-immer-online.de> References: <000f01d1873f$e5cad620$b1608260$@ist-immer-online.de> Message-ID: <4BF1AEEA-4A35-4C85-A148-BAEA5EE95DDC@buggy-net.de> > > iPhone keine Option habe dort mit PGP zuarbeiten. Da gibt es was iPGPMail für keine 2$: https://itunes.apple.com/us/app/ipgmail/id430780873?mt=8&ls=1 -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: