From jc.pfbk15 at cynix.net Thu Sep 1 18:59:01 2016 From: jc.pfbk15 at cynix.net (Juergen Christoffel) Date: Thu, 1 Sep 2016 18:59:01 +0200 Subject: Verifikation des einliefernden Servers pro Absender-Domain In-Reply-To: <29628fa2-f31e-e5c0-c92a-c570d434481a@dimejo.at> References: <8da5e063-92d7-74d4-2211-1668e2f9a3d0@richard-rafalski.de> <29628fa2-f31e-e5c0-c92a-c570d434481a@dimejo.at> Message-ID: <20160901165901.GA30980@unser.net> On Wed, Aug 31, 2016 at 10:00:55AM +0200, Alex JOST wrote: > [...] >Mir ist leider abgesehen von DANE keine Möglichkeit bekannt das >Zertifikat von eingehenden Verbindungen genauer zu überprüfen. Mir auch nicht. Zum Thema gibt es hier eine sehr gute Betrachtung zur (Un-)Nützlichkeit von STARTTLS zwischen Mail-Servern gegen aktive Angreifer. Und ein guter Grund endlich DNSSEC plus DANE einzusetzen: https://blog.filippo.io/the-sad-state-of-smtp-encryption/ --jc -- Doctorow's Law: Anytime someone puts a lock on something you own, against your wishes, and doesn't give you the key, they're not doing it for your benefit. From t.schneider at tms-itdienst.at Mon Sep 5 09:05:26 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 5 Sep 2016 09:05:26 +0200 Subject: Mailweiterleitung und Mitlesen Message-ID: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> Hallo, mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der Inhalt auch mitgelesen werden könne. Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From beat at juckers.ch Mon Sep 5 09:22:24 2016 From: beat at juckers.ch (Beat Jucker) Date: Mon, 5 Sep 2016 09:22:24 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> Message-ID: <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> Hallo Timm Du hast nicht spezifiziert, wen du explizit als "Mitleser" ansprichst: der Postmaster (Herr und Meister über den Mailserver) ist auch Herr und Meister über die Meldungen, d.h. kann alles nach Belieben mit den Meldungen machen ... (zB Kopien erstellen; Postmaster = Superuser = Root) Gruss -- Beat Am 05.09.2016 um 09:05 schrieb Timm Schneider: > Hallo, > > > mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der > Inhalt auch mitgelesen werden könne. > > Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. > > > Grüße > Timm From andre.peters at debinux.de Mon Sep 5 09:27:22 2016 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Mon, 5 Sep 2016 09:27:22 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> Message-ID: <1cef6b3a-673e-cd96-2828-6ec576629365@debinux.de> Hi, wenn per Sieve weitergeleitet wird, wird die Mail erst einmal angenommen und irgendwo abgelegt. Auch wenn sie vielleicht im Nachhinein per Sieve wieder gelöscht wird, war sie da. Das ist das einfachste Szenario. Auch wenn der MTA "relayed", kann man die Nachricht mit ein paar Handgriffen parallel ablegen und weiterleiten. Sogar ohne Ablegen könnte ich mir vorstellen, dass man einfach alles hält ("hold"), was relayed werden soll und sich die Daten anschaut. Hast du/ein Bekannter denn vor soo sensible Daten unverschlüsselt über ein Relay zu versenden? In dem Fall würde ich die Nachricht einfach verschlüsseln. Aber ich denke, es geht ums Prinzip, oder? Beste Grüße André Am 05.09.2016 um 09:05 schrieb Timm Schneider: > Hallo, > > > mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der > Inhalt auch mitgelesen werden könne. > > Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. > > > Grüße > Timm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Mon Sep 5 09:26:41 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 5 Sep 2016 09:26:41 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> Message-ID: Hallo Beat, ja den Postmaster. In den Logs kann der natürlich nachsehen, wer an wen Mails verschickt, aber kann der auch den Inhalt mitlesen? Servus Timm Am 05.09.2016 um 09:22 schrieb Beat Jucker: > Hallo Timm > > Du hast nicht spezifiziert, wen du explizit als "Mitleser" ansprichst: > der Postmaster (Herr und Meister über den Mailserver) ist auch Herr und > Meister über die Meldungen, d.h. kann alles nach Belieben mit den > Meldungen machen ... (zB Kopien erstellen; Postmaster = Superuser = Root) > > Gruss > -- Beat > > Am 05.09.2016 um 09:05 schrieb Timm Schneider: >> Hallo, >> >> >> mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der >> Inhalt auch mitgelesen werden könne. >> >> Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. >> >> >> Grüße >> Timm > > > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Mon Sep 5 09:32:44 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 5 Sep 2016 09:32:44 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <1cef6b3a-673e-cd96-2828-6ec576629365@debinux.de> References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <1cef6b3a-673e-cd96-2828-6ec576629365@debinux.de> Message-ID: Hallo Andre, es geht hier ums Vertrauen eines Dachverbands. Der Dachverband bietet allen Mitgliedern an, eine Dachverbands-Mailadresse zu bekommen. Hier zeigt sich, dass der Dachverband wohl die Mails alle mitliest was seine Mitglieder so treiben. Grüße Timm Am 05.09.2016 um 09:27 schrieb André Peters: > Hi, > > wenn per Sieve weitergeleitet wird, wird die Mail erst einmal angenommen > und irgendwo abgelegt. Auch wenn sie vielleicht im Nachhinein per Sieve > wieder gelöscht wird, war sie da. Das ist das einfachste Szenario. > > Auch wenn der MTA "relayed", kann man die Nachricht mit ein paar > Handgriffen parallel ablegen und weiterleiten. Sogar ohne Ablegen könnte > ich mir vorstellen, dass man einfach alles hält ("hold"), was relayed > werden soll und sich die Daten anschaut. > > Hast du/ein Bekannter denn vor soo sensible Daten unverschlüsselt über > ein Relay zu versenden? In dem Fall würde ich die Nachricht einfach > verschlüsseln. Aber ich denke, es geht ums Prinzip, oder? > > Beste Grüße > André > > Am 05.09.2016 um 09:05 schrieb Timm Schneider: >> Hallo, >> >> >> mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der >> Inhalt auch mitgelesen werden könne. >> >> Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. >> >> >> Grüße >> Timm > > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From andre.peters at debinux.de Mon Sep 5 09:39:21 2016 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Mon, 5 Sep 2016 09:39:21 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <1cef6b3a-673e-cd96-2828-6ec576629365@debinux.de> Message-ID: Hi, das ist heftig. Plant doch eine Finte und weist es denen nach. :-) Gibt bestimmt Ärger. Technisch ist das Mitlesen überhaupt nicht schwierig. Egal ob Weiterleitung per Sieve oder MTA. Also absolut nicht paranoid davon auszugehen. Grüße André Am 05.09.2016 um 09:32 schrieb Timm Schneider: > Hallo Andre, > > > es geht hier ums Vertrauen eines Dachverbands. > Der Dachverband bietet allen Mitgliedern an, eine > Dachverbands-Mailadresse zu bekommen. > Hier zeigt sich, dass der Dachverband wohl die Mails alle mitliest was > seine Mitglieder so treiben. > > > Grüße > Timm > > Am 05.09.2016 um 09:27 schrieb André Peters: >> Hi, >> >> wenn per Sieve weitergeleitet wird, wird die Mail erst einmal angenommen >> und irgendwo abgelegt. Auch wenn sie vielleicht im Nachhinein per Sieve >> wieder gelöscht wird, war sie da. Das ist das einfachste Szenario. >> >> Auch wenn der MTA "relayed", kann man die Nachricht mit ein paar >> Handgriffen parallel ablegen und weiterleiten. Sogar ohne Ablegen könnte >> ich mir vorstellen, dass man einfach alles hält ("hold"), was relayed >> werden soll und sich die Daten anschaut. >> >> Hast du/ein Bekannter denn vor soo sensible Daten unverschlüsselt über >> ein Relay zu versenden? In dem Fall würde ich die Nachricht einfach >> verschlüsseln. Aber ich denke, es geht ums Prinzip, oder? >> >> Beste Grüße >> André >> >> Am 05.09.2016 um 09:05 schrieb Timm Schneider: >>> Hallo, >>> >>> >>> mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der >>> Inhalt auch mitgelesen werden könne. >>> >>> Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. >>> >>> >>> Grüße >>> Timm >> -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: S/MIME Cryptographic Signature URL : From beat at juckers.ch Mon Sep 5 09:39:24 2016 From: beat at juckers.ch (Beat Jucker) Date: Mon, 5 Sep 2016 09:39:24 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> Message-ID: <557dcbad-9725-9344-20c5-f662a281cc93@juckers.ch> Hallo Timm Am 05.09.2016 um 09:26 schrieb Timm Schneider: > ja den Postmaster. > In den Logs kann der natürlich nachsehen, wer an wen Mails verschickt, > aber kann der auch den Inhalt mitlesen? Otto Normalverbraucher kann Mails nicht mitlesen, der Postmaster im Normalfall ebenfalls nicht. Mit wenig Aufwand kann aber jemand mit Wissen und Berechtigung (Postmaster = root) den Mailserver so manipulieren, dass er Zugriff auf die Meldungen erhält. Gruss -- Beat From wn at neessen.net Mon Sep 5 09:39:09 2016 From: wn at neessen.net (Winfried Neessen) Date: Mon, 05 Sep 2016 09:39:09 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> Message-ID: Hi, Am 2016-09-05 09:26, schrieb Timm Schneider: > In den Logs kann der natürlich nachsehen, wer an wen Mails verschickt, > aber kann der auch den Inhalt mitlesen? > Ja, kann er wenn er es drauf anlegt (und die Mail ansich nicht verschluesselt ist). Winni From rainer_wiesenfarth at trimble.com Mon Sep 5 09:48:46 2016 From: rainer_wiesenfarth at trimble.com (Rainer Wiesenfarth) Date: Mon, 5 Sep 2016 09:48:46 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> Message-ID: ?Stichwort: always_bcc? (Config-Parameter) -- Software Engineer | Trimble Imaging Division Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 http://www.trimble.com/imaging/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Jürgen Kesper -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From klaus at tachtler.net Mon Sep 5 09:52:57 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 05 Sep 2016 09:52:57 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> Message-ID: <20160905095257.Horde.49W8pzqeIv7b_nlilhVtUIT@buero.tachtler.net> Hallo, > Hallo, > > > mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der > Inhalt auch mitgelesen werden könne. Wieso mitlesen, wenn ich auch eine Kopie haben kann ;-), z.B. via recipient_bcc_maps sender_bcc_maps > Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. > > > Grüße > Timm Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From tech at kdmails.de Mon Sep 5 09:45:39 2016 From: tech at kdmails.de (Daniel Gompf) Date: Mon, 5 Sep 2016 09:45:39 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> Message-ID: <27aef985-7355-5d73-4509-fb846e1e4a9b@kdmails.de> Hallo Timm Am 05.09.2016 um 09:05 schrieb Timm Schneider: > Hallo, > > > mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der > Inhalt auch mitgelesen werden könne. > > Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. Die E-Mails werden ja nicht reflektiert, der Mailserver nimmt sie an, verarbeitet dieses und sendet sie weiter. Er wird schon eine Warteschlange dafür vorhalten, weil der nächste Server nicht da sein könnte. Zumal du in deiner Konfiguration überhaupt nicht mitbekommen würdest, ob z.B. so etwas wie always_bcc bzw. recipient_bcc_maps eingeschaltet ist. Also, ja es ist möglich, ohne Verzögerung und ohne dein Wissen. Wenn deine Vermutung belegbar sind solltest du evtl. mal über das rechtliche Verhältnis von Dachverband und Mitgliedern nachdenken. > > > Grüße > Timm > From gregor at a-mazing.de Mon Sep 5 10:19:11 2016 From: gregor at a-mazing.de (Gregor Hermens) Date: Mon, 5 Sep 2016 10:19:11 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> Message-ID: <201609051019.11922@office.a-mazing.net> Hallo Timm, Am Montag, 5. September 2016 schrieb Timm Schneider: > ja den Postmaster. > In den Logs kann der natürlich nachsehen, wer an wen Mails verschickt, > aber kann der auch den Inhalt mitlesen? ich beschreibe es mal mit der analogen Analogie: Eine Email ist wie eine Postkarte. Die kann jeder lesen, der am Transport beteiligt ist. Wenn der Briefträger sie in seiner Tasche ganz oben offen liegen hat kann theoretisch sogar jeder, an dem er vorbeifährt, mitlesen. Der Einsatz von Transportverschlüsselung (TLS) entspricht einer fest verschlossenen Tasche des Briefträgers: Passanten können die Postkarte nicht mehr sehen, aber jedesmal, wenn die Postkarte auf dem Weg umgepackt und neu sortiert wird, können alle daran Beteiligten die Karte lesen. Sicher ist nur eine Verschlüsselung der Mail selbst, also wenn du die Karte in einen geschlossenen Umschlag steckst. Jetzt können alle nur noch den Absender und Empfänger lesen, weil die außen auf dem Umschlag stehen müssen. Der Inhalt ist sicher (wenn du einen guten Umschlag verwendet hast). hth Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From t.schneider at tms-itdienst.at Mon Sep 5 10:16:32 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 5 Sep 2016 10:16:32 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <20160905095257.Horde.49W8pzqeIv7b_nlilhVtUIT@buero.tachtler.net> References: <20160905095257.Horde.49W8pzqeIv7b_nlilhVtUIT@buero.tachtler.net> Message-ID: Hallo, dank Euch für die Info, das ist sehr interessant. Ein Teil der Vorstandsmitglieder wusste von einem Mitglied was der so geschrieben hat und hatte ihn zur "Sau" gemacht. Leider geht es in dem Dachverband sehr politisch zu und wer da anderer Meinung ist, wird.... Das nur als Hintergrundinfo, weil das ja nicht wirklich hier her gehört. Nun werde ich hier den entsprechenden Mitgliedern empfehlen, nicht mehr die E-Mail-Adresse des Dachverbandes zu verwenden. Danke nochmal Timm Am 05.09.2016 um 09:52 schrieb Klaus Tachtler: > Hallo, > >> Hallo, >> >> >> mir wurde zugetragen, dass bei einer Mailweiterleitung im Mailserver der >> Inhalt auch mitgelesen werden könne. > > Wieso mitlesen, wenn ich auch eine Kopie haben kann ;-), z.B. via > > recipient_bcc_maps > sender_bcc_maps > >> Meines Wissens geht das nicht, aber bin mir hier auch nicht 100% sicher. >> >> >> Grüße >> Timm > > Grüße > Klaus. > > > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From daniel at ist-immer-online.de Mon Sep 5 11:56:56 2016 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 5 Sep 2016 11:56:56 +0200 Subject: AW: Mailweiterleitung und Mitlesen In-Reply-To: References: <20160905095257.Horde.49W8pzqeIv7b_nlilhVtUIT@buero.tachtler.net> Message-ID: <004001d2075b$d6aa5070$83fef150$@ist-immer-online.de> Wenn im Vertraglichen nichts dazu geregelt ist und man die dem ganzen nicht explizit zustimmt, könntest den ebenfalls ans Bein Pinkeln. Wie schon erwähnt wurde, schreib eine Falle, also mit wem absprechen und dann entsprechende Meldung per Email versenden was für die negativ ist. Wenn die euch darauf hin Ansprechen hast den beweis, und stellst entsprechend Strafanzeige Art. 10 GG Technisch ist es absolut simpel, nur rechtlich eben etwas ganz anderes. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Timm Schneider Gesendet: Montag, 5. September 2016 10:17 An: Diskussionen und Support rund um Postfix Betreff: Re: Mailweiterleitung und Mitlesen Hallo, dank Euch für die Info, das ist sehr interessant. Ein Teil der Vorstandsmitglieder wusste von einem Mitglied was der so geschrieben hat und hatte ihn zur "Sau" gemacht. Leider geht es in dem Dachverband sehr politisch zu und wer da anderer Meinung ist, wird.... Das nur als Hintergrundinfo, weil das ja nicht wirklich hier her gehört. Nun werde ich hier den entsprechenden Mitgliedern empfehlen, nicht mehr die E-Mail-Adresse des Dachverbandes zu verwenden. Danke nochmal Timm From t.schneider at tms-itdienst.at Mon Sep 5 12:00:21 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 5 Sep 2016 12:00:21 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <201609051019.11922@office.a-mazing.net> References: <39a1d7eb-21ba-defd-4671-778f76a6ed31@tms-itdienst.at> <3b361551-d015-98bd-653c-f62f0fddf348@juckers.ch> <201609051019.11922@office.a-mazing.net> Message-ID: Hallo Gregor, danke für die Erläuterung, aber das war mir klar. Ich dachte immer, dass bei der SMTP-Session zuerst die Helo, dann die Receipientdaten übertragen wird, bevor die eigentlich Mail kommt, der Postfix erkennt dashier eine weiterleitung in der virtual definiert ist und leitet die einfach weiter, ohne die Daten lokal vorzuhalten. Aber dem ist wohl nicht so, danke Timm Am 05.09.2016 um 10:19 schrieb Gregor Hermens: > Hallo Timm, > > Am Montag, 5. September 2016 schrieb Timm Schneider: >> ja den Postmaster. >> In den Logs kann der natürlich nachsehen, wer an wen Mails verschickt, >> aber kann der auch den Inhalt mitlesen? > > ich beschreibe es mal mit der analogen Analogie: > > Eine Email ist wie eine Postkarte. Die kann jeder lesen, der am Transport > beteiligt ist. Wenn der Briefträger sie in seiner Tasche ganz oben offen > liegen hat kann theoretisch sogar jeder, an dem er vorbeifährt, mitlesen. > > Der Einsatz von Transportverschlüsselung (TLS) entspricht einer fest > verschlossenen Tasche des Briefträgers: Passanten können die Postkarte nicht > mehr sehen, aber jedesmal, wenn die Postkarte auf dem Weg umgepackt und neu > sortiert wird, können alle daran Beteiligten die Karte lesen. > > Sicher ist nur eine Verschlüsselung der Mail selbst, also wenn du die Karte in > einen geschlossenen Umschlag steckst. Jetzt können alle nur noch den Absender > und Empfänger lesen, weil die außen auf dem Umschlag stehen müssen. Der Inhalt > ist sicher (wenn du einen guten Umschlag verwendet hast). > > hth > Gruß, > Gregor > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Mon Sep 5 12:00:59 2016 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 5 Sep 2016 12:00:59 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <004001d2075b$d6aa5070$83fef150$@ist-immer-online.de> References: <20160905095257.Horde.49W8pzqeIv7b_nlilhVtUIT@buero.tachtler.net> <004001d2075b$d6aa5070$83fef150$@ist-immer-online.de> Message-ID: <4f7c871a-b10a-1895-4489-16eba27beaa6@tms-itdienst.at> Schon gemacht, ich werde sehn. Ciao Timm Am 05.09.2016 um 11:56 schrieb Daniel: > Wenn im Vertraglichen nichts dazu geregelt ist und man die dem ganzen nicht explizit zustimmt, könntest den ebenfalls ans Bein Pinkeln. > > Wie schon erwähnt wurde, schreib eine Falle, also mit wem absprechen und dann entsprechende Meldung per Email versenden was für die negativ ist. > > Wenn die euch darauf hin Ansprechen hast den beweis, und stellst entsprechend Strafanzeige Art. 10 GG > > Technisch ist es absolut simpel, nur rechtlich eben etwas ganz anderes. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Timm Schneider > Gesendet: Montag, 5. September 2016 10:17 > An: Diskussionen und Support rund um Postfix > Betreff: Re: Mailweiterleitung und Mitlesen > > Hallo, > > dank Euch für die Info, das ist sehr interessant. > Ein Teil der Vorstandsmitglieder wusste von einem Mitglied was der so > geschrieben hat und hatte ihn zur "Sau" gemacht. > > Leider geht es in dem Dachverband sehr politisch zu und wer da anderer > Meinung ist, wird.... > > Das nur als Hintergrundinfo, weil das ja nicht wirklich hier her gehört. > Nun werde ich hier den entsprechenden Mitgliedern empfehlen, nicht mehr > die E-Mail-Adresse des Dachverbandes zu verwenden. > > Danke nochmal > Timm > > > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From max.grobecker at ml.grobecker.info Tue Sep 6 00:29:10 2016 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Tue, 6 Sep 2016 00:29:10 +0200 Subject: Mailweiterleitung und Mitlesen In-Reply-To: <004001d2075b$d6aa5070$83fef150$@ist-immer-online.de> References: <20160905095257.Horde.49W8pzqeIv7b_nlilhVtUIT@buero.tachtler.net> <004001d2075b$d6aa5070$83fef150$@ist-immer-online.de> Message-ID: <80f556fa-abb6-46f7-5630-ff8d138fb7c0@ml.grobecker.info> Hallo, Am 05.09.2016 um 11:56 schrieb Daniel: > Wenn die euch darauf hin Ansprechen hast den beweis, und stellst entsprechend Strafanzeige Art. 10 GG § 10 GG schützt ja nur den Briefverkehr, zu dem eine E-Mail nun einmal nicht gehört. Da trifft eher § 206 StGB zu. Erschwerend käme da sogar hinzu, dass die Mails (wenn es denn so ist) nicht nur möglicherweise unbefugter Weise durch Dritte gelesen wurden sondern auch weiteren Personen mitgeteilt wurden. Der Paragraph hat es echt in sich, denn der tadelt den Eingriff in die private Kommunikation nicht nur, der bringt einen relativ schnell in den Knast! Wenn ihr da einen sehr gut begründeten Verdacht habt (durch das Stellen der Falle) würde ich damit eine Anzeige erstatten. Nachdem da die Vorstandsmitglieder offenbar von diesem Verhalten profitieren und es damit implizit tolerieren, würde ich denen auch nicht vorher drohen sondern wirklich direkt anzeigen. Allerdings (obwohl das hier eher unzutreffend ist) sollte man nicht vergessen, dass in einem Unternehmen bei einer dienstlichen E-Mail-Adresse, deren private Nutzung ausdrücklich untersagt ist, der Chef tatsächlich vollkommen legal die E-Mails mitlesen darf. Man muss es halt vorher im Vertrag festhalten und gleichzeitig die private Nutzung ausnahmslos verbieten. Daraus folgt dann nämlich, dass in dem Postfach ausschließlich dienstliche E-Mails liegen dürften und die sind realistisch betrachtet Eigentum des Unternehmens. Ich weiß ja nicht, was für die E-Mail-Adressen dieses Dachverbandes so an Vertragswerk paraphiert wurde - ich kann mir aber ehrlich gesagt kaum vorstellen, dass da derartige Einschränkungen wie für eine dienstliche E-Mail-Adresse eines Angestellten festgehalten wurden. Aber prüfen würde ich es vorher schon... Viele Grüße aus dem Tal Max -- Keine Rechtsberatung, nur private Meinung. -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From risse at citkomm.de Wed Sep 7 14:24:11 2016 From: risse at citkomm.de (Marc Risse) Date: Wed, 7 Sep 2016 14:24:11 +0200 Subject: =?UTF-8?Q?Zustellung_an_1&1=2c_web.de_und_gmx.de_gest=c3=b6rt=3f=3f?= Message-ID: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> Hallo zusammen, einige der MXer von 1&1, web.de und gmx nehmen seit letzter Nacht keine Mails mehr von uns an. Es sind aber nicht alle MXer betroffen, einige nehmen die Mails ganz normal entgegen. Habt Ihr ähnliche Probleme? Sep 7 13:45:12 SAMARA11 postfix/smtp[25022]: 33810603C5: to=, relay=mx00.kundenserver.de[212.227.15.41]:25, delay=0.39, delays=0.18/0/0.13/0.09, dsn=5.0.0, status=bounced (host mx00.kundenserver.de[212.227.15.41] said: 550-Requested action not taken: mailbox unavailable 550-Reject due to policy restrictions. 550 For explanation visit http://postmaster.1and1.com/en/error-messages?ip=185.41.57.35&c=poli (in reply to MAIL FROM command)) -- Marc Risse RZ-Projekte Telefon: +49 2372 5520-385 Fax: +49 2372 5520-61-385 E-Mail: risse at citkomm.de Internet: http://www.citkomm.de ===================================== KDVZ Citkomm (Kommunaler Zweckverband) Citkomm services GmbH* Sonnenblumenallee 3, 58675 Hemer Telefon: +49 2372 5520-0 Fax: +49 2372 5520-279 E-Mail: post at citkomm.de *Tochtergesellschaft: Citkomm services GmbH Sitz der Gesellschaft: Hemer Handelsregister: AG Iserlohn, HRB 26 86 Geschäftsführer: Dr. Michael Neubauer, Kerstin Pliquett -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3429 bytes Beschreibung: S/MIME Cryptographic Signature URL : From buettnerp at web.de Wed Sep 7 14:42:21 2016 From: buettnerp at web.de (Peter Buettner) Date: Wed, 7 Sep 2016 14:42:21 +0200 Subject: =?UTF-8?Q?Re:_Zustellung_an_1&1=2c_web.de_und_gmx.de_gest=c3=b6rt?= =?UTF-8?B?Pz8=?= In-Reply-To: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> References: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> Message-ID: <57D00B2D.6080406@web.de> Hallo Marc, von 1&1 ist mir bekannt, daß die Server für die Domain kundenserver.de dynamisch erzeugt werden und vollig daneben konfiguriert sind. Diese stehen deshalb ständig auf den einschlägigen Spamlisten. Das interessiert die Knaller aber nicht. Da diese Server beim Versenden noch nicht mal ordentlich "helo" sagen können, tippe ich mal, daß die Empfangskonfiguration ebenfalls völlig daneben liegt. Einfach mal die Admins von 1&1 darauf ansprechen. Es würde mich wundern, wenn da eine Antwort kommt. Ich warte schon seit über einem halben Jahr. Peter Büttner Am 07.09.2016 um 14:24 schrieb Marc Risse: > Hallo zusammen, > > einige der MXer von 1&1, web.de und gmx nehmen seit letzter Nacht keine > Mails mehr von uns an. Es sind aber nicht alle MXer betroffen, einige > nehmen die Mails ganz normal entgegen. Habt Ihr ähnliche Probleme? > > Sep 7 13:45:12 SAMARA11 postfix/smtp[25022]: 33810603C5: to=, > relay=mx00.kundenserver.de[212.227.15.41]:25, delay=0.39, > delays=0.18/0/0.13/0.09, dsn=5.0.0, status=bounced (host > mx00.kundenserver.de[212.227.15.41] said: 550-Requested action not > taken: mailbox unavailable 550-Reject due to policy restrictions. 550 > For explanation visit > http://postmaster.1and1.com/en/error-messages?ip=185.41.57.35&c=poli (in > reply to MAIL FROM command)) > > > From Ralf.Hildebrandt at charite.de Wed Sep 7 16:14:19 2016 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 7 Sep 2016 16:14:19 +0200 Subject: Zustellung an 1&1, web.de =?utf-8?Q?un?= =?utf-8?B?ZCBnbXguZGUgZ2VzdMO2cnQ/Pw==?= In-Reply-To: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> References: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> Message-ID: <20160907141419.uw47xsukvywd5nel@charite.de> * Marc Risse : > Hallo zusammen, > > einige der MXer von 1&1, web.de und gmx nehmen seit letzter Nacht keine > Mails mehr von uns an. Es sind aber nicht alle MXer betroffen, einige nehmen > die Mails ganz normal entgegen. Habt Ihr ähnliche Probleme? > > Sep 7 13:45:12 SAMARA11 postfix/smtp[25022]: 33810603C5: to=, > relay=mx00.kundenserver.de[212.227.15.41]:25, delay=0.39, > delays=0.18/0/0.13/0.09, dsn=5.0.0, status=bounced (host > mx00.kundenserver.de[212.227.15.41] said: 550-Requested action not taken: > mailbox unavailable 550-Reject due to policy restrictions. 550 For > explanation visit > http://postmaster.1and1.com/en/error-messages?ip=185.41.57.35&c=poli (in > reply to MAIL FROM command)) 550 Reject due to policy restrictions Your email has been rejected due to our current security policy. This happens if the sender domain is known as a spam domain. To check if a domain is listed as a spam domain, you can use the following tool: Spamhaus. If the problem persists, please ask your system administrator to contact us. > > > > -- > > > Marc Risse > RZ-Projekte > > > > Telefon: +49 2372 5520-385 > Fax: +49 2372 5520-61-385 > E-Mail: risse at citkomm.de > Internet: http://www.citkomm.de > > ===================================== > KDVZ Citkomm (Kommunaler Zweckverband) > Citkomm services GmbH* > Sonnenblumenallee 3, 58675 Hemer > Telefon: +49 2372 5520-0 > Fax: +49 2372 5520-279 > E-Mail: post at citkomm.de > > > *Tochtergesellschaft: > Citkomm services GmbH > Sitz der Gesellschaft: Hemer > Handelsregister: AG Iserlohn, HRB 26 86 > Geschäftsführer: Dr. Michael Neubauer, Kerstin Pliquett > > -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | http://www.charite.de From risse at citkomm.de Wed Sep 7 16:25:27 2016 From: risse at citkomm.de (Marc Risse) Date: Wed, 7 Sep 2016 16:25:27 +0200 Subject: =?UTF-8?Q?Re:_Zustellung_an_1&1=2c_web.de_und_gmx.de_gest=c3=b6rt?= =?UTF-8?B?Pz8=?= In-Reply-To: <20160907141419.uw47xsukvywd5nel@charite.de> References: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> <20160907141419.uw47xsukvywd5nel@charite.de> Message-ID: On 07.09.2016 16:14, Ralf Hildebrandt wrote: > * Marc Risse : >> Hallo zusammen, >> >> einige der MXer von 1&1, web.de und gmx nehmen seit letzter Nacht keine >> Mails mehr von uns an. Es sind aber nicht alle MXer betroffen, einige nehmen >> die Mails ganz normal entgegen. Habt Ihr ähnliche Probleme? >> >> Sep 7 13:45:12 SAMARA11 postfix/smtp[25022]: 33810603C5: to=, >> relay=mx00.kundenserver.de[212.227.15.41]:25, delay=0.39, >> delays=0.18/0/0.13/0.09, dsn=5.0.0, status=bounced (host >> mx00.kundenserver.de[212.227.15.41] said: 550-Requested action not taken: >> mailbox unavailable 550-Reject due to policy restrictions. 550 For >> explanation visit >> http://postmaster.1and1.com/en/error-messages?ip=185.41.57.35&c=poli (in >> reply to MAIL FROM command)) > > 550 Reject due to policy restrictions > Your email has been rejected due to our current security policy. This > happens if the sender domain is known as a spam domain. To check if a > domain is listed as a spam domain, you can use the following tool: > Spamhaus. If the problem persists, please ask your system > administrator to contact us. > Hallo Ralf, ich habe diverse Blackhole-Lists gecheckt, wir waren und sind auf keiner mir bekannten Liste (Check über mxtoolbox.com, Spamhaus etc). Das hab ich auch über unser Monitoring (Check_MK) im Blick. Eigenartig ist ja auch, dass nicht alle der MXer die Mails abweisen. Weitere Ideen? ;-) VG Marc -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3429 bytes Beschreibung: S/MIME Cryptographic Signature URL : From andre.peters at debinux.de Wed Sep 7 16:26:57 2016 From: andre.peters at debinux.de (=?utf-8?Q?Andr=C3=A9_Peters?=) Date: Wed, 7 Sep 2016 16:26:57 +0200 Subject: =?utf-8?Q?Re:_Zustellung_an_1&1, _web.de_und_gmx.de_gest=C3=B6rt=3F?= =?utf-8?Q?=3F?= In-Reply-To: References: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> <20160907141419.uw47xsukvywd5nel@charite.de> Message-ID: <2D392882-3D5D-4AF8-B668-C2A4A74EA93B@debinux.de> Ihr könnt einfach auf jeder internen Negativliste stehen. Um eine Anfrage dort kommt ihr nicht herum. Von meinem iPhone gesendet > Am 07.09.2016 um 16:25 schrieb Marc Risse : > > >> On 07.09.2016 16:14, Ralf Hildebrandt wrote: >> * Marc Risse : >>> Hallo zusammen, >>> >>> einige der MXer von 1&1, web.de und gmx nehmen seit letzter Nacht keine >>> Mails mehr von uns an. Es sind aber nicht alle MXer betroffen, einige nehmen >>> die Mails ganz normal entgegen. Habt Ihr ähnliche Probleme? >>> >>> Sep 7 13:45:12 SAMARA11 postfix/smtp[25022]: 33810603C5: to=, >>> relay=mx00.kundenserver.de[212.227.15.41]:25, delay=0.39, >>> delays=0.18/0/0.13/0.09, dsn=5.0.0, status=bounced (host >>> mx00.kundenserver.de[212.227.15.41] said: 550-Requested action not taken: >>> mailbox unavailable 550-Reject due to policy restrictions. 550 For >>> explanation visit >>> http://postmaster.1and1.com/en/error-messages?ip=185.41.57.35&c=poli (in >>> reply to MAIL FROM command)) >> >> 550 Reject due to policy restrictions >> Your email has been rejected due to our current security policy. This >> happens if the sender domain is known as a spam domain. To check if a >> domain is listed as a spam domain, you can use the following tool: >> Spamhaus. If the problem persists, please ask your system >> administrator to contact us. > > > > Hallo Ralf, > > ich habe diverse Blackhole-Lists gecheckt, wir waren und sind auf keiner mir bekannten Liste (Check über mxtoolbox.com, Spamhaus etc). Das hab ich auch über unser Monitoring (Check_MK) im Blick. Eigenartig ist ja auch, dass nicht alle der MXer die Mails abweisen. > > Weitere Ideen? ;-) > > VG > Marc > > > > > > > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2696 bytes Beschreibung: nicht verfügbar URL : From postfixbuch-users at 0xaffe.de Wed Sep 7 16:27:04 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 7 Sep 2016 16:27:04 +0200 Subject: =?UTF-8?Q?Re:_Zustellung_an_1&1=2c_web.de_und_gmx.de_gest=c3=b6rt?= =?UTF-8?B?Pz8=?= In-Reply-To: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> References: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> Message-ID: <66129466-cd06-b403-36a7-c83b261bc49c@0xaffe.de> Hallo Marc, Am 07.09.16 um 14:24 schrieb Marc Risse: > einige der MXer von 1&1, web.de und gmx nehmen seit letzter Nacht keine > Mails mehr von uns an. Es sind aber nicht alle MXer betroffen, einige > nehmen die Mails ganz normal entgegen. Habt Ihr ähnliche Probleme? Das kann ich bestätigen: > Sep 7 16:21:30 vm8a postfix/smtp[11634]: 6AEC0A132: to=, relay=mx-ha02.web.de[212.227.17.8]:25, delay=0.52, delays=0.06/0.01/0.2/0.26, dsn=5.0.0, status=bounced (host mx-ha02.web.de[212.227.17.8] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command)) Auch wenn ich bei mir diesen Teil nicht erhalte: "550-Reject due to policy restrictions." Merkwürdig. Viele Grüße, Mathias. From postfixbuch-users at 0xaffe.de Wed Sep 7 16:37:04 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Wed, 7 Sep 2016 16:37:04 +0200 Subject: =?UTF-8?Q?Re:_Zustellung_an_1&1=2c_web.de_und_gmx.de_gest=c3=b6rt?= =?UTF-8?B?Pz8=?= In-Reply-To: <66129466-cd06-b403-36a7-c83b261bc49c@0xaffe.de> References: <2ac221a0-7337-cb1a-c49b-b2f2cce846f7@citkomm.de> <66129466-cd06-b403-36a7-c83b261bc49c@0xaffe.de> Message-ID: Hallo, Am 07.09.16 um 16:27 schrieb Mathias Jeschke: >> Sep 7 16:21:30 vm8a postfix/smtp[11634]: 6AEC0A132: to=, relay=mx-ha02.web.de[212.227.17.8]:25, delay=0.52, delays=0.06/0.01/0.2/0.26, dsn=5.0.0, status=bounced (host mx-ha02.web.de[212.227.17.8] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command)) > > Auch wenn ich bei mir diesen Teil nicht erhalte: "550-Reject due to > policy restrictions." Ich habe eine zweite Test-Mail geschickt - die kam durch. Laut Header allerdings via "mx-ha.web.de" statt "mx-ha02.web.de". Scheint mir so, als ob 1&1 das System-Monitoring nicht unter Kontrolle hat und ein System/Cluster offenbar Ammok läuft. Just my 0,02 ? Mathias. From usenet at schani.com Wed Sep 7 16:55:32 2016 From: usenet at schani.com (Christian Leicht) Date: Wed, 7 Sep 2016 16:55:32 +0200 Subject: =?UTF-8?Q?Letsencrypt_f=c3=bcr_Postfix_verwenden=3f?= Message-ID: Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden? Besten Dank für Infos Christian From daniel at ist-immer-online.de Wed Sep 7 17:42:20 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 7 Sep 2016 17:42:20 +0200 Subject: =?utf-8?Q?AW:_Letsencrypt_f=C3=BCr_Postfix_verw?= =?utf-8?Q?enden=3F?= In-Reply-To: References: Message-ID: <002a01d2091e$6b7bccb0$42736610$@ist-immer-online.de> Hi, wieso sollte es nicht gehen? Webbrowser haben damit ja auch kein Problem. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Leicht Gesendet: Mittwoch, 7. September 2016 16:56 An: Diskussionen und Support rund um Postfix Betreff: Letsencrypt für Postfix verwenden? Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden? Besten Dank für Infos Christian From jra at byte.cx Wed Sep 7 17:51:53 2016 From: jra at byte.cx (Jens Adam) Date: Wed, 7 Sep 2016 17:51:53 +0200 Subject: =?utf-8?Q?Re=3A_Letsencrypt_f=C3=BCr_Postfix_verwenden=3F?= In-Reply-To: References: Message-ID: <412333A7-7692-4591-8336-74283E6CF238@byte.cx> > Am 07.09.2016 um 16:55 schrieb Christian Leicht : > > Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden? > > Besten Dank für Infos > > Christian Natürlich. Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody... --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From usenet at schani.com Wed Sep 7 20:32:57 2016 From: usenet at schani.com (Christian Leicht) Date: Wed, 7 Sep 2016 20:32:57 +0200 Subject: =?UTF-8?Q?Re:_Letsencrypt_f=c3=bcr_Postfix_verwenden=3f?= In-Reply-To: <412333A7-7692-4591-8336-74283E6CF238@byte.cx> References: <412333A7-7692-4591-8336-74283E6CF238@byte.cx> Message-ID: Ich habe damit das Problem das eingehende Mailverbindungen sehr langsam sind. 20 MB von Gmail zu meinem Server dauern 50 Minuten und brechen auch schon mal ab. Die Limits hab ich raufgeschraubt. Aber es liegt irgendwie an SSL/TLS und oder Cipher. Ich weis nicht genug darüber Bescheid damit ich das eingrenzen könnte. Normale Email sind kein Problem. Amamisd-new hab ich schon abgehängt, aber daran liegt es nicht. SSL wenn ich ganz raus nehme dauern 20MB eingehendes Email 20 Sekunden incl. Amavisd mit ClamAV. Woran kann das liegen? Besten Dank für Tipps Christian Am 07.09.2016 um 17:51 schrieb Jens Adam: > >> Am 07.09.2016 um 16:55 schrieb Christian Leicht : >> >> Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden? >> >> Besten Dank für Infos >> >> Christian > > Natürlich. > > Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody... > > --byte > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From daniel at ist-immer-online.de Wed Sep 7 21:15:03 2016 From: daniel at ist-immer-online.de (Daniel) Date: Wed, 7 Sep 2016 21:15:03 +0200 Subject: =?UTF-8?Q?AW:_Letsencrypt_f=C3=BCr_Postfix_verw?= =?UTF-8?Q?enden=3F?= In-Reply-To: References: <412333A7-7692-4591-8336-74283E6CF238@byte.cx> Message-ID: <001b01d2093c$23cb4ee0$6b61eca0$@ist-immer-online.de> Hi Christian, Klingt komisch, denke liegt aber eher weniger am Cert selbst. Wenn meinst dass es daran liegt, erstell die kostenlos eins http://buy.wosign.com/free/?lan=en, denke 3 Jahre Laufzeit sollten für nen Test reichen ;-) Weiß nicht wie deine Konfig aussieht dazu, daher mal alte Email von mir zitiert: -----Ursprüngliche Nachricht----- Gesendet: Sonntag, 12. Juni 2016 16:44 An: 'Diskussionen und Support rund um Postfix' Betreff: AW: verschlüsselter Austausch Server <-> Server Hi, die ciperlist kannst weglassen, wenn doch setzen möchtest kannst nehmen: tls_high_cipherlist = EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK Versehe deine dh1024 besser mit stärkerer Datei z.B. dh4096.pem Probiere sonst mal mit z.B., mit solchen Werte fahre ich soweit ganz gut, Testseiten zeigen keine Schwachstellen bei SSL und co nach aktuellem Stand. smtp_dns_support_level = dnssec smtp_host_lookup = dns smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_fingerprint_digest = SHA256 smtp_tls_mandatory_ciphers= high smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = dane smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /pfad/dh4096.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_fingerprint_digest = SHA256 smtpd_tls_mandatory_ciphers= high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_security_level = may tls_daemon_random_bytes = 64 tls_preempt_cipherlist = yes tls_random_bytes = 64 tls_ssl_options = no_ticket, no_compression Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Leicht Gesendet: Mittwoch, 7. September 2016 20:33 An: Diskussionen und Support rund um Postfix Betreff: Re: Letsencrypt für Postfix verwenden? Ich habe damit das Problem das eingehende Mailverbindungen sehr langsam sind. 20 MB von Gmail zu meinem Server dauern 50 Minuten und brechen auch schon mal ab. Die Limits hab ich raufgeschraubt. Aber es liegt irgendwie an SSL/TLS und oder Cipher. Ich weis nicht genug darüber Bescheid damit ich das eingrenzen könnte. Normale Email sind kein Problem. Amamisd-new hab ich schon abgehängt, aber daran liegt es nicht. SSL wenn ich ganz raus nehme dauern 20MB eingehendes Email 20 Sekunden incl. Amavisd mit ClamAV. Woran kann das liegen? Besten Dank für Tipps Christian Am 07.09.2016 um 17:51 schrieb Jens Adam: > >> Am 07.09.2016 um 16:55 schrieb Christian Leicht : >> >> Hallo, ist es möglich die mittels Letscrypt erstellten Certs auch für den Postfix TLS zu verwenden? >> >> Besten Dank für Infos >> >> Christian > > Natürlich. > > Ich verwende auch ein Zertifikat für alles - Postfix, Nginx, Dovecot, Prosody... > > --byte > From usenet at schani.com Wed Sep 7 21:30:37 2016 From: usenet at schani.com (Christian Leicht) Date: Wed, 7 Sep 2016 21:30:37 +0200 Subject: Postfix/Amavisd-new arbeitsweise Message-ID: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> Hallo, ich muss mal ein paar ganz dumme Fragen stellen. Vorweg: ich nutze Postfix/dovecot seit Jahren auf einem Server mit ca. 200 Emailkonten. Aber ich habe ASSP als Spamabwehr vorgeschaltet. Ich habe mich schon sehr an ASSP gewöhnt weil es mir auf einen Blick alle wichtigen Informationen zeigt und ich übers Webfrontend auch Adressen whitelisten und IP blockieren kann. Dazu gibt es noch das Email Interface welche ermöglicht eingehenden nicht erkannten Spam zu forwarden an melde-spam at ... oder melde-black... oder melde-white at ... usw. Das ist recht praktisch. Dann noch die "grafische" Anzeige des Status. Ich seh einfach auf einem Blick was los ist. Jetzt habe ich einen komplett neuen Server aufgesetzt um auch beim Apachen auf Letsencrypt und FastCGI zu setzen. Außerdem wollte ich DKIM in den MTA einbinden was ich mit Amavisd-new lösen konnte. SRS mit postsrsd. ManagedSieve, ACL im Dovecot uvm... Nun hab ich Probleme das die TLS Übertragung von Emails über ASSP und Postfix sehr langsam ist. Eine eingehende 20MB Email dauert 50min. und bricht auch schon mal ab. Es kommt manchmal zu Sendeproblemen von Auth Usern bei einliefern. Ich finde dafür keine Lösung und muss wohl auf ASSP verzichten. Es hat sich bei mir am Setup vom alten Server auf den neuen sehr viel geändert. Jede Software ist um 2-3 Generationen aktueller. Jetzt bin ich auf dem neuesten Stand mit Debian8.5 und den neusten Pakten. Wie arbeitet man denn nur mit Postfix und Amavisd-new (Spamassasin/Virenscanner)? Wie lerne ich das an. Wo werden Spammails abgelegt. Wie kann ich FalsePositiv wieder erneut zustellen. Wie sehe ich was gerade Greylistet ist? Wie sehe ich rejected Emails? Wie geht ihr da vor? Sorry für die dummen Fragen und besten Dank für Tipps und Infos. Christian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From anmeyer at mailbox.org Wed Sep 7 22:07:59 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Wed, 7 Sep 2016 22:07:59 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> Message-ID: <20160907220759.42211ce1@workstation.bitcorner.intern> Hallo! Christian Leicht schrieb am 07.09.16 um 21:30:37 Uhr: > Wie arbeitet man denn nur mit Postfix und Amavisd-new > (Spamassasin/Virenscanner)? Amavis als content-filter in die master.cf einbauen. > Wie lerne ich das an. Durch die Beschäftigung mit der amavisd.conf. Das kann aufwändig und umfangreich werden, die ersten Schritte sind aber einfach. > Wo werden Spammails abgelegt. Das definiert man in der amavisd.conf, bei mir $QUARANTINEDIR = '/var/spool/amavis/virusmails'; > Wie kann ich FalsePositiv wieder erneut zustellen. Ich mache das mit einem kleinen script und der Hilfe von mini_sendmail: #!/bin/sh a= while [ -z "$a" ]; do echo -n "Welchen SPAM: " read a done zcat $a | /usr/local/sbin/mini_sendmail -p10025:localhost -f"support at mybigserver.de" -v -t > Wie sehe ich was gerade Greylistet ist? ausgehend? mailq > Wie sehe ich rejected Emails? mit den üblichen Boardmitteln wie zum Beispiel grep grep -i reject /var/log/mail > Wie geht ihr da vor? rantasten, logs beobachten, mitdenken. > Sorry für die dummen Fragen und besten Dank für Tipps und Infos. wie war das früher? Es gibt keine dummen Fragen? HTH Andreas From usenet at schani.com Thu Sep 8 13:16:07 2016 From: usenet at schani.com (Christian Leicht) Date: Thu, 8 Sep 2016 13:16:07 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <20160907220759.42211ce1@workstation.bitcorner.intern> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> Message-ID: <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> Wie lerne ich denn aber den Spam Filter an. Ich muss ihm doch erst mal sagen was Spam und was Ham ist. Wo werden dann IP´s geblockt? Wo ist eine Whiteliste? Christian Am 07.09.2016 um 22:07 schrieb Andreas Meyer: > Hallo! > > Christian Leicht schrieb am 07.09.16 um 21:30:37 Uhr: > >> Wie arbeitet man denn nur mit Postfix und Amavisd-new >> (Spamassasin/Virenscanner)? > > Amavis als content-filter in die master.cf einbauen. > >> Wie lerne ich das an. > > Durch die Beschäftigung mit der amavisd.conf. Das kann aufwändig > und umfangreich werden, die ersten Schritte sind aber einfach. > >> Wo werden Spammails abgelegt. > > Das definiert man in der amavisd.conf, bei mir > $QUARANTINEDIR = '/var/spool/amavis/virusmails'; > >> Wie kann ich FalsePositiv wieder erneut zustellen. > > Ich mache das mit einem kleinen script und der Hilfe von > mini_sendmail: > > #!/bin/sh > a= > while [ -z "$a" ]; do > echo -n "Welchen SPAM: " > read a > done > > zcat $a | /usr/local/sbin/mini_sendmail -p10025:localhost -f"support at mybigserver.de" -v -t > >> Wie sehe ich was gerade Greylistet ist? > ausgehend? mailq > >> Wie sehe ich rejected Emails? > mit den üblichen Boardmitteln wie zum Beispiel grep > grep -i reject /var/log/mail > >> Wie geht ihr da vor? > > rantasten, logs beobachten, mitdenken. > >> Sorry für die dummen Fragen und besten Dank für Tipps und Infos. > > wie war das früher? Es gibt keine dummen Fragen? > > HTH > > Andreas > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p at sys4.de Thu Sep 8 13:32:39 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 8 Sep 2016 13:32:39 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> Message-ID: <20160908113239.GA21497@sys4.de> * Christian Leicht : > Wie lerne ich denn aber den Spam Filter an. Ich muss ihm doch erst > mal sagen was Spam und was Ham ist. > Wo werden dann IP´s geblockt? Wo ist eine Whiteliste? Mir scheint, Du hast ein falsches Verständnis von dem was amavis ist oder was es unternimmt: amavisd-new ist ein content filter framework. Es bindet classifier wie z.B. Spamassassin oder ClamAV ein. Diese Programme konfigurierst/trainierst etc. Du wie gewohnt in den Programmen selbst. Die classifier teilen das Ergebnis ihrer Analyse amavisd-new mit. Amavis führt dann, je nach Klasse und auch in Abhängigkeit von Sender und/oder Empfänger, bestimmte Aktionen aus. Die Aktionen erstrecken sich auf den Transport, auf Quarantäne und auf Benachrichtigungen. Zum Fortsetzen oder erneuten Zustellen von Nachrichten aus der Quarantäne verwendest Du das Programm amavisd-release. Es kapselt Dinge wie Ablageort der E-Mail, Ablageformat etc. von Dir und Du musst 'nur' den Quarantäne-ID, ggf. eine Auth-ID und eine oder mehrere Zieladressen angeben. Alle anderen, permanenten Merkmale eines Quarantäne-Release hast Du zuvor in der Konfiguraton von amavis festgelegt. Binäre Blacklisten kannst Du als MAP in Postfix anlegen. Das kommt früher zur Geltung und kostet weniger Ressourcen. "Du willst das" (wie Ralf sagen würde). Gewichtete Listen kannst Du in amavis beschreiben. Sie liefern dann einen Wert (negativ == soft whitelisting, positiv == soft blacklisting), der bei Spam-Prüfungen mit einberechnet wird. HTH p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Thu Sep 8 13:35:30 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 8 Sep 2016 13:35:30 +0200 Subject: postfix - spamassassin before queue Message-ID: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> Moin zusammen, mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis einsetzen will sondern das ganze relativ schlank halten will - gibt es hier überhaupt eine Möglichkeit, Postfix mit Spamassassin so einzusetzen? Ich würde den Müll schon gern vor meinen Postfächern ablehnen. gruß Sebastian From p at sys4.de Thu Sep 8 13:45:55 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 8 Sep 2016 13:45:55 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> Message-ID: <20160908114555.GB21497@sys4.de> * sebastian at debianfan.de : > Moin zusammen, > > mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis > einsetzen will sondern das ganze relativ schlank halten will - gibt > es hier überhaupt eine Möglichkeit, Postfix mit Spamassassin so > einzusetzen? > > Ich würde den Müll schon gern vor meinen Postfächern ablehnen. http://savannah.nongnu.org/projects/spamass-milt/ -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From tech at kdmails.de Thu Sep 8 13:49:58 2016 From: tech at kdmails.de (Daniel Gompf) Date: Thu, 8 Sep 2016 13:49:58 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> Message-ID: Hallo Sebastian Am 08.09.2016 um 13:35 schrieb sebastian at debianfan.de: > Moin zusammen, > > mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis einsetzen > will sondern das ganze relativ schlank halten will - gibt es hier > überhaupt eine Möglichkeit, Postfix mit Spamassassin so einzusetzen? > Ob das jetzt soviel schlanker ist weiß ich nicht, du könntest aber sa über einen Milter befragen, dann muss der spamd laufen. > Ich würde den Müll schon gern vor meinen Postfächern ablehnen. > > gruß > Sebastian From postfixbuch-users at 0xaffe.de Thu Sep 8 13:50:02 2016 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Thu, 8 Sep 2016 13:50:02 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> Message-ID: <990c7f85-76e5-ee00-530f-d61ba19ecdd1@0xaffe.de> Hallo Sebastian, Am 08.09.16 um 13:35 schrieb sebastian at debianfan.de: > Ich würde den Müll schon gern vor meinen Postfächern ablehnen. Das geht genauso gut mit amavis. Steht übrigens im Buch zu dieser Liste ;) Viele Grüße, Mathias. From Hajo.Locke at gmx.de Thu Sep 8 13:58:57 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Thu, 8 Sep 2016 13:58:57 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> Message-ID: <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> Hallo, Am 08.09.2016 um 13:35 schrieb sebastian at debianfan.de: > Moin zusammen, > > mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis > einsetzen will sondern das ganze relativ schlank halten will - gibt es > hier überhaupt eine Möglichkeit, Postfix mit Spamassassin so einzusetzen? das geht auch, ich nutze dazu das paket spamass-milter und dann in der master.cf smtpd_milters Spamassassin wird in den options mit einem socketpath gestartet. In der Configuration des milter nutzt man diesen socketpath. Der Milter stellt dann seinen eigenen socket zur Verfügung, der in der master.cf genutzt werden kann. z.B.: smtp inet n - n - 50 smtpd -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock -o milter_default_action=accept Funktioniert auch, amavisd-new wäre aber flexibler, wenn einzelne empfänger unterschiedliche spam/virus einstellungen haben wollen. Testen kannst du das ganze, indem du dir von extern den Gtube String sendest, bei dem Spamassassin immer anschlägt. > > Ich würde den Müll schon gern vor meinen Postfächern ablehnen. > > gruß > Sebastian > Hajo From jra at byte.cx Thu Sep 8 14:11:15 2016 From: jra at byte.cx (Jens Adam) Date: Thu, 8 Sep 2016 14:11:15 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <20160908113239.GA21497@sys4.de> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: > Binäre Blacklisten kannst Du als MAP in Postfix anlegen. Das kommt früher zur > Geltung und kostet weniger Ressourcen. "Du willst das" (wie Ralf sagen würde). > > Gewichtete Listen kannst Du in amavis beschreiben. Sie liefern dann einen > Wert (negativ == soft whitelisting, positiv == soft blacklisting), der bei > Spam-Prüfungen mit einberechnet wird. Könnte man mittels postscreen auch direkt in Postfix behandeln, also die Gewichtung von DNSBLs. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From p at sys4.de Thu Sep 8 14:15:57 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 8 Sep 2016 14:15:57 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: <20160908121557.GC21497@sys4.de> * Jens Adam : > > > Binäre Blacklisten kannst Du als MAP in Postfix anlegen. Das kommt früher zur > > Geltung und kostet weniger Ressourcen. "Du willst das" (wie Ralf sagen würde). > > > > Gewichtete Listen kannst Du in amavis beschreiben. Sie liefern dann einen > > Wert (negativ == soft whitelisting, positiv == soft blacklisting), der bei > > Spam-Prüfungen mit einberechnet wird. > > Könnte man mittels postscreen auch direkt in Postfix behandeln, also die Gewichtung von DNSBLs. Präzisierung: Dort aber *nur* auf IP-Adressen anwendbar. In der SMTP-Session, also nach postscreen, hast Du dann auch Zugriff auf Merkmale wie Envelope Sender oder Envelope Recipient. In der Content-Phase dann auf Merkmale wie Header. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Thu Sep 8 15:56:10 2016 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 8 Sep 2016 15:56:10 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> Message-ID: <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> Hi, wie sieht Deine milter-Datei im /etc/default aus ? wie sieht Deine main.cf Datei bzgl milter aus? gruß Sebastian Am 08.09.2016 um 13:58 schrieb Hajo Locke: > Hallo, > > Am 08.09.2016 um 13:35 schrieb sebastian at debianfan.de: >> Moin zusammen, >> >> mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis >> einsetzen will sondern das ganze relativ schlank halten will - gibt >> es hier überhaupt eine Möglichkeit, Postfix mit Spamassassin so >> einzusetzen? > das geht auch, ich nutze dazu das paket spamass-milter und dann in der > master.cf smtpd_milters > Spamassassin wird in den options mit einem socketpath gestartet. In > der Configuration des milter nutzt man diesen socketpath. Der Milter > stellt dann seinen eigenen socket zur Verfügung, der in der master.cf > genutzt werden kann. z.B.: > > smtp inet n - n - 50 smtpd > -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock > -o milter_default_action=accept > > Funktioniert auch, amavisd-new wäre aber flexibler, wenn einzelne > empfänger unterschiedliche spam/virus einstellungen haben wollen. > > Testen kannst du das ganze, indem du dir von extern den Gtube String > sendest, bei dem Spamassassin immer anschlägt. > >> >> Ich würde den Müll schon gern vor meinen Postfächern ablehnen. >> >> gruß >> Sebastian >> > > Hajo From usenet at schani.com Thu Sep 8 16:18:58 2016 From: usenet at schani.com (usenet at schani.com) Date: Thu, 8 Sep 2016 16:18:58 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <20160908113239.GA21497@sys4.de> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: Ja das leuchtet mir schon ein. ich kann aber die Emails die zurückgehalten wurden nicht ansehen. Außer ich suche sie mir per Hand raus, entpacke sie und schaue sie mir mit Cat an. Die sind noch dazu in 100 Unterordnern abgelegt. Anhand des Log Files sehe ich ja nur die Metadaten. Aber daran erkenne ich ja nicht ob es Spam ist oder nicht. Oder bekommt der Empfänger einmal am Tag eine Email mit einer Liste an zurückgehaltenen Emails die er dann wieder freigeben kann? Und wenn doch eine Email durchgeht, was macht der Empfänger dann damit? Christian Am 08.09.2016 um 13:32 schrieb Patrick Ben Koetter: > * Christian Leicht : >> Wie lerne ich denn aber den Spam Filter an. Ich muss ihm doch erst >> mal sagen was Spam und was Ham ist. >> Wo werden dann IP´s geblockt? Wo ist eine Whiteliste? > Mir scheint, Du hast ein falsches Verständnis von dem was amavis ist oder was > es unternimmt: > > amavisd-new ist ein content filter framework. Es bindet classifier wie z.B. > Spamassassin oder ClamAV ein. Diese Programme konfigurierst/trainierst etc. Du > wie gewohnt in den Programmen selbst. > > Die classifier teilen das Ergebnis ihrer Analyse amavisd-new mit. Amavis > führt dann, je nach Klasse und auch in Abhängigkeit von Sender und/oder > Empfänger, bestimmte Aktionen aus. > > Die Aktionen erstrecken sich auf den Transport, auf Quarantäne und auf > Benachrichtigungen. > > > Zum Fortsetzen oder erneuten Zustellen von Nachrichten aus der Quarantäne > verwendest Du das Programm amavisd-release. Es kapselt Dinge wie Ablageort der > E-Mail, Ablageformat etc. von Dir und Du musst 'nur' den Quarantäne-ID, ggf. > eine Auth-ID und eine oder mehrere Zieladressen angeben. > > Alle anderen, permanenten Merkmale eines Quarantäne-Release hast Du zuvor in > der Konfiguraton von amavis festgelegt. > > Binäre Blacklisten kannst Du als MAP in Postfix anlegen. Das kommt früher zur > Geltung und kostet weniger Ressourcen. "Du willst das" (wie Ralf sagen würde). > > Gewichtete Listen kannst Du in amavis beschreiben. Sie liefern dann einen > Wert (negativ == soft whitelisting, positiv == soft blacklisting), der bei > Spam-Prüfungen mit einberechnet wird. > > HTH > > p at rick > > From Hajo.Locke at gmx.de Thu Sep 8 16:25:04 2016 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Thu, 8 Sep 2016 16:25:04 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> Message-ID: <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> Hallo, Am 08.09.2016 um 15:56 schrieb sebastian at debianfan.de: > Hi, > > > wie sieht Deine milter-Datei im /etc/default aus ? Da wird der Socket angelegt, der in der master.cf verwendet wird, da ist nichts überraschendes drin. OPTIONS="-u spamass-milter -r 6 -m -I -i 127.0.0.1 -- --socket=/var/spool/spamd/spamd.sock" > > wie sieht Deine main.cf Datei bzgl milter aus? keine Anpassung der main.cf > > gruß > > Sebastian > > > Am 08.09.2016 um 13:58 schrieb Hajo Locke: >> Hallo, >> >> Am 08.09.2016 um 13:35 schrieb sebastian at debianfan.de: >>> Moin zusammen, >>> >>> mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis >>> einsetzen will sondern das ganze relativ schlank halten will - gibt >>> es hier überhaupt eine Möglichkeit, Postfix mit Spamassassin so >>> einzusetzen? >> das geht auch, ich nutze dazu das paket spamass-milter und dann in >> der master.cf smtpd_milters >> Spamassassin wird in den options mit einem socketpath gestartet. In >> der Configuration des milter nutzt man diesen socketpath. Der Milter >> stellt dann seinen eigenen socket zur Verfügung, der in der master.cf >> genutzt werden kann. z.B.: >> >> smtp inet n - n - 50 smtpd >> -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock >> -o milter_default_action=accept >> >> Funktioniert auch, amavisd-new wäre aber flexibler, wenn einzelne >> empfänger unterschiedliche spam/virus einstellungen haben wollen. >> >> Testen kannst du das ganze, indem du dir von extern den Gtube String >> sendest, bei dem Spamassassin immer anschlägt. >> >>> >>> Ich würde den Müll schon gern vor meinen Postfächern ablehnen. >>> >>> gruß >>> Sebastian >>> >> >> Hajo > > From listen at kielgas.org Thu Sep 8 17:02:19 2016 From: listen at kielgas.org (Uwe Kielgas) Date: Thu, 8 Sep 2016 17:02:19 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: Am 08.09.2016 um 16:18 schrieb usenet at schani.com: > Ja das leuchtet mir schon ein. ich kann aber die Emails die > zurückgehalten wurden nicht ansehen. Außer ich suche sie mir per Hand > raus, entpacke sie und schaue sie mir mit Cat an. Die sind noch dazu in > 100 Unterordnern abgelegt. Anhand des Log Files sehe ich ja nur die > Metadaten. Aber daran erkenne ich ja nicht ob es Spam ist oder nicht. > Oder bekommt der Empfänger einmal am Tag eine Email mit einer Liste an > zurückgehaltenen Emails die er dann wieder freigeben kann? Und wenn doch > eine Email durchgeht, was macht der Empfänger dann damit? > > Christian ich habe zu diesem Zweck 3 kleine scripte geschrieben. vmail_suchen wird ausgeführt und ruft dann je nachdem less_virenmails.sh und/oder less_spammails.sh auf. Sind eigentlich ausreichend kommentiert und auch nur zu gebrauchen, wenn man eine übersichtliche Zahl an Viren- und Spammails hat. less ruft alle Mail nacheinander auf (man muss die Datei jeweils mit "q" schließen und Du entscheidest dann, ob Du alle Virenmails löschst und im zweiten Schritt die Spammails. Wie gesagt, nichts Besonderes, aber vielleicht hilft es Dir. Gruß Uwe -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht. From listen at kielgas.org Thu Sep 8 17:35:54 2016 From: listen at kielgas.org (Uwe Kielgas) Date: Thu, 8 Sep 2016 17:35:54 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: Am 08.09.2016 um 17:02 schrieb Uwe Kielgas: > > > ich habe zu diesem Zweck 3 kleine scripte geschrieben. ... und hier der Link zu den scripten: https://kielgas.org/owncloud/index.php/s/t37slljQAleArK7 > -- > Uwe Kielgas > > Nicht das Erreichte zählt > Das Erzählte reicht. -- -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht. From usenet at schani.com Fri Sep 9 11:56:27 2016 From: usenet at schani.com (usenet at schani.com) Date: Fri, 9 Sep 2016 11:56:27 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: Danke Uwe für die Files. Ich hab mir das heut mal genauer angeschaut. Ich habe 4,3 GB an Emails unter /var/lib/amavis/virusmails liegen. Bin mir aber sicher das es keine Virusmails sind. Es sind die meisten meine eigenen Testmails und ein paar Spammails. Aber wie kann ich denn das prüfen. Einige hab ich entdeckt die kein Spam sind. Muss ich jetzt alle Ordner durchgehen und jedes einzeln öffnen und dann wieder zustellen oder löschen? Es muss doch ein kleines Programm geben mit dem ich das bequem machen kann. Einfach die Mails löschen ist ja keine Lösung. Christian Am 08.09.2016 um 17:35 schrieb Uwe Kielgas: > > > Am 08.09.2016 um 17:02 schrieb Uwe Kielgas: >> > >> >> ich habe zu diesem Zweck 3 kleine scripte geschrieben. > > ... und hier der Link zu den scripten: > > https://kielgas.org/owncloud/index.php/s/t37slljQAleArK7 > >> -- >> Uwe Kielgas >> >> Nicht das Erreichte zählt >> Das Erzählte reicht. > From listen at kielgas.org Fri Sep 9 12:06:26 2016 From: listen at kielgas.org (Uwe Kielgas) Date: Fri, 9 Sep 2016 12:06:26 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: Am 09.09.2016 um 11:56 schrieb usenet at schani.com: > Danke Uwe für die Files. > > Ich hab mir das heut mal genauer angeschaut. Ich habe 4,3 GB an Emails > unter /var/lib/amavis/virusmails liegen. Bin mir aber sicher das es > keine Virusmails sind. Es sind die meisten meine eigenen Testmails und > ein paar Spammails. Aber wie kann ich denn das prüfen. Einige hab ich > entdeckt die kein Spam sind. Muss ich jetzt alle Ordner durchgehen und > jedes einzeln öffnen und dann wieder zustellen oder löschen? > > Es muss doch ein kleines Programm geben mit dem ich das bequem machen > kann. Einfach die Mails löschen ist ja keine Lösung. Die Lösung ist, den Ordner nicht auf 4,3 GB anwachsen zu lassen. Ich lass das Script fast jeden Tag durchlaufen und wie gesagt, ich bekomme nicht so viele Spam oder Virenmails. Das es ein Programm gibt, um Deine false positives herauszufiltern kann ich mir nicht vorstellen. Die sind ja programm- oder scriptgesteuert in der Quarantäne gelandet. Ich fürchte, Du musst sie Dir schon einzeln anschauen. Danach halt jeden Tag durchlaufen lassen, dann ist das ne Sache von 5 Minuten. -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht. From usenet at schani.com Fri Sep 9 13:45:31 2016 From: usenet at schani.com (Christian Leicht) Date: Fri, 9 Sep 2016 13:45:31 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> Message-ID: <2508e8f7-85a4-e2a0-a1b9-1178fdf27e42@schani.com> Aber wenn ich Amavid-new nur zu DKIM signieren benutze, wieso legt er denn dann überhaupt was ab? Die beiden Optionen in 15-content_filter_mode habe ich ausgeixt use strict; # You can modify this file to re-enable SPAM checking through spamassassin # and to re-enable antivirus checking. # # Default antivirus checking mode # Please note, that anti-virus checking is DISABLED by # default. # If You wish to enable it, please uncomment the following lines: #@bypass_virus_checks_maps = ( # \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); # # Default SPAM checking mode # Please note, that anti-spam checking is DISABLED by # default. # If You wish to enable it, please uncomment the following lines: #@bypass_spam_checks_maps = ( # \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); 1; # ensure a defined return Am 09.09.2016 um 12:06 schrieb Uwe Kielgas: > > > Am 09.09.2016 um 11:56 schrieb usenet at schani.com: >> Danke Uwe für die Files. >> >> Ich hab mir das heut mal genauer angeschaut. Ich habe 4,3 GB an Emails >> unter /var/lib/amavis/virusmails liegen. Bin mir aber sicher das es >> keine Virusmails sind. Es sind die meisten meine eigenen Testmails und >> ein paar Spammails. Aber wie kann ich denn das prüfen. Einige hab ich >> entdeckt die kein Spam sind. Muss ich jetzt alle Ordner durchgehen und >> jedes einzeln öffnen und dann wieder zustellen oder löschen? >> >> Es muss doch ein kleines Programm geben mit dem ich das bequem machen >> kann. Einfach die Mails löschen ist ja keine Lösung. > > Die Lösung ist, den Ordner nicht auf 4,3 GB anwachsen zu lassen. > Ich lass das Script fast jeden Tag durchlaufen und wie gesagt, ich > bekomme nicht so viele Spam oder Virenmails. > > Das es ein Programm gibt, um Deine false positives herauszufiltern kann > ich mir nicht vorstellen. Die sind ja programm- oder scriptgesteuert in > der Quarantäne gelandet. Ich fürchte, Du musst sie Dir schon einzeln > anschauen. Danach halt jeden Tag durchlaufen lassen, dann ist das ne > Sache von 5 Minuten. > > > -- > Uwe Kielgas > > Nicht das Erreichte zählt > Das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From listen at kielgas.org Fri Sep 9 13:51:17 2016 From: listen at kielgas.org (Uwe Kielgas) Date: Fri, 9 Sep 2016 13:51:17 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <2508e8f7-85a4-e2a0-a1b9-1178fdf27e42@schani.com> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> <2508e8f7-85a4-e2a0-a1b9-1178fdf27e42@schani.com> Message-ID: <7c9cabd2-6026-446d-a090-9a0f80ee45aa@kielgas.org> Am 09.09.2016 um 13:45 schrieb Christian Leicht: > Aber wenn ich Amavid-new nur zu DKIM signieren benutze, wieso legt er > denn dann überhaupt was ab? Gute Frage. > #@bypass_virus_checks_maps = ( > # \%bypass_virus_checks, \@bypass_virus_checks_acl, > \$bypass_virus_checks_re); > > #@bypass_spam_checks_maps = ( > # \%bypass_spam_checks, \@bypass_spam_checks_acl, > \$bypass_spam_checks_re); > Dann wird das nicht durch Amavis gesteuert. Das Vorgehen bleibt aber gleich. -- Uwe Kielgas Nicht das Erreichte zählt Das Erzählte reicht. From usenet at schani.com Fri Sep 9 20:43:38 2016 From: usenet at schani.com (Christian Leicht) Date: Fri, 9 Sep 2016 20:43:38 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: <7c9cabd2-6026-446d-a090-9a0f80ee45aa@kielgas.org> References: <9c713383-84fa-8dbc-e7be-053b7eb8ce84@schani.com> <20160907220759.42211ce1@workstation.bitcorner.intern> <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> <2508e8f7-85a4-e2a0-a1b9-1178fdf27e42@schani.com> <7c9cabd2-6026-446d-a090-9a0f80ee45aa@kielgas.org> Message-ID: Grundsätzliche Frage: Ist Amavis Amavisd und Amavisd-new das selbe Produkt? Oder sind das unterschiedliche Programme mit selben Ansatz? Oder ist Amavisd-new nur die aktuellste Version? Christian Am 09.09.2016 um 13:51 schrieb Uwe Kielgas: > > > Am 09.09.2016 um 13:45 schrieb Christian Leicht: >> Aber wenn ich Amavid-new nur zu DKIM signieren benutze, wieso legt er >> denn dann überhaupt was ab? > > Gute Frage. > >> #@bypass_virus_checks_maps = ( >> # \%bypass_virus_checks, \@bypass_virus_checks_acl, >> \$bypass_virus_checks_re); >> >> #@bypass_spam_checks_maps = ( >> # \%bypass_spam_checks, \@bypass_spam_checks_acl, >> \$bypass_spam_checks_re); >> > > Dann wird das nicht durch Amavis gesteuert. Das Vorgehen bleibt aber > gleich. > > -- > Uwe Kielgas > > Nicht das Erreichte zählt > Das Erzählte reicht. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3326 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p at sys4.de Fri Sep 9 21:49:33 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Fri, 9 Sep 2016 21:49:33 +0200 Subject: Postfix/Amavisd-new arbeitsweise In-Reply-To: References: <9520eb2e-e135-dc89-f123-e0da98875941@schani.com> <20160908113239.GA21497@sys4.de> <2508e8f7-85a4-e2a0-a1b9-1178fdf27e42@schani.com> <7c9cabd2-6026-446d-a090-9a0f80ee45aa@kielgas.org> Message-ID: <20160909194933.GA6712@sys4.de> * Christian Leicht : > Grundsätzliche Frage: > > Ist Amavis Amavisd und Amavisd-new das selbe Produkt? Oder sind das > unterschiedliche Programme mit selben Ansatz? > Oder ist Amavisd-new nur die aktuellste Version? amavisd-new ist der einzig überlebende fork des ursprünglichen amavis. Es entstand als Skript im USENET und war "a mail virus scanner" oder kurz "a ma vi s". Bald wurde es zentral auf dem Server und nicht mehr in den clients eingesetzt. Da war es als Skript aber zu langsam. Es wurde nach Perl portiert und weil es immer noch zu langsam war, wurde es mit Net::Server dann zu einem daemonisierten Prozess. Zu dieser Zeit ungefähr waren die ursprünglichen Entwickler mit der ständigen Entwicklung über die Maßen eingebunden. Sie zogen sich zurück und es entstanden 3 forks von amavis - amavis, amavis-ng und amavisd-new. Mark Martinek forkte amavisd-new und überarbeitete es umfangreich. "Finally a release I can recommend to my friends", sagte Mark beim ersten Release von amavisd-new. Er hat es umfangreich erweitert und vor ca. 10 Jahren haben wir - Ralf, Mark und ich - die Mailingliste von Sourceforge weg auf eigene Infrastruktur gezogen. Wieder ein paar Jahre später zog amavisd-new wieder in das ursprüngliche Haus von amavisd ein. Seitdem ist das Projekt wieder unter https://amavis.org erreichbar. In den letzten Jahren ist es ruhig um amavisd-new geworden. Es ist der de facto Standard für E-Mail content filter frameworks. Wer mehr will, als "nur spam erkennen" oder "nur Viren erkennen", der wird an amavisd-new nicht vorbeikommen. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From postfixbuch at cboltz.de Sun Sep 11 23:30:29 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sun, 11 Sep 2016 23:30:29 +0200 Subject: PostfixAdmin 3.0 Message-ID: <5562459.BJqvMHj267@tux.boltz.de.vu> Hallo zusammen, kleine Werbeeinlage ;-) Ich habe gerade PostfixAdmin 3.0 releast. Genau, es gibt kein "beta"-Label mehr :-) Mehr als zwei Jahre nach der ersten 3.0 beta (+ mehrere Jahre Vorarbeit) bin ich sicher, dass wir das "beta"-Label nicht mehr brauchen. PostfixAdmin 3.0 ist jetzt die stabile Version von PostfixAdmin. Ich werde auch 2.3.x für einige Zeit weiterpflegen - aber nur, falls kritische oder Sicherheitsbugs auftauchen. Trotzdem ist es eine gute Idee, bei Gelegenheit auf 3.0 upzugraden ;-) Das Changelog gibt es auf englisch: Major changes since the 2.3.8 release: - new command-line interface "postfixadmin-cli" - major rewrite: - move lots of code into *Handler classes, which are used by web and command-line interface - replace various edit-*.php and create-*.php with a generic editform (edit.php/editform.tpl) - this also means it's easy to customize forms, add fields etc. (see $CONF['*_struct_hook']) - lots of code cleanup, remove/merge lots of duplicated code and templates - use smarty for templates - add ability to choose activation date, end date and reply interval for vacation message - various enhancements everywhere - redesign login page, list and edit pages (goodbye, green!) and make them wider - several new config options and changed defaults - NOTE: changes from the 2.3.x releases also apply to this version Major changes since the 2.93 aka 3.0 beta3 release: - add sqlite backend option - add configurable smtp helo (CONF["smtp_client"]) - new translation: ro (Romanian) - language update: tw, cs, de - fix escaping in gen_show_status() (could be used to DOS list-virtual by creating a mail address with special chars) - add CSRF protection for POST requests - list.tpl: base edit/editactive/delete links in list.tpl on $RAW_item to avoid double escaping, and fix some corner cases - editform.tpl: add {if} block for description column for easier customization - use smarty html_options instead of select_options() - remove advice about using SetEnv for database password - include_once(config.local.php) instead of include()ing it to prevent include loops if someone copies config.inc.php to config.local.php - vacation.pl: encode wide-chars utf8 in mail body, mime-decode original subject - fix db_quota_text() for postgresql (concat() vs. ||) - change default date for 'created' and 'updated' columns from 0000-00-00 (which causes problems with MySQL strict mode) to 2000-01-01 - allow punicode even in TLDs - update Smarty to 3.1.29 - add checks to login.php and cli to ensure database layout is up to date - whitelist '-1' as valid value for postfixadmin-cli - don't stripslashes() the password in pacrypt - various small bugfixes See CHANGELOG.TXT for the full changelog. If you upgrade from 2.3.x, please also read the sections about the 2.9x (aka 3.0 beta) releases. Gruß Christian Boltz -- Und wenn du denkst dich mag niemand mehr, dann kommt der Christopher und siggt dich sehr. [Christopher Splinter in dag°] From gregor at aeppelbroe.de Mon Sep 12 09:02:46 2016 From: gregor at aeppelbroe.de (Gregor Burck) Date: Mon, 12 Sep 2016 09:02:46 +0200 Subject: Abfragen wie lange ein Eintrag bei spamhaus.org schon besteht Message-ID: <20160912090246.EGroupware.yJ0SsGPgWnENLbfg68cjSS0@heim.aeppelbroe.de> Moin, gibt es die Möglichkeit, zu überprüfen, wie lange eine IP schon bei Spamhaus gelistet ist? Ich habe hier eine Locky/Ransomware Email von einer IP, die bei Spamhaus im XBL auftaucht. Jetzt würde mich interessieren wie lange der Eintrag gelistet ist. Grüße Gregor From p at sys4.de Mon Sep 12 09:31:07 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Mon, 12 Sep 2016 09:31:07 +0200 Subject: Abfragen wie lange ein Eintrag bei spamhaus.org schon besteht In-Reply-To: <20160912090246.EGroupware.yJ0SsGPgWnENLbfg68cjSS0@heim.aeppelbroe.de> References: <20160912090246.EGroupware.yJ0SsGPgWnENLbfg68cjSS0@heim.aeppelbroe.de> Message-ID: <20160912073107.GB22022@sys4.de> * Gregor Burck : > gibt es die Möglichkeit, zu überprüfen, wie lange eine IP schon bei > Spamhaus gelistet ist? > Ich habe hier eine Locky/Ransomware Email von einer IP, die bei > Spamhaus im XBL auftaucht. Jetzt würde mich interessieren wie lange > der Eintrag gelistet ist. Die RBL-Daten, die Spamhaus nach aussen hin zu Verfügung stellt, geben das nicht her. Intern haben sie sicherlich Daten darüber wann und wie häufig die IP gelistet war, um damit die grundlegende Reputation einer IP zu berechnen. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From stickybit at myhm.de Mon Sep 12 13:56:53 2016 From: stickybit at myhm.de (Andre) Date: Mon, 12 Sep 2016 13:56:53 +0200 Subject: MySQL Fehler beim Lesen eines Kommunikationspakets Message-ID: Hi, main.cf Auszug: ---------------------- proxy_read_maps = proxy:mysql:/etc/postfix/maps/mx.check_recipient_access.mysql, ---------------------- Eigentlich funktioniert alles. Nur erscheinen im MySQL-Log 2-3 Fehlermeldungen pro Minute: 160912 13:52:03 [Warning] Abbruch der Verbindung 577 zur Datenbank 'system'. Benutzer: 'postfix', Host: 'localhost' (Fehler beim Lesen eines Kommunikationspakets) Was könnte da schief laufen? LG Andre From anmeyer at mailbox.org Mon Sep 12 20:24:59 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 12 Sep 2016 20:24:59 +0200 Subject: MySQL Fehler beim Lesen eines Kommunikationspakets In-Reply-To: References: Message-ID: <20160912202459.44f8e77f@workstation.bitcorner.intern> Andre schrieb am 12.09.16 um 13:56:53 Uhr: > Hi, > > main.cf Auszug: > ---------------------- > proxy_read_maps = > proxy:mysql:/etc/postfix/maps/mx.check_recipient_access.mysql, > ---------------------- > > Eigentlich funktioniert alles. Nur erscheinen im MySQL-Log 2-3 > Fehlermeldungen pro Minute: > > 160912 13:52:03 [Warning] Abbruch der Verbindung 577 zur Datenbank > 'system'. Benutzer: 'postfix', Host: 'localhost' (Fehler beim Lesen > eines Kommunikationspakets) > > Was könnte da schief laufen? Ich hab' mal schnell für dich gegoggeld: http://lists.mysql.com/mysql-de/702 Andreas From thomas.schwenski at xanismail.de Wed Sep 14 11:28:44 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Wed, 14 Sep 2016 11:28:44 +0200 Subject: Postfix und permanente Rejects Message-ID: <57D9184C.5010301@xanismail.de> Hallo, ich stelle gerade fest, dass mein Server Mails, die von der Gegenstelle mit einem 5xx-Fehler abgelehnt werden, weiterhin in der Queue behält. Sollte da nicht sofort eine Meldung an den Absender gehen und die Mail aus der Queue verschwinden? Thomas From p at sys4.de Wed Sep 14 11:32:32 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 14 Sep 2016 11:32:32 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <57D9184C.5010301@xanismail.de> References: <57D9184C.5010301@xanismail.de> Message-ID: <20160914093231.GN6846@sys4.de> * Thomas Schwenski : > Hallo, > > ich stelle gerade fest, dass mein Server Mails, die von der > Gegenstelle mit einem 5xx-Fehler abgelehnt werden, weiterhin in der > Queue behält. > > Sollte da nicht sofort eine Meldung an den Absender gehen und die > Mail aus der Queue verschwinden? Bitte sende kein "postconf -n", so wie alles es tun. Das macht es nur unnötig einfach zu helfen. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From thomas.schwenski at xanismail.de Wed Sep 14 12:11:06 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Wed, 14 Sep 2016 12:11:06 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <20160914093231.GN6846@sys4.de> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> Message-ID: <57D9223A.2040701@xanismail.de> Hallo Patrick, > Bitte sende kein "postconf -n", so wie alles es tun. Das macht es nur > unnötig einfach zu helfen. Da hast Du natürlich mit Deiner ironischen Anmerkung vollkommen recht ;) Eigentlich dachte ich, dass es dazu eine allgemeine Änderung im Verhalten von Postfix seit irgendeinem Versionswechsel gegegeben haben könnte. Prinzipiell lese ich aber schonmal aus Deiner Antwort raus, dass es ein unnormales Verhalten ist. Daher: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no header_checks = pcre:/etc/postfix/pcre/header_checks inet_interfaces = 172.31.1.100, 127.0.0.1 inet_protocols = ipv4 local_recipient_maps = mailbox_size_limit = 0 message_size_limit = 52428800 milter_default_action = accept milter_protocol = 2 mydestination = $myhostname, localdomain, localhost, localhost.localdomain, localhost myhostname = mail.example.com mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 172.31.1.100 non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock readme_directory = no recipient_delimiter = + relayhost = smtp_bind_address = 172.31.1.100 smtp_dns_support_level = dnssec smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_ciphers = high smtp_tls_policy_maps = mysql:/etc/postfix/mysql/tls-policy smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = dane smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_client_restrictions = permit_mynetworks reject_unknown_client_hostname smtpd_data_restrictions = reject_unauth_pipelining smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname smtpd_milters = unix:/var/run/opendkim/opendkim.sock smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination smtpd_tls_cert_file = /etc/letsencrypt/live/example.com/fullchain.pem smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /etc/myssl/dh2048.pem smtpd_tls_key_file = /etc/letsencrypt/live/example.com/privkey.pem smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA tls_ssl_options = NO_COMPRESSION virtual_alias_maps = mysql:/etc/postfix/mysql/aliases virtual_mailbox_base = /srv/mail virtual_mailbox_domains = mysql:/etc/postfix/mysql/domains virtual_mailbox_maps = mysql:/etc/postfix/mysql/accounts virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp Der Hostname ist natürlich auf dem System nicht "mail.example.com". Danke Thomas From p at sys4.de Wed Sep 14 14:02:55 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 14 Sep 2016 14:02:55 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <57D9223A.2040701@xanismail.de> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> Message-ID: <20160914120255.GP6846@sys4.de> * Thomas Schwenski : > Hallo Patrick, > > > Bitte sende kein "postconf -n", so wie alles es tun. Das macht es nur > > unnötig einfach zu helfen. > > Da hast Du natürlich mit Deiner ironischen Anmerkung vollkommen recht ;) Schön, dass Du es mir nicht krumm genommen hast. > Eigentlich dachte ich, dass es dazu eine allgemeine Änderung im > Verhalten von Postfix seit irgendeinem Versionswechsel gegegeben > haben könnte. Die gab es nicht. Das Problem, das Du beschreibst, würde über Postfix hinaus auf einen grundlegenden Wandel in der Art wie SMTP durchgeführt werden soll, hinweisen. Mail, die Dein SMTP-Server (in der Rolle als Client) versenden soll, wird permanent abgewiesen. Die Standard-Reaktion *jedes* SMTP-Servers müsste daraufhin bounce ein sein. Der SMTP-Server muss die Nachricht an den Absender rückabwickeln und ihn/sie dabei informieren, dass die Nachricht nicht zustellbar war. > Prinzipiell lese ich aber schonmal aus Deiner Antwort raus, dass es > ein unnormales Verhalten ist. Genau. Das Verhalten weicht vom (RFC) Standardverhalten ab. > Daher: > alias_database = hash:/etc/aliases --- 8< --- 8< --- 8< --- 8< --- 8< --- 8< --- 8<--- 8< --- 8< --- 8< --- 8< --- 8< SCHNIPP --- 8< --- 8< --- 8< --- 8< --- 8< --- 8< --- 8<--- 8< --- 8< --- 8< --- 8< --- 8< > virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp Ich kann in Deiner main.cf nichts finden, das mich auf das beschriebene Verhalten schliessen lässt. Erwartet hatte ich sowas wie: soft_bounce (default: no) Safety net to keep mail queued that would otherwise be returned to the sender. This parameter disables locally-generated bounces, changes the handling of negative responses from remote servers, content filters or plugins, and prevents the Postfix SMTP server from rejecting mail per? manently by changing 5xx reply codes into 4xx. However, soft_bounce is no cure for address rewriting mistakes or mail routing mistakes. Note: "soft_bounce = yes" is in some cases implemented by modifying server responses. Therefore, the response that Postfix logs may differ from the response that Postfix actually sends or receives. Vielleicht in master.cf? Hast Du besondere Settings für den smtp-Service in der master.cf? Kannst ja mal "postconf -M" posten, damit wir das auch ansehen können. Ansonsten hilft natürlich auch LOG, das sich auf einer der Nachrichten bezieht, die in der Queue rumgammeln. ;) p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From thomas.schwenski at xanismail.de Wed Sep 14 14:46:37 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Wed, 14 Sep 2016 14:46:37 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <20160914120255.GP6846@sys4.de> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> <20160914120255.GP6846@sys4.de> Message-ID: <57D946AD.5020506@xanismail.de> Hallo Patrick, > Schön, dass Du es mir nicht krumm genommen hast. Wieso sollte ich? Der Einwand war von Deinem Standpunkt aus berechtigt und ihn anzubringen, war für Dich ein Ventil um mal was rauszulassen heute. (Und es hat sich ja dadurch dann nicht aufstauen können, sondern den richtigen erwischt.) > Mail, die Dein SMTP-Server (in der Rolle als Client) versenden soll, > wird permanent abgewiesen. Die Standard-Reaktion *jedes* SMTP-Servers > müsste daraufhin bounce ein sein. Der SMTP-Server muss die Nachricht > an den Absender rückabwickeln und ihn/sie dabei informieren, dass die > Nachricht nicht zustellbar war. Das war mein Gedanke und Grundlage meiner Verwunderung > Vielleicht in master.cf? Hast Du besondere Settings für den > smtp-Service in der master.cf? Kannst ja mal "postconf -M" posten, > damit wir das auch ansehen können. postconf -m (gleich wieder was gelernt): smtp inet n - n - - smtpd dnsblog unix - - n - 0 dnsblog tlsproxy unix - - n - 0 tlsproxy submission inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth -o smtpd_sasl_security_options=noanonymous -o smtpd_relay_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_sender_login_maps=mysql:/etc/postfix/mysql/sender-login-maps -o smtpd_sender_restrictions=permit_mynetworks,reject_non_fqdn_sender,reject_sender_login_mismatch,permit_sasl_authenticated,reject -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_helo_required=no -o smtpd_helo_restrictions= -o smtpd_recipient_restrictions= -o milter_macro_daemon_name=ORIGINATING pickup unix n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - n - - smtp relay unix - - n - - smtp showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache Sieht für mich erstmal unauffällig aus (darum fragte ich ja hier bei den Profis nach). > Ansonsten hilft natürlich auch LOG, das sich auf einer der Nachrichten > bezieht, die in der Queue rumgammeln. Der Hinweis war gut - schaue ich in das Logfile rein findet sich für eine entsprechende Mail sinngemäß diese Meldung: B4E29C1FDA: to=<... at gmx.de>, relay=none, delay=1097, delays=1096/1.4/0/0.03, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx110) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=xxx.xxx.xxx.xxx&c=bl) Ich habe mir mal erlaubt die Logzeile der Lesbarkeit wegen auf den relevanten Teil zu beschränken. Das System hat es leider (aber berechtigterweise) Dank eines Users* bei GMX auf den Index geschafft - dadurch fiel mir das Thema erst auf. Schaue ich mir nun das ganze an, dann scheint es so, als würde GMX einen 400-er SMTP-Code zurückgeben und das Problem im Meldungsteil mit einer 554 beschreiben. Das würde auch zu Deiner anfänglichen Einschätzung passen. ABER ... Baue ich mit telnet eine manuelle Verbindung von der Source-IP-Adresse-Adresse auf, dann kriege ich tatsächlich sofort eine 554 von GMX angezeigt. Wieso nimmt Postfix daher also eine dsn=4.0.0 im Log auf und lässt die Mail in der Queue? Thomas P.S.: * der User wird bald noch viel Freude mit mir haben. Thomas From andreas.schulze at datev.de Wed Sep 14 15:59:18 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 14 Sep 2016 15:59:18 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <57D946AD.5020506@xanismail.de> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> <20160914120255.GP6846@sys4.de> <57D946AD.5020506@xanismail.de> Message-ID: Am 14.09.2016 um 14:46 schrieb Thomas Schwenski: > Baue ich mit telnet eine manuelle Verbindung von der Source-IP-Adresse-Adresse auf, dann kriege ich tatsächlich sofort eine 554 von GMX angezeigt. das ist erstmal völlig RFC-konform: https://tools.ietf.org/html/rfc5321#page55 Ein TCP-Connect kann mit "220 OK" oder "554 geh weg" beantwortet werden. Postfix stellt in letzterem Fall die Mail zurück in die Queue. Einen Schalter, dieses Verhalten zu beeinflussen, finde ich aber gerade nicht. vieleicht kann jemand anders was beitragen... Andreas -- A. Schulze DATEV eG From andreas.schulze at datev.de Wed Sep 14 16:02:13 2016 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 14 Sep 2016 16:02:13 +0200 Subject: Postfix und permanente Rejects In-Reply-To: References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> <20160914120255.GP6846@sys4.de> <57D946AD.5020506@xanismail.de> Message-ID: <89d8b3ee-669d-5737-0178-1743b720cfe5@datev.de> Am 14.09.2016 um 15:59 schrieb Andreas Schulze: > Postfix stellt in letzterem Fall die Mail zurück in die Queue. Einen Schalter, dieses Verhalten zu beeinflussen, finde ich aber gerade nicht. http://www.postfix.org/postconf.5.html#smtp_skip_5xx_greeting -- A. Schulze DATEV eG From p at sys4.de Wed Sep 14 16:22:58 2016 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 14 Sep 2016 16:22:58 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <89d8b3ee-669d-5737-0178-1743b720cfe5@datev.de> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> <20160914120255.GP6846@sys4.de> <57D946AD.5020506@xanismail.de> <89d8b3ee-669d-5737-0178-1743b720cfe5@datev.de> Message-ID: <20160914142258.GW6846@sys4.de> * Andreas Schulze : > Am 14.09.2016 um 15:59 schrieb Andreas Schulze: > > Postfix stellt in letzterem Fall die Mail zurück in die Queue. Einen Schalter, dieses Verhalten zu beeinflussen, finde ich aber gerade nicht. > > > http://www.postfix.org/postconf.5.html#smtp_skip_5xx_greeting Danke. Genau das hatte ich auch im Sinn. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein From maegger at ee.ethz.ch Wed Sep 14 16:30:55 2016 From: maegger at ee.ethz.ch (Matthias Egger) Date: Wed, 14 Sep 2016 16:30:55 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <57D946AD.5020506@xanismail.de> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> <20160914120255.GP6846@sys4.de> <57D946AD.5020506@xanismail.de> Message-ID: <57D95F1F.9090404@ee.ethz.ch> On 09/14/2016 02:46 PM, Thomas Schwenski wrote: > B4E29C1FDA: to=<... at gmx.de>, relay=none, delay=1097, > delays=1096/1.4/0/0.03, dsn=4.0.0, status=deferred (delivery temporarily > suspended: host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: > 554-gmx.net (mxgmx110) Nemesis ESMTP Service not available 554-No SMTP > service 554-IP address is black listed. 554 For explanation visit > http://postmaster.gmx.com/en/error-messages?ip=xxx.xxx.xxx.xxx&c=bl) > > Schaue ich mir nun das ganze an, dann scheint es so, als würde GMX einen > 400-er SMTP-Code zurückgeben und das Problem im Meldungsteil mit einer > 554 beschreiben. > > Das würde auch zu Deiner anfänglichen Einschätzung passen. > > ABER ... > Baue ich mit telnet eine manuelle Verbindung von der > Source-IP-Adresse-Adresse auf, dann kriege ich tatsächlich sofort eine > 554 von GMX angezeigt. > > Wieso nimmt Postfix daher also eine dsn=4.0.0 im Log auf und lässt die > Mail in der Queue? Also ich sehe keinen 554 Code. Ich sehe nur 554-blahblah... und das ist kein Statuscode sondern ein Kommentar... Das ist in etwa das selbe wie wenn du in Postfix beim postscreen den Greet Banner mit Verzögerung aktivierst: ---main.cf--- postscreen_greet_banner = at your service in a moment. please wait. postscreen_greet_action = enforce ------------- Ergibt dann: ------------- Connected to aaa.bbb.ccc.ddd Escape character is '^]'. 220-at your service in a moment. please wait. Hier wird dann einige Sekunden verzögert und erst dann erscheint: 220 aaa.bbb.ccc.ddd ESMTP Postfix ------------- das erste 220-blah sieht aus wie ein Statuscode ist aber ein reiner Kommentar. Erst der "220 smtp.ee" ist der richtige Statuscode. Ich behaupte jetzt mal, DEIN Postfix macht alles richtig, die von GMX haben die Ausgabemeldung verkackt? -- Matthias Egger ETH Zurich Department of Information Technology maegger at ee.ethz.ch and Electrical Engineering IT Support Group (ISG.EE), ETF/D/102 Phone +41 (0)44 632 03 90 Sternwartstrasse 7, CH-8092 Zurich Fax +41 (0)44 632 11 95 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4099 bytes Beschreibung: S/MIME Cryptographic Signature URL : From thomas.schwenski at xanismail.de Wed Sep 14 23:56:20 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Wed, 14 Sep 2016 23:56:20 +0200 Subject: Postfix und permanente Rejects In-Reply-To: <57D95F1F.9090404@ee.ethz.ch> References: <57D9184C.5010301@xanismail.de> <20160914093231.GN6846@sys4.de> <57D9223A.2040701@xanismail.de> <20160914120255.GP6846@sys4.de> <57D946AD.5020506@xanismail.de> <57D95F1F.9090404@ee.ethz.ch> Message-ID: <57D9C784.9070406@xanismail.de> Hallo Matthias, > Ich behaupte jetzt mal, DEIN Postfix macht alles richtig, die von GMX > haben die Ausgabemeldung verkackt? Da ich von United Internet (allerdings mehr von WEB.de als von GMX) schon einiges gewohnt bin, war das mein erster Gedanke. Deshalb ja der Test mit telnet. (Den Teil meiner Mail hattest Du scheinbar überlesen.) Das was Du als Kommentar interpretiert hast, sagt tatsächlich erstmal nichts aus, sondern ist nur eine Antwort mit reinem informativen Charakter. Die tatsächliche Antwort ist ein Code gefolgt von einem Leerzeichen. Da sendet GMX tatsächlich einen 554 und Postfix loggt die 4.0.0 als DSN. Die Erklärung hat Andreas Schulze ja bereits geliefert. Danke an euch drei. Thomas From postmaster at uni-duisburg-essen.de Thu Sep 15 12:25:28 2016 From: postmaster at uni-duisburg-essen.de (Rainer Pollak) Date: Thu, 15 Sep 2016 12:25:28 +0200 Subject: Ausnahmen von smtpd_client_*_limit Message-ID: <806e5af9-0c10-c767-9ba4-4a6b99cca23c@uni-duisburg-essen.de> Hallo zusammen, mit den Parametern "smtpd_client_connection_count_limit", "smtpd_client_connection_rate_limit", "smtpd_client_message_rate_limit" und "smtpd_client_recipient_rate_limit" kann ich die Standardwerte für alle Klientenzugriffe festlegen. Ausnahmen können in der (einzigen?) Datei "smtpd_client_event_limit_exceptions = cidr:/etc/postfix/DATEI" hinterlegt werden. Meine Frage: welches Format kennt die Datei? Beispiele: 192.168.0.100/32 0 # funktioniert 192.168.0.0/24 0 # funktioniert ClientRate:192.168.1.20/32 60 # funktioniert nicht! ClientConn:192.168.1.20/32 10 # funktioniert nicht! Ich möchte für einzelne Klienten-Server oder Netzwerkbereiche für die vier verschiedenen Rate-Limits spezielle Einstellungen vornehmen können. Viele Grüße, Rainer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5554 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postmaster at uni-duisburg-essen.de Thu Sep 15 13:28:21 2016 From: postmaster at uni-duisburg-essen.de (Rainer Pollak) Date: Thu, 15 Sep 2016 13:28:21 +0200 Subject: Postfix/Amavisd-new Message-ID: <4158a65e-f74f-9db3-2998-803ed9d5eefb@uni-duisburg-essen.de> Hallo zusammen, hier ist noch ein anderes Problem. In der Amavisd-Konfigurationsdatei habe ich das Standardverhalten für die Benachrichtigung des Empfängers bei einem gefundenen Virus oder einer ausführbaren Datei im Anhang einer E-Mail festgelegt. # cat /etc/amavisd/amavisd.conf ... $warnvirusrecip = 1; # the usual default: 1 = TRUE $warnbannedrecip = 1; # the usual default: 1 = TRUE ... Aber: egal, welchen Wert ich der Variablen zuweise, es ändert nichts an der Verarbeitung der E-Mail; der Empfänger bekommt immer keine Benachrichtigung. Schalte ich den Amavisd-Log-Level hoch ($log_level = 5;), sehe ich verschiedene lookups auf diverse Parameter, die beiden genannten werden jedoch nicht abgefragt. Muss ich vielleicht noch einen weiteren Parameter setzen? Im Einsatz: amavisd-new-2.9.1-2.el6.noarch postfix-2.6.6-6.el6_7.1.x86_64 Viele Grüße, Rainer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5554 bytes Beschreibung: S/MIME Cryptographic Signature URL : From jra at byte.cx Thu Sep 15 13:57:47 2016 From: jra at byte.cx (Jens Adam) Date: Thu, 15 Sep 2016 13:57:47 +0200 Subject: Ausnahmen von smtpd_client_*_limit In-Reply-To: <806e5af9-0c10-c767-9ba4-4a6b99cca23c@uni-duisburg-essen.de> References: <806e5af9-0c10-c767-9ba4-4a6b99cca23c@uni-duisburg-essen.de> Message-ID: > Am 15.09.2016 um 12:25 schrieb Rainer Pollak : > > für die vier verschiedenen Rate-Limits spezielle Einstellungen vornehmen können. Geht nicht - jeder Eintrag ist direkt von allen Limits befreit. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From anmeyer at mailbox.org Thu Sep 15 21:13:00 2016 From: anmeyer at mailbox.org (Andreas Meyer) Date: Thu, 15 Sep 2016 21:13:00 +0200 Subject: Postfix/Amavisd-new In-Reply-To: <4158a65e-f74f-9db3-2998-803ed9d5eefb@uni-duisburg-essen.de> References: <4158a65e-f74f-9db3-2998-803ed9d5eefb@uni-duisburg-essen.de> Message-ID: <20160915211300.43694406@workstation.bitcorner.intern> Hallo! Rainer Pollak schrieb am 15.09.16 um 13:28:21 Uhr: > Hallo zusammen, > hier ist noch ein anderes Problem. In der Amavisd-Konfigurationsdatei > habe ich das Standardverhalten für die Benachrichtigung des Empfängers > bei einem gefundenen Virus oder einer ausführbaren Datei im Anhang einer > E-Mail festgelegt. > # cat /etc/amavisd/amavisd.conf > ... > $warnvirusrecip = 1; # the usual default: 1 = TRUE > $warnbannedrecip = 1; # the usual default: 1 = TRUE > ... > Aber: egal, welchen Wert ich der Variablen zuweise, es ändert nichts an > der Verarbeitung der E-Mail; der Empfänger bekommt immer > keine Benachrichtigung. Hast Du $virus_admin und $mailfrom_notify_admin und $mailfrom_notify_recip gesetzt? Vielleicht liegt's dadran? Grüße Andreas From postmaster at uni-duisburg-essen.de Fri Sep 16 15:33:43 2016 From: postmaster at uni-duisburg-essen.de (Rainer Pollak) Date: Fri, 16 Sep 2016 15:33:43 +0200 Subject: Postfix/Amavisd-new - SOLVED In-Reply-To: <20160915211300.43694406@workstation.bitcorner.intern> References: <4158a65e-f74f-9db3-2998-803ed9d5eefb@uni-duisburg-essen.de> <20160915211300.43694406@workstation.bitcorner.intern> Message-ID: <1b4ebf5d-2796-3200-060f-d7ac5a65f8a0@uni-duisburg-essen.de> Hallo Andreas, danke für die Hinweise. Ich hatte nur die Variable "$mailfrom_notify_recip" gesetzt, die beiden anderen waren (und sind immer noch) leer. Die Lösung liegt allerdings, wie mein Kollege recherchiert hat, im Setzen der Variablen "$warn_offsite = 1". Leider ist die Dokumentation hier noch "verbesserungswürdig", erst ein Ausprobieren verschiedener Parameterkombinationen brachte die Lösung hervor. Noch zur Information: sind für den Benutzer im LDAP Informationen hinterlegt (amavisWarnVirusRecip: TRUE|FALSE, amavisWarnBannedRecip: TRUE|FALSE), wird die Benachrichtigung auch ohne "$warn_offsite = 1" ausgeführt. Ist die LDAP-Abfrage leer, werden wie unten beschrieben die Parameter nicht ausgewertet. Viele Grüße, Rainer Am 15.09.2016 um 21:13 schrieb Andreas Meyer: > Hallo! > > Rainer Pollak schrieb am 15.09.16 um 13:28:21 Uhr: > >> Hallo zusammen, >> hier ist noch ein anderes Problem. In der Amavisd-Konfigurationsdatei >> habe ich das Standardverhalten für die Benachrichtigung des Empfängers >> bei einem gefundenen Virus oder einer ausführbaren Datei im Anhang einer >> E-Mail festgelegt. >> # cat /etc/amavisd/amavisd.conf >> ... >> $warnvirusrecip = 1; # the usual default: 1 = TRUE >> $warnbannedrecip = 1; # the usual default: 1 = TRUE >> ... >> Aber: egal, welchen Wert ich der Variablen zuweise, es ändert nichts an >> der Verarbeitung der E-Mail; der Empfänger bekommt immer >> keine Benachrichtigung. > Hast Du $virus_admin und $mailfrom_notify_admin und $mailfrom_notify_recip > gesetzt? Vielleicht liegt's dadran? > > Grüße > > Andreas > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5554 bytes Beschreibung: S/MIME Cryptographic Signature URL : From pascal.weisshaupt at metagmbh.de Mon Sep 19 10:10:35 2016 From: pascal.weisshaupt at metagmbh.de (=?iso-8859-1?Q?Pascal_Wei=DFhaupt?=) Date: Mon, 19 Sep 2016 10:10:35 +0200 Subject: =?iso-8859-1?Q?Reject_der_eigener_Maildomain_gegen_Spammer?= Message-ID: Hallo zusammen, gibt es eine Möglichkeit die eigene Domain für eingehende Mails zu sperren? Wir bekommen öfters Mails von Spammern, wo der Absender unsere eigene Domain ist. Ich habe es bereits via »check_sender_access« und "metagmbh.de REJECT" auf unserem Relay probiert, aber das hatte zur Folge, dass auch Mails von intern nach extern blockiert wurden. Daher habe ich diese Regel wieder herausgenommen. Grüße, Pascal ________________________________________________________________________________________ Pascal Weißhaupt                                                                          Teamleiter IT Team Manager IT Meta Motoren- und Energie-Technik GmbH Kaiserstraße 100, D-52134 Herzogenrath  Phone: +49 (0) 2407 9554-715 Fax:    +49 (0) 2407 9554-89 pascal.weisshaupt at metagmbh.de www.metagmbh.de Location: Aachen, Commercial Register: Handelsregister AG Aachen HRB 5174                Chairman of Supervisory Board: Li Jikai, Management Board: Zhang Jianjun Ph. D., Dr.-Ing. Joachim Reinicke ________________________________________________________________________________________ From andre.peters at debinux.de Mon Sep 19 10:23:59 2016 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Mon, 19 Sep 2016 10:23:59 +0200 Subject: Reject der eigener Maildomain gegen Spammer In-Reply-To: References: Message-ID: reject_unauthenticated_sender_login_mismatch sollte sein, was du suchst. :-) http://www.postfix.org/postconf.5.html#reject_unauthenticated_sender_login_mismatch Wenn die Domain zu euch gehört, der Sender aber nicht authentifiziert ist, wird die Mail abgelehnt. Am 19.09.2016 um 10:10 schrieb Pascal Weißhaupt: > Hallo zusammen, > > gibt es eine Möglichkeit die eigene Domain für eingehende Mails zu sperren? > > Wir bekommen öfters Mails von Spammern, wo der Absender unsere eigene Domain ist. > > Ich habe es bereits via »check_sender_access« und "metagmbh.de REJECT" auf unserem Relay probiert, aber das hatte zur Folge, dass auch Mails von intern nach extern blockiert wurden. Daher habe ich diese Regel wieder herausgenommen. > > > Grüße, > > Pascal > ________________________________________________________________________________________ > > Pascal Weißhaupt > > Teamleiter IT > Team Manager IT > > Meta Motoren- und Energie-Technik GmbH > > Kaiserstraße 100, D-52134 Herzogenrath > Phone: +49 (0) 2407 9554-715 > Fax: +49 (0) 2407 9554-89 > pascal.weisshaupt at metagmbh.de > www.metagmbh.de > Location: Aachen, Commercial Register: Handelsregister AG Aachen HRB 5174 > Chairman of Supervisory Board: Li Jikai, Management Board: Zhang Jianjun Ph. D., Dr.-Ing. Joachim Reinicke > ________________________________________________________________________________________ > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: S/MIME Cryptographic Signature URL : From kai_postfix at fuerstenberg.ws Mon Sep 19 10:47:02 2016 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Mon, 19 Sep 2016 10:47:02 +0200 Subject: Reject der eigener Maildomain gegen Spammer In-Reply-To: References: Message-ID: <2177029f-8c51-5495-6555-280edd9f9819@fuerstenberg.ws> Am 19.09.2016 um 10:23 schrieb André Peters: > reject_unauthenticated_sender_login_mismatch sollte sein, was du > suchst. :-) > > http://www.postfix.org/postconf.5.html#reject_unauthenticated_sender_login_mismatch > > Wenn die Domain zu euch gehört, der Sender aber nicht > authentifiziert ist, wird die Mail abgelehnt. > > Am 19.09.2016 um 10:10 schrieb Pascal Weißhaupt: >> Hallo zusammen, >> >> gibt es eine Möglichkeit die eigene Domain für eingehende Mails zu >> sperren? >> >> Wir bekommen öfters Mails von Spammern, wo der Absender unsere >> eigene Domain ist. >> >> Ich habe es bereits via »check_sender_access« und "metagmbh.de >> REJECT" auf unserem Relay probiert, aber das hatte zur Folge, dass >> auch Mails von intern nach extern blockiert wurden. Daher habe ich >> diese Regel wieder herausgenommen. du musst den check_sender_access _nach_ den permits reinsetzen, die den ausgehenden Mailverkehr betreffen (permit_sasl_authenticated, permit_mynetworks). Ansonsten ist rejct_unauthenticated_sender_login_mismatch die einfacher wartbare Funktion, weil du keine Liste pflegen musst (sofern diese zu pflegen wäre). -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From bluewind at xinu.at Mon Sep 19 12:27:45 2016 From: bluewind at xinu.at (Florian Pritz) Date: Mon, 19 Sep 2016 12:27:45 +0200 Subject: Reject der eigener Maildomain gegen Spammer In-Reply-To: References: Message-ID: <2261294.Y6Gs26KFIl@marin> On Monday, September 19, 2016 10:10:35 AM CEST Pascal Weißhaupt wrote: > Wir bekommen öfters Mails von Spammern, wo der Absender unsere eigene Domain > ist. DKIM und DMARC. Dann können auch alle anderen Leute solchen Spam erkennen und dein System hat keine Probleme mit externen Weiterleitungen und Mailinglisten. Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: This is a digitally signed message part. URL : From ta at lonestar-bbs.de Mon Sep 19 13:54:03 2016 From: ta at lonestar-bbs.de (Andreas Tauscher) Date: Mon, 19 Sep 2016 14:54:03 +0300 Subject: Reject der eigener Maildomain gegen Spammer In-Reply-To: References: Message-ID: <0b4613ab-2ccd-6de3-a091-e4ccf2ca935d@lonestar-bbs.de> On 19.09.2016 11:10, Pascal Weißhaupt wrote: > Ich habe es bereits via »check_sender_access« und "metagmbh.de > REJECT" auf unserem Relay probiert, aber das hatte zur Folge, dass > auch Mails von intern nach extern blockiert wurden. Daher habe ich > diese Regel wieder herausgenommen. Neben wie schon vorgeschlagen DKIM/DMARC (IMHO beste, aber aufwändigste Lösung) könntest Du auf dem Relay auch unbound als Resolver installieren und den SPF Record passend umschreiben. Etwa so: local-zone: "eure.domain." transparent local-data: "eure.domain. IN TXT v=spf1 ip4:erlaubteIP -all" Sollte funktionieren. Manchmal kann das kaputte SPF doch für etwas gut sein. Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From rainer_wiesenfarth at trimble.com Tue Sep 20 09:15:29 2016 From: rainer_wiesenfarth at trimble.com (Rainer Wiesenfarth) Date: Tue, 20 Sep 2016 09:15:29 +0200 Subject: PostfixAdmin 3.0 In-Reply-To: <5562459.BJqvMHj267@tux.boltz.de.vu> References: <5562459.BJqvMHj267@tux.boltz.de.vu> Message-ID: 2016-09-11 23:30 GMT+02:00 Christian Boltz : > Ich habe gerade PostfixAdmin 3.0 releast ?Hmm, http://postfixadmin.sourceforge.net/ hinkt noch ein wenig hinterher... ;-)? ?Grüße Rainer? -- Software Engineer | Trimble Imaging Division Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 http://www.trimble.com/imaging/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Jürgen Kesper -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From pascal.weisshaupt at metagmbh.de Tue Sep 20 11:05:33 2016 From: pascal.weisshaupt at metagmbh.de (=?utf-8?Q?Pascal_Wei=C3=9Fhaupt?=) Date: Tue, 20 Sep 2016 11:05:33 +0200 Subject: AW: Reject der eigener Maildomain gegen Spammer In-Reply-To: <2177029f-8c51-5495-6555-280edd9f9819@fuerstenberg.ws> References: Message-ID: Hallo Kai, das hat geholfen. Habe check_sender_access hash:/etc/postfix/sender_access nach permit_mynetworks in smtpd_recipient_restrictions gesetzt. Danke! Pascal ________________________________________________________________________________________ Pascal Weißhaupt                                                                          Teamleiter IT Team Manager IT Meta Motoren- und Energie-Technik GmbH Kaiserstraße 100, D-52134 Herzogenrath  Phone: +49 (0) 2407 9554-715 Fax:    +49 (0) 2407 9554-89 pascal.weisshaupt at metagmbh.de www.metagmbh.de Location: Aachen, Commercial Register: Handelsregister AG Aachen HRB 5174                Chairman of Supervisory Board: Li Jikai, Management Board: Zhang Jianjun Ph. D., Dr.-Ing. Joachim Reinicke ________________________________________________________________________________________ -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Kai Fürstenberg Gesendet: Montag, 19. September 2016 10:47 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Reject der eigener Maildomain gegen Spammer Am 19.09.2016 um 10:23 schrieb André Peters: > reject_unauthenticated_sender_login_mismatch sollte sein, was du > suchst. :-) > > http://www.postfix.org/postconf.5.html#reject_unauthenticated_sender_l > ogin_mismatch > > Wenn die Domain zu euch gehört, der Sender aber nicht authentifiziert > ist, wird die Mail abgelehnt. > > Am 19.09.2016 um 10:10 schrieb Pascal Weißhaupt: >> Hallo zusammen, >> >> gibt es eine Möglichkeit die eigene Domain für eingehende Mails zu >> sperren? >> >> Wir bekommen öfters Mails von Spammern, wo der Absender unsere eigene >> Domain ist. >> >> Ich habe es bereits via »check_sender_access« und "metagmbh.de >> REJECT" auf unserem Relay probiert, aber das hatte zur Folge, dass >> auch Mails von intern nach extern blockiert wurden. Daher habe ich >> diese Regel wieder herausgenommen. du musst den check_sender_access _nach_ den permits reinsetzen, die den ausgehenden Mailverkehr betreffen (permit_sasl_authenticated, permit_mynetworks). Ansonsten ist rejct_unauthenticated_sender_login_mismatch die einfacher wartbare Funktion, weil du keine Liste pflegen musst (sofern diese zu pflegen wäre). -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From gjn at gjn.priv.at Wed Sep 21 12:05:55 2016 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Wed, 21 Sep 2016 12:05:55 +0200 Subject: Amavis Mail Header Problem Message-ID: <30723323.NKKxUAj2NK@techz> Hallo Leute, Ich sage jetzt schon mal Danke, für jede Hilfe und Antwort. Ich habe da ein "komisches" Problem mit einem Mailsender die Frage dabei ist, ist der andere schuld :-), oder bin ich es ? bei meinem Hauptserver kommen diese Mails nicht an weil sich amavis anscheinend Aufhängt ? Bei meinem uralten Server kommen die Mails durch ? X-Virus-Scanned: amavisd-new at gjn.prv X-Amavis-Alert: BAD HEADER SECTION, Improper folded header field made up entirely of whitespace (char 20 hex): X-Spam-Report: ...ehrt von "email.snw.at")\n \n Sollte die ei[...] Beim neuen Server streikt amavis-new obwohl ich in der amavis.conf final_bad_header_destiny => D_PASS, habe irgend etwas stimmt mit meiner amavisd config nicht ! könnte man da mal die amavisd.conf posten damit Ihr Provis mal einen Blick darauf werfen könntet ? Das Teil braucht auch ewig lange bis eine Mail durchkommt ! Aber zurück zu dem Problem hier sind die Logs vom neuen Server? Sep 21 11:00:04 smtp postfix/smtpd[22382]: connect from email.snw.at[83.219.160.18] Sep 21 11:00:04 smtp postfix/smtpd[22382]: Anonymous TLS connection established from email.snw.at[83.219.160.18]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) Sep 21 11:00:05 smtp postfix/smtpd[22382]: 06323C1675C9: client=email.snw.at[83.219.160.18] Sep 21 11:00:05 smtp postfix/cleanup[22354]: 06323C1675C9: message- id=<004F47087AF8DA4A847FCD0923FFBBA7C6D482CA at Exchange.ug-wegscheider.local> Sep 21 11:00:05 smtp opendkim[2700]: 06323C1675C9: email.snw.at [83.219.160.18] not internal Sep 21 11:00:05 smtp opendkim[2700]: 06323C1675C9: not authenticated Sep 21 11:00:05 smtp opendkim[2700]: 06323C1675C9: no signature data Sep 21 11:00:05 smtp opendmarc[2697]: implicit authentication service: smtp.esslmaier.at Sep 21 11:00:05 smtp opendmarc[2697]: 06323C1675C9: alois-mayr.at none Sep 21 11:00:05 smtp amavis[8929]: loaded policy bank "AM.PDP-SOCK" Sep 21 11:00:05 smtp amavis[8929]: process_request: fileno sock=14, STDIN=0, STDOUT=1 Sep 21 11:00:05 smtp amavis[8929]: policy protocol: request=AM.PDP Sep 21 11:00:05 smtp amavis[8929]: policy protocol: queue_id=06323C1675C9 Sep 21 11:00:05 smtp amavis[8929]: policy protocol: sender= Sep 21 11:00:05 smtp amavis[8929]: policy protocol: recipient= Sep 21 11:00:05 smtp amavis[8929]: policy protocol: tempdir=/var/spool/amavisd/tmp/afXXXXRznpko Sep 21 11:00:05 smtp amavis[8929]: policy protocol: tempdir_removed_by=client Sep 21 11:00:05 smtp amavis[8929]: policy protocol: mail_file=/var/spool/amavisd/tmp/afXXXXRznpko/email.txt Sep 21 11:00:05 smtp amavis[8929]: policy protocol: delivery_care_of=client Sep 21 11:00:05 smtp amavis[8929]: policy protocol: client_address=83.219.160.18 Sep 21 11:00:05 smtp amavis[8929]: policy protocol: client_name=email.snw.at Sep 21 11:00:05 smtp amavis[8929]: policy protocol: helo_name=email.snw.at Sep 21 11:00:05 smtp amavis[8929]: policy protocol: policy_bank=smtp.esslmaier.at Sep 21 11:00:05 smtp amavis[8929]: (08929-01) Request: AM.PDP /var/spool/amavisd/tmp/afXXXXRznpko: -> Sep 21 11:00:05 smtp amavis[8929]: (08929-01) body hash: fc5e1a06b77c4e59decac978ed185074 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) trace: AM.PDP://x < 83.219.160.18 < esmtpsa://83.219.166.2 < mapi://fe80::304d:25ce:74ef:6bb2 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) Checking: sdgiXaKsuh2z AM.PDP- SOCK [83.219.160.18] -> Sep 21 11:00:05 smtp amavis[8929]: (08929-01) 2822.From: Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p004 1 Content-Type: multipart/related Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p005 1/1 Content-Type: multipart/alternative Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p001 1/1/1 Content-Type: text/plain, size: 322 B, name: Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p002 1/1/2 Content-Type: text/html, size: 5947 B, name: Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p003 1/2 Content-Type: image/jpeg, size: 4873 B, name: image001.jpg Sep 21 11:00:05 smtp amavis[8929]: (08929-01) inspect_dsn: not a bounce Sep 21 11:00:05 smtp amavis[8929]: (08929-01) check_header: 4, Improper folded header field made up entirely of whitespace (char 20 hex): X-Spam-Report: ...ehrt von "email.snw.at")\n \n Sollte die ei[...] Sep 21 11:00:05 smtp amavis[8929]: (08929-01) Checking for banned types and filenames Sep 21 11:00:05 smtp amavis[8929]: (08929-01) collect banned table[0]: gjn at esslmaier.at, tables: DEFAULT=>Amavis::Lookup::RE=ARRAY(0x25ab3e8) Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p.path gjn at esslmaier.at: "P=p004,L=1,M=multipart/related | P=p003,L=1/2,M=image/jpeg,T=image,T=jpg,N=image001.jpg" Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p.path gjn at esslmaier.at: "P=p004,L=1,M=multipart/related | P=p005,L=1/1,M=multipart/alternative | P=p001,L=1/1/1,M=text/plain,T=txt" Sep 21 11:00:05 smtp amavis[8929]: (08929-01) p.path gjn at esslmaier.at: "P=p004,L=1,M=multipart/related | P=p005,L=1/1,M=multipart/alternative | P=p002,L=1/1/2,M=text/html,T=asc" Sep 21 11:00:05 smtp amavis[8929]: (08929-01) presenting full original message to scanners as /var/spool/amavisd/tmp/afXXXXRznpko/parts/p006 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) run_av Using (ClamAV-clamd): (code) CONTSCAN /var/spool/amavisd/tmp/afXXXXRznpko/parts\n Sep 21 11:00:05 smtp amavis[8929]: (08929-01) ClamAV-clamd: Connecting to socket /var/run/clamd.amavisd/clamd.sock Sep 21 11:00:05 smtp amavis[8929]: (08929-01) new socket by IO::Socket::UNIX to /var/run/clamd.amavisd/clamd.sock, timeout set to 10 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) ClamAV-clamd: Sending CONTSCAN /var/spool/amavisd/tmp/afXXXXRznpko/parts\n to socket /var/run/clamd.amavisd/clamd.sock Sep 21 11:00:05 smtp amavis[8929]: (08929-01) rw_loop read: got eof Sep 21 11:00:05 smtp amavis[8929]: (08929-01) run_av (ClamAV-clamd): CLEAN Sep 21 11:00:05 smtp amavis[8929]: (08929-01) run_av (ClamAV-clamd) result: clean Sep 21 11:00:05 smtp amavis[8929]: (08929-01) blocking ccat (4) differs from ccat_maj=4,4, gjn at esslmaier.at, final_destiny -2 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) do_notify_and_quar: ccat=BadHdrSpace (4,4) ("4,4":BadHdrSpace, "4":BadHdr, "1":Clean, "0":CatchAll) ccat_block=(4), qar_mth= Sep 21 11:00:05 smtp amavis[8929]: (08929-01) header_edits_for_quar: rec_bl_ccat=(4,0), ccat=(4,4) gjn at esslmaier.at Sep 21 11:00:05 smtp amavis[8929]: (08929-01) header_edits_for_quar: -> , No, score=x tag=x tag2=x kill=x tests=[] autolearn=unavailable Sep 21 11:00:05 smtp amavis[8929]: (08929-01) skip local delivery(3): <> -> Sep 21 11:00:05 smtp amavis[8929]: (08929-01) delivery method is 1, recips: gjn at esslmaier.at Sep 21 11:00:05 smtp amavis[8929]: (08929-01) DSN: NOTIFICATION: Action:failed, LOCAL 554 BadHdr, spam level 0.000, -> Sep 21 11:00:05 smtp amavis[8929]: (08929-01) smtp session: setting up a new session Sep 21 11:00:05 smtp amavis[8929]: (08929-01) new socket using IO::Socket::IP to [127.0.0.1]:10025, timeout 35 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) (!)connect to 127.0.0.1:10025 failed, attempt #1: Can't connect to socket 127.0.0.1:10025 using module IO::Socket::IP: Connection refused Sep 21 11:00:05 smtp amavis[8929]: (08929-01) mail_via_smtp: session failed: All attempts (1) failed connecting to smtp:127.0.0.1:10025 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) (!)XMtECE4sOZhI(sdgiXaKsuh2z) SEND from <> -> , 451 4.5.0 From MTA() during fwd- connect (All attempts (1) failed connecting to smtp:127.0.0.1:10025): id=08929-01 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) (!!)TROUBLE in check_mail: delivery-notification FAILED: temporarily unable to send DSN to : 451 4.5.0 From MTA() during fwd-connect (All attempts (1) failed connecting to smtp:127.0.0.1:10025): id=08929-01 at /usr/sbin/amavisd line 15146. Sep 21 11:00:05 smtp amavis[8929]: (08929-01) mail checking ended: version_server=2\nlog_id=08929-01\nsetreply=451 4.5.0 Error%20in%20processing, %20id=08929-01,%20delivery-notification%20FAILED: %20temporarily%20unable%20to%20send%20DSN%20to%20: %20451%204.5.0%20From%20MTA()%20during%20fwd- connect%20(All%20attempts%20(1)%20failed%20connecting%20to%20smtp:127.0.0.1:10025): %20id=08929-01%20at%20/usr/sbin/amavisd%20line%2015146. \nreturn_value=tempfail\nexit_code=75 Sep 21 11:00:05 smtp amavis[8929]: (08929-01) size: 17618, TIMING [total 108 ms] - got data: 0.0 (0%)0, check_init: 4.1 (4%)4, digest_hdr: 1.4 (1%)5, digest_body: 0.4 (0%)6, collect_info: 3.2 (3%)8, mkdir parts: 1.4 (1%)10, mime_decode: 18 (16%)26, get-file-type3: 29 (26%)53, parts_decode: 0.2 (0%)53, check_header: 1.0 (1%)54, AV-scan-1: 24 (22%)76, decide_mail_destiny: 2.3 (2%)78, notif-quar: 0.7 (1%)79, quar-hdrs: 1.6 (2%)80, save-to-local-mailbox: 2.1 (2%)82, prepare-dsn: 13 (12%)94, fwd-end-chkpnt: 4.3 (4%)98, rundown: 2.1 (2%)100 Sep 21 11:00:05 smtp postfix/cleanup[22354]: 06323C1675C9: milter-reject: END- OF-MESSAGE from email.snw.at[83.219.160.18]: 4.5.0 Error in processing, id=08929-01, delivery-notification FAILED: temporarily unable to send DSN to : 451 4.5.0 From MTA() during fwd-connect (All attempts (1) failed connecting to smtp:127.0.0.1:10025): id=08929-01 at /usr/sbin/amavisd line 15146.; from= to= proto=ESMTP helo= Sep 21 11:00:05 smtp amavis[8929]: (08929-01) load: 100 %, total idle 0.000 s, busy 0.120 s Sep 21 11:00:05 smtp postfix/smtpd[22382]: disconnect from email.snw.at[83.219.160.18] -- mit freundlichen Grüßen / best regards, Günther J. Niederwimmer From jra at byte.cx Wed Sep 21 14:26:43 2016 From: jra at byte.cx (Jens Adam) Date: Wed, 21 Sep 2016 14:26:43 +0200 Subject: Amavis Mail Header Problem In-Reply-To: <30723323.NKKxUAj2NK@techz> References: <30723323.NKKxUAj2NK@techz> Message-ID: <1324DDA1-5F05-4C57-A9B8-5208198D9BCB@byte.cx> > Am 21.09.2016 um 12:05 schrieb Günther J. Niederwimmer : > > Sep 21 11:00:05 smtp amavis[8929]: (08929-01) (!)connect to 127.0.0.1:10025 > failed, attempt #1: Can't connect to socket 127.0.0.1:10025 using module > IO::Socket::IP: Connection refused > Sep 21 11:00:05 smtp amavis[8929]: (08929-01) mail_via_smtp: session failed: > All attempts (1) failed connecting to smtp:127.0.0.1:10025 Also das sieht doch ziemlich eindeutig nach kaputtem Setup aus. Was sagt master.cf zu Port 10025? --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From news at amaltea.de Wed Sep 21 14:39:44 2016 From: news at amaltea.de (Paul) Date: Wed, 21 Sep 2016 14:39:44 +0200 Subject: Amavis Mail Header Problem In-Reply-To: <30723323.NKKxUAj2NK@techz> References: <30723323.NKKxUAj2NK@techz> Message-ID: <71877121-254e-7be2-48fc-0bb062062015@amaltea.de> Am 21.09.2016 um 12:05 schrieb Günther J. Niederwimmer: > Sep 21 11:00:05 smtp amavis[8929]: (08929-01) (!)connect to 127.0.0.1:10025 > failed, attempt #1: Can't connect to socket 127.0.0.1:10025 using module > IO::Socket::IP: Connection refused Ein Ansatz: "connect to 127.0.0.1:10025 failed" bedeutet übersetzt: Verbindung zu 127.0.0.1:10025 fehlgeschlagen. Hast du das schon geprüft? Gruß, Paul From pkoch at bgc-jena.mpg.de Wed Sep 21 16:30:21 2016 From: pkoch at bgc-jena.mpg.de (Dr.Peer-Joachim Koch) Date: Wed, 21 Sep 2016 16:30:21 +0200 Subject: Frage zu local_recipient_maps Message-ID: <3846cd08-57b4-6243-3db9-4d7fdf97df40@bgc-jena.mpg.de> Hallo, wir haben auf unseren Mailgates vor sehr langer Zeit eingeführt, das Mails an nicht mehr vorhandene Benutzer bzw. ungültige Adressen reject werden. Wir erstellen dazu mit einem kleinen Script (cron) eine Liste der gültigen Mail-Adressen. Da wir unsere Benutzerverwaltung demnächst umstellen, stellt sich die Frage ist das heute noch ein probates Mittel (d.h. Script anpassen) oder kann man es gleich sein lassen. Mehr als 10 rejects pro Tag (Stichprobe) kommen nicht zusammen. Oder kann man das ganze eleganter machen (Mailinglisten, User, Aliases, shared folders alles an verschiedenen Stellen) ? -- Ciao, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4661 bytes Beschreibung: S/MIME Cryptographic Signature URL : From news at amaltea.de Wed Sep 21 17:10:48 2016 From: news at amaltea.de (Paul) Date: Wed, 21 Sep 2016 17:10:48 +0200 Subject: Frage zu local_recipient_maps In-Reply-To: <3846cd08-57b4-6243-3db9-4d7fdf97df40@bgc-jena.mpg.de> References: <3846cd08-57b4-6243-3db9-4d7fdf97df40@bgc-jena.mpg.de> Message-ID: <90fdbca0-b132-bac3-36e0-5f19d8afeaf8@amaltea.de> Am 21.09.2016 um 16:30 schrieb Dr.Peer-Joachim Koch: > Hallo, > > > wir haben auf unseren Mailgates vor sehr langer Zeit eingeführt, > > das Mails an nicht mehr vorhandene Benutzer bzw. ungültige Adressen > > reject werden. Wir erstellen dazu mit einem kleinen Script (cron) eine > > Liste der gültigen Mail-Adressen. > > Da wir unsere Benutzerverwaltung demnächst umstellen, stellt sich die Frage > > ist das heute noch ein probates Mittel (d.h. Script anpassen) oder kann > > man es gleich sein lassen. Mehr als 10 rejects pro Tag (Stichprobe) kommen > > nicht zusammen. Oder kann man das ganze eleganter > > machen (Mailinglisten, User, Aliases, shared folders alles an > verschiedenen Stellen) ? Ist die dynamische Adressprüfung, das was du suchst? http://www.postfix.org/ADDRESS_VERIFICATION_README.html Gruß, Paul From mm at edor.eu Wed Sep 21 23:26:57 2016 From: mm at edor.eu (Uwe) Date: Wed, 21 Sep 2016 23:26:57 +0200 Subject: PostfixAdmin 3.0 In-Reply-To: References: <5562459.BJqvMHj267@tux.boltz.de.vu> Message-ID: <20160921232657.5963b26d@gp.inhouse.us> @christian: update von version 2.91 ist ohne größere Schwierigkeiten möglich? @rainer: also ich sehe dort schon die Version 3.0 > 2016-09-11 23:30 GMT+02:00 Christian Boltz : > > > Ich habe gerade PostfixAdmin 3.0 releast > > > ?Hmm, http://postfixadmin.sourceforge.net/ hinkt noch ein wenig > hinterher... ;-)? > > ?Grüße Rainer? > From postfixbuch at cboltz.de Thu Sep 22 00:55:51 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Thu, 22 Sep 2016 00:55:51 +0200 Subject: PostfixAdmin 3.0 In-Reply-To: <20160921232657.5963b26d@gp.inhouse.us> References: <5562459.BJqvMHj267@tux.boltz.de.vu> <20160921232657.5963b26d@gp.inhouse.us> Message-ID: <14184287.qTP2Ml0hUN@tux.boltz.de.vu> Hallo Uwe, hallo Rainer, hallo zusammen, Am Mittwoch, 21. September 2016, 23:26:57 CEST schrieb Uwe: > @christian: > update von version 2.91 ist ohne größere Schwierigkeiten möglich? Ja, natürlich. Ich benutze PostfixAdmin ja selbst und will mir nicht ins Knie schießen ;-) Einfach die neue Version installieren, config.local.php reinkippen, setup.php aufrufen, fertig. Die Loginseite prüft jetzt übrigens, ob die Datenbank aktuell genug ist und meckert bei Bedarf. Nach dem dritten Hilferuf über einen Datenbankfehler, der sich als nicht aktualisierte Datenbank entpuppt hat, ist das die angenehmere Lösung (auch für mich ;-) > @rainer: > also ich sehe dort schon die Version 3.0 > > > 2016-09-11 23:30 GMT+02:00 Christian Boltz : > > > Ich habe gerade PostfixAdmin 3.0 releast > > > > ?Hmm, http://postfixadmin.sourceforge.net/ hinkt noch ein wenig > > hinterher... ;-)? Äh, ja. Steht auf meiner TODO-Liste, aber das eigentliche Release hatte eine höhere Priorität (u. a. um es noch in openSUSE Leap 42.2 zu bekommen). Zu allem Überfluss füllt sich meine TODO-Liste gerade schneller als ich sie abarbeiten kann... Falls jemand zufällig Langeweile hat, bin ich auch bei der Homepage für Patches und aktualisierte Screenshots dankbar ;-) Für Debian gibt es übrigens schon 3.0.1 [1] - in den 3.0-Paketen hatten die ganzen Smarty-Dateien gefehlt :-( Gruß Christian Boltz [1] die 3.0.1 Debian-Pakete liegen auf SF im 3.0-Verzeichnis -- > Well I must admit I feel like an idiot, A typical feeling for each software developer ;) [> Dave Plater and Adrian Schröter in opensuse-buildservice] From w.flamme at web.de Thu Sep 22 08:18:21 2016 From: w.flamme at web.de (Werner Flamme) Date: Thu, 22 Sep 2016 08:18:21 +0200 Subject: PostfixAdmin 3.0 In-Reply-To: <20160921232657.5963b26d@gp.inhouse.us> References: <5562459.BJqvMHj267@tux.boltz.de.vu> <20160921232657.5963b26d@gp.inhouse.us> Message-ID: <9e311f1e-7730-11c8-5506-e90df417955a@web.de> Uwe [21.09.2016 23:26]: > @christian: > update von version 2.91 ist ohne größere Schwierigkeiten möglich? > > @rainer: > also ich sehe dort schon die Version 3.0 Auf der Download-Seite wird die 3.0 angeboten, aber auf der Info-Seite ist die aktuelle Version noch 2.3, und die 3.0 steht unter "Plans". Daher finde ich Rainers Kommentar nicht sehr unpassend ;) > >> 2016-09-11 23:30 GMT+02:00 Christian Boltz : >> >>> Ich habe gerade PostfixAdmin 3.0 releast >> >> >> ?Hmm, http://postfixadmin.sourceforge.net/ hinkt noch ein wenig >> hinterher... ;-)? >> >> ?Grüße Rainer? >> > > saacht Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From mm at edor.eu Thu Sep 22 09:49:30 2016 From: mm at edor.eu (Uwe) Date: Thu, 22 Sep 2016 09:49:30 +0200 Subject: PostfixAdmin 3.0 In-Reply-To: <9e311f1e-7730-11c8-5506-e90df417955a@web.de> References: <5562459.BJqvMHj267@tux.boltz.de.vu> <20160921232657.5963b26d@gp.inhouse.us> <9e311f1e-7730-11c8-5506-e90df417955a@web.de> Message-ID: <20160922094930.3666cde4@gp.inhouse.us> Stimmt, ich hatte das auch erst später gesehen, auf was sich der Kommentar bezog...ich weiß, wer lesen kann ist klar im Vorteil, dazu gehöre ich dann wohl eher nicht O:-) > Uwe [21.09.2016 23:26]: > > @christian: > > update von version 2.91 ist ohne größere Schwierigkeiten möglich? > > > > @rainer: > > also ich sehe dort schon die Version 3.0 > > Auf der Download-Seite wird die 3.0 angeboten, aber auf der Info-Seite > ist die aktuelle Version noch 2.3, und die 3.0 steht unter "Plans". > Daher finde ich Rainers Kommentar nicht sehr unpassend ;) > > > > >> 2016-09-11 23:30 GMT+02:00 Christian Boltz : > >> > >>> Ich habe gerade PostfixAdmin 3.0 releast > >> > >> > >> ?Hmm, http://postfixadmin.sourceforge.net/ hinkt noch ein wenig > >> hinterher... ;-)? > >> > >> ?Grüße Rainer? > >> > > > > > > saacht Werner > From gjn at gjn.priv.at Thu Sep 22 14:07:53 2016 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 22 Sep 2016 14:07:53 +0200 Subject: Amavis Mail Header Problem In-Reply-To: <1324DDA1-5F05-4C57-A9B8-5208198D9BCB@byte.cx> References: <30723323.NKKxUAj2NK@techz> <1324DDA1-5F05-4C57-A9B8-5208198D9BCB@byte.cx> Message-ID: <4407196.ITZSXvD7Wm@techz> Hallo, Am Mittwoch, 21. September 2016, 14:26:43 schrieb Jens Adam: > > Am 21.09.2016 um 12:05 schrieb Günther J. Niederwimmer : > > > > Sep 21 11:00:05 smtp amavis[8929]: (08929-01) (!)connect to > > 127.0.0.1:10025 > > failed, attempt #1: Can't connect to socket 127.0.0.1:10025 using module > > IO::Socket::IP: Connection refused > > Sep 21 11:00:05 smtp amavis[8929]: (08929-01) mail_via_smtp: session > > failed: All attempts (1) failed connecting to smtp:127.0.0.1:10025 > > Also das sieht doch ziemlich eindeutig nach kaputtem Setup aus. > Was sagt master.cf zu Port 10025? amavisd wird schön langsam unübersichtlich ;-) das ist mir beim nochmaligen lesen auch aufgefallen :-(. ich hatte in einer policy einen doppelten Eintrag (Überbrest) forward_method => 'smtp:[127.0.0.1]10027, und #forward_method => 'smtp:[127.0.0.1]10025, jetzt ist das abgestellt, aber anscheinend hat in der selben policy ein final_bad_header_destiny => 'D_PASS', gefehlt! jedenfalls scheinen die Mails jetzt durchzugehen ? Die 1000... Einstellungen von amavisd werden für mich schön langsam zum Problem :-(. -- mit freundlichen Grüßen / best regards, Günther J. Niederwimmer From andre.peters at debinux.de Sun Sep 25 10:49:49 2016 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Sun, 25 Sep 2016 10:49:49 +0200 Subject: mailcow v0.14 ist endlich final Message-ID: Hallo Liste, im Zuge der Eigenwerbung hoffentlich erlaubt?! :-) Kann jetzt TLS ein- und ausgehend per Mailbox "erzwingen". But wait, there is more... Mailcow 0.14 auf http://mailcow.email Beste Grüße André -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5053 bytes Beschreibung: S/MIME Cryptographic Signature URL : From zahlenmaler at t-online.de Mon Sep 26 08:24:24 2016 From: zahlenmaler at t-online.de (robert) Date: Mon, 26 Sep 2016 08:24:24 +0200 Subject: =?UTF-8?Q?Postfix_Exchange_und_zur=c3=bcck?= Message-ID: <57E8BF18.5070203@t-online.de> Hallo Liste, Kurze Beschreibung vorweg: (richtiges Postfach) MX-->Postfix--< Alias zu Exchange-->Postfach Ich habe folgende Verständnisfrage. Ein Postfach in Exchange (Wie auch immer die an diese AD Struktur angeknüft sind) verschickt via "Outlook" eine Mail an einen Empfänger der ebenfalls ein Exchange Postfach hat. - Funktioniert Jetzt wurde das Postfach in Exchange gelöscht (vor über 2 Wochen) und ein richtiges Postfach angelegt. (Ich nennen es "Hans at abc.de") Diesen Mischbetrieb hat es schon lange gegeben (ja alles liegt unter einer Domain.) Wenn ich jetzt eine Mail an Hans at abc.de schicke (von meinem testsystem aus) dann erfolgt die Zustellung, so wie gewünscht. Wenn ich jetzt von einem anderem Exchange Postfach(andere Domain) an "Hans at abc.de" schicke funktioniert dies ebenfalls. Schicke ich jetzt aber von einem Exchange Postfach "Dieter at abc.de" an "hans at abc.de" dann passiert folgendes. Diagnoseinformationen für Administratoren: Generierender Server: SRVxyz.abc.de hans at abc.de Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not found' Ursprüngliche Nachrichtenköpfe: Received: from SRVxyz.abc.de (192.168.0.44) by SRVxyz.abc.de (192.168.0.44) with Microsoft SMTP Server (TLS) id 15.0.1178.4; Fri, 23 Sep 2016 11:23:23 +0200 Received: from SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63]) by SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63%13]) with mapi id 15.00.1178.000; Fri, 23 Sep 2016 11:23:23 +0200 Content-Type: application/ms-tnef; name="winmail.dat" Content-Transfer-Encoding: binary From: Dieter To: "hans" Subject: hans dampf Thread-Topic: hans dampf Thread-Index: AQHSFXwhd49HDU//NUawE4WqNl8Y+w== Date: Fri, 23 Sep 2016 11:23:23 +0200 Message-ID: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: X-MS-TNEF-Correlator: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> MIME-Version: 1.0 X-MS-Exchange-Transport-FromEntityHeader: Hosted X-Originating-IP: [10.0.107.94] Return-Path: dieter at abc.de X-EXCLAIMER-MD-CONFIG: 3bf5feae-2e85-4e15-8eeb-926f14601366 Auf Rückfrage erhalte ich die Antwort: Dies würde am Client des Absenders liegen, den dieser würde einen veralteten Adressvorschlag erzeugen. Man solle erneut eine Email schicken und den Adressvorschlag mit "x" löschen und die Adresse vollständig eingeben. In der Regel werden in Adressvorschlägen der Weg zum Zielpostfach gespeichert. Ich habe mich dann erst mal setzen müssen und habe angefangen nach solch einer Technik zu suchen die so etwas macht. Ich konnte dazu aber nichts finden, weder bei Microsoft noch in irgendwelchen Dokumentationen. Zumal mich der SMTP Fehler immer wieder verwundert hat, offensichtlich fühlt sich der SRVxyz verantwortlich für die Domain abc.de, allerdings liegt der MX Eintrag schon immer woanders. Kann mir jemand mit evtl. besserem GoogleFU einen Tip geben oder kennt sich gar mit diesem "Teufelswerk" aus und kann mir sagen, "ja das liegt am Adressvorschlag des Clienten" oder hier und da dran, ich kann das einfach nicht wirklich glauben. Mal angenommen ich hätte 1000 Postfächer und alle müßten ihr Adressbuch bearbeiten jedesmal wenn ein Postfach von Exchange weg zieht oder zu Exchange hin zieht. Kann ich mir beim besten willen noch viel weniger vorstellen. (Auch wenn es Microsoft ist, kann ich es mir dennoch nicht vorstellen.) Danke für Info's Gruß Robert From max at freecards.de Mon Sep 26 09:33:36 2016 From: max at freecards.de (Markus Heinze) Date: Mon, 26 Sep 2016 09:33:36 +0200 Subject: Postfix Exchange und =?UTF-8?Q?zur=C3=BCck?= In-Reply-To: <57E8BF18.5070203@t-online.de> References: <57E8BF18.5070203@t-online.de> Message-ID: <03e0adf1fd8ef5bdd5b42066fd50f389@freecards.de> Moin moin, Am 2016-09-26 8:24, schrieb robert: > Hallo Liste, > > > Kurze Beschreibung vorweg: > > (richtiges Postfach) > MX-->Postfix--< > Alias zu Exchange-->Postfach > > > Ich habe folgende Verständnisfrage. > > Ein Postfach in Exchange (Wie auch immer die an diese AD Struktur > angeknüft sind) verschickt via "Outlook" eine Mail an einen Empfänger > der ebenfalls ein Exchange Postfach hat. > - Funktioniert Welche Exchange Version? > > Jetzt wurde das Postfach in Exchange gelöscht (vor über 2 Wochen) und > ein richtiges Postfach angelegt. (Ich nennen es "Hans at abc.de") was ist denn ein richtiges Postfach? > > Diesen Mischbetrieb hat es schon lange gegeben (ja alles liegt unter > einer Domain.) > generell schlecht,aber nicht unmöglich > Wenn ich jetzt eine Mail an Hans at abc.de schicke (von meinem testsystem > aus) dann erfolgt die Zustellung, so wie gewünscht. > > Wenn ich jetzt von einem anderem Exchange Postfach(andere Domain) an > "Hans at abc.de" schicke funktioniert dies ebenfalls. > > Schicke ich jetzt aber von einem Exchange Postfach "Dieter at abc.de" an > "hans at abc.de" dann passiert folgendes. > > Diagnoseinformationen für Administratoren: > Generierender Server: SRVxyz.abc.de > > hans at abc.de > Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not > found' > > Ursprüngliche Nachrichtenköpfe: > > Received: from SRVxyz.abc.de (192.168.0.44) by > SRVxyz.abc.de (192.168.0.44) with Microsoft SMTP Server (TLS) > id 15.0.1178.4; Fri, 23 Sep 2016 11:23:23 +0200 > Received: from SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63]) by > SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63%13]) with mapi id > 15.00.1178.000; Fri, 23 Sep 2016 11:23:23 +0200 > Content-Type: application/ms-tnef; name="winmail.dat" > Content-Transfer-Encoding: binary > From: Dieter > To: "hans" > Subject: hans dampf > Thread-Topic: hans dampf > Thread-Index: AQHSFXwhd49HDU//NUawE4WqNl8Y+w== > Date: Fri, 23 Sep 2016 11:23:23 +0200 > Message-ID: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> > Accept-Language: de-DE, en-US > Content-Language: de-DE > X-MS-Has-Attach: > X-MS-TNEF-Correlator: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> > MIME-Version: 1.0 > X-MS-Exchange-Transport-FromEntityHeader: Hosted > X-Originating-IP: [10.0.107.94] > Return-Path: dieter at abc.de > X-EXCLAIMER-MD-CONFIG: 3bf5feae-2e85-4e15-8eeb-926f14601366 > > Logisch Exchange ist Chef für diese E-Mail Domainund existiert kein Exchange Postfach kommt ein NDR > Auf Rückfrage erhalte ich die Antwort: > > Dies würde am Client des Absenders liegen, den dieser würde einen > veralteten Adressvorschlag erzeugen. > Man solle erneut eine Email schicken und den Adressvorschlag mit "x" > löschen und die Adresse vollständig eingeben. > In der Regel werden in Adressvorschlägen der Weg zum Zielpostfach > gespeichert. > Dies ist generell richtig, hat mit dem Problem aber nichts zu tun > Ich habe mich dann erst mal setzen müssen und habe angefangen nach > solch einer Technik zu suchen die so etwas macht. > Ich konnte dazu aber nichts finden, weder bei Microsoft noch in > irgendwelchen Dokumentationen. Zumal mich der SMTP Fehler immer wieder > verwundert hat, offensichtlich fühlt sich der SRVxyz verantwortlich > für die Domain abc.de, allerdings liegt der MX Eintrag schon immer > woanders. > > Kann mir jemand mit evtl. besserem GoogleFU einen Tip geben oder kennt > sich gar mit diesem "Teufelswerk" aus und kann mir sagen, "ja das > liegt am Adressvorschlag des Clienten" oder hier und da dran, ich kann > das einfach nicht wirklich glauben. > > Mal angenommen ich hätte 1000 Postfächer und alle müßten ihr > Adressbuch bearbeiten jedesmal wenn ein Postfach von Exchange weg > zieht oder zu > Exchange hin zieht. > > Kann ich mir beim besten willen noch viel weniger vorstellen. > (Auch wenn es Microsoft ist, kann ich es mir dennoch nicht vorstellen.) So schlimm ist M$ nun auch nicht;) Mir fallen persönlich nur zwei brauchbare Lösungen dazu ein, 1. Der Postfix wird auch durch AD(RODC)+Exchange Site ausgetauscht, dann können beide Standorte die gleiche E-Mail Domain fahren und der Admin teilt dem Account nur den Richtigen Standort(Postfachspeicher) zu, in meinen Augen die sinnvollste, aber auch teuerste Lösung. 2. die Bezeichnung hängt jetzt von der Exchangeversion ab aber bis auch Version 2016 nannte es sich denk ich virtuelle SMTP Konnektoren, denenkann man beibringen, alle nicht auflösbaren Empfänger an einen Relay Host zu übertragen, mal hier nach 'Forward all mail with unresolved recipients to host' googln, das sollte weiterhelfen ach ja vllt. doch noch eine 3tte Möglichkeit, den Exchanger nach außen verfügbar machen mittels RPCoverHTTP(s) bzw. MapioverHTTP(s) und alle Konten dort belassen und keinen Mischbetrieb erst anfangen. > > > > Danke für Info's > > Gruß > Robert mfg Max From zahlenmaler at t-online.de Mon Sep 26 10:19:50 2016 From: zahlenmaler at t-online.de (robert) Date: Mon, 26 Sep 2016 10:19:50 +0200 Subject: =?UTF-8?Q?Re:_Postfix_Exchange_und_zur=c3=bcck?= In-Reply-To: <03e0adf1fd8ef5bdd5b42066fd50f389@freecards.de> References: <57E8BF18.5070203@t-online.de> <03e0adf1fd8ef5bdd5b42066fd50f389@freecards.de> Message-ID: <57E8DA26.4070606@t-online.de> Am 26.09.2016 um 09:33 schrieb Markus Heinze: > Moin moin, > > > Am 2016-09-26 8:24, schrieb robert: >> Hallo Liste, >> >> >> Kurze Beschreibung vorweg: >> >> (richtiges Postfach) >> MX-->Postfix--< >> Alias zu Exchange-->Postfach >> >> >> Ich habe folgende Verständnisfrage. >> >> Ein Postfach in Exchange (Wie auch immer die an diese AD Struktur >> angeknüft sind) verschickt via "Outlook" eine Mail an einen Empfänger >> der ebenfalls ein Exchange Postfach hat. >> - Funktioniert > > Welche Exchange Version? Keine Ahnung, wird nicht von uns betrieben kaufen wir zu. Denke mal was neues, ist aber doch nicht relevant es geht mir um die Clientfunktion. > >> >> Jetzt wurde das Postfach in Exchange gelöscht (vor über 2 Wochen) und >> ein richtiges Postfach angelegt. (Ich nennen es "Hans at abc.de") > > was ist denn ein richtiges Postfach? Kein Alias so wie dargestellt. >> >> Diesen Mischbetrieb hat es schon lange gegeben (ja alles liegt unter >> einer Domain.) >> > > generell schlecht,aber nicht unmöglich > >> Wenn ich jetzt eine Mail an Hans at abc.de schicke (von meinem testsystem >> aus) dann erfolgt die Zustellung, so wie gewünscht. >> >> Wenn ich jetzt von einem anderem Exchange Postfach(andere Domain) an >> "Hans at abc.de" schicke funktioniert dies ebenfalls. >> >> Schicke ich jetzt aber von einem Exchange Postfach "Dieter at abc.de" an >> "hans at abc.de" dann passiert folgendes. >> >> Diagnoseinformationen für Administratoren: >> Generierender Server: SRVxyz.abc.de >> >> hans at abc.de >> Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not found' >> >> Ursprüngliche Nachrichtenköpfe: >> >> Received: from SRVxyz.abc.de (192.168.0.44) by >> SRVxyz.abc.de (192.168.0.44) with Microsoft SMTP Server (TLS) >> id 15.0.1178.4; Fri, 23 Sep 2016 11:23:23 +0200 >> Received: from SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63]) by >> SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63%13]) with mapi id >> 15.00.1178.000; Fri, 23 Sep 2016 11:23:23 +0200 >> Content-Type: application/ms-tnef; name="winmail.dat" >> Content-Transfer-Encoding: binary >> From: Dieter >> To: "hans" >> Subject: hans dampf >> Thread-Topic: hans dampf >> Thread-Index: AQHSFXwhd49HDU//NUawE4WqNl8Y+w== >> Date: Fri, 23 Sep 2016 11:23:23 +0200 >> Message-ID: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> >> Accept-Language: de-DE, en-US >> Content-Language: de-DE >> X-MS-Has-Attach: >> X-MS-TNEF-Correlator: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> >> MIME-Version: 1.0 >> X-MS-Exchange-Transport-FromEntityHeader: Hosted >> X-Originating-IP: [10.0.107.94] >> Return-Path: dieter at abc.de >> X-EXCLAIMER-MD-CONFIG: 3bf5feae-2e85-4e15-8eeb-926f14601366 >> >> > > Logisch Exchange ist Chef für diese E-Mail Domainund existiert kein > Exchange Postfach kommt ein NDR Nein der Exchange ist eben nicht Chef für die Domain der MX record zeigt auch nicht auf den Exchange, wie dargestellt existiert ein Alias der einfach nur das ins Backend weiter gibt, welches dann der Exchange ist. > >> Auf Rückfrage erhalte ich die Antwort: >> >> Dies würde am Client des Absenders liegen, den dieser würde einen >> veralteten Adressvorschlag erzeugen. >> Man solle erneut eine Email schicken und den Adressvorschlag mit "x" >> löschen und die Adresse vollständig eingeben. >> In der Regel werden in Adressvorschlägen der Weg zum Zielpostfach >> gespeichert. >> > > Dies ist generell richtig, hat mit dem Problem aber nichts zu tun Was ist da generell richtig, das die Clienten das Routing von Mails diktieren? >> Ich habe mich dann erst mal setzen müssen und habe angefangen nach >> solch einer Technik zu suchen die so etwas macht. >> Ich konnte dazu aber nichts finden, weder bei Microsoft noch in >> irgendwelchen Dokumentationen. Zumal mich der SMTP Fehler immer wieder >> verwundert hat, offensichtlich fühlt sich der SRVxyz verantwortlich >> für die Domain abc.de, allerdings liegt der MX Eintrag schon immer >> woanders. >> >> Kann mir jemand mit evtl. besserem GoogleFU einen Tip geben oder kennt >> sich gar mit diesem "Teufelswerk" aus und kann mir sagen, "ja das >> liegt am Adressvorschlag des Clienten" oder hier und da dran, ich kann >> das einfach nicht wirklich glauben. >> >> Mal angenommen ich hätte 1000 Postfächer und alle müßten ihr >> Adressbuch bearbeiten jedesmal wenn ein Postfach von Exchange weg >> zieht oder zu >> Exchange hin zieht. >> >> Kann ich mir beim besten willen noch viel weniger vorstellen. >> (Auch wenn es Microsoft ist, kann ich es mir dennoch nicht vorstellen.) > > So schlimm ist M$ nun auch nicht;) Also wenn M$ hier einer Clientsoftware gestattet das Routing an einen MTA zu diktieren für eine Mail, dann ist dies in meine Augen noch mehr als "schlimm", sondern ganz großer Käse. > Mir fallen persönlich nur zwei brauchbare Lösungen dazu ein, > > 1. Der Postfix wird auch durch AD(RODC)+Exchange Site ausgetauscht, dann > können beide Standorte die gleiche E-Mail Domain fahren und der Admin > teilt dem Account nur den Richtigen Standort(Postfachspeicher) zu, in > meinen Augen die sinnvollste, aber auch teuerste Lösung. Nicht umsetzbar > > 2. die Bezeichnung hängt jetzt von der Exchangeversion ab aber bis auch > Version 2016 nannte es sich denk ich virtuelle SMTP Konnektoren, > denenkann man beibringen, alle nicht auflösbaren Empfänger an einen > Relay Host zu übertragen, mal hier nach 'Forward all mail with > unresolved recipients to host' googln, das sollte weiterhelfen Das sollte ja perse schon aktiv sein sonst dürfte das ja nie funktioniert haben bis jetzt. > ach ja vllt. doch noch eine 3tte Möglichkeit, > > den Exchanger nach außen verfügbar machen mittels RPCoverHTTP(s) bzw. > MapioverHTTP(s) und alle Konten dort belassen und keinen Mischbetrieb > erst anfangen. > Nicht umsetzbar >> >> >> >> Danke für Info's >> >> Gruß >> Robert > > mfg > Max Ich brauch also erst mal keine Lösung sondern nur einen hinweis wie man es dem Exchange abgewöhnt das er solche Routinginfos annimmt von Clienten, wen es so ist wie beschrieben. Die Technik die dahinter steckt die dies ermöglich so das Dies im Client generell abgestellt wird oder eben Serverseitig. Alternativ die technische Dokumentation die diese Technik beschreibt, die ich nicht finden kann. Der Kundensupport von M$ kennt dies nicht mal und erweiterten Technischen Support gibt es nur gegen Geld. Danke Robert From harald.witt at dpfa.de Mon Sep 26 10:43:34 2016 From: harald.witt at dpfa.de (Harald Witt) Date: Mon, 26 Sep 2016 10:43:34 +0200 Subject: =?utf-8?Q?AW:_Postfix_Exchange_und_zur=C3=BCck?= In-Reply-To: <57E8BF18.5070203@t-online.de> References: <57E8BF18.5070203@t-online.de> Message-ID: <000401d217d2$11657b00$34307100$@dpfa.de> Also ich habe das so gelöst: Generell haben alle User eine Adresse der Form user at dom.de. Einige davon liegen auf einem Exchange-Server, z.B. bar.foo at dom.de. Jetzt kommt eine Mail für bar.foo at dom.de rein. Graylisting, Virenprüfung, ... Dann wird per virtual_alias_maps die Adresse in bar.foo at exchange.dom.de umgeschrieben. In meiner main.cf finden sich die Zeilen: relay_domains = exchange.dom.de transport_maps = hash:/etc/postfix/transport_exchange Und in transport_exchange steht dann: exchange.dom.de relay:[a.b.c.d] Die Benutzer auf dem Exchange-Server haben alle 2 Adressen, nämlich bar.foo at dom.de und bar.foo at exchange.dom.de . Letztere hat 2 Hintergründe: 1. Postfix kann das Relay für die komplette Subdomain vornehmen. 2. Exchange muss ja die Mails für die Subdomain auch annehmen können ABER: Die Adresse bar.foo at dom.de ist im AD die HAUPTADRESSE, damit sie zum Senden verwendet wird. Der Exchange-Server selber ist aber nur für @exchange.dom.de zuständig. Trotzdem können sich User, die beide auf dem Exchange-Server liegen, untereinander Mails schicken, ohne dass die Mail den Exchange-Server verlässt. Für alle anderen Adressen user at dom.de und auch den Rest der Welt meldet sich Exchange bei Postfix mit entsprechenden Credits an und übergibt die Mail. Das war's schon. Viele Grüße Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von robert Gesendet: Montag, 26. September 2016 08:24 An: postfixbuch-users at listen.jpberlin.de Betreff: Postfix Exchange und zurück Hallo Liste, Kurze Beschreibung vorweg: (richtiges Postfach) MX-->Postfix--< Alias zu Exchange-->Postfach Ich habe folgende Verständnisfrage. Ein Postfach in Exchange (Wie auch immer die an diese AD Struktur angeknüft sind) verschickt via "Outlook" eine Mail an einen Empfänger der ebenfalls ein Exchange Postfach hat. - Funktioniert Jetzt wurde das Postfach in Exchange gelöscht (vor über 2 Wochen) und ein richtiges Postfach angelegt. (Ich nennen es "Hans at abc.de") Diesen Mischbetrieb hat es schon lange gegeben (ja alles liegt unter einer Domain.) Wenn ich jetzt eine Mail an Hans at abc.de schicke (von meinem testsystem aus) dann erfolgt die Zustellung, so wie gewünscht. Wenn ich jetzt von einem anderem Exchange Postfach(andere Domain) an "Hans at abc.de" schicke funktioniert dies ebenfalls. Schicke ich jetzt aber von einem Exchange Postfach "Dieter at abc.de" an "hans at abc.de" dann passiert folgendes. Diagnoseinformationen für Administratoren: Generierender Server: SRVxyz.abc.de hans at abc.de Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not found' Ursprüngliche Nachrichtenköpfe: Received: from SRVxyz.abc.de (192.168.0.44) by SRVxyz.abc.de (192.168.0.44) with Microsoft SMTP Server (TLS) id 15.0.1178.4; Fri, 23 Sep 2016 11:23:23 +0200 Received: from SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63]) by SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63%13]) with mapi id 15.00.1178.000; Fri, 23 Sep 2016 11:23:23 +0200 Content-Type: application/ms-tnef; name="winmail.dat" Content-Transfer-Encoding: binary From: Dieter To: "hans" Subject: hans dampf Thread-Topic: hans dampf Thread-Index: AQHSFXwhd49HDU//NUawE4WqNl8Y+w== Date: Fri, 23 Sep 2016 11:23:23 +0200 Message-ID: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> Accept-Language: de-DE, en-US Content-Language: de-DE X-MS-Has-Attach: X-MS-TNEF-Correlator: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> MIME-Version: 1.0 X-MS-Exchange-Transport-FromEntityHeader: Hosted X-Originating-IP: [10.0.107.94] Return-Path: dieter at abc.de X-EXCLAIMER-MD-CONFIG: 3bf5feae-2e85-4e15-8eeb-926f14601366 Auf Rückfrage erhalte ich die Antwort: Dies würde am Client des Absenders liegen, den dieser würde einen veralteten Adressvorschlag erzeugen. Man solle erneut eine Email schicken und den Adressvorschlag mit "x" löschen und die Adresse vollständig eingeben. In der Regel werden in Adressvorschlägen der Weg zum Zielpostfach gespeichert. Ich habe mich dann erst mal setzen müssen und habe angefangen nach solch einer Technik zu suchen die so etwas macht. Ich konnte dazu aber nichts finden, weder bei Microsoft noch in irgendwelchen Dokumentationen. Zumal mich der SMTP Fehler immer wieder verwundert hat, offensichtlich fühlt sich der SRVxyz verantwortlich für die Domain abc.de, allerdings liegt der MX Eintrag schon immer woanders. Kann mir jemand mit evtl. besserem GoogleFU einen Tip geben oder kennt sich gar mit diesem "Teufelswerk" aus und kann mir sagen, "ja das liegt am Adressvorschlag des Clienten" oder hier und da dran, ich kann das einfach nicht wirklich glauben. Mal angenommen ich hätte 1000 Postfächer und alle müßten ihr Adressbuch bearbeiten jedesmal wenn ein Postfach von Exchange weg zieht oder zu Exchange hin zieht. Kann ich mir beim besten willen noch viel weniger vorstellen. (Auch wenn es Microsoft ist, kann ich es mir dennoch nicht vorstellen.) Danke für Info's Gruß Robert From tech at kdmails.de Mon Sep 26 10:47:31 2016 From: tech at kdmails.de (Daniel Gompf) Date: Mon, 26 Sep 2016 10:47:31 +0200 Subject: =?UTF-8?Q?Re:_Postfix_Exchange_und_zur=c3=bcck?= In-Reply-To: <57E8BF18.5070203@t-online.de> References: <57E8BF18.5070203@t-online.de> Message-ID: <312c6b1d-22b2-6c8f-e33d-66fa9412b7f8@kdmails.de> Hallo Robert, Am 26.09.2016 um 08:24 schrieb robert: > Hallo Liste, > > > Kurze Beschreibung vorweg: > > (richtiges Postfach) > MX-->Postfix--< > Alias zu Exchange-->Postfach > > > Ich habe folgende Verständnisfrage. > > Ein Postfach in Exchange (Wie auch immer die an diese AD Struktur > angeknüft sind) verschickt via "Outlook" eine Mail an einen Empfänger > der ebenfalls ein Exchange Postfach hat. > - Funktioniert > > Jetzt wurde das Postfach in Exchange gelöscht (vor über 2 Wochen) und > ein richtiges Postfach angelegt. (Ich nennen es "Hans at abc.de") > > Diesen Mischbetrieb hat es schon lange gegeben (ja alles liegt unter > einer Domain.) > > Wenn ich jetzt eine Mail an Hans at abc.de schicke (von meinem testsystem > aus) dann erfolgt die Zustellung, so wie gewünscht. > > Wenn ich jetzt von einem anderem Exchange Postfach(andere Domain) an > "Hans at abc.de" schicke funktioniert dies ebenfalls. > > Schicke ich jetzt aber von einem Exchange Postfach "Dieter at abc.de" an > "hans at abc.de" dann passiert folgendes. Funktioniert das denn für andere Adressen die noch nie im Exchange waren, dass du eine E-Mail von einem internen Exchange-Nutzer an eine Adresse in der gleichen E-Mail-Domäne sendest und die dann auch zugestellt wird. Wenn die E-Mails immer erst von "draußen" kommen und am Postfix vorbei müssen sortiert er die entsprechende deiner Regeln in die Postfächer oder gibt sie weiter an den Exchange, damit fühlen sich beide wohl. Für die andere Richtung muss der Exchange wissen, dass er nicht alle Postfächer für diese Domäne verwaltet. Suche mal nach "non authoritative". > Auf Rückfrage erhalte ich die Antwort: > > Dies würde am Client des Absenders liegen, den dieser würde einen > veralteten Adressvorschlag erzeugen. > Man solle erneut eine Email schicken und den Adressvorschlag mit "x" > löschen und die Adresse vollständig eingeben. > In der Regel werden in Adressvorschlägen der Weg zum Zielpostfach > gespeichert. > > Ich habe mich dann erst mal setzen müssen und habe angefangen nach solch > einer Technik zu suchen die so etwas macht. > Ich konnte dazu aber nichts finden, weder bei Microsoft noch in > irgendwelchen Dokumentationen. Zumal mich der SMTP Fehler immer wieder > verwundert hat, offensichtlich fühlt sich der SRVxyz verantwortlich für > die Domain abc.de, allerdings liegt der MX Eintrag schon immer woanders. Wie schon angedeutet, wenn Exchange denkt, dass er für die Domäne ganz verantwortlich ist, macht er auch keinen MX-Lookup > > Kann mir jemand mit evtl. besserem GoogleFU einen Tip geben oder kennt > sich gar mit diesem "Teufelswerk" aus und kann mir sagen, "ja das liegt > am Adressvorschlag des Clienten" oder hier und da dran, ich kann das > einfach nicht wirklich glauben. > > Mal angenommen ich hätte 1000 Postfächer und alle müßten ihr Adressbuch > bearbeiten jedesmal wenn ein Postfach von Exchange weg zieht oder zu > Exchange hin zieht. Wenn es ganz eng wird kann man im AD auch noch Kontakte anlegen, die tauchen dann auch im Adressbuch auf. Hilf dir allerdings nicht wenn es so sein sollte das der Exchange authoritative ist. > > Kann ich mir beim besten willen noch viel weniger vorstellen. > (Auch wenn es Microsoft ist, kann ich es mir dennoch nicht vorstellen.) > > > > Danke für Info's > > Gruß > Robert From max at freecards.de Mon Sep 26 11:05:24 2016 From: max at freecards.de (Markus Heinze) Date: Mon, 26 Sep 2016 11:05:24 +0200 Subject: Postfix Exchange und =?UTF-8?Q?zur=C3=BCck?= In-Reply-To: <57E8DA26.4070606@t-online.de> References: <57E8BF18.5070203@t-online.de> <03e0adf1fd8ef5bdd5b42066fd50f389@freecards.de> <57E8DA26.4070606@t-online.de> Message-ID: Hi, Am 2016-09-26 10:19, schrieb robert: > Am 26.09.2016 um 09:33 schrieb Markus Heinze: >> Moin moin, >> >> >> Am 2016-09-26 8:24, schrieb robert: >>> Hallo Liste, >>> >>> >>> Kurze Beschreibung vorweg: >>> >>> (richtiges Postfach) >>> MX-->Postfix--< >>> Alias zu Exchange-->Postfach >>> >>> >>> Ich habe folgende Verständnisfrage. >>> >>> Ein Postfach in Exchange (Wie auch immer die an diese AD Struktur >>> angeknüft sind) verschickt via "Outlook" eine Mail an einen Empfänger >>> der ebenfalls ein Exchange Postfach hat. >>> - Funktioniert >> >> Welche Exchange Version? > > Keine Ahnung, wird nicht von uns betrieben kaufen wir zu. Denke mal > was neues, ist aber doch nicht relevant es geht mir um die > Clientfunktion. > >> >>> >>> Jetzt wurde das Postfach in Exchange gelöscht (vor über 2 Wochen) und >>> ein richtiges Postfach angelegt. (Ich nennen es "Hans at abc.de") >> >> was ist denn ein richtiges Postfach? > > Kein Alias so wie dargestellt. > >>> >>> Diesen Mischbetrieb hat es schon lange gegeben (ja alles liegt unter >>> einer Domain.) >>> >> >> generell schlecht,aber nicht unmöglich >> >>> Wenn ich jetzt eine Mail an Hans at abc.de schicke (von meinem >>> testsystem >>> aus) dann erfolgt die Zustellung, so wie gewünscht. >>> >>> Wenn ich jetzt von einem anderem Exchange Postfach(andere Domain) an >>> "Hans at abc.de" schicke funktioniert dies ebenfalls. >>> >>> Schicke ich jetzt aber von einem Exchange Postfach "Dieter at abc.de" an >>> "hans at abc.de" dann passiert folgendes. >>> >>> Diagnoseinformationen für Administratoren: >>> Generierender Server: SRVxyz.abc.de >>> >>> hans at abc.de >>> Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not >>> found' >>> >>> Ursprüngliche Nachrichtenköpfe: >>> >>> Received: from SRVxyz.abc.de (192.168.0.44) by >>> SRVxyz.abc.de (192.168.0.44) with Microsoft SMTP Server (TLS) >>> id 15.0.1178.4; Fri, 23 Sep 2016 11:23:23 +0200 >>> Received: from SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63]) by >>> SRVxyz.abc.de ([fe80::a1d8:b2c3:7b05:da63%13]) with mapi id >>> 15.00.1178.000; Fri, 23 Sep 2016 11:23:23 +0200 >>> Content-Type: application/ms-tnef; name="winmail.dat" >>> Content-Transfer-Encoding: binary >>> From: Dieter >>> To: "hans" >>> Subject: hans dampf >>> Thread-Topic: hans dampf >>> Thread-Index: AQHSFXwhd49HDU//NUawE4WqNl8Y+w== >>> Date: Fri, 23 Sep 2016 11:23:23 +0200 >>> Message-ID: <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> >>> Accept-Language: de-DE, en-US >>> Content-Language: de-DE >>> X-MS-Has-Attach: >>> X-MS-TNEF-Correlator: >>> <875ec231637b4565a5e77e4aca7ef6b0 at SRVxyz.abc.de> >>> MIME-Version: 1.0 >>> X-MS-Exchange-Transport-FromEntityHeader: Hosted >>> X-Originating-IP: [10.0.107.94] >>> Return-Path: dieter at abc.de >>> X-EXCLAIMER-MD-CONFIG: 3bf5feae-2e85-4e15-8eeb-926f14601366 >>> >>> >> >> Logisch Exchange ist Chef für diese E-Mail Domainund existiert kein >> Exchange Postfach kommt ein NDR > > Nein der Exchange ist eben nicht Chef für die Domain der MX record > zeigt auch nicht auf den Exchange, wie dargestellt existiert ein Alias > der einfach nur das ins Backend weiter gibt, welches dann der Exchange > ist. > Doch ist er, ab dem Moment, wo du Ihm sagst welche E-Mail Domain er akzeptieren soll, da interessiert kein MX Record, der ist nur für externe MTA's interessant. Das macht im übrigen Postfix genauso, allerdings ist es dort IMHO einfacher für einzelne Mailadressen spezielle Transportregeln zu erstellen >> >>> Auf Rückfrage erhalte ich die Antwort: >>> >>> Dies würde am Client des Absenders liegen, den dieser würde einen >>> veralteten Adressvorschlag erzeugen. >>> Man solle erneut eine Email schicken und den Adressvorschlag mit "x" >>> löschen und die Adresse vollständig eingeben. >>> In der Regel werden in Adressvorschlägen der Weg zum Zielpostfach >>> gespeichert. >>> >> >> Dies ist generell richtig, hat mit dem Problem aber nichts zu tun > > Was ist da generell richtig, das die Clienten das Routing von Mails > diktieren? Das Diktat enstand aus der Bequemlichkeit der User, Stichwort Autovervollständigung, M$ hat halt noch etwas mehr reingepackt, ich hab ja nie behauptet das es schick ist aber das Verhalten ist genauso wieesin der Antwort steht und wenn man dies ändern möchte muss man eigentlich nur die History und damit dann die Autovervollständigung löschen.Outlook generiert dann eine neue aus den erfolgreich versandten E-Mails ab diesem Zeitpunkt. Optional kann man jeden einzelnen E-Mail Empfänger aus dieser History löschen indem man im To Feld anfängt zu tippen, die Autovervollständigung abwartet und den zutrendenden Eintrag mittels 'x' (am Ende der Adresse) löscht. Erfahrungsgemäß ist das Löschen der gesamten History unbeliebt, da die User dann die gesamte Adresse tippen müssten ... Bequemlichkeit eben > > >>> Ich habe mich dann erst mal setzen müssen und habe angefangen nach >>> solch einer Technik zu suchen die so etwas macht. >>> Ich konnte dazu aber nichts finden, weder bei Microsoft noch in >>> irgendwelchen Dokumentationen. Zumal mich der SMTP Fehler immer >>> wieder >>> verwundert hat, offensichtlich fühlt sich der SRVxyz verantwortlich >>> für die Domain abc.de, allerdings liegt der MX Eintrag schon immer >>> woanders. >>> >>> Kann mir jemand mit evtl. besserem GoogleFU einen Tip geben oder >>> kennt >>> sich gar mit diesem "Teufelswerk" aus und kann mir sagen, "ja das >>> liegt am Adressvorschlag des Clienten" oder hier und da dran, ich >>> kann >>> das einfach nicht wirklich glauben. >>> >>> Mal angenommen ich hätte 1000 Postfächer und alle müßten ihr >>> Adressbuch bearbeiten jedesmal wenn ein Postfach von Exchange weg >>> zieht oder zu >>> Exchange hin zieht. >>> >>> Kann ich mir beim besten willen noch viel weniger vorstellen. >>> (Auch wenn es Microsoft ist, kann ich es mir dennoch nicht >>> vorstellen.) >> >> So schlimm ist M$ nun auch nicht;) > > Also wenn M$ hier einer Clientsoftware gestattet das Routing an einen > MTA zu diktieren für eine Mail, dann ist dies in meine Augen noch mehr > als "schlimm", sondern ganz großer Käse. > Wie oben gesagt, ist sicherlich nicht ganz Glücklich diese Sache aber in einer sauberen Konfiguration fällt dies nicht auf. >> Mir fallen persönlich nur zwei brauchbare Lösungen dazu ein, >> >> 1. Der Postfix wird auch durch AD(RODC)+Exchange Site ausgetauscht, >> dann >> können beide Standorte die gleiche E-Mail Domain fahren und der Admin >> teilt dem Account nur den Richtigen Standort(Postfachspeicher) zu, in >> meinen Augen die sinnvollste, aber auch teuerste Lösung. > > Nicht umsetzbar > war anzunehmen >> >> 2. die Bezeichnung hängt jetzt von der Exchangeversion ab aber bis >> auch >> Version 2016 nannte es sich denk ich virtuelle SMTP Konnektoren, >> denenkann man beibringen, alle nicht auflösbaren Empfänger an einen >> Relay Host zu übertragen, mal hier nach 'Forward all mail with >> unresolved recipients to host' googln, das sollte weiterhelfen > > Das sollte ja perse schon aktiv sein sonst dürfte das ja nie > funktioniert haben bis jetzt. > Unwahrscheinlich, sonst würde der Exchange kein NDR senden, sonder der Relayhost im Zweifelsfall >> ach ja vllt. doch noch eine 3tte Möglichkeit, >> >> den Exchanger nach außen verfügbar machen mittels RPCoverHTTP(s) bzw. >> MapioverHTTP(s) und alle Konten dort belassen und keinen Mischbetrieb >> erst anfangen. >> > > Nicht umsetzbar > > >>> >>> >>> >>> Danke für Info's >>> >>> Gruß >>> Robert >> >> mfg >> Max > > Ich brauch also erst mal keine Lösung sondern nur einen hinweis wie > man es dem Exchange abgewöhnt das er solche Routinginfos annimmt von > Clienten, wen es so ist wie beschrieben. > Die Technik die dahinter steckt die dies ermöglich so das Dies im > Client generell abgestellt wird oder eben Serverseitig. > > Alternativ die technische Dokumentation die diese Technik beschreibt, > die ich nicht finden kann. Der Kundensupport von M$ kennt dies nicht > mal und erweiterten Technischen Support gibt es nur gegen Geld. Wozu Support die Entf Taste ist so schwierig nicht zu bedienen, allerdings bezweifle ich sehr stark, das es an dieser History liegt > > > Danke > Robert mfg max From fk at florian-kaiser.net Wed Sep 28 12:26:16 2016 From: fk at florian-kaiser.net (Florian Kaiser) Date: Wed, 28 Sep 2016 12:26:16 +0200 Subject: =?UTF-8?Q?OT:_Amavis:_DNSBL-Checks_f=c3=bcr_bestimmte_policy_deakti?= =?UTF-8?Q?vieren?= Message-ID: <5a298b6f-5355-9345-3f9b-6d61156097b9@florian-kaiser.net> Hallo zusammen, leider finde ich online keine vernünftigen Hinweise, daher hier einmal leicht OT. Wie kann ich im Amavis für eine Policy-Bank (SMTP-Auth-Benutzer) die DNSBL-Prüfungen vom Spamassassin deaktivieren? Ich möchte nur diese Prüfungen abschalten, nicht den gesamten Spamfilter. Sprich, selektiv per Policy skip_rbl_checks = 1 setzen. Das Problem müssten ja auch andere haben - kurzer Tipp freut mich :) Beste Grüße Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: OpenPGP digital signature URL : From klaus at tachtler.net Thu Sep 29 09:19:15 2016 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 29 Sep 2016 09:19:15 +0200 Subject: OT: Amavis: DNSBL-Checks =?utf-8?b?ZsO8cg==?= bestimmte policy deaktivieren In-Reply-To: <5a298b6f-5355-9345-3f9b-6d61156097b9@florian-kaiser.net> Message-ID: <20160929091915.Horde.MMbbfICYbVuiCeRt0tCHVTa@buero.tachtler.net> Hallo Florian, > Hallo zusammen, > > leider finde ich online keine vernünftigen Hinweise, daher hier > einmal leicht OT. > > Wie kann ich im Amavis für eine Policy-Bank (SMTP-Auth-Benutzer) die > DNSBL-Prüfungen vom Spamassassin deaktivieren? > > Ich möchte nur diese Prüfungen abschalten, nicht den gesamten Spamfilter. > Sprich, selektiv per Policy > skip_rbl_checks = 1 > setzen. Mhhh... da AMaViSd-new meines Wissens diesen Parameter nicht kennt, sonder dies ein Parameter aus dem SpamAssassin ist, geht das so gar nicht. Möglicher Ansatz A: ==================== Ausgehend davon, das die authentifizierten Benutzer via submission (Port 587 z.B.) E-Mails einliefern, landen diese bei AMaViSd-new in einer speziellen policy bank z.B.: ORIGINATING. (Port 10026 z.B.) Hier könnten die SPAM-Checks deaktiviert werden... $policy_bank{'ORIGINATING'} = { # local mail bypasses spam scans originating => 1, # declare that mail was submitted by our smtp client # notify administrator of locally originating malware virus_admin_maps => ["youremail\@$mydomain"], spam_admin_maps => ["youremail\@$mydomain"], bypass_spam_checks_maps => [1], # don't spam-check this mail }; Siehe auch hier: http://www.stenoweb.it/en/node/229 Möglicher Ansatz B: ==================== Die SA-checks checks im AMaViSd-new KOMPLETT deaktivieren UND dafür im Postfix den SpamAssassin einbinden: Siehe auch hier: https://www.rosehosting.com/blog/how-to-install-and-integrate-spamassassin-with-postfix-on-a-centos-6-vps/ > Das Problem müssten ja auch andere haben - kurzer Tipp freut mich :) Nun, wenn im Postfix bei den smtpd_recipient_restrictions die Anweisung: permit_sasl_authenticated VOR den dortigen RBL-Checks kommt, ist diese Problem schon mal gelöst und im AMaViSd-new führt der Check ja zu "scoring" Punkten, aber nicht gleich zur SOFORTIGEN Ablehnung. GGf. kann hier auch im Bereich der Scoring-Punkte eingegriffen werden? Kommt darauf an, was erreicht werden soll? > > Beste Grüße > Florian Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From fk at florian-kaiser.net Thu Sep 29 10:12:57 2016 From: fk at florian-kaiser.net (Florian Kaiser) Date: Thu, 29 Sep 2016 10:12:57 +0200 Subject: =?UTF-8?Q?Re:_OT:_Amavis:_DNSBL-Checks_f=c3=bcr_bestimmte_policy_de?= =?UTF-8?Q?aktivieren?= In-Reply-To: <20160929091915.Horde.MMbbfICYbVuiCeRt0tCHVTa@buero.tachtler.net> References: <20160929091915.Horde.MMbbfICYbVuiCeRt0tCHVTa@buero.tachtler.net> Message-ID: Hallo Klaus, danke für die Antworten. Am 29.09.2016 um 09:19 schrieb Klaus Tachtler: > Mhhh... da AMaViSd-new meines Wissens diesen Parameter nicht kennt, sonder > dies ein Parameter aus dem SpamAssassin ist, geht das so gar nicht. Naja, aber Amavis führt SA doch aus; Also, bindet den SA-Code selbst ein. Und ist doch beides Perl ;) > Möglicher Ansatz A: > ==================== > .... > bypass_spam_checks_maps => [1], # don't spam-check this mail > }; > > Siehe auch hier: http://www.stenoweb.it/en/node/229 Das würde ja vollständig die Spam-Checks verhindern. Das wäre fatal, denn gerade die Inhalts-Checks sind so wichtig, um gekaperte Accounts, die als Spamschleuder missbraucht werden, zu identifizieren. > Möglicher Ansatz B: > ==================== > > Die SA-checks checks im AMaViSd-new KOMPLETT deaktivieren UND dafür im Postfix > den SpamAssassin einbinden: > > Siehe auch hier: > https://www.rosehosting.com/blog/how-to-install-and-integrate-spamassassin-with-postfix-on-a-centos-6-vps/ Das wäre ein riesengroßer Rückschritt, weil damit 1000x andere Optionen aus Amavis nicht mehr zur Verfügung stehen. Mal abgesehen vom Administrativen Aufwand und der schlechteren Performance geht es sowieso nicht, weil wir dann ggf. ganz auf Amavis verzichten müssten (amavis als milter und sa als pre-queue-proxy vertragen sich nicht). > Nun, wenn im Postfix bei den smtpd_recipient_restrictions die Anweisung: > permit_sasl_authenticated VOR den dortigen RBL-Checks kommt, ist diese Problem > schon mal gelöst und im AMaViSd-new führt der Check ja zu "scoring" Punkten, > aber nicht gleich zur SOFORTIGEN Ablehnung. > GGf. kann hier auch im Bereich der Scoring-Punkte eingegriffen werden? Leider scheint das dann die einzige Lösung. Aber ich gebe die Hoffnung nicht auf - vielleicht hat es doch jemand intelligenter lösen können? Beste Grüße Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: OpenPGP digital signature URL : From Christian.Hoyer-Reuther at cac-chem.de Thu Sep 29 11:32:22 2016 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Thu, 29 Sep 2016 11:32:22 +0200 Subject: Probleme mit Abfrage Spamhaus Message-ID: <41E487BC91654544B2B8F31096F2D9D4D1B045A8CB@ex1> Hallo, ich verwende "reject_rbl_client zen.spamhaus.org", und das funktioniert seit Do, 22.09., ca. 16:20 Uhr nicht mehr: postfix-inbound/smtpd[5328]: warning: 28.130.147.136.zen.spamhaus.org: RBL lookup error: Host or domain name not found. Name service error for name=28.130.147.136.zen.spamhaus.org type=A: Host not found, try again DNS-Funktionstest zunächst mit www.spamhaus.org (mit Nameservern von Vodafone, HL komm und Google): root at mail:~# dig +short @145.253.2.11 www.spamhaus.org www.spamhaus.org.cdn.cloudflare.net. 104.20.5.21 104.20.4.21 root at mail:~# dig +short @213.187.64.1 www.spamhaus.org www.spamhaus.org.cdn.cloudflare.net. 104.20.4.21 104.20.5.21 root at mail:~# dig +short @8.8.8.8 www.spamhaus.org www.spamhaus.org.cdn.cloudflare.net. 104.20.4.21 104.20.5.21 Also alles ok, dann Test lt. Spamhaus FAQ (DNSBL Usage --> How do I check my DNS server results?): root at mail:~# dig +short @145.253.2.11 2.0.0.127.zen.spamhaus.org 127.0.0.10 127.0.0.4 127.0.0.2 root at mail:~# dig +short @213.187.64.1 2.0.0.127.zen.spamhaus.org root at mail:~# dig +short @8.8.8.8 2.0.0.127.zen.spamhaus.org root at mail:~# dig +short @145.253.2.11 1.0.0.127.zen.spamhaus.org root at mail:~# dig +short @213.187.64.1 1.0.0.127.zen.spamhaus.org root at mail:~# dig +short @8.8.8.8 1.0.0.127.zen.spamhaus.org Testmails an Crynwr system robot liefern folgendes zurück: Uh-oh, your SBL block is not working! Uh-oh, your XBL block is not working! Uh-oh, your PBL block is not working! Für "2.0.0.127.zen.spamhaus.org" liefert nur der Vodafone-Nameserver etwas zurück, wenn ich den in die resolv.conf eintrage und Postfix neu starte, bekomme ich trotzdem weiterhin "RBL lookup error". Die gleichen DNS-Tests liefern an einem DSL-Anschluss die gleichen Ergebnisse. Es gab hier in den letzten 11 Tagen insgesamt ca. 52.000 eingehende SMTP-Connections, das ist also deutlich unter dem Limit für den Free Use. Hat noch jemand solche Probleme oder weiß etwas dazu? Viele Grüße. Christian From robberer at freakmail.de Thu Sep 29 12:05:32 2016 From: robberer at freakmail.de (robberer at freakmail.de) Date: Thu, 29 Sep 2016 12:05:32 +0200 Subject: Probleme mit Abfrage Spamhaus In-Reply-To: <41E487BC91654544B2B8F31096F2D9D4D1B045A8CB@ex1> References: <41E487BC91654544B2B8F31096F2D9D4D1B045A8CB@ex1> Message-ID: <6c59797d18e0976bff937f6408da4a51@posteo.de> Nein keine Probleme hier. Habe gerade unser logfile durchforstet. reject_rbl_client zen.spamhaus.org Sep 29 12:02:26 m2 postfix/smtpd[1133]: NOQUEUE: reject: RCPT from unknown[103.225.132.60]: 554 5.7.1 Service unavailable; Client host [103.225.132.60] blocked using zen.spamhaus.org; https://www.spamhaus.org/query/ip/103.225.132.60; from= to= proto=ESMTP helo=<[103.225.132.60]> Am 29.09.2016 11:32 schrieb Hoyer-Reuther, Christian: > Hallo, > > ich verwende "reject_rbl_client zen.spamhaus.org", und das > funktioniert seit Do, 22.09., ca. 16:20 Uhr nicht mehr: > > postfix-inbound/smtpd[5328]: warning: 28.130.147.136.zen.spamhaus.org: > RBL lookup error: Host or domain name not found. Name service error > for name=28.130.147.136.zen.spamhaus.org type=A: Host not found, try > again > > DNS-Funktionstest zunächst mit www.spamhaus.org (mit Nameservern von > Vodafone, HL komm und Google): > > root at mail:~# dig +short @145.253.2.11 www.spamhaus.org > www.spamhaus.org.cdn.cloudflare.net. > 104.20.5.21 > 104.20.4.21 > > root at mail:~# dig +short @213.187.64.1 www.spamhaus.org > www.spamhaus.org.cdn.cloudflare.net. > 104.20.4.21 > 104.20.5.21 > > root at mail:~# dig +short @8.8.8.8 www.spamhaus.org > www.spamhaus.org.cdn.cloudflare.net. > 104.20.4.21 > 104.20.5.21 > > Also alles ok, dann Test lt. Spamhaus FAQ (DNSBL Usage --> How do I > check my DNS server results?): > > root at mail:~# dig +short @145.253.2.11 2.0.0.127.zen.spamhaus.org > 127.0.0.10 > 127.0.0.4 > 127.0.0.2 > root at mail:~# dig +short @213.187.64.1 2.0.0.127.zen.spamhaus.org > root at mail:~# dig +short @8.8.8.8 2.0.0.127.zen.spamhaus.org > > root at mail:~# dig +short @145.253.2.11 1.0.0.127.zen.spamhaus.org > root at mail:~# dig +short @213.187.64.1 1.0.0.127.zen.spamhaus.org > root at mail:~# dig +short @8.8.8.8 1.0.0.127.zen.spamhaus.org > > Testmails an Crynwr system robot liefern folgendes zurück: > > Uh-oh, your SBL block is not working! > Uh-oh, your XBL block is not working! > Uh-oh, your PBL block is not working! > > Für "2.0.0.127.zen.spamhaus.org" liefert nur der Vodafone-Nameserver > etwas zurück, wenn ich den in die resolv.conf eintrage und Postfix neu > starte, bekomme ich trotzdem weiterhin "RBL lookup error". > > Die gleichen DNS-Tests liefern an einem DSL-Anschluss die gleichen > Ergebnisse. > > Es gab hier in den letzten 11 Tagen insgesamt ca. 52.000 eingehende > SMTP-Connections, das ist also deutlich unter dem Limit für den Free > Use. > > Hat noch jemand solche Probleme oder weiß etwas dazu? > > Viele Grüße. > > Christian From news at amaltea.de Thu Sep 29 19:00:48 2016 From: news at amaltea.de (Paul) Date: Thu, 29 Sep 2016 19:00:48 +0200 Subject: address verification - reject after DATA Message-ID: Hallo Liste, ich betreibe einen Postfix 2.10.0 der MX für diverse Domains, deren Postfächer meist auf einem fremdverwalteten Mailsystem administriert werden. Adress verifying funktioniert bisher zuverlässig, nur mit einem neuen System nicht. Ich vermute, dass es daran liegt, dass das System erst nach dem DATA Kommando ein reject mitteilt und nicht beim RCPT TO. Das führt leider zu dem Problem, dass jegliche Mailadresse des Systems als deliverable gespeichert werden, was wiederum dazu führt, dass mein System einen Bounce an den Sender schickt und das wiederum meinen Server zum Backscatterer macht. Jetzt suche ich eine technische Lösung. In http://www.postfix.org/ADDRESS_VERIFICATION_README.html unter "Limitations of address verification" bzw http://www.postfix.org/postconf.5.html#smtp_address_verify_target habe ich wohl eine Lösung für Postfix Version > 3 Kennt jemand auch eine Lösung für Version < 3? Ich möchte jedoch keine Liste manuell pflegen (lassen) müssen. Es soll weiterhin dynamisch bleiben. Ein Update ist geplant. Bisher war mir ein REJECT-AFTER-DATA unbekannt. Habe ich da was verpasst? War das schon immer so oder hat das Exchange oder eine Antiviren-Appliance neu erfunden? Welchen Sinn macht ein solches Verhalten? Gruß, Paul From postfixbuch at cboltz.de Thu Sep 29 21:32:31 2016 From: postfixbuch at cboltz.de (Christian Boltz) Date: Thu, 29 Sep 2016 21:32:31 +0200 Subject: Probleme mit Abfrage Spamhaus In-Reply-To: <41E487BC91654544B2B8F31096F2D9D4D1B045A8CB@ex1> References: <41E487BC91654544B2B8F31096F2D9D4D1B045A8CB@ex1> Message-ID: <2974868.5z7lrRrxU7@tux.boltz.de.vu> Hallo Christian, hallo zusammen, Am Donnerstag, 29. September 2016, 11:32:22 CEST schrieb Hoyer-Reuther, Christian: > Es gab hier in den letzten 11 Tagen insgesamt ca. 52.000 eingehende > SMTP-Connections, das ist also deutlich unter dem Limit für den Free > Use. Was Du nicht verrätst: welchen Nameserver benutzt Dein Mailserver? Einen eigenen, lokalen, oder den vom Provider? (siehe /etc/resolv.conf) Falls Du den Provider-Nameserver verwendest, hängen da vermutlich noch mehr Leute dran und knabbern am Limit ;-) Gruß Christian Boltz -- Das hat wie so vieles im Leben Vor- und Nachteile. Es ist halt alles andere als DAU-sicher. Aber da nur ich hier rumfuhrwerke brauche ich nicht lange nach dem Verursacher suchen, falls etwas schiefgeht. Ein Blick in den Spiegel reicht vollkommen... [Ralph Müller in suse-linux] From news at amaltea.de Fri Sep 30 00:19:50 2016 From: news at amaltea.de (Paul) Date: Fri, 30 Sep 2016 00:19:50 +0200 Subject: address verification - reject after DATA In-Reply-To: References: Message-ID: <613451b8-5db9-25a0-1187-fa82aa8e5f88@amaltea.de> Am 29.09.2016 um 19:00 schrieb Paul: > Hallo Liste, > > ich betreibe einen Postfix 2.10.0 der MX für diverse Domains, deren > Postfächer meist auf einem fremdverwalteten Mailsystem administriert werden. > > Adress verifying funktioniert bisher zuverlässig, nur mit einem neuen > System nicht. Ich vermute, dass es daran liegt, dass das System erst > nach dem DATA Kommando ein reject mitteilt und nicht beim RCPT TO. > > Das führt leider zu dem Problem, > dass jegliche Mailadresse des Systems als deliverable gespeichert werden, > was wiederum dazu führt, > dass mein System einen Bounce an den Sender schickt > und das wiederum meinen Server zum Backscatterer macht. > > Jetzt suche ich eine technische Lösung. > In > http://www.postfix.org/ADDRESS_VERIFICATION_README.html > unter "Limitations of address verification" bzw > http://www.postfix.org/postconf.5.html#smtp_address_verify_target > habe ich wohl eine Lösung für Postfix Version > 3 > > Kennt jemand auch eine Lösung für Version < 3? Dazu habe ich leider noch nichts gefunden. > Ich möchte jedoch keine Liste manuell pflegen (lassen) müssen. Es soll > weiterhin dynamisch bleiben. Ein Update ist geplant. > > Bisher war mir ein REJECT-AFTER-DATA unbekannt. Habe ich da was > verpasst? War das schon immer so oder hat das Exchange oder eine > Antiviren-Appliance neu erfunden? Man kann das Verhalten im Exchange auch korrigieren: https://www.heinlein-support.de/blog/mailserver/exchange-2013-dynamische-empfaengerpruefung-fuer-postfix/ > Welchen Sinn macht ein solches Verhalten? Das erschließt sich mir immer noch nicht. Möchte zu gerne wissen, was sich der Entscheider dabei gedacht hat. Gruß, Paul From thomas.schwenski at xanismail.de Fri Sep 30 08:32:52 2016 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Fri, 30 Sep 2016 08:32:52 +0200 Subject: address verification - reject after DATA In-Reply-To: <613451b8-5db9-25a0-1187-fa82aa8e5f88@amaltea.de> References: <613451b8-5db9-25a0-1187-fa82aa8e5f88@amaltea.de> Message-ID: <0584a4ff-5050-a53b-25e3-0b4369fc7c7c@xanismail.de> Guten Morgen, >> Bisher war mir ein REJECT-AFTER-DATA unbekannt. Habe ich da was >> verpasst? War das schon immer so oder hat das Exchange oder eine >> Antiviren-Appliance neu erfunden? >> Welchen Sinn macht ein solches Verhalten? Natürlich macht es Sinn in der SMTP-Kommunikation erst nach dem Senden der eigentlich Mail zu rejecten. Anders würde PreQueue-Contentfiltering gar nicht funktionieren. D.h. der Server prüft den Content der eigentlichen Mail auf Spam/Viren/was-auch-immer und kann diese direkt ablehnen, als nur zu Taggen oder in einen Quarantäne-Ordner zuzustellen. Ein anderes Thema wäre auch eine Prüfung auf ein Mailbox-Quota. Der Server weiß erst dann genau, wie groß eine Mail ist, wenn diese (technisch - nicht juristisch) vollständig übertragen wurde. Er kann also auch erst dann prüfen, ob sie noch ins Postfach passt. >> Kennt jemand auch eine Lösung für Version < 3? >> Ich möchte jedoch keine Liste manuell pflegen (lassen) müssen. Es >> soll weiterhin dynamisch bleiben. Ein Update ist geplant. Falls es keine elegantere Lösung geben sollte: Wenn Du einen Exchange belieferst, dann wird es dort sicher auch ein AD geben. Du könntest dort per LDAP die gültigen Empfänger zyklisch auslesen und auf Deinem System cachen lassen. Das wäre dann auch nicht manuell und spart Dir bei dem Host Traffic. Eine Live-Abfrage per LDAP müsste theorethisch auch machbar sein - ich würde jedoch eine gecachte Variante aus Stabilitätsgründen vorziehen. Thomas -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de Am 30.09.16 um 00:19 schrieb Paul: From Christian.Hoyer-Reuther at cac-chem.de Fri Sep 30 09:44:08 2016 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Fri, 30 Sep 2016 09:44:08 +0200 Subject: Probleme mit Abfrage Spamhaus In-Reply-To: <2974868.5z7lrRrxU7@tux.boltz.de.vu> References: <41E487BC91654544B2B8F31096F2D9D4D1B045A8CB@ex1> <2974868.5z7lrRrxU7@tux.boltz.de.vu> Message-ID: <41E487BC91654544B2B8F31096F2D9D4D1B045A94D@ex1> > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] > Im Auftrag von Christian Boltz > Gesendet: Donnerstag, 29. September 2016 21:33 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Probleme mit Abfrage Spamhaus > > Hallo Christian, hallo zusammen, > > Am Donnerstag, 29. September 2016, 11:32:22 CEST schrieb Hoyer-Reuther, > Christian: > > Es gab hier in den letzten 11 Tagen insgesamt ca. 52.000 eingehende > > SMTP-Connections, das ist also deutlich unter dem Limit für den Free > > Use. > > Was Du nicht verrätst: welchen Nameserver benutzt Dein Mailserver? Einen > eigenen, lokalen, oder den vom Provider? (siehe /etc/resolv.conf) > > Falls Du den Provider-Nameserver verwendest, hängen da vermutlich noch > mehr Leute dran und knabbern am Limit ;-) Hallo Christian, bisher habe ich den Provider-Nameserver genutzt, daher wird es genau so sein wie Du schreibst. So lief es schon längere Zeit ohne Probleme, der Zusammenhang war mir so noch nicht bewusst. Ich habe nun umgestellt auf einen lokalen Bind mit folgender Einstellung, damit Spamhaus direkt abgefragt wird; nun funktioniert es wieder. zone "spamhaus.org" in { type forward; forwarders {}; }; Danke Dir und auch robberer für die Mühe. Viele Grüße. Christian From news at amaltea.de Fri Sep 30 10:36:10 2016 From: news at amaltea.de (Paul) Date: Fri, 30 Sep 2016 10:36:10 +0200 Subject: address verification - reject after DATA In-Reply-To: <0584a4ff-5050-a53b-25e3-0b4369fc7c7c@xanismail.de> References: <613451b8-5db9-25a0-1187-fa82aa8e5f88@amaltea.de> <0584a4ff-5050-a53b-25e3-0b4369fc7c7c@xanismail.de> Message-ID: <3ecea0e5-ed79-d3a0-1971-913b94bcc7de@amaltea.de> Am 30.09.2016 um 08:32 schrieb Thomas Schwenski: >>> Bisher war mir ein REJECT-AFTER-DATA unbekannt. Habe ich da was >>> verpasst? War das schon immer so oder hat das Exchange oder eine >>> Antiviren-Appliance neu erfunden? > >>> Welchen Sinn macht ein solches Verhalten? > > Natürlich macht es Sinn in der SMTP-Kommunikation erst nach dem Senden > der eigentlich Mail zu rejecten. > Anders würde PreQueue-Contentfiltering gar nicht funktionieren. > D.h. der Server prüft den Content der eigentlichen Mail auf > Spam/Viren/was-auch-immer und kann diese direkt ablehnen, als nur zu > Taggen oder in einen Quarantäne-Ordner zuzustellen. > > Ein anderes Thema wäre auch eine Prüfung auf ein Mailbox-Quota. > Der Server weiß erst dann genau, wie groß eine Mail ist, wenn diese > (technisch - nicht juristisch) vollständig übertragen wurde. > Er kann also auch erst dann prüfen, ob sie noch ins Postfach passt. Deine Ausführung klingt nachvollziehbar. Danke dafür. Ich denke mir jedoch, dass man sich die ganzen Prüfungen sparen kann, wenn von vornerein klar ist, dass die Empfängeradresse gar nicht existiert. Das ist das einzige was mich daran stört. >>> Kennt jemand auch eine Lösung für Version < 3? >>> Ich möchte jedoch keine Liste manuell pflegen (lassen) müssen. Es >>> soll weiterhin dynamisch bleiben. Ein Update ist geplant. > > Falls es keine elegantere Lösung geben sollte: > Wenn Du einen Exchange belieferst, dann wird es dort sicher auch ein AD > geben. > Du könntest dort per LDAP die gültigen Empfänger zyklisch auslesen und > auf Deinem System cachen lassen. > Das wäre dann auch nicht manuell und spart Dir bei dem Host Traffic. > > Eine Live-Abfrage per LDAP müsste theorethisch auch machbar sein - ich > würde jedoch eine gecachte Variante aus Stabilitätsgründen vorziehen. Mein Mailserver ist irgendwo da draußen vorgeschaltet und hat bis auf SMTP keinen direkten Zugriff auf das Zielsystem. Ansonsten wäre einer dieser beiden Vorschläge umgesetzt worden. Oder das Update auf Postfix 3... Gruß, Paul